Skip to content

Die EU nimmt Gatekeeper ins Visir

Digital Markets Act und Digital Service Act

Der Digital Markets Act und Digital Service Act

Einleitung

Die EU will sog. Gatekeeper-Unternehmen wie Google, Amazon oder Apple künftig in ihrer Marktmacht regulieren zugunsten fairer Wettbewerbsbedingungen für digitale Unternehmen. Dafür werden derzeit zwei Gesetzespakete entwickelt, der »Digital Services Act« und der »Digital Markets Act«. Noch sind sich EU-Parlament und der Ministerrat nicht einig, aber es gibt Fortschritte.

Das Gesetzesvorhaben für den Digital Markets Act wurde bereits im Dezember 2020 initiiert. Am 24. März 2022 gab es dann endlich eine erste Einigung.

Diese Einigung muss noch von den EU-Abgeordneten und Mitgliedstaaten offiziell angenommen werden, was vermutlich einige Zeit in Anspruch nehmen wird.

Ein Parallelvorhaben ist der Digital Services Act (DSA), der bereits im Januar 2022 im EU-Parlament beschlossen wurde.

Beide Gesetzesentwürfe sollen nach Abschluss aller Verhandlungen in Form einer Verordnung umgesetzt werden, die dann für sämtliche Mitgliedstaaten gelten wird.

Ein Inkrafttreten beider Gesetzesvorhaben wird allerdings nicht vor 2023 erwartet.

Was regelt der Digital Markets Act?

Der Digital Markets Act will verhindern, dass Unternehmen überhaupt erst zu Gatekeeper-Unternehmen heranwachsen können, bevor sie (kartell-)rechtlich verfolgt werden. Die Regulierungen zielen auf rechtzeitige und angemessene Maßnahmen ab, die es Einzelunternehmen erschweren, ihre Marktmacht auszubauen und die Entwicklung der Konkurrenz zu verhindern.

Als Gatekeeper werden solche Unternehmen bezeichnet,

  • die mindestens 6,5 Mrd. EURO Jahresumsatz im europäischen Wirtschaftsraum erzielen,
  • sowie über 45 Mio. Endnutzer pro Monat haben und
  • über 10 Tsd. gewerbliche Nutzer nachweisen.

Außerdem müssen sie einen signifikanten Einfluss im Binnenmarkt ausüben, d.h. in mehreren Mitgliedstaaten unternehmerisch aktiv sein. Dafür ist es nicht erforderlich, dass das Unternehmen seinen Sitz in der EU hat. Zurzeit erfüllen ungefähr 10 bis 15 Unternehmen diese Kriterien, wie beispielsweise Google, Amazon, facebook, Apple & Co.

Die Feststellung, ob man als Gatekeeper-Unternehmen gilt, müssen die Unternehmen zunächst selbst vornehmen. Gemäß des DMA trifft die Unternehmen diesbezüglich eine Anzeigepflicht gegenüber der EU-Kommission.

Wie werden Gatekeeper künftig reguliert?

  • Gatekeeper dürfen keine unfairen Bedingungen für andere Unternehmen, Geschäftskunden und Verbraucher schaffen. Hier orientiert sich der Regelgeber an bereits laufenden oder abgeschlossenen Untersuchungsverfahren wegen Missbrauchs der Marktmacht.
  • Bei Firmenübernahmen soll mehr Kontrolle ausgeübt werden können, damit kleinere Unternehmen nicht einfach vom Markt weggekauft werden.
  • Gewerbliche Nutzer sollen auf Kunden- und Transaktionsdaten zuzugreifen können, jedoch nur auf solche, welche sie selbst auf den Gatekeeper-Plattformen generieren. Derartiges ist für Händler von Verkaufsplattformen zurzeit nicht möglich.
  • Eine der Kernforderungen ist die Interoperabilität von Messenger-Diensten. Es sollen künftig Nachrichten zwischen verschiedenen Anbietern verschickt werden können.
  • In Sachen personalisierte Werbung gibt es zwar kein absolutes Verbot, dennoch sollen Minderjährige stärker geschützt werden. Die Datenzusammenführung ohne vorherige ausdrückliche Einwilligung wird verboten.
  • Auch dürfen Gatekeeper nicht mehr auf die Suchergebnisanzeige einwirken, um ihre eigenen Dienste und Produkte höher zu setzen, sog. self-preferencing.
  • Sie dürfen Kunden nicht mehr daran hindern, sich an Unternehmen außerhalb ihrer Plattform zu wenden.

In strengen Ausnahmesituationen soll es sogar erlaubt sein, Gatekeeper-Konzerne zu zerschlagen, wenn diese wiederholt und systematisch gegen die Auflagen verstoßen.

Ansonsten arbeitet der DMA mit Bußgeldern in Höhe von bis zu 10 % des Jahresumsatzes. Das EU-Parlament forderte sogar eine Bußgeldhöhe von bis zu 20 % des Jahresumsatzes. Diese Forderung fand jedoch keine Zustimmung.

Was regelt der Digital Services Act?

Der Digitale Services Act beschränkt sich im Gegensatz zum DMA nicht nur auf Gatekeeper-Unternehmen, sondern richtet sich an alle digitalen Dienste. Daher werden auch Internetprovider, Vergleichs- oder Buchungsportale, App-Stores oder Cloud-Services eingeschlossen. Der DSA möchte eine sichere und vertrauenswürdige Online-Umgebung für alle schaffen.

Um Benachteiligungen zu vermeiden, werden die Unterschiede der verschiedenen Dienste im Rahmen eines abgestuften Regelungssystems innerhalb des DSA berücksichtigt. Auch die E-Commerce-Richtlinie (2000/31/EC) wird teilweise abgelöst. Es hat sich gezeigt, dass die Mitgliedstaaten jeweils ihre eigenen nationalen Regelungen eingeführt haben, was zu einem unübersichtlichen Flickenteppich an Vorschriften geführt hat. Das möchte der DSA korrigieren.

Der bisherige Gesetzesentwurf ist umfangreicher als der Gesetzesentwurf zum DMA. Er zielt auf den Schutz der Nutzer ab.

Nachfolgend geben wir Ihnen einen groben Überblick über die Themen, die im DSA künftig geregelt werden:

  • Online-Marktplätze sollen die Identität ihrer Händler verstärkt prüfen, um Produktsicherheit zu gewährleisten. Damit entstehen unter anderem neue “due-diligence-Pflichten“ für Online-Marktplätze. Durch die Identitätsprüfung ist es Markeninhabern auch möglich, besser gegen Produktfälschungen vorzugehen. Zusätzlich sollen sog. Trusted Flagger zum Einsatz kommen, damit man zuverlässige Händler besser erkennen kann.
  • Große Plattformbetreiber, sog. VLOPs (Very Large Online Platforms), sollen jährlich mindestens eine eigene Risikobewertung vornehmen, um zu überprüfen, wie sich die Verbreitung illegaler oder falscher Inhalte auswirkt. Sie sollen illegale oder falsche Inhalte löschen oder gezielt moderieren können. Empfehlungssysteme sorgen dabei für zuverlässigere Informationsquellen. Insbesondere illegale Inhalte sollen durch Host-Provider schneller entfernt werden dürfen (Notice-and-Action-System). Dem Nutzer wird vor der Löschung jedoch eine Widerspruchsmöglichkeit eingeräumt.
  • Die Funktionsweise von Algorithmen soll transparenter werden, damit Nutzer ein besseres Verständnis für die technischen und analytischen Abläufe bekommen. Dies soll ihnen helfen, Suchmaschinen und ihre Ergebnisse zu verstehen.
  • An Minderjährige gerichtete personalisierte Werbung soll gänzlich verboten sein. Volljährige Nutzer dagegen können selbst entscheiden, ob ihnen personalisierte Werbung angezeigt wird oder nicht. Ganz wichtig: Den Nutzern sollen die Abläufe im Hintergrund transparent gemacht werden, damit sie verstehen können, wie es überhaupt dazu kommt, dass ihnen ganz bestimmte Werbung angezeigt wird.
  • Einfach zugängliche Meldesysteme soll es Nutzern und Betroffenen künftig leichter machen, sich zu beschweren.

Hinsichtlich der VLOPs behält sich die Kommission eigene Untersuchungs- und Eingriffsbefugnisse vor. Die Durchsetzung des DSA hingegen ist Sache der einzelnen Mitgliedstaaten.

Bei Verstößen wird ein Bußgeld in Höhe von 6 % des weltweiten jährlichen Konzernumsatzes fällig.

Kritik

Es klingt erst einmal gut, dass Großplattformbetreiber und Gatekeeper an die Leine genommen werden sollen, um Platz für fairen Wettbewerb zu lassen.

Dennoch sind die avisierten Regelungen auch kritisch zu betrachten.

Es ist gewagt, ein völlig neues Regulierungsmodell zu schaffen, ohne dieses mit den bereits vorhandenen wettbewerbsrechtlichen Vorschriften zu verknüpfen.

Es besteht die Gefahr einer doppelten Verfolgung, einmal im Rahmen der Verordnung und andererseits nach europäischen wettbewerbsrechtlichen Regelungen. In diesem Zusammenhang ist auch noch nicht geklärt, in welchem Verhältnis das nationale Kartellrecht, allen voran § 19a GWB, angewendet werden soll.

Hinsichtlich des Verbots von personalisierter Werbung bei Minderjährigen wird es wohl kaum eine Umsetzung in der Praxis geben, weil letzten Endes keine Überprüfung stattfindet, wer tatsächlich den PC nutzt.

Dies gilt auch im Hinblick auf die Interoperabilität zwischen den Diensten, die technisch zwar möglicherweise umsetzbar ist, jedoch erhebliche datenschutzrechtliche Bedenken bzgl. der unkontrollierten Datenweitergabe aufwirft.

Da der DSA die Verwendung von Upload-Filtern anerkennt, könnte eine erneute urheberrechtliche Diskussion über die Verwendung dieser Filter entfacht werden.

Der DSA gewährt erhebliche Eingriffsmöglichkeiten bei falschen und illegalen Inhalten. Doch ist es noch nicht abschließend geklärt, welche Inhalte überhaupt darunterfallen und wer eine entsprechende Bewertung vornimmt. Dadurch könnte es zu einer Einschränkung der Meinungs- und Pressefreiheit kommen.

Fazit

Die Hoffnungen der EU sind groß, dass DMA und DSA einen größtmöglichen Nutzen für die Regulierung der digitalen Marktwirtschaft bringen. Einige Regelungen werden sicherlich dazu beitragen. Doch bleibt die Umsetzung abzuwarten. Da die Verhandlungen noch nicht endgültig abgeschlossen sind, sind Änderungen nach wie vor möglich.

Dennoch lässt sich bereits jetzt festhalten, dass der Umfang der zu beachtenden Regeln stark an die Größe eines Unternehmens gekoppelt sein wird.

Und natürlich wird es für große Unternehmen teuer und aufwändig, die neuen gesetzlichen Vorgaben umzusetzen.

Ein Inkrafttreten ist nicht vor 2023 geplant. Mit der geplanten Übergangsfrist von 6-12 Monaten dürfte es also erst 2024 zu einer faktischen Umsetzung kommen.

Über die weiteren Entwicklungen werden wir Sie hier gerne informieren.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Telekommunikationsmodernisierungsgesetz (TKMoG): Das ist neu!

TKMoG

am 1.12.2021 wurde es endlich  verabschiedet: das TKMoG.  

Stand Mai 2022

Nach langer Unstimmigkeit bezüglich der Umsetzung der EU-Richtlinie 2018/1972 wurde am 1.12.2021 endlich das TKMoG verabschiedet. 

Einführung       

Das Telekommunikationsgesetz (TKG) reguliert grundsätzlich den Wettbewerb im Bereich der Telekommunikation. Die Modernisierungen an dem inzwischen fast 26-jährigen Gesetz von Juli 1996 vereinen sich unter dem sperrigen Begriff Telekommunikationsmodernisierungsgesetz (TKMoG). Im Fokus stehen dabei vor allem der Netzausbau und der Verbraucherschutz. Das gilt jedoch nicht nur für Mobilfunk-, sondern auch für Festnetz- und Internetverträge.

Die Neuerungen im TKMoG 

Grundlegendes Ziel des TKMoG ist es, allen Bürgerinnen und Bürgern die Telekommunikation durch einen flächendeckenden und schnellen Ausbau der Gigabitnetze zugänglich zu machen.

Das bedeutet konkret:

  • Jede Bürgerin und jeder Bürger soll einen Anspruch auf einen Internetzugang zu einem erschwinglichen Preis bekommen (§§ 156 ff. TKMoG). Damit erhalten sie die Möglichkeit, ein E-Mail-Postfach, Online-Banking, Online-Shopping oder Social Media zu nutzen sowie im Home-Office arbeiten zu können.
  • Die Genehmigungsverfahren für Telekommunikationsunternehmen werden dazu weitgehend vereinfacht, um einen Anreiz für den zügigen und lückenlosen Ausbau des Glasfasernetzes zu schaffen (§§ 78 ff. TKMoG).
  • Die derzeitigen Mindestvertragslaufzeiten von Mobilfunk- und Festnetzverträgen werden angepasst (§ 56 Abs. 1 TKMoG). Es muss die Möglichkeit für einen 1-Jahres-Vertrags geben, auch wenn es keine pauschale Herabsenkung der Mindestvertragslaufzeit auf zwölf Monate gibt. So könnten die Unternehmen etwa zwei Vertragsmodelle mit verschiedenen Mindestvertragslaufzeiten anbieten. Einmal mit der kürzeren Vertragslaufzeit von zwölf Monaten, und einmal mit der derzeitigen “Standardvariante” von 24 Monaten.
  • Den Kundinnen und Kunden muss es nach Ablauf der Mindestvertragslaufzeit möglich sein, jederzeit mit einer Frist von einem Monat zu kündigen.Die Verträge können sich nicht mehr automatisch um z. B. weitere 12 Monate verlängern.
  • Um zu vermeiden, dass Kunden ahnungslos teure Alt-Tarife weiterführen, gibt es eine jährliche Informationspflicht seitens des Anbieters.
  • Das neue sog. Glasfaserbereitstellungsentgelt regelt die Kostenumlage bei Erstanschluss eines Gebäudes an das Glasfasernetz. Der Vermieter kann die Kosten demnach über die Nebenkosten an den Mieter weiterreichen, auch wenn der Mieter den Anschluss nicht nutzt.
  • Mieterinnen und Mieter können den jeweilen Anschluss nach Ablauf von zwei Jahren selbstständig kündigen, sofern sie ihren TV-Kabelanschluss über die Betriebskosten des Mietobjekts zahlen. Damit können sie nach einer Übergangszeit frei über ihren Anbieter entscheiden (§ 71 Abs. 2 TKMoG).
  • Wenn vertraglich festgelegte Leistungen nicht in vollem Umfang erbracht werden können oder Störungen nicht binnen einer bestimmten Frist behoben werden, können Verbraucher eine Zahlungsminderung oder eine Entschädigung fordern.

Die hier vorgestellten Änderungen durch das TKMoG sind jedoch nicht abschließend. Es gibt weitere Änderungen in den Bereichen Marktregulierung (Teil 2, §§ 10 ff TKMoG), Kundenschutz (Teil 3, §§ 51 ff. TKMoG), sowie bei der Vergabe von Frequenzen, Nummern und Wegerechten (Teile 6, 7, 8, §§ 87 ff. TKMoG). 

Fazit 

Die gestärkten Rechte der Verbraucher und Verbraucherinnen auf dem Gebiet der Telekommunikation treiben den flächendeckenden Netzausbau voran. Das ist in Anbetracht des internationalen Wettbewerbs auch dringend notwendig, da bislang vor allem ländliche Gebiete vom modernen digitalen Arbeitsmarkt regelrecht ausgeschlossen waren.

Den Telekommunikationsunternehmen blieb letztendlich nur wenig Zeit für die Umsetzung der weitreichenden Änderungen. Zwar war bekannt, dass Änderungen aufgrund der europäischen Richtlinie folgen würden, den Mitgliedstaaten verblieb jedoch noch ein gewisser Umsetzungsspielraum, sodass bis zuletzt unklar war, wie genau die neuen Regelungen aussehen würden.

Siehe auch https://rickert.law/ttdsg-entwurf-wurde-beschlossen/

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Am 01.01.2022 treten umfangreiche Neuerungen im Schuldrecht in Kraft. Wir erläutern, worin diese Änderungen bestehen und welche Auswirkungen sie im digitalen Bereich haben.

Neuer Mangelbegriff im Schuldrecht

Einführung 

Am 24. Juni 2021 wurden im deutschen Bundestag die Umsetzungen der europäischen Warenkaufrichtlinie (WKRL (EU) 2019/711) und der europäischen Richtlinie zu digitalen Inhalten und Dienstleistungen (DIDRL (EU) 2019/770) beschlossen. Die Änderungen treten ab dem 01. Januar 2022 in Kraft und gelten für alle neu geschlossenen Verträge. Die Ziele der Richtlinie sind eine weitgehende Digitalisierung des Kaufrechts und eine Stärkung der Verbraucherrechte. Insbesondere steht in den Richtlinien ein neuer Mangelbegriff im Fokus. Bisher herrschte ein einheitlicher Mangelbegriff in § 434 BGB a.F., ab dem 01. Januar 2022 wird es mehrere Mangelbegriffe geben, die in mehreren Paragraphen des BGB zu finden und anhand des Vertragstypus zu bestimmen und zuzuordnen sind.  

Den genauen Wortlaut der Gesetzesänderungen der WKRL finden Sie hier und den der DIDRL hier. Hierbei handelt es sich um die umfangreichsten Änderungen des Schuldrechts nach der Schuldrechtsmodernisierung im Jahr 2002. 

Im Folgenden wird auf die Neuerungen durch die Umsetzung der Richtlinien und dabei insbesondere auf die Auswirkungen im digitalen Bereich eingegangen.  

Einführung eines neuen Vertragstypen durch die DIDRL? 

Mit Einführung der §§ 327 ff. BGB n.F., welche die DIDRL umsetzen, wird ein neuer Vertragstypus geschaffen: ein Verbrauchervertrag, der digitale Produkte und Dienstleistungen zum Inhalt hat. Dabei ist die Vertragsart aufgrund ihrer Stellung im allgemeinen Schuldrecht nicht auf einen bestimmten Vertrag, wie etwa einen Kauf gem. § 433 BGB, beschränkt, sondern gilt für alle besonderen Vertragstypen des BGB, bspw. Kaufverträge, Mietverträge, Schenkungen und Werkverträge. Im besonderen Schuldrecht stehen bei den Vertragstypen sodann Vorschriften, die regeln, dass, sofern ein digitales Produkt Vertragsgegenstand ist und es sich um einen Verbrauchervertrag handelt, die §§ 327 ff. BGB n.F. Vorrang vor den Regelungen des besonderen Schuldrechts haben. 

Teil dieses neuen Vertragsgegenstandes sind digitale Produkte. Von den §§ 327 ff. BGB n.F. sind nun vor allem Verträge betroffen, die die Erstellung, Bereitstellung, Verarbeitung und Speicherung von digitalen Daten beinhalten. Maßgeblich ist nicht die Art des Vertrages, sondern dessen digitale Form. Beispielsweise fallen darunter nun Cloudanbieter, Streamingdienste und Anbieter von Computersoftware. Für die Einordnung als “digitalen Vertrag” ist es zudem unerheblich, ob die Daten zusätzlich in physischer Form, wie etwa auf einer CD, gespeichert sind. §§ 327 Abs. 5, 475a Abs. 1 BGB n.F. stellen klar, dass nicht der Datenträger für die Einordnung als Sache maßgeblich ist, sondern die darauf befindliche Software, welche den Datenträger letztlich zum digitalen Inhalt macht und nicht zu einer Sache. 

Neuer Mangelbegriff  

Je nach Vertragstyp und -gegenstand gibt es nun verschiedene Mängelbegriffe, namentlich in den §§ 434, 475b, 475c BGB n.F. Dabei handelt es sich jedoch nicht um gänzlich unterschiedliche Begriffe und Bestimmungen. Vielmehr ergänzen sie sich und sind für verschiedene Arten von Verträgen anwendbar. 

Kaufrechtlicher Mangelbegriff gem. § 434 BGB n.F. 

Sofern ein Kaufvertrag gem. § 433 BGB vorliegt, der kein Verbrauchervertrag ist, gilt der Mangelbegriff des § 434 BGB n.F. Demnach ist gem. § 434 Abs. 1 BGB n.F. eine Sache frei von Sachmängeln, wenn sie bei Gefahrübergang den subjektiven, den objektiven und den Montageanforderungen entspricht und keine andere als die vertraglich geschuldete Sache geliefert wird.  

Den subjektiven Anforderungen wird gem. § 434 Abs. 2 BGB n.F. entsprochen, wenn die vertraglich vereinbarte Beschaffenheit vorliegt oder sich die Sache für die nach dem Vertrag vorausgesetzte Verwendung eignet. Die objektive Beschaffenheit der Sache gem. § 434 Abs. 3 BGB n.F. bezieht sich sodann darauf, dass die Sache der üblichen Beschaffenheit entspricht, also mittlerer Art und Güte ist. Die Anforderungen des § 434 Abs. 4 BGB n.F. sind erfüllt, wenn die Montage sachgemäß durchgeführt worden ist oder zwar unsachgemäß durchgeführt worden ist, dies jedoch weder auf einer unsachgemäßen Montage durch den Verkäufer noch auf einem Mangel in der vom Verkäufer übergebenen Anleitung beruht. 

Im Unterschied zum derzeit geltenden kaufrechtlichen Mangelbegriff in § 434 BGB a.F. ist der subjektive Fehlerbegriff nun nicht mehr vorrangig, vielmehr stehen subjektive und objektive Fehler nun gleichwertig nebeneinander. Demnach können ab dem 01. Januar 2022 Fälle eintreten, in denen der Kaufgegenstand zwar der vereinbarten Beschaffenheit entspricht, jedoch trotzdem mangelhaft ist, weil er den objektiven Anforderungen des Produkts nicht gerecht wird.  

Kaufrechtlicher Mangelbegriff gem. § 475b BGB n.F.  

Des Weiteren wurde ein Mangelbegriff für den Verbrauchsgüterkauf eingeführt. Dieser ist in § 475b BGB n.F. verankert und gilt für Verbrauchsgüterkäufe, die eine Ware mit digitalen Elementen zum Kaufgegenstand haben. Dabei handelt es sich um Waren, die digitale Produkte enthalten oder derart mit digitalen Produkten verbunden sind, dass die Ware ohne den digitalen Part seine Funktion nicht erfüllen kann. Beispiele sind Smartphones, Tablets oder Smart Home Geräte.  

Mangelhaft sind diese Produkte gem. § 475b Abs. 2 BGB n.F., wenn sie bei Gefahrübergang nicht den subjektiven oder objektiven Anforderungen entsprechen oder wenn die Montage- oder Installationsanforderungen nicht erfüllt sind. Zunächst gilt der Mangelbegriff des § 434 BGB n.F. (s.o.) vollumfänglich. Außerdem ergänzt der § 475b BGB n.F. diese Voraussetzungen mit einer Aktualisierungspflicht des Verkäufers.  

Im Rahmen der subjektiven Anforderungen an das Produkt bestimmt § 475b Abs. 3 BGB n.F., dass die Ware nur frei von Sachmängeln ist, wenn der Verkäufer die im Vertrag vereinbarten Aktualisierungen im maßgeblichen Zeitraum bereitstellt. Unter Aktualisierungen fallen sodann Updates und Upgrades. Neu ist hier, dass der Mangelbegriff sich bezüglich der Aktualisierungen nicht auf den Zeitpunkt des Gefahrübergangs beschränkt, sondern der ganze Vertragszeitraum maßgeblich ist. 

Auch wenn im Vertrag selbst keine Aktualisierungen vereinbart wurden, müssen im Rahmen der objektiven Anforderungen aus § 475b Abs. 4 BGB n.F. vom Verkäufer dennoch diejenigen Aktualisierungen vorgenommen werden, die für den Erhalt der Vertragsmäßigkeit der Ware erforderlich sind. Erfasst sind von dieser Vorschrift vor allem funktionserhaltende Updates und Sicherheitsupdates. Im Gesetz ist kein genauer Zeitraum für die Aktualisierungspflichten nach § 475b Abs. 3 BGB n.F. genannt, er bestimmt sich also danach, wann und wie lange ein Durchschnittskäufer die Updates nach den Umständen des Einzelfalls erwarten kann. Des Weiteren muss der Verkäufer den Kunden über die Aktualisierungen informieren. Diese Informationspflicht unterliegt aber keiner bestimmten Form.  

Die objektiven Aktualisierungspflichten sind abdingbar. Dies kann beispielsweise in Allgemeinen Geschäftsbedingungen (AGB) geschehen. Zu beachten ist dabei aber, dass die strengen Voraussetzungen des § 476 Abs. 1 S. 2 BGB n.F. eingehalten werden müssen. 

In § 475b Abs. 6 BGB n.F. stehen die Neuerungen für Montage- und Installationsanforderungen. Für die Montageanforderungen gilt nichts anderes als bei § 434 BGB n.F. Die Installationsanforderungen sind ähnlich wie die Montageanforderungen dann erfüllt, wenn die Installation der Produkte sachgemäß durchgeführt worden ist oder die unsachgemäße Installation weder auf einer unsachgemäßen Installation durch den Unternehmer noch auf einer fehlerhaften Anleitung beruht, die durch den Unternehmer oder durch denjenigen, der die digitalen Elemente bereitgestellt hat, übergeben worden ist. 

Kaufrechtlicher Mangelbegriff gem. § 475c BGB n.F. 

§ 475c BGB n.F. BGB ergänzt den § 475b BGB n.F., wenn es um die dauerhafte Bereitstellung von digitalen Elementen in Verbrauchsgüterkäufen geht. Dauerhaft bedeutet gem. § 327e Abs. 1 S. 3 BGB n.F. die fortlaufende Bereitstellung über einen Zeitraum. Beispiele sind hier Verkehrsdaten in einem Navigationsgerät, Smartphone Apps oder eine Cloudanbindung bei einer Spielekonsole. 

Die Sache ist nur frei von Sachmängeln, wenn im Bereitstellungszeitraum die erforderlichen Aktualisierungen vorgenommen werden. Unabhängig von einer konkreten Vereinbarung über den Bereitstellungszeitraum müssen gem. § 475c Abs. 2 BGB n.F. die digitalen Elemente nach Ablieferung der Sache mindestens zwei Jahre in einem vertragsgemäßen Zustand gehalten werden. 

Verbraucherrechtlicher Mangelbegriff bei digitalen Produkten gem. § 327e BGB n.F.  

In § 327e BGB n.F. ist der Mangelbegriff für Verbraucherverträge mit digitalen Inhalten geregelt. Das Produkt ist demnach frei von Sachmängeln, wenn es den subjektiven, objektiven und Integrationsanforderungen entspricht.  

Bezüglich der subjektiven Anforderungen ist auf die Ausführungen zu § 434 Abs. 2 BGB n.F. zu verweisen. Darüber hinaus gehört dazu aber noch die Bereitstellung des vertraglich vereinbarten Zubehörs, der Anleitungen, eines Kundendienstes und der Aktualisierungen. Unter Aktualisierungen fallen Updates und Upgrades der Software (vgl. die Ausführungen zu § 475b Abs. 3 BGB n.F.). 

Um die objektiven Voraussetzungen des Produkts gem. § 327e Abs. 3 BGB n.F. zu erfüllen, muss es sich für die gewöhnliche Verwendung eignen oder die übliche Beschaffenheit aufweisen, also mittlerer Art und Güte sein. Zudem müssen (anders als in § 434 BGB n.F.), auch zwingend die Vorschriften der DS-GVO eingehalten werden, da die digitalen Produkte sonst nicht den berechtigten Erwartungen der Verbraucher entsprechen. Darüber hinaus muss das digitale Produkt zusätzlich gem. § 327e Abs. 3 S. 1 Nr. 3 BGB n.F. der Testversion entsprechen und gem. § 327e Abs. 3 S. 1 Nr. 4 BGB n.F. Zubehör und Anleitungen enthalten, sofern der Verbraucher dies erwarten kann. Des Weiteren sind auch die erforderlichen Aktualisierungen im Sinne des § 327f BGB n.F. vorzunehmen (§ 327e Abs. 3 S. 1 Nr. 5) und es ist jeweils die aktuellste Version des Produkts bereitzustellen (§ 327e Abs. 3 S. 1 Nr. 6 BG n.F.) 

Die Integration ist gem. § 327e Abs. 4 BGB n.F. gewahrt, wenn sie ähnlich wie die Montageanforderungen, sachgemäß durchgeführt wurde oder zwar unsachgemäß durchgeführt worden ist, dies jedoch weder auf einer unsachgemäßen Integration durch den Unternehmer noch auf einem Mangel in der vom Unternehmer bereitgestellten Anleitung beruht. Integration bedeutet dabei, dass das digitale Produkt durch Verbindung oder Einbindung mit den oder in die Komponenten der digitalen Umgebung des Verbrauchers eingebracht wird, damit das Produkt den Anforderungen der §§ 327a ff. BGB n.F. entspricht. Zur digitalen Umgebung gehören Hardware, Software und Netzverbindungen aller Art. 

Abgrenzungen 

Wie bereits erläutert, ergänzen sich die neuen Mangelbegriffe im BGB und sind je nachdem, was für ein Vertrag vorliegt, anwendbar.  § 434 BGB n.F. gilt für Kaufverträge, die keine Verbraucherverträge sind. §§ 475b, c BGB n.F. kommen ergänzend zur Anwendung, wenn ein Verbrauchsgüterkauf vorliegt, der eine Ware mit digitalen Elementen zum Gegenstand hat. Ein Beispiel hierfür wäre ein Vertrag über ein Smartphone oder ein Smart Home Gerät. Letztlich ist der   § 327e BGB n.F. maßgeblich, wenn es sich um einen Verbrauchervertrag handelt, bei dem ein digitales Produkt der Vertragsgegenstand ist. Beispiele hierfür sind SaaS- (Software as a Service) oder Cloudverträge zwischen einem Verbraucher und einem Unternehmer, da bei ihnen die Software als digitales Produkt im Fokus des Vertrages steht. 

Es ist also genau abzugrenzen, ob ein Verbrauchervertrag vorliegt und wenn es um Verträge im digitalen Bereich geht, welche Art von Produkten oder Dienstleistungen vertrieben werden, damit genau unter §§ 327 ff., 475b, c BGB n.F. subsumiert werden kann. Falls die Fallkonstellation weder unter §§ 327 ff. BGB n.F. noch unter § 475b BGB n.F. fällt, bspw. wenn es um einen Kaufgegenstand mit digitalen Elementen geht, bei dem die digitalen Elemente aber nicht bei Vertragsschluss bereitgestellt wurden oder das Produkt auch ohne digitale Elemente funktionieren kann, richtet sich die Mangelhaftigkeit der Sache nach § 434 BGB n.F. und die der digitalen Inhalte, also der Software, nach § 327e BGB n.F. 

Weitere Änderungen des Schuldrechts 

Neben den Mangelbegriffen wurde noch der § 439 Abs. 3 BGB geändert; in der neuen Fassung kann dem Käufer vom Verkäufer der Kostenersatz bei Entfernung der mangelhaften Sache bei vertragsgemäßem Einbau nur verweigert werden, wenn der Käufer positive Kenntnis von der Mangelhaftigkeit beim Einbau hatte. Vorher schadete ebenfalls fahrlässige Unkenntnis von der Mangelhaftigkeit. Zudem wird die Beweislastumkehr in       § 477 BGB n.F. von sechs Monaten auf ein Jahr verlängert. 

Fazit 

Die Einführung des neuen Schuldrechts wird vermutlich zu einer großen Umstellung führen, gerade weil es seit der großen Schuldrechtsmodernisierung im Jahr 2002 keine vergleichbar umfangreiche Änderung des Schuldrechts und vor allem auch keine Änderung des Mangelbegriffs gab. 

Durch die Einführung der verschiedenen Mangelbegriffe wird nun deutlich, dass das Verbraucherrecht immer weiter vom geltenden Recht zwischen zwei Unternehmern oder zwei Verbrauchern abweicht. Wie bereits dargestellt, finden die Ausführungen zu §§ 327 ff., 475b, c BGB n.F. keine Anwendung auf Verträge, an denen kein Verbraucher beteiligt ist bzw. zwei Verbraucher beteiligt sind.  

Neu ist vor allem die Einführung des Verbrauchervertrages über digitale Produkte und des Verbrauchsgüterkaufs über Waren mit digitalen Elementen und die dabei entstehenden Aktualisierungspflichten in Form von Updates und Upgrades. 

Als Folge der umfangreichen Stärkung der Verbraucherrechte durch die Umsetzung der Richtlinien ergibt sich nun eine verschärfte Haftung für Unternehmen, da sie fortan eine weitaus umfangreichere Sachmängelgewähr leisten müssen. Außerdem müssen bisher genutzte AGB ggf. geändert werden, damit sie die ab dem 01. Januar 2022 geltenden schuldrechtlichen Bestimmungen erfüllen. 

Wir unterstützen Sie gerne dabei, Ihre Verträge über digitale Produkte und Ihre AGB auf den neusten Stand zu bringen.

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir klären Sie über die aktuellen Entwicklungen zum IT-Sicherheitsgesetz auf.

Entwicklungsstand zum IT-Sicherheitsgesetz

Seit nun fast zwei Jahren wird an einer Erweiterung zum IT-Sicherheitsgesetz gearbeitet. Das IT-Sicherheitsgesetz ist erstmals im Juli 2015 in Kraft getreten (IT-SiG 1.0). Lange wurde über ein zweites Gesetz diskutiert, das sog. IT-SiG 2.0, dessen Fertigstellung ursprünglich bereits im Jahr 2019 erwartet wurde, jedoch bis heute nicht verabschiedet wurde. Stattdessen wurden drei weitere Referentenentwürfe eingereicht bis schließlich der dritte Entwurf am 16.12.2020 von der Bundesregierung beschlossen wurde. Dieser Beschluss blieb nicht ohne Kritik, da der Beschluss bereits innerhalb von zwei Wochen nach Vorlage des dritten Referentenentwurfs erfolgte. Kritiker sehen diesen Zeitraum als zu kurz an, um noch die restlichen Problemstellen des Entwurfs zu bereinigen, wie zum Beispiel die Höhe der Kosten oder die Verwendung von Netzwerkkomponenten chinesischer Netzwerkausrüster. Zudem beanstanden sie, dass die gesetzlich erforderliche Evaluierung nicht stattgefunden hat. Eine Verabschiedung wird nicht vor Frühjahr 2021 erwartet. Die erste Lesung des Gesetzes erfolgte am 28.01.2021 und wurde mit zwei Anträgen zur weiteren Beratung an den Ausschuss für Inneres und Heimat überwiesen.

Wozu dient das IT-Sicherheitsgesetz im Allgemeinen?

Der Fokus des Gesetzes ist die Verbesserung der Sicherheit und des Schutzes der IT-Systeme und Dienste. Insbesondere im Bereich der kritischen Infrastrukturen (KRITIS) sollen diese Verbesserungen erreicht werden. Aber auch die IT-Sicherheit der Bundesverwaltung, der Unternehmen sowie der Bürger wird von den Regelungen des IT-Sicherheitsgesetzes erfasst.

Um die Sicherheit informationstechnischer Systeme weiter zu erhöhen und ganzheitliche Ansätze zu integrieren wurde ein Entwurf für ein zweites Gesetz (IT-SiG 2.0) ausgearbeitet.

Was soll mit dem neuen Gesetz erreicht werden?

Mit dem neuen Gesetz soll die Informationssicherheit weiter verbessert werden. Der Fokus liegt vor allem auf der Ausweitung von Befugnissen des BSI. Das BSI soll nun verstärkt als Verbraucherschützer auftreten und dafür u.a. ein IT-Sicherheitskennzeichen einführen dürfen. Dadurch soll letztlich auch die IT-Sicherheit von Produkten sichtbar gemacht werden.

Das BSI erhält durch das neue Gesetz auch das Recht auf Abfrage- und Anordnungsbefugnis gegenüber Telekommunikationsdienstanbietern.

Im Rahmen der Gesetzesänderung sollen des Weiteren die bestehenden Meldepflichten für Betreiber von KRITIS auf weitere Teile der Wirtschaft erstreckt werden.

Darüber hinaus ist das BSI nun befugt Daten über einen längeren Zeitraum zu speichern. Im Entwurf ist ein Zeitraum von zwölf Monaten vorgesehen.

Des Weiteren soll das BSI vermehrt mit dem BKA oder dem Verfassungsschutz zusammenarbeiten.

Außerdem beinhaltet das neue Gesetz mehrere Änderungen oder Eingriffe in andere Gesetze, bspw. das TKG, TMG oder das EnWG, sowie erhebliche Änderungen des Bußgeldregimes.

Was haben Unternehmen zu beachten?

Sofern der Gesetzesentwurf verabschiedet wird, haben Unternehmer insbesondere folgende Änderungen zu beachten:

Zunächst sind die drastisch steigenden Geldbußen zu nennen. Im IT-SiG 1.0 lag der Strafrahmen bei 100.000,00 € pro Verstoß und nun werden Geldbußen bis zu 2.000.000,00 € veranschlagt. In vorherigen Entwürfen war noch eine Bußgeldverhängung in Höhe von 20.000.000,00 € oder eine Verknüpfung an die Jahresumsätze vorgesehen. Dahingehend wurde zumindest eine mildere Regelung getroffen, wenngleich die jetzige Bußgeldhöhe als empfindlich einzustufen ist.

Weiter wird das Security Incident & Event Management System (SIEM) verpflichtend, bisher galt es nur als Empfehlung. Bei einem SIEM handelt es sich um ein softwarebasiertes Konzept aus dem Bereich des Sicherheits-Managements, mit dem ein umfassender und zentralisierter Überblick über die Sicherheitslage einer IT-Infrastruktur ermöglicht wird.

Des Weiteren werden Unternehmen von besonderem öffentlichem Interesse dazu verpflichtet sich beim BSI zu registrieren und im Rahmen einer Selbsterklärung darzulegen, welche Schutzmaßnahmen zur IT-Sicherheit vorgesehen sind und durchgeführt werden. Unternehmen stehen dann im besonderen öffentlichen Interesse, wenn sie nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Welche Unternehmen dann konkret unter diese Regelung fallen, muss von der Rechtsverordnung noch abschließend definiert werden. Vor allem ist bislang nicht ersichtlich, ob diese Unternehmen immer noch unter Aufsicht des BSI stehen, wenn sie wirtschaftlich betrachtet nicht mehr zu den größten Unternehmen zählen.

Fazit

Die Erweiterung des Schutzes für kritische Infrastrukturen und die Abwehr von Gefahren für die Wirtschaft und Allgemeinheit ist durchaus zu begrüßen. Dennoch geht durch die Ausweitung der Befugnisse des BSI ein weitgehender Eingriff in die technischen Zugriffs- und Weisungsbefugnisse einzelner Unternehmen einher. Diese Befugnisse sollten nicht dem BSI zustehen. Ferner weist das neue Gesetz noch Lücken auf, die letztlich erst durch Rechtsverordnungen ausgefüllt werden müssen und so die Unternehmen vor einigen Unsicherheiten stellt. Insgesamt stellt das neue IT-SiG 2.0 die Unternehmen vor einen höheren bürokratischen Verwaltungsaufwand und unverhältnismäßigen Sanktionsmaßstab.

Wir werden Sie über die weiteren Entwicklungen informieren.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären die arbeitsrechtlichen Maßnahmen bei unterlassener Meldepflicht hinsichtlich Datenschutzvorfällen.

Fehlerkultur im Zusammenhang mit Datenpannen

Spannungsfeld zwischen Meldepflicht und arbeitsrechtlichen Sanktionen

Die Zahl bei den Landesaufsichtsbehörden für den Datenschutz gemeldeten Datenvorfällen ist seit Einführung der DS-GVO gestiegen. Allein in  NRW wurden im Jahr 2019 12.500 Fälle gemeldet. Davon waren 2.235 Meldungen sog. Datenpannen gem. Art. 33 DS-GVO. Die  Datenpannen werden häufig durch die eigenen Mitarbeiter verursacht. Dies geschieht unter anderem durch das Öffnen von Phishing-Emails, Datenweitergabe an Unbefugte, etwa in Form von fehladressierten E-Mails, oder das Unterlassen von Updates. Die Folgen für das Unternehmen können verheerend sein. Neben den datenschutzrechtlichen Sanktionen, insbesondere hoher Geldbußen, erwartet das Unternehmen auch einen Imageschaden. Die Meldung eines solchen Vorfalls dient daher als zentrale organisatorische Maßnahme im Unternehmen und sorgt für den Schutz der IT-Infrastruktur und somit auch des Datenschutzes. Dennoch kommen viele Arbeitnehmer ihrer Meldepflicht aus Furcht vor den arbeitsrechtlichen Konsequenzen nicht nach. 

Was sind die Voraussetzungen für die Meldepflicht? 

Die Meldepflicht des Arbeitgebers an die entsprechenden Aufsichtsbehörden bei Datenpannen ergibt sich aus Art. 33 DS-GVO. Die DS-GVO sieht jedoch kein standardisiertes Vorgehen für die Meldung durch den Arbeitnehmer vor.  Die Meldepflicht von Arbeitnehmern für IT-Sicherheits- und Datenschutzvorfälle ergibt sich zum einen aus dem Arbeitsverhältnis und zum anderen aus den vom Arbeitgeber eingeführten Security Policies ergibt.   

Voraussetzung für die Meldepflicht ist das Wissen des Mitarbeiters über IT- oder Datenschutzvorfälle. Zudem dient die Meldepflicht dazu, dass der Mitarbeiter seiner Schadensminderungspflicht gegenüber seinem Arbeitgeber nachkommt. 

Bei Verletzung der Meldepflicht sind die arbeitsrechtlichen Konsequenzen meist abhängig vom Schweregrad des Sicherheitsfehlers. Bei schweren Pflichtverletzungen ist eine ordentliche oder fristlose Kündigung möglich, wie es beim aktuellen Datenschutzvorfall des VfB Stuttgarts zu sehen ist Bei weniger schweren Pflichtverletzungen kommt vielleicht nur eine Abmahnung in Betracht. Letztlich entscheidet der Einzelfall. Da man aber nicht direkt die Schwere des Schadens abschätzen kann, könnte sich aus einem Bagatellschaden noch ein größerer Sicherheitsschaden entstehen und schließlich doch zu härteren arbeitsrechtlichen Konsequenzen führen. Die Beweislast trifft  in der Regel den Arbeitgeber. 

Die angedrohten Sanktionen und die darin enthaltene Selbstbelastung können dazu führen, dass die Mitarbeiter die Sicherheitsvorfälle nicht anzeigen und es kommt zu einem Unterlassen der Meldepflicht.  

Verzicht auf arbeitsrechtliche Sanktionen?  

Die arbeitsrechtlichen Grundsätze zum innerbetrieblichen Schadenausgleich besagen, dass der Arbeitnehmer nur haftet bei Vorsatz und grober Fahrlässigkeit, sowie bei mittlerer Fahrlässigkeit nur anteilig haftet. Bei Vorfällen, die auf fahrlässiges oder leicht fahrlässiges Verhalten des Arbeitnehmers basieren, könnte demnach auf eine arbeitsrechtliche Sanktion verzichtet werden.  

Auf diese Weise können die Mitarbeiter motiviert werden ihre Meldepflicht einzuhalten, selbst wenn ein Fehlverhalten ihrerseits vorliegt. Dem Arbeitgeber ist diese Überlegung zu empfehlen, da er auf die zeitnahe Meldung des Arbeitsnehmers angewiesen ist, um größere Schäden am Unternehmen zu vermeiden. Ein gänzlicher Verzicht ist in der Praxis nicht möglich, da sich die Arbeitnehmer sonst nicht mehr verpflichtet fühlen würden die arbeitsrechtlichen Regelungen einzuhalten. Ferner muss der Arbeitgeber in der Lage sein der eigenen gesetzlichen Meldepflicht nachzukommen, die im Fall von Art. 33 DS-GVO innerhalb von 72 Stunden nach Kenntniserlangung erfolgen muss. Die Frist wird auch dann ausgelöst, wenn ein Wissensvertreter Kenntnis über die Datenpanne erlangt hat.  

Zusätzliche Maßnahmen zur Einhaltung der Meldepflicht? 

Der Arbeitgeber sollte interne Prozesse festlegen, um Verletzungen des Schutzes personenbezogener Daten aufdecken und abstellen zu können. Dazu kann ein “incident response plan” eingeführt werden, der eine umgehende Weiterleitung an die Führungsebene ermöglicht. Diesbezüglich helfen interne Richtlinien weiter, welche u.a die Definition von Datenpannen umfasst und die Verantwortlichen sowie weitere Ansprechpartner nennt. 

Im Allgemeinen empfiehlt es sich, die Mitarbeiter für das Thema Meldepflicht und die damit einhergehenden Schäden besser zu sensibilisieren. Denn um den Mitarbeiter überhaupt in die Haftung miteinzubeziehen, muss dieser auch fähig sein IT-Sicherheits- und Datenschutzvorfälle zu erkennen. Sensibilisierungsmaßnahmen können in Form von IT-Security-Schulungen oder Awareness Trainings erfolgen.  

In Anlehnung an die Whistle-Blower-Fälle könnte man ein anonymisiertes und/oder pseudonymisiertes Meldesystem einrichten, welches eine „sichere“ Meldung von Vorfällen ermöglicht. Der Nachteil an einem Meldesystem ist jedoch meist die gänzliche Pflichtentbindung des Arbeitnehmers bei Verursachung eines Sicherheitsfehlers. 

LAG Kiel nimmt eine andere Betrachtung vor 

Das LAG Kiel hat in einem Urteil vom 06.08.2019 entschieden, dass die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers darstellt. Im betreffenden Fall hat der Arbeitgeber ein standardisiertes Meldeverfahren in Form einer Arbeitsanweisung festgelegt. Die inhaltlichen Vorgaben der Arbeitsanweisung stellten laut LAG Kiel ein Ordnungsverhalten dar, welches der zwingenden Mitbestimmung des Betriebsrates gem. § 87 Abs.1 Nr.1 BetrVG unterliegt. 

Dabei verkennt das Gericht allerdings die ständige Rechtsprechung des Bundesarbeitsgerichts, wonach positiv festgestellt werden muss, ob eine Maßnahme die betriebliche Ordnung betrifft. Eine derartige Feststellung ist der Entscheidung des LAG Kiel nicht zu entnehmen.  

Diese Entscheidung des LAG Kiel ist insbesondere auch in eiligen Datenschutzfällen fragwürdig. Denn liegt eine mitbestimmungswidrige Anweisung des Arbeitgebers vor, ist diese nicht verbindlich für den Arbeitnehmer. Der Arbeitnehmer ist somit nicht verpflichtet eine Datenpanne zu melden. Gerade im Hinblick auf die Meldefrist für den Arbeitgeber durch die DS-GVO erscheint diese Vorgehensweise nicht praktikabel. 

Abzuwarten bleibt, ob und wie das BAG sich zu dieser Betrachtung äußert. 

Fazit 

Unter Berücksichtigung dieser Erkenntnisse lohnt es sich also für den Arbeitgeber auf Sanktionen wie Abmahnung oder Kündigung in gewissen Fällen zu verzichten. Statt übermäßiger Sanktionierung sollte im Unternehmen eine umfassende Aufklärung über die Meldepflicht und die Konsequenzen bei Unterlassung erfolgen, damit die Arbeitnehmer bei Erkennen eines Datenschutzvorfalls schneller agieren. Ferner sollte eine Abstimmung mit den Sozialpartnern erfolgen, damit keine Komplikationen bei Einführung von Meldesystemen entstehen. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären, was Gmail und ein Telekommunikationsdienst ist und warum Gmail laut Urteil OVG keiner ist.

OVG NRW: Gmail ist kein Telekommunikationsdienst im Sinne des TKG

Einleitung

Zwischen der Bundesnetzagentur (BNetzA) und Google besteht bereits seit mehreren Jahren ein Rechtsstreit darüber, ob das Betreiben von Googles Webmail-Dienst „Gmail“ einen Telekommunikationsdienst im Sinne des Telekommunikationsgesetzes (TKG) darstellt und deswegen in den Anwendungsbereich des TKG fällt. Telekommunikationsdienstleister treffen diverse Pflichten aus dem TKG, die vor allem Regelungen zum Kundenschutz und Datenschutz betreffen. Beispielsweise unterliegen Telekommunikationsdienstleister nach § 98 TKG Informationspflichten bei Ortungsdiensten und gem. § 46 TKG einer Pflicht zur Sicherstellung einer ununterbrochenen Leistung auch bei einem Anbieterwechsel oder Umzug des Endnutzers. Zudem müssen Telekommunikationsdienste gem. § 6 Abs. 1 TKG bei der Bundesnetzagentur angemeldet werden.

Die BNetzA hat Google 2012 in einem Bescheid dazu verpflichtet, seiner Meldepflicht aus § 6 Abs. 1 TKG nachzukommen, da Gmail aus Sicht der Behörde ein öffentlich zugänglicher Telekommunikationsdienst im Sinne des TKG sei. Demgegenüber ist Google der Ansicht, dass es sich bei Gmail nicht um einen Telekommunikationsdienst handele und es deshalb auch nicht den Pflichten des TKG unterliege. Google hat gegen den Bescheid der BNetzA vor dem Verwaltungsgericht Köln Klage erhoben, die sodann als unbegründet abgewiesen wurde. Gegen dieses Urteil legte Google beim Oberverwaltungsgericht (OVG) NRW in Münster Berufung ein.

Was ist Gmail?

Gmail, früher bekannt als Google Mail, ist ein Webmail-Dienst. Um den Dienst von Google in Anspruch nehmen zu können, müssen Nutzer ein E-Mail-Konto erstellen und bekommen sodann eine E-Mail-Adresse zugewiesen. Anschließend können sie E-Mails über das Internet versenden und empfangen. Als internetbasierter E-Mail-Dienst stellt Gmail das Internet als Kommunikationsweg bereit, bietet aber selber keinen Internetzugang an.

Was ist ein Telekommunikationsdienst?

Damit eine Meldepflicht bei der BNetzA gem. § 6 Abs. 1 TKG besteht, müsste es sich bei Gmail um einen Telekommunikationsdienst handeln. Entscheidend für den Ausgang des Rechtsstreits ist somit die Frage, was genau unter einem Telekommunikationsdienst zu verstehen ist. Hierbei ist auf das deutsche Recht aus dem TKG und auf die europäische Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und –dienste (im Folgenden Rahmenrichtlinie) abzustellen. Das TKG ist die deutsche Umsetzung der Rahmenrichtlinie und muss demnach mit ihr im Einklang stehen.

In § 3 Nr. 24 TKG ist der Begriff des Telekommunikationsdienstes als in der Regel gegen Entgelt erbrachte[r] [Dienst], [der] ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze besteh[t], einschließlich Übertragungsdienste[n] in Rundfunknetzen legaldefiniert. Die Definition des TKG entspricht im Wesentlichen der aus Art. 2 lit. c der Rahmenrichtlinie zu elektronischen Kommunikationsdiensten.

Für die Klassifikation als Telekommunikationsdienst ist demnach ausschlaggebend, ob der jeweilige Dienst selbst Signale über Telekommunikationsnetze übermittelt. Inwieweit Gmail Signale ganz oder überwiegend überträgt, hat das OVG nun geprüft.

Entscheidung des OVG (Urt. v. 05.02.2020, Az. 13A 17/16)

Das OVG hat das Verfahren zunächst ausgesetzt und den Europäischen Gerichtshof (EuGH) angerufen. Die Münsteraner Richter haben um eine Auslegung des Begriffs der elektronischen Kommunikationsdienste aus Art. 2 lit. c der Rahmenrichtlinie gebeten, um im konkreten Fall zu klären, ob es sich bei Gmail um einen Telekommunikationsdienst im Sinne des TKG bzw. der Rahmenrichtlinie handelt. Dazu hat der EuGH am 13.06.2019 in einem Urteil (Az. C- 193/18) Stellung genommen. Zentrale Vorlagefrage des OVG an den EuGH war, ob es sich bei internetbasierten E-Mail-Diensten, die selbst keinen Internetzugang bereitstellen, um Telekommunikationsdienste handelt, die Signale über elektronische Kommunikationsnetze übermitteln.

Der EuGH ist der Meinung, dass Googles Webmail-Dienst Gmail nicht als Telekommunikationsdienst einzustufen ist. Dies wird damit begründet, dass es für eine ganze oder überwiegende Übertragung von Signalen über elektronische Kommunikationsnetze im Sinne der Rahmenrichtlinie nicht ausreicht, wenn ein Webmail-Dienst lediglich die jeweiligen E-Mail-Adressen den Mailserver-IP-Adressen zuordnet, um eine Übertragung zu ermöglichen oder die jeweiligen Nachrichten in Datenpakete zerlegt, um sie ins offene Internet einzuspeisen oder aus dem offenen Internet zu empfangen. Zudem würde der Umstand, dass Google eine Netzinfrastruktur in Deutschland betreibt, die der Meldepflicht des TKG unterliegt, dem nicht entgegenstehen. Von einem internetbasierten Dienst des Unternehmens könne nicht direkt auf alle anderen Dienste geschlossen werden, es bedürfe stets einer Einzelfallprüfung, ob der jeweilige Dienst ganz oder überwiegend Signale überträgt. Googles elektronischen Kommunikationsnetze würden primär von anderen Diensten von Google, beispielsweise deren Suchmaschine verwendet. Im vorliegenden Fall übertrage Gmail selbst nicht ganz oder überwiegend Signale, sondern verwende dazu mittelbar das Internet.

Das OVG hat in seiner Urteilsbegründung überwiegend auf die Ausführungen des EuGH verwiesen. Somit ist Gmail nicht als Telekommunikationsdienst einzuordnen und unterliegt auch nicht der Meldepflicht aus dem TKG. Das OVG hat der Klage stattgegeben, das Urteil des VG Köln geändert und den Bescheid der BNetzA aufgehoben. Auf die Frage nach der Entgeltlichkeit komme es aus Sicht des EuGH und des OVG im vorliegenden Fall nicht an, da die Einordnung als Telekommunikationsdienst schon an der fehlenden überwiegenden Signalübertragung scheitert.

Fazit

Um entscheiden zu können, ob ein Telekommunikationsdienst vorliegt, kommt es vor allem auf die Auslegung der Rahmenrichtlinie der Europäischen Union an, da das TKG ihre Umsetzung im deutschen Recht ist. Mithin müssen sie harmonieren und die deutsche sowie die europäische Auslegung des Begriffs des Telekommunikationsdienstes im Einklang stehen.

Es ist festzuhalten, dass Webmail-Dienste keine Telekommunikationsdienste im Sinne des TKG darstellen, weil sie den Kunden meist keinen Internetzugang bieten. Aus diesem Umstand folgt, dass durch die Webmail-Dienste nicht selbst überwiegend Signale übertragen werden. Webmail-Dienste unterliegen folglich nicht die Pflichten des TKG, vor allem nicht der Meldepflicht bei der BNetzA. Die Entscheidung des OVG bezieht sich nicht nur auf Webmail-Dienste, sondern könnte auch auf andere webbasierte Dienste, die keinen Internetzugang bieten, übertragen werden.

Diese rechtliche Einordnung könnte sich jedoch durch die bevorstehende ePrivacy-Verordnung der Europäischen Union wieder ändern, welche eine stärkere Regulierung von internetbasierten Diensten beabsichtigt

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Legal-Tech auf dem Prüfstand. Automatisierung von Rechtsberatung und deren Anbietern stehen auf dem Prüfstand. Jetzt gibt es ein neues Urteil.

BGH-Urteil vom 27.11.2019: Zulässigkeit von Legal-Tech-Dienstleistern

Einleitung

Am 27.11.2019 hat der Bundesgerichtshof (BGH) mit seinem Urteil Klarheit zum Thema Legal-Tech geschaffen. Das Urteil war mit Spannung erwartet worden, da es eine stark wachsende Branche betrifft. Unter Legal-Tech versteht man vor allem die Digitalisierung der Rechtsberatung. In jüngster Zeit wird der Begriff für die Automatisierung von Rechtsberatung verwendet, bei der hunderte ähnlich gelagerte Fälle zusammengefasst werden. Dies können Forderungen aus Flugverspätungen, Maßnahmen gegen Verwarngelder oder – wie im zugrundeliegenden Urteil – Ansprüche aus zu viel gezahlter Miete sein. Dabei treten potenziell Geschädigte ihre Forderungen aus einem Rechtsanspruch an Internetportale ab, die diese dann gebündelt dem Schuldner in Rechnung stellen. Die Internetportale zahlen zwar nur einen Teilbetrag der Forderung an den Geschädigten, dafür übernehmen sie auch das komplette Ausfallrisiko. Dies erklärt die Attraktivität dieses Geschäftsmodells, da der Forderungsinhaber in jedem Fall einen Betrag erhält, selbst bei geringen Forderungsbeträgen von unter 100€, die klassische Anwaltskanzleien zumeist gar nicht erst eintreiben würden.

Von diesen kam auch zuvor die meiste Kritik an Legal-Tech-Unternehmen, da die Legal-Tech-Unternehmen quasi anwaltliche Beratung anbieten, aber nicht den strengen Anforderungen des Rechtsdienstleistungsgesetzes (RDG) genügen müssen.

Der BGH hat dieses Geschäftsmodell nun im Rahmen eines Grundsatzurteils für zulässig erklärt. Für Verbraucher ist dieses Urteil erfreulich – sehen sie sich durch die höchstrichterliche Bestätigung durch den BGH letztlich in ihren Rechten gestärkt.

Zum Urteil (Az. VIII ZR 285/18) 

Konkret ging es in der Rechtssache VIII ZR 285/18 um den Fall eines Mieters, der zu viel gezahlte Mietbeträge zurückfordern wollte. Dazu beauftragte der Mieter das Internetportal wenigermiete.de (Lexfox GmbH; zuvor Mietright GmbH), indem er seine Forderungen an dieses abtrat. Dieses wandte sich an die vermietende Wohnungsgesellschaft, die den Forderungen nicht nachkam, so dass das Internetportal Klage auf Rückzahlung der zu viel gezahlten Miete sowie der Kosten für die Rechtsverfolgung erhob. Die Klage landete schließlich beim BGH, der dem Kläger Recht gab.

Entscheidendes Kriterium laut BGH ist, dass die Tätigkeit des Internetportals wenigermiete.de als Inkassodienstleistung zu bewerten ist, da sich die Tätigkeit auf das Einziehen von Forderungen beschränkt, wozu das Portal als Inkassodienstleister befähigt ist. Als Begründung verwies der BGH auf das Rechtsdienstleistungsgesetz, welches im Jahr 2008 dereguliert und liberalisiert worden war.

Damit folgt der BGH der Argumentation des Bundesverfassungsgerichts. Dieses hat im Jahr 2002 (Beschl. v. 20.2.2002, Az. 1 BvR 423/99 = NJW 2002, 1190) entschieden, dass mit der Rechtsberatung durch ein Inkassounternehmen grundsätzlich die umfassende und vollwertige substanzielle Beratung der Rechtsuchenden gemeint sei, wenn auch nur in einem bestimmten, im Gesetz genannten Sachbereich wie eben der außergerichtlichen Einziehung von Forderungen. Als Begründung hat das Bundesverfassungsgericht angeführt, dass Inkassounternehmen nicht ohne Erlaubnis tätig werden dürfen und über die erforderliche Sachkunde verfügen, um die gekauften Forderungen einzuziehen und die Berechtigung der Beitreibung selbständig zu prüfen. Erst bei Bedarf wird darüber hinaus ein Rechtsanwalt hinzugezogen, was meistens zur Makulatur gerät, da Legal-Tech-Dienstleister vor allem Rechtsanwälte beschäftigen.

Aufgrund der Klassifizierung als Inkassounternehmen, ist auch die Vereinbarung eines Erfolgshonorars – im Gegensatz zur klassischen Anwaltsmandatierung – gestattet, da Inkassounternehmen eben nicht unter § 4 Abs. 1 des Einführungsgesetzes zum Rechtsdienstleistungsgesetz (RDGEG) fallen, sondern registrierte Personen gemäß § 10 Abs. 1 Satz 1 Nr. 1 RDG sind.

Fazit

Die Entscheidung des BGH ist im Sinne des Verbraucherschutzes begrüßenswert. Der Zunahme von Kleinstforderungen aus Flugentschädigungen oder Mietrückzahlungen steht zum einen eine mangelnde Bereitschaft der klassischen Anwaltschaft zur Mandatsübernahme gegenüber und zum anderen ein geringes Interesse der Geschädigten an der Mandatierung und den daraus resultierenden Kosten und dem Aufwand. Damit füllen Legal-Tech-Unternehmen vor allem eine immer größer werdende Marktlücke aus, in der eine umfassende, einzelfallbezogene Mandatsbetreuung eben nicht notwendig ist, sondern gewinnorientierte Großunternehmen im großen Stil versuchen, dem Bürger seine zustehenden Ansprüche aus Forderungen vorzuenthalten.

Es bleibt abzuwarten, ob der Gesetzgeber die Rechtslage nach dem Urteil des BGH dahingehend abändern wird, dass Anwälte mit Legal-Tech-Unternehmen gleichziehen können, um ebenfalls Erfolgshonorare vereinbaren zu können. Es ist nicht ersichtlich, warum Anwaltsgesellschaften, um derartige Dienstleistungen erbringen zu können, diese separat ausgliedern müssen, statt ein umfassendes Rechtsdienstleistungsangebot anbieten zu können.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Die Verschlüsselung von E-Mails ist mit Blick auf die DS-GVO essenziell. Wir beleuchten nun die verschiedenen Verschlüsselungsmethoden.

Verschlüsselung von E-Mails

Einführung

Spätestens seit Anwendungsbeginn der DS-GVO am 25. Mai 2018 sollten Unternehmen auch im Zusammenhang mit der E-Mail-Kommunikation umfangreiche technische Sicherheitsmaßnahmen zum Schutze der Rechte und Freiheiten der von Datenverarbeitungen betroffenen Personen gewährleisten. Doch auch in Ansehung zu schützender Geschäftsgeheimnisse sollte zwingend angedacht werden, sich mit dem Thema der E-Mail Verschlüsselung auseinanderzusetzen. Schließlich kann der unverschlüsselte E-Mail Versand mit dem einer Postkarte verglichen werden. Nachfolgend wollen wir Ihnen in aller Kürze aus der Perspektive eines Rechtsanwalts darstellen, welche Möglichkeiten hierzu bestehen. 

Kategorien von Verschlüsselungsmethoden

Es existieren zwei grundlegende Verschlüsselungsmechanismen: Punkt-zu-Punkt-Verschlüsselung/Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung.

Vorauszuschicken ist, dass eine E-Mail nicht nur aus Daten in Form des versendeten Inhalts (Body) besteht, sondern auch umfangreiche Metadaten wie Absender und Empfänger, das Datum und den Betreff (Header) enthält.

Eine Punkt-zu-Punkt-Verschlüsselung verschlüsselt nur die einzelnen Abschnitte im Versandkanal, das heißt, von wem, wann und von wo die E-Mail versandt wurde. Das sind die Metadaten. Eine Verschlüsselung des E-Mail-Inhalts kann sehr aufwändig mithilfe einer Ende-zu-Ende-Verschlüsselung vorgenommen werden, wobei jedoch die Metadaten nicht verschlüsselt werden und weiter einsehbar bleiben. 

Punkt-zu-Punkt-Verschlüsselung/Transportverschlüsselung

Bei der Punkt-zu-Punkt-Verschlüsselung bei E-Mails lautet der aktuelle Standard TLS – entweder mit oder ohne STARTTLS. TLS ist der Nachfolger von SSL. Eine Verschlüsselung erfolgt hier jedoch nur auf Transportebene, das heißt, dass nur die Kommunikation zwischen zwei E-Mail-Servern verschlüsselt erfolgt. Die interne Weitergabe der E-Mail auf dem Server des Host-Providers der E-Mail an den Adressaten verläuft unverschlüsselt. STARTTLS dient nur der Einleitung einer mit TLS verschlüsselten Kommunikation. Zuerst beginnt die Kommunikation unverschlüsselt, indem der E-Mail-Client über STARTTLS die angebotenen Möglichkeiten des E-Mail-Servers anfragt. Erst dann erfolgt ein Aufbau einer verschlüsselten Verbindung.

Da die Kommunikation zwischen E-Mail-Client und E-Mail-Server unverschlüsselt abläuft, ist die Authentizität der E-Mail nicht gewährleistet. Dies kann durch Signieren korrigiert werden. Das Signieren muss im Client oder Browser aktiviert werden. Mithilfe eines Zertifikats wird dann festgestellt, ob die E-Mail tatsächlich vom angegebenen Absender stammt und auf dem Weg zum Empfänger nicht verändert wurde.

Für die Verschlüsselung auf Transportebene lässt sich auf die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeiteten Richtlinie „BSI TR-03108: Secure E-Mail Transport“ zurückgreifen. Diensteanbieter können auf Grundlage dieser Richtlinie durch das BSI zertifiziert werden. 

Ein Problem bei STARTTLS ist, dass das Mailprogramm den unverschlüsselten Port aussucht und erst danach die Verschlüsselung benutzt. Dabei muss sich das Mailprogramm mit dem Server abstimmen. Ist das Mailprogramm so konfiguriert, dass es eine Verschlüsselung zwingend voraussetzt, können sich Server und das Mailprogramm nicht einig werden und die E-Mail wird unverschlüsselt übertragen.

Ende-zu-Ende-Verschlüsselung

Um auf Nummer sicher zu gehen, bedarf es einer Ende-zu-Ende-Verschlüsselung. Dabei haben sich zwei Verfahren etabliert: S/MIME und OpenPGP. Außerdem kann eine Ende-zu-Ende-Verschlüsselung in Form einer symmetrischen oder asymmetrischen Verschlüsselung erfolgen. Bei der symmetrischen Verschlüsselung besitzen Versender und Empfänger einen gemeinsamen Schlüssel (Single-Key-Verfahren). Dabei wird eine Information mit einem Kennwort verschlüsselt. Diese Information wird zusammen mit dem Schlüssel übertragen, z.B. PDF-Datei, ZIP-Archiv. Dieses Verfahren lässt sich jedoch mit hohem Rechenaufwand (Brute-Force-Attacke) aushebeln. Außerdem kann der Empfänger nicht überprüfen, von wem das Dokument stammt.

Von der Single-Key-Methode hebt sich Ende-zu-Ende-Verschlüsselung ab. Hierbei handelt es sich um eine asymmetrische Verschlüsselung (Public-Key-Verfahren), da Versender und Empfänger über jeweils einen individuellen Schlüssel verfügen. Das darauf basierende Verfahren heißt RSA. Im Falle der asymmetrischen Verschlüsselung müssen sowohl Sender als auch Empfänger gegenseitig ihre Schlüssel austauschen, was zugleich das größte Problem in der Praxis offenbart: Sämtliche Kommunikationspartner müssen vor Aufnahme der Kommunikation ihre öffentlichen PGP-Schlüssel austauschen. Mithilfe eines solchen Schlüssels lässt sich dann die Nachricht des jeweils anderen entschlüsseln und lesen. Das Dokument muss somit mit dem eigenen (private key) Schlüssel 1 verschlüsselt werden, um mit dem dazu korrespondierenden Schlüssel 2 (public key) – der zuvor dem Empfänger übermittelt werden muss – entschlüsselt werden zu können.

Cloud Mail

Neben den oben genannten Optionen existiert mit der Cloud-Mail ein weiteres Verfahren mit Ende-zu-Ende-Verschlüsselung. Dabei wird eine E-Mail nicht direkt an den Adressaten versendet, sondern in eine Cloud hochgeladen, zu der man sich mittels eines zuvor telefonisch übermittelten Passworts anmelden muss. Technisch bedingt können die Teilnehmer die Nachricht nur in diesem Portal lesen.

DS-GVO Vorgaben der Landesbeauftragten für Datenschutz NRW

In NRW empfiehlt der Landesbeauftragte für Datenschutz, die Einhaltung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen bezüglich des E-Mail-Versandes anhand mehrerer Punkte:

  • Es soll mindestens eine Punkt-zu-Punkt-Verschlüsselung verwendet werden.
  • Einhalten der Richtlinie BSI TR-03108.
  • Bei besonders sensiblen Daten muss eine Ende-zu-Ende-Verschlüsselung verwendet werden.
  • Keine personenbezogenen Daten innerhalb der Betreffzeile.

Eine länderübergreifende Empfehlung der Datenschutzkonferenz (DSK) steht noch aus.

Verschlüsselung im Unternehmen und Umsetzung in der Praxis

Wollen Sie wichtige Dokumente und Nachrichten schützen, empfiehlt sich eine Ende-zu-Ende-Verschlüsselung, damit keine unbefugten Dritten Ihre Dokumente lesen können. Besonders relevant ist diese Verschlüsselungsmethode, wenn sie wichtige Geschäftsgeheimnisse schützen möchten. Das Einrichten ist allerdings mit etwas Aufwand verbunden. 

Dabei empfiehlt sich beispielsweise die Installation des Programms Gpg4win. Anschließend muss ein neuer Schlüssel (Key) und ein dazu korrespondierendes Alias erstellt werden. Um Anonymität zu gewährleisten, sollten bei der Angabe der E-Mail-Adresse als auch des Alias neue Fantasie-Namen genutzt werden. Eine funktionsfähige E-Mail-Adresse wird nicht benötigt. Um nachher mit anderen Personen zu kommunizieren, muss der eigene Schlüssel weitergegeben werden und der öffentliche Schlüssel des Absenders einer verschlüsselten E-Mail importiert werden. Eine nutzerfreundliche Anleitung zur Verteilung öffentlicher Schlüssel hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Das Projekt heißt „EasyGPG“. Grundlage ist ein Web Key Directory (WKD), was die sonst bei PGP üblichen öffentlichen Key Server ersetzt. Das Web Key Directory muss vom E-Mail-Provider angeboten werden. Dabei durchsucht der E-Mail-Client das Web Key Directory automatisch nach dem zu einer E-Mail zugehörigen Schlüssel und stellt diesen anschließend per HTTPS bereit.

WKD ist in GnuPG seit Version 2.1.12 implementiert. Unter den E-Mail-Clients unterstützen Thunderbird mit der Erweiterung Enigmail 2.0 und Outlook mit GpgOL seit Version 2.2.0 das Web Key Directory.

Wenn Ihnen potentielle Einblicke Dritter egal sind, Sie jedoch nicht möchten, dass man mitverfolgen kann mit wem Sie kommunizieren, greifen Sie auf eine Punkt-zu-Punkt-Verschlüsselung zurück. Diese lässt sich einfach aktivieren; auf vielen Rechnern ist sie schon standardmäßig aktiviert. Verschlüsselte E-Mails erkennen Sie in Outlook an dem Schloss-Zeichen.

Fazit

Die Einrichtung einer Ende-zu-Ende-Verschlüsselung wäre das Optimum, um sicher Inhalte zu verschicken. In der Praxis steckt die Umsetzung bei vielen Nutzern aufgrund von Überforderung oder mangelnder Sensibilität, besonders aber auch aufgrund der jahrzehntelangen laxen Einstellung und fehlenden Standards seitens des Monopolisten bei PC-Betriebssystem im Umgang mit persönlichen Daten, noch in den Kinderschuhen.

Solange sich eine Ende-zu-Ende-Verschlüsselung noch nicht als Standard etabliert hat, empfiehlt sich für die Kommunikation vertraulicher Daten diese als Anhang einer E-Mail in eine externe Datei auszulagern (Z.B. PDF) und separat mit einem Kennwort zu verschlüsseln. Alternativ kann man auch personenbezogene Daten verschlüsselt auf sichere Cloudspeicher hochladen.

Die Datenschutzkonferenz (DSK) erarbeitet derzeit Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation. Daher stehen die obigen Ausführungen unter dem Vorbehalt späterer Anpassungen an die Empfehlungen.

Gerne können Sie zur vertraulichen Kommunikation unseren PGP-Schlüssel erfragen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Alles rund um die neue Geoblocking Verordnung: der Anwendungsbereich, Inhalt und die einhergehenden Sanktionen sowie Auswirkungen für die Anbieter.

Die neue Geoblocking Verordnung

Einführung

Die mit dem Internet und damit auch mit dem e-Commerce assoziierte Grenzenlosigkeit stellte sich in der vergangenen Zeit teilweise nicht als Realität, sondern mehr als Schein dar. Das sog. Geoblocking sorgte für unterschiedliche Angebote an Kunden aus verschiedenen europäischen Ländern und somit für Diskriminierungen und unterschiedliche Behandlungen. Dem will die Europäische Union ein Ende setzen und führte nun mit verbindlicher Wirkung zum 03. Dezember 2018 die Verordnung über Maßnahmen gegen ungerechtfertigtes Geoblocking und andere Formen der Diskriminierung aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung des Kunden (VO 2018/302) ein. Kurz wird die unmittelbar und europaweit geltende verbindliche Verordnung auch „Geoblocking-Verordnung“ genannt.

Sie legt Händlern diverse Pflichten zum Zweck der Gleichbehandlung von Kunden auf und soll im Ergebnis zu einer Antidiskriminierung führen. Die Verordnung hat zum Ziel, den Binnenmarkt zugunsten des Kunden zu stärken, indem sie Geoblocking und andere Formen der Diskriminierung aufgrund von Herkunft, Staatsangehörigkeit oder Aufenthaltsort verhindern soll.

Regelungsbereich der Verordnung

Geoblocking ist die unterschiedliche Behandlung von Kunden aufgrund der Herkunft, der Staatsangehörigkeit oder des Niederlassungsortes. Am häufigsten findet das Geoblocking im e-Commerce statt. Konkrete Ausprägung der Diskriminierung ist beispielweise eine automatische Weiterleitung des Kunden durch den Händler auf die Länderversion des Webshops, in dessen Staat sich der Kunde aufhält oder deren Staatsangehörigkeit der Kunde angehört, anstelle des Zugangs zu der Version der Webseite des EU-Staates, die der Kunde besuchen wollte. Anhand der IP-Adresse des Kunden kann das entsprechende Land vom Händler erkannt und der Kunde somit auf eine andere Version der Webseite weitergeleitet werden. Unter eine Diskriminierung mittels Geoblockings ist aber auch das Angebot der gleichen Ware in unterschiedlichen EU-Staaten zu unterschiedlich hohen Preisen zu verstehen. Dabei beschränkt sich das Geoblocking nicht nur auf den e-Commerce, sondern auch auf den „offline-Bereich“.

Diese Schranken des Binnenmarktes mit Grenzen der Warenverkehrsfreiheit durch eine uneinheitliche Behandlung der Kunden hieß die EU nicht gut und nahm sich mit der Geoblocking-VO den Kampf und die Untersagung dessen zum Anlass.

Anwendungsbereich der Verordnung

Die Geoblocking-VO regelt das Verhältnis zwischen Anbietern und Kunden, jedoch nur bei Grenzüberschreitungen innerhalb des europäischen Binnenmarktes, was sich aus einem Umkehrschluss aus Art. 1 Abs. 2 der Geoblocking-VO ergibt. „Anbieter“ im Sinne der VO ist nach Art. 2 Nr. 18 der Geoblocking-VO jede natürliche oder juristische Person, die für die Zwecke der gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit des Anbieters selbst oder durch eine andere im Namen oder im Auftrag des Anbieters handelnde Person tätig wird. Damit gilt die Verordnung nicht bei Abschluss eines Vertrages zwischen zwei Privatpersonen. „Kunde“ nach Art. 2 Nr. 13 der VO kann sowohl ein Verbraucher, sofern er die Staatsangehörigkeit eines Mitgliedstaates oder Wohnsitz in einem Mitgliedstaat hat, als auch ein Unternehmer, sofern er in einem Mitgliedstaat niedergelassen ist, sein, der ausschließlich zur Endnutzung Dienstleistungen in Anspruch nimmt oder Waren erwirbt oder dies anstrebt. Die Verordnung gilt sowohl im B2C- als auch im B2B-Verhältnis. Veräußert ein Unternehmenskunde die Ware jedoch beispielsweise weiter, vermietet sie, verarbeitet sie oder ist er aus einem anderen Grund nicht der Endnutzer der Ware, so ist er kein Kunde im Sinne der Geoblocking-VO. Ferner ist noch erwähnenswert, dass der Sitz des Unternehmens des Anbieters nicht zwangsläufig in der europäischen Union sein muss (vgl. Erwägungsgrund 17 der VO).

Die Geoblocking-VO findet jedoch keine Anwendung auf die in Art. 2 Abs. 2 der RL 2006/123/EG genannten Tätigkeiten wie beispielsweise Finanzdienstleistungen, Gesundheitsdienstleistungen, Telekommunikationsdienstleistungen, Verkehrsdienstleistungen und autovisuelle Dienste.

Inhalt der Verordnung

Die Verordnung bringt drei wesentliche Änderungen mit sich. Sie verbietet zum einen die Beschränkung des Zugangs zu einer Webseite, Plattform oder App, zum anderen die Diskriminierung durch allgemeine Geschäftsbedingungen beim Zugang zu Waren oder Dienstleistungen und auch die Diskriminierung bei Zahlungs- und Liefervorgängen.

Zugang zu Online-Benutzeroberflächen

Art. 3 Abs. 1 der Geoblocking-VO untersagt das Geoblocking, also die Sperrung oder Beschränkung des Zugangs von Kunden zu einer Online-Benutzeroberfläche des Anbieters aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes des Kunden.

Die Verordnung definiert eine „Online-Benutzeroberfläche“ als eine von einem Anbieter oder in dessen Namen betriebenen Software oder Anwendung zum Zwecke der Zugangsgewährung für Kunden zu Waren und Dienstleistungen des Anbieters, um darüber ein Geschäft zu tätigen. Nicht als Online-Benutzeroberfläche und damit nicht von dem Verbot erfasst sind rein informative oder redaktionelle Webseiten oder welche, die Verkaufsprodukte zwar präsentieren, jedoch keine Verkaufsmöglichkeit für den Kunden darstellen. Gemischt genutzte Webseiten oder Anwendungen wie Apps reichen nach der Definition nach Art. 2 Abs. 16 der Geoblocking-VO aus und fallen demnach nicht aus dem Anwendungsbereich.

Zudem untersagt die Verordnung das sog. „Autoforwarding“, also eine Weiterleitung des Kunden zu einer länderspezifischen Webseite, obwohl der Kunde eine andere Webseite besuchen wollte. Ein Beispiel dafür ist, dass ein sich in Deutschland aufhaltender Kunde auf die französische Version eines Onlineshops klickt, er jedoch automatisch auf die deutsche Webseite umgeleitet wird. Mittels der IP-Adresse des Kunden kann die Länderkennung ausfindig gemacht werden und der Kunde wird auf die Webseitenversion seines Landes weitergeleitet. Eine Weiterleitung darf nun aber nur aufgrund einer ausdrücklichen Einwilligung des Kunden erfolgen (sog. Opt-In), Art. 3 Abs. 2 a.E. der Geoblocking-VO, dennoch muss die ursprünglich besuchte Webseite für den Kunden leicht zugänglich bleiben, da der Kunde zum einen Recht auf freien Zugang zu den Webseiten hat, zum anderen ein Wahlrecht und sich somit aussuchen kann, wo er zu welchen Bedingungen einkauft.

Ist die Sperrung, Beschränkung oder Weiterleitung jedoch auf die Gewährleistung der Erfüllung rechtlicher Anforderungen des Anbieters zurückzuführen und dafür auch erforderlich, treffen diesen keine der beiden zuvor genannten Verbote, Art. 3 Abs. 3 der Geoblocking-VO. Solche rechtlichen Pflichten sind beispielsweise Bestimmungen des Jugendschutzrechts oder des Lebensmittelrechts. Dass die Weiterleitung, Sperrung oder Beschränkung aus diesem Grund erfolgt, hat der Anbieter dem Kunden in der Sprache der anfänglich besuchten Webseite anzugeben und zu begründen.

Verwendung von AGB bei Waren- und Dienstleistungsangeboten

Art. 4 Abs. 1 der Geoblocking-VO normiert, dass ein Anbieter für den Zugang zu Waren oder Dienstleistungen für seine Kunden keine unterschiedlichen allgemeinen Geschäftsbedingungen aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes des Kunden anwenden darf. Dieses Verbot betrifft ausschließlich die in der Norm aufgelisteten Fälle. Dazu gehört zum einen der Verkauf von materiellen Wirtschaftsgütern, so dass dem Kunden die gleichen AGB eingeräumt werden müssen, wie den Kunden in einem Mitgliedstaat, in den die Waren geliefert oder abgeholt werden können. Zum anderen erfasst die nächste Fallgruppe die Beziehung von elektronisch erbrachten Dienstleistungen, also bei denen eine materielle Lieferung nicht erforderlich ist. Nach Erwägungsgrund 24 der Verordnung fallen darunter Cloud-Dienste, Date-Warehousing, Webhosting die Bereitstellung von Firewalls und die Nutzung von Suchmaschinen und Internetverzeichnissen. Die letzte Fallgruppe stellen sonstige Dienstleistungen dar, die der Kunde an einem physischen Standort im Mitgliedstaat, in dem der Anbieter tätig ist, erhält, womit auch hier keine grenzüberschreitende Lieferung erfolgt.

Diese Regelung ist jedoch etwas missverständlich formuliert: man muss klarstellen, dass es dem Anbieter nicht verboten ist, verschiedene AGB für verschiedene Mitgliedstaaten zu verwenden, was sich aus Art. 4 Abs. 2 der Geoblocking-VO ergibt. Das Verbot erfasst lediglich eine diskriminierende Differenzierung aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes, wenn der Kunde genau bestimmte Angebote und AGB für sich nutzen möchte. Es darf dem Kunden aber nicht verwehrt bleiben, einen Vertrag mit dem Anbieter auf der Webseite eines anderen Landes zu schließen und sich auf die konkret verwendeten AGB in dem anderen Mitgliedstaat beziehen zu können. Damit kommt ein Vertrag zwischen den Beteiligten genau zu den Konditionen des Mitgliedstaats zustande. Dennoch hat der Kunde kein Recht auf Lieferung in seinen Heimatstaat. Er darf nicht schlechter, muss aber auch nicht besser gestellt werden als inländische Kunden. Bezieht sich beispielsweise ein Kunde aus Mitgliedstaat A auf die AGB in Mitgliedstaat B, in denen lediglich eine Lieferung in den Staat B vorgesehen ist, ist der Anbieter auch nur zu einer Lieferung in B verpflichtet. Zwar schließt er den Vertrag mit einem Kunden aus dem Mitgliedstaat A ab, und akzeptiert damit eine Rechnungsanschrift aus dem Staat A, dennoch muss der Kunde sich selbst um die Abholung der in den Staat B gelieferten Ware kümmern.

Durchführung des Zahlungsvorgangs in Bezug auf vom Anbieter angebotene Zahlungsmethoden

Damit der Handel auch in Bezug auf Zahlungsmethoden vereinheitlicht wird, untersagt Art. 5 der Geoblocking-VO verschiedene Konstellationen der Diskriminierung von Kunden in Bezug auf angebotene Zahlungsmittel. Konkret verbietet die Verordnung eine Differenzierung, die auf die Staatsangehörigkeit, den Wohnsitz, den Niederlassungsortes des Kunden, den Standort des Zahlungskontos, des Niederlassungsortes des Zahlungsdienstleisters oder des Ausstellungsortes des Zahlungsinstruments zurückzuführen ist. Wie auch bei Art. 4 der Geoblocking-VO meint der europäische Gesetzgeber damit kein Verbot des unterschiedlichen Angebots von Zahlungsmethoden an Kunden in unterschiedlichen Mitgliedstaaten, sondern lediglich ein Verbot der Verweigerung, wenn sich ein Kunde auf die Zahlungsmittel eines anderen Mitgliedstaates berufen möchte. Das bedeutet nicht, dass ein Anbieter auch alle Zahlungsmethoden anbieten muss. Bietet er jedoch mehrere Modalitäten an, so hat er sicherzustellen, dass alle Kunden die angebotenen Zahlungsmittel nutzen können.

Diese Regelung bezieht sich nach der abschließenden Aufzählung auf Zahlungsvorgänge durch Überweisung, Lastschrift oder Kartenzahlung oder wenn die Authentifizierungsanforderungen der PSD 2-Richtlinie erfüllt sind und ein vom Anbieter angebotener Zahlungsvorgang erfolgt.

Damit nicht ausschließlich der Kunde durch die Verordnung privilegiert wird, stellt Art. 5 Abs. 2 der Geoblocking-VO ein Zurückbehaltungsrecht des Anbieters klar, bis der Zahlungsvorgang durch den Kunden ordnungsgemäß eingeleitet worden ist.

Rechtliche Bedeutung für den Handel und die Wirtschaft

Die Bedeutung dieser Verordnung für die Praxis verdeutlichen bereits folgende Zahlen: 2017 tätigten rund 68 % der Internetnutzer in der EU Käufe über das Internet (Statistik des Statischen Amtes der Europäischen Union), allerdings konnten nur rund 37 % aller Webseiten in der EU die Käufe auch an Kunden aus dem EU-Ausland anbieten. Nach Ansicht der EU-Kommission hemmt Geoblocking die Verwirklichung des digitalen Binnenmarkts und verringert das Potential des grenzüberschreitenden Handels. Aus diesem Grund möchte die EU nun diesen Markt mit besonderem Hinblick auf eine kundenfreundliche Ausrichtung stärken und verbessern. Der Anwendungsbereich der Verordnung ist jedoch stark eingeschränkt, so dass das Regelwerk das Geoblocking nicht vollständig beseitigt. In der Begründung der Geoblocking-VO verdeutlicht der europäische Gesetzgeber ausdrücklich, dass die Verordnung keine Preisregulation darstellt. Es bleibt Anbietern weiterhin frei, einzelne Zielgruppen in den Fokus zu nehmen, solange die unterschiedliche Behandlung von Kunden sich nicht auf Gründe der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes zurückführen lässt. Somit sind Sonderaktionen oder Rabatte in einzelnen Ländern zulässig, jedoch muss jeder europäische Kunde dieses Angebot auch annehmen können.

Sanktionen

Nach Art. 7 Abs. 1 der Geoblocking-VO bleibt die Durchsetzung der Verordnung den Mitgliedstaaten überlassen. In Deutschland soll die Bundesnetzagentur die dafür zuständige Kontrollbehörde sein. Zwar gilt die Geoblocking-VO als Rechtsverordnung unmittelbar in allen Mitgliedsstaaten der europäischen Union, dennoch soll nach aktuellen Erkenntnissen das Telekommunikationsgesetz an die Geoblocking-VO angepasst und um die bei Verstößen gegen die Geoblocking-VO geltenden Sanktionen ergänzt werden. Diese Regelungen sollen wirksam, verhältnismäßig und abschreckend sein, um die Umsetzung der Verordnung zu gewährleisten. Derzeit plant man mit Bußgeldern von bis zu 300.000 Euro. Darüber hinaus können weitere Sanktionen durch die Bundesnetzagentur wie beispielsweise eine Anordnungsbefugnis zur Sicherstellung eines ortsdatenunabhängigen Zugangs zu den angebotenen Waren und Dienstleistungen bislang nicht ausgeschlossen werden.

Nach Art. 10 Abs. 3 der Geoblocking-VO wird die Verordnung in den Anhang der Richtlinie 2009/22/EG, der Unterlassungsklagerichtlinie, eingefügt. Daraus ergibt sich, dass qualifizierte Einrichtungen gegen herkunftsbezogen diskriminierende Anbieter mittels Unterlassungsklagen vorgehen können.

Praktische Auswirkungen für den Anbieter

Die Geoblocking-VO verbietet Anbietern in erster Linie eine Menge. Die Verbote haben jedoch auch zur Konsequenz, dass der Anbieter tatsächlich tätig werden muss. Hinsichtlich des nun verbindlichen Verbotes der Weiterleitung, Sperrung und Beschränkung, hat der Anbieter sicherzustellen, dass er gegen die Regelungen aus der Geoblocking-VO nicht verstößt. Aus diesem Grund sollten Anbieter nun ihre Webshops nach möglichen Verstößen durchsuchen im Hinblick auf bestehende Zahlungsmodalitäten, Verkaufsbedingungen und Zugangsbeschränkungen. Sollte ein Verstoß festgestellt werden, so liegt es im Interesse des Anbieters, diesen schnellstens zu beseitigen, sodass alle europäischen Kunden die Webseiten aufrufen und nutzen können. Dazu gehören im Einzelnen:

1. Es darf keine automatische Weiterleitung des Kunden auf die nationale Länderseite geben. Eine Umleitung ist nur rechtmäßig, wenn der Kunde ausdrücklich darin eingewilligt hat. Dies kann beispielsweise mithilfe der Opt-In-Lösung erfolgen, indem der Kunde vor einer Weiterleitung dieser in einem Dialogfeld zustimmen kann. Liegt eine solche Einwilligung vor und ist die Weiterleitung damit rechtmäßig, so muss die ursprünglich aufgerufene Webseite dennoch für den Kunden leicht zugänglich bleiben.

2. Eine Beschränkung oder Sperrung des Zugangs auf eine Online-Benutzeroberfläche für Kunden aus dem EU-Ausland aufgrund der Staatsangehörigkeit, des Wohnsitzes oder Niederlassungsortes ist verboten und darf damit nicht stattfinden. Also müssen Webseiten für europäische Kunden erreichbar sein, so dass es Kunden möglich ist, auf jeder Webseite zu den dort geltenden Bedingungen einzukaufen.

3. Anbieter sollten ihre Zahlungsmethoden im Hinblick auf die verbotene herkunftsbezogene Diskriminierung untersuchen. Unterschiedlichkeiten, die auf der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes basieren, sind verboten. Dabei bleibt die Wahl der zur Verfügung gestellten Zahlungsmodalitäten jedoch den Anbietern überlassen. Jeder Kunde muss sich auf ein angebotenes Zahlungsmittel in einem EU-Mitgliedstaat berufen können.

4. Zudem darf ein Anbieter allen Kunden nicht unterschiedliche Lieferbedingungen aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes anbieten.

Jedoch ist festzuhalten, dass die Geoblocking-VO einen Anbieter nicht dazu verpflichtet, seine Waren oder Dienstleistungen europaweit zu verkaufen und auch nicht europaweit zu liefern. Der Anbieter darf selber über die von ihm belieferten Gebiete bestimmen, bietet er jedoch die Lieferung in den Mitgliedstaat A an, so muss jeder Kunde aus der EU die Möglichkeit haben, zu diesen Konditionen einzukaufen und damit die Lieferung in den Staat A verlangen dürfen.

Eine Herausforderung ergibt sich aber aus der Bezahlung der bestellten Waren. Die kundenfreundlichste Zahlungsmethode des Kaufes auf Rechnung wird in der Praxis jedoch schwer umzusetzen sein: zahlt ein Kunde trotz Mahnungen nicht, muss das Geld in einem Mahnverfahren eingetrieben werden, was sich in praktischer Hinsicht durch die Grenzüberschreitung als nicht unkompliziert darstellt.

Fazit

Insgesamt stellt die Geoblocking-VO keine grundlegende Änderung des Online-Handels dar. Durch die Verbote der Diskriminierung von Kunden aus Gründen der Staatsangehörigkeit, des Wohnsitzes und des Niederlassungsortes möchte der europäische Gesetzgeber den Binnenmarkt vereinheitlichen und die Gleichberechtigung von Kunden fördern. Die Kernaussagen der Verordnung liegen in zusammenfassend darin, dass jeder Kunde aus der europäischen Union zu den gleichen Bedingungen einkaufen können soll, indem er den Vertrag mit dem Anbieter auch zu den Konditionen eines anderen Mitgliedstaates abschließen können soll. Im Kern dürfen EU-Bürger also nicht schlechter gestellt sein als Einheimische eines Mitgliedstaates, was aber für Anbieter keinesfalls eine Pflicht zur europaweiten Lieferung bedeutet. Anbieter sollten nun ihre Webseiten und anderen Online-Benutzeroberflächen auf mögliche Verstöße untersuchen und diese schnellstens beseitigen, um keine Bußgelder befürchten zu müssen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Aktuell und heiß diskutiert: die Custom Lookalike Audiences. Hier erfahren Sie, was Lookalike Audiences sind, wie diese funktionieren und wie sie datenschutzrechtlich einzuordnen sind.

Facebooks Custom Lookalike Audiences und Datenschutz

Einführung: Custom Lookalike Audiences

Zur Steigerung der sogenannten persönlichen Reichweite gibt es das Instrument der Lookalike Audiences. Lookalike Audiences sind Zwillingszielgruppen und dienen der Neukundengewinnung. Ausgehend von der bestehenden Source Audience, also der Custom Audience aus Pixel-Daten oder Fans der Unternehmens-Fanpage, kann man nun eine neue Audience erstellen, die der Source Audience in demografischen Daten und Interessen ähnelt. Personen, mit denen noch keine geschäftliche Kontakte bestanden, die jedoch ein ähnliches Interessenprofil wie Bestandskunden haben, sollen daher durch Anzeigen als potentielle Kunden gewonnen werden.

Diese Zielgruppenfunktion ist aber nicht nur auf Facebook begrenzt, sondern kann vielmehr auch auf anderen Social Media-Kanälen wie beispielsweise Instagram angewandt werden. Wichtig ist, dass nur dann eine Lookalike Audience erstellt werden kann, wenn man „Inhaber“ der Ausgangsquelle, der sogenannten Source Audience, ist.

Unabhängig von der konkreten Zielsetzung können Lookalike Audiences vielfach eingesetzt werden, wie beispielsweise um mehr Käufe, Downloads oder Traffic zu generieren. Dabei steht dem Ersteller der Lookalike Audiences ein großer Spielraum zu. Nach Angabe der Source Audience bestimmt der Ersteller den Ort, auf den abgezielt werden soll, und danach die Größe seiner Zielgruppe. Jedoch wird die Ähnlichkeit der Profile proportional zu einer ansteigenden Größe der Reichweite geringer.

Viele Werber greifen auf dieses Instrument zum Marketing zurück, um Werbekosten durch Steuerverluste zu senken, indem gezielt Personen mit einem vermuteten Interesse an der Werbung beworben werden.

Facebook Custom Audience über die Kundenliste

Die am häufigsten verwendete Methode der Facebook Lookalike Audiences funktioniert über die Kundenliste. Der Werbende verwendet eine Liste mit Kundendaten wie der E-Mail-Adresse als Grundlage der Lookalike Audience. Dafür lädt er diese bei Facebook hoch, indem die Daten der Kunden im Browser durch das Verfahren „Secure Hash Algorithm 256“ gehasht und anschließend verschlüsselt an Facebook übermittelt werden. Dort kommt es zu einem Abgleich der Hashwerte durch Facebook mit vorhandenen Nutzerdaten. Zusätzlich erlangt Facebook Kenntnis von der Nutzung der sozialen Medien einzelner Betroffener. Nun werden die Übereinstimmungen zu einer Custom Audience zusammengefasst und für den Werbenden gespeichert.

Facebook Custom Audience Pixel-Verfahren

Neben der Möglichkeit der Erstellung einer Lookalike Audience mittels Kundenliste steht Werbenden noch die Alternative des Pixel-Verfahrens zur Verfügung. Bei diesem Verfahren ist die Webseite der Ausgangspunkt. Der Seitenbetreiber verwendet einen unsichtbaren Pixel, indem er ihn als Code auf die Webseite einbindet. Dieser Pixel erkennt Wiederkehrer und erstellt von ihnen ein pseudonymes Nutzungsprofil, wodurch Facebook die Besucher der Webseite erkennt und ihnen künftig Werbeanzeigen des Webseiten-Inhabers anzeigt.

Datenschutzrechtliche Einordnung

Bei der rechtlichen Einordnung der Custom Lookalike Audiences ist eine differenzierte Ansicht nach den verschiedenen Verfahren vorzunehmen.

Das Pixel-Verfahren

Das Pixel-Verfahren ist aus datenschutzrechtlicher Hinsicht im Ergebnis nicht als rechtswidrig einzuordnen. Im Datenschutzrecht gilt allgemein das Prinzip des Verbots mit Erlaubnisvorbehalt: danach ist eine Datenverarbeitung grundsätzlich immer rechtswidrig, es sei denn die Verarbeitung geschieht im Rahmen einer rechtlichen Erlaubnis. Bislang wurde vertreten, dass es unter die Erlaubnisnorm § 15 Abs. 3 Telemediengesetz (TMG) fällt. § 15 Abs. 3 TMG erlaubt Dienstanbietern die Erstellung pseudonymer Nutzungsprofile für Zwecke der Werbung, Marktforschung oder bedarfsgerechten Gestaltung von Telemedien. Allerdings hat der Betroffene ein Widerspruchsrecht in Bezug auf die Nutzung seiner Daten, über das er informiert werden muss. Dafür ist eine Opt-Out-Lösung im Rahmen der Datenschutzerklärung heranzuziehen, um dem Betroffenen einen Widerspruch zu ermöglichen.

Folgende Inhalte muss der Hinweis über die Custom Audiences enthalten:

  • Zweck der Datenverarbeitung
  • Art der betroffenen personenbezogenen Daten
  • Rechtsgrundlage der Datenverarbeitung (Art. 6 Abs. 1 lit. f) DS-GVO)
  • Benennung des berechtigten Interesses
  • Einsatz eines Tracking-Verfahrens
  • Möglichkeit eines Opt-Out-Verfahrens

Jedoch liegt folgende Problematik vor: Ursprünglich wollte der europäische Gesetzgeber neben der DS-GVO am 25. Mai 2018 auch die ePrivacy-VO einführen. Dadurch bezweckte er ein einfacheres Zusammenspiel der aktualisierten europäischen Regelungen im Rahmen des Datenschutzrechts und der elektronischen Kommunikation. Allerdings blieb die ePrivacy-VO im Gesetzgebungsstadium aufgrund politischer Differenzen stecken.

Die ePrivacy-VO wird die ePrivacy-Richtlinie ablösen, welche wiederrum durch die nationalen Gesetze Telemediengesetz und Telekommunikationsgesetz umgesetzt werden. Die ePrivacy-VO entfaltet unmittelbare Wirkung, jedoch herrscht bislang noch ein Schwebezustand. Unternehmen stehen vor der Frage, ob neben der DS-GVO auch das TMG zu beachten ist. Nur dann kann § 15 Abs. 3 TMG eine Erlaubnisnorm für das Pixelverfahren darstellen.

Exkurs: Anwendbarkeit des Telemediengesetzes

Hinsichtlich des Telemediengesetzes kann festgestellt werden, dass der Gesetzgeber keine Änderungen am TMG vorgenommen hat, womit das Gesetz in erste Linie in Kraft bleibt.

Das Beratungsorgan der Datenschutzaufsichtsbehörden in Deutschland, die Datenschutzkonferenz (DSK), hat nun zu dieser Problematik Stellung genommen:

Die DS-GVO genießt Anwendungsvorrang. Die datenschutzrechtlichen Regelungen aus dem TMG könnten aufgrund von Kollisionsvorschriften, Umsetzungsauftrags oder einer Öffnungsklausel aus der DS-GVO vorrangig anwendbar sein. Art. 95 DS-GVO ist eine Kollisionsregel der DS-GVO zur ePrivacy-VO, womit die Grundsätze der ePrivacy-Richtlinie weiterhin gelten können. Diese Kollisionsregel findet nach Auffassung der DSK aber nicht auf den 4. Abschnitt des TMG Anwendung. Grund dafür ist, dass der 4. Abschnitt Umsetzungsregelungen der inzwischen aufgehobenen Datenschutzrichtlinie enthält und damit bereits durch den Anwendungsbereich der DS-GVO reformiert wurde. In der Konsequenz können die §§ 12, 13 und 15 TMG nicht mehr angewandt werden. §§ 12 ff. TMG regeln die Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen. Diese Lücke wird nicht durch entsprechende Anwendung der ePrivacy-Richtlinie geschlossen, ferner greift nur die DS-GVO. Mithin ist taugliche Rechtsgrundlage für eine Datenverarbeitung somit Art. 6 Abs. 1 DS-GVO. Auch gelten die Grundsätze für die Datenverarbeitung nach Art. 5 DS-GVO verbindlich.

Tracking-Mechanismen dienten der Untersuchung von Nutzern im Internet oder der Erstellung von Nutzerprofilen, darunter fiele auch der Einsatz von Cookies. Würden Tracking-Mechanismen eingesetzt, bedürfe es nach neuster Ansicht der DSK aufgrund der unmittelbaren Geltung der DS-GVO auf Verarbeitungen der elektronischen Kommunikation einer DS-GVO-konformen Einwilligung des Betroffenen. Nach Art. 7 DS-GVO müsse der Betroffene die Einwilligung abgeben, bevor es zur Datenverarbeitung komme und zu diesem Zweck umfassend informiert werde.

Danach sollte die Verarbeitung derzeit nicht mehr auf § 15 Abs. 3 TMG gestützt werden.

Kritik an dieser Auffassung

Allerdings ist der gezogene Schluss der DSK nicht unproblematisch. Die bloße Anwendbarkeit der DS-GVO bedeutet nicht zwingend, dass eine Datenverarbeitung nur auf eine rechtskonforme Einwilligung nach Art. 7 DS-GVO gestützt werden kann. Vielmehr könnte eine Datenverarbeitung von einem anderen Rechtfertigungsgrund wie Art. 6 Abs. 1 lit. f) DS-GVO getragen werden. Danach ist eine Datenverarbeitung zur Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Maßgeblich ist also, ob der Einsatz von Cookies und anderen Tracking-Mechanismen von einem berechtigten Interesse gerechtfertigt werden kann. Der Begriff des berechtigten Interesses wird weit gefasst, so dass Direktwerbung und Marktforschung darunter fallen. Jedoch ist bislang unklar, ob für die Wahrung dieser Interessen auch die Verwendung von Werbe-Tools erforderlich ist oder nicht vielmehr ein milderes Mittel gleich geeignet ist. Diesbezüglich ist die Rechtslage noch unsicher. Nach Auffassung der DSK überwiegen bei einer Abwägung der Interessen beider Parteien stets die Betroffeneninteressen, sodass Art. 6 Abs. 1 lit. f) DS-GVO effektiv gesehen nicht eingreift und somit keine Rechtsfertigungsnorm darstellt.

Für die rechtssichere Verwendung der Nutzerdaten für das Pixel-Verfahren bedürfte es entsprechend einer informierten Einwilligung. Diese müsste idealerweise bereits bei Erheben des Datums eingeholt werden.

Das Listen-Verfahren

Bei den Custom Lookalike Audiences mittels Listen-Verfahrens hingegen sieht es etwas anders aus: eine Erlaubnisnorm greift hier nicht ein, sodass der Webseitenbetreiber auf eine rechtskonforme Einwilligung zur Datenverarbeitung angewiesen ist. Anderenfalls ist die Datenverarbeitung nicht gerechtfertigt. Widerruft der Betroffene also seine Einwilligung, so entfällt damit die Rechtsgrundlage, die Datenverarbeitung darf nicht weiter vorgenommen werden, der Nutzer ist von der Kundenliste zu streichen und Facebook über den Widerruf zu informieren.

Auch im Übrigen stellen sich in Bezug auf das Listen-Verfahren mehrere Fragen. Die bayerische Datenschutzbehörde ist der Auffassung, dass das verwendete SHA-265-Verfahren, mittels dem personenbezogene Daten gehasht und verschlüsselt an Facebook gesendet werden, kein geeignetes Anonymisierungsverfahren darstellt. Ein Anonymisierungsverfahren macht datenschutzrechtlich gesehen nur dann Sinn, wenn durch das Verfahren ausgeschlossen werden kann, dass die einzelnen Daten einer natürlichen Person zugeordnet werden können. Bei dem SHA-265-Verfahren kann dies aber nicht gewährleistet werden, da weiterhin trotz Hashing ein Rückschluss auf einen konkreten Nutzer von Facebook möglich ist. Facebook benutzt hinsichtlich der Verschlüsselung der E-Mail-Adressen von Facebook-Nutzern und denen der Custom Audience das gleiche Verfahren, so dass durch einen Vergleich der Hashwerte festgestellt werden kann, welcher Facebook-Nutzer auch Kunde in der Custom Audience ist. Diese Feststellung des Personenbezugs stellt also gerade keine Anonymisierung dar. Auch befürchtet die Datenschutzbehörde eine mögliche Zurückrechnung des Klartexts mittels der Brute-Force-Methode, wodurch die personenbezogenen Daten für Facebook letztendlich nicht verschlüsselt sind. Dass damit kein ausreichender Datenschutz gewahrt wird, ist offensichtlich.

Und was nun?

Festzuhalten bleibt, dass die Custom Lookalike Audiences datenschutzrechtlich nicht unproblematisch sind. Während die DSK kürzlich noch der Auffassung war, es bedürfe in Bezug auf das Pixel-Verfahren keiner Einwilligung als Rechtfertigungsgrund, so änderte sie ihre Meinung mit Veröffentlichungen wie „EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreiber“ und „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ und sieht nun sowohl in Bezug auf das Listen-Verfahren, als auch auf das Pixel-Verfahren das Erfordernis einer DS-GVO-konformen Einwilligung.

Zwar strahlt die Auffassung der DSK keine rechtliche Bindungswirkung aus, allerdings ist sie auch nicht zu unterschätzen. Die Gerichte orientieren sich an den Einschätzungen der Aufsichtsbehörden und weichen nicht wesentlich von ihnen ab.

Bei der Nutzung von Custom Audiences sollte der Betroffene über deren Einsatz jedenfalls in der Datenschutzerklärung informiert werden. Während bei der Verwendung des Listen-Verfahrens eine Einwilligung des Betroffenen vorliegen muss, liegt in Bezug auf das Pixel-Verfahren bislang noch kein Erfordernis vor.

Das EuGH-Fanpage-Urteil

Nicht nur die Facebook Custom Lookalike Audiences sind aus der Perspektive des Datenschutzrechts höchst interessant, sondern auch das Urteil des EuGH in Bezug auf eine Fanpage auf Facebook sorgte für Aufmerksamkeit. Hintergrund des Rechtsstreits ist, dass weder der Betreiber einer Fanpage über Facebook noch Facebook Ireland Ltd selber den Nutzer der Fanpage über die von Facebook vorgenommenen Datenverarbeitungen in Form des Setzen von Cookies und der damit verbundenen Datenerhebung informiert haben. Der EuGH entscheid nun im Rahmen eines Vorabentscheidungsersuchens, dass der Betreiber der Fanpage neben Facebook mitverantwortlich für die Datenverarbeitung ist.

Eine gemeinsame Verantwortlichkeit von Dienstanbietern für Verarbeitungen personenbezogener Daten regelt Art. 26 DS-GVO. Konsequenz dessen ist die gemeinsame Haftung beider Verantwortlicher, sodass sie zusammen eine Vereinbarung zur Erfüllung ihrer Pflichten, wie beispielsweise der Informationspflichten, abschließen müssen. Danach müsste Facebook dem Fanpage-Betreiber diverse Informationen über die Datenverarbeitungen offenlegen, damit letzterer seinen Informationspflichten nachkommen kann. Inwiefern Facebook die Fanpage-Betreiber letztendlich dahingehend unterstützen wird, bleibt abzuwarten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!