27.06.2024 Newsletter
Fokus IT&C – 2. Quartal 2024
Wir haben für Sie wichtige und spannende Neuerungen und Rechtsprechung aus dem IT-Recht und Datenschutz zusammengestellt. Viel Spaß beim Lesen!
1. Auswege aus dem Anwendungsbereich der Hochrisiko-KI-Systeme (Teil III)
2. Update und Kurzüberblick zum Cyber Resilience Act
3. Wendepunkt für Forschung im Gesundheitsbereich: Gesetz zur verbesserten Nutzung von Gesundheitsdaten
4. Immaterieller Schadensersatz wegen DSGVO-Verstößen – Aktuelle Rechtsprechung des EuGH
5. Das Digitale-Dienste-Gesetz: Flickenteppich trotz Harmonisierung?
1. Auswege aus dem Anwendungsbereich der Hochrisiko-KI-Systeme (Teil III)
Der AI -Act reguliert Hochrisiko-KI-Systeme streng. Betreiber und Anbieter von Hochrisiko-KI-Systemen sind also gut beraten, Auswege aus dem Anwendungsbereich zu begehen.
Gemäß der Ausnahmeregelung des Art. 6 Abs. 3 AI Act sind KI-Systeme, die nach Art. 6 Abs. 1 AI Act grundsätzlich als Hochrisiko-KI-Systeme einzuordnen wären, unter bestimmten Voraussetzungen von dieser Einstufung ausgenommen (siehe Teil I der Beitragsreihe).
Art. 25 Abs. 2 AI Act befreit den Anbieter eines in Verkehr gebrachten bzw. in Betrieb genommenen Hochrisiko-KI-Systems z. B. bei White Label Systemen, sofern dieses mit der Kennzeichnung des Betreibers – (der dadurch zum Anbieter wird) – versehen wird, von seinen Pflichten aus Art. 16 AI Act (siehe Teil II der Beitragsreihe).
Betreiber können die Anwendung des AI -Acts auf ihre Hochrisiko-KI-Systeme zudem vermeiden, indem sie ihre Altsysteme nach Inkrafttreten des AI Acts möglichst unverändert einsetzen:
Ausweg 3: Unveränderter Einsatz von Altsystemen durch Betreiber, Art. 111 Abs. 2 AI Act
Nach Art. 111 Abs. 2 findet der AI Act für Betreiber von solchen Hochrisiko-KI-Systemen keine Anwendung, die bis 24 Monate nach dem Datum seines Inkrafttretens, d. h. bis Mitte 2026, in Verkehr gebracht oder in Betrieb genommen wurden, wenn sie der Betreiber nicht erheblich ändert. Betreiber müssen für diese Hochrisiko-KI-Systeme folglich nicht die umfassenden Pflichten aus Art. 26 und 27 AI Act erfüllen.
Im Einzelnen besteht aber weiterer Klärungsbedarf:
Betreiber müssen die Hochrisiko-KI-Pflichten auch für Altsysteme erfüllen, wenn sie das System nach Inkrafttreten des AI Acts erheblich verändern. Der AI Act selbst definiert in Art. 3 Nr. 23 allerdings nur den Begriff der „wesentlichen Änderung“. Eine solche wesentliche Änderung liegt vor, wenn 1. die Änderung in der ursprünglichen Konformitätsbewertung nicht vorgesehen war und hierdurch die Konformität beeinträchtigt wird, oder 2. die Zweckbestimmung des Systems geändert wird.
Für Altsysteme wird eine Konformitätsbewertung nach AI Act in aller Regel nicht existieren. Betreiber könnten allenfalls eine hypothetische Konformitätsbewertung heranziehen. Die Definition der wesentlichen Änderung in Art. 3 Nr. 23 AI Act kann für die Bewertung einer erheblichen Veränderung im Sinne von Art. 111 Abs. 2 AI Act folglich nicht ohne Weiteres übertragen werden, auch wenn naheliegt, entsprechende Kriterien heranzuziehen.
Betreibern von Altsystemen ist daher vorerst zu raten, diese möglichst unverändert weiter zu betreiben.
Dr. Axel Grätz
2. Update und Kurzüberblick zum Cyber Resilience Act
Nach Verabschiedung des Cyber Resilience Act (CRA) am 12. März 2024 durch das EU-Parlament tritt der CRA nach der noch erforderlichen Annahme durch den Europäischen Rat am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Der CRA sieht verschiedene Umsetzungsfristen für dessen Pflichten vor und erlangt vollständige Geltung sechsunddreißig Monate nach dem Datum des Inkrafttretens (Art. 71 CRA).
Der CRA findet Anwendung auf „Produkte mit digitalen Elementen“ (PDEs), die auf dem europäischen Markt bereitgestellt werden und soll die Cybersicherheit dieser Produkte sicherstellen.
Ein PDE bezeichnet ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden (Art. 3 Nr. 1 CRA). Entscheidend ist, dass das Produkt dazu bestimmt ist, eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzen herzustellen. Eine bloße geräteinterne Verarbeitung reicht hingegen nicht aus. Standalone Cloud-Lösungen fallen grundsätzlich nur in den Anwendungsbereich, sofern diese als Datenfernverarbeitungslösungen einzuordnen sind (ErwG. 12, Art. 3 Abs. 2 CRA).
Der CRA hat damit einen produktspezifischen Anknüpfungspunkt und es wird erwartet, dass eine große Zahl smarter Produkte erfasst wird. Der CRA gilt für alle Wirtschaftsakteure, die in die Lebenszykluskette von PDEs involviert sind, d. h. (i) Hersteller (und ihre autorisierten Vertreter), (ii) Einführer (Importeure) und (iii) Händler. Wobei der CRA die umfangreichsten Verpflichtungen den Herstellern von PDEs auferlegt.
Da sich die Zuordnung zu diesen Wirtschaftsakteuren an der natürlichen oder juristischen Person festmacht, ist es gerade in Konzernstrukturen denkbar, dass hier mit Blick auf das gleiche PDE beteiligte Konzernunternehmen z. T. als Hersteller, Einführer und Händler tätig werden können und jeweils den spezifischen Pflichten des CRA unterfallen.
Grundsätzlich hat der CRA einen weiten Anwendungsbereich und erfasst eine Vielzahl von PDEs. Ausnahmen bestehen jedoch insbesondere für solche, die bereits spezifi-schen sektoralen Regelungen unterliegen (Art. 2 CRA). Im Hinblick auf die Reichweite dieser Ausnahme (sowie der weiteren Ausnahmen unter dem CRA) stellt sich die Frage, ob sich – ausgehend vom produktspezifischen Anknüpfungspunkt des CRA – sämtliche in der Wertschöpfungskette des PDE beteiligten Wirtschaftsakteure auf die Ausnahmen des CRA berufen können oder ob die Ausnahmetatbestände lediglich für das Unternehmen gilt, das unmittelbar der sektoralen Regelung unterliegt (während die übrigen weiterhin dem CRA unterliegen).
Zu den Anforderungen und Pflichten des CRA gehören neben Produktanforderungen zur Cybersicherheit und Schwachstellenmanagement auch verschiedene Dokumentations- und Aufbewahrungspflichten sowie Informations- und Meldepflichten. Zudem muss vor der Bereitstellung eines PDE auf dem europäischen Markt ein Konformitätsbewertungsverfahren durchgeführt werden. Die Reichweite dieser Pflichten hängt dabei von der Rolle des Unternehmens unter dem CRA ab.
Verstöße hiergegen sind bußgeldbewehrt und können abhängig von der Art des Verstoßes, mit Bußgeldern von bis zu 15.000.000 Euro oder von bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher Betrag höher ist.
Christian Saßenbach
3. Wendepunkt für Forschung im Gesundheitsbereich: Gesetz zur verbesserten Nutzung von Gesundheitsdaten
Ende April ist das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GVNG) und das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digitalgesetz) in Kraft getreten. Beide Gesetze markieren in Kombination einen entscheidenden Wendepunkt in der Nutzung von Gesundheitsdaten, insbesondere zu medizinischen Forschungszwecken.
Bisher hemmte in Deutschland ein enger gesetzlicher Rahmen, eine uneinheitliche und strikte Auslegung insbesondere der DSGVO sowie ein Flickenteppich spezifischer Landesgesetze die Forschung im Gesundheitsbereich.
Datennutzung im Gesundheitsbereich bisher schwierig
Das deutsche Gesundheitssystem ist noch weit vom gewünschten Grad der Digitalisierung entfernt. Patientendaten sind meist lokal in den Patientenakten bei den Leistungserbringern gespeichert. Oft sind eine Vielzahl unterschiedlicher Bundes- und Landesdatenschutzgesetze zu beachten, will man solche Patientendaten nutzen, gerade wenn die Verarbeitung im Wege einer „Zweitverwertung“ zu Forschungszwecken erfolgt. In den meisten Bundesländern ist nur die krankenhauseigene Forschung ohne Einwilligung zulässig, während die Übermittlung an Dritte und sogar die Weitergabe von Gesundheitsdaten an Auftragsverarbeiter im Sinne von Art. 28 DSGVO eingeschränkt sein kann.
Änderungen bei der elektronischen Patientenakte
Das SGB 5 regelt den rechtlichen Rahmen für eine einheitliche elektronische Patientenakte (ePA). Die ePA wurde bereits 2021 als freiwilliges Angebot eingeführt, allerdings haben sich bisher nur rund ein Prozent der gesetzlich Versicherten für den Erhalt einer ePA entschieden. Das Digitalgesetz ändert nun den rechtlichen Rahmen für ePAs: Nach § 342 Abs. 1 SGB 5 n. F. müssen gesetzliche Krankenkassen für ihre Versicherten bis zum 15. Januar 2025 eine ePA einrichten, sofern sie nicht widersprechen. Ziel dieses neu eingeführten Opt-out-Verfahrens ist es, die flächendeckende Einführung der ePA zu ermöglichen. Nach § 347 Abs. 1 SGB 5 n. F. sind Leistungserbringer, insbesondere Ärztinnen und Ärzte, verpflichtet, alle Behandlungsdaten in die ePA ihrer Patienten aufzunehmen, es sei denn, es liegt ein Widerspruch vor.
Änderungen des SGB 5: Freigabe zusätzlicher Daten zu Forschungszwecken
Das GVNG bringt insbesondere Änderungen des SGB 5 mit sich, die darauf abzielen, die Datenverfügbarkeit und den Datenzugang zu Forschungszwecken zu verbessern.
So werden Gesundheitsdaten, die in ePAs gespeichert sind, nun automatisch in pseudonymisierter Form an das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelte Forschungsdatenzentrum übermittelt, es sei denn, der jeweilige Versicherte hat der Weitergabe widersprochen (vgl. § 363 Abs. 1, 2 SGB 5 n. F.). Es ist daher zu erwarten, dass die im Forschungsdatenzentrum verfügbaren Daten ab dem 15. Januar 2025 massiv ansteigen werden. Dies wird jedoch nur dann der Fall sein, wenn die Einführung der ePAs und das Befüllen durch die Leistungserbringer in technischer und praktischer Hinsicht wie geplant funktioniert.
Mit den Regelungen zur Datentransparenz ermöglicht das SGB 5 Dritten, u. a. Leistungsdaten und Gesundheitsdaten über die Behandlung durch die Leistungserbringer aus den ePAs für wissenschaftliche Forschungszwecke zu erhalten und ohne Einwilligung zu verarbeiten. Während bisher nach § 303e SGB 5 a. F. nur bestimmte (öffentliche) Stellen einen Antrag auf Erhalt solcher Daten beim Forschungsdatenzentrum stellen konnten, hebt das GVNG diese Beschränkung auf. Es stellt nur noch auf die Zwecke ab, die der Antragsteller mit dem Datenzugriff und der Weiterverarbeitung verfolgt.
Die hiernach zulässigen Zwecke sind recht weit gefasst worden und ermöglichen u. a. eine Verarbeitung zum Zweck der „wissenschaftliche Forschung zu Fragestellungen aus den Bereich Gesundheit“ (vgl. § 303e Abs. 2 Nr. 4 Var. 1 SGB 5). Damit wird es zukünftig z. B. auch forschenden Pharmaunternehmen möglich sein, zu wissenschaftlichen Forschungszwecken personenbezogene Gesundheitsdaten über das Forschungsdatenzentrum zu erhalten.
GDNG: Einheitlicher Rahmen für die Nutzung von Gesundheitsdaten zu Forschungszwecken
Mit dem GVNG wurde zusätzlich das neue, separate GDNG eingeführt, das generell für die Verarbeitung von Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO zu Forschungszwecken gilt (§ 1 Abs. 2 GDNG).
6 Abs. 1 GDNG erlaubt es Leistungserbringern des Gesundheitswesens, Gesundheitsdaten, die bei der Behandlung ihrer Patienten anfallen, zu Zwecken der Qualitätskontrolle, der Forschung und für statistische Zwecke ohne gesonderte Einwilligung zu verarbeiten. Die Vorschrift stellt eine wesentliche Verbesserung gegenüber der bisherigen Rechtslage dar, da sie bundesweit einheitliche Anforderungen an die Eigenforschung der Leistungserbringer vorsieht.
§ 3 GDNG sieht die Einrichtung einer zentralen Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten beim BfArM vor. Die Zugangs- und Koordinierungsstelle ist die zentrale Anlaufstelle für Datennutzer, die einen Datenzugang beim Forschungsdatenzentrum beantragen und soll den Prozess des Zugangs möglichst effektiv gestalten.
§ 4 GDNG erlaubt im Rahmen des Datenzugriffs über das Forschungsdatenzentrum die Verknüpfung der im Forschungsdatenzentrum vorhandenen Daten mit den in den klinischen Krebsregistern der Bundesländer vorhandenen Daten, wenn bestimmte Voraussetzungen erfüllt sind.
Bei Forschungsprojekten, an denen mehrere für die Verarbeitung von Gesundheitsdaten Verantwortliche beteiligt sind und für die mehrere Aufsichtsbehörden nach der DSGVO und/oder den deutschen Datenschutzgesetzen zuständig wären, können die Beteiligten Forschungspartner mittels Antrag sicherstellen, dass eine Aufsichtsbehörde die federführende Behörde ist (§ 5 GDNG). Dies dient einer effektiveren und widerspruchsfreien Datenschutzaufsicht.
§ 7 GDNG regelt ein Forschungsgeheimnis, das mit den für bestimmte Berufsgruppen (insbesondere Ärztinnen und Ärzte) geltenden Geheimhaltungspflichten vergleichbar ist. Dieses Forschungsgeheimnis ist im Falle eines Verstoßes strafrechtlich abgesichert (§ 9 GDNG).
4. Fazit
Das GVNG bringt – rein rechtlich – eine wesentliche Liberalisierung der Datennutzbarkeit zu Forschungszwecken im Gesundheitsbereich mit sich. Es hat das Potenzial, den Forschungsstandort Deutschland nachhaltig zu stärken, gerade auch durch die Ermöglichung des Zugangs privater Unternehmen (inklusive forschender Pharmaunternehmen) zu personenbezogenen Gesundheitsdaten zu Forschungszwecken.
Ein wesentlicher Unsicherheitsfaktor ist jedoch die pünktliche Umsetzung der technischen organisatorischen Voraussetzungen einer effektiven Bereitstellung der betreffenden Daten. Die Datenverfügbarkeit im Forschungsdatenzentrum hängt u. a. entscheidend davon ab, ob die ePA tatsächlich ab Mitte Januar 2025 flächendeckend für einen Großteil der gesetzlich Versicherten verfügbar sein wird und ob die Ärztinnen und Ärzte über sämtliche technischen Voraussetzungen verfügen, die ePAs zu befüllen. Zusätzlich wird entscheidend sein, dass das BfArM fachlich und personell seinen erweiterten Aufgaben zur Ermöglichung eines Datenzugangs gewachsen ist.
Marco Degginger
4. Immaterieller Schadensersatz wegen DSGVO-Verstößen – Aktuelle Rechtsprechung des EuGH
Wann betroffene Personen bei Verstößen gegen Datenschutzbestimmungen immateriellen Schadensersatz nach der EU Datenschutz-Grundverordnung (DSGVO) verlangen können, war lange unklar.
Seit 2023 hat der Gerichtshof der Europäischen Union (EuGH) in einer Reihe von Urteilen Leitlinien für Schadensersatzansprüche nach Art. 82 DSGVO ausgearbeitet, so in der Entscheidung Österreichische Post (C-300/21) vom 4. Mai 2023 (lesen Sie hierzu unseren Beitrag vom 5. Mai 2023 ), Gemeinde Ummendorf (C-456/22) und Natsionalna agentsia za prihodite (C-340/21) vom 14. Dezember 2023, Krankenversicherung Nordrhein (C-667/21) vom 21. Dezember 2023 und MediaMarktSaturn (C-687/21) vom 25. Januar 2024.
Nach mittlerweile gefestigter Rechtsprechung des EuGH setzt ein Schadensersatzanspruch nach Art. 82 DSGVO drei Bedingungen voraus, die nebeneinander vorliegen müssen:
(1) einen Verstoß gegen die Bestimmungen der DSGVO für Datenverarbeitungen,
(2) einen der betroffenen Person entstandenen, konkreten Schaden und
(3) den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und dem Schaden.
Außerdem gibt es keine Bagatellgrenze bzw. Erheblichkeitsschwelle bei kleineren Schäden. Mit weiteren Urteilen vom April und Juni 2024 hat der EuGH nun die Anspruchsvoraussetzungen für immateriellen Schadensersatz weiter geschärft.
Entscheidung in der Rechtssache juris (C-741/21) vom 11. April 2024
Das Urteil in der Rechtssache juris (C-741/21) vom 11. April 2024 betrifft eine Klage eines Rechtsanwalts und Kunden gegen den Betreiber der juristischen Datenbank juris. Der Kläger hatte der Verarbeitung seiner Daten zu Werbezwecken widersprochen. Trotzdem erhielt er Werbeschreiben mit Testcodes, die – bei Eingabe auf der Website der Beklagten – zu einer mit personenbezogenen Daten des Klägers ausgefüllten Bestellmaske führten. Die Beklagte verteidigte sich mit dem Vorbringen, dass ein Mitarbeiter Weisungen zur Bearbeitung von Werbewidersprüchen missachtet hatte.
Der EuGH stellt zwar klar, dass eine bloße Befürchtung eines Missbrauchs personenbezogener Daten infolge eines Kontrollverlustes im Einzelfall als immaterieller Schaden in Betracht kommen kann (wie bereits in den Entscheidungen MediaMarktSaturn (C-687/21) und Natsionalna agentsia za prihodite (C-340/21)). Die betroffene Person muss eine solche Befürchtung und deren Auswirkungen jedoch begründet darlegen, die Befürchtung darf nicht nur eine unbegründete Angst darstellen.
Zudem äußerte sich der EuGH dazu, wann sich der Verantwortliche bei einem weisungswidrigen Fehlverhalten einer ihm unterstellten Person (Art. 29 DSGVO) von seiner Haftung nach Art. 82 Abs. 3 DSGVO exkulpieren kann. Ein Verantwortlicher kann sich danach nicht allein unter Hinweis auf einen weisungswidrig handelnden Mitarbeiter von der Haftung befreien. Dies würde die praktische Wirksamkeit des Schadenersatzanspruchs beeinträchtigen. Eine Enthaftung ist jedoch möglich, wenn der Verantwortliche nachweisen kann, dass es keinen Kausalzusammenhang zwischen dem fraglichen Verstoß und dem eingetretenen Schaden besteht.
Schließlich entschied der EuGH zur Frage der Bemessung der Höhe des immateriellen Schadensersatzes, dass dafür jedenfalls kein Rückgriff auf die gesetzlichen Kriterien für die Zumessung von Bußgeldern (Art. 83 Abs. 2, Abs. 5 DSGVO) erfolgen soll. Der EuGH betont, dass Schadensersatz nach Art. 82 DSGVO eine reine Ausgleichsfunktion, aber keine Abschreckungs- oder Straffunktion verfolgt (wie bereits in der Entscheidung Krankenversicherung Nordrhein (C-667/21)). Im Ergebnis sind daher weder die Schwere des Verstoßes noch der Grad des Verschuldens bei der Bemessung zu berücksichtigen. Es kommt allein auf den tatsächlich entstandenen, konkret erlittenen und vom Kläger darzulegenden Schaden an.
Entscheidungen in den Rechtssachen Scalable Capital (C-182/22 und C-189/22) vom 20. Juni 2024
Am 20. Juni 2024 ergingen EuGH-Urteile nach Vorlage des Amtsgerichts München zum immateriellen Schadensersatzanspruch in zwei verbundenen Rechtssachen Scalable Capital (C-182/22 und C-189/22). Die Kläger hatten Accounts auf der Trading-App Scalable Capital eröffnet, in denen sie personenbezogene Daten hinterlegt hatten. Nach einer Cyberattacke im Jahr 2020 wurden ihre Anmeldedaten sowie Daten zum Wertpapier-Depot von unbekannten Dritten abgegriffen, aber (noch) nicht in betrügerischer Weise verwendet.
Der EuGH bestätigt zunächst, dass die Entschädigung nach Art. 82 DSGVO keinem Abschreckungs- oder Strafzweck dient, sondern soll den konkret erlittenen Schaden vollständig und wirksam ausgleichen (siehe die Rechtssache juris (C-741/21)).
Der EuGH entschied außerdem, dass die DSGVO in ihren Erwägungsgründen verschiedene mögliche physische, materielle oder immaterielle Schäden benennt und dabei keine Rangordnung vorsieht. Eine Verletzung des Schutzes personenbezogener Daten wiegt demnach nicht grundsätzlich weniger schwer als eine Körperverletzung. Allerdings weist der EuGH wiederum darauf hin, dass der Verstoß noch keinen Schaden indiziert, sondern dass dieser vom Kläger konkret darzulegen und nachzuweisen ist.
Der EuGH hat schließlich zum Identitätsdiebstahl oder -betrug (Erwägungsgrund 75) entschieden, dass es in diesen Fällen nicht ausreicht, dass ein unbefugter Dritter die Daten über eine Identität des Betroffenen erlangt hat, sondern dass der Kläger darlegt und nachweist, dass ein Dritter tatsächlich die Identität einer Person annimmt, deren personenbezogene Daten gestohlen wurden.
Entscheidung PS GbR (C‑590/22) vom 20. Juni 2024
Am selben Datum erging ein weiteres Urteil des EuGH (C-590/22) zu einer Vorlage des Amtsgerichts Wesel in einer Klage von zwei Mandanten gegen ihre Steuerberaterkanzlei, die für die Versendung einer Steuererklärung eine veraltete Adresse der Kläger verwendete. Dabei hatten Dritte mutmaßlich Kenntnis von Namen, Geburtsdaten (auch der ihrer Kinder), Steueridentifikationsnummern, Bankangaben, Angaben bezüglich der Zugehörigkeit zu einer Religionsgemeinschaft, zur Schwerbehinderteneigenschaft eines Familienmitglieds, sowie zu Berufen und Arbeitsstätten der Kläger erlangt.
Der EuGH bestätigte in diesem Verfahren eine Vielzahl bereits ergangener Urteile, insbesondere, dass die durch einen auch nur kurzfristigen Datenverlust ausgelöste Befürchtung, personenbezogene Daten könnten von Dritten missbräuchlich verwendet werden, im Einzelfall nur einen „immateriellen Schaden“ im Sinne von Art. 82 DSGVO darstellen kann, wenn dies konkret dargelegt und nachgewiesen wird.
Weiterhin bestätigt der EuGH erneut, dass Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, diesen aber nicht bezwecken, nicht bei der Bemessung der Schadensersatzhöhe zu berücksichtigen sind. Unbeschadet dessen kann ein Gericht eine Entschädigung aussprechen, die weitergehend ist als der in Art. 82 Abs. 1 DSGVO vorgesehene Schadenersatz – allerdings nur, wenn das nationale Recht dies gestattet. Nach deutschem Recht etwa ist nicht ersichtlich, nach welchen Normen ein noch weitergehender immaterieller Schadenersatzanspruch bestehen sollte.
Dr. Jürgen Hartung und Valentino Halim
5. Das Digitale-Dienste-Gesetz: Flickenteppich trotz Harmonisierung?
Die Regulierung digitaler Dienste hat mit dem Inkrafttreten des „Digitale-Dienste-Gesetzes“ (DDG) in Deutschland am 14. Mai 2024 eine neue Etappe erreicht. Zusammen mit dem „Digital Services Act“ der EU (Verordnung (EU) 2022/2065) (DSA) begegnet es den Risiken des grundlegenden Wandels der Internetwirtschaft. Die EU-Verordnung sowie ihre nationale Ergänzung durch das DDG zielen auf die Regelung der Verantwortlichkeiten bei Rechtsverstößen, den Schutz der Meinungs- und Informationsfreiheit der Nutzer digitaler Dienste sowie die Minimierung von Wahlbeeinflussung und Gefährdung des gesellschaftlichen Zusammenhalts ab. Darüber hinaus wird im E-Commerce-Bereich der Verbraucherschutz gestärkt, insbesondere vor Produktfälschungen.
Mit Inkrafttreten des DDG ist das Netzwerkdurchsetzungsgesetz (NetzDG) in weiten Teilen und das Telemediengesetz (TMG) vollständig außer Kraft getreten. Die dortigen Regelungen finden sich (sinngemäß) nunmehr in dem seit dem 17. Februar 2024 in Gänze geltenden DSA wieder oder sind in das DDG überführt worden. So sind etwa die Pflichtangaben zum Impressum nunmehr in § 5 DDG geregelt (vormals § 5 TMG). Da der Begriff der „digitalen Dienste“ den Begriff des „Telemediums“ ersetzt hat, mussten auch einige redaktionelle Änderungen in verschiedenen Gesetzen vorgenommen werden. So trägt beispielsweise das Telekommunikation-Telemedium-Datenschutz-Gesetz („TTDSG“) nunmehr die Bezeichnung Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz („TDDDG“).
Deutlich erweiterter Anwendungsbereich durch den DSA
Das DDG dient der Durchsetzung des DSA. Der für die Frage der Anwendbarkeit des DSA zentrale Begriff des Vermittlungsdienstes umfasst „reine Durchleitungen“, „Caching-Leistungen“ und „Hosting-Dienste“ (vgl. Art. 3 lit. b DSA). Durch den DSA werden weitaus mehr digitale Vermittlungsdienste reguliert als durch das Netzwerkdurchsetzungsgesetz (NetzDG) und das Telemediengesetz (TMG). Fortan müssen nicht lediglich soziale Netzwerke und Videosharingplattformen, sondern alle Hostingdiensteanbieter Verfahren zur Meldung von Beschwerden über rechtswidrige Inhalte bereitstellen. Umstritten ist, ob bereits das Vorhalten einer einfachen Chat- oder Kommentarfunktion auf einer Webseite oder in einem Online-Shop zur Anwendbarkeit des DSA führen kann. Sofern noch nicht geschehen, sollten sich Anbieter von digitalen Vermittlungsdiensten dringend mit den sie betreffenden Vorgaben auseinandersetzen.
Mehrstufiger Regulierungsansatz
Der DSA folgt einem mehrstufigen Regulierungsansatz und legt Vermittlungsdiensten abhängig von ihrer Art und Größe unterschiedliche Pflichten auf. Wird ein Diensteanbieter als Online-Plattform eingestuft, muss er beispielsweise Werbung ausreichend kennzeichnen und die Rankings von Suchergebnissen transparenter gestalten. Für sehr große Online-Plattformen und sehr große Online-Suchmaschinen gelten noch einmal deutlich strengere Vorschriften: Sie müssen systemische Risiken wie die Verbreitung von Hate-Speech und Wahlbeeinflussung eigenständig bewerten und mindern, weshalb teilweise ein Overblocking befürchtet wurde.
Sicherung der Informationsfreiheit und nationale Sonderwege
Zur Gewährleistung der Informationsfreiheit gibt es unionsweit weiterhin Haftungsprivilegierungen für Vermittlungsdienste, die keine aktive Rolle bei der Verbreitung und Auswahl von Informationen einnehmen. Es besteht insbesondere keine Pflicht der Betreiber, die von Nutzern geteilten Informationen proaktiv auf rechtswidrige Inhalte zu untersuchen.
Während der DSA grundsätzlich an der ausschließlichen Privilegierung von entgeltlichen Diensteanbietern festhält, hat sich der deutsche Gesetzgeber für eine Fortführung der Anwendung der Haftungsprivilegierungen auch auf unentgeltliche Dienste entschieden. Zusammen mit der ebenfalls bereits früher bestehenden Haftungsbefreiung von WLAN-Anbietern entsteht hiermit ein von der EU eigentlich nicht beabsichtigter Flickenteppich. Ebenso wird die Pflicht zur zwingenden Benennung eines Zustellungsbevollmächtigten für außereuropäische Diensteanbieter in Deutschland fortgeführt, um die Rechtsdurchsetzung von Privatpersonen im Bereich sozialer Netzwerke zu erleichtern – auch das ist eigentlich nicht mehr vorgesehen.
Der DSA selbst wird vor dem Hintergrund einiger auslegungsbedürftiger Begrifflichkeiten ebenso zu Anwendungsunterschieden in den einzelnen EU-Mitgliedsstaaten führen: Die bereits aus dem NetzDG bekannten Melde- und Abhilfeverfahren für rechtswidrige Inhalte sind zwar nunmehr direkt in der EU-Verordnung geregelt – die Kernvoraussetzung des „rechtswidrigen Inhalts“ wird dabei jedoch (auch) durch das Recht der einzelnen EU-Mitgliedstaaten bestimmt. Die Überprüfung der gemeldeten Inhalte durch die Hostingdiensteanbieter wird hierdurch hochkomplex und birgt ebenso die Gefahr eines Overblockings.
Zentrale Rolle der Bundesnetzagentur und Sanktionsmöglichkeiten
In Deutschland übernimmt die Bundesnetzagentur die Aufsicht über Vermittlungsdienste und setzt das DDG und den DSA mithilfe der neu geschaffenen, weisungsfreien „Koordinierungsstelle für digitale Dienste“ durch. Sie dient auch als Beschwerdestelle für Nutzer. Die Aufsichtsbehörden verfügen über umfangreiche Befugnisse, die bei Verstößen bis hin zur vorübergehenden Sperrung eines Vermittlungsdienstes reichen können. Angesichts der hohen Bußgelder, die bis zu 6% des weltweiten Jahresumsatzes eines Unternehmens betragen können, sollten sich Vermittlungsdienste zeitnah mit den neuen Vorschriften vertraut machen.
Darüber hinaus stellt der DSA klar, dass auch privatrechtliche Schadensersatzansprüche der Nutzer im Falle eines DSA-Verstoßes geltend gemacht werden können (vgl. Art. 54 DSA).
Ausblick
Trotz diverser Anpassungen im Laufe des Gesetzgebungsverfahrens zum DDG bleiben einige Fragen offen, die jedoch nicht ausschließlich dem deutschen Gesetzgeber zuzuschreiben sind. So nennt der DSA anders als das NetzDG keine konkreten Straftatbestände, die eine Meldepflicht für Hostingdiensteanbieter auslösen sollen, sondern stellt auf den auslegungsbedürftigen Begriff einer Straftat ab, „die eine Gefahr für das Leben oder Sicherheit einer Person oder von Personen darstellt“. Dies kann zu einer gewissen Beliebigkeit der Auslegung durch die betroffenen Unternehmen führen. Es bleibt abzuwarten, inwiefern die Gerichte hier für mehr Klarheit sorgen werden. Vor dem Hintergrund der im DSA vorgesehenen hohen Bußgelder wäre dies zu begrüßen.
Entscheidend wird zukünftig zudem sein, wie sowohl die Bundesnetzagentur als auch das neue „Europäische Gremium für digitale Dienste“ die Entwicklungen auf Seiten der Diensteanbieter in ihren jährlichen Tätigkeitsberichten bewerten und welche Erfahrungen in anderen EU-Ländern gesammelt werden.
Tobias Kollakowski
Legal Tech Tools - Digitale Anwendungen für effizientere Lösungen
Endecken Sie unser umfangreiches Legal Tech Angebot! Erfahren Sie mehr ...
Neu: Oppenhoff Taskforce AI
Erfahren Sie hier, wie die fachbereichsübergreifende Oppenhoff Taskforce AI sicher stellt, dass Sie die Anforderungen des AI Act der EU, aber auch die vielfältigen sonstigen rechtlichen Anforderungen an KI, von Anfang an einhalten und KI-Systeme rechtssicher nutzen können.