IT-Recht und Datenschutz29.09.2023 Newsletter
Fokus IT&C – 3. Quartal 2023
Wir haben für Sie wichtige und spannende Neuerungen und Rechtsprechung aus dem IT-Recht und Datenschutz zusammengestellt. Viel Spaß beim Lesen!
1. Künstliche Intelligenz, Kreativität und das Urheberrecht
2. Cybersicherheit in deutschen Unternehmen: Neue Pflichten durch geplante Neuregelungen des BSIG
3. EuGH konkretisiert Reichweite des Auskunfts- und Kopieanspruchs nach Art. 15 Abs. 1 und 3 DSGVO
4. Legal Tech und das anwaltliche Berufsrecht
5. BGH fragt EuGH zur DSGVO: Immaterieller Schaden bei bloßen negativen Gefühlen?
1. Künstliche Intelligenz, Kreativität und das Urheberrecht
Kreative Künstliche Intelligenz
Kaum ein anderer Begriff ist heute medial derart präsent wie derjenige der künstlichen Intelligenz (KI). Im Fokus standen jüngst autonome Fahrzeuge, Roboter und Systeme zur Gesichtserkennung. Hierbei werden häufig Haftungsrisiken und datenschutzrechtliche Fragen diskutiert.
Heute werden mithilfe von KI aber auch Bilder, Musik und sogar Filme generiert. Bekannte Beispiele sind das Projekt „The Next Rembrandt“, die Anwendung „Deep Bach“ und der Werbefilm „Driven by Intuition“. Solche generativen KI-Anwendungen ziehen die Aufmerksamkeit der breiten Öffentlichkeit insbesondere seit dem Release des Chatbot Generative Pre-trained Transformer, kurz „ChatGPT“, im November 2022 auf sich. Mit dieser KI können heute Texte generiert werden. Der Nutzer stellt der KI dazu über eine Chatfunktion eine Frage, sogenannte Prompts, und erhält eine Antwort, die ein Mensch nach den Berechnungen von ChatGPT wahrscheinlich geben würde. In einem entsprechenden Dialog würde eine Person, die unbekannterweise mit ChatGPT kommuniziert, vermutlich nicht auf Anhieb erkennen, dass sein Gesprächspartner kein Mensch ist. Damit wäre ChatGPT im Sinne des sog. Turing Tests tatsächlich intelligent.
Offenbar sprechen Experten den generativen Anwendungen neben Intelligenz auch schon Kreativität zu. Jedenfalls boten Kunstinteressierte für das mit einer KI erzeugte Portrait of Edmond de Belamy im Oktober 2018 bei dessen Versteigerung im bekannten Kunsthaus Christies über 430.000 US-Dollar. In der Urheberangabe wird dabei auf keine natürliche Person verwiesen. Stattdessen ist das Bild mit dem Code des Algorithmus signiert. Aber kann künstliche Intelligenz tatsächlich Urheber sein?
Rechtsrahmen für Kunst: Das Urheberrecht
Mit Blick auf das deutsche Urheberrecht kann diese Frage knapp beantwortet werden: Nein, KI kann kein Urheber sein. Denn Schöpfer eines Werkes können gemäß §§ 7, 2 Abs. 2 UrhG nur natürliche Personen, nicht aber etwa Maschinen sein.
Gleichzeitig wirft diese Antwort die Folgefrage auf, ob die mithilfe einer KI generierten Kunstwerke einer natürlichen Person zugerechnet werden können. Dies wäre der Fall, wenn die künstlichen Intelligenzen als Hilfsmittel im Schaffensprozess einzuordnen wären. Maßgeblich hierfür ist, ob die Hilfsmittel lediglich eine unterstützende Funktion haben oder einen überragenden prägenden Einfluss in das Werkschaffen einbringen.
Vor vergleichbaren Problemen stand das Urheberrecht in der Vergangenheit bereits bei technischen Neuerungen wie dem Fotoapparat und Computer. Grundsätzlich stehen diese Erfindungen einem Urheberrecht nicht entgegen und können Hilfsmittel sein, soweit die wesentlichen kreativen Entscheidungen beim Menschen liegen. Unumstritten war aber auch dies lange Zeit nicht.
Bei generativer KI stellt sich die Abgrenzungsfrage zwischen unterstützenden Hilfsmitteln des Menschen und „kreativen“ Maschinen erneut. Die zunehmende Rechenleistung der modernen Computer und vor allem die Verfügbarkeit großer Datenmengen, die zum Anlernen der KI-Anwendungen notwendig sind, verwischen eine klare Grenzziehung zunehmend. Denn im Vergleich zu althergebrachten technischen Hilfsmitteln beeinflusst KI den Schaffensprozess wesentlich stärker. Es bleibt abzuwarten, ob eine solche Grenzziehung künftig über eine Kasuistik der Rechtsprechung oder über ein Einschreiten des Gesetzgebers erfolgt. Aktuell herrscht jedenfalls Unsicherheit, ob die jeweiligen Erzeugnisse einem Urheberrecht zugänglich sind oder nicht. Letztlich dürfte sich dies nur anhand von Einzelfallentscheidungen klären lassen.
Der Einfluss der Forschung an der Erklärbarkeit von KI ist hierbei nicht zu unterschätzen. Denn für die Frage der Zurechnung ist das Verständnis der technischen Prozesse in den Systemen von herausragender Bedeutung. Eine Erforschung der sog. Blackbox dürfte daher insbesondere von KI-Künstlern gewünscht sein.
Fazit
Im Ergebnis wird die Entscheidung, ob ein Urheberrecht an dem jeweiligen Erzeugnis der künstlichen Intelligenz entsteht, eine des Einzelfalls sein. Tendenziell steht eine größere Undurchsichtigkeit der KI-Systeme, also das Wachstum der oftmals propagierten Blackbox, einem Urheberrecht entgegen. Da aber gleichzeitig auch die Forschung an der Erklärbarkeit von KI stark vorangetrieben wird, ist nicht ausgeschlossen, dass künftig eine konsistente Einordnung dieser neuen Technologie möglich ist.
Dr. Axel Grätz
2. Cybersicherheit in deutschen Unternehmen: Neue Pflichten durch geplante Neuregelungen des BSIG
Die voranschreitende Digitalisierung führt zu einer immer stärkeren Vernetzung aller Lebens- und Wirtschaftsbereiche. Diese Vernetzung führt aber auch zu Abhängigkeiten und schafft in der digitalen Welt neue Angriffsziele für Kriminelle. Besonders kritisch sind solche Angriffe in zentralen Bereichen der Wirtschaft und des Staates. Bricht z. B. die IT-Infrastruktur des Betreibers von einer Vielzahl von Krankenhäusern – auch nur für mehrere Stunden – weg, sind Menschenleben in Gefahr.
Um der wachsenden Cyberbedrohung entgegenzuwirken und die Funktionsfähigkeit des eigenen Binnenmarktes und die Versorgungssicherheit zu schützen, hat die Europäische Union am 14. Dezember 2022 die Richtlinie ((EU) 2022/2555) über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau der Unionerlassen, die sog. NIS-2-Richtlinie. Ziel der NIS-2-Richtlinie ist es, den stark fragmentierten Binnenmarkt auf ein einheitliches, hohes Cybersicherheitsniveau zu bringen.
Im Zusammenhang mit der geplanten Umsetzung der NIS-2-Richtlinie kursiert seit Juli dieses Jahres ein inoffizieller Referentenentwurf des Bundesministeriums des Innern und für Heimat, der insbesondere die bisherigen Regelungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik – kurz: BSIG – maßgeblich erweitert.
1. Fällt mein Unternehmen in den Anwendungsbereich des neuen BSIG?
Die geplanten Neuregelungen des BSIG (nachfolgend BSIG-E) erweitern der Anwendungsbereich auf voraussichtlich insgesamt 18 Sektoren, orientiert an den in der NIS-2 Richtlinie vorgegebenen Sektoren. Vergleicht man diese mit der aktuellen BSI-KritisV so kommen unter anderem die Obersektoren Weltraum, Chemie, Produktion und verarbeitendes Gewerbe hinzu. Welche Untersektoren genau vom BSIG-E erfasst werden, ist aktuell noch nicht bekannt. In Fortführung der bisherigen Systematik werden diese wohl in einer auf den BSIG-E angepassten BSI-KritisV abgebildet werden.
Die grundsätzlich erforderliche Mindestgröße des Unternehmens wird zudem angehoben und greift ab der Einstufung als mittleres Unternehmen. Nach § 2 BSIG-E ist dies ein Unternehmen, das
(a) mindestens 50 und höchstens 249 Mitarbeiter beschäftigt und zudem einen Jahresumsatz von weniger als 50 Millionen Euro oder eine Jahresbilanzsumme von weniger als 43 Millionen Euro aufweist, oder
(b) weniger als 50 Mitarbeiter beschäftigt und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mindestens 10 Millionen Euro und einen Jahresumsatz von höchstens 50 Millionen Euro sowie eine Bilanzsumme von höchstens 43 Millionen Euro aufweist.
Betreiber kritischer Anlagen werden zudem größenunabhängig erfasst.
Unternehmen, die nicht unter den gesetzlichen Anwendungsbereich fallen, müssen sich ebenfalls zwingend mit den Pflichten des BSIG-E befassen. Denn aktuell sieht § 30 Abs. 4 Nr. 4 BSIG-E vor, dass Unternehmen, die unter das BSIG-E fallen, Maßnahmen treffen müssen, die auch die Sicherheit der Lieferkette umfassen. Es ist zu befürchten, dass Unternehmen im Zweifel vorsorglich und flächendeckend Regelungsgegenstände des BSIG-E auf ihre gesamte Lieferkette ausweiten.
Der Gesetzgeber geht unabhängig von dieser „mittelbaren“ Auswirkung davon aus, dass rund 30.000 Unternehmen erstmals unter die Regelungen des BSIG-E fallen.
2. Was ändert sich für betroffene Unternehmen und was ist aktuell zu tun?
Der BSIG-E enthält einen umfassenden Maßnahmenkatalog, vgl. §§ 30 ff. BSIG-E, den betroffene Unternehmen beachten müssen. Dabei erweitert die Neuregelung die bisher existierenden Pflichten.
So statuieren die §§ 31 und 35 BSIG-E gegenüber den bisherigen Meldepflichten für Sicherheitsvorfälle ausdrücklich kurze Fristen für die Erstmeldung von maximal 24 Stunden und sehen sukzessive Folgemeldungen mit Bewertungspflichten vor.
Cybersicherheit wird nun auch gesetzlich zur „Chefsache“. § 38 BSIG-E normiert ausdrücklich die persönliche Haftung der Geschäftsleitung gegenüber dem Unternehmen ( siehe hierzu ausführlich den Beitrag „Cyberrisikomanagement – Pflicht für jede Geschäftsleitung“). Daneben ist die Geschäftsleitung zur Teilnahme an entsprechenden Schulungen verpflichtet.
Gerade für Unternehmen, die künftig in den Anwendungsbereich fallen, bietet es sich an, die IT-Sicherheitsstruktur frühzeitig auf Handlungsbedarf zu prüfen. Das BSIG-E tritt voraussichtlich im Oktober 2024 in Kraft.
Sie wissen nicht, ob Ihr Unternehmen in den Anwendungsbereich der NIS-2-Richtlinie oder des BSIG-E fällt? Sprechen Sie uns gerne hierzu an.
Christian Saßenbach
3. EuGH konkretisiert Reichweite des Auskunfts- und Kopieanspruchs nach Art. 15 Abs. 1 und 3 DSGVO
Unternehmen bearbeiten und beantworten regelmäßig Auskunftsbegehren von Arbeitnehmern, Kunden und anderen Dritten. Denn nach Art. 15 Abs. 1 und 3 DSGVO hat ein Betroffener das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob seine personenbezogenen Daten verarbeitet werden. Wenn dem so ist, hat der Betroffene einen Anspruch darauf, Auskunft und eine Kopie über die verarbeiteten personenbezogenen Daten zu erhalten. Der Europäische Gerichtshof (EuGH) hat in diesem Jahr mit mehreren Entscheidungen die Reichweite dieses Auskunfts- und Kopieanspruchs konkretisiert.
Der Verantwortliche hat die konkreten Empfänger der Daten anzugeben
Gemäß Art. 15 Abs. 1 lit. c DSGVO muss der Verantwortliche Auskunft über die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten des Betroffenen geben. Nach dem Gesetzeswortlaut ließ sich bisher argumentieren, dass der Verantwortliche wählen kann, ob er die konkreten Empfänger nennt oder einzig die Kategorien von Empfängern.
Mit Urteil vom 12. Januar 2023 (Rechtssache C 154/21) hat der EuGH entschieden, dass Verantwortliche im Rahmen der Beantwortung eines Auskunftsanspruchs grundsätzlich dazu verpflichtet sind, konkrete Empfänger zu benennen, gegenüber denen sie die personenbezogenen Daten des anfragenden Betroffenen offengelegt haben oder noch offenlegen werden. Lediglich die Kategorien der Empfänger zu benennen, reicht hingegen nicht bzw. nur in Ausnahmefällen aus.
Der EuGH stellte zunächst klar, dass der Wortlaut von Art. 15 Abs. 1 lit. c DSGVO weder für die eine noch für die andere Auffassung spricht. Allerdings sei schon dem 63. Erwägungsgrund zur DSGVO zu entnehmen, dass die betroffene Person ein Anrecht darauf haben muss, zu erfahren, wer der Empfänger seiner personenbezogenen Daten ist.
Der EuGH stellte gleichzeitig heraus, dass das Auskunftsrecht nicht in allen Fällen verlange, dass Informationen über die konkreten Empfänger preisgegeben werden. Unter bestimmten Umständen könne es unmöglich sein, die Identität der konkreten Empfänger mitzuteilen – insbesondere, wenn diese noch nicht bekannt sind. In diesen Fällen soll es nach dem EuGH dann ausreichend sein, die Auskunft auf Kategorien von Empfängern zu beschränken.
Hat ein Betroffener Anspruch auf Kopie eines gesamten Dokuments?
Darüber hinaus hatte der EuGH zu klären, ob Unternehmen auf Antrag eines Auskunftsanspruchs gemäß Art. 15 Abs. 3 DSGVO auch Kopien von Dokumenten, die personenbezogene Daten des Betroffenen enthalten, übermitteln müssen, oder ob eine Kopie einer Liste der verarbeiteten personenbezogenen Daten ausreichend ist.
Der EuGH (Urteil vom 4. Mai 2023 – C-487/21) entschied zunächst, dass das Recht auf eine „Kopie“ der verarbeiteten personenbezogenen Daten gem. Art. 15 Abs. 3 DSGVO dem Betroffenen eine originalgetreue und verständliche Reproduktion seiner verarbeiteten Daten zuspricht. Damit gehe einher, dass auch Auszüge aus Dokumenten bzw. Datenbanken oder auch vollständige Dokumente, in denen personenbezogene Daten verarbeitet wurden, als Kopie übermittelt werden müssen, um die erforderliche Transparenz und leichte Verständlichkeit der Informationen zu gewährleisten, sowie der betroffenen Person auf diese Weise die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. Vor allem bestehe ein solcher Anspruch, wenn personenbezogene Daten aus anderen Daten generiert würden und der Kontext, in dem die Daten verarbeitet wurden, für eine transparente Auskunft und verständliche Darstellung unerlässlich sei.
Betroffene haben nach Ansicht des EuGH einen Anspruch auf Übermittlung von Kopien des Dokuments (oder Auszügen dessen), das personenbezogene Informationen über sie enthält, wenn dies unerlässlich sei, um demjenigen die wirksame Ausübung der ihm durch die DSGVO verliehenen Rechte zu ermöglichen. In dem Zusammenhang bleibt zu berücksichtigen, dass Rechte oder Freiheiten anderer Personen bei der Zurverfügungstellung einer Kopie nicht beeinträchtigt werden dürfen (Art. 15 Abs. 4 DSGVO).
Darf der Betroffene erfahren, welche Mitarbeiter die Daten abfragten?
Schließlich entschied der EuGH am 22. Juni 2023 (Rechtssache C-579/21) über die Frage, ob die betroffene Person auch das Recht hat, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.
Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.
Der EuGH hielt in der Entscheidung fest, dass das Ziel des Auskunftsrechts sei, eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.
So sei nach Ansicht des EuGH auch der Zeitpunkt der Verarbeitung gegebenenfalls eine notwendige Information. Jedoch stellte der EuGH heraus, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Somit hat der Betroffene nach Ansicht des EuGH keinen Anspruch auf Auskunft über konkrete Mitarbeiter, die auf die personenbezogenen Daten zugegriffen haben.
Patrick Schwarze
4. Legal Tech und das anwaltliche Berufsrecht
Im Zuge der rasant fortschreitenden Entwicklungen im Bereich Legal Tech stellen sich die Frage zur Vereinbarkeit eingesetzter digitaler Hilfsmittel und den Grundsätzen des anwaltlichen Berufsrechts.
Seit einigen Jahren gewinnen Legal Tech Tools in verschiedenen Ausprägungen an Bedeutung: Beispielsweise ermöglichen Laien Portale wie wenigermiete.de oder flighright.de, ihre Rechtsansprüchee in Massenverfahren per Mausklick einfach durchzusetzen. Auch in Anwaltskanzleien und Rechtsabteilungen werden vermehrt Legal Tech Tools genutzt, um beispielsweise Standardverträge automatisch zu erstellen. Diese Anwendungsfälle fallen unter den Begriff „Legal Tech 2.0“, bei dem vor allem standardisierte Prozesse unterstützt und abgebildet werden oder der Zugang zum Recht in Massenschadensfällen durch Digitalisierung stark vereinfacht wird.
Das eigentliche rechtliche Spannungsfeld zwischen Legal Tech und anwaltlichem Berufsrechts entsteht allerdings durch den zunehmenden Gebrauch von „Legal Tech 3.0“-Tools. Diese Tools setzen nämlich künstliche Intelligenz (KI) ein, um selbst hochkomplexe juristische Problemstellungen zu bearbeiten.
Legal-Tech Rechtsstreit in Österreich
Ein aktuelles Beispiel für das Spannungsfeld zwischen Recht und Technik ist die österreichische Legal-Tech-Firma incaseof.law, die Rechtsanwälten Lösungsvorschläge für juristische Anfragen unterbreitet.
Der Rechtsstreit in Österreich gegen incaseof.law veranschaulicht die rechtlichen Fragen, die zwischen Legal Tech und den Vorgaben des anwaltlichen Berufsrechts entstehen. Der österreichische Rechtsanwaltsverein hatte gegen die incaseof.law GmbH Klage erhoben. Die zentrale Frage war, ob durch KI-Systeme erzeugte Ratschläge für Rechtsanwälte zulässig seien. Das Gericht hat diese Frage im Grundsatz bejaht und betont, dass Rechtsanwälte auch von externen Quellen Ratschläge einholen dürfen, unabhängig davon, ob sie von Menschen oder Maschinen stammen. Die finale Entscheidung, wie diese Vorschläge für die Durchsetzung der Mandanteninteressen eingesetzt werden, muss jedoch vom Anwalt in jedem Einzelfall erneut getroffen werden.
Diese gerichtliche Entscheidung in Österreich kann bedeutende Konsequenzen für die Beziehung zwischen Anwälten und Legal Tech 3.0 haben. Sie verdeutlicht, dass die rechtlichen Rahmenbedingungen für den Einsatz von KI in der Rechtsbranche mit dem Berufsrecht in Einklang gebracht werden müssen.
Zulässigkeit von Legal Tech 3.0 nach deutschem Recht
Wie verhält es sich mit der rechtlichen Zulässigkeit von Legal Tech 3.0 Tools in Deutschland und dem Spannungsverhältnis zum anwaltlichen Berufsrecht? Die entscheidende Frage ist, ob die Dienstleistungen, die diese Programme erbringen, als Rechtsdienstleistungen im Sinne von § 2 Abs. 1 RDG (Rechtsdienstleistungsgesetz) einzustufen sind. Dies ist dann der Fall, wenn die Dienstleistung in konkreten fremden Angelegenheiten erfolgt und eine rechtliche Prüfung des Einzelfalls erfordert. Insoweit kommt es darauf an, ob und inwieweit automatisierte Rechtsdienstleistungen oder durch KI generierte Antworten darunter zu subsumieren sind.
In Bezug auf automatisierte Rechtsdienstleistungen hat der Bundesgerichtshof (BGH) erstmals 2021 in der Sache Smartlaw entschieden, dass dieses konkrete Geschäftsmodell keine Rechtsdienstleistung darstellt. Diese Art von Plattform verwendet vordefinierte Textbausteine und nimmt keine konkrete Einzelfallprüfung vor. Sie reagiert lediglich auf abstrakte Fälle und kann nicht mit komplexen, vom Standard abweichenden Faktoren umgehen.
Für Legal Tech 3.0 Tools könnte dies anders aussehen. Programme wie Chat-GPT, die auf künstlicher Intelligenz basieren, verfügen über die Fähigkeit, auf individuelle Abweichungen von etablierten Regelwerken zu reagieren. Sie analysieren in Echtzeit eine Datenmenge und können somit grundsätzlich auf konkrete, fremde Angelegenheiten eingehen. Der BGH hat in seinem Urteil zu Smartlaw festgestellt, dass Maschinen in der Lage sind, Tätigkeiten auszuüben, wobei der Inhalt der erbrachten Leistung ausschlaggebend ist, unabhängig davon, ob ein Mensch oder eine Maschine sie erbringt.
Auch die Erwartungshaltung der Nutzer spielt eine bedeutende Rolle bei der Einordnung der Leistungen von Legal Tech Tools. Chat-GPT weist beispielsweise ausdrücklich darauf hin, dass die erzeugten Antworten keine rechtliche Beratung darstellen. Dennoch kann der Inhalt der generierten Antworten und somit auch der bereitgestellten Ratschläge durch die Art der gestellten Fragen, das sogenannte „Prompten“, beeinflusst oder manipuliert werden.
Die bisherige Rechtsprechung des BGH zu Legal Tech Geschäftsmodellen lässt sich nicht unmittelbar auf ChatGPT übertragen, da dieses eigenständig Ergebnisse aus umfangreichen Datenmengen generiert und somit ein Vergleichsmaßstab fehlt.
Die Schwelle zur Einführung von KI-basierten Rechtsdienstleistungen wird dann überschritten, wenn spezielle juristische Legal Tech Tools auf den Markt kommen, die in der Lage sind, konkrete rechtliche Sachverhalte zu behandeln. Angesichts der aktuellen Geschwindigkeit des Fortschritts in diesem Bereich ist damit zeitnah zu rechnen.
Fazit und Ausblick
Die Zulässigkeit von Rechtsberatung durch künstliche Intelligenz ist bisher weitgehend ungeklärt. Angesichts aktueller Trends und Entwicklungen wird sie jedoch eher früher als später von der Rechtsprechung beantwortet werden müssen. Bereits jetzt zeigt sich, dass das Rechtsdienstleistungsgesetz Schwierigkeiten bei der Regulierung von Legal Tech und künstlicher Intelligenz aufwirft.
Aus den bisherigen Entscheidungen des BGH zu Legal-Tech Geschäftsmodellen lässt sich eine grundsätzlich positive und zukunftsweisende Haltung der Rechtsprechung ableiten. Angesichts der fortschreitenden technischen Entwicklungen und der parallel laufenden Regulierungsdebatte auf europäischer Ebene zum AI Act bleibt jedoch abzuwarten, wie sich die rechtlichen Rahmenbedingungen und damit die Rechtsprechung zu dieser Thematik entwickeln wird.
Michael Lamberty
5. BGH fragt EuGH zur DSGVO: Immaterieller Schaden bei bloßen negativen Gefühlen?
Mit Beschluss vom 26. September 2023 (Az. VI ZR 97/22) hat der Bundesgerichtshof (BGH) dem Europäischen Gerichtshof (EuGH) mehrere Fragen zum unionsrechtlichen Unterlassungsanspruch und zur Auslegung des Begriffs des immateriellen Schadens nach der DSGVO zur Vorabentscheidung vorgelegt.
Sachverhalt
Den Vorlagefragen liegt ein Verfahren zugrunde, bei dem der Kläger die Beklagte wegen der Weitergabe persönlicher Daten auf Unterlassung und Ersatz immateriellen Schadens in Anspruch nimmt. Der Kläger befand sich bei der Beklagten, einer Privatbank, in einem über ein Online-Portal stattfindenden Bewerbungsverfahren. Im Laufe dieses Bewerbungsverfahrens versandte eine Mitarbeiterin der Beklagten über den dortigen Messenger-Dienst eine für den Kläger bestimmte Nachricht nicht nur an ihn, sondern auch an eine dritte, nicht am Bewerbungsverfahren beteiligte Person. Diese Person und der Kläger waren einander bekannt, da beide vor einiger Zeit innerhalb derselben Holding gearbeitet hatten. Inhalt der Nachricht war u. a. eine Mitteilung, dass die Beklagte die Gehaltsvorstellungen des Klägers nicht erfüllen könne.
Der Kläger macht geltend, dass sein – immaterieller – Schaden nicht im abstrakten Kontrollverlust über die offenbarten Daten liege, sondern darin, dass durch die Offenbarung gegenüber dem Dritten mindestens eine weitere Person, die den Kläger und potenzielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Es sei zu befürchten, dass der in der gleichen Branche tätige Dritte die in der Nachricht enthaltenen Daten weitergegeben habe oder sich durch ihre Kenntnis als Konkurrent auf etwaige Stellen im Bewerbungsprozess einen Vorteil habe verschaffen können. Zudem empfinde er das „Unterliegen“ in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte – vor allem nicht an potenzielle Konkurrenten – weitergegeben hätte.
Nachdem das Landgericht der Klage teilweise stattgegeben hatte, die Beklagte antragsgemäß auf Unterlassung verurteilt und einen immateriellen Schadensersatzanspruch – wenn auch nicht in der geltend gemachten Höhe – bejaht hatte, hat das Berufungsgericht das erstinstanzliche Urteil hinsichtlich des Anspruchs auf immateriellen Schadensersatz abgeändert und die Klage insoweit abgewiesen. Gegen diese Entscheidung wendet sich der Kläger mit seiner Revision zum BGH.
Vorlagefragen zum Begriff des immateriellen Schadens
Der BGH hat das Verfahren ausgesetzt und dem EuGH mehrere Fragen zur Vorabentscheidung vorgelegt. Bezogen auf den Begriff des immateriellen Schadens möchte der BGH geklärt wissen, ob
- Art. 82 Abs. 1 dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist,
- Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt und
- Art. 82 Abs. 1 dahingehend auszulegen ist, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht (unter der Bedingung, dass eine der Vorlagefragen zum unionsrechtlichen Unterlassungsanspruch bejaht wird).
Rechtliche Einordnung
In seinem Grundsatzurteil vom 4. Mai 2023 (Az. C-300/21) hatte sich der EuGH bereits eingehend mit den Voraussetzungen des Art. 82 Abs. 1 DSGVO befasst und entschieden, dass für das Bestehen eines Schadensersatzanspruchs nach dieser Norm nicht lediglich ein Verstoß gegen die DSGVO genüge – wobei weiterhin unklar ist, ob Verstöße jenseits der Rechtswidrigkeit der Verarbeitung ebenfalls umfasst sind –, sondern der Betroffene zusätzlich einen tatsächlich erlittenen Schaden geltend machen müsse, der kausal auf diesem Verstoß beruhe.
Allerdings stellte der EuGH ausdrücklich fest, dass der eingetretene Schaden keinen bestimmten Grad an Erheblichkeit erreichen müsse. Anders als der Generalanwalt in seinen Schlussanträgen hatte der EuGH nationalstaatlichen Schwellen – wie auch der in Deutschland von den Gerichten angenommenen Bagatellschwelle – damit eine klare Absage erteilt.
Unklar war bzw. ist auch nach dieser Entscheidung geblieben, welche Beeinträchtigungen einen immateriellen Schaden darstellen. Mit der Frage, ob bereits bloße negative Gefühle wie z. B. Ärger Unmut, Unzufriedenheit, Sorge und Angst genügen oder ein über diese Gefühle hinausgehender Nachteil für die betroffene Person erforderlich ist, wird dem EuGH nun Gelegenheit gegeben, den Begriff des immateriellen Schadens konkreter zu fassen und damit mehr Klarheit und Rechtssicherheit zu schaffen. Auch vor dem Hintergrund der Ablehnung einer Bagatellgrenze und des damit verbundenen, wahrnehmbar zunehmenden Anreizes, Schadensersatz im Zusammenhang mit Verstößen gegen die DSGVO zu verlangen, ist dies begrüßenswert.
Der Begriff des immateriellen Schadens wird in den kommenden Monaten weiter an Kontur gewinnen, da über das Vorabentscheidungsersuchen des BGH hinaus derzeit noch einige weitere Vorlageverfahren beim EuGH anhängig sind, die sich mit dem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO befassen.
Wir werden Sie über die Entwicklungen und Antworten des EuGH in den nächsten Newslettern informieren.
Tobias Kollakowski
Legal Tech Tools - Digitale Anwendungen für effizientere Lösungen
Endecken Sie unser umfangreiches Legal Tech Angebot! Erfahren Sie mehr ...
Christian Saßenbach
LL.M. (Norwich), CIPP/E
AssociateRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 115
M +49 151 1765 2240
Dr. Hanna Schmidt
Junior PartnerinRechtsanwältin
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126