Fokus IT&C – 3. Quartal 2024

Wir haben für Sie wichtige und spannende Neuerungen und Rechtsprechung aus dem IT-Recht und Datenschutz zusammengestellt. Viel Spaß beim Lesen!

1. LG Kiel: Arglistige Täuschung bei Risikofragen – Versicherer ficht Cyberversicherung an 

2. KI-Prozess am Landgericht Hamburg

3. Auf welche Systeme findet die KI VO der EU Anwendung?

4. Neue FAQ der EU-Kommission zum Data Act: Wichtige Einblicke ein Jahr vor der Anwendbarkeit

5. Neuer DSK-Beschluss zu Asset Deals: Anforderungen an den Umgang mit personenbezogenen Daten

6. Neues rund um DSA und DDG: Künftige Leitlinien für höheren Online-Schutz von Minderjährigen und die erste zertifizierte nationale Streitbeilegungsstelle für Online-Plattformen

1. LG Kiel: Arglistige Täuschung bei Risikofragen – Versicherer ficht Cyberversicherung an 

Angesichts der angespannten Cybersicherheitslage und des hohen Schadenspotenzials von Cyberangriffen nimmt der Bedarf an entsprechendem Versicherungsschutz rasant zu. Viele Fragen zur Versicherungsdeckung sind allerdings noch ungeklärt. 

Das erste Urteil zu einer Cyberversicherung erging im Mai 2023 durch das Landgericht Tübingen und hat gezeigt, wie wichtig für Versicherer eine Risikoprüfung mit umfangreichen Risikofragen ist (siehe dazu unseren Fokus IT&C 1. Quartal). Nun hat sich das Landgericht Kiel in seinem Urteil vom 23. Mai 2024 (Az. 5 O 128/21) mit den Risikofragen befasst und unterstreicht erneut deren hohe Relevanz – auch für die Versicherungsnehmer.

Der Fall 

Zwischen den Parteien bestand eine Cyberversicherung. Der Vertragsschluss erfolgte über ein Onlineportal nach einem sog. Invitatiomodell, wobei zunächst eine Reihe von Risikofragen zum Zustand der IT und den Gefahrumständen zu beantworten waren. Dies übernahm ein Mitarbeiter der Versicherungsmaklerin in Absprache mit dem Leiter der IT-Abteilung der Klägerin. Basierend auf diesen Angaben machte anschließend die Beklagte als Versicherer ein Angebot, welches die Klägerin annahm. 

Die Klägerin wurde später Opfer eines Cyberangriffs. Über einen als Webserver genutzten Rechner der Klägerin wurde eine Schadsoftware eingeschleust. Es stellte sich heraus, dass das IT-System der Klägerin mehrere gravierende Sicherheitsmängel aufwies. So lief der Webserver unter dem Betriebssystem Windows 2008, für das mangels Supportvertrag mit dem Hersteller keine Software- und Sicherheitsupdates mehr bereitgestellt wurden. Außerdem fehlte ein Virenscanner. Andere Rechner liefen unter dem Betriebssystem Windows 2003. Sie verfügten ebenfalls über keinen Virenscanner, Sicherheitsupdates des Herstellers waren auch hier nicht verfügbar. Auch der Domain-Controller der Beklagten – ein Server zur zentralen Authentifizierung von Benutzern und Computern in einem Netzwerk – befand sich noch im Auslieferungszustand von 2019 und wurde seitdem nicht aktualisiert.

Die Beklagte berief sich u. a. auf eine Anfechtung wegen arglistiger Täuschung, da einige der Risikofragen falsch beantwortet und Sicherheitsmängel verschwiegen worden seien.

Entscheidung des Gerichts

Das Gericht bestätigte die Anfechtung des Versicherungsvertrages wegen arglistiger Täuschung und wies die Klage der Versicherungsnehmerin ab. Der Mitarbeiter der Klägerin habe seine Angaben im Bewusstsein seiner Unkenntnis ins Blaue hinein gemacht und damit die folgenden Risikofragen im Rahmen der Invitatio objektiv falsch mit „Ja“ beantwortet:

•  „Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet“ (Risikofrage Nr. 3). 
•  „Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme)“ (Risikofrage Nr. 4).

Die Beantwortung der Risikofragen sei ein notwendiger Schritt für die Aufnahme von Vertragsverhandlungen mit der Beklagten gewesen und habe zumindest die Höhe der Versicherungsprämie beeinflusst. Unbeachtlich sei, ob diese Fragen auch in Textform gemäß § 126b BGB, wie im Fall des § 19 Abs. 1 VVG gefordert, gestellt worden seien. Denn eine arglistige Täuschung könne auch bei falscher Beantwortung von vor Vertragsschluss gestellten mündlichen Fragen vorliegen, so dass dies erst recht für Fragen gelte, die lediglich über ein Onlineportal auf dem Bildschirm sichtbar seien.

Der Begriff des „Arbeitsrechners“ aus Risikofrage Nr. 3 umfasse alle Computersysteme, die in einem Betrieb Funktionen wahrnehmen. Denn die Gesamtheit des Netzwerkes sei nur so sicher, wie deren schwächste Glieder.

Dass der Leiter der IT-Abteilung nicht an die entsprechenden Systeme gedacht habe und ihm unbekannt gewesen sei, dass der Domain-Controller sich weiterhin im Auslieferungszustand befand, wertete das Gericht als eine „bewusste Unkenntnis“ in dem Sinne eines „na wenn schon“, die die Voraussetzungen einer arglistigen Täuschung erfüllt. 

Fazit

Das Urteil des Landgerichts Kiel zeigt, dass Versicherungsnehmer die vorvertraglich gestellten Risikofragen ernstnehmen müssen. Diese sollten die Fragen stets wahrheitsgemäß beantworten, sich mit den gefragten Inhalten auseinandersetzen und sich über ihre Systeme informieren. Ansonsten besteht die Gefahr, dass sich Versicherer im Schadensfall von ihren Pflichten lösen können und Versicherungsnehmer auf den Kosten sitzen bleiben. 

Dr. Hanna Schmidt

Zurück

2. KI-Prozess am Landgericht Hamburg

Das Training einer Künstlichen Intelligenz („KI“) erfordert bekanntlich große Datenmengen. Diese Daten werden häufig direkt aus dem Internet bezogen oder von Anbietern geeigneter Datenbänke bereitgestellt. Im Detail ungeklärt ist bislang, inwieweit zur Beschaffung solcher Datensätze auf die urheberrechtliche Schrankenregelung zum Text- und Datamining nach § 44b UrhG zurückgegriffen werden kann.

Nach § 44b UrhG sind Vervielfältigungen von rechtmäßig zugänglichen Werken für das Text- und Data Mining grundsätzlich zulässig. Ausnahmsweise ist dies nicht der Fall, wenn sich der Rechtsinhaber die Nutzung zum Text- und Data Mining vorbehalten hat (Opt Out). Einen solchen Nutzungsvorbehalt muss der Rechtsinhaber aber in maschinenlesbarer Form erklären, damit er wirksam ist (vgl. § 44b Abs. 3 UrhG).

Sachverhalt

Aktuell ist ein Prozess vor dem LG Hamburg anhängig (Az. 310 O 227/23), der erstmals die Anwendbarkeit und Voraussetzungen des § 44b UrhG im Kontext des KI-Trainings in einer Entscheidung darstellen wird.

Beklagter ist der gemeinnützige Verein LAION e.V., der sich zum Ziel gesetzt hat, Forschung im Bereich von KI zu fördern. LAION stellte unter der Bezeichnung LAION 5B einen Datensatz mit fast sechs Milliarden Bild-Text-Paaren zum KI-Training bereit. Darin ist ein Bild enthalten, das von dem Fotografen Robert Kneschke stammt. Robert Kneschke hatte sein Bild zuvor auf der Website Bigstock hochgeladen. Die Nutzungsbedingungen von Bigstock enthalten die Regelung, dass die Bilder nicht für „automated programms“ genutzt werden dürfen.

Zentrale Fragen des Prozesses vor dem LG Hamburg sind (i) ob § 44b UrhG überhaupt für KI-Trainingsdatensätze anwendbar ist und (ii) welche Anforderungen an die Maschinenlesbarkeit eines Nutzungsvorbehalts zu stellen sind.

Vorläufige Rechtsauffassung des Gerichts

Das Gericht hält § 44b UrhG nach seiner vorläufig mitgeteilten Rechtsauffassung für KI-Trainingsdatensätze unproblematisch für anwendbar. Dies bestätige insbesondere die jüngst in Kraft getretene KI-Verordnung. Der Gesetzgeber bringe mit dieser Verordnung sein Interesse an der Förderung von Entwicklungen auf dem Gebiet der KI zum Ausdruck. In der juristischen Literatur ist dies bislang streitig. Die Anwendbarkeit von § 44b UrhG auf generative KI wird mit dem Argument angezweifelt, dass der Gesetzgeber zum Zeitpunkt der Schaffung des § 44b UrhG ausschließlich automatisierte Mustererkennung, nicht aber KI, habe erfassen wollen.

Unbeantwortet ließ das LG Hamburg bislang die Frage, welche Anforderungen an die Maschinenlesbarkeit eines Nutzungsvorbehalts nach § 44b Abs. 3 UrhG zu stellen sind, insbesondere, ob ein solcher in AGB wirksam geäußert werden kann. Nach einem weiten Verständnis der Maschinenlesbarkeit wäre schon ausreichend, dass der Nutzungsvorbehalt wörtlich in den AGB enthalten ist. Eine besondere technische Ausgestaltung wäre nicht erforderlich. Ein enges Verständnis verlangt dagegen eine technische Erkennbarkeit des Vorbehalts durch die KI. Für Suchmaschinen werden diese engen Vorgaben beispielsweise seit Jahren durch das Dateiformat robots.txt umgesetzt. Es bleibt daher spannend, welcher Auslegung das LG Hamburg folgen wird.

3. Ausblick

Am 27. September 2024 wird das LG Hamburg seine Entscheidung verkünden. Anbieter und Betreiber von KI-Systemen sind gut beraten, das Verfahren im Blick zu behalten und ihr KI-Training an die Entscheidung anzupassen.

Dr. Axel Grätz

Zurück

3. Auf welche Systeme findet die KI VO der EU Anwendung?

Am 13. Juni 2024 ist die Verordnung (EU) 2024/1689 des europäischen Parlamentes und des Rates („KI VO“) in Kraft getreten. Die KI VO ist nur auf „KI-Systeme“ anwendbar. Was hierunter zu verstehen ist, ist in Art. 3 Nr. 1 der KI VO definiert. Unternehmen, die wissen möchten, ob und in Bezug auf welche Software sie sich an die KI VO zu halten haben, müssen also prüfen, ob ein KI-System vorliegt, d. h.

1. „ein maschinengestütztes System, 
2. das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und
3. das nach seiner Betriebsaufnahme anpassungsfähig sein kann und
4. das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, 
5. die physische oder virtuelle Umgebungen beeinflussen können.“

Die von einem KI-System erzeugten Ergebnisse erwähnt die Definition nur unspezifisch: Es muss sich, wie oben genannt, um „Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen“ handeln. Ein KI-System ist also nicht an den von ihm erzeugten Ergebnissen zu erkennen. Vielmehr müssen Unternehmen verstehen, wie die Ergebnisse erzeugt werden.

Da alle KI-Systeme computerimplementiert – und daher „maschinengestützt“ – sind, die Anpassungsfähigkeit nur ein fakultatives Kriterium ist und jede Ausgabe zumindest eine virtuelle Umgebung beeinflusst, sind nach allgemeiner Ansicht die entscheidenden Kriterien der Definition (i) die Auslegung des KI-Systems „für einen in unterschiedlichem Grade autonomen Betrieb“ sowie (ii) die Fähigkeit, aus Eingaben abzuleiten „wie“ Ausgaben erstellt werden: 

• Nach dem ISO Standard zu künstlicher Intelligenz (ISO/IEC 229892022) bedeutet Autonomie die Fähigkeit „seinen vorgesehenen Einsatzbereich oder sein Ziel ohne externe Intervention, Kontrolle oder Aufsicht zu ändern“. Ist dies nicht der Fall, sollen verschiedene Stufen der Automation vorliegen. Die bloß „automatische Ausführung“ genügt nach Satz 2 von ErwG 12 KI VO aber gerade nicht. Andererseits existieren KI-gestützte Anwendungen, die ihren Einsatzbereich oder ihr Ziel ohne menschliches Zutun verändern, wohl (noch) nicht. Bei diesem Verständnis liefe die Definition also aktuell leer. Zudem legt die Formulierung „in unterschiedlichem Grade“ nahe, dass an den „autonomen Betrieb“ keine allzu hohen Anforderungen zu stellen sind. Daher sollte die Tatbestandsvoraussetzung bejaht werden, wenn das System – anders als durch von Menschen definierte Regeln – eigenständig zu (unvorhersehbaren) Ergebnissen kommt (dabei aber weder den vorgegebenen Einsatzbereich noch die definierten Ziele ändert).

• Das weitere Tatbestandsmerkmal der Ableitungsfähigkeit greift hier ohne inhaltlichen Bruch: Denn das KI-System muss die Fähigkeit besitzen, aus den „erhaltenen Eingaben“ abzuleiten „wie“ Ausgaben erzeugt werden, es muss also gewissermaßen die anzuwendenden Regeln selbst aufstellen. In diesem Sinne spricht Satz 2 von ErwG 12 KI VO davon, dass ein KI-System nicht „auf ausschließlich von natürlichen Personen definierten Regeln […] beruhen“ darf.

• Fraglich ist, ob die Regeln aus während der Nutzungsphase vom Betreiber erfolgten Eingaben (z. B. Prompts) abgeleitet werden müssen. Dies wäre problematisch, da die derzeit verfügbaren KI-Anwendungen – von wenigen Ausnahmen abgesehen –  nur während Trainingsphasen Regeln aus den Trainingsdaten ableiten. Art. 3 Nr. 1 KI VO spricht allerdings von „Eingaben“, während Art. 3 Nr. 33 KI VO den Begriff „Eingabedaten“ definiert und zwar zur Begründung von Anbieterpflichten für Hochrisiko-KI-Systeme (vgl. in Art. 12 (3), 13 (3) (b) (vi), 15 (5) und 26 (4) KI VO): Eingabedaten sind danach „die in ein KI-System eingespeisten oder von diesem direkt erfassten Daten, auf deren Grundlage das System eine Ausgabe hervorbringt“. Zum einen verwendet also Art. 3 Nr. 1 KI VO einen anderen Begriff und zum anderen differenziert Art. 3 Nr. 33 KI VO selbst nicht zwischen Trainings- und Nutzungsphase oder Dateneingaben durch Anbieter oder Betreiber.

Es spricht daher viel dafür, dass KI-Systeme solche Software meint, die insbesondere während der Trainingsphase die von ihr angewendeten Regeln selbst definiert und insofern unabhängig von durch den Menschen definierten Regeln, mithin autonom, agiert.  Eine klare Definition des zentralen Begriffes „KI-System“, wie von ErwG 12 KI VO im ersten Satz gewünscht, liegt aber gerade nicht vor. Selbst wenn dieser Begriff zukünftig durch Rechtsprechung des EuGH geschärft würde, bleibt festzuhalten, dass Unternehmen, die KI-Anwendungen einkaufen, prüfen oder sich zumindest verbindlich zusichern lassen müssen, ob diese Voraussetzung erfüllt ist oder nicht

Dr. Marc Hilber LL.M.

Zurück

4. Neue FAQ der EU-Kommission zum Data Act: Wichtige Einblicke ein Jahr vor der Anwendbarkeit

Die EU-Kommission hat kürzlich ausführliche FAQ zum Data Act (Verordnung (EU) 2023/2854) veröffentlicht, die eine Hilfestellung zur Interpretation und Umsetzung zentraler Vorschriften des Data Acts liefern sollen. Da der der Data Act bereits in etwas weniger als einem Jahr unmittelbar anwendbar sein wird, sollten Unternehmen, für deren Produkte oder Dienstleistungen der Data Act relevant ist oder sein könnte, die FAQ künftig bei ihren Überlegungen zur Umsetzung des Data Acts berücksichtigen.

Hintergrund – Anwendungsbereich des Data Acts

Der Data Act soll insbesondere einen Rechtsrahmen für den Zugang zu sowie die Nutzung von Daten schaffen. Im Zentrum des Data Acts steht die Verpflichtung sogenannter Dateninhaber (regelmäßig Hersteller von vernetzten Produkten oder Anbieter „verbundener Dienste“), Nutzern von Produkten oder verbundenen Diensten Zugang zu Daten zu gewähren, die bei der Nutzung der Produkte/Dienste entstehen. „Nutzer“ können dabei sowohl Unternehmen als auch Verbraucher sein. Der Data Act ist daher sowohl im B2B- als auch im B2C-Bereich relevant. Hersteller müssen ihre Produkte bzw. Dienste so konzipieren, dass die erzeugten Daten für den Nutzer „einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format“ zugänglich sind. Sollten Dateninhaber die Daten selbst nutzen wollen, ist der Abschluss eines Datenlizenzvertrages mit dem Nutzer erforderlich. Ein weiterer Kernpunkt des Data Acts ist das Recht auf Weitergabe von Daten an Dritte „auf Weisung“ des Nutzers, jedoch mit Einschränkungen für sogenannte Gatekeeper im Sinne des Digital Markets Acts (Verordnung (EU) 2022/1925), um deren beherrschende Marktposition nicht weiter zu stärken. Als solche Gatekeeper gelten z. B. Akteure wie Google, Meta und Amazon. Zudem soll der Data Act die Interoperabilität von Cloud-Anbietern stärken und einen einfacheren Wechsel zwischen selbigen erleichtern.

Die Kernpunkte der neuen FAQ

Die neuen FAQ befassen sich insbesondere mit den folgenden Fragen:

1. Das Verhältnis des Data Acts zur Datenschutz-Grundverordnung (DSGVO). Leider beschränkt sich die EU-Kommission in diesem Zusammenhang auf allgemein gehaltene Aussagen und geht insbesondere nicht darauf ein, auf welche Rechtsgrundlagen nach der DSGVO sich Dateninhaber bzgl. der Gewährung von Datenzugang berufen können, z. B. wenn ein Nutzer Zugang zu personenbezogenen Daten eines Dritten nach dem Data Act verlangt.
2. Die räumliche Anwendbarkeit des Data Acts, z. B. wenn ein Produkt sich nur vorübergehend in der EU befindet.
3. Die genauere Bestimmung der Akteure des Data Acts, namentlich Nutzer, Dateninhaber und dritte Datenempfänger.
4. Die Voraussetzungen, unter denen Dateninhaber Daten zum Schutz von Geschäftsgeheimnissen nur unter bestimmten Bedingungen (z. B. nach Abschluss einer Vertraulichkeitsvereinbarung) oder überhaupt nicht herausgeben müssen.
5. Die Möglichkeit der Nutzer, eine Vergütung für die Nutzung der relevanten Daten durch den Dateninhaber zu verlangen.
6. Das Recht des Dateninhabers einen Prozess zur Identifikation eines Nutzers, der Zugang zu Daten verlangt, zu implementieren.

Die EU-Kommission betont in ihren einleitenden Worten, dass die FAQ nicht als eine offizielle Stellungnahme zu verstehen sind.

Bewertung und Ausblick

Die FAQ bieten einen anschaulichen Überblick über die wesentlichsten Inhalte des Data Act. Sie beschränken sich allerdings überwiegend auf die Wiederholung des Gesetzeswortlauts und beantworten daher die meisten offenen rechtlichen Fragen, die der Data Act aufwirft, nicht. Da der Data Act bereits am 12. September 2025 in Kraft treten wird, sind Unternehmen gut beraten, sich intensiv mit den Folgen für ihr jeweiliges Geschäftsmodell auseinanderzusetzen. Dabei ergeben sich nicht nur neue Pflichten. Vielmehr eröffnen sich vielfach auch Möglichkeiten zur Erschließung neuer Geschäftsfelder durch den Zugang zu Daten anderer Unternehmen, der bislang verschlossen blieb.

Marco Degginger

Zurück

5. Neuer DSK-Beschluss zu Asset Deals: Anforderungen an den Umgang mit personenbezogenen Daten

Am 11. September 2024 hat die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder einen neuen Beschluss zur Übermittlung personenbezogener Daten im Rahmen von Asset Deals veröffentlicht.

Asset Deals, bei denen Vermögenswerte eines Unternehmens, wie z.B. Kundendaten, übertragen werden, werden im Datenschutzrecht seit langem kontrovers diskutiert. Der neue DSK-Beschluss soll eine einheitliche Anwendung der EU Datenschutz-Grundverordnung (DSGVO) gewährleisten und Unternehmen einen klaren Handlungsrahmen für die rechtmäßige Datenübermittlung bei Asset Deals bieten.

Der Beitrag fasst wichtige Inhalte des neuen DSK-Beschlusses zusammen und zeigt auf, welche praktischen Auswirkungen sich daraus für Transaktionen ergeben.

Wesentliche Vorgaben des DSK-Beschlusses

Bei der Frage, ob und unter welchen Voraussetzungen personenbezogene Daten im Rahmen des Asset Deals rechtmäßig übermittelt werden dürfen, unterscheidet die DSK zwischen den zentralen Phasen von Asset Deals sowie nach der Art der übermittelten Daten:

Datenübermittlungen in der Due Diligence-Phase

In der Due-Diligence-Phase prüfen potenzielle Käufer die wirtschaftlichen und rechtlichen Verhältnisse des Zielunternehmens. In dieser Phase ist eine Übermittlung personenbezogener Daten an den potenziellen Erwerber grundsätzlich nicht zulässig. Diese Regel gilt für Personendaten von Kunden, Lieferanten sowie Beschäftigten.

Eine solche Übermittlung ist aber zulässig, wenn betroffene Personen im Einzelfall ihre freiwillige und ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erteilt haben. Diese Einwilligung muss den datenschutzrechtlichen Anforderungen der DSGVO genügen. Bei Beschäftigten fehlt regelmäßig die Freiwilligkeit der Einwilligung, da im Beschäftigungsverhältnis eine gewisse Abhängigkeit besteht. Anders ist dies nur, wenn die Veräußerer und die betroffenen Beschäftigten „gleichgerichtete Interessen“ verfolgen. Dann kann die Einwilligung im Beschäftigungskontext wirksam sein. In jedem Fall ist die Einwilligung schriftlich oder elektronisch zu erteilen (§ 26 Abs. 2 BDSG).

Bei fortgeschrittenen Verhandlungen über die Transaktion kann ein berechtigtes Interesse (Art. 6 Abs. 1 lit. a DSGVO) ausnahmsweise die Übermittlung von personenbezogenen Daten zentraler Akteure rechtfertigen, etwa von Mitarbeitern mit Führungsverantwortung bzw. Schlüsselkompetenzen oder Hauptvertragspartnern.

Übermittlung von Kundendaten

Die Anforderungen an die Übermittlung von Kundendaten legt die DSK nach den unterschiedlichen Phasen des Asset Deals fest:

• Während der Vertragsanbahnung – also konkreten Vertragsverhandlungen zwischen dem Veräußerer und Kunden – dürfen Kundendaten nur übermittelt werden, wenn die betroffenen Kunden Vertragsverhandlungen, die sie mit dem Veräußerer begonnen haben, rügelos mit dem Erwerber fortsetzen. Eine Datenübermittlung ist gerechtfertigt, sofern es sich um Daten handelt, die zur Fortsetzung der Verhandlungen erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO). Darüber hinaus darf der Veräußerer Kundendaten nur übermitteln, wenn keine überwiegenden Interessen der Kunden entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO). Um diesen Rechnung zu tragen, sind die betroffenen Kunden über die geplante Datenübermittlung zu informieren und die Möglichkeit zu geben, der Übermittlung zu widersprechen. Nach dieser sog. Widerspruchslösung ist die Übermittlung auch gestützt auf berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f i. V. m. Abs. 4 DSGVO) zulässig, wenn die betroffenen Personen keinen Widerspruch innerhalb einer angemessenen Frist einlegen. Hierfür sieht die DSK eine Widerspruchsfrist von etwa 6 Wochen als angemessen an.

• Anders ist dies bei laufenden, vertraglichen Beziehungen zu Kunden, zum Beispiel durch unerfüllte vertragliche Leistungspflichten des Veräußerers oder bestehende Gewährleistungsansprüche. In solchen Fällen darf der Veräußerer die zur Vertragserfüllung erforderlichen Daten auf Grundlage des Vertrages (Art. 6 Abs. 1 lit. b DSGVO) übermitteln, da der Erwerber die vertraglichen Verpflichtungen des Veräußerers gegenüber den Kunden übernimmt. Eine Einwilligung der betroffenen Kunden ist in diesem Fall nicht erforderlich. Eine Übermittlung soll außerdem dann erlaubt sein, wenn bestehende Kundenverträge oder Pflichten vom Erwerber entsprechend den zivilrechtlichen Anforderungen übernommen werden (Vertrags- oder Schuldübernahme).

• Ist die vertragliche Beziehung bereits beendet, dürfen Kundendaten nur im Rahmen der gesetzlichen Aufbewahrungspflichten übermittelt werden. Diese Daten müssen vom Erwerber getrennt von aktiven Kundendaten aufbewahrt werden (sog. „Zwei-Schrank-Lösung“). Veräußerer und Erwerbers müssen einen Vertrag zur Auftragsverarbeitung (Art. 28 Abs. 1, 3 DSGVO) schließen. Der Erwerber darf die Daten zu eigenen Zwecken nur mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) der Kunden nutzen.

• Gesonderte Regeln sieht die DSK für die Übermittlung von Kundendaten als einzigemVermögenswert vor (z. B. Verkauf einer Kundendatenbank). Diese Fälle erfordern regelmäßig die Einwilligung der betroffenen Personen. Eine Ausnahme kann gelten für kleine und sehr kleine Unternehmen (weniger als zehn Mitarbeiter bzw. weniger als 50 Mitarbeiter und maximal 10 Millionen Euro Umsatz). In diesem Fall kann eine Widerspruchslösung ausreichen (Widerspruchsfrist etwa 4 bis 6 Wochen). Die Übermittlung darf nur erfolgen, wenn der jeweilige Kunde innerhalb der Frist keinen Widerspruch einlegt.

Übermittlung von Lieferantendaten

Die Übermittlung von personenbezogenen Daten von Lieferanten und deren Mitarbeitern ist zulässig, sofern keine überwiegenden Interessen der betroffenen Personen entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO). Bei geschäftsbezogenen Kontaktdaten ist dies nach der DSK in der Regel der Fall, da die Übermittlung sogar im Interesse des Lieferanten sein kann.

Übermittlung von Beschäftigtendaten

Die Übermittlung von Arbeitnehmerdaten ist insbesondere im Falle eines Betriebsübergangs gemäß § 613a BGB zulässig. Die Rechtsgrundlage ist in diesem Fall die Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO). Bei besonderen Kategorien personenbezogener Daten kommt § 26 Abs. 3 BDSG zur Anwendung.

Praktische Auswirkungen für Transaktionen

Unternehmen, die Asset Deals planen, sollten die Vorgaben des DSK-Beschlusses umsetzen, um datenschutzrechtliche Risiken zu minimieren. Insbesondere sollten Veräußerer wie Erwerber sicherstellen, dass die rechtlichen Grundlagen für die Übermittlung der Daten vorab feststehen. Bereits in der frühen Phase eines Asset Deals sollte darauf geachtet werden, die datenschutzrechtlichen Bedingungen zu klären, um spätere Verzögerungen zu vermeiden.

Auch die Dokumentation der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten ist entscheidend. Unternehmen sollten nachvollziehbar darlegen können, warum und auf welcher Grundlage sie personenbezogene Daten verarbeiten. Zudem sollten Käufer in der Due-Diligence-Phase Maßnahmen wie die Anonymisierung oder Pseudonymisierung von Daten in Betracht ziehen, um den Schutz der Betroffenen zu gewährleisten und mögliche Verstöße zu vermeiden.

Fazit

Der neue DSK-Beschluss ersetzt den bisherigen Beschluss der DSK zu Asset Deals aus dem Jahr 2019. Er bietet Unternehmen detailliertere und in Teilen klarere Leitlinien für den datenschutzkonformen Umgang mit personenbezogenen Daten im Rahmen von Asset Deals.

Unklar bleibt der Handlungsrahmen für Unternehmen aber in Bezug auf die sog. Widerspruchslösung. Während der DSK-Beschluss von 2019 die Fallgruppen, in denen Veräußerer und Erwerber zulässigerweise nach diesem Ansatz vorgehen durften, abschließend bezeichnete, thematisiert der neue DSK-Beschluss die Widerspruchslösung nur am Rande bzw. in Bezug auf Sonderkonstellationen wie die Veräußerung von Kundendaten als einziges Asset. Insofern bleibt unklar, ob die die Übermittlung auf Basis der Widerspruchslösung generell zulässig bleiben soll, oder die DSK den Anwendungsbereich dieses Ansatzes auf die angesprochenen Konstellationen beschränken möchte.

Insofern bleibt die weitere Entwicklung der behördlichen Praxis in Bezug auf die Datenübermittlung im Rahmen von Asset Deals abzuwarten.

Valentino Halim

Zurück

6. Neues rund um DSA und DDG: Künftige Leitlinien für höheren Online-Schutz von Minderjährigen und die erste zertifizierte nationale Streitbeilegungsstelle für Online-Plattformen

Der Digital Services Act („DSA“) ist eine seit dem 17. Februar 2024 vollumfänglich geltende EU-Verordnung, die die Grundlage für ein neues Regelwerk zur Regulierung digitaler Dienste in der EU darstellt. Auf nationaler Ebene wird der DSA durch das Digitale-Dienste-Gesetz („DDG“) flankiert, das insbesondere die Durchsetzbarkeit der Pflichten aus dem DSA sicherstellt und die Zuständigkeiten der Behörden festlegt (s. zum DSA und DDG auch unsere früheren Beiträge aus den Newslettern 04/2023 und 02/2024).

Leitlinien für den Online-Schutz von Minderjährigen

Eines der zentralen Ziele des DSA ist der Schutz von Minderjährigen vor schädlichen Inhalten, Cybermobbing und anderen Gefahren bei der Nutzung des Internets. Art 28 Abs. 1 DSA sieht daher ausdrücklich vor, dass Anbieter von Online-Plattformen, die für Minderjährige zugänglich sind, geeignete und verhältnismäßige Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen innerhalb ihres Dienstes zu sorgen. Fest steht, dass sie hierbei einen risikobasierten Ansatz verfolgen müssen und damit angehalten sind, Folgenabschätzungen durchzuführen und Maßnahmen umzusetzen, die alle potenziellen Risiken für Minderjährige abschwächen. Ein solcher Ansatz ist keine Besonderheit, denn er findet sich bereits in verschiedenen anderen Rechtstexten des EU-Gesetzgebers wieder, etwa in der DSGVO bei der Ergreifung von geeigneten technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Unklar ist bis dato aber, wie die Maßnahmen ausgestaltet werden können, um als geeignet und verhältnismäßig zu gelten. Der DSA sieht ausdrücklich vor, dass die EU-Kommission hierzu Leitlinien entwerfen kann, um Anbieter von Online-Plattformen eine Orientierung zu bieten (vgl. Art. 28 Abs. 4 DSA).

Ende Juli hat die EU-Kommission nun erste Schritte für derartige Leitlinien in die Wege geleitet und alle Interessengruppen aufgefordert, Beiträge zum vorgeschlagenen Anwendungsbereich und Ansatz der Leitlinien einzureichen, mit dem Ziel ein hohes Maß an Privatsphäre, Sicherheit und Schutz für Minderjährige im Internet zu gewährleisten. Wesentliche Aspekte der Leitlinien sind insbesondere ein harmonisierter Ansatz zur Altersverifizierung sowie die Einschränkung des Zugangs zu unangemessenen Inhalten. Zu beachten ist, dass die Leitlinien grundsätzlich für alle Online-Plattformen gelten werden, die für Minderjährige zugänglich sind, ob bestimmungsgemäß oder ungewollt aufgrund unzureichender Maßnahmen zur Altersverifizierung. Hiervon ausgenommen sind lediglich Kleinst- und Kleinunternehmen im Sinne der Empfehlung 2003/361/EG der EU-Kommission. Online-Plattformen sollten daher bei der Gestaltung ihrer Dienste unbedingt im Blick behalten, dass den Rechten und dem Wohl von Minderjährigen hinreichend Rechnung getragen wird.

Eine Rückmeldung auf die Aufforderung der EU-Kommission ist bis zum 30. September 2024 möglich. Im Anschluss an den Entwurf der Leitlinien wird es eine separate Konsultation geben. Die endgültigen Leitlinien werden noch vor Sommer 2025 erwartet.

User Rights GmbH als erste zertifizierte Streitbeilegungsstelle in Deutschland

Das Verfahren für den Umgang mit Beschwerden von Nutzern wird durch den DSA weitreichend formalisiert. Neben den Vorgaben aus dem Melde- und Abhilfeverfahren nach Art. 16 DSA müssen Online-Plattformen ein internes Beschwerdemanagementsystem unterhalten (Art. 20 DSA) und sich an außergerichtlichen Streitbeilegungsverfahren beteiligen (Art. 21 DSA).

Die außergerichtlichen Streitbeilegungsstellen werden durch den Koordinator für Digitale Dienste („DSC“) bei der Bundesnetzagentur zertifiziert, sofern sie die in Art. 21 Abs. 3 DSA festgelegten Voraussetzungen erfüllen. Nutzer können sich z. B. an diese zertifizierten Organisationen wenden, wenn sie die Entscheidung einer Online-Plattform über die Löschung von Inhalten oder die Nutzungsbeschränkung bzw. Sperre eines Accounts oder Nutzerkontos überprüfen lassen wollen.

Am 12. August 2024 hat der DSC die User Rights GmbH als erste außergerichtliche Streitbeilegungsstelle in Deutschland zertifiziert. Nutzer können dort nunmehr kostenlos Schlichtungsanträge einreichen, um sich gegen die Entscheidungen von Online-Plattformen zu wehren. Die User Rights GmbH konzentriert sich auf Streitschlichtungen bei Social Media-Plattformen und bearbeitet vorerst nur Anträge im Zusammenhang mit den Plattformen TikTok, Instagram und LinkedIn. Weitere Plattformen werden jedoch folgen.

Tobias Kollakowski LL.M.

Zurück

Legal Tech Tools - Digitale Anwendungen für effizientere Lösungen

Endecken Sie unser umfangreiches Legal Tech Angebot! Erfahren Sie mehr ...

Neu: Oppenhoff Taskforce AI

Erfahren Sie hier, wie die fachbereichsübergreifende Oppenhoff Taskforce AI sicher stellt, dass Sie die Anforderungen des AI Act der EU, aber auch die vielfältigen sonstigen rechtlichen Anforderungen an KI, von Anfang an einhalten und KI-Systeme rechtssicher nutzen können.
 

Hier Broschüre downloaden.

Zurück zur Übersicht