Im aktuellen Heft der Zeitschrift Computer und Recht (CR 2021, 709 ff.) erläutert unsere Partnerin Dr. Truiken J. Heydn das neue Gewährleistungsrecht für digitale Produkte (§§ 327i ff. BGB n.F.), das am 1. Januar 2021 in Kraft treten wird.
In der aktuellen Ausgabe der Zeitschrift für Internationales Wirtschaftsrecht (IWRZ) erläutert unsere Partnerin Dr. Truiken Heydn das datenschutzrechtliche Urteil des EuGH vom 15. Juni 2021 im Fall Facebook (Az. C-645/19). In dem Fall, der dem Urteil zugrunde lag, ging es um eine Klage der belgischen Datenschutzaufsichtsbehörde gegen die Facebook Belgium BVBA. Facebook hatte im Verfahren vorgetragen, dass die Facebook Ireland Ltd. die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet habe, also auch in Bezug auf die personenbezogenen Daten belgischer Nutzer. Fundstelle: IWRZ 2021, Heft 5, Seiten 226-229. Einen Kurzüberblick finden Sie hier.
In der aktuellen Ausgabe des BRAK-Magazins erläutert unsere Partnerin Dr. Truiken Heydn die wichtigsten Regelungen eines IT-Projektvertrages für ein agiles Softwareprojekt.
Geregelt werden sollten die Mitwirkungspflichten des Auftraggebers, die Anforderungs- und Leistungsbeschreibung und die Abnahme, insbesondere, ob hinsichtlich der einzelnen Produktinkremente eine Teilabnahme erfolgen soll. Auch die Vergütungsregelung bedarf besonderer Aufmerksamkeit. Sinnvoll ist schließlich auch eine Regelung einer vorzeitigen Beendigungsmöglichkeit.
Für digitale Inhalte und Dienstleistungen gelten ab 1.1.2022 neue Gewährleistungsregeln gegenüber Verbrauchern sowie in der dem Verbrauchergeschäft vorgelagerten Vertriebskette. In einem 2 1/2-stündigen Online-Seminar der Deutschen AnwaltAkademie gibt unsere Partnerin Dr. Truiken Heydn am 3. November 2021 einen Überblick über die neuen Vorschriften des BGB und erläutert die folgenden Themen:
- Rechte des Verbrauchers bei Mängeln
- Verjährung
- Beweislastumkehr
- Zulässigkeit abweichender Vereinbarungen
- Regress zwischen Unternehmen
- Gerichtliche Geltendmachung
- Digitale Inhalte und Dienstleistungen für Unternehmen (B2B)
Hier können Sie sich anmelden.
In einem Urteil vom 15. Juni 2021 (Az. C-645/19 – Facebook) hat der EuGH einige wichtige Weichenstellungen für das Vorgehen von Datenschutzbehörden gegen Konzerne vorgenommen.
Sachverhalt
Der Entscheidung lag ein Fall zu Grunde, in dem die belgische Datenschutzbehörde wegen Verarbeitung personenbezogener Daten von Internetnutzern in Belgien mittels Cookies, Social Plugins und Pixeln gegen die Facebook Inc., die Facebook Ireland Ltd. sowie die in Belgien ansässige Facebook Belgium BVBA eine gerichtliche Unterlassungsklage erhoben hatte. Die Klage war in erster Instanz erfolgreich. Facebook hatte vorgetragen, dass die Facebook Ireland Ltd. die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet habe. Die Niederlassung in Belgien sei, so Facebook, in erster Linie gegründet worden, um Beziehungen zu den Organen der Union zu unterhalten, und nur in zweiter Linie, um an in Belgien ansässige Personen gerichtete Werbe- und Marketingmaßnahmen des Konzerns zu fördern. Das Berufungsgericht erklärte sich allerdings für unzuständig, soweit die Klage gegen die Facebook Inc. und die Facebook Ireland Ltd. gerichtet war.
Hintergrund
Aus steuerlichen Gründen haben viele global agierende Unternehmen wie Facebook, Google oder Amazon ihre Europazentrale in bestimmten EU-Ländern wie Irland oder Luxemburg. Dort werden zumeist auch die personenbezogenen Daten der Nutzer verarbeitet. Im Juli 2021 haben sich allerdings die Finanzminister der G20-Staaten auf eine globale Steuerreform mit 15% Mindeststeuern für große Unternehmen geeinigt, um den Wettbewerb dieser Steueroasen um Investitionen und Schaffung von Arbeitsplätzen mittels steuerlicher Anreize zu beenden. Daher wird sich künftig die Frage stellen, nach welchen Kriterien solche Unternehmen dann den Sitz ihrer Europazentrale auswählen werden. Vielleicht danach, in welchem Land die Datenschutzbehörde am wenigsten streng ist, wenn diese Unternehmen in großem Umfang personenbezogene Daten verarbeiten? Wohl kaum, denn der EuGH hat dem Forum Shopping in Bezug auf Datenschutzbehörden nunmehr einen Riegel vorgeschoben.
Rechtlicher Rahmen gemäß DSGVO
Art. 56 DSGVO sieht vor, dass die Aufsichtsbehörde, in deren geografischem Zuständigkeitsbereich ein Verantwortlicher für Datenverarbeitung seine Hauptniederlassung oder seine einzige Niederlassung hat, als federführende Aufsichtsbehörde für die grenzüberschreitende Datenverarbeitung des Verantwortlichen zuständig ist. Die Zusammenarbeit der Datenschutzbehörden bei grenzüberschreitender Datenverarbeitung ist in den Artikeln 60 ff. DSGVO geregelt.
Nicht federführende Behörde darf selbst tätig werden
Der EuGH entschied, dass die nicht federführende Aufsichtsbehörde (hier: die belgische Aufsichtsbehörde) selbst tätig werden kann, wenn die federführende Aufsichtsbehörde (hier: die irische Aufsichtsbehörde) entschieden hat, sich mit dem Fall nicht selbst zu befassen. Weiter führte der EuGH aus, dass eine Klage der tätigkeitsbefugten nicht federführenden Aufsichtsbehörde (der belgischen Aufsichtsbehörde) nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche, gegen den die Klage erhoben wird, im Hoheitsgebiet der nicht federführenden Behörde eine Hauptniederlassung oder eine andere Niederlassung hat. Es kommt lediglich darauf an, ob der Verantwortliche eine Niederlassung (irgendwo) im Unionsgebiet hat. Die Klage der belgischen Aufsichtsbehörde gegen die Facebook Belgium BVBA setzt also nicht voraus, dass die Facebook Ireland Ltd. als für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortlicher in Belgien eine Hauptniederlassung oder eine andere Niederlassung hat.
Untrennbare Verbindung mit der Datenverarbeitung durch andere Konzerngesellschaft
Das Kernargument des EuGH lautet wie folgt: Die Tätigkeit der Facebook Belgium BVBA sei untrennbar mit der Datenverarbeitung durch die Facebook Ireland Ltd. verbunden, und deshalb erfolge die Datenverarbeitung durch die Facebook Ireland Ltd. (auch) „im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen“ im Sinne von Art. 3 Abs. 1 DSGVO. Die Datenverarbeitung durch die Facebook Ireland Ltd. erfolgt also auch durch die Facebook Belgium BVBA und damit auch auf belgischem Boden. Deshalb, so der EuGH, kann eine Aufsichtsbehörde, die nicht die federführende Behörde ist, ihre Klage sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet – was hier indes nicht der Fall war –, als auch gegenüber einer anderen Niederlassung des Verantwortlichen erheben, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt.
Demnach durfte die belgische Aufsichtsbehörde ihre Klage also gegen die Facebook Belgium BVBA erheben, obwohl Facebook vorgetragen hatte, dass für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet ausschließlich die Facebook Ireland Ltd. verantwortlich sei. Jede Konzerngesellschaft, deren Tätigkeit mit der Datenverarbeitung durch eine andere Konzerngesellschaft „untrennbar verbunden“ ist, kann für Verstöße gegen die DSGVO in Anspruch genommen werden.
Fazit: Keine Berufung auf interne Konzernstrukturen
Damit hat der EuGH dem Versuch, sich durch Verweis auf interne Konzernstrukturen einem Verfahren wegen Verletzung von Datenschutzrecht zu entziehen, eine Absage erteilt.
In der aktuellen Jubiläumsausgabe des Betriebsberaters vom 14.6.2021 plädiert unsere Partnerin Dr. Truiken Heydn für eine Entschärfung der AGB-Kontrolle in B2B-Verträgen. Das deutsche AGB-Recht unterwirft Verträge zwischen Unternehmen einer nahezu ebenso strengen AGB-Kontrolle wie Verbraucherverträge. Anhand zahlreicher Beispiele aus dem Bereich Digitalisierung wie z.B. Software as a Service, Cloud Computing, Internet of Things, Industrie 4.0 und agile Methoden wird dargelegt, wie das die deutsche Wirtschaft im internationalen Wettbewerb behindert. Es wird ein konkreter Vorschlag für die Änderung des Gesetzes unterbreitet, um dieses Hindernis für die Digitalisierung in Deutschland zu beseitigen. Der Aufsatz kann hier heruntergeladen werden:
