Der Cyber Resilience Act der EU tritt in Kraft – neue Cybersicherheitsanforderungen für Software und vernetzte Produkte

Am 10. Dezember 2024 ist der „Cyber Resilience Act“ (CRA, der deutsche Name lautet „Cyberresilienz-Verordnung“) der EU in Kraft getreten. Mit dieser Verordnung werden europaweit erstmalig horizontal geltende Cybersicherheitsvoraussetzungen für Produkte mit digitalen Elementen gesetzlich normiert. Vernetzte Produkte wie Heimkameras, Kühlschränke, Fernsehgeräte und Spielzeug müssen hiernach „cybersicher“ sein, bevor sie in Verkehr gebracht werden, und auch über ihren gesamten Lebenszyklus hinweg bleiben. Um diese Cybersicherheit zu belegen, müssen sie künftig mit einer CE-Kennzeichnung versehen sein.

Zwar gelten die wesentlichen Regelungen der Verordnung erst ab dem 11. Dezember 2027, sodass Unternehmen eine großzügige Übergangsfrist haben, ihre in das Internet eingebundenen Produkte an die neuen Regelungen anzupassen. Doch da Produktentwicklungszyklen mehrere Monate bis Jahren dauern können, soll bereits jetzt auf einige wesentliche Anforderungen unter dem CRA hingewiesen werden:

– Der Anwendungsbereich des CRA ist äußerst weit und umfasst Software, in das Internet eingebundene Hardware wie intelligente Haushaltsgeräte (Stichwort „Internet of Things“) und Cloud-Dienste, die es den Nutzern ermöglichen, Geräte aus der Ferne zu steuern

– Hersteller, die ein Produkt mit digitalen Elementen in den Verkehr bringen, müssen dieses gemäß den grundlegenden, im CRA näher spezifizierten Cybersicherheitsanforderungen konzipieren, entwickeln und herstellen

– Grundlegende Cybersicherheitsanforderungen umfassen beispielsweise, sicherzustellen, dass Schwachstellen durch Sicherheits-Updates behoben werden können, dass geeignete Kontrollmechanismen bestehen, die Schutz vor unbefugtem Zugriff bieten, dass die Vertraulichkeit und Integrität gespeicherter und übermittelter Daten geschützt wird und dass den Nutzern die Möglichkeit geboten wird, alle Daten und Einstellungen dauerhaft sicher und einfach zu löschen

– Während der Supportdauer des Produkts ist dessen Cybersicherheitsrisiko zu bewerten, zu dokumentieren und ggf. zu aktualisieren

– Hersteller müssen Schwachstellen während der erwarteten Lebensdauer des Produkts oder über mindestens fünf Jahre ermitteln, beheben und entsprechende Sicherheits-Updates bereitstellen

– Hersteller müssen ein Konformitätsbewertungsverfahren durchführen (lassen) und, sofern das Produkt mit digitalen Elementen den grundlegenden Cybersicherheitsanforderungen genügt, eine CE-Kennzeichnung anbringen

– Produkte mit digitalen Elementen, die mit einem höheren Cybersicherheitsrisiko behaftet sind – als „wichtige Produkte mit digitalen Elementen“ bezeichnet – unterliegen einem strengeren Konformitätsbewertungsverfahren; dies gilt etwa für Betriebssysteme, Passwort-Manager, VPN, Modems für die Internetanbindung, intelligente Türschlösser, Babyphones, Alarmanlagen und Wearables

– Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle dem zuständigen nationalen Computer-Notfallteam (Computer Security Incident Response Team – CSIRT) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) über eine einheitliche Meldeplattform melden

– Der CRA enthält Ausnahmen und spezielle Regelungen für freie Software und Open Source Software

TCI-Partner Dr. Thomas Stögmüller hält Grundlagenseminar zur DSGVO

Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hält am 6. November 2024 ein Grundlagenseminar zur Datenschutzgrundverordnung (DSGVO). Das 2,5-stündige Online-Seminar erfolgt im Rahmen der Fortbildung der Rechtsanwaltskammer München und richtet sich an Rechtsanwältinnen und Rechtsanwälte (nähere Informationen unter https://seminare.rak-muenchen.de/65004-13-grundlagenseminar-dsgvo-9509010/). Neben einem generellen Überblick über die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung werden auch aktuelle Themen wie Künstliche Intelligenz und Datenschutz, Anforderungen an Cookies, die Datenübermittlung in die USA und die jüngste EuGH-Rechtsprechung zur Klagebefugnis von Wettbewerbern und zum Schadensersatzanspruch unter der DSGVO behandelt.

E-Mobility; ab dem 14. April 2025 neue Vorgaben für E-Ladesäulenbetreiber gemäß Art. 20 Abs. 2 und 3 der Verordnung (EU) 2023/1804 („AFIR“)

Gemäß Art. 20 Absätze 2 und 3 der Verordnung (EU) 2023/1804 über den Aufbau der Infrastruktur für alternative Kraftstoffe (AFIR) müssen Betreiber von öffentlich zugänglichen Ladepunkten (Charge Point Operator – CPO) ab dem 14. April 2025 neue Vorgaben in Bezug auf die Bereitstellung von Daten umsetzen.

Diese Anforderung hat den Hintergrund, dass die Datenbereitstellung von grundlegender Bedeutung dafür ist, dass die Ladeinfrastruktur ordnungsgemäß funktioniert. Gemäß Art. 20 Abs. 1 benennen die Mitgliedstaaten eine ID-Registrierungs-Organisation („IDRO“). Die IDRO vergibt und verwaltet bis zum 14. April 2025 individuelle Identifizierungscodes („ID“): Mithilfe dieses individuellen Identifizierungscodes können die Betreiber von Ladepunkten und E-Mobilitätsdienstleister identifiziert werden.

Die Betreiber von öffentlich zugänglichen Ladepunkten oder – gemäß den vertraglichen Vereinbarungen – deren Eigentümer haben dafür zu sorgen, dass statistische und dynamische Daten über die betriebene Ladeinfrastruktur oder die damit verbundenen Dienstleistungen kostenfrei zur Verfügung gestellt werden. Unter die statistischen Daten fallen insbesondere die geografische Lage der Ladepunkte, Anzahl der Anschlüsse, Kontaktdaten des Eigentümers und des Betreibers der Ladestation, Betriebszeiten, Stromart (AC/DC), maximale Ladeleistung (kW) der Ladestation bzw. des Ladepunkts sowie ID-Codes mindestens des Betreibers des Ladepunkts. Zu den dynamischen Daten zählen der Betriebszustand (betriebsbereit/außer Betrieb), die Verfügbarkeit (im Betrieb/nicht in Betrieb), der Ad-hoc-Preis und die Angabe, ob der Fahrstrom zu 100 % aus erneuerbaren Quellen geliefert wird (Ja/Nein).

Ferner hat jeder Betreiber bzw. – gemäß den getroffenen vertraglichen Vereinbarungen – der Eigentümer der Ladepunkte eine Anwendungsprogrammierschnittstelle (API) einzurichten, die einen freien und uneingeschränkten Zugang zu den vorgenannten Daten bietet, und den nationalen Zugangspunkten Informationen über diese API zu übermitteln.

Bis zum 31.12.2024 haben die Mitgliedstaaten sicherzustellen, dass diese Daten allen Nutzern, insbesondere E-Mobility Service-Providern (eMSP) und E-Mobility Usern, in offener und nichtdiskriminierender Weise zugänglich gemacht werden. Ziel dieser Vorgaben ist die Schaffung eines einheitlichen Rechtsrahmens und einheitlicher Standards in Bezug auf die Datenbereitstellung zur Nutzung der Elektromobilität, als eine von vielen Maßnahmen, um die Errichtung von Ladeinfrastruktur für Elektrofahrzeuge in Europa voranzubringen.

Diese neuen europarechtlichen Vorgaben sind bei der Gestaltung von Verträgen im Bereich der Erbringung von Betriebsleistungen des CPO bzw. eMSP umzusetzen.

TCI Rechtsanwälte und Rechtsanwalt Stephan Schmidt im Kanzleimonitor 2024/25 ausgezeichnet

TCI Rechtsanwälte und Rechtsanwalt Stephan Schmidt wurden im aktuellen Kanzleimonitor 2024/25 des diruj Deutsches Institut für Rechtsabteilungen und Unternehmensjuristen für ihre Expertise im IT-Recht und Datenschutzrecht ausgezeichnet. TCI Rechtsanwälte konnte sich unter den führenden Kanzleien in beiden Rechtsgebieten platzieren. Rechtsanwalt Stephan Schmidt wurde als einer der führenden Anwälte sowohl im Bereich IT-Recht als auch im Datenschutzrecht gelistet.

Der Kanzleimonitor basiert auf einer umfassenden Befragung von Unternehmensjuristen und Rechtsabteilungen. Für die aktuelle Ausgabe 2024/2025 wurden 9.868 Empfehlungen aus 649 Unternehmen ausgewertet. Die Empfehlungen stammen ausschließlich von Unternehmensjuristen, die ihre Erfahrungen mit externen Rechtsberatern teilen. Durch dieses Konzept liefert der Kanzleimonitor einen wertvollen Überblick über die Mandatierungspraxis deutscher Unternehmen.

„Wir freuen uns sehr über diese erneute Auszeichnung“, kommentiert Stephan Schmidt. „Sie bestätigt unsere Arbeit und die langjährige Zusammenarbeit mit unseren Mandanten in den hochspezialisierten Rechtsgebieten IT-Recht und Datenschutz. Sie motiviert uns, unsere Mandanten auch weiterhin auf höchstem Niveau zu beraten.“

Verstöße gegen die DSGVO können abgemahnt werden

Seit 2018 stand die Frage im Raum, ob Mitbewerber sich gegenseitig abmahnen können, wenn gegen die DSGVO verstoßen wird. Nun hat der EuGH entschieden: Das geht. Warum jetzt trotzdem nicht mit neuen Abmahnwellen zu rechnen ist, erklären wir Ihnen im Beitrag.

Der EuGH (Urt. v. 04.10.2024, C-21/23) musste die Frage klären, ob Mitbewerber sich gegenseitig wegen Verstößen gegen die DSGVO abmahnen können.

Medikamentenverkauf über Amazon

Im Raum stand ein Streit zweier Apotheker. Der eine verkaufte apothekenpflichtige Medikamente über Amazon. Der andere war der Auffassung, dass dieser Vertrieb über Amazon rechtswidrig sei, da die Kunden nicht in die Verarbeitung ihrer Gesundheitsdaten einwilligten.

Das LG Dessau-Roßlau sah dies ebenso und stufte den Vertrieb von apothekenpflichtigen Medikamenten über Amazon als unterlaute geschäftliche Handlung ein.

Letztlich landete der Fall beim BGH.

Vorlagefragen des BGH

Dieser setzte das Verfahren aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:

  1. Stehen die Regelungen in Kapitel VIII DSGVO nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen?
  2. Sind die Daten, die Kunden eines Apothekers, der auf einer Internet-Verkaufsplattform als Verkäufer auftritt, bei der Bestellung von zwar apothekenpflichtigen, nicht aber verschreibungspflichtigen Medikamenten auf der Verkaufsplattform eingeben (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen), Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO sowie Daten über Gesundheit im Sinne von Art. 8 Abs. 1 der Datenschutz-Richtlinie?

Entscheidung des EuGH

Der EuGH hält zunächst fest, dass der Wortlaut der DSGVO einen Unterlassungsanspruch von Mitbewerbern nicht ausschließt.

Ein Verstoß gegen die DSGVO kann nicht nur die Interessen der betroffenen Person betreffen, sondern auch die von Dritten, wie z.B. Mitbewerbern. So stellt Art. 82 Abs. 1 DSGVO klar, dass „jede[r] Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“, ein Recht auf Schadensersatz zusteht.

Auch hat der Gerichtshof in früheren Entscheidungen bereits festgestellt, dass ein Verstoß gegen die DSGVO ein Verstoß gegen Verbraucherschutzvorschriften oder eine unlautere Geschäftspraktik darstellen kann.

„In diesem Zusammenhang ist darauf hinzuweisen, dass der Zugang zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft von erheblicher Bedeutung sind. Der Zugang zu personenbezogenen Daten und die Möglichkeit ihrer Verarbeitung sind nämlich zu einem bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft geworden. Um der tatsächlichen wirtschaftlichen Entwicklung Rechnung zu tragen und einen lauteren Wettbewerb zu wahren, kann es also erforderlich sein, bei der Durchsetzung des Wettbewerbsrechts und der Regeln über unlautere Geschäftspraktiken die Vorschriften zum Schutz personenbezogener Daten zu berücksichtigen.“

In der Vergangenheit hatte der EuGH bereits entschieden, dass Verbraucherzentralen Verstöße gegen die DSGVO abmahnen können.

Der EuGH sieht in der Möglichkeit, dass Mitbewerber gegen DSGVO-Verstöße vorgehen können, eine Verstärkung der praktischen Wirksamkeit der DSGVO. Außerdem könne damit das angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessert werden.

Keine Einschränkung der sonstigen Rechtsbehelfe

Weiter stellt der EuGH fest, dass die Möglichkeit von Unterlassungsklagen die übrigen Rechtsbehelfe aus der DSGVO nicht beeinträchtigt. So kann sich eine von der Datenverarbeitung betroffene Person z.B. weiterhin mit einer Beschwerde an die Aufsichtsbehörde wenden.

Auch Geldbußen durch die Behörden bleiben weiterhin möglich.

Effiziente Rechtsdurchsetzung

Der EuGH betont, dass Unterlassungsklagen von Mitbewerbern dazu beitragen können, zahlreiche Verletzungen der Rechte der betroffenen Personen zu verhindern.

Abmahnungen sind möglich

Nach alledem antwortet der EuGH also (zusammengefasst), dass Mitbewerber Verstöße gegen die DSGVO abmahnen und ihre Unterlassungsansprüche auch gerichtlich geltend machen können.

Gesundheitsdaten

Auf die zweite Frage antwortete der EuGH, dass in einem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, Daten, die seine Kunden bei der Online-Bestellung dieser Arzneimittel eingeben müssen (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), Gesundheitsdaten im Sinne dieser Bestimmungen darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.

Damit gelten die strengen Regeln des Art. 9 DSGVO.

Keine DSGVO-Abmahnwellen zu befürchten

Trotz dieser Klarstellung des EuGH ist jetzt nicht mit neuen Abmahnwellen zu rechnen.

Das liegt zum einen an § 13 Abs. 4 Nr. 2 UWG. Nach dieser Vorschrift erhält der Abmahner bei Verstößen gegen die DSGVO keine Erstattung seiner Abmahnkosten, wenn der Abgemahnte weniger als 250 Angestellte hat.

Zum anderen müsste aber der Abmahner unter Umständen mit einer Gegenabmahnung rechnen. Insbesondere im Bereich Datenschutz dürften viele Unternehmen noch Angriffsflächen bieten, da die Umsetzung der DSGVO in der Praxis mit zahlreichen Herausforderungen verbunden ist.

Hier dürfte also das Motto greifen: „Was ich selbst nicht richtig kann, greif‘ ich bei keinem andern an.“

Fazit

Das Urteil des EuGH ist eine Klarstellung der Rechtslage. Eine Überraschung stellt es nicht da. Gerade in der jüngeren Vergangenheit gab es kaum noch Stimmen, die daran zweifelten, dass Mitbewerber auch Verstöße gegen die DSGVO abmahnen können.

Trotz dieser Möglichkeit ist nicht damit zu rechnen, dass jetzt Abmahnwellen durch das Land rollen werden.

Neues zu „pay-or-consent“-Modellen

In Ergänzung zum Artikel zur Stellungnahme des Europäischen Datenschutzausschusses zu „pay-or-consent“-Modellen vom 31.05.2024:

Parallel zum Europäischen Datenschutzausschuss (EDSA) befasst sich mittlerweile auch die Europäische Kommission mit den „pay-or-consent“-Modellen von Meta, dem Konzern hinter Facebook und Instagram. Sie hat bereits am 25. März 2024 ein Verfahren gegen Meta eingeleitet. Die Kommission untersucht, ob Meta mit ihrem „pay-or-consent“-Modell gegen das Gesetz über digitale Märkte (DMA) verstößt.

Gesetz über digitale Märkte

Das Gesetz über digitale Märkte beschäftigt sich mit dem Wettbewerb im digitalen Raum. Unternehmen mit einer marktbeherrschenden Stellung in bestimmten Bereichen der Internetwirtschaft gelten als Gatekeeper und müssen sich so verhalten, dass sie den Wettbewerb nicht verhindern. Meta wurde im Rahmen des DMA als Gatekeeper eingestuft  und muss daher strenge Regeln einhalten, um Wettbewerb zu ermöglichen. Aufgrund ihrer starken Stellung auf digitalen Märkten können Gatekeeper ihrer großen Nutzerzahl Dienstleistungsbedingungen auferlegen, die es ihnen ermöglichen, riesige Mengen personenbezogener Daten zu sammeln. Damit sind sie gegenüber Wettbewerbern, die keinen Zugang zu einer solch großen Datenmenge haben, deutlich im Vorteil, was zu hohen Hürden für die Online-Werbung und Diensten für soziale Netze geführt hat.

Meta hatte im Rahmen dessen das „pay-or-okay“-Modell eingeführt, bei dem die Nutzer von Meta-Netzwerken in der EU zwischen einem monatlichen Abonnement einer werbefreien Version oder dem kostenlosen Zugang zu einer Version dieser sozialen Netze mit personalisierten Anzeigen wählen mussten.

Untersuchung durch EU-Kommission

Margarethe Vestager, die für Wettbewerbspolitik zuständige Vizepräsidentin der Europäischen Kommission, sagte im Rahmen einer Pressekonferenz dazu: „Wir haben den Verdacht, dass die von den drei Unternehmen [Google, Apple und Meta] vorgeschlagenen Lösungen nicht vollständig im Einklang mit dem DMA stehen.“

Die Untersuchung wird voraussichtlich innerhalb von 12 Monaten nach der Eröffnung abgeschlossen sein, die Kommission hat jedoch bereits im Juli vorläufige Ergebnisse in einer Pressemitteilung veröffentlicht. Darin hat sie nun vorläufig festgestellt, dass Metas „pay-or-okay“-Modelle gegen das Gesetz über digitale Märkte verstößt.
Im Mittelpunkt der Untersuchung steht Art. 5 Abs. 2 des Gesetzes über digitale Märkte. Danach müssen Gatekeeper die Einwilligung der Nutzer in die Zusammenführung der Daten aus dienstübergreifenden Systemen einholen und dem Endnutzer dabei eine spezifische Wahl geben. Verweigert ein Nutzer eine solche Einwilligung, so sollten sie Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative haben. Gatekeeper dürfen den Dienst oder bestimmte Funktionalitäten nicht von der Einwilligung der Nutzer abhängig machen. Die von Meta angebotene Alternative zur Datenverarbeitung ist laut der Kommission nicht gleichwertig und zugleich weniger personalisiert. Somit sei eine ungezwungene Einwilligung der Nutzer zu der Zusammenführung ihrer Daten nicht möglich.

Die Kommission hat sich damit der Einschätzung des EDSA angeschlossen, indem sie die „pay-or-okay“-Modelle von Meta in ihrer derzeitigen Ausgestaltung als nicht zulässig ansieht und ausführt, dass das Abo-Modell die Nutzenden zwingt, der Verarbeitung ihrer persönlichen Daten zuzustimmen und sie einer weniger personalisierten, aber gleichwertigen Version der sozialen Netzwerke von Meta beraubt.

In Reaktion auf diese vorläufigen Ergebnisse hat Meta nun die Möglichkeit, seine Verteidigungsrechte wahrzunehmen, indem es die Unterlagen der Untersuchung prüft und schriftlich zu den vorläufigen Ergebnissen Stellung nimmt. Sollte sich die vorläufige Auffassung der Kommission im Endergebnis bestätigen, würde die Kommission einen Beschluss erlassen, in dem sie feststellt, dass das Modell von Meta nicht mit Art. 5 Abs. 2 des Gesetzes über digitale Märkte vereinbar ist. Im Fall einer Nichteinhaltung kann die Kommission Geldbußen in Höhe von bis zu 10% des weltweiten Jahresumsatzes des Konzerns verhängen. Bei systematischer Missachtung des Gesetzes kann die Kommission zusätzliche Abhilfemaßnahmen anordnen, wie den Verkauf des Unternehmens oder von Unternehmensteilen. Zunächst setze man jedoch seine „konstruktive Zusammenarbeit mit Meta fort, um einen zufriedenstellenden Weg hin zu einer wirksamen Einhaltung der Vorschriften zu finden.“

Anwendbarkeit auf andere Unternehmen

Die Untersuchung der Kommission konzentriert sich in diesem Fall auf Meta als große Online-Plattform und Gatekeeper im Sinne des Gesetzes über digitale Märkte und bewertet die Situation im Licht des Wettbewerbsrechts. Daraus ergibt sich der große Kritikpunkt der Kommission, dass Plattformen, wie Meta aufgrund ihrer großen Reichweite den Nutzenden bislang beliebige Geschäftsbedingungen aufdrücken und so große Datenmengen anhäufen können. Darauf stützt sich die Bewertung der Modelle als unzulässig. Dies ist ein Kriterium, das kleinere Plattformen und solche, die nicht als Gatekeeper eingestuft sind, meist nicht erfüllen. Der mögliche Vorteil, der sich nach Einschätzung der Kommission gegenüber anderen Wettbewerbern daraus ergeben kann, kann sich folglich nicht realisieren.

Somit kann die wettbewerbsrechtliche Einschätzung der Zulässigkeit von „pay-or-okay“-Modellen nicht ohne weiteres auf Plattformen, die nicht als Gatekeeper gelten, übertragen werden, da sie bereits die grundlegenden Kriterien nicht erfüllen, auf denen diese Einschätzung basiert. Wie jedoch im vorangegangenen Artikel aufgezeigt, werden die „pay-or-okay“-Modelle auch datenschutzrechtlich kritisch beurteilt, wonach sich wiederum eine Relevanz für kleinere Plattformen ergeben kann.



Neues vom EuGH zum datenschutzrechtlichen Schadensersatz

Gemäß Art 82 Abs. 1 DSG-VO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz.

In zwei Vorabentscheidungsersuchen hatte sich das Amtsgericht München an den EuGH gewandt, um die Auslegung von Art. 82 der DS-GVO zu klären, insbesondere in Bezug auf die Höhe des Schadensersatzes sowie die Definitionen von „immateriellem Schaden“ und „Identitätsdiebstahl bzw. -betrug“.

Mit dem nunmehr ergangenen Urteil vom 20.06.2024 in den Rechtssachen C‑182/22 und C‑189/22 (Scalable Capital GmbH) hat der EuGH seine Rechtsprechung zum Datenschutz-Schadensersatz erneut um einige Grundsätze angereichert, die sich wie folgt zusammenfassen lassen:

  • Nicht jeder Verstoß gegen die DS-GVO führt zu einem Schadensersatzanspruch nach Art. 82 DS-GVO.
  • Ein Schadensersatzanspruch nach Art. 82 DS-GVO setzt im Kern dreierlei voraus:

(1) einen Verstoß gegen die DSG-VO

(2) einen materiellen oder immateriellen „Schaden“ 

(3) einen Kausalzusammenhang zwischen dem Schaden und dem Rechtsverstoß

wobei alle drei Voraussetzungen kumulativ vorliegen müssen.

  • Die Darlegungs- und Beweislast für diese drei Voraussetzungen liegt beim Anspruchsteller.  
  • Eine „Bagatellgrenze“, die überschritten sein muss, um einen Schadenersatzanspruch zu begründen, gibt es nicht.
  • Ein abstrakter Kontrollverlust über Daten stellt nicht automatisch einen immateriellen Schaden im Sinne von § 82 DS-GVO dar. Hinzukommen muss zumindest eine objektiv begründete Befürchtung, dass die Daten, über die der Anspruchsteller die Kontrolle verloren hat, missbräuchlich verwendet wurden oder künftig verwendet werden. 
  • Der durch eine Verletzung des Datenschutzes verursachte Schaden ist seiner Natur nach nicht weniger schwerwiegend, als eine Körperverletzung.
  • Art. 82 DS-GVO erfüllt keine Straf-, sondern eine Ausgleichsfunktion.
  • Art 82 DS-GVO verlangt nicht, dass der Grad der Schwere oder eine etwaige Vorsätzlichkeit des Verstoßes bei der Bemessung der Höhe des Schadenersatzes zu berücksichtigen sind.
  • Die nationalen Gerichte sind nicht gehindert, einen Schadenersatz in geringer Höhe zuzusprechen, wenn und soweit dieser Schadenersatz den jeweiligen Schaden in vollem Umfang ausgleicht.
  • Art. 82 DS-GVO hindert den Verantwortlichen, dessen Haftung unterstellt wird, nicht, sich durch den Nachweis, dass ihm die Handlung, die den Schaden verursacht hat, nicht zurechenbar ist, zu exkulpieren.
  • Der Begriff „Identitätsdiebstahl“ ist nur dann erfüllt, wenn ein Dritter die Identität einer Person, die von einem Datendiebstahl betroffen ist, tatsächlich angenommen hat. Jedoch ist ein Schadensersatz nicht nur auf Fälle beschränkt, in denen der Datendiebstahl nachweislich zu einem Identitätsdiebstahl oder ‑betrug geführt hat.

Diese (erweiterten) Grundsätze werden sich – wie üblich zeitversetzt – in den Entscheidungen der nationalen Gerichte, insbesondere auch der Arbeitsgerichte, widerspiegeln. Aktuelle Beispiele hierfür sind:

  • LAG Nürnberg vom 25.1.2023 – 4 Sa 201/22 („Die verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 Abs. 1 DSGVO stellt als solche keinen immateriellen Schaden dar“).
  • LAG Baden-Württemberg vom 05.03.2024 – 15 Sa 45/23 („Allein der Kontrollverlust über Daten stellt nicht automatisch einen immateriellen Schaden im Sinne von § 82 DS-GVO dar“).
  • LAG Düsseldorf vom 07.03.2024 – 11 Sa 808/23 („Nicht jeder Verstoß gegen Auskunftsansprüche aus der DSGVO verursacht „automatisch“ einen Schaden“).

Fazit: Das Urteil des EuGH vom 20.06.2024 verdeutlicht, dass die Anforderungen an die Geltendmachung und Durchsetzung von Schadensersatzansprüchen in Fällen von DS-GVO-Verstößen nicht zu unterschätzen sind. Andererseits besteht kein Grund zur Annahme, dass es bei § 82 DS-GVO nur um „symbolische“ Beträge geht.

Fernmeldegeheimnis am Arbeitsplatz

Das Thema „Fernmeldegeheimnis am Arbeitsplatz“ ist ein Dauerbrenner im Arbeitnehmer-Datenschutzrecht, das bereits mehrere gesetzliche Neuregelungen überdauert hat. Bis 2021 galt das TKG (Telekommunikationsgesetz), seit dem 01.12.2021 das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz), welches seit dem 13.05.2024 den Namen Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) trägt. Doch egal unter welchem Namen, das Problem bleibt das gleiche. Sind Arbeitgeber Telekommunikationsanbieter und haben somit das Fernmeldegeheimnis zu beachten, wenn Sie ihren Mitarbeitern die Privatnutzung betrieblicher Kommunikationsmittel erlauben?

Zur Wahrung des Fernmeldegeheimnisses sind nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) Anbieter von öffentlich zugänglichen und von geschäftsmäßig angebotenen Telekommunikationsdiensten sowie Betreiber von öffentlichen Telekommunikationsnetzen und von geschäftsmäßig ausgerichteten Telekommunikationsanlagen verpflichtet.

Ob der Arbeitgeber gegenüber seinen Beschäftigten als eben solcher „geschäftsmäßiger Telekommunikationsanbieter“ anzusehen ist, der das Fernmeldegeheimnis einzuhalten hat, wenn er die Privatnutzung des betrieblichen Internet- und Telefon-Anschlusses oder des betrieblichen E-Mail-Accounts erlaubt, ist seit jeher umstritten.

Während in der arbeits- und verwaltungsgerichtlichen Rechtsprechung in den vergangenen Jahren die Tendenz zu beobachten war, den Arbeitgeber nicht als „geschäftsmäßigen Telekommunikationsdienstleister“ anzusehen, gingen die Datenschutz-Aufsichtsbehörden und die vorherrschende Meinung in der Literatur von einer Anwendbarkeit des Fernmeldegeheimnisses aus.

Die Geister scheiden sich unter anderem am Tatbestand der „geschäftsmäßigen Erbringung“, den § 3 Abs. 2 Nr. 2 TDDDG voraussetzt. Die eine Ansicht geht davon aus, dass kein geschäftsmäßiges Erbringen von Telekommunikationsdienstleistungen vorliegt, wenn der Arbeitgeber seinen Mitarbeitern Telekommunikationsdienste zur Verfügung stellt, da die „geschäftsmäßige Erbringung“ voraussetzen würde, dass das Angebot von Telekommunikation an außerhalb der Sphäre des Diensteanbieters liegende Dritte gerichtet ist. Arbeitnehmer des jeweiligen Arbeitgebers sind jedoch nicht außerhalb der Sphäre des Arbeitgebers stehende Dritte. Nach der Gegenansicht erfordert ein „geschäftsmäßiges Erbringen“ lediglich das nachhaltige Angebot von Telekommunikation einschließlich des Angebots von Übertragungswegen für Dritte. Dies ist bei der Bereitstellung von betrieblichen Kommunikationsmitteln durch den Arbeitgeber meist der Fall.

Auch die Datenschutz-Aufsichtsbehörden folgten bisher dieser Ansicht und gingen somit bislang von der Anwendbarkeit des Fernmeldegeheimnisses bei erlaubter Privatnutzung aus.

Nun zeichnet sich jedoch ein Kurswechsel ab. Die Landesbeauftragte für Datenschutz und Informationssicherheit in NRW (LDI NRW), Frau Bettina Gayk hat am 08.07.2024 den jährlichen Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2023 veröffentlicht. Darin äußert sich die LDI NRW unter anderem auch zu privaten E-Mails und Telefonaten am Arbeitsplatz (S. 76, 12.2):

Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.“

Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich eine rechtliche Bewertung geändert hat: Arbeitgeber*innen, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, unterliegen nicht mehr dem Telekommunikationsrecht. Deshalb haben sie gegenüber ihren Beschäftigten auch nicht das Fernmeldegeheimnis zu garantieren.“

Das hat praktisch relevante Folgen:

Bisher galt: ist das Fernmeldegeheimnis einschlägig, so besteht ein umfassendes Verarbeitungsverbot des Arbeitgebers für private Kommunikationsinhalte des Arbeitnehmers. Dieses schlägt sogar auf die ansonsten zulässige Verarbeitung der dienstlichen Kommunikationsinhalte durch und „infiziert“ diese, da erst nach Einsichtnahme erkennbar ist, ob es sich um eine private oder dienstliche Nachricht handelt.

Sollte das Fernmeldegeheimnis nicht einschlägig sein, beurteilt sich die Zulässigkeit eines Zugriffs des Arbeitsgebers auf Kommunikationsinhalte seiner Mitarbeiter nur nach allgemeinen datenschutzrechtlichen Maßstäben. Gem. § 26 Abs. 1 BDSG können Arbeitgeber dienstliche Kommunikation nach Maßgabe der Verhältnismäßigkeit grundsätzlich einer Überprüfung unterziehen.

Es zeigt, wie kompliziert der Umgang mit privater Nutzung betrieblicher Telekommunikationsmittel am Arbeitsplatz ist. Es bleibt abzuwarten, wie sich die Gerichte, insbesondere das BAG, zu der Problematik positionieren werden. Bis dahin sollten Arbeitgeber entsprechend vorsorgen und eine schriftliche Regelung über die betriebliche und/oder private Nutzung der Telekommunikationsmittel im Betrieb treffen.

IT-Compliance: Neuauflage des juristischen Leitfadens von Trend Micro klärt aktuelle Fragen

Trend Micro, einer der weltweit führenden Anbieter für Cybersicherheitslösungen, stellt die Neuauflage seines juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmenvor. Dieser gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind. Der Leitfaden wurde im Zuge von NIS2 und DORA von TCI Partner Dr. Thomas Stögmüller überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.

Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister. Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.

„Wir freuen uns, dass wir auch für die neue Auflage des juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro. „NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien wie XDR (Extended Detection & Response) und ASRM (Attack Surface Risk Management) ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“

Download des Leitfadens: https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html?utm_source=pr&utm_medium=referral&utm_campaign=cm_corporate_lg_e_de_int_juristischer+leitfaden_2024

Das KI-Gesetz der EU tritt in Kraft – was Unternehmen nun beachten müssen

Die „Verordnung über Künstliche Intelligenz“ – kurz „KI-Gesetz“ – der Europäischen Union wurde am 13. Juni 2024 erlassen. Sie tritt 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft und die Vorschriften gelten – mit einigen wenigen Ausnahmen – nach einer Übergangsfrist von zwei Jahren.

Bedeutsam ist bereits die Definition der „KI-Systeme“, die durch das KI-Gesetz reguliert werden:

„KI-System“ bezeichnet „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“

Das KI-Gesetz erfasst nicht nur Anbieter sondern auch Betreiber von KI-Systemen in der EU. „Betreiber“ sind u.a. Unternehmen, Behörden und Einrichtungen, die ein KI-System in eigener Verantwortung beruflich verwenden.

Das KI-Gesetz verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines Schadens für die Gesellschaft ist, desto strenger sind die Vorschriften.

– Das KI-Gesetz verbietet bestimmte KI-Praktiken bzw. KI-Systeme generell, etwa Systeme zur kognitiven Verhaltensmanipulation, Sozialkreditsysteme und KI-Systeme, die biometrische Daten nutzen, um auf die Rasse, Religion, politische Einstellung, Gewerkschaftszugehörigkeit oder sexuelle Ausrichtung einer Person zu schließen, da ihr Risiko als unannehmbar gilt.

Nicht verbotene KI-Systeme werden nach Risiken kategorisiert:

– Hochrisiko-KI-Systeme: Darunter fallen bspw. KI-Systeme, die beim Betrieb kritischer Infrastruktur, im Personalmanagement, zur Bonitätsbewertung oder von einem Gericht bei der Rechtsanwendung verwendet werden. Für diese müssen bestimmte Anforderungen eingehalten werden, wie etwa die Einrichtung eines Risikomanagementsystems. Trainings-, Validierungs- und Testdatensätze müssen bestimmten Qualitätskriterien entsprechen. Eine menschliche Aufsicht muss sichergestellt werden. Hochrisiko-KI-Systeme bedürfen einer Konformitätsbewertung und CE-Kennzeichnung und in bestimmten Fällen muss vor ihrer Inbetriebnahme eine Grundrechte-Folgenabschätzung erfolgen.

– KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck: Das KI-Gesetz regelt auch die Verwendung von KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck („general-purpose AI“ – GPAI), zu denen bekannte Large Language Modelle wie ChatGPT zählen. Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen u.a. bestimmte Transparenzanforderungen erfüllen, das EU-Urheberrecht einhalten und eine Zusammenfassung der Trainingsdaten veröffentlichen. Für GPAI-Modelle mit systemischen Risiken gelten strengere Vorschriften.

– KI-Systeme mit begrenztem Risiko: Für diese bestehen je nach Verwendungszweck und Risiko Transparenzpflichten. Dies umfasst insbesondere eine Offenlegung, dass der Inhalt durch KI generiert wurde.

Die Geldbußen für Verstöße gegen das KI-Gesetz können bis zu 35 Millionen EUR oder – im Falle von Unternehmen – bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.

Der Einsatz von KI-Systemen in Unternehmen hat in den letzten Monaten rapide zugenommen. Da das KI-Gesetz sowohl für Anbieter als auch für Betreiber von KI-Systemen gilt, sollten Unternehmen, die KI anbieten oder einsetzen, prüfen, ob sie sich rechtskonform verhalten und welchen Risiken sie ausgesetzt sind. Dies umfasst insbesondere:

– Kategorisierung des eingesetzten KI-Systems unter dem KI-Gesetz

– Je nach Kategorisierung Ermittlung und Einhaltung der Pflichten unter dem KI-Gesetz wie bspw. Transparenzanforderungen

– Einhaltung des Urheberrechts insbesondere in Bezug auf Trainingsdaten, den Input bzw. Prompt und den Output

– Einhaltung des Datenschutzrechts, wenn in KI-Systeme personenbezogene Daten eingegeben und durch diese verarbeitet werden

– Abschätzung der Haftungsrisiken beim Einsatz von KI-Systemen, etwa im Falle eines fehlerhaften Outputs, der durch das Unternehmen verwendet wird

– Prüfung der Vertragsbedingungen des Anbieters des KI-Systems