Digital Business24.02.2021 Newsletter
Newsletter: Digital Business
Es tut sich viel im Bereich Digital Business. Wir haben die wichtigsten rechtlichen Entwicklungen für Sie zusammengefasst:
Nach einem aktuellen Urteil des OLG Düsseldorf haben Rechteinhaber keinen Schadensersatzanspruch, wenn Dritte ihr kostenfreies geistiges Eigentum rechtswidrig nutzen. Was bedeutet das für die Praxis? Im Bereich E-Commerce bzw. Einzelhandel stellen wir Ihnen einige Neuerungen und rechtliche Folgen des Brexits vor und klären über die Grenzen zulässiger Videoüberwachung auf. Lesen Sie außerdem alles Wissenswerte über das neue Gesetzesvorhaben zur Umsetzung der EU-Richtlinie über Digitale Inhalte und Dienstleistungen. Zuletzt beleuchten wir die Schnittstelle zwischen IT-Rechts und Arbeitsrecht: Was gilt es im Bereich des Crowdworkings, beim Einsatz künstlicher Intelligenz im Arbeitsverhältnis und bei der Arbeit aus dem Home-Office zu beachten.
2. E- Commerce Post-Brexit - Was ist neu?
3. 10,4 Mio. Euro Bußgeld: Unzulässige Videoüberwachung im Handel
4. Neue Regelungen für Verträge über digitale Produkte
5. Schnittstellen zum Arbeitsrecht
6. Ausblick auf das Jahr 2021 im Datenschutz
1. Kein Schadensersatz bei lizenzloser Nutzung eines nicht kommerziell genutzten Rechtgutes (z.B. Open-Source Software)?
In seinem Urteil vom 19. November 2020 (Az.: I-20 U 152/16) entschied das OLG Düsseldorf, dass einem Markenrechtsinhaber, der seine Marke nicht kommerziell nutzt, kein Schadensersatzanspruch gegen den unberechtigten Nutzer zusteht.
Das Urteil wirft die Frage auf, ob auch dem Urheber von Open-Source-Software keine Schadensersatzansprüche gegen den lizenzlosen Nutzer zustehen. Die Konsequenzen einer lizenzlosen Nutzung von Open-Source-Software sind praxisrelevant, insbesondere im Rahmen von Due Diligence-Prüfungen bei Technologie-Unternehmen. Ein Verstoß gegen teils komplexe und nicht immer einfach einzuhaltende Copyleft-Lizenzbedingungen führt zum Entfall der Lizenz.
Klar ist: Der Rechteinhaber kann vom Verletzer Unterlassung verlangen. Zudem stellt die lizenzlose Nutzung von Software oder anderen Werken nach § 106 UrhG eine Straftat dar. Ob aber eine lizenzlose Nutzung von Open-Source-Software oder anderen nicht kommerziell verwerteten immateriellen Rechtsgütern einen Schadensersatzanspruch in Form der Herausgabe des Verletzergewinns auslöst, ist nicht final geklärt. Das OLG Düsseldorf hat sich dagegen ausgesprochen. Es sprechen aber gewichtige – und z. B. vom OLG Köln anerkannte – Gründe für einen solchen Schadensersatzanspruch. Eine Klärung durch den Bundesgerichtshof steht noch aus.
Im Einzelnen:
Das Urteil im Ergebnis
Dem Rechtsstreit lag die unerlaubte Benutzung des markenrechtlich geschützten ÖKO-TEST-Siegels zugrunde. Die Beklagte hatte selbiges an ihre Produkte angebracht, ohne über eine entsprechnde Lizenz zu verfügen. Unzweifelhaft steht dem Inhaber des Markenrechts ein Unterlassungsanspruch gegen den Rechtsverletzer zu. Zudem hat er dem Grunde nach einen Anspruch auf Ersatz der aus der Rechtsverletzung resultierenden Schäden.
Letzteren lehnte das OLG jedoch ab, da mangels kommerzieller Nutzung der Marke kein ersatzfähiger Schaden vorliege.
Schadensberechnung bei Verletzung geistiger Eigentumsrechte
Bei der Verletzung geistiger Eigentumsrechte wie Marken-, Patent-, oder Urheberrechte kann einerseits auf den konkret entstandenen Schaden abgestellt werden. Falls kein konkreter Schaden entstanden ist, kann der Rechteinhaber andererseits dasjenige herausverlangen, was er für eine Lizenz hypothetisch verlangt hätte (sog. Lizenzanalogie) oder den Gewinn abschöpfen, den der Verletzer gerade durch die unerlaubte Nutzung des Rechts erlangt hat.
Da der Anspruchstellerin kein konkreter Schaden entstanden war, kam im vorliegenden Fall die Berechnung des Schadens nur im Wege der Lizenzanalogie oder durch Gewinnabschöpfung in Betracht.
Lizenzanalogie
Ein Schaden lässt sich mit der Lizenzanalogie allerdings nicht begründen, soweit der Rechteinhaber Lizenzen unentgeltlich gewährt und somit auf eine kommerzielle Verwertung verzichtet. Denn nach der Rechtsprechung richtet sich die Höhe des Schadensersatzes in diesem Zusammenhang nach dem objektiven Wert der Nutzung, welche sich aus dem Betrag ergibt, den der Rechteinhaber üblicherweise für die Lizenzvergabe fordert (so auch OLG Köln, Urt. v. 31. Oktober 2014, Az.: 6 U 60/14 zu kostenlos zur Verfügung gestelltem Lichtbild; OLG Hamm Urt. v. 13. Juni 2017, Az.: 4 U 72/16 zu Open-Source-Software). Wenn die Lizenzen üblicherweise kostenlos ausgegeben würden, könne dieser Wert nur mit Null angesetzt werden. Daher kommt ein Schadensersatz auf Grundlage einer Lizenzanalogie auch in Open-Source-Software-Fällen grundsätzlich nicht in Betracht, wenngleich dies durchaus mit guten Gründen kritisch kommentiert wird (etwa Heinzke, GRUR-Prax 2017, 439; Kilian/Heussen/Mantz ComputerR-Hdb, 32.6 OSS Rn. 60).
Abschöpfung des Verletzergewinns
Weiter könnte der Gewinn als Schadensersatz abgeschöpft werden, den der Verletzer gerade durch die unerlaubte Nutzung des Rechts erlangt hat. Auch insofern hat das OLG Düsseldorf einen Schaden verneint, da der Verletzte auch ohne die Verletzung des Schutzrechts den Gewinn nicht anstelle des Verletzers realisiert hätte, eben weil der Rechteinhaber auf die kommerzielle Verwertung verzichtet hat. Dies widerspricht jedoch der herrschenden Meinung in Rechtsprechung und Literatur, wonach der Verletzergewinn abgeschöpft werden kann, unabhängig davon, ob der Verletzte diesen Gewinn ebenfalls erzielt hätte oder auch nur hätte erzielen können.
Allerdings stützt sich diese herrschende Meinung unter anderem auf den bis 2008 gültigen Wortlaut des § 97 Abs. 1 S. 2 UrhG a. F., wonach der Anspruch auf Gewinnherausgabe „anstelle“ und somit unabhängig von einem konkret erlittenen Schaden bestand. Nach dem aktuellen Wortlaut des § 97 Abs. 1 S. 2 UrhG, der einer Harmonisierung gesetzlicher Vorschriften in der EU dient, soll der Gewinn hingegen nur bei der Bemessung des Schadens berücksichtigt werden. Es ist mithin unklar, ob es sich bei dem Anspruch auf die Verletzergewinnherausgabe lediglich um eine Berechnungsmethode handelt, die einen Schaden voraussetzt (so das OLG Düsseldorf), oder ob der Anspruch unabhängig von einem erlittenen Schaden bestehen kann. Für die nun vom OLG Düsseldorf vertretene Ansicht mag der geänderte Wortlaut von § 97 Abs. 1 S. 2 UrhG sprechen. Allerdings spricht viel dafür, dass eine Änderung der materiellen Anspruchsvoraussetzungen vom Gesetzgeber nicht intendiert war. Zudem entspräche es nicht der Billigkeit, dem Verletzer die Vorteile seiner lizenzlosen Nutzung zu belassen. So entschied auch das LG Köln (Urt. v. 17. Juli 2014, Az.: 14 O 463/13), das bei lizenzloser Nutzung von Open-Source-Software einen Anspruch auf die Herausgabe des Verletzergewinns zugestanden hat, eben weil es unbillig sei, dem Verletzer den Gewinn zu belassen, der auf der unbefugten Nutzung der Open-Source-Software beruhe. Der Anspruch auf Herausgabe des Verletzergewinns sei gerade kein Anspruch auf Ersatz des konkret entstandenen Schadens, sondern ziele in anderer Weise auf einen billigen Ausgleich des Vermögensnachteils ab.
Auf Grundlage des Wortlautes von § 97 Abs. 1 S. 2 UrhG ist unklar, ob bei lizenzloser Nutzung von Open-Source-Software oder anderen nicht kommerziell verwerteten immateriellen Rechtsgütern ein durchsetzbarer Anspruch auf Schadensersatz in Form der Herausgabe des Verletzergewinns besteht. Das OLG Düsseldorf hat sich dagegen ausgesprochen. Es sprechen aber gewichtige Gründe dafür, dass ein solcher Anspruch auch weiterhin anzuerkennen ist. Eine Klärung durch den Bundesgerichtshof steht noch aus. Das OLG Düsseldorf hat jedenfalls die Revision in Bezug auf diesen Punkt zugelassen und damit die grundsätzliche Bedeutung der Frage anerkannt, ob dem Rechtsinhaber im Falle von unentgeltlichen Lizenzierungen ein Schadensersatzanspruch zustehen kann.
Dr. Marc Hilber, LLM (Illinois)
2. E-Commerce Post-Brexit - Was ist neu?
Am 1. Februar 2020 ist Großbritannien aus der Europäischen Union ausgetreten. Am 24. Dezember 2020 einigten sich Großbritannien und die EU auf ein Handels- und Kooperationsabkommen („Handelsabkommen“). Seit dem 1. Januar 2021 ist dieses Handelsabkommen nun in Kraft. Aber was bedeutet das für den Online-Handel? Nachfolgend ein komprimierter Überblick über die wichtigsten Themen.
Datenschutz
Was gilt jetzt für die Verarbeitung personenbezogener Daten? Klar ist, dass die EU-Datenschutz-Grundverordnung („DSGVO“) seit Ablauf der Übergangsphase zum 31. Dezember 2020 in Großbritannien keine Anwendung mehr findet. Das Handelsabkommen sieht vor, dass eine Übermittlung personenbezogener Daten aus der EU nach Großbritannien jedenfalls bis zum 30. April 2021 nicht als Übermittlung in ein Drittland gilt. Dies setzt allerdings voraus, dass Großbritannien während dieser Zeit die nationalen Datenschutzbestimmungen nicht ohne Einverständnis der EU verändert. Würden also personenbezogene Daten im Rahmen der Kaufabwicklung von einem Server in der EU beispielsweise an ein Transportunternehmen in Großbritannien übermittelt, läge bis zur genannten Frist keine Datenübermittlung in ein Drittland vor. Auch für den Datenfluss aus Großbritannien in die EU sind bisher von der britischen Regierung keine Änderungen vorgesehen.
Was nach dem 30. April 2021 gilt, ist noch ungewiss. Widersprechen Großbritannien und die EU einer Verlängerung der datenschutzrechtlichen Übergangsphase nicht, wird diese automatisch um zwei Monate verlängert. Die EU-Kommission könnte auch einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen und damit festlegen, dass Großbritannien als Drittland ein angemessenes Schutzniveau für personenbezogene Daten bietet. Dann könnten personenbezogene Daten von den EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen nach Großbritannien übermittelt werden.
Angesichts der weitreichenden Befugnisse für Sicherheitsbehörden in Großbritannien ist es allerdings fraglich, ob es zu einem solchen Angemessenheitsbeschluss kommen wird. Wird die Übergangsphase nicht verlängert und entscheidet sich die EU-Kommission gegen den Erlass eines Angemessenheitsbeschlusses, müssten Verantwortliche für Datenübermittlungen nach Großbritannien ab 1. Mai 2021 zusätzliche „geeignete Garantien“ im Sinne des Art. 46 Abs. 1, 2 DSGVO vorsehen. Solche Garantien sind insbesondere die Vereinbarung von Standarddatenschutzklauseln der Kommission und verbindliche (konzern-) interne Datenschutzvorschriften („Binding Corporate Rules“).
Verbraucherrechte im Fernabsatz
Schließen Verbraucher, die ihren gewöhnlichen Aufenthalt in Deutschland haben, mit einem britischen Online-Händler einen Vertrag, ändert sich durch den Brexit vertragsrechtlich aus deutscher Sicht nichts. Dies gilt zumindest dann, wenn der Online-Shop seine Tätigkeit auch auf Deutschland ausrichtet. Denn in diesem Fall ist, ohne Rechtswahlklausel, deutsches Recht anwendbar und selbst bei abweichender Rechtswahlklausel muss den deutschen Verbrauchern der Verbraucherschutz, den das deutsche Recht vorsieht, erhalten bleiben. Allerdings wird die Durchsetzung des Rechts gegenüber Vertragspartnern in Großbritannien in der Praxis langwieriger und kostspieliger werden.
Richtet der britische Online-Shop seine Tätigkeit dagegen nicht auf Deutschland aus, dürfte im Regelfall das am Sitz des Unternehmens geltende britische Recht Anwendung finden. Bislang bestehen auch in dieser Konstellation verbraucherschützende Regelungen, wie sie deutschen Verbrauchern bekannt sind: Die wesentlichen Verbraucherrechte beruhen auf europäischem Recht, das in nationales Recht umgesetzt wurde (z. B. vorvertragliche Informationspflichten, 14-tägiges Widerrufsrecht, Gewährleistungsrechte und Beweislastumkehr bei Mängeln in den ersten sechs Monaten). Seit dem Brexit und dem Ende der Übergangsphase ist das europäische Recht für Großbritannien jedoch nicht mehr verbindlich. Deshalb ist es nicht ausgeschlossen, dass Großbritannien neues, abweichendes Verbraucherrecht erlässt und Verbraucherrechte im britischen Recht (zum Teil) abgeschafft werden.
Ein in Deutschland ansässiger Online-Händler, der Waren oder Dienstleistungen an britische Verbraucher vertreibt, ist bisher an britisches Recht gebunden, wenn sein Online-Shop auf Großbritannien ausgerichtet ist. Dies ergibt sich aus der europäischen Rom I-Verordnung. Diese gilt zwar mit dem Brexit und dem Ablauf der Übergangsfrist nicht mehr, allerdings wurde sie in britisches nationales Recht umgesetzt und die kollisionsrechtlichen Vorschriften gelten fort. Auch für deutsche Online-Händler gilt es daher, die Änderungen im britischen Recht genau zu beobachten.
Ungeachtet dessen sollten deutsche Online-Händler beim Vertrieb nach Großbritannien im Rahmen der Bezifferung des Endpreises daran denken, Verbraucher nun – zumindest abstrakt – auf den möglichen Anfall von Zollgebühren hinzuweisen. Es gelten dieselben Regeln wie bei Lieferungen aus der EU in andere Drittländer: Der Händler muss auf mögliche Zollabgaben sowie auf die Pflicht hinweisen, dass der Empfänger eine solche Zollschuld direkt an die zuständige Zollbehörde entrichten muss.
Weiter zu beachten ist, dass die EU-Plattform für Online-Streitbeilegung nun von Kunden und Online-Händlern in Großbritannien nicht mehr genutzt werden kann: Nach dem endgültigen EU-Austritt Großbritanniens verliert auch die EU-Verordnung über außergerichtliche Streitbeilegung und Online-Streitbeilegung für Großbritannien ihre Geltung. Aus diesem Grund ist der entsprechende, bislang obligatorische Hinweis auf die Streitbeilegungs-Plattform der EU von einer Internetpräsenz, die sich ausschließlich an den britischen Markt wendet, zu entfernen. Auch deutsche Online-Händler können – selbst bei laufenden Fällen – die Online-Streitbeilegung der EU nicht mehr nutzen, wenn diese Verbraucher in Großbritannien betrifft oder Streitbeilegungsstellen in Großbritannien vorschlagen.
Versand- und Zollabwicklung
Da Großbritannien nun im zoll- und exportkontrollrechtlichen Sinne als Drittland gilt, müssen deutsche Unternehmen grundsätzlich bei Versand nach Großbritannien Zollanmeldungen erstellen. Eine Ausnahme gilt bei Versand nach Nordirland. Das ist insbesondere für Unternehmen neu, die ihre Produkte bisher nur an Kunden innerhalb des Europäischen Binnenmarkts geliefert haben. Diese Unternehmen müssen nun in Großbritannien eine EORI-Nummer (Economic Operators' Registration and Identification) bei der Behörde HM Revenue & Customs beantragen, um die Zollformalitäten zu erfüllen. Zugleich müssen sie auch bei Geschäften mit Großbritannien für die Ausfuhr aus der EU bzw. Einfuhr in die EU eine europäische EORI-Nummer vorweisen können. Deutsche Unternehmen können diese bei der Generalzolldirektion in Dresden beantragen. Wenn der Geschäftspartner die Zollabwicklung in Großbritannien übernimmt, wird keine britische EORI-Nummer benötigt, etwa weil die vereinbarten Incoterms (so etwa EXW, je nach Konstellation auch FCA) dem Entsprechendes vorsehen.
Bei Lieferungen in die EU müssen britische Unternehmen umgekehrt grundsätzlich eine europäische EORI-Nummer vorweisen. Die bislang von Großbritannien vergebenen EORI-Nummern haben ihre Gültigkeit verloren, sodass die Neubeantragung bei einem EU-Mitgliedsstaat erforderlich wird.
Für Lieferungen von Waren nach und aus Großbritannien werden nunmehr grundsätzlich Zollabgaben fällig. Zwar sind auch Ausnahmen möglich (sog. zollpräferenzielle Behandlung[1]), der Aufwand, die erforderlichen Präferenznachweise zu erlangen, dürfte jedoch insbesondere für kleine und mittelständische Unternehmen eine Herausforderung darstellen. Die administrativen Kosten können zudem höher ausfallen als die andernfalls anfallenden Zollgebühren.
Berichte über Abwicklungsprobleme und -aufwand im Rahmen von Retoursendungen mehren sich bereits jetzt. Der zollrechtliche Deklarationsaufwand für die Rücksendungen von Waren zwischen der EU und Großbritannien sei so hoch, dass es je nach Produkt günstiger sei, auf das Produkt zu verzichten. Sofern keine weiteren und womöglich speziell auf dieses Themenfeld zugeschnittenen Erleichterungen durch die EU und Großbritannien vorgenommen werden, dürfte sich hieran in absehbarer Zeit nichts ändern. Für einzelne Unternehmen könnte sich die Errichtung eines parallelen Vertriebsnetzes lohnen, inklusive Warenlager, und zwar jeweils in Großbritannien und in der EU, welches das Hin- und Zurücksenden der Ware überflüssig werden lässt.
Im Rahmen der Exportkontrolle gilt es zudem zu beachten, dass eine Lieferung von Waren nach Großbritannien nun keine innereuropäische Verbringung mehr ist, sodass unter Umständen Ausfuhrgenehmigungen notwendig werden. Unternehmen sollten ihre Produkte daher vor dem Versand nach Großbritannien auch auf ihre exportkontrollrechtliche Klassifizierung hin prüfen.
Steuern
In Bezug auf die (Einfuhr-) Umsatzsteuer ergeben sich (kleinere) Änderungen, denn das zwischen Großbritannien und der EU geschlossene Abkommen befasst sich nicht mit dem Thema der (Einfuhr-) Umsatzsteuer.
Nach dem Austritt aus der EU wird Großbritannien wie ein gewöhnliches Drittland behandelt. Auf Lieferungen aus einem EU-Land nach Großbritannien wird keine Umsatzsteuer mehr erhoben, denn diese sind als steuerfreie Ausfuhrlieferungen nach §§ 4 Nr. 1a UStG i. V. m. 6 UStG zu behandeln. Dafür erhebt Großbritannien nun eine Einfuhrumsatzsteuer, was aufgrund nationaler Regelungen im Wesentlichen Wareneinfuhren mit einem Wert von mehr als GBP 135 betrifft. Hierzu dürfte insbesondere eine umsatzsteuerliche Registrierung in Großbritannien erforderlich sein. Umgekehrt, also für Einfuhren aus Großbritannien in die EU, greifen die gewöhnlichen Regelungen zur Einfuhrumsatzsteuer für Lieferungen aus Drittstaaten. Mit dem Grenzübertritt fällt also eine Einfuhrumsatzsteuer an, die aber – wie gewohnt – im Rahmen des Vorsteuerabzugs wirtschaftlich neutralisiert werden kann.
Auch die Verbrauchsteuern wurden im Abkommen zwischen der EU und Großbritannien nicht geregelt. Verbrauchsteuerrechtlich ist ein direktes Versenden oder Empfangen von verbrauchsteuerpflichtigen Waren zwischen der EU und Großbritannien nicht mehr möglich. Entsprechende Vorgänge sind als zollrechtliche Ausfuhren bzw. Einfuhren zu behandeln: hier findet das europäische Zollrecht Anwendung, es greifen die zollrechtlichen Deklarationspflichten und bei Grenzübertritt sind im Zweifel Verbrauchsteuern zu entrichten.
Dr. Hanna Schmidt, Mareike Heesing LL.M. (Köln/Paris I), Elmar Krüsmann
3. 10, 4 Mio. Euro Bußgeld: Unzulässige Videoüberwachung im Handel
Die Landesbeauftragte für den Datenschutz Niedersachen (LfD Niedersachsen) hat am 8. Januar 2021 bekanntgegeben, dass Sie eine Geldbuße in Höhe von 10,4 Millionen Euro gegen die notebooksbilliger.de AG verhängt hat (siehe hier).
Das Unternehmen habe seine Mitarbeiter überwacht, ohne dass hierfür eine Rechtsgrundlage vorgelegen habe. Das Bußgeld ist der bisher erste bekannt gewordene Anwendungsfall der Orientierungshilfe zur Videoüberwachung privater Stellen, die die Datenschutzkonferenz (DSK) im Juli letzten Jahres veröffentlicht hatte. Dort hatte die DSK gerade im Hinblick auf den Beschäftigtendatenschutz eine äußerst strikte Haltung eingenommen, die jedoch in weiten Teilen nicht gerichtlich bestätigt ist. Es bleibt daher abzuwarten, ob das Bußgeld in dieser Höhe bestand haben wird.
Die notebooksbilliger.de AG hat nach eigenen Angaben bereits Widerspruch eingelegt und angekündigt, notfalls gerichtlich gegen das Bußgeld vorzugehen.
Videoüberwachung bei der notebooksbilliger.de AG
Nach Angaben der LfD Niedersachsen hatten die durch die notebooksbilliger.de AG installierten Videokameras unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche erfasst. Ziel der Überwachung sei es gewesen, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Die Überwachung sei weder auf einen bestimmten Zeitraum, noch auf konkrete Beschäftigte beschränkt gewesen. Schließlich seien die Aufzeichnungen in vielen Fällen 60 Tage lang gespeichert worden.
LfD stützt sich auf strikte Orientierungshilfe der DSK
Die von der notebooksbilliger.de AG angeführten Zwecke der Videoüberwachung genügten nach Auffassung der LfD Niedersachen nicht, um diese zu rechtfertigen. Zur Verhinderung von Diebstählen müssten Unternehmen zunächst mildere Mittel prüfen.
Eine Videoüberwachung zur Aufdeckung von Straftaten sei nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richte. Nur wenn dies der Fall sei, könne es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Eine Speicherung der Aufzeichnungen über einen Zeitraum von 60 Tagen sei deutlich länger als erforderlich.
Die Behörde übernimmt in ihrer Argumentation erwartungsgemäß den Standpunkt der DSK aus deren Orientierungshilfe zur Videoüberwachung. Dort wird im Hinblick auf die Überwachung von Beschäftigten mit Verweis auf § 26 Abs. 1 S. 2 BDSG angenommen, dass eine Überwachung zur Aufdeckung von Straftaten nur im Fall eines konkreten Verdachts zulässig sein kann.
Im Hinblick auf die Speicherfrist ist nach der Orientierungshilfe regelmäßig lediglich eine Frist von 72 Stunden erforderlich, um festzustellen, dass ein relevantes Ereignis stattgefunden hat und die Löschung der relevanten Videosequenzen unterbunden werden kann.
Rechtslage bisher ungeklärt
Die Argumentation der LfD Niedersachsen ist jedoch in Literatur und Rechtsprechung keineswegs unumstritten:
Über die Fälle einer vorübergehenden Überwachung von Beschäftigten bei konkretem Verdacht einer Straftat (§ 26 Abs. 1 S. 2 BDSG) hinaus, können Verhaltens- und Leistungskontrollen von Beschäftigten – und damit prinzipiell auch eine Videoüberwachung – auf § 26 Abs. 1 S. 1 BDSG bzw. Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Auf der Grundlage dieser Vorschriften können solche Verhaltens- und Leistungskontrollen auf Basis einer Interessenabwägung zulässig sein. Die Grenze ist nach der höchstrichterlichen Rechtsprechung jedenfalls dort erreicht, wo eine anlass- und lückenlose Vollkontrolle erfolgt, die eine Erstellung umfassender Bewegungs- und Leistungsprofile zulässt.
In bestimmten Fällen kann zurecht bezweifelt werden, ob die Videoüberwachung als lückenlose Vollkontrolle angesehen werden kann: etwa, wenn Videoaufnahmen nur im Fall eines konkreten und vorher definierten Anlasses ausgewertet und weitere technische- und organisatorische Maßnahmen – insbesondere die verschlüsselte Speicherung und automatische Überschreibung nach Ablauf der definierten Speicherfrist – ergriffen und nur betroffene Videosequenzen eingesehen werden.
Abzuraten ist von flächendeckender Videoüberwachung, weil damit keine Rückzugsbereiche mehr verbleiben.
Die Ansicht der Aufsichtsbehörden zur maximal zulässigen Speicherfrist, widerspricht indes der Rechtsprechung des Bundesarbeitsgerichts. Dieses hat in seinem Urteil vom 23. August 2018 (Az.: 2 AZR 133/18, Rn. 33) festgestellt, dass sogar Speicherfristen von mehreren Monaten zulässig sein können.
Berechnung des Bußgeldes
Die Höhe des Bußgelds richtet sich nach dem Konzept der DSK zur Bußgeldzumessung in Verfahren gegen Unternehmen (wir berichteten über die Errechnung von Bußgeldern in unserem Newsletter). Grundlage der Berechnung bildet der weltweite Konzernumsatz. Dies kann gerade bei großen Unternehmen zu sehr hohen Bußgeldern führen, selbst wenn der zugrundeliegende Datenschutzverstoß von der Aufsichtsbehörde als „leicht“ eingestuft wird.
Die Rechtsprechung hat sich wegen dieser Diskrepanz zwischen Verschulden und der Höhe von Bußgeldern gegenüber der neuen Bußgeldpraxis der Aufsichtsbehörden skeptisch gezeigt. Das LG Bonn hat mit Urteil vom 11. November 2020 (Az.: 29 OWi 1/20) ein Bußgeld in Höhe von 9,55 Mio. Euro, das der Bundesbeauftragte für Datenschutz und Informationsfreiheit gegen die 1&1 Telecom GmbH verhängt hatte, um ca. 90% auf 900.000 Euro herabgesetzt.
Es bleibt daher abzuwarten, ob die Aufsichtsbehörden auf Dauer an ihrem Bußgeldkonzept festhalten können oder eine Anpassung notwendig wird.
Der Fall zeigt, dass die Aufsichtsbehörden das Thema Videoüberwachung als besonders sensiblen Bereich wahrnehmen, gerade wenn Beschäftigte betroffen sind. Unternehmen sollten die Entscheidung zum Anlass nehmen, die bei ihnen eingesetzte Videoüberwachung auf die Vereinbarkeit mit dem Datenschutzrecht hin zu überprüfen. In vielen Fällen dürfte die Einhaltung der strengen Voraussetzungen der deutschen Aufsichtsbehörden schwierig sein. Hier gilt es, durch die Umsetzung maßgeschneiderter technischer und organisatorischer Maßnahmen zu einer risikogerechten Lösung zu gelangen.
Marco Degginger
4. Neue Regelungen für Verträge über digitale Produkte
Mit der Richtlinie (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen verfolgt der europäische Gesetzgeber das Ziel, die derzeitige Regelungslücke im EU-Verbraucherrecht bezüglich bestimmter vertragsrechtlicher Aspekte der Bereitstellung digitaler Produkte zu schließen. Die Richtlinie ist von den EU-Mitgliedstaaten bis zum 1. Juli 2021 in nationales Recht umzusetzen.
Am 13. Januar 2021 wurde ein Gesetzesentwurf der Bundesregierung zur Umsetzung der Richtlinie veröffentlicht, der in Kürze zur Beschlussfassung dem Bundestag vorgelegt wird. Die Neuerungen, die der Gesetzesentwurf vorsieht, sollen im Wesentlichen durch die neu eingefügten §§ 327 bis 327u BGB-RegE den Weg ins Gesetz finden.
Neue Regelungen für Verträge über digitale Produkte
Die neuen Regelungen beziehen sich auf Verträge zwischen Unternehmern und Verbrauchern über die entgeltliche Bereitstellung digitaler Produkte.
Als digitale Produkte gelten nach Erwägungsgrund 19 der oben genannten EU-Richtlinie Computerprogramme, Anwendungen, Videodateien, Audiodateien, Musikdateien, digitale Spiele, elektronische Bücher und andere elektronische Publikationen und auch digitale Dienstleistungen, die die Erstellung, Verarbeitung oder Speicherung von Daten in digitaler Form sowie den Zugriff auf sie ermöglichen, einschließlich Software-as-a-Service, wie die gemeinsame Nutzung von Video- oder Audioinhalten und andere Formen des Datei-Hosting, Textverarbeitung oder Spiele, die in einer Cloud-Computing-Umgebung und in sozialen Medien angeboten werden.
Die neuen Regelungen erfassen nicht nur entgeltliche Verbraucherverträge, sondern auch Verbraucherverträge, nach denen ein Verbraucher Daten als Gegenleistung schuldet (§ 327 BGB-RegE). So ist nach Erwägungsgrund 24 der EU-Richtlinie z. B. auch die Registrierung in einem sozialen Netzwerk erfasst, bei der der jeweilige Nutzer Name und E-Mail-Adresse angeben muss und diese Daten nicht nur für den Zugang zum sozialen Netzwerk, sondern auch für eigene Zwecke des Anbieters (insbesondere werbliche Zwecke) genutzt werden.
Was müssen Anbieter digitaler Produkte beachten?
Es ist wahrscheinlich, dass der Gesetzesentwurf in der veröffentlichten Fassung beschlossen wird, da er sich nah an der EU-Richtlinie orientiert. Anbieter, die sich mit digitalen Produkten an Verbraucher richten, müssen für den Fall der Beschlussfassung insbesondere folgende Pflichten beachten:
- Erstellung und Bereitstellung von Updates, die zum Erhalt der Vertragsmäßigkeit des digitalen Produkts erforderlich sind (§ 327f BGB-RegE).
Beispiel: Behebung von Sicherheitslücken oder Funktionsstörungen oder Anpassung an neue technische Normen; Soweit der Anbieter nicht selbst Hersteller eines digitalen Produkts ist, kann er für den Fall, dass der Hersteller keine Updates bereitstellt, möglicherweise Regress beim Hersteller nehmen.
Maßgeblicher Zeitraum: Bei Dauerschuldverhältnissen hat der Verbraucher für den gesamten Zeitraum der Bereitstellung einen Anspruch auf erforderliche Updates. Bei einmaliger Bereitstellung erstreckt sich die Updatepflicht über einen „Zeitraum, den der Verbraucher aufgrund der Art und des Zwecks der digitalen Produkte und unter Berücksichtigung der Umstände und der Art des Vertrags erwarten kann“. Damit ist im Einzelfall zu entscheiden, wie lange Updates verpflichtend bereitgestellt werden müssen. Grundsätzlich wird wohl auf die übliche Nutzungs- und Verwendungsdauer des digitalen Produkts abzustellen sein. Aus Erwägungsgrund 46 der EU-Richtlinie geht hervor, dass als Mindestdauer der Gewährleistungszeitraum von zwei Jahren zu berücksichtigen ist. Es bleibt abzuwarten, inwieweit die Rechtssprechung diesbezüglich zur Festlegung klarerer Grenzen und Zeiträume beitragen kann.
- Information des Nutzers über Updates, Installationsanleitung und möglichen Folgen einer unterlassenen Installation
Nur, wenn der Anbieter neben der Bereitstellung der Updates auch den Verbraucher ordnungsgemäß informiert, kann er sich im Falle einer unterlassenen Installation durch den Nutzer von der Haftung exkulpieren (§ 327f Abs. 2 BGB-RegE).
Neben diesen Pflichten sollte der Anbieter von digitalen Produkten die eigenen Verträge bzw. Nutzungsbedingungen überprüfen und im Einzelfall anpassen. In diesem Zusammenhang ist insbesondere auf die Regelung in § 327r BGB-RegE hinzuweisen. Danach darf der Anbieter die digitalen Produkte nach dem Vertragsschluss nur dann verändern, wenn u. a. das Recht zur nachträglichen Änderung im Vertrag geregelt ist.
Was sieht der Gesetzesentwurf noch vor?
Im Vertragsmodell „Digitale Produkte gegen Daten“ stellt § 327q BGB-RegE erfreulicherweise klar, dass der Unternehmer den Vertrag kündigen kann, wenn der Verbraucher die Einwilligung zur Datenverarbeitung widerruft oder dieser widerspricht und dem Unternehmer eine Fortsetzung des Vertrages nicht zuzumuten ist. Weitere Ersatzansprüche stehen dem Unternehmer in diesem Fall allerdings nicht zu.
Wir beobachten das weitere Gesetzgebungsverfahren und werden über weitere Entwicklungen berichten.
Patrick Schwarze
5. Schnittstellen zum Arbeitsrecht
Das Arbeitsrecht wird momentan zwar wesentlich von Corona-Themen bestimmt, jedoch gibt es auch abseits davon Neuerung: So hat der Gesetzgeber einen Gesetzesentwurf für sog. Plattformarbeiter (u. a. Crowdworker) vorgestellt. Der Anfang diesen Jahres vorgelegte Entwurf des Betriebsrätestärkungsgesetzes stellt sich Fragen der Mitbestimmung bei künstlicher Intelligenz.
Plattformarbeit
In seinem Urteil vom 1. Dezember 2020 bestätigte das Bundesarbeitsgericht (BAG) die Arbeitnehmereigenschaft eines vermeintlich selbstständigen Crowdworkers. Es äußerte sich damit erstmals zur umstrittenen rechtlichen Einordnung dieser Beschäftigungsform (Az. 9 AZR 102/20). Eine Zusammenfassung des Urteils und was dies praktisch bedeutet, finden Sie hier: (Crowdworker – Neue Risiken der Scheinselbständigkeit).
Kurz vor der Entscheidung des BAG hatte das Bundesministerium für Arbeit und Soziales (BMAS) ein Eckpunktepapier zu fairer Arbeit in der Plattformökonomie vorgelegt. Ziel des BMAS ist es, die Rechte von Crowdworkern zu stärken und gleichzeitig die Plattformbetreiber stärker in die Verantwortung zu nehmen.
Der Vorschlag sieht unter anderem vor, Crowdworker in die gesetzliche Rentenversicherung einzubeziehen und Plattformbetreiber an der Beitragszahlung zu beteiligen. Zudem prüft das BMAS, wie die Absicherung in der Unfallversicherung verbessert werden kann. Besondere Aufmerksamkeit verdient der Vorschlag, Crowdworkern zukünftig die Möglichkeit zu gewähren, sich zu organisieren und gemeinsam Bedingungen mit den Plattformen auszuhandeln. Außerdem sollen eine Beweisverlagerung die Klärung des Arbeitnehmerstatus erleichtern und Mindestkündigungsfristen festgeschrieben werden.
Der Gesetzentwurf dient dazu, die Abhängigkeit des Crowdworkers von einzelnen Plattformen einzuschränken, etwa durch eine „Mitnahme“ von Bewertungen zu anderen Plattformen. Informationen zu den weiteren Vorschlägen des BMAS finden hier: BMAS - Neue Arbeit fair gestalten.
Betriebsrätestärkungsgesetz
Ende des Jahres 2020 hat das BMAS einen Referentenentwurf zur Förderung der Betriebsratswahlen und zur Stärkung der Betriebsräte vorgelegt (Betriebsrätestärkungsgesetz). Diesbezüglich sind zwei Punkte hervorzuheben:
Der Entwurf behandelt die Frage der Anwendung künstlicher Intelligenz (KI) auf betrieblicher Ebene. So soll der Arbeitgeber zukünftig mit dem Betriebsrat darüber beraten, wenn er KI einsetzen möchte. Ziel ist es – so das BMAS –, das Vertrauen und die Akzeptanz der Beschäftigten bei der Einführung und Anwendung von KI zu stärken, indem die Betriebsräte frühzeitig eingebunden werden. Außerdem wird hervorgehoben, dass der Betriebsrat auf Kosten des Arbeitgebers externe Sachverständige im Bereich der Informations- und Kommunikationstechnik hinzuziehen kann. Zudem soll sichergestellt werden, dass die Rechte des Betriebsrats auch dann gelten, wenn sich der Arbeitgeber bei der Personalauswahl KI bedient.
Der Entwurf erweitert zusätzlich die Beteiligungsrechte von Betriebsräten im Hinblick auf die Ausgestaltung mobilen Arbeitens, insbesondere im Home-Office. Ziel ist es, einheitliche, verbindliche und auf den jeweiligen Betrieb zugeschnittene Regelungen schaffen zu können, um den typischen Gefahren mobiler Arbeit vorzubeugen. Zukünftig sollen Betriebsräte daher bei der Frage des zeitlichen Umfangs, des Ortes der mobilen Arbeit sowie bezüglich der Erreichbarkeit im Home-Office ein zwingendes Mitbestimmungsrecht haben.
Die betriebliche Mitbestimmung war schon Teil des im letzten Jahr prominent angekündigten „Mobile-Arbeit-Gesetzes“ des BMAS. Da dieser Gesetzentwurf nach deutlicher Kritik von allen Seiten verworfen wurde, versucht das BMAS nun über das Betriebsrätestärkungsgesetz, die gewünschte Mitbestimmung zu implementieren. Da bereits nach geltender Rechtslage weitreichende Mitbestimmungsrechte bestehen, bleibt abzuwarten, ob das Vorhaben tatsächlich in der Form beschlossen werden wird.
Jörn Kuhn, Johannes Kaesbach
6. Ausblick auf das Jahr 2021 im Datenschutz
1. Ausblick auf das Jahr 2021 im Datenschutz
Wie bereits in den letzten Jahren erwarten uns 2021 wichtige Entwicklungen im Datenschutzrecht. Viele der Entwicklungen beziehen sich auf internationale Datenübermittlungen. Wir wollen Ihnen einen Ausblick geben auf den Umgang mit dem EuGH-Urteil (Schrems II), EU-Standvertragsklauseln für Übermittlungen in Drittländer, EU-Standvertragsklauseln für Auftragsverarbeiter, den Brexit und den Vorschlag des Rats zur ePrivacy Verordnung.
1. 1 EuGH-Urteil (Schrems II)
Die europäischen Datenschutzbehörden haben im Dezember ihren Entwurf von Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zu den vom EuGH geforderten zusätzlichen Schutzmaßnahmen von Datenübermittlungen in Drittländer vorgelegt.
Fest steht auch nach den Datenschutzbehörden, dass für derartige Übermittlungen eine Ergänzung der EU-Standardvertragsklauseln nicht ausreicht, sondern weitere Schutzmaßnahmen erforderlich sind. Vor allem bei den in diesen Empfehlungen genannten Fallgruppen der Software as a Service Cloud-Dienste sowie konzerninternen Übermittlungen besteht derzeit große Unsicherheit. Die Datenschutzbehörden ließen erkennen, dass sie derartige Datenübermittlungen derzeit für nicht zulässig halten.
Datenschutzbehörden in Deutschland haben angekündigt, dass Unternehmen, die weiterhin Cloud Services in den USA einsetzen, dies wahrscheinlich ohne Rechtsgrundlage tun und sich die Datenschutzbehörden zukünftig gezwungen sähen, derartige Datenverarbeitungen zu sanktionieren.
Eine schnelle Lösung ist leider nicht in Sicht, dauerhafte Entlastung versprechen hier nur entsprechende Abkommen zwischen der EU-Kommission und der US-Regierung.
1. 2 Neue EU-Standardvertragsklauseln für Übermittlungen in Drittländer
Ebenfalls im Dezember 2020 hat die EU-Kommission einen Entwurf für neue EU-Standardvertragsklauseln für Datenübermittlungen veröffentlicht. Dieser enthält nicht nur strengere Klauseln zur Umsetzung des EuGH-Urteils (Schrems II), sondern auch viele für die Unternehmen positive Entwicklungen (wir berichteten).
Nun hat auch der EDSA zusammen mit dem Europäischen Datenschutzbeauftragten eine Stellungnahme hierzu abgegeben. Jetzt steht die Überarbeitung und Verabschiedung der Standardvertragsklauseln durch die Europäische Kommission im ersten Quartal 2021 an.
Unternehmen sollten sich daher darauf vorbereiten, die neuen Vertragsklauseln einzusetzen und bestehende Vertragsklauseln entsprechend abzuändern.
1. 3 Neue EU-Standardvertragsklauseln für Auftragsverarbeitungen
Außerdem hat die EU-Kommission einen Entwurf für einen Standardvertrag für Auftragsverarbeitungen vorgelegt, den EDSA und Europäischer Datenschutzbeauftragter ebenfalls kommentiert haben.
Dieser ausführliche Entwurf dürfte aus Sicht deutscher Anwender helfen, die in Deutschland bereits üblichen, im Vergleich zu anderen EU-Ländern ausführlicheren Vertragsklauseln durchzusetzen. Allerdings ist zu befürchten, dass ein großer Aufwand durch eine Anpassung bestehender Verträge entsteht.
1. 4 Brexit
Das Brexit-Abkommen enthält bisher noch keine Übereinkunft zur Frage des Datenschutzes. Insofern haben die EU-Kommission und die britische Regierung vereinbart, dass Großbritannien derzeit noch nicht als Drittland im Sinn der DSGVO gilt. Erfolgt jedoch bis spätestens 30. Juni 2021 keine Nachfolgeregelung, insbesondere keine Anerkennung des Vereinigten Königreichs als sicheres Drittland für Datenübermittlungen würde dies jedoch eintreten.
Der EDSA hat auf die wichtigsten Konsequenzen hingewiesen: Mit dem Status als Drittland greifen die Anforderungen der Art. 44 ff. DSGVO, insbesondere die Notwendigkeit zum Abschluss von Standardvertragsklauseln. Bereits zum 1. Januar 2021 endete die Zusammenarbeit der Aufsichtsbehörden und die britische Behörde ICO kann nicht länger federführende Aufsichtsbehörde sein. Unternehmen aus dem Vereinigten Königreich können aber weiterhin den Regelungen der DSGVO unterfallen (über Art. 3 DSGVO) und müssen den entsprechenden Pflichten nachkommen, z.B. Vertreter bestimmen.
Auch insofern müssen sich die Unternehmen auf einen Handlungsbedarf einrichten.
1. 5 Bewegung in Sachen ePrivacy-Verordnung
Unter der Präsidentschaft Portugals hat der Europäische Rat nunmehr eine einheitliche Position für eine ePrivacy-Verordnung beschlossen. Abgesehen von dem Bereich der Vorratsdatenspeicherung, welche weiterhin ermöglicht werden soll, betreffen die streitigen Regelungen vor allem die Verwendung von Cookies und sonstiges Tracking von Nutzern im Internet. Im neuen Entwurf des Rates sollen sogenannte „Cookie Walls“, welche insbesondere die Angebote von Mediendiensten von einer Einwilligung in Cookies abhängig machen, zulässig sein. Außerdem sollen personenbezogene Daten in bestimmten Fällen ohne Einwilligung der Nutzer für andere Zwecke weiterverarbeitet werden können.
Der Entwurf rief bei Daten- und Verbraucherschützern bereits erheblichen Widerspruch hervor. Eine genauere Analyse der Reichweite dieses Entwurfs werden wir in unserem nächsten Newsletter vorstellen. Allerdings bedeuten diese Vorschläge zur Entlastung von Unternehmen noch nicht, dass diese auch Gesetz werden. Denn nun stehen die Verhandlungen im Trilog mit dem Europäischen Parlament und der EU-Kommission an, welche sich beide für eine Anhebung des Datenschutzniveaus einsetzen.
Wir rechnen daher nicht mit einem Inkrafttreten der neuen ePrivacy-Verordnung in nächster Zukunft.
Dr. Hanna Schmidt
Junior PartnerinRechtsanwältin
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994