IT-Recht und Datenschutz14.12.2023 Newsletter
Fokus IT&C – 4. Quartal 2023
Wir haben für Sie wichtige und spannende Neuerungen und Rechtsprechung aus dem IT-Recht und Datenschutz zusammengestellt. Viel Spaß beim Lesen!
1. Meilenstein in der KI-Regulation: EU einigt sich über AI Act
2. Künstliche Intelligenz im Arbeitsleben
3. EuGH zu Abos im Fernabsatz: Verbraucher können Vertrag nur einmal widerrufen
4. EuGH zu Art. 83 DSGVO: Verstoß allein ist für DSGVO-Bußgelder nicht ausreichend
7. Entwurf für Digitale-Dienste-Gesetz: Neue Regelungen für digitale Vermittlungsdienste
8. Urteil des EuGH zum Schufa-Scoring
1. Meilenstein in der KI-Regulation: EU einigt sich über AI Act
Nach zähen Verhandlungen erreichte die EU in der Nacht vom 8. Dezember 2023 eine Einigung über den Artificial Intelligence Act („AI Act“). Abhängig vom Datum der formalen Verabschiedung gelten dessen Anforderungen daher voraussichtlich ab 2026. Der AI Act könnte als erstes umfassendes KI-Gesetz der Welt einen globalen Standard in der Regulation von KI setzen. Die Anforderungen an den Gebrauch von KI-Systemen werden damit klarer, wenngleich noch viele Unsicherheiten bestehen.
1. Verhandlungen um den AI Act
Bei den Verhandlungen um den AI Act waren bis zuletzt das unionsweite Verbot bestimmter KI-Systeme, die Einteilung der KI-Systeme in verschiedene Risikogruppen und die erhöhten Mindeststandards für Hochrisiko-KI stark umstritten. Insbesondere die Regulierung der Grundlagenmodelle, also der Generative-Pretrained-Transformer-Modelle (kurz: GPT-Modelle), war umkämpft. Inwieweit der EU der Spagat zwischen vertrauenssteigender Kontrolle der KI-Systeme einerseits und Verhinderung einer entwicklungsfeindlichen Überregulierung andererseits gelungen ist, wird die Zeit zeigen.
2. Wen und was betrifft der AI Act?
Durch den AI Act werden das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen innerhalb der Union geregelt und den Anbietern, Herstellern sowie Händlern von KI-Systemen bestimmte Pflichten auferlegt. Das Gesetz gilt also auch für Unternehmen mit Sitz außerhalb der EU, sofern diese KI-Systeme auf dem EU-Markt bereitstellen. Mit steigendem Gefahrenpotenzial des KI-Systems steigen auch die einzuhaltenden Anforderungen (risikobasierter Ansatz). Im Vordergrund steht die Regulierung sog. Hochrisiko KI-Systeme.
Vom Anwendungsbereich ausgeschlossen sind KI-Systeme, die ausschließlich für militärische oder Verteidigungs-, Forschungs- oder Innovationszwecke sowie zu privaten Zwecken genutzt werden.
Mithilfe von KI geschaffene Texte, Bilder und Töne müssen als solche kenntlich gemacht werden.
3. Wie können sich Unternehmen schon heute auf den AI Act einstellen?
Unternehmen sollten die Implementierung und den Betrieb ihrer KI-Systeme bereits jetzt am AI Act ausrichten. Anderenfalls drohen hohe Kosten für die rechtskonforme Nachrüstung oder gar die Abschaltung der Systeme mit Inkrafttreten des AI Acts.
(a) Risikobewertung
Jedes Unternehmen sollte eine Risikobewertung der genutzten KI-Systeme durchführen und dokumentieren. Für die konkreten Pflichten ist die Einordnung des KI-Systems in die Kategorien (i) unannehmbares Risiko, (ii) Hochrisiko-KI oder (iii) KI mit geringem/minimalen Risiko entscheidend.
(i) KI mit unannehmbarem Risiko
Verboten ist das Inverkehrbringen oder die Verwendung von KI-Systemen, die ein unannehmbares Risiko darstellen. Ein derartiges unannehmbares Risiko besteht bei Systemen, die dazu dienen, menschliches Verhalten unterschwellig nachteilig zu beeinflussen oder die Schwächen schutzbedürftiger Personen auszunutzen. KI-Systeme, die Menschen nach ihrer Vertrauenswürdigkeit klassifizieren, sog. Social Scoring, dürfen ebenfalls nicht vertrieben oder genutzt werden.
(ii) Hochrisiko-KI
Hochrisiko-KI-Systeme sind Systeme, die ein hohes Risiko für die Grundrechte, Gesundheit oder Sicherheit natürlicher Personen darstellen. Einerseits zählt der Gesetzgeber hierzu beispielsweise Systeme, die Funktionen als Sicherheitskomponenten erfüllen sollen und dementsprechenden Zertifizierungspflichten unterliegen. Darüber hinaus enthält der AI Act eine Liste von KI-Systemen, die stets als Hochrisiko-KI gelten. Darunter fallen etwa Systeme im Strafverfolgungs- oder Justizbereich sowie zur biometrischen Klassifizierung.
(iii) KI mit geringem/minimalen Risiko
In die Kategorie der KI mit geringem/minimalem Risiko fallen Systeme, deren Einsatz weder zu einem unannehmbaren Risiko führt noch als Hochrisiko-KI einzuordnen sind. Chatbots beispielsweise unterfallen dieser Kategorie.
(b) Transparenz, Dokumentations- und Informationspflichten
Der AI Act fordert für sämtliche Systeme die Einhaltung von Transparenz-, Dokumentations- und Informationspflichten. Zur Einhaltung dieser Pflichten sollten Entwickler die Entwicklung und Funktionsweise ihrer Systeme genau dokumentieren. Auch die verwendeten Trainingsdaten und die damit erzeugten Ergebnisse sollten dokumentiert werden.
(c) Einrichtung von Kontrollmechanismen
Unternehmen sollten Zuständigkeiten und Verfahren für die regelmäßige Kontrolle der KI-Systeme etablieren und Schulungen für Beschäftigte anbieten. Der AI Act verpflichtet Unternehmen zur fortlaufenden Kontrolle der KI, da viele Systeme stetig auf neue Daten zugreifen und sich weiterentwickeln.
4. Fazit
Die EU hat sich auf den AI Act geeinigt und nimmt Unternehmen beim Einsatz von KI-Systemen in die Pflicht. Verstöße gegen die Regularien können mit erheblichen Geldstrafen von bis zu 40 Millionen Euro oder bis zu sieben Prozent des gesamten weltweiten Umsatzes des vorangegangenen Geschäftsjahres sanktioniert werden. Die Umsetzung des individuellen Pflichtenprogramms aus dem AI Act sollte daher nicht auf die lange Bank geschoben werden. Unternehmen können schon heute handeln.
Gerne unterstützen wir hierbei.
Dr. Axel Grätz
2. Künstliche Intelligenz im Arbeitsleben
1. KI im Arbeitsalltag: Sorgenkind oder Hoffnungsträger?
Künstliche Intelligenz („KI“) wird laut einer aktuellen Studie des Digitalverbands Bitkom von 15 Prozent der deutschen Unternehmen genutzt. Dies ist ein Anstieg um 6 Prozent im Gegensatz zum Vorjahr. Auch steigen insgesamt die Erwartungen an KI deutlich. Von den befragten Unternehmen halten gut zwei Drittel KI perspektivisch für die wichtigste Technologie. KI kann mittlerweile nicht nur zur Effizienzsteigerung der Robotik an Fertigungsstraßen oder zur Optimierung der Verteilung von Warenbeständen in Logistikcentern eingesetzt werden. Mitarbeiter greifen heutzutage auf KI-gestützte Anwendungen zurück, um das Marketing ganzer Konzerne umzukrempeln. Standardisierte Schreiben werden von ChatGPT vorbereitet. Selbst beim Bericht an den Vorstand können Präsentationen verwendet werden, die unter Zuhilfenahme von KI entstanden sind. Auch der einzelne Bewerber ist betroffen. Mit dem sog. Active Sourcing können soziale Netzwerke nach geeigneten Kandidaten für Stellenausschreiben durchsucht und sodann angesprochen werden. Das Potential von KI im Arbeitsleben ist also enorm.
Wieso aber setzen heute nur vergleichsweise wenige deutsche Unternehmen KI ein? Einerseits liegt dies sicherlich daran, dass konkrete praktische Einsatzmöglichkeiten von KI erst langsam erschlossen werden. Vor allem aber schreckt die Unternehmen die unklare Rechtslage rund um KI und die damit verbundenen Haftungsrisiken und Reputationsverluste ab. Dies verwundert nicht. Die intelligenten Helfer benötigen große Mengen an Daten, um betrieben werden zu können. Sobald ein Personenbezug dieser Daten besteht, findet das Datenschutzrecht Anwendung. Zusätzlich stehen Regulierungsvorhaben speziell für KI bevor: Neben der europäischen KI-Verordnung wird die Maschinenverordnung KI neu bewerten. Unternehmen, die KI bereits einsetzen oder dies planen, sollten sich schon heute auf das Inkrafttreten dieser Regularien vorbereiten. Anderenfalls besteht die Gefahr, dass die internen Prozesse plötzlich nicht mehr rechtskonform durchgeführt werden können.
Dennoch ist ein rechtssicherer Einsatz von KI zur Unterstützung der Angestellten im Betrieb möglich. Einige Implikationen, die zu beachten sind, möchten wir Ihnen im Folgenden an die Hand geben.
2. Datenschutzrechtliche Implikationen
Daten werden häufig als der wertvollste Rohstoff der heutigen Zeit betitelt. Auch KI ist durch die Koexistenz von Big Data bedingt. Dies fängt schon beim Training der Systeme an und setzt sich bis zu deren Inbetriebnahme fort. Häufig haben diese Daten einen Personenbezug und unterliegen daher dem Datenschutzrecht. Verantwortlich für die Einhaltung dieserVorgaben ist der Arbeitgeber.
2.1
Seitdem der EuGH das landesrechtliche Äquivalent aus Hessen zu § 26 Abs. 1 S. 1 BDSG für europarechtswidrig erklärt hat (EuGH, Urt. v. 30.3.2023 – C-34/21) ist auch im Arbeitskontext auf die europäischen Erlaubnistatbestände der DSGVO zurückzugreifen. Neben dem grundsätzlichen Problem, dass bei der Verarbeitung personenbezogener Daten von Arbeitnehmern in vielen Fällen die Freiwilligkeit der Erteilung einer Einwilligung problematisch sein kann, sorgt dieKIfür weitere Störungen in diesem Bereich. Denn eine Einwilligung muss auf einer informierten Entscheidung beruhen. Vom Arbeitgeber bereitzustellen sind also die Angaben nach Art. 13 DSGVO. Gerade bei Blackbox-Modellen, deren Funktionsweise selbst Experten heute noch nicht in Gänze durchschauen, bereitet dies Schwierigkeiten. Zusätzlich muss die Einwilligung frei widerrufbar sein und dieser Widerruf infolgedessen auch umgesetzt werden können. Da die meisten, heutzutage eingesetzten KI-Modelle auf Künstlichen Neuronalen Netzen und der Hebb’schen Lernregel basieren, hat der einmal zum Anlernen genutzte Datenfundus langwierige Auswirkungen auf die Ergebnisse bei Betrieb des Systems. Gerade Pseudonymisierungs- und Anonymisierungstechniken können an diesem Punkt eine große Hilfe sein. Nicht selten wird letztlich eine Interessenabwägung darüber entscheiden, ob Datenverarbeitungen im Betrieb mittels KI datenschutzrechtlich zulässig sind (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Bei der Bewerberauswahl mittels Active Sourcing kann insbesondere die Auswahl der zu durchsuchenden Plattform Ausschlag zugunsten des Stellenausschreibenden geben. Angehörige eines Netzwerks, das einen beruflichen Kontext hat, dürften eher ein Interesse daran haben, auf neue Stellen angesprochen zu werden, als Besucher von Plattformen, die einen solchen Kontext nicht besitzen. Art. 6 Abs. 1 S. 1 lit. b DSGVO hilft beim Active Sourcing übrigens nicht weiter, auch wenn die Akquise durchaus als vorvertragliche Maßnahme begriffen werden kann. Die Anwendung des Erlaubnistatbestands scheitert bereits an der Anfrage des Betroffenen.
2.2
KI wird oftmals Autonomie zugesprochen. Automatisierte Entscheidungsfindungen liegen dann umso näher. Im Betrieb können Arbeitsaufträge vollautomatisiert an einzelne Arbeitnehmer zugewiesen werden. Die Arbeitsplanerstellung bietet sich zur Übertragung auf die Maschine ebenfalls an. Datenschutzrechtlich sind derartige Prozesse an Art. 22 DSGVO zu messen. Grundsätzlich unzulässig sind demnach ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidungen, die gegenüber der betroffenen Person rechtliche Wirkung entfalten oder sie in ähnlicher Weise beeinträchtigen. Jüngst wurde in den Niederlanden in diesem Zusammenhang die automatisierte Verteilung von Fahraufträgen an Taxifahrer anhand von Art. 22 DSGVO bewertet, da sich diese Entscheidung unmittelbar auf das Einkommen der Fahrer auswirke und damit rechtliche Wirkung entfalte (Gerechtshof Amsterdam v. 4.4.2023 – 200.295.747/01). Im Provisionsgeschäft dürften beispielweise Arbeitsaufträge vor diesem Hintergrund nicht auf Grundlage automatisierter Entscheidungsfindungen vergeben werden, da sie unmittelbar rechtliche Wirkung hätten. KI kann jedoch in der Vorbereitungsphase der Entscheidungsfindung eingesetzt werden. Die Grenzziehung ist dabei eine Frage des Einzelfalls. In jedem Fall sollten die bis dato abgelaufenen Prozesse nachvollzogen und geprüft werden. Zusätzlich sind beim Profiling die datenschutzrechtlichen Transparenzanforderungen erhöht. Nach Art. 13 Abs. 2 lit. f DSGVO sind den Betroffenen aussagekräftige Informationen über die involvierte Logik zur Verfügung zu stellen. Auch an dieser Stelle tangiert die mangelnde Transparenz der KI-Modelle also datenschutzrechtliche Fragestellungen.
3. Fazit
Festzustellen ist, dass der größte datenschutzrechtliche Fallstrick bei der Implementierung und dem Betrieb von Systemen der künstlichen Intelligenz im Unternehmen deren häufig propagierte Blackbox ist. Langsam wird aber auch in diesem Zusammenhang Licht ins Dunkle gebracht. Denn die Erklärbarkeit von KI ist ein eigenes informationstechnisches Forschungsfeld, auf dem zunehmend Fortschritte gemacht werden. Dadurch können datenschutzrechtliche Transparenzvorschriften leichter realisiert werden. Zugleich sorgt dies für Vertrauen und eine breitere Akzeptanz der Systeme. Künftige Regulierungsvorhaben wie die KI-Verordnung setzen mit einem risikobasierten Ansatz ebenfalls an genau diesem Punkt an.
Eine frühe begleitende Rechtsberatung beugt nicht nur Haftungsrisiken vor, sondern gewährleistet, dass die integrierten Systeme auch langfristig rechtskonform genutzt werden können. Wenden Sie sich gerne mit Ihrem Projekt an uns.
Dr. Axel Grätz
3. EuGH zu Abos im Fernabsatz: Verbraucher können Vertrag nur einmal widerrufen
Der EuGH stellte im Oktober dieses Jahres klar, dass Verbrauchern auch bei Fernabsatzverträgen, die ein vorheriges kostenloses Testabonnement beinhalten, grundsätzlich nur ein einmaliges Widerrufsrecht zusteht. Der Verbraucher verfügt also über kein erneutes Widerrufsrecht, auch wenn das Folgeabonnement kostenpflichtig wird oder sich automatisch verlängert. Wurde der Verbraucher allerdings über den Gesamtpreis der Dienstleistung durch den Unternehmer nicht in klarer, verständlicher und ausdrücklicher Weise informiert, so ergibt sich daraus ausnahmsweise ein erneutes Widerrufsrecht.
Mit seinem Urteil vom 5. Oktober 2023 (C-565/22) Art. 9 Abs. 1 hat der EuGH die Richtlinie („RiLi“) 2011/83/EU (sog. „Verbraucherrechterichtlinie“) ausgelegt.
Der konkrete Fall
Im Zentrum des Ausgangsverfahrens standen die AGB einer Internet-Lernplattform für Schüler. Beim erstmaligen Abschluss eines Abonnements erhalten Verbraucher laut den AGB der Plattform ein 30-tägiges, kostenloses Testabonnement. Kündigt oder widerruft der Verbraucher das Abonnement nicht innerhalb dieses Zeitraums, so wandelt sich das Testabonnement in ein kostenpflichtiges Abonnement um.
Nach Ansicht des Vereins für Konsumenteninformation in Österreich entsteht sowohl bei der Umwandlung des Abonnements in ein kostenpflichtiges Abo als auch bei der späteren automatischen Verlängerung ein erneutes Widerrufsrecht i. S. v. Art. 9 Abs. 1 RiLi. Durch einen fehlenden Hinweis über das neu entstandene Widerrufsrecht würde die Plattform gegen ihre Informationspflichten aus Art. 6 Abs. 1 lit. e i.V.m. Art. 8 Abs. 2 RiLi verstoßen.
Das vorlegende Gericht wollte geklärt wissen, wie die Formulierung „im Fernabsatz geschlossener Vertrag“ i. S. v. Art. 9 Abs. 1 RiLi zu verstehen ist. Fraglich war, ob die Norm dahingehend auszulegen sei, dass dem Verbraucher bei einer Dienstleistung im Fernabsatz, die zunächst als kostenloses Testabonnement läuft und nach Ablauf einer bestimmten Frist kostenpflichtig wird oder sich automatisch verlängert, ein mehrmaliges Widerrufsrecht zusteht – mit anderen Worten, ob das Widerrufsrecht mit jeder Umwandlung neu entsteht.
Entscheidung des EuGH
Der EuGH entschied, dass dem Verbraucher grundsätzlich nur ein einmaliges Widerrufsrecht im Fernabsatz zusteht. Ausnahmsweise kann dem Verbraucher nur dann ein erneutes Widerrufsrecht zugesprochen werden, wenn der Unternehmer den Verbraucher nicht in klarer, verständlicher und ausdrücklicher Weise über den nach dem kostenlosen Testzeitraum anfallenden Gesamtpreis informiert hat.
Seine Entscheidung stützte der EuGH maßgeblich auf den Sinn und Zweck des Widerrufsrechts. Das Verbraucherwiderrufsrecht dient originär dazu, den sich aus dem Fernabsatzvertrag für den Verbraucher ergebenden Nachteil auszugleichen. Durch das 14-tägige Widerrufsrecht wird dem Verbraucher eine angemessene Bedenkzeit eingeräumt, in der er die beauftragte Dienstleistung prüfen und ausprobieren kann. Dadurch kann er rechtzeitig von allen Merkmalen der Dienstleistung Kenntnis erlangen und eine informierte Entscheidung über den Vertragsschluss und alle damit einhergehenden Bedingungen treffen. Essenziell für die Entscheidung, ob der Verbraucher sich vertraglich an ein Unternehmen binden möchte, ist der Gesamtpreis. Über diesen muss der Unternehmer gem. Art. 6 Abs. 1 lit. e i. V. m. Art. 8 Abs. 2 RiLi zwingend informieren. Dazu gehört im Falle eines kostenlosen Testabonnements ebenfalls die Information, dass die Dienstleistung nach dem anfänglich kostenlosen Zeitraum kostenpflichtig wird. Weist das Unternehmen den Verbraucher bei Vertragsschluss darauf in klarer, verständlicher und ausdrücklicher Weise hin, so ist dem Zwecke des Widerrufsrechts Genüge getan. Durch das Ende des Testzeitraums ändern sich die dem Verbraucher zur Kenntnis gebrachten Vertragsbedingungen nicht mehr. Das Widerrufsrecht kann somit bei der Umwandlung seinen Zweck nicht mehr erfüllen.
Anders ist der Fall zu bewerten, wenn das Unternehmen seiner Informationspflicht nicht ordnungsgemäß nachgekommen ist. Unterscheiden sich die vom Unternehmen erteilten Informationen über die Vertragsbedingungen grundlegend gegenüber den tatsächlichen Umständen, so steht dem Verbraucher ein erneutes Widerrufsrecht zu.
Fazit
Durch sein Urteil hat der EuGH die Bedeutung transparenter Information über die anfallenden Gesamtkosten zum Zeitpunkt des Vertragsschlusses erneut betont. Im konkreten Fall muss nun das vorlegende Gericht überprüfen, ob der Verbraucher der Plattform klar, ausdrücklich und verständlich über den Gesamtpreis der angebotenen Dienstleistung informiert wurde.
Unternehmen, die im Fernabsatz Testabonnements anbieten, sollten ihre Vertragsbedingungen überprüfen. Wird der Verbraucher durch die Vertragsbedingungen nur unzureichend oder gar fehlerhaft über die nach der Umwandlung eines Test- in ein gebührenpflichtiges Abonnement anfallenden Kosten oder die automatische Verlängerung informiert, so muss das Unternehmen die Geltendmachung eines erneuten Widerrufsrechts zulassen. Zudem ist das betroffene Unternehmen dadurch zu einer erneuten Belehrung über das Widerrufsrecht verpflichtet.
Dr. Hanna Schmidt
4. EuGH zu Art. 83 DSGVO: Verstoß allein ist für DSGVO-Bußgelder nicht ausreichend
1. Zentrale Aussagen des EuGH-Urteils
Der EuGH präzisiert in dem Urteil vom 5. Dezember 2023 (C-807/21) die Bedingungen für die Verhängung von DSGVO-Bußgeldern gegen juristische Personen. Das Gericht hat insbesondere betont, dass
• ein Unternehmen unmittelbarer Adressat eines Bußgeldbescheides sein kann, ohne dass zuvor ein Verstoß eines Leitungsorgans nachgewiesen werden muss; und
• es aber eines fahrlässigen oder vorsätzlichen Verstoßes bedarf, wobei keine Handlung oder keine Kenntnis durch ein Leitungsorgan der juristischen Person erforderlich ist.
2. Hintergrund
Anlass für das EuGH-Verfahren war ein Bußgeldbescheid gegen die Deutsche Wohnen SE wegen eines datenschutzrechtlichen Verstoßes. Die Deutsche Wohnen SE griff den Bußgeldbescheid gerichtlich an und hatte beim Landgericht Berlin Erfolg. Gegen die Einstellung des Verfahrens hatte die Datenschutzbehörde Berlin Beschwerde beim Kammergericht Berlin eingereicht, welches dem EuGH im Wege des Vorabentscheidungsersuchens Fragen zur Auslegung von Art. 83 Abs. 4 bis 6 DSGVO vorlegte.
3. Was folgt hieraus für Unternehmen?
Unternehmen können im Fall von Verstößen nicht argumentieren, dass zunächst ein – gemäß §§ 130, 30 OWiG – konkreter Verstoß einer Leitungsperson des Unternehmens nachgewiesen werden muss. Vielmehr müssen Unternehmen, soweit sie die Verantwortung für eine Datenverarbeitung tragen, die durch sie oder in ihrem Namen erfolgt, hierfür einstehen und bei einem Verstoß haften. Dabei haften Unternehmen nicht nur für Verstöße von ihren gesetzlichen Vertretern, Leitern oder Geschäftsführern, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen des Unternehmens handelt. Der EuGH hat entschieden, dass die Anforderungen der §§130, 30 OWiG materielle Anforderungen an einen Bußgeldtatbestand sind, die den höherrangigen Bestimmungen des Art. 83 DSGVO widersprechen.
Daneben betont der EuGH aber, dass die Verhängung eines Bußgelds nach Art. 83 DSGVO eindeutig voraussetzt, dass das Unternehmen den Verstoß zu verschulden hat. Das bedeutet, dass nicht bereits dann ein Bußgeld verhängt werden kann, wenn die Datenschutzbehörde einen Verstoß feststellt. Die Behörde muss außerdem zurechenbares vorsätzliches oder fahrlässiges Verhalten feststellen. Das erforderliche Verschulden für Bußgelder gemäß der DSGVO muss allerdings nach dem EuGH keine extrem hohen Anforderungen erfüllen. Es kann eine angemessene Überwachung und Nachweisführung seitens der Unternehmen erwartet werden. Das Gericht betont außerdem, dass eine konkrete Kenntnis der Leitungsorgane über den Verstoß nicht unbedingt erforderlich ist, sondern Unternehmen vielmehr nachweisen müssen, dass der Verstoß für sie nicht erkennbar war. Diese Voraussetzungen hat der EuGH in einer anderen Entscheidung vom selben Tag bestätigt (C-683/21 – Litauische Covid-App).
Das Urteil des EuGHs verdeutlicht die Notwendigkeit für Unternehmen, Compliance-Maßnahmen zu implementieren, um ein datenschutzkonformes Verhalten aller Mitarbeiter sicherzustellen und die potenzielle Verhängung von Bußgeldern zu minimieren.
Dr. Jürgen Hartung und Patrick Schwarze
5. EU-Data Act verabschiedet
Die Europäische Union hat am 27. November 2023 den Data Act final verabschiedet.
Nachdem die EU-Kommission am 23. Februar 2022 den Vorschlag für eine Verordnung über harmonisierte Vorschriften für einen fairen Zugang zu und eine faire Nutzung von Daten („Data Act“) eingebracht hatte, haben das EU-Parlament und der EU-Rat am 28. Juni 2023 eine vorläufige Einigung über den Inhalt des Data Acts erzielt. Das Europäische Parlament hatte der Verordnung am 9. November 2023 und der Europäische Rat am 27. November 2023 zugestimmt.
Was ist der Data Act?
Der Data Act ist – genau wie der AI Act und der Digital Services Act – Teil der europäischen Datenstrategie. Der Data Act zielt darauf ab, die Regeln für die Nutzung und den Austausch von Daten zu vereinheitlichen. Das Hauptziel besteht darin, einen fairen Zugang zu sowie die faire Nutzung von Daten zu gewährleisten.
Wichtige Aspekte des Data Act:
- Anwendbarkeit: Der Data Act ist in erster Linie auf (vernetzte) Produkte und verbundene Dienste anwendbar, die Daten erzeugt, etwa vernetzte Haushaltsgeräte, Sprachassistenten, Industrieanlagen sowie Autos, die mit dem Internet verbunden sind, als auch Software von Fitnessuhren. Der Data Act gilt – wie die DSGVO – für nicht europäische Unternehmen, wenn diese in der EU tätig sind, insbesondere wenn die Produkte und Dienste in der EU in den Verkehr gebracht werden oder wenn die Datenempfänger sich in der EU befinden.
- Bereitstellung von Daten: Nutzer haben das Recht, die Daten, die das Produkt oder der Dienst erzeugt, zu erhalten und diese ggf. an Dritte weiterzugeben. Das bedeutet, dass ein Unternehmen nicht nur die eigentlichen Nutzerdaten zur Verfügung stellen muss (z.B. ausgewertete Daten der Fitnessuhr), sondern auch alle Rohdaten. Über die Art und Weise der Zurverfügungstellung hat das Unternehmen vor Vertragsabschluss zu informieren. Es besteht damit auch die Pflicht des Dateninhabers, betroffene Daten an andere Unternehmen gegen eine angemessene Gegenleistung weitergegeben zu müssen. Kleine und Kleinstunternehmen treffen diese Pflichten jedoch nicht.
- Interoperabilität und Datenzugang: Datenverarbeitungsanbieter (vor allem Cloud- oder Edge-Dienste) sind verpflichtet, einen einfachen Wechsel des Dienstleisters mithilfe von Schnittstellen und Einhaltung bestimmter Interoperabilitätsstandards zu gewährleisten. Der Anbieter muss für den Zeitraum von 30 Tagen nach Ende des Vertrags den Übergang auf das neue System unterstützen. Hierfür darf ab Inkrafttreten des Data Act nur ein ermäßigtes Wechsel- oder Datenübertragungsentgelt verlangt werden. Drei Jahre nach dem Inkrafttreten des Data Act müssen die Unterstützungsleistungen sogar kostenfrei erbracht werden.
- Datenzugriffsrechte der öffentlichen Stellen: Öffentliche Stellen haben im Fall von außergewöhnlichen Umständen, wie Notfälle oder Katastrophen, das Recht, die erforderlichen Daten bei den Unternehmen anzufordern. Das Gleiche gilt, wenn die öffentliche Stelle die Daten zur Erfüllung einer Aufgabe im öffentlichen Interesse benötigt und diese Daten nicht anderweitig erhalten kann. Einem entsprechenden Herausgabeverlangen muss das Unternehmen nachkommen.
- Anforderungen an vertragliche Vereinbarungen zwischen Anbieter und Nutzer: Der Data Act sieht umfangreiche Anforderungen vor, die bei der Vertragsgestaltung zwischen Anbieter und Nutzer zu beachten sind: Beispielsweise kann die Haftung nicht vollständig ausgeschlossen werden und der Nutzer bei der Verwendung der erhaltenen Daten beschränkt werden.
- Geschäftsgeheimnisse bleiben geschützt: Unter dem Data Act besteht ausdrücklich keine Pflicht, Geschäftsgeheimnisse offenzulegen. Vielmehr dürfen Dateninhaber grundsätzlich alle erforderlichen Maßnahmen zum Schutz ihrer Geschäftsgeheimnisse ergreifen, bevor sie diese offenlegen. Wenn das nicht ausreicht, kann außerdem vertraglich vereinbart werden, dass der Nutzer oder Datenempfänger verpflichtet ist, weitere technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen.
- Sanktionen bei Verstoß gegen die Vorgaben des Data Act: Für Verstöße sieht der Data Act erhebliche Sanktionen vor. Bußgelder können bis zu 20.000.000 Euro beziehungsweise bis zu 4 Prozent des weltweiten Jahresumsatzes betragen. Die Höhe der Bußgelder erinnert an die DSGVO.
Wann tritt der Data Act tatsächlich in Kraft?
Der Data Act soll demnächst im Amtsblatt der EU veröffentlicht werden. Am zwanzigsten Tag nach ihrer Veröffentlichung tritt der Data Act in Kraft. Der Data Act gilt jedoch nicht ab sofort, sondern erst 20 Monate nach ihrem Inkrafttreten. Ausnahme hiervon ist Art. 3 Abs. 1 des Data Acts: Danach besteht die Pflicht, vernetzte Produkte und verbundene Dienste so zu konzipieren und herzustellen bzw. zu erbringen, dass ein Zugriff der Nutzenden auf ihre Daten standardmäßig einfach, sicher und unentgeltlich möglich ist. Diese Pflicht wird allerdings nur für Produkte gelten, die 32 Monate nach dem Inkrafttreten des Data Acts in Verkehr gebracht werden.
Fazit:
Der Data Act ist ein bedeutender Schritt in Richtung einer umfassenden und einheitlichen Regulierung im Umgang mit Daten. Betroffene Unternehmen müssen ggf. ihre Produkte und Dienste anpassen, um die Vorgaben des Data Act zu erfüllen. Bei der Vertragsgestaltung ist der Data Act ebenfalls zu berücksichtigen. Zudem empfiehlt es sich, interne Richtlinien zu entwickeln, wie der Anbieter mit Anfragen von Nutzern, öffentlichen Stellen und Dritten umzugehen hat. Zudem hat die EU-Kommission angekündigt, Musterklauseln für einen Vertrag zwischen Dateninhabern und Nutzern herauszugeben. Diesbezüglich empfehlen wir, die weiteren Entwicklungen zur Umsetzung des Data Act zu beobachten.
Patrick Schwarze
6. Update IT-Sicherheit
In den kommenden Jahren werden die Anforderungen an die IT-Sicherheit umfassend neu geregelt. Die Umsetzung der „NIS-2-Richtlinie“ (EU) 2022/2555 mit EU-weiten Mindeststandards für Cybersecurity betrifft in Deutschland mindestens 30.000 Unternehmen. Die geplante Umsetzung der Richtlinie (EU) 2022/2557 (CER-Richtlinie) enthält konkrete Pflichten für die (physische) Resilienz von Betreibern kritischer Anlagen. Zudem sind ab Anfang 2025 im Finanzbereich die Pflichten des Digital Operational Resilience Act (DORA) anzuwenden.
Überblick NIS-2 Umsetzung
Zur Umsetzung der NIS-2-Richtlinie veröffentlichte am 27. September 2023 das Bundesministerium des Innern und für Heimat (BMI) ein Diskussionspapier, wobei sich in diesem sowohl der Anwendungsbereich als auch die Pflichten der Unternehmen gegenüber dem ersten bekannt gewordenen Entwurf nicht wesentlich geändert haben (siehe hierzu ausführlich unseren Beitrag „Cybersicherheit in deutschen Unternehmen: Neue Pflichten durch geplante Neuregelungen des BSIG“).
Bereits im Oktober fand hierzu ein erstes „Werkstattgespräch“ des BMI mit Vertretern der Wirtschaft (Interessensverbänden) statt, bei dem man sich über den weiteren Anpassungsbedarf des Diskussionspapiers verständigt hat. Es ist zu erwarten, , dass in absehbarer Zeit ein weiterer aktualisierter Referentenentwurf veröffentlicht wird.
Sofern Sie sich fragen, ob Ihr Unternehmen möglicherweise in den Anwendungsbereich der NIS-2 Richtlinie fällt, können Sie über diesen Link unseren unverbindlichen und kostenlosen NIS-2-Check nutzen.
Das KRITIS-Dachgesetz kommt
Am 28. Juli 2023 wurde der Referentenentwurf für das Umsetzungsgesetz der CER-Richtlinie, das sog. KRITIS-Dachgesetz, veröffentlicht. Adressaten sind Betreiber kritischer Anlagen und ihre Pflichten beziehen sich auf die (physische) Resilienz der Anlagen. Der Gesetzgeber geht dabei davon aus, dass neben den bisherigen Betreibern kritischer Infrastrukturen nur vereinzelt zusätzliche Unternehmen von dieser Regulierung erfasst sein werden.
So führt zwar die Einordnung als Betreiber einer kritischen Anlage i. S. d. KRITIS-Dachgesetzes wohl auch zu einer Anwendbarkeit der NIS-2-Pflichten (Art. 28 Abs. 1 Nr. 4 Diskussionspapier zur NIS-2 Umsetzung), umgekehrt führt im Übrigen eine Einstufung als besonders wichtige bzw. wichtige Einrichtung i. S. d. § 28 Abs. 1 und Abs. 2 des NIS-2-Umsetzung-Diskussionspapiers nicht zu einer Anwendbarkeit des KRITIS-Dachgesetzes . Damit wird ein sog. „All-Gefahren-Ansatz“ zur Stärkung der Resilienz in verschiedenen Bereichen geschaffen.
Eine Erleichterung für Betreiber von kritischen Anlagen folgt daraus, dass wesentliche Pflichten des KRITIS-Dachgesetzes (insbesondere Melde- und Nachweispflichten) erst 2026 in Kraft treten sollen.
Aktuelles zum DORA
Der DORA richtet sich an Finanzunternehmen und deren IKT-Dienstleister und erfasst nahezu sämtliche Institute und Unternehmen des europäischen Finanzsektors, die unter Aufsicht stehen. Er findet ab dem 17. Januar 2025 Anwendung und stellt ein lex specialis zur NIS-2-Umsetzung dar. Die Verordnung enthält speziell auf den Finanzsektor abgestimmte Pflichten zur Cybersicherheit. Die gleichzeitig veröffentlichte Richtlinie (EU) 2022/2556 (DORA-Änderungsrichtlinie) nimmt in diesem Zusammenhang erforderlich gewordene Änderungen und Ergänzungen an bestehenden Richtlinien (z. B. Solvency II, CRD, OGAW-Richtlinie) vor.
Der deutsche Gesetzgeber plant, die künftige Regulierung zusammen mit weiteren finanzmarktbezogenen Regulierungen im Finanzmarktdigitalisierungsgesetz zusammenzufügen. Ein entsprechender Referentenentwurf wurde am 23. Oktober 2023 veröffentlicht. Dabei erhöht der DORA die bestehenden Anforderungen gerade im Bereich der Auslagerung. So ist eine Auslagerung an IKT-Drittdienstleister bei der Auslagerung kritischer Funktionen nach Art. 28 Abs. 5 DORA nur zulässig, sofern diese die aktuellsten und höchsten Qualitätsstandards bezüglich der Informationssicherheit anwenden. Hier kann im Hinblick auf bestehende Auslagerungen Handlungsbedarf sowohl für das auslagernde Unternehmen als auch für den Dienstleister bestehen.
Christian Saßenbach
7. Entwurf für Digitale-Dienste-Gesetz: Neue Regelungen für digitale Vermittlungsdienste
Für Anbieter digitaler Vermittlungsdienste wird es ernst: Ab dem 17. Februar 2024 wird die Verordnung (EU) 2022/2065, bekannt als „Digital Services Act“ oder auch „DSA“, nicht mehr nur für besonders große Anbieter, sondern für alle Anbieter digitaler Vermittlungsdienste verbindlich und unmittelbar in allen EU-Mitgliedsstaaten gelten. Die Regelungen des DSA sollen hierbei der Förderung eines sicheren digitalen Umfeldes und der Errichtung eines europaweit einheitlichen Rechtsrahmens für digitale Dienste dienen. Dazu sieht der DSA umfangreiche Sorgfaltspflichten für digitale Vermittlungsdienste wie Onlineplattformen und Suchmaschinen vor.
Obgleich der DSA als EU-Verordnung bereits selbst umfassende, klare und unmittelbar anwendbare Regelungen enthält, bedarf er mit Blick auf die Durchsetzung dieser Regelungen und vorgesehenen Sanktionen der Konkretisierung durch die nationalen Gesetzgeber. Anfang August 2023 hat das in Deutschland federführende Bundesministerium für Digitales und Verkehr hierzu einen Referentenentwurf für ein Digitale-Dienste-Gesetz vorgelegt („DDG-RefE“).
1. Regelungsinhalt und Stand des Gesetzgebungsverfahrens
Der DDG-RefE setzt einerseits einen Fokus auf die Regelung behördlicher Zuständigkeiten und Verfahren, enthält andererseits aber im Zusammenspiel mit dem DSA auch Regelungen, die bestehende nationale Regelungen zu digitalen Diensten ablösen werden. So werden sowohl das Telemediengesetz („TMG“) als auch das Netzwerkdurchsetzungsgesetz („NetzDG“) außer Kraft treten. Hervorzuheben ist zudem, dass der nationale Begriff der „Telemedien“ aus § 1 Abs. 1 TMG nach dem DDG-RefE künftig in Übereinstimmung mit der neuen europäischen Terminologie durch den Begriff „digitale Dienste“ ersetzt wird.
Da sich das DDG mit dem DDG-RefE bis zum jetzigen Zeitpunkt lediglich im Stadium eines Referentenentwurfes befindet, sind gewisse inhaltliche Änderungen der Regelungen im weiteren Gesetzgebungsprozess zu erwarten. Dies gilt insbesondere hinsichtlich der Aufteilung der Zuständigkeiten, die als zu komplex kritisiert wird. Derzeit scheint es so, dass Deutschland die Umsetzungsfrist bis zum 17. Februar 2024 verfehlen wird und eine finale Verabschiedung des DDG frühestens im März erfolgen wird. Anbieter digitaler Vermittlungsdienste sollten die Entwicklungen im Gesetzgebungsverfahren unbedingt genau im Auge behalten.
2. Wesentliche Regelungen
a. Bundesnetzagentur als zentraler Koordinator
Nach dem DDG-RefE soll die Bundesnetzagentur die zuständige Behörde für die Durchsetzung des DSA werden (vgl. § 12 DDG-RefE). Die Bundesnetzagentur wird hierzu eine Koordinierungsstelle für digitale Dienste (KDD) einrichten, die als zentrale Anlaufstelle für Internetnutzer und Online-Kunden bei Verstößen gegen das DDG oder den DSA fungiert. Besondere Zuständigkeiten werden zudem noch der Bundeszentrale für Kinder- und Jugendmedienschutz in § 12 II DDG-RefE, dem Bundesbeauftragen für den Datenschutz in § 12 III DDG-RefE und dem Bundeskriminalamt in § 13 DDG-RefE zugewiesen.
Im Rahmen der Länder- und Verbändeanhörung hat sich die Verteilung der behördlichen Zuständigkeiten als wesentlicher Kritikpunkt an dem Referentenentwurf herausgestellt. Hier bleibt abzuwarten, wie die Zuständigkeiten in der finalen Fassung des DDG geregelt sein werden.
b. Aufhebung von TMG und NetzDG
Vor dem Hintergrund der vom europäischen Gesetzgeber mit Verabschiedung des DSA intendierten Vollharmonisierung werden das TMG und das NetzDG mit Geltung des DDG außer Kraft gesetzt. Ihre Regelungsgegenstände sollen jedoch durch das Zusammenspiel des DSA mit dem DDG in mindestens vergleichbarem Umfang geregelt werden.
Dies zeigt sich etwa darin, dass sich die Impressumspflicht aus § 5 TMG nun wortgleich in § 5 DDG-RefE findet und die Haftungsprivilegierungen der §§ 8 ff. TMG nunmehr in den Art. 4 ff. DSA geregelt werden, ergänzt um die nationalen Sondervorschriften zur Störerhaftung und der Haftung von WLAN-Betreibern in den §§ 7,8 DDG-RefE.
c. Sanktionen
Für Anbieter digitaler Vermittlungsdienste wird insbesondere § 25 DDG-RefE relevant sein, der umfassende Regelungen zu den verschiedenen Ordnungswidrigkeiten und den daraus resultierenden Haftungssummen enthält. Die Absätze 1–4 beschreiben mögliche Verstöße gegen das DDG, den DSA und die Verordnung (EU) 2019/1150 („P2B-Verordnung“), wie etwa Verstöße gegen Informationspflichten und Auskunftsverlangen, eine unzureichende Einrichtung des Beschwerdemanagementsystems oder eine nicht den Anforderungen des DSA entsprechende Werbeanzeige.
Die Absätze 5 und 6 führen mögliche Bußgeldsummen auf, die bis zu 6 Prozent des im vorangegangenen Geschäftsjahr erzielten weltweiten Jahresumsatzes eines Unternehmens betragen können. Besonders hervorzuheben ist hier, dass stets auf das Geschäftsjahr abgestellt wird, das der Behördenentscheidung vorausgeht und nicht auf das Geschäftsjahr, in dem der Verstoß begangen wurde. Dies kann insbesondere für junge Unternehmen relevant sein, in Konstellationen, in denen Behördenentscheidungen deutlich später erfolgen und sich auf Verstöße innerhalb einer Start-up-Phase beziehen.
3. Fazit
Mit Geltung des DSA ab dem 17. Februar 2024 und dem zeitnahen Inkrafttreten des DDG sind umfangreiche neue Pflichten und Haftungsrisiken für Anbieter digitaler Vermittlungsdienste verbunden. Falls nicht bereits geschehen, sollten sich diese Unternehmen daher unbedingt zeitnah mit den sie betreffenden Vorgaben, insbesondere den umfangreichen Sorgfaltspflichten aus dem DSA auseinandersetzen. Das Inkrafttreten des DDG wird zudem die Aktualisierung von Verweisen auf die gleichzeitig abgelösten TMG oder NetzDG erfordern (z. B. bei den Angaben zum Impressum).
Tobias Kollakowski
8. Urteil des EuGH zum Schufa-Scoring
Der EuGH hat am 7. Dezember 2023 (C-634/21) über die Zulässigkeit der Erstellung eines Wahrscheinlichkeitswerts über die Kreditwürdigkeit natürlicher Personen („Score“) durch die Schufa entschieden. Das Urteil hat zunächst unmittelbare Wirkung für die Schufa oder andere Auskunfteien. Für die Kundenunternehmen der Auskunfteien ergeben sich aber voraussichtlich weniger Auswirkungen.
Entschieden wurde über das Begehren eines Bürgers auf Auskunft und Löschung gegen die Schufa und dem anschließenden Rechtsstreit vor dem Verwaltungsgericht Wiesbaden, weil die zuständige Datenschutzbehörde in Hessen nicht abgeholfen hatte.
Die DSGVO enthält für den Einsatz eines Scores in Art. 22 DSGVO Anforderungen an ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling – beruhende Entscheidungen, die gegenüber der betroffenen Person eine rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Dies gilt zusätzlich zu den Anforderungen an einen Rechtsfertigungsgrund nach Art. 6 bzw. Art. 9 DSGVO sowie die Einhaltung der Grundprinzipien nach Art. 5 DSGVO.
Der EuGH hat nun entschieden, dass Art. 22 DSGVO auch auf Auskunfteien Anwendung findet, welche einen entsprechenden Score zwar aus den bei ihnen vorhandenen Daten berechnen, diesen Wert aber nicht gegenüber den betroffenen Personen selbst einsetzen, um Entscheidungen über einen Vertragsabschluss mit diesen im Rahmen einer Bonitätsprüfung zu treffen. Um insofern Rechtslücken im europäischen und nationalen Recht, etwa bei den Betroffenenrechten zu vermeiden, hat der EuGH festgestellt, dass bereits das Erstellen eines entsprechenden Scores durch eine Auskunftei wegen der sich daran anschließenden Verwendung durch Kunden der Auskunftei als automatisierte Verarbeitung mit einer erheblichen Beeinträchtigung für die betroffenen Personen darstellt. Damit sei Art. 22 DSGVO auf die Auskunftei anwendbar und nicht nur auf deren Kunden.
Im Weiteren hat der EuGH jedoch, anders als Berichte in der Tagespresse vermuten lassen, nicht entschieden, dass die Schufa derartige Score-Werte nicht weiter erstellen darf. Vom grundsätzlichen Verbot des Art. 22 Abs. 1 DSGVO einer solchen automatisierten Entscheidung gibt es in Art. 22 Abs. 2 DSGVO verschiedene Ausnahmen. Möglich ist hier eine Rechtfertigung über nationale Ausnahmetatbestände wie § 31 BDSG. Der EuGH hat diese Norm nicht für nichtig erklärt, sondern diese Prüfung den deutschen Gerichten überlassen, aber gewisse Leitlinien für die nationalen Bestimmungen aufgestellt: Diese müssen Maßnahmen für die betroffenen Personen umfassen, wie das Recht auf Eingreifen einer Person. Mitgliedsstaaten dürfen nicht die Rechtfertigungstatbestände abwandeln, z.B. eine Interessenabwägung vorgeben. Insoweit dürfte in der Tat Handlungsbedarf durch die deutschen Gerichte bzw. dann durch den deutschen Gesetzgeber bestehen.
Für die Kunden der Auskunfteien, d.h. Unternehmen, welche im Rahmen einer Vertragsprüfung mit ihren Kunden eine Bonitätsprüfung durchführen möchten, ändert sich aber zunächst nichts Wesentliches. Auch diese müssen eine automatisierte Entscheidungsfindung am Maßstab des Art. 22 DSGVO messen. Anders als den Auskunfteien können sie sich aber auf den Ausnahmetatbestand des Art. 22 Abs. 2 lit. a) DSGVO berufen, soweit ihre automatisierte Entscheidung erforderlich ist für den Abschluss oder die Erfüllung eines Vertrages und nach Art. 22 Abs. 3 DSGVO angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Personen getroffen wurden. Dies beinhaltet mindestens das Recht auf die Möglichkeit des Eingreifens einer Person seitens des Verantwortlichen zur Überprüfung der automatisierten Entscheidung. Selbst wenn man das Urteil des EuGH dahin auslegen möchte, dass eine ausschließliche Entscheidung aufgrund eines nicht weiter erklärbaren und transparenten Score-Werts bedenklich ist, wird in vielen Fällen die Zulässigkeit einer Bonitätsprüfung der Einsatz automatisierter Verarbeitung durch Unternehmen weiterhin zulässig sein: Sofern nicht allein ein Schufa-Score eingesetzt wird, sondern verschiedene Faktoren berücksichtigt werden, erfolgt die Entscheidung nicht nur aufgrund des Scores. So werden häufig konkrete „harte“ Negativmerkmale (etwa nicht gezahlte Forderungen, Insolvenz), eigenes konkretes Wissen aus einem Kundenverhältnis und früheren Transaktionen, die grundsätzliche Bewertung von Risiken verschiedene Abschlusskanäle oder Zahlungsmethoden.
Damit ist derzeit nicht ersichtlich, dass eine Bonitätsprüfung durch Unternehmen in Fällen, in denen aufgrund der Art des Geschäftes (Vorleistungspflicht des Unternehmens) oder bestimmter Zahlarten (Kauf auf Rechnung, Kauf auf Raten) konkrete Ausfallrisiken bestehen, unzulässig wird, selbst wenn sie einen Score einsetzt.
Dr. Jürgen Hartung
Legal Tech Tools - Digitale Anwendungen für effizientere Lösungen
Endecken Sie unser umfangreiches Legal Tech Angebot! Erfahren Sie mehr ...
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994
Christian Saßenbach
LL.M. (Norwich), CIPP/E
AssociateRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 115
M +49 151 1765 2240
Dr. Hanna Schmidt
Junior PartnerinRechtsanwältin
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126
