Obgleich der EuGH im Juli 2020[1] mit Kippen des EU-US Privacy Shields 2020 den Vereinigten Staaten von Amerika ein „gemessen am Niveau der DS-GVO nicht ausreichend hohes Schutzniveau für Daten“ attestiert hat, was zum größten Teil auf die legislativ festgelegten großen Handlungsspielräume der Geheimdienste und anderer staatlicher Behörden zurückzuführen ist, kann nicht behauptet werden, dass die USA eine die Freiheitsrechte und Privatheit negierende Nation wären, in der Datenschutz nicht zum Tragen käme. Das Datenschutz-Image der USA ist nicht nur aufgrund der Marktmacht von Technologiekonzernen wie Google, Amazon, Facebook & Co. und Big Data-Entwicklungen sowie politischen Instrumenten zur Terrorbekämpfung (Department of Homeland Security)[2] u.a. bei Datenschützern weltweit nicht top gerankt. Grundlage ist im Wesentlichen der USA PATRIOT Act, ein Gesetz, das nach den Terroranschlägen vom 11.09.2001 zur Terrorabwehr verabschiedet wurde und die Befugnisse der Sicherheitsbehörden massiv ausweitet. Da über strukturelle Defizite und die US-Datenschutzkluft[3] bereits viel geschrieben wurde, die Administration Trump ebenfalls abgelöst wurde, sollen nachfolgend positivistisch nur konstruktive US-Datenschutzbeispiele thematisiert werden.
Im Rechtsvergleich mit der EU auf Basis der DS-GVO hinken die USA als gegenwärtig „unsicherer Drittstaat“ zwar hinter dem hohen EU-Schutzniveau rechtlich und in technisch-organisatorischer Hinsicht hinterher, aber es gibt Lichtblicke im Sinne der Verteidigung des Datenschutzes. Das Datenschutzrecht wird in Deutschland seit dem wegweisenden Volkszählungsurteil des BVerfG[4] mit dem allgemeinen Persönlichkeitsrecht (APR), Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG, der sog. informationellen Selbstbestimmung, begründet. In den USA geht der Datenschutz – verkürzt gesagt – rechtsdogmatisch auch auf elementare bürgerliche Freiheiten zurück, auch wenn diese nicht explizit, sondern in verfassungsimmanenter Auslegung begründet werden seit einer Entscheidung des Obersten Gerichtshof der Vereinigten Staaten[5] im Fall Griswold v. Connecticut 1965, wonach dem Einzelnen ein Recht auf Privatsphäre zugestehe. Zu einer in allen US-Bundesstaaten gleichermaßen verankerten verfassungsrechtlichen Legitimation hat dies zwar trotz diverser Diskussionen und rühmlicher Ausnahmen noch nicht geführt, aber in den unterschiedlichsten 50 US-Staaten sprießen gegenwärtig neue Verbraucherdatenschutzgesetze. (...)
Aus der Inhaltsübersicht:
I. Post-Privacy-Shield & Cross-Boarder: Rechtsvergleiche lohnen
II. Virginia: Virginia Consumer Data Protection Act (VCDPA)
III. Kalifornien: Californian Consumer Privacy Act (CCPA) & Californian Privacy Rights Act (CPRA)
IV. Colorado: Colorado Privacy Act (CPA)
V. Ausblick
Isabel Ledig-Sturm, Diplom-Juristin, Magister Iuris, Maître en droit und Zertifizierte Datenschutzbeauftragte (DEKRA), und Dr. Thomas A. Degen, Fachanwalt IT-Recht, Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV) und Lehrbeauftragter der Dualen Hochschule Baden-Württemberg Stuttgart, vertiefen die aktuelle Thematik an Hand konkreter Praxis- und Rechtsausführungen in dem Beitrag "Datenschutz international: Verbraucherdatenschutzrecht - US-Data Protection for a better Future – New data privacy legislation – Cross-Boarder "- Reihe "Datenschutz International", a p f 2021, 329
[1] EuGH, Urteil vom 16.07.2020 - C‑311/18 im Verfahren Data Protection Commissioner gegen Facebook Ireland Ltd, Maximillian Schrems, Beteiligte: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope.
In der Unternehmenspraxis gibt es immer wieder Streit über die Eintragungsfähigkeit, Verwechslungsgefahrund Abgrenzung von Marken aus dem IT-Sektor. In einer aktuellen Entscheidung hat das EuG hierzu bezüglich der IR-Marke “ZOOM” Leitlinien gezogen.
Zum Sachverhalt:
FaceTec hat die IR-Marke “ZOOM” für folgende Waren und Dienstleistungen beim EUIPO angemeldet: Klasse Nizza 09: Computer application software for mobile phones, smartphones, portable media players, handheld computers, and tablets, namely, security software that allows users to secure and access their mobile devices through multi-dimensional facial recognition identification.
Die klagende ZOOM KK (Kabushiki Kaisha) hat Widerspruch aus ihrer Unionswortmarke „ZOOM“ und der 2015 eingetragene Unionsbildmarke eingelegt, eingetragen für die Nizza-Klassen 09, 15: Elektronische Musikinstrumente; Geräte zur Wiedergabe und Aufzeichnung von Tönen, Geräte zum Übermitteln von Sprachfrequenzen, tragbare Kommunikationsgeräte, Tonaufzeichnungsgeräte, Sprachverstärkungsanlagen sowie Verstärker; Systeme zur Synchronisierung sowie zur Selbstpositionierung für Videorecorder (VTR), Tonbandgeräte (ATR), Musikinstrumente; audiovisuelle Unterrichtsgeräte, Geräte zum Entwickeln, Drucken, Vergrößern und Nachbearbeiten von Fotografien; Computer und LSI-Schaltungen. Bei der Wort-Bildmarke der Zoom KK gehört zu den Klassen 09, 15 u. a.: Programmierte Daten enthaltende Magnetplatten, herunterladbares Computerprogramm; Magnetplatten, optische Platten, magnetooptische Platten, CD-ROMs, DVD-ROMs, Magnetbänder mit Informationen aus Bildern und/oder Textdaten und fotografischen Bildern; vorstehend genannten Waren zur Verwendung in Verbindung mit Musikinstrumenten und Tonaufzeichnungsgeräten, nicht in Bezug auf Telefonie; Laborgeräte und -instrumente; Mess- und Prüfmaschinen und -instrumente; Energieverteilungs- oder -steuerungsmaschinen und -apparate; Phasenumformer; fotografische Apparate; Filmmaschinen und -apparate; optische Apparate; auf elektronischen Schaltkreisen und CD-ROMs gespeicherte automatische Darbietungsprogramme für elektronische Musikinstrumente; Magnetbänder; elektronische Maschinen und Apparate; Programmierte Daten enthaltende elektronische Schaltkreise, Magnetbänder für Computer für Videospielgeräte für gewerbliche Zwecke, Videospiele für den Heimgebrauch; Stimmgeräte für Musikinstrumente; Hilfsmittel für Musikaufführungen, Mehrspurrecorder, Multieffektgeräte. Der Widerspruch war vor dem EUIPO erfolglos.
Entscheidung:
Das EuG hat die Klage abgewiesen. Zur Beurteilung der Ähnlichkeit der Waren sei das Kriterium des Verwendungszwecks ausschlaggebend. Der Verwendungszweck der Waren von ZOOM KK unterscheide sich aber von dem der FaceTec-Waren. Ein Verstoß des EUIPO gegen Art. 8 Abs. I b UMVUMV (VO (EU) 2017/1001) liege somit nicht vor.
Fazit:
Bei Marken aus der Computertechnologie kommt es primär auf den konkreten Verwendungszweck der beanspruchten Waren an. Hinsichtlich der Ähnlichkeit bei durch zwei widerstreitende Marken erfassten Waren oder Dienstleistungen besteht nicht gleich eine Verwechslungsgefahr, wenn die Marken zum Vertrieb von unterschiedlichen IT-Produkten dienen.
Ansprechpartner:
Dr. Thomas A. Degen
Veröffentlichung:
Degen: Eintragungsfähigkeit einer Marke für Computer-Anwendungssoftware – Zoom (GRUR-Prax 2021, 708)
Die Frage der Reduzierung der Miete von Gewerberäumen für die Monate, in denen diese aufgrund des Gesetzes gegen die Ansteckung mit dem Coronavirus schließen mussten, wird derzeit sowohl in Italien als auch in Deutschland vor Gerichten verhandelt. In Deutschland wird für Dezember mit einer ersten Verhandlung vor dem obersten Zivilgericht, dem Bundesgerichtshof, gerechnet. Bislang ähneln sich die bisher ergangenen Entscheidungen der Gerichte beider Länder.
In Deutschland ist die Miete nach bislang wohl überwiegender Ansicht grundsätzlich auch zu zahlen, wenn die Geschäftsräume aufgrund behördlicher Maßnahmen gegen die Ausbreitung des Coronavirus schließen mussten, es sei denn, die Parteien haben hierzu bereits im Vertrag Regelungen getroffen. Auf eine „Minderung“ der Miete kann aber evt. ein Anspruch bestehen wegen einer Änderung der Geschäftsgrundlage (§ 313 Abs. 1 BGB) wegen der Zwangsschließung des Gewerbebetriebs (OLG Frankfurt a. M., Urteil vom 19.03.2021 - 2 U 143/20; Amtsgericht Dortmund, Urteil vom 27.04.2021 - 425 C 7880/20).
Wurde hingegen keine Vereinbarung der Parteien getroffen und kann dem Vertrag auch sonst keine Grundlage entnommen werden für eine Stundung oder Herabsetzung der Miete und die Frist zur Zahlung der Miete abgelaufen, gerät der Mieter in Verzug und muss neben der Miete auch Verzugszinsen zu zahlen. Zahlt der Mieter die fällige Miete – jedenfalls einen nicht unerheblichen Teil – in zwei aufeinanderfolgenden Zeiträumen nicht, besteht für den Mieter das zusätzliche ultimative Risiko, dass der Vermieter den Vertrag außerordentlich kündigt.
Die Gerichte in Italien erkennen regelmäßig einen Anspruch auf Reduzierung der Miete an. Dies wird damit begründet, dass der Mieter im Zeitraum der Corona-Schließung nicht in der Lage war, die Immobilie vollständig zu nutzen, und daher ein Fall der teilweisen Unmöglichkeit der Leistung (gemäß Art. 1464 des italienischen Bürgerlichen Gesetzbuches) des Vermieters, die Mietsache in einem Zustand zu halten, in dem sie für den vereinbarten Gebrauch verwendet werden kann, vorliegt. Daraus folgt ein Recht des Mieters, eine Minderung der Miete zu verlangen und zwar auch dann, wenn die teilweise Unmöglichkeit der Leistung des Vermieters Folge höherer Gewalt war (Tribunale di Milano, Urteil Nr. 4651 vom 28.06.2021, Az. 17856/2020).
Am 28.05.2021 ist das sogenannte IT-Sicherheitsgesetz 2.0 weitgehend in Kraft getreten. Teile davon treten zum 01.12.2021 in Kraft. Es löst das IT-Sicherheitsgesetz aus dem Jahre 2015 nicht vollständig ab, sondern beinhaltet -wiederum als Artikelgesetz- Erweiterungen und Modifikationen in mehreren Gesetzen, insbesondere dem BSI-Gesetz.
Wie bereits beim ersten IT-Sicherheitsgesetz ist die Bezeichnung des Gesetzes leicht irreführend. Es regelt nämlich nicht allgemeinverbindlich die IT-Sicherheit.
Allerdings soll nun erstmals ein ganzheitlicher Ansatz der IT-Sicherheit erfolgen, was sich insbesondere an der ausführlicheren Begriffsbestimmung der Sicherheit in der Informationstechnik im BSI-Gesetz und einer Befugnis des BSI Anordnungen gegen Anbieter von Telemediendiensten zu treffen, zeigt.
Überhaupt werden die Befugnisse des BSI deutlich ausgeweitet und dessen Zuständigkeiten erhöht. Bereits beim ersten IT-Sicherheitsgesetz waren hauptsächlich betroffen, sogenannte „Betreiber Kritischer Infrastrukturen“ (KRITIS-Betreiber), deren Ausfall oder Beeinträchtigung ernsthafte Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen für das Allgemeinwohl haben würden.
Dies sind insbesondere die Bereiche • Energie • Informationstechnik und Telekommunikation, • Transport und Verkehr, • Gesundheit • Wasser • Ernährung, • Finanz- und Versicherungswesen.
Mit dem IT-Sicherheitsgesetz 2.0 ist nun der Sektor der „Siedlungsabfallentsorgung“ hinzugekommen. Welche Unternehmen letztendlich dazu zählen, wird durch Rechtsverordnung bestimmt (BSI-Kritisverordnung). Ausgenommen sind lediglich Kleinunternehmen.
Die „Betreiber Kritischer Infrastrukturen“ treffen zahlreiche Sicherungspflichten. Bei Sicherheitsverstößen bestehen auch gesonderte Meldepflichten an die Aufsichtsbehörden.
Hinzugekommen ist mit dem IT-Sicherheitsgesetz 2.0 ab dem 1.5.2023 eine Pflicht „Systeme zur Angriffserkennung“ einzusetzen. Eine weitere Verpflichtung bezieht sich auf sogenannte Kritische Komponenten, das sind IT-Produkte, die in KRITIS eingesetzt werden und bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Funktionsfähigkeit der Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können. Neben den Betreibern Kritischer Infrastrukturen werden nun Unternehmen im besonderen öffentlichen Interesse in den Anwendungsbereich samt Meldepflichten und Mindestanforderungen einbezogen.
Unternehmen im besonderen öffentlichen Interesse sind solche, die - ohne Betreiber Kritischer Infrastrukturen zu sein - große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland haben und folgenden Gruppen zuzuordnen sind:
1.) Rüstung und IT-Produkte für staatliche Verschlusssachen Herstellung von Rüstungsgütern (Waffen, Munition, Rüstungsmaterial und Wehrtechnik), sowie IT-Produkte für staatliche Verschlusssachen. 2.) Erhebliche volkswirtschaftliche Bedeutung Unternehmen, die aufgrund ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland zählen und deshalb von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind, sowie deren Zulieferer, wenn sie aufgrund ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind. 3.) Gefahrstoffe der oberen Klasse
Betreiber von Betriebsbereichen der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung oder diesen gleichgestellten Betreibern.
Eine Konkretisierung der Unternehmen soll durch Verordnung bestimmt werden.
Autor und Ansprechpartner:
Mathias Lang, LL.M. Rechtsanwalt Fachanwalt für Informationstechnologierecht (IT-Recht) Master of Laws (LL.M.) Informationsrecht T +49 (0)711 255404-60 F +49 (0)711 255404-70 E mathias.lang@jordan-ra.com
Bei Mängeln haben Käufer wie Bauherren Anspruch auf Ersatz des ihnen entstandenen Schadens. Diese Schadensabwicklung mit Verkäufern, Bauunternehmern und Architekten wollte der Gesetzgeber 2002 mit der Reform des Schuldrechts vereinheitlichen.
Fortentwicklung des Rechts:
Bei der Frage der Ersatzpflicht für sog. „fiktive“, also tatsächlich noch nicht aufgewandte Mängelbeseitigungskosten zeigt sich in der Rechtsanwendung des Bundesgerichtshofs jetzt, dass unterschiedliche Vertragsarten sich nicht bei allen Fragen „über einen Kamm scheren lassen“:
Käufer genießen eine größere Dispositionsfreiheit als Bauherren:
Anders als Bauherren können Käufer nach wie vor Schadensersatz grds. etwa auf Grundlage gutachtlich bezifferter Mängelbeseitigungskosten verlangen. Dass die Mängel tatsächlich beseitigt werden, ist nicht erforderlich.
Wie kam es zu dieser neuen unterschiedlichen Behandlung?
Der u.a. für Bau- und Architektenverträge zuständige VII. Zivilsenat des Bundesgerichtshofs änderte 2018 die ständige Rechtsprechung: Die Schadensbemessung anhand der voraussichtlich erforderlichen Mängelbeseitigungskosten sei nicht zulässig. Dem Bauherren sei u.a. bereits ausreichend gedient mit dem gesetzlich vorgesehenen Anspruch auf Kostenvorschuss (Urteil v. 22.02.2018, Az. VII ZR 46/17). Der bei Abweichen von der sog. „Kontinuität der Rechtsprechung“ vorgesehenen, quasi ultimativen Abstimmung durch den sog. Großen Zivilsenat vorgeschaltet ist die Vorlage zwischen den Einzelsenaten. Der .u.a. für Immobilienkaufverträge zuständige V. Zivilsenat wollte sich der neuen Rechtsprechungsänderung nicht anschließen. Auf seine Vorlage (Beschluss v. 13.03.2020, Az. V ZR 33/19) wies der VII. Zivilsenat zur Begründung seiner Rechtsprechungsänderung erläuternd auf die Spezifika des Werkvertragsrechts hin (Beschluss vom 08.10.2020, Az. VII ARZ 1/20) - und baute damit auch der Anrufung des Großen Zivilsenats vor.
Dieser Differenzierung nach unterschiedlichen vertragstypischen Risikolagenund Gewährleistungssystemen schloss sich der V. Zivilsenat jetzt an mit seinem Urteil vom 12.03.2021, Az. V ZR 33/19.
Verbleiben relevante Unsicherheiten für die Praxis?
Klare Antwort: Ja. Die neue Rechtsprechung führt zu einem Bruch mit der beabsichtigten Eindeutigkeit der Schuldrechtsreform: Für die Rechtsanwendung stehen wieder Abgrenzungsfragen im Raum. In der Wirtschaft betrifft dies z.B. Verträge über die Lieferung herzustellender bzw. zu erzeugender beweglicher Sachen, .sog. Werklieferungsverträge, seit 01.01.2018 neu geregelt in § 650 BGB; Umsetzung der Richtlinie 1999/44/EG v. 25.05.1999 (ABl. EG Nr. L 171 S. 12).
Welche Konsequenz zieht der Rechtsanwender?
Rechtsanwender sind hier gut beraten, sich mit den Details der Rechtsprechung auseinanderzusetzen: Zum einen bestimmt sich danach ihr Rechtsanspruch, was etwa bei Werklieferungsverträgen nicht immer einfach ist. Zum anderen ergeben sich hier wesentliche Aspekte, um für den Umgang mit einem Schaden eine effiziente Strategie zu entwickeln.
Mit der DSGVO wurde die Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO als Instrument des datenschutzrechtlichen Risikomanagements neu eingeführt. Dieses stellt in der Praxis Anwender und Normadressaten vor mitunter große Herausforderungen. Zugespitzt wird gefragt, ob ein Risikomanagement wirklich nötig ist und wie man dies mit möglichst wenig Aufwand, aber einer guten Treffsicherheit, verwirklichen kann.
Dr. Thomas A. Degen, Fachanwalt IT-Recht, Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV), und Isabel Ledig-Sturm, Diplom-Juristin, Magister Iuris, Maître en droit und Zertifizierte Datenschutzbeauftragte (DEKRA), gehen dem nach und werfen einen Blick nach Frankreich.
Hinzuweisen ist darauf, dass die französische Aufsichtsbehörde CNIL, die bislang eher durch hohe Bußgeldfestsetzungen aufgefallen ist, als „Mutter“ einer Software-Innovation zu nennen ist. Die Behörde hat 2017 zum ersten Mal eine Software namens „PIA“ veröffentlicht. Dabei steht „PIA“ für „Privacy Impact Assessment“. Die Software bietet auf den ersten Blick einen sehr komfortablen Weg, eine DSFA durchzuführen.
Ziel ist es, dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) zu helfen, DSGVO-konform zu agieren. Diese Software ist kostenlos und offen. Das Tool ist derzeit in achtzehn Sprachen verfügbar, darunter auch auf Deutsch. Die französische und die englische Version werden von der CNIL bereitgestellt.
PIA ist ein gutes Praxisbeispiel dafür, dass den Aufsichtsbehörden europaweit nicht nur das Aufsichts- und Sanktionswesen zukommt, sondern auch eine Informationsfunktion gegenüber Bürgern und Unterstützungsfunktion gegenüber Datenschutzanwendern.
Die Funktionen von PIA, um dem Anwender eine Entscheidungsgrundlage für oder gegen die Verwendung der Software zu liefern, die „Assets“ und Schwachstellen sowie Praxistipps zur DSFA fassen Degen/Ledig-Sturm zusammen im ersten Teil der Reihe „Datenschutz International“ (PIA „Innovation à la française“: Vorstellung einer Open Source-Software für Datenschutz-Folgenabschätzungen der französischen Aufsichtsbehörde CNIL) der a p f, 5/2021, S. 156 ff. (ISSN 1867-6995).
Ein Diabetes ist eine ernste Erkrankung. Für eine gute Therapie ist die richtige Einstellung der Blutzuckerwerte sehr wichtig. Eine enorme Hilfe für die Betroffenen bietet daher die Möglichkeit, über spezielle Sensoren den Blutzuckerspiegel kontinuierlich zu messen. Diese Daten können dann in einer Cloud (CGM-Cloud) gespeichert werden.
Den Vertrag mit dem CGM-Cloud-Anbieter schließt der Patient. Der behandelnde Arzt oder die behandelnde Ärztin stellen die Eignung des Patienten für die CGM-Cloud fest und empfehlen den Einsatz der CGM-Cloud.
Der Patient hat regelmäßig die Möglichkeit Dritten, also auch dem behandelnden Arzt oder der behandelnden Ärztin, den Zugang zu diesen Daten zu ermöglichen. Hierzu muss der Patient eine entsprechende Erklärung gegenüber dem Anbieter der CGM-Cloud abgeben. Für die Behandler stellen die CGM-Cloud-Anbieter regelmäßig einen besonderen Zugang zur Verfügung. Liegt vom Patienten eine entsprechende Erklärung vor, kann der Behandler über seinen eigenen Praxiszugang auf die Daten des Patienten zugreifen.
Es entsteht bezüglich der Verarbeitung der Stoffwechseldaten des Patienten ein Dreiecksverhältnis zwischen Patient, Arzt und CGM-Cloud-Anbieter.
Genau dieses Dreiecksverhältnis wirft allerdings bedeutende datenschutzrechtliche Fragen auf. Nach Art. 9 der Datenschutz-Grundverordnung (DSGVO) unterliegen Gesundheitsdaten einem grundsätzlichen Verarbeitungsverbot. Solche Daten zu verarbeiten ist nur in eng begrenzten Ausnahmefällen erlaubt. Diese Fälle werden in Art. 9 DSGVO ausdrücklich aufgezählt. In der Regel willigt der Patient zwar im Rahmen seines Vertrags mit dem CGM-Anbieter in die Speicherung seiner Daten ein, die Frage ist nur, ob diese Einwilligung überhaupt wirksam ist. Dem Patienten müsste nämlich vor Abgabe der Einwilligung sehr klar dargelegt werden, was genau mit seinen Daten in der Cloud geschieht. Er dürfte des Weiteren nicht unter Zustimmungsdruck stehen. Dies ist angesichts der Zwangslage des Patienten – schließlich wurde ihm die Cloud verordnet – und der sehr umfangreichen und daher möglicherweise nicht gut verständlichen Belehrungen der CGM-Anbieter möglicherweise nicht gegeben.
Ein weiteres Problem für die CGM-Cloud-Anbieter stellt die durch das Schrems II Urteil (EuGH v. 16.7.2020, C-3111/18) verbotene Datenweitergabe in die USA dar.
Offen ist derzeit auch, wie das Dreiecksverhältnis zwischen Patient, CGM-Cloud Anbieter und Arztpraxis zu qualifizieren ist. Grundsätzlich kommt hier eine sogenannte Auftragsverarbeitung nach Art. 28 DSGVO oder eine gemeinsame Verantwortung nach Art. 26 DSGVO in Betracht. Ein Merkmal der Auftragsverarbeitung ist, dass der Auftragsverarbeiter bei der Verarbeitung keine eigenen Zwecke verfolgen darf. Dies ist aber bei den CGM-Cloud-Anbietern fraglich. Nach der hier – in einem Gutachten für die Deutsche Diabetologische Gesellschaft (kann bei Interesse angefordert werden) – vertretenen Auffassung ist vielmehr von einer gemeinsamen datenschutzrechtlichen Verantwortung von Arztpraxen und CGM-Cloud-Anbietern auszugehen. Diese müssen daher ihren datenschutzrechtlichen Verantwortungsbereich in einem gemeinsamen Vertrag klären, abgrenzen und gegenüber dem Patienten transparent machen.
Fazit für die Arztpraxis:
Die derzeit ungeklärte Rechtslage ist für Arztpraxen misslich. Eine Nutzung der Cloud ist für die Diabetesbehandlung von hohem Wert. Wenn die Nutzung der Cloud angezeigt ist, benötigt die Praxis regelmäßig keine weitere Einwilligung, weil nach der hier vertretenen Auffassung der Behandlungsvertrag die Nutzung der CGM-Cloud umfasst. Jedenfalls dann, wenn der Patient der Praxis den Zugriff auf die CGM-Cloud ausdrücklich gegenüber dem CGM-Cloud-Anbieter einräumt.
Gleichwohl muss, mit Rücksicht auf die betroffenen Patienten, für dies eine hohe Transparenz der Datenverarbeitung gerade bei der Verordnung der Cloud gegeben sein. Der an sich wünschenswerte Vertrag mit dem jeweiligen CGM-Cloud-Anbieter nach Art. 26 DSGVO ist derzeit, ähnlich wie seinerzeit bei der gleichgelagerten Facebook-Thematik, für eine Arztpraxis faktisch nicht abschließbar. Empfohlen wird gleichwohl eine dokumentierte Belehrung gegenüber dem Patienten, welche Datenverarbeitungen die Arztpraxis vornimmt und für welche Verarbeitungen der CGM-Cloud-Anbieter zuständig ist. Idealweise würde in dieser Belehrung auch ein Ansprechpartner des CGM-Cloud-Anbieters benannt.
Ansprechpartner für das Thema und Datenschutz rund um die Arztpraxis:
Rechtsanwalt Dr. Arnd-Christian Kulow, DSB/DSA/QMB (TÜV SÜD)
Das „HdlDlStatG“ regelt statistische Erhebungen hinsichtlich der Entwicklung im Handel und im Dienstleistungsbereich. Es legt Unternehmen gesetzliche Auskunftspflichten auf.
Unternehmen erhalten mittels rechtsförmlicher Verwaltungsakte mit Amtszustellung vom Statistischen Landesamt so genannte „Heranziehungsbescheide“ mit der Aufforderung, sehr kurzfristig Daten zur monatlichen Erhebung im Dienstleistungsbereich künftig ab Berichtszeitraum Januar 2021 (rückwirkend) und bis auf Widerruf, ggf. längstens bis 2028, zu übermitteln. Die Daten für die Monatsberichte sind fällig je am 5. des Folgemonats (vollständig und kostenfrei) zu übermitteln. Die Statistik-Bürokratie ist manuell und optional über eine digitale „automatisierte Datenmeldung“ möglich, die eSTATISTIK.core heißt. Als Rechtsgrundlage werden §§ 11 Abs. 1 S. 1 HdlDlStatG („Auskunftspflicht“) und § 15 BstatG angegeben.
Betroffene Adressaten können nach § 15 Abs. 7 BstatGWiderspruch und Anfechtungsklagegegen die (durch „mathematisch-statistische Auswahl“, ggf. „künstliche Intelligenz“) ermittelte Auswahl und Betroffenheit vorgehen. Allerdings gibt eskeine aufschiebende Wirkung.Betroffene Unternehmen müssen insofern einen gerichtlichenAntrag auf Anordnung/Wiederherstellung der aufschiebenden Wirkungnach § 80 VwGO stellen.
Das Gesetz ist einMusterbeispiel für mangelndes Unternehmensverständnis der öffentlichen Hand.
Es verlangt Mittelständlern extremen Zusatzaufwand und Prüfungen ab, der Auskunftspflicht fristgerecht nachzukommen in dieser bürokratisiertenCorona-Zeit. Denn unbedachte Datenweitergaben von Geschäftsgeheimnissen und Innovationen sollten zum Schutz des Unternehmens und seines geistigen Eigentums in Ruhe geprüft werden. Man kann also nicht sagen, dass dies alles ganz harmlos und rein statistisch zu bagatellisieren wäre. Gerade in Zeiten der Corona-Pandemie, sind mittelständige Unternehmen und Normadressaten mit diversen bürokratischen Zusatzadministrationsaufgaben belastet. Es ist unverständlich, warum die Pflichten und Fristen dieses Gesetzes nicht zumindest 2021 und 2022 komplett suspendiert sind.
Zwar entsteht „die Pflicht zur Auskunftserteilung bei den Erhebungsmerkmalen in der Gliederung nach Geschäftsfeldern gemäß § 6 Absatz 1 Satz 2 und 3“ erst im Jahr 2022. Das Gesetzt ist ohne sachkundige Prüfung schwer verständlich, auch wenn es inhaltlich nicht völlig neu ist.
Die „Übergangsregelungen“ nach § 16 Abs. 2 und 3 HdlDlStatG lauten:
„(2) Die Erhebungen nach § 3 Absatz 1 Nummer 2 und 3 des Handelsstatistikgesetzes vom 10. Dezember 2001 (BGBl. I S. 3438), das zuletzt durch Artikel 272 der Verordnung vom 31. August 2015 (BGBl. I S. 1474) geändert worden ist, werden für die Berichtsjahre 2019 und 2020 weiter nach jenem Gesetz durchgeführt.
(3) Die Erhebungen nach dem Dienstleistungsstatistikgesetz vom 19. Dezember 2000 (BGBl. I S. 1765), das zuletzt durch Artikel 8 des Gesetzes vom 28. Juli 2015 (BGBl. I S. 1400) geändert worden ist, werden für die Berichtsjahre 2019 und 2020 weiter nach jenem Gesetz durchgeführt.“
Nach § 23 BstatG bestehen Ordnungswidrigkeitssanktionen.
Fazit:Unternehmen wird empfohlen, die Heranziehungsbescheide sehr ernst zu nehmen und im Einzelfall sorgfältig zu prüfen, ob Rechtsbehelfe und Rechtsmittel eingelegt werden sollten. Denn das Gesetz erscheint gesetzgeberisch unverhältnismäßig.
Ihre Ansprechpartner:
Rechtsanwalt Mathias Lang LL.M., Fachanwalt für IT-Recht, Master of Laws (LL.M.) Informationsrecht
Rechtsanwalt Dr. Thomas A. Degen, Fachanwalt für IT-Recht, Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV)