Aufsichtsbehörden sind nicht verpflichtet, nach Art. 58 II DSGVO eine Abhilfemaßnahme zu ergreifen, insbes. eine Geldbuße zu verhängen, wenn dies nicht verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO sicherzustellen. Das hat der EuGH mit Urteil vom 26.9.2024 – C-768/21 (TR/Land Hessen), GRUR-RS 2024, 25192 entschieden.
In dem Sachverhalt ging es um einen Datenschutzverstoß, nachdem eine Mitarbeiterin einer Sparkasse wiederholt unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse bemerkte dies und meldete das der Aufsichtsbehörde (dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit, HBDI) gemäß Art. 33 DSGVO. Der Kunde wurde aber nicht nach Art. 34 DSGVO unterrichtet. Als der Kunde erfuhr, dass unberechtigterweise auf seine personenbezogenen Daten zugegriffen worden war, leitete er beim HBDI eine Beschwerde ein gemäß Art. 77 DSGVO. Er beanstandete, nicht benachrichtigt worden zu sein. Die Sparkasse gab an, von einer Benachrichtigung abgesehen zu haben, da ihr Datenschutzbeauftragter (DSB) kein hohes Risiko für die Rechte und Freiheiten festgestellt habe. Gegen die Mitarbeiterin seien Disziplinarmaßnahmen ergriffen worden. Diese habe bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und zugesagt, dies auch künftig nicht zu tun. Der Kunde erhob gegen den Bescheid Klage beim VG Wiesbaden und beantragte, den HBDI zum Einschreiten zu verpflichten. Das VG hat dem EuGH die Frage zur Entscheidung vorgelegt, ob die Aufsichtsbehörde, die eine Datenverarbeitung feststellt, stets verpflichtet ist, nach Art. 58 II DSGVO einzuschreiten.
Der EuGH hat im Ergebnis festgestellt, dass die Aufsichtsbehörde nicht verpflichtet ist, eine Abhilfemaßnahme zu ergreifen und eine Geldbuße zu verhängen, soweit ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten. Denn die Aufsichtsbehörde habe ein Ermessen hinsichtlich der Art und Weise ein, wie sie der Unzulänglichkeit abhilft. Das ist richtig.
Von Dr. Thomas A. Degen ist eine Urteilsbesprechungmit Hinweisen zu den Aufgaben und Sanktionsmöglichkeiten der Aufsichtsbehörde und zur Datenschutz-Compliance und den Aufgaben des DSB veröffentlicht in der GRUR-Prax 2024, 724.
Mit der Änderung des Nachweisgesetzes (NachwG) zum 01.08.2022, basierend auf der Umsetzung einer europäischen Richtlinie, war der deutsche Gesetzgeber über deren Vorgaben hinausgegangen. Er trug durch Aufnahme zahlreicher neuer „wesentlicher Vertragsbedingungen“ erheblich zur Bürokratisierung des Nachweisgesetzes bei. Zugleich führte er eine Differenzierung der Fristen ein, innerhalb derer diese Bedingungen seitens des Arbeitgebers dem Arbeitnehmer[1]schriftlich mitzuteilen waren. Die Erfüllung dieser neuen gesetzlichen Anforderungen wurde für die Arbeitgeber aufwendiger und komplizierter. Dies hat im Nachgang erhebliche Kritik ausgelöst. Die Vermutung liegt nahe, der Gesetzgeber habe eigentlich gerne die Schriftform für den Arbeitsvertrag als verbindlich definieren wollen.
Insbesondere war kritisiert worden, dass für die Darlegung der wesentlichen Arbeitsbedingungen weiterhin die Schriftform vorgeschrieben war. Die EU-Richtlinie hätte eine einfachere, nämlich elektronische Form zugelassen. Der deutsche Gesetzgeber hat nunmehr im 4. Bürokratieentlastungsgesetz (BEG IV) zumindest diesen letzten Punkt aufgegriffen. Das Gesetz hat den Bundesrat am 18.10.2024 passiert und tritt zum 01.01.2025 in Kraft.
Die wesentlichen Arbeitsbedingungen gemäß § 2 NachwG können zukünftig auch in Textform abgefasst und elektronisch an den Arbeitnehmer übermittelt werden. Möglich ist dies jedoch nur dann, wenn
das Dokument für den Arbeitnehmer zugänglich ist,
es gespeichert und ausgedruckt werden kann, und
der Arbeitgeber den Arbeitnehmer bei der Übermittlung auffordert, den Empfang zu bestätigen (Empfangsnachweis).
Unbenommen bleibt dem Arbeitgeber natürlich, die Übermittlung weiterhin in Schriftform vorzunehmen.
Der Arbeitgeber muss für eine wirksame Übermittlung in Textform ein Medium nutzen, auf das der Arbeitnehmer auch Zugriff hat und die Übermittlung individuell an den jeweiligen Arbeitnehmer erfolgt. Bei Übersendung per E-Mail muss der Arbeitgeber bei Versand diese mit einer Empfangsbestätigungsfunktion versehen. Dies ist als Nachweis des Zugangs zu werten.
Auch wenn der Arbeitgeber die wesentlichen Arbeitsbedingungen gemäß § 2 Abs. 1 NachwG in Textform dem Arbeitnehmer bereits vorgelegt hat, kann dieser verlangen, diese zudem auch in Schriftform ausgehändigt zu bekommen. Der Arbeitgeber hat diesem Wunsch unverzüglich Folge zu leisten. Erfolgt dies nicht, begeht eine Ordnungswidrigkeit. Gleichwohl passt der Gesetzgeber nunmehr eine weitere bürokratische Hürde im Arbeitsrecht modernen Anforderungen der Digitalisierung an.
Ausgenommen von diesen Erleichterungen sind Branchen, die von der Schwarzarbeit besonders betroffen sind. Dies gilt z.B. für das Bau- und Gaststättengewerbe, das Gebäudereinigungsgewerbe oder die Fleischwirtschaft. In diesen Branchen müssen die wesentlichen Arbeitsbedingungen weiterhin in Schriftform zur Verfügung gestellt werden. Es ändert sich dort nichts.
Schriftlicher Arbeitsvertrag
Liegt ein schriftlicher Arbeitsvertrag zwischen Arbeitgeber und Arbeitnehmer vor und enthält dieser die gemäß § 2, Abs. 1 Nachweisgesetz erforderlichen, „wesentlichen Arbeitsbedingungen“, ist ein zusätzlicher Nachweis nach dem Nachweisgesetz aber nicht notwendig.
Erleichterungen ergeben es auch bei der Vornahme von Vertragsänderungen. Veränderungen wesentlicher Vertragsbedingungen waren bislang spätestens an dem Tag ihrer Wirksamkeit schriftlich mitzuteilen (§ 3 Abs. 1 NachwG). Zukünftig ist auch hier die Mitteilung in Textform möglich, vorausgesetzt, der Arbeitnehmer verlangt nicht ausdrücklich den Nachweis in Schriftform. Zudem entfällt die Mitteilungspflicht von Änderungen bei wesentlichen Vertragsbedingungen, sofern die Änderung Inhalt eines schriftlichen oder in Textform geschlossenen Änderungsvertrages ist.
Die Erleichterungen, die der Gesetzgeber nunmehr in das Nachweisgesetz eingearbeitet hat, waren wünschenswert und dringend erforderlich. Sie tragen der Umsetzung der modernen technischen Entwicklung endlich Rechnung.
Achtung aber bei befristeten Arbeitsverträgen
Besondere Beachtung verdient aber weiterhin die Regelungen des § 14 Abs. 4 Teilzeit- und Befristungsgesetz (TzBfG). Die Befristungsvereinbarung eines Arbeitsvertrages bedarf auch weiterhin der Schriftform. Bei Abschluss eines befristeten Arbeitsvertrages muss die Befristungsabrede zwingend in Schriftform erfolgen. Eine in anderer Form geschlossene Befristungsabrede ist unwirksam und es besteht vom ersten Tag der Beschäftigung an ein unbefristetes Arbeitsverhältnis.
Wir freuen mitteilen zu dürfen, vom Handelsblatt am 02.10.2024 im Datenschutzrecht ausgezeichnet worden zu sein. Die Erhebung basiert auf einer Umfrage des Handelsblatt-Partners Best Lawyers, der die renommiertesten Rechtsanwaltskanzleien in einem umfangreichen Peer-to-Peer-Verfahren ermittelt.
Peter Wagner, Dr. Thomas A. Degen, Dr. Hanns-Georg Pipping, Tilo Schindele, Marzia Carla Iosini, LL.M., Mathias Lang, LL.M., Dr. Arnd-Christian Kulow, Prof. Helmuth Jordan, M.Sc., Dipl.-Jur. Sebastian Teufel, Prof. Dr. Laird H. McNeil, Gepr. Rechtsfachwirtin Judith Himmelseher, Nadine Schneider, Jasmin Gagon, Dipl.-Jur. Isabel Ledig-Sturm Maître en droit, und die Partner des Experten-Netzwerks tecitcom
Die KI-Verordnung[1] der Europäischen Union ist als Grundpfeiler der KI-Regulierung am 02.08.2024 in Kraft getreten.[2] Es gelten jedoch längere Anwendbarkeits- und Umsetzungsfristen.[3]
Als Handlungsempfehlung im Ergebnis vorab: Aufgrund der unterschiedlichen Anforderungen sollte eine Klärung der „wirklichen Betroffenheit“ von den Verordnungsregelungen und sodann die Implementierung eines passenden Compliance-Management-Systems erfolgen.
Verordnungszweck ist gemäß Art. 1 Abs. 1 KI-VO[4] die Einführung vertrauenswürdiger KI-Systeme, die insbesondere die Grundrechte der EU-Charta zu beachten haben. Die KI-VO gilt gemäß Art. 2 Abs. 1 für Anbieter (Entwickler und/ oder „Inverkehrbringer“) und Betreiber – dies nach dem Niederlassungs- und Marktortprinzip.
Die Begriffsbestimmungen des Artikel 3 definieren in Nr. 1 „KI-Systeme“ relativ weit (nach internationaler OECD-Definition), wobei in Zusammenspiel mit Erwägungsgrund 12 in (schwieriger und unklarer) Abgrenzung zur „einfachen“ Software wesensprägend die Merkmale eigenständigen Schlussfolgerns („ableiten“) sowie die Autonomie unabhängig von menschlichem Zutun und Eingreifen sein sollen.
Sodann werden risikobasiert unterschiedliche Anforderungen gestellt. Unterteilt wird in verbotene Praktiken, Hochrisiko-KI-Systeme, nach Art. 50 „bestimmte“ KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck (und mit systemischem Risiko).[5]
Verbotene Praktiken richten sich im Kern gegen (unterbewusste) Beeinflussung von Menschen, die sich hiergegen nicht erwehren können, oder aber ganz konkret das gegen das sog. social scoring, Art. 5 Abs. 1. Verstöße sind bußgeldbewehrt mit bis zu 35 Mio. EUR oder 7% Jahresumsatz, sofern höher (wie auch im Übrigen mit anderer Höhe nach dieser Systematik).
„Herzstück“ der Verordnung stellen Hochrisiko-Systeme dar. Diese Eingruppierung erfolgt nach einem dynamischen Verständnis der Art. 6 und 7 – ein nicht abschließender, von der Kommission erweiterbarer Katalog an Lebenssachverhalten. Hieraus folgt die obige Handlungsempfehlung:
Das jeweilige System ist i.R.e. Einzelfallbetrachtung zu bewerten, vgl. auch Art. 6 Abs. 4 S. 1. Hervorzuheben sind insbesondere KI-Systeme „in Beschäftigung“ und Personalwesen (Erwägungsgrund 57). Liegt ein solches KI-System vor, stellt die Verordnung in Abschnitt 2 des Kapitel 3 u.a. einzuhaltende Anforderungen (Art. 8), die Einführungspflicht eines Risikomanagementsystems (Art. 9), Dokumentations- und Aufzeichnungspflichten (Art. 11f.) auf.[6] Mit der ISO/IEC 42001 wurde die erste Managementnorm für KI-System bereits veröffentlicht.
Es hat eine Konformitätsbewertung nach den Art. 40 ff. zu erfolgen. Die Mitgliedsstaaten haben „notifizierende Behörden“ (Art. 28 ff.) einzurichten
Zuletzt werden im Wesentlichen für die KI-Systeme nach Art. 50 Transparenzpflichten auferlegt, für KI-Modelle mit allgemeinem Verwendungszweck u.a. Dokumentationspflichten nach Art. 53 (mit systemischem Risiko nach Art. 55).
Fragen & Antworten:
Für die nachhaltige und gewinnbringende Einführung neuer Technologien wie KI bedarf es einer systematischen Planung und Prüfung und Etablierung von Compliance-Management-Systemen. Die Jordan & Wagner RA GmbH unterstützt Unternehmen, Verbände und die öffentliche Hand bei der Umsetzung.
Wenden Sie sich an unser Compliance-Team:
Peter Wagner, Dr. Thomas A. Degen, Dr. Hanns-Georg Pipping, Tilo Schindele, Mathias Lang LL.M., Marzia Carla Iosini LL.M., Dr. Arnd-Christian Kulow, Dipl.-Jur. Sebastian Teufel
[1] VERORDNUNG (EU) 2024/1689 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz).
[2] Verabschiedung durch EU-Parlament am 13.3.2024, Beschluss im EU-Rat 21.5.2024, Veröffentlichung im Amtsblatt am 12.7.2024.
[4] Alle nachfolgenden Art. ohne Quellenangabe sind solche der KI-VO.
[5] KI-Systeme mit geringem Risiko sind von vornherein nicht von der Verordnung erfasst, s. allerdings Art. 95 (freiwillige Verhaltenskodizes). Natürlich gilt hier auch wie im Übrigen bspw. die DSGVO.
[6] Wobei Unterschiedliches für Betreiber und Anbieter gilt. Betreiber ist derjenige, der das System in eigener Verantwortung, soweit nicht privat (persönlich/ nicht beruflich), verwendet. Daher ist es ggf. vorteilhaft, Entwicklung und Betrieb extern zu beauftragen. Hier ist vertragsrechtliche Gestaltung zu eruieren.
Personenbezogene Daten müssen nach bestimmten Zeiträumen oder Zwecken gelöscht werden, um die Privatsphäre zu schützen. Ein Löschkonzept ist nach der DSGVO erforderlich, damit Daten nicht unnötig lange aufbewahrt werden und um den gesetzlichen Anforderungen zu entsprechen. Im Datenschutzmanagement gehört ein systematisch und nachhaltig konzipiertes Löschkonzept zu den Fundamenten einer validen Datenschutz-Architektur. Unternehmen, Verbände und Behörden müssen personenbezogene Daten ordnungsgemäß verwalten und die Regelungen der DSGVO einhalten. Die Datenschutzmanagement-Lösung der Jordan & Wagner Rechtsanwaltsgesellschaft mbH beinhaltet ein Lösch-App. Mit den App-Einstellungsmöglichkeiten deckt das Softwaresystem die spezifischen Anforderungen der jeweiligen Unternehmens, Verbands oder behördlichen Körperschaft ab. Damit wird sichergestellt, dass die effektiv und rechtskonform aufbewahrt und gelöscht werden. Das Löschkonzept ist Teil der A-Z-Systemstruktur des Datenschutz- und IT-Sicherheitskonzepts der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, die im Datenschutzmanagement umzusetzen ist. Insofern bestehen auch Dokumentations- und Rechenschaftspflichten.
Welches sind die elementare Grundlagen der IT- und Datenschutz-Compliance beim Löschen?
Datensparsamkeit: Nur die notwendigen Daten für den jeweiligen Zweck sammeln und speichern.
Speicherbegrenzung: Daten dürfen nicht länger als erforderlich aufbewahrt werden.
Zweckbindung: Daten dürfen nur für den angegebenen Zweck verarbeitet werden.
Welches sind die einzelnen Schritte im Löschkonzept?
Systematisierung und Dateninventar: Identifikation und Kategorisierung aller gespeicherten personenbezogenen Daten
Festlegung von Aufbewahrungsfristen: Bestimmung der Zeiträume, für die Daten aufbewahrt werden müssen
Identifizierung von Löschklassen
Einordnung von Datenarten in die Löschklassen -> Identifizierung und Festlegung von Löschregeln
Automatisierung: Einrichtung automatisierter Prozesse zur Löschung von Daten nach Ablauf der Aufbewahrungsfristen oder wenn der Zweck erfüllt ist
Gibt es Frameworks? Welche Struktur besteht nach DIN ISO 66398?
Wie erfolgt die Umsetzung des Löschkonzepts?
Konzeptionell wird das A-Z-Strukturmodell der Jordan & Wagner Rechtsanwaltsgesellschaft mbH zugrunde gelegt. Dieses basiert auf einem GRC-Methodenansatz (Governance, Risk und Compliance) und in Anlehnung an Frameworks und Leitbilder wie BSI-Grundschutz, ISO 27001, ISO 27701, angepasst für kleine und mittele Unternehmen (KMU), Verbände, Behörden und Bildungseinrichtungen.
Als Technische Lösung wird eine SaaS-/cloudbasierten zertifizierte Lösch-App eines Kooperationspartners aus Deutschland verwendet. Bei der Erfassung der Daten werden diese der unterschiedlichen Software zugeordnet; genauso werden Softwareverantwortliche festgelegt, die für die fristgerechte Löschung der Daten zuständig sind
Die Dokumentation zur Protokollierung der durchgeführten Löschvorgänge zur Nachvollziehbarkeit erfolgt ebenfalls in der Lösch-App.
Bestehen in der Praxis bei Löschpflichten Ausnahmen?
Vertragsbezogene Aufbewahrung: Daten, die für Verträge oder rechtliche Ansprüche relevant sind, können längere Aufbewahrungsfristen erfordern.
Rechtliche Anforderungen: Bestimmte Daten müssen im Einzelfall aufgrund von Rechtsvorschriften länger aufbewahrt werden.
Bestehen Dokumentations- und Rechenschaftspflichten für das Löschkonzept?
Der Verantwortliche im Sinne der DSGVO muss darlegen und beweisen können, dass und wie er eine Löschung bzw. Datenträgervernichtung vollzogen hat. Der Löschungsnachweis erfolgt nach Art. 5 II DSGVO und hat Auswirkungen auf die rechtliche Beweislast. Es ist demnach unerlässlich, ein Löschkonzept zu etablieren und nach dem PDCA-Zyklus (angelehnt an ISO 37301) auch die Wirksamkeitskontrolle desselben regelmäßig vorzunehmen.
Nehmen Sie gerne Kontakt zu uns auf und erfragen Sie unverbindlich ein maßgeschneidertes Angebot.
Mit diesem Beitrag wollen wir Sie bekannt machen mit zwei neuen Funktionsträgern, dem „Menschenrechtsbeauftragten“ und dem „Beschwerdebeauftragten“:
Seit dem 01.01.2024 sind im Inland ansässige Unternehmen bereits ab einer Schwelle von „nur“ 1.000 Arbeitnehmern (inkl. entsandte und Leiharbeitnehmer, letztere ab 6 Monate) verpflichtet zur Einhaltung der Sorgfaltspflichten nach dem Lieferkettensorgfaltspflichtengesetz (LkSG vom 01.01.2023). In der Sache geht es um ein angemessenes Risikomanagement mit menschenrechtlichen und umweltbezogenen Präventions- und Abhilfemaßnahmen.
Die Implementierung dieses Risikomanagements ist gesetzlich detailliert geregelt. Unter anderem müssen Personen beauftragt werden
+ mit der Überwachung der Wirksamkeit und
+ mit dem Betrieb eines angemessenen Beschwerdeverfahrens.
Da diese neue Gesetzeslage für jeden Wirtschaftsteilnehmer relevant werden kann, ob als Adressat des Gesetzes mit Umsetzungspflicht oder als Geschäftspartner im Rahmen einer betriebliche Risikoanalyse, möchten wir Ihnen mit den folgenden Erläuterungen einen Einstieg in diese komplexe Thematik anbieten:
A. Der „Menschenrechtsbeauftagte“
Der erste Funktionsträger ist für die Wirksamkeit der Selbstkontrolle zuständig:
Nach § 4 Abs. 3 LkSG sind eine oder mehrere Personen zu bestimmen, die das Risikomanagement überwachen. Dies wird in aller Regel durch die Benennung eines Menschenrechtsbeauftragten umgesetzt gemäß der gesetzgeberischen Intention, auch wenn dies nicht zwingend vorgeschrieben ist. Konkret muss es sich um eine / mehrere „Person(en) innerhalb des Unternehmens“ handeln, also um Mitarbeiter oder ähnlich vertraglich verbundene Personen. Bei der konkreten Auswahl wird eine sorgfältige Abwägung erforderlich, einerseits was das benötigte Know-How anbetrifft, andererseits aber auch was die funktionale Abgrenzung anbetrifft zwischen generellen Verantwortungsbereichen und der für diese Position primären Kontrollpflicht.
Formal kann die Beteiligung des Betriebsrats bei der Bestellung erforderlich werden. Ohne entsprechende Zuständigkeitsregelung werden Bußgelder riskiert, da dies Ordnungswidrigkeit nach § 24 Abs. 1 Nr. 1 LkSG wäre.
B. Der „Beschwerdebeauftragte“
Der zweite Funktionsträger ist quasi der Garant der Selbstkontrolle:
Nach § 8 LkSG sind eine oder mehrere Personen zu bestimmen für die Einrichtung eines Beschwerdeverfahrens für Hinweise auf menschenrechtsbezogene oder umweltbezogene Risiken oder Pflichtverletzungen. In der Praxis spricht man von dem/ den „Beschwerdebeauftragten“. Dieser muss unparteiisch und weisungsunabhängig agieren, ist zwingend zur Verschwiegenheit verpflichtet und hat entsprechende Hinweise nach einer eigens aufzustellenden Verfahrensordnung zu bearbeiten.
Bei der Besetzung ist hier auch der Rückgriff auf externe Fachleute zulässig. Was hier die Intention des Gesetzgebers ist, liegt auf der Hand: Mit der Beauftragung von Externen macht der Unternehmer plausibel, dass er einen geeigneten Beschwerdeweg eingerichtet hat (unparteiisch, vertraulich etc.).
Formal kann auch hier die Beteiligung des Betriebsrats erforderlich werden. Ohne entsprechende Zuständigkeitsregelung werden Bußgelder auch hier riskiert, da dies Ordnungswidrigkeit nach § 24 Abs. 1 Nr. 8 LkSG wäre.
C. Hinweise zur Umsetzung
Je nach Größe eines Unternehmens oder Konzerns stellen sich diverse Detailfragen, die sowohl bei der Umsetzung als auch für die Betroffene wie z.B. Hinweisgeber relevant werden können.
Beispielsweise sollte beachtet werden, dass der Wirksamkeit des Risikomanagements oberste Priorität zukommt, quasi eine Rechtslage wie nach dem bekannten Prinzip „privacy by design“ im Datenschutzrecht.
Zuständigkeits- und Funktionsabgrenzungen sind hier ebenso wichtig wie Steuerungs- und Effizienzaspekte. Ganz praktisch handelt es sich um Fragen wie etwa der Eignung einer konzernweiten Implementierung, der Differenzierung von Entscheidungskompetenzen, der Vermeidung von Interessen-/ Verantwortungs- oder sonstigen funktionalen oder persönlichen Zielkonflikten und ähnlichem oder auch einfach der Vertragsgestaltung, ob arbeitsrechtlich oder bei der Vergabe.
Auch ob man beim Aufbau eines wirksamen Risikomanagements von der Möglichkeit externer Beschwerdebeauftragte Gebrauch macht, kann einen Unterschied machen. Aus anderen Compliance-Bereichen ist bekannt, dass Mitarbeiter externen Beauftragte eher als vertrauenswürdig wahrnehmen, was die Vertraulichkeit ihrer Hinweise anbetrifft. Auch so kann also gefördert werden, dass durch Hinweise Missstände bekannt werden und beseitigt werden können.
Auch die mögliche Haftung des Funktionsträgers/ Beauftragten und etwaige versicherungstechnische Maßnahmen sollten nicht übersehen werden.
D. Chancen
Eine ergebnisorientierte Befassung mit den neuen Sorgfaltspflichten kann sich allemal auszahlen, auch wirtschaftlich:
Die Chancen eines wirksamen Compliance Management Tools sind etwa aus dem Bereich des Hinweisgeberschutzes schon bekannt: Was für Kunden eine zunehmend erforderliche Voraussetzung einer vertrauensvollen Zusammenarbeit ist, ist auch für das Unternehmen selbst eine Möglichkeit, effizienter zu agieren, Missständen auf die Spur zu kommen und im „Fall der Fälle“ den Schaden zu begrenzen.
Dass jetzt menschenrechtliche und umweltbezogene Präventions- und Abhilfemaßnahmen Pflicht sind, ist sicherlich im Hinblick auf die Überregulierung und ihre Kosten fragwürdig, der Sache nach aber im internationalen rechtlichen Kontext und Wirtschaftsverkehr derzeit unausweichlich. Neben den (gesetzgeberisch erhofften) Effekten für Arbeitsverhältnisse und die Umwelt kann aber auch der unternehmerische Erfolg selbst gefördert werden:
Etwa der positive Einfluss identifikationsfördernder Unternehmenswerteund -kultur bei der Belegschaft ist mittlerweile unbestritten und mit messbaren Ergebnissen belegt. Gerade hier kann das neue Risikomanagement bei richtiger Kommunikation auch bereits intern einen heute nicht unwesentlichen Beitrag leisten.
Sie können gern auf uns zukommen bei Fragen zu diesen Themen. Die Unterstützung in den verschiedenen Compliance- Bereichen und auch bei dem Umgang mit diesen neuen Funktionen gehört zu unseren Kernkompetenzen.
Das OLG Hamm (Beschluss v. 06.02.2024 – 4 W 22/23) hat entschieden, dass ein Unterlassungsschuldner, der regelmäßig weniger als 100 Mitarbeiter beschäftigt, bei einem Verstoß gegen gesetzliche Informations- und Kennzeichnungspflichten nach § 13 IV UWG auch dann keine Veranlassung zur Verfahrenseinleitung gibt, wenn er den Verstoß auf die Abmahnung des Mitbewerbers hin abstellt und eine nicht strafbewehrte Unterlassungserklärung abgibt.
Zum Sachverhalt:
Wegen eines Verstoßes gegen § 4 Absatz I 1 PAngV bei einem Online-Shop hat ein Mitbewerber den Betreiber abgemahnt und auf Unterlassung in Anspruch genommen. Letzterer stellte den Verstoß ab und gab eine Unterlassungserklärung ab, die jedoch nicht strafbewehrt war. Der Mitbewerber stellte beim LG Bochum einen Antrag auf Erlass einer einstweiligen Verfügung, den dieses ohne Anhörung des Antragsgegners stattgab. Es untersagte dem Antragsgegner unter Androhung von Ordnungsmitteln, im geschäftlichen Verkehr mit Zubehör für Wasserbetten beim Angebot und/oder der Bewerbung von Waren in Fertigpackungen nicht neben dem Gesamtpreis auch den Grundpreis unmissverständlich, klar erkennbar und gut lesbar anzugeben.
Das Gericht hat dem Gegner auch die Kosten des Verfahrens auferlegt. Dieser erklärte nach Zustellung der einstweiligen Verfügung, diese als endgültige Regelung anzuerkennen mit Ausnahme der Kostenregelung. Insofern legte er hinsichtlich des Kostenausspruchs beim LG einen beschränkten Widerspruch ein. Unter Verweis darauf, dass eine erstmalige Abmahnung aufgrund eines Verstoßes gegen gesetzliche Informations- und Kennzeichnungspflichten im elektronischen Geschäftsverkehr (§ 13 IV Nr. UWG) gegenständlich sei, für den gemäß § 13a II UWG die Vereinbarung einer Vertragsstrafe ausgeschlossen sei, hat er vorgetragen, die nicht strafbewehrte Unterlassungserklärung habe die durch den Verstoß gegen § 4 I 1 PAngV begründete Wiederholungsgefahr entfallen lassen. Mit Blick auf § 14 II 3 Nr. UWG hat er zudem die örtliche Zuständigkeit gerügt und eine mangelnde Dringlichkeit. Dagegen hat der Antragsteller die Auffassung vertreten, § 13 IV UWG sei nicht anzuwenden, weil der Verstoß nur nach Irreführungstatbeständen § 5a II, IV UWG) und nicht § 3a UWG zu beurteilen sei. Das LG Bochum hat mit dem Kosten-Urteil vom 14.03.2023 (I-18 O 25/22) die einstweilige Verfügung im Kostenausspruch aufgehoben und die Kosten dem Antragsteller auferlegt. Das OLG Hamm hat die sofortige Beschwerde des Antragstellers gegen das Kosten-Urteil des LG Bochum zurückgewiesen und die Kosten des Beschwerdeverfahrens dem Antragsteller auferlegt.
Folgen für die Praxis:
Sollten Empfänger einer Abmahnung auf eine solche außergerichtlich reagieren? Die typische Juristen-Antwort lautet: Es kommt darauf an. Das OLG Hamm macht deutlich, dass es sachdienlich sein kann, zeitnah außergerichtlich zu reagieren.
Dass Juristen mit Entscheidungen des OLG Hamm differenziert umgehen sollten, wird diesen bereits vielfach im Referendariat vermittelt.
Im Ergebnis wird zutreffend entschieden, dass der Gegner zur Antragstellung keinen Anlass geboten hat und eine Erledigung des Verfügungsanspruchs durch Anerkenntnis sofort erfolgt ist. Abgestellt wird insofern auf § 93 ZPO.
Die Entscheidung zeigt auf, dass ein Nichtreagieren auf eine berechtigte Abmahnung auch nach dem novellierten Lauterkeitsrecht mit § 13a II UWG nachteilig sein kann, da die Rechtsposition des Unterlassungsschuldners erheblich verschlechtert werden kann. Selbst wenn der Unterlassungsgläubiger unberechtigterweise die Abgabe einer strafbewehrten Unterlassungserklärung verlangen sollte, wäre dem Abgemahnten zu empfehlen, Rechtsrat in Anspruch zu nehmen und zumindest eine einfache Unterlassungserklärung abzugeben. Dann kann eine Berufung auf § 93 ZPO in einem nachfolgenden Gerichtsprozess gelingen.
Für alle Betreiber "digitaler Dienste" ergeben sich Rechts- und Compliance-Anforderungen aufgrund neuer europäischer und nationaler Gesetzgebung.
Die Bundesregierung hat mit dem Digitale-Dienste-Gesetz (DDG) ein Nachfolgegesetz des Telemediengesetzes (TMG) verabschiedet, welches am 14.05.2024 in Kraft getreten ist. Das TMG und der überwiegende Teil des Netzwerkdurchsetzungsgesetzes (NetzDG) gelten damit nicht mehr. Die Regelungsinhalte werden durch die neue europäische und nationale Gesetzgebung abgedeckt durch den Digital Services Act (DSA) und das Digitale-Dienste-Gesetz (DDG).
Das neue DDG hat den Zweck, den europäischen DSA zu ergänzen. Der DSA ist eine in den EU-Mitgliedsstaaten unmittelbar geltende Verordnung, mit der Vorgaben zur Reduzierung rechtswidriger Inhalte im Internet statuiert werden, indem weitreichende Pflichten für Online-Dienste etabliert werden. Der DSA ist von sehr großen Plattformen bereits seit dem 25.08.2023 zu beachten, was die EU-Kommission überwacht. Seit dem 17.02.2024 gilt der DSA auch für alle anderen Betreiber.
Das DDG knüpft an diese Rechtsetzung an und bestimmt die konkrete Umsetzung dieser Pflichten in Deutschland. Dazu gehört, die Befugnis, dass deutsche Aufsichtsbehörden den DSA bei den Unternehmen durchsetzen können. Die Zuständigkeit übernimmt eine unabhängige Koordinierungsstelle für digitale Dienste innerhalb der Bundesnetzagentur (Digital Services Coordinator).Bei Rechtsverstößen können Bußgelder verhängt werden. Möglich ist auch, dass Nutzerinnen und Nutzer Beschwerden unmittelbar an die Behörde richten können.
Mit der Einführung des DDG wurde auch eine weitere Gesetzesänderung vorgenommen: Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) wurde geändert in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Das TDDDG weist im Wesentlichen die gleichen Regelungsinhalte auf wie das bisherige TTSSG. Die Umbenennung erfolgte ebenfalls zur Angleichung des nationalen Rechts an den europäischen DSA. In diesem Zug wurden Begriffsänderungen vorgenommen. Es erfolgte eine Ersetzung des Begriffs "Telemedium" durch die Bezeichnung "digitaler Dienst".
Das TDDDG dient im Wesentlichen der Anpassung unterschiedlicher datenschutzrechtlicher Positionen an die Datenschutzgrund-Verordnung (DSGVO) mit Transformation der ePrivacy-Richtlinie der EU (RiLi 2002/58/EG) in nationales Recht. Im Gegensatz zur DSGVO, welche den Schutz der personenbezogenen Daten intendiert, verfolgt das TDDDG einen technologieneutralen Anwendungsbereich, indem es für jede Form der Datenerhebung durch Endgeräte Geltung beansprucht.
Hinzuweisen ist beim TDDDG insbesondere auf folgende Regelungsinhalte:
Mit dem "digitalen Nachlass" nach § 4 TDDDG werden die Rechte des Erben des Endnutzers und anderer Personen mit vergleichbarer Rechtsstellung bestimmt.
Unzulässige Werbeanrufe und das unerlaubte Unterdrücken einer Rufnummer bei Werbetelefonie werden gemäß §§ 14-16 TDDDG "eingefangen".
Bei Tracking-Tools und Cookies sind zur Erhebung und Speicherung von Daten durch Endeinrichtungen Vorgaben zu beachten, nun auch für Smarthome- und Connected Cars-Systeme. Aufgrund von § 25 TDDDG gilt für Cookies und Tracking-Maßnahmen das Erfordernis der Einwilligung der Nutzer, ebenfalls für Smarthome- und Connected Cars-Systeme.
Mittels des sog. Einwilligungsmanagements gibt es nach § 26 TDDDG Dienste zur Verwaltung der erteilten Einwilligungen ("Personal Information Management System - PIMS"). Hier geht es darum, sog. Cookie Popups zu eliminieren. Dieses Regelungsmodell ist eine große Schwachstelle des Gesetzes. Denn es existieren diverse Arten von einwilligungspflichtigen Vorgängen. Diese können nicht komplett durch eine sog. Einwilligungsverwaltung erfasst werden.
Bewertung von Jordan & Wagner:
Die Regelungsinhalte, insbesondere die Regulierungsvorhaben mit dem DSA durch die EU sind angesichts der im Binnenmarkt und global festzustellenden Entwicklungen im Internet zu begrüßen.
Die nationalen Gesetzesumsetzungen sind überwiegend konsequent, lassen aber auch gesetzestechnische Unschärfen und gesetzgeberische Fragwürdigkeiten erkennen, angefangen mit den Umbenennungen von TMG durch DDG und TTDSG und TDDDG bis zu dem nicht überzeugenden Ansatz beim Einwilligungsmanagement.
Die Autorität des Rechts leidet allein durch die Schaffung "behördlicher Zungenbrecher" und die verwaltungsadministrative "Taufe" bei den Gesetzesbezeichnungen: Das "Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz - TDDDG)" weist nicht nur eine rekordverdächtigen Namen auf, sondern weckt auch bei der amtlichen Abkürzung TDDDG "kafkaeske Assoziationen" an Science Fiction , KI und Robotertechnik, wenn man die drei D's im Gesetzesnamen "T3DG" aussprechen möchte. Eine phonetische Nähe zu "C3PO" ist dann nicht zu verneinen.
Handlungsempfehlung für Unternehmen und die öffentliche Hand:
Websites, Webshops und Apps sollten vom Betreiber überprüft und aktualisiert werden. Beim Betrieb von Websites ist zu beachten, dass die Impressumspflicht (bislang gemäß § 5 TMG) nun in § 5 DDG geregelt ist. Es wird empfohlen, im Impressum die Bezeichnung des TMG durch das DDG zu ersetzen. Da bei dem Gesetzesinhalt nur eine redaktionelle Änderung vorliegt, sind ansonsten keine internet- und wettbewerbsrechtlich relevanten Zusatzpflichten entstanden.
Hinsichtlich der Änderung des TTDSG zum TDDDG ist zu beachten, dass insbesondere in der jeweiligen Datenschutzerklärung eines digitalen Dienstes sowie in Cookie-Richtlinien nicht mehr von TTDSG die Rede ist, da es dieses Gesetz nicht mehr gibt. Gerade die „Schnittstellen“ von Webdesign, Marketing, Vertrieb und Datenschutzmanagement bei der Implementierung von Softwaretools sollten inhaltlich und bezüglich der technischen und rechtlichen Folgen im Dialog mit dem Datenschutzbeauftragten sichergestellt werden.
Ihre Ansprechpartner:
Dr. Thomas A. Degen, Rechtsanwalt, Fachanwalt für IT-Recht, Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV), Lehrbeauftragter an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW)
Mathias Lang LL.M., Rechtsanwalt, Fachanwalt für IT-Recht, Master of Laws (LL.M.) Informationsrecht
Dr. Arnd-Christian-Kulow, Rechtsanwalt, Zertifizierter Datenschutzbeauftragter - DSB (TÜV-SÜD), Zertifizierter Auditor für Datenschutz - DSA TÜV-SÜD), Zertifizierter Beauftragter für QM nach DIN EN ISO 9001:2015 (QM-B) (TÜV SÜD)
Marcia Iosini LL.M., Rechtsanwältin
Tilo Schindele, Rechtsanwalt, Lehrbeauftragter an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW)
Veranstalter: Ministerium der Finanzen und für Wissenschaft des Saarlandes, Staatssekretär Wolfgang Förster, und Universität des Saarlandes, Univ.-Prof. Dr. Annemarie Matusche-Beckmann, Lehrstuhl für Bürgerliches Recht,deutsches und europäisches Handels- und Wirtschaftsrecht sowie Privatversicherungsrecht
Auszug aus dem Programm:
- Einführung zu den Haftungsrisiken von Aufsichtsräten öffentlicher Unternehmen
- Das neue Lieferkettensorgfaltspflichtengesetz – Umsetzung in der Unternehmenspraxis
- Konsequenzen des AI-Act der Europäischen Union für öffentliche Unternehmen
- Compliance und Nachhaltigkeit
- Cybercrime – rechtliche Konsequenzen für das operative und kontrollierende Management – Warum IT-Compliance Sinn macht (Jordan & Wagner RA GmbH)
Auszug aus dem Programmflyer:
"Compliance
Die Sicherstellung der Einhaltung geltender Gesetze und Normen hat in der privaten Wirtschaft einen festen Stellenwert, nicht zuletzt weil Regelverstöße Schadensersatzansprüche, hohe Bußgelder und zuweilen auch Strafen nach sich ziehen können. Die Notwendigkeit einer strategischen Herangehensweise an das Thema Compliance ist umso drängender, wenn Unternehmen in öffentlicher Hand stehen oder handelnde Personen öffentliche Positionen bekleiden. Denn dann ist das Vertrauen in das Handeln öffentlicher Stellen berührt, an die besonders hohe Integritätsanforderungen gestellt werden. Demzufolge schlagen hier etwaige Gesetzes- und Normverstöße besonders hohe Wellen, die enorme Image- und Vertrauensschäden verursachen.
Vor diesem Hintergrund veranstaltet das Ministerium der Finanzen und für Wissenschaft in Kooperation mit dem Lehrstuhl für Bürgerliches Recht, deutsches und europäisches Handels- und Wirtschaftsrecht sowie Privatversicherungsrecht der Universität des Saarlandes in regelmäßigen Abständen Tagungen zum Thema „Compliance im öffentlichen Unternehmen“. Nach einer Einführung in das Thema kommen Stimmen aus der Praxis zu Wort, und es besteht die Möglichkeit eines intensiven Austauschs. Dabei sollen bei der aktuellen Veranstaltung gezielt Fragen zu Haftungsrisiken von Aufsichtsräten öffentlicher Unternehmen und hiermit einhergehende, aktuelle Compliance-rechtliche Fragestellungen behandelt werden."
Zu den zusätzlichen Herausforderungen im internationalen Handel gehört die Exportkontrolle. Das Thema ist nicht neu, durch die aktuellen geopolitischen Entwicklungen aber mittlerweile Chefsache, zu Recht.
