Die KI-Verordnung[1] der Europäischen Union ist als Grundpfeiler der KI-Regulierung am 02.08.2024 in Kraft getreten.[2] Es gelten jedoch längere Anwendbarkeits- und Umsetzungsfristen.[3]
Als Handlungsempfehlung im Ergebnis vorab: Aufgrund der unterschiedlichen Anforderungen sollte eine Klärung der „wirklichen Betroffenheit“ von den Verordnungsregelungen und sodann die Implementierung eines passenden Compliance-Management-Systems erfolgen.
Verordnungszweck ist gemäß Art. 1 Abs. 1 KI-VO[4] die Einführung vertrauenswürdiger KI-Systeme, die insbesondere die Grundrechte der EU-Charta zu beachten haben. Die KI-VO gilt gemäß Art. 2 Abs. 1 für Anbieter (Entwickler und/ oder „Inverkehrbringer“) und Betreiber – dies nach dem Niederlassungs- und Marktortprinzip.
Die Begriffsbestimmungen des Artikel 3 definieren in Nr. 1 „KI-Systeme“ relativ weit (nach internationaler OECD-Definition), wobei in Zusammenspiel mit Erwägungsgrund 12 in (schwieriger und unklarer) Abgrenzung zur „einfachen“ Software wesensprägend die Merkmale eigenständigen Schlussfolgerns („ableiten“) sowie die Autonomie unabhängig von menschlichem Zutun und Eingreifen sein sollen.
Sodann werden risikobasiert unterschiedliche Anforderungen gestellt. Unterteilt wird in verbotene Praktiken, Hochrisiko-KI-Systeme, nach Art. 50 „bestimmte“ KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck (und mit systemischem Risiko).[5]
Verbotene Praktiken richten sich im Kern gegen (unterbewusste) Beeinflussung von Menschen, die sich hiergegen nicht erwehren können, oder aber ganz konkret das gegen das sog. social scoring, Art. 5 Abs. 1. Verstöße sind bußgeldbewehrt mit bis zu 35 Mio. EUR oder 7% Jahresumsatz, sofern höher (wie auch im Übrigen mit anderer Höhe nach dieser Systematik).
„Herzstück“ der Verordnung stellen Hochrisiko-Systeme dar. Diese Eingruppierung erfolgt nach einem dynamischen Verständnis der Art. 6 und 7 – ein nicht abschließender, von der Kommission erweiterbarer Katalog an Lebenssachverhalten. Hieraus folgt die obige Handlungsempfehlung:
Das jeweilige System ist i.R.e. Einzelfallbetrachtung zu bewerten, vgl. auch Art. 6 Abs. 4 S. 1. Hervorzuheben sind insbesondere KI-Systeme „in Beschäftigung“ und Personalwesen (Erwägungsgrund 57). Liegt ein solches KI-System vor, stellt die Verordnung in Abschnitt 2 des Kapitel 3 u.a. einzuhaltende Anforderungen (Art. 8), die Einführungspflicht eines Risikomanagementsystems (Art. 9), Dokumentations- und Aufzeichnungspflichten (Art. 11f.) auf.[6] Mit der ISO/IEC 42001 wurde die erste Managementnorm für KI-System bereits veröffentlicht.
Es hat eine Konformitätsbewertung nach den Art. 40 ff. zu erfolgen. Die Mitgliedsstaaten haben „notifizierende Behörden“ (Art. 28 ff.) einzurichten
Zuletzt werden im Wesentlichen für die KI-Systeme nach Art. 50 Transparenzpflichten auferlegt, für KI-Modelle mit allgemeinem Verwendungszweck u.a. Dokumentationspflichten nach Art. 53 (mit systemischem Risiko nach Art. 55).
Fragen & Antworten:
Für die nachhaltige und gewinnbringende Einführung neuer Technologien wie KI bedarf es einer systematischen Planung und Prüfung und Etablierung von Compliance-Management-Systemen. Die Jordan & Wagner RA GmbH unterstützt Unternehmen, Verbände und die öffentliche Hand bei der Umsetzung.
Wenden Sie sich an unser Compliance-Team:
Peter Wagner, Dr. Thomas A. Degen, Dr. Hanns-Georg Pipping, Tilo Schindele, Mathias Lang LL.M., Marzia Carla Iosini LL.M., Dr. Arnd-Christian Kulow, Dipl.-Jur. Sebastian Teufel
[1] VERORDNUNG (EU) 2024/1689 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz).
[2] Verabschiedung durch EU-Parlament am 13.3.2024, Beschluss im EU-Rat 21.5.2024, Veröffentlichung im Amtsblatt am 12.7.2024.
[4] Alle nachfolgenden Art. ohne Quellenangabe sind solche der KI-VO.
[5] KI-Systeme mit geringem Risiko sind von vornherein nicht von der Verordnung erfasst, s. allerdings Art. 95 (freiwillige Verhaltenskodizes). Natürlich gilt hier auch wie im Übrigen bspw. die DSGVO.
[6] Wobei Unterschiedliches für Betreiber und Anbieter gilt. Betreiber ist derjenige, der das System in eigener Verantwortung, soweit nicht privat (persönlich/ nicht beruflich), verwendet. Daher ist es ggf. vorteilhaft, Entwicklung und Betrieb extern zu beauftragen. Hier ist vertragsrechtliche Gestaltung zu eruieren.
Personenbezogene Daten müssen nach bestimmten Zeiträumen oder Zwecken gelöscht werden, um die Privatsphäre zu schützen. Ein Löschkonzept ist nach der DSGVO erforderlich, damit Daten nicht unnötig lange aufbewahrt werden und um den gesetzlichen Anforderungen zu entsprechen. Im Datenschutzmanagement gehört ein systematisch und nachhaltig konzipiertes Löschkonzept zu den Fundamenten einer validen Datenschutz-Architektur. Unternehmen, Verbände und Behörden müssen personenbezogene Daten ordnungsgemäß verwalten und die Regelungen der DSGVO einhalten. Die Datenschutzmanagement-Lösung der Jordan & Wagner Rechtsanwaltsgesellschaft mbH beinhaltet ein Lösch-App. Mit den App-Einstellungsmöglichkeiten deckt das Softwaresystem die spezifischen Anforderungen der jeweiligen Unternehmens, Verbands oder behördlichen Körperschaft ab. Damit wird sichergestellt, dass die effektiv und rechtskonform aufbewahrt und gelöscht werden. Das Löschkonzept ist Teil der A-Z-Systemstruktur des Datenschutz- und IT-Sicherheitskonzepts der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, die im Datenschutzmanagement umzusetzen ist. Insofern bestehen auch Dokumentations- und Rechenschaftspflichten.
Welches sind die elementare Grundlagen der IT- und Datenschutz-Compliance beim Löschen?
Datensparsamkeit: Nur die notwendigen Daten für den jeweiligen Zweck sammeln und speichern.
Speicherbegrenzung: Daten dürfen nicht länger als erforderlich aufbewahrt werden.
Zweckbindung: Daten dürfen nur für den angegebenen Zweck verarbeitet werden.
Welches sind die einzelnen Schritte im Löschkonzept?
Systematisierung und Dateninventar: Identifikation und Kategorisierung aller gespeicherten personenbezogenen Daten
Festlegung von Aufbewahrungsfristen: Bestimmung der Zeiträume, für die Daten aufbewahrt werden müssen
Identifizierung von Löschklassen
Einordnung von Datenarten in die Löschklassen -> Identifizierung und Festlegung von Löschregeln
Automatisierung: Einrichtung automatisierter Prozesse zur Löschung von Daten nach Ablauf der Aufbewahrungsfristen oder wenn der Zweck erfüllt ist
Gibt es Frameworks? Welche Struktur besteht nach DIN ISO 66398?
Wie erfolgt die Umsetzung des Löschkonzepts?
Konzeptionell wird das A-Z-Strukturmodell der Jordan & Wagner Rechtsanwaltsgesellschaft mbH zugrunde gelegt. Dieses basiert auf einem GRC-Methodenansatz (Governance, Risk und Compliance) und in Anlehnung an Frameworks und Leitbilder wie BSI-Grundschutz, ISO 27001, ISO 27701, angepasst für kleine und mittele Unternehmen (KMU), Verbände, Behörden und Bildungseinrichtungen.
Als Technische Lösung wird eine SaaS-/cloudbasierten zertifizierte Lösch-App eines Kooperationspartners aus Deutschland verwendet. Bei der Erfassung der Daten werden diese der unterschiedlichen Software zugeordnet; genauso werden Softwareverantwortliche festgelegt, die für die fristgerechte Löschung der Daten zuständig sind
Die Dokumentation zur Protokollierung der durchgeführten Löschvorgänge zur Nachvollziehbarkeit erfolgt ebenfalls in der Lösch-App.
Bestehen in der Praxis bei Löschpflichten Ausnahmen?
Vertragsbezogene Aufbewahrung: Daten, die für Verträge oder rechtliche Ansprüche relevant sind, können längere Aufbewahrungsfristen erfordern.
Rechtliche Anforderungen: Bestimmte Daten müssen im Einzelfall aufgrund von Rechtsvorschriften länger aufbewahrt werden.
Bestehen Dokumentations- und Rechenschaftspflichten für das Löschkonzept?
Der Verantwortliche im Sinne der DSGVO muss darlegen und beweisen können, dass und wie er eine Löschung bzw. Datenträgervernichtung vollzogen hat. Der Löschungsnachweis erfolgt nach Art. 5 II DSGVO und hat Auswirkungen auf die rechtliche Beweislast. Es ist demnach unerlässlich, ein Löschkonzept zu etablieren und nach dem PDCA-Zyklus (angelehnt an ISO 37301) auch die Wirksamkeitskontrolle desselben regelmäßig vorzunehmen.
Nehmen Sie gerne Kontakt zu uns auf und erfragen Sie unverbindlich ein maßgeschneidertes Angebot.
Mit diesem Beitrag wollen wir Sie bekannt machen mit zwei neuen Funktionsträgern, dem „Menschenrechtsbeauftragten“ und dem „Beschwerdebeauftragten“:
Seit dem 01.01.2024 sind im Inland ansässige Unternehmen bereits ab einer Schwelle von „nur“ 1.000 Arbeitnehmern (inkl. entsandte und Leiharbeitnehmer, letztere ab 6 Monate) verpflichtet zur Einhaltung der Sorgfaltspflichten nach dem Lieferkettensorgfaltspflichtengesetz (LkSG vom 01.01.2023). In der Sache geht es um ein angemessenes Risikomanagement mit menschenrechtlichen und umweltbezogenen Präventions- und Abhilfemaßnahmen.
Die Implementierung dieses Risikomanagements ist gesetzlich detailliert geregelt. Unter anderem müssen Personen beauftragt werden
+ mit der Überwachung der Wirksamkeit und
+ mit dem Betrieb eines angemessenen Beschwerdeverfahrens.
Da diese neue Gesetzeslage für jeden Wirtschaftsteilnehmer relevant werden kann, ob als Adressat des Gesetzes mit Umsetzungspflicht oder als Geschäftspartner im Rahmen einer betriebliche Risikoanalyse, möchten wir Ihnen mit den folgenden Erläuterungen einen Einstieg in diese komplexe Thematik anbieten:
A. Der „Menschenrechtsbeauftagte“
Der erste Funktionsträger ist für die Wirksamkeit der Selbstkontrolle zuständig:
Nach § 4 Abs. 3 LkSG sind eine oder mehrere Personen zu bestimmen, die das Risikomanagement überwachen. Dies wird in aller Regel durch die Benennung eines Menschenrechtsbeauftragten umgesetzt gemäß der gesetzgeberischen Intention, auch wenn dies nicht zwingend vorgeschrieben ist. Konkret muss es sich um eine / mehrere „Person(en) innerhalb des Unternehmens“ handeln, also um Mitarbeiter oder ähnlich vertraglich verbundene Personen. Bei der konkreten Auswahl wird eine sorgfältige Abwägung erforderlich, einerseits was das benötigte Know-How anbetrifft, andererseits aber auch was die funktionale Abgrenzung anbetrifft zwischen generellen Verantwortungsbereichen und der für diese Position primären Kontrollpflicht.
Formal kann die Beteiligung des Betriebsrats bei der Bestellung erforderlich werden. Ohne entsprechende Zuständigkeitsregelung werden Bußgelder riskiert, da dies Ordnungswidrigkeit nach § 24 Abs. 1 Nr. 1 LkSG wäre.
B. Der „Beschwerdebeauftragte“
Der zweite Funktionsträger ist quasi der Garant der Selbstkontrolle:
Nach § 8 LkSG sind eine oder mehrere Personen zu bestimmen für die Einrichtung eines Beschwerdeverfahrens für Hinweise auf menschenrechtsbezogene oder umweltbezogene Risiken oder Pflichtverletzungen. In der Praxis spricht man von dem/ den „Beschwerdebeauftragten“. Dieser muss unparteiisch und weisungsunabhängig agieren, ist zwingend zur Verschwiegenheit verpflichtet und hat entsprechende Hinweise nach einer eigens aufzustellenden Verfahrensordnung zu bearbeiten.
Bei der Besetzung ist hier auch der Rückgriff auf externe Fachleute zulässig. Was hier die Intention des Gesetzgebers ist, liegt auf der Hand: Mit der Beauftragung von Externen macht der Unternehmer plausibel, dass er einen geeigneten Beschwerdeweg eingerichtet hat (unparteiisch, vertraulich etc.).
Formal kann auch hier die Beteiligung des Betriebsrats erforderlich werden. Ohne entsprechende Zuständigkeitsregelung werden Bußgelder auch hier riskiert, da dies Ordnungswidrigkeit nach § 24 Abs. 1 Nr. 8 LkSG wäre.
C. Hinweise zur Umsetzung
Je nach Größe eines Unternehmens oder Konzerns stellen sich diverse Detailfragen, die sowohl bei der Umsetzung als auch für die Betroffene wie z.B. Hinweisgeber relevant werden können.
Beispielsweise sollte beachtet werden, dass der Wirksamkeit des Risikomanagements oberste Priorität zukommt, quasi eine Rechtslage wie nach dem bekannten Prinzip „privacy by design“ im Datenschutzrecht.
Zuständigkeits- und Funktionsabgrenzungen sind hier ebenso wichtig wie Steuerungs- und Effizienzaspekte. Ganz praktisch handelt es sich um Fragen wie etwa der Eignung einer konzernweiten Implementierung, der Differenzierung von Entscheidungskompetenzen, der Vermeidung von Interessen-/ Verantwortungs- oder sonstigen funktionalen oder persönlichen Zielkonflikten und ähnlichem oder auch einfach der Vertragsgestaltung, ob arbeitsrechtlich oder bei der Vergabe.
Auch ob man beim Aufbau eines wirksamen Risikomanagements von der Möglichkeit externer Beschwerdebeauftragte Gebrauch macht, kann einen Unterschied machen. Aus anderen Compliance-Bereichen ist bekannt, dass Mitarbeiter externen Beauftragte eher als vertrauenswürdig wahrnehmen, was die Vertraulichkeit ihrer Hinweise anbetrifft. Auch so kann also gefördert werden, dass durch Hinweise Missstände bekannt werden und beseitigt werden können.
Auch die mögliche Haftung des Funktionsträgers/ Beauftragten und etwaige versicherungstechnische Maßnahmen sollten nicht übersehen werden.
D. Chancen
Eine ergebnisorientierte Befassung mit den neuen Sorgfaltspflichten kann sich allemal auszahlen, auch wirtschaftlich:
Die Chancen eines wirksamen Compliance Management Tools sind etwa aus dem Bereich des Hinweisgeberschutzes schon bekannt: Was für Kunden eine zunehmend erforderliche Voraussetzung einer vertrauensvollen Zusammenarbeit ist, ist auch für das Unternehmen selbst eine Möglichkeit, effizienter zu agieren, Missständen auf die Spur zu kommen und im „Fall der Fälle“ den Schaden zu begrenzen.
Dass jetzt menschenrechtliche und umweltbezogene Präventions- und Abhilfemaßnahmen Pflicht sind, ist sicherlich im Hinblick auf die Überregulierung und ihre Kosten fragwürdig, der Sache nach aber im internationalen rechtlichen Kontext und Wirtschaftsverkehr derzeit unausweichlich. Neben den (gesetzgeberisch erhofften) Effekten für Arbeitsverhältnisse und die Umwelt kann aber auch der unternehmerische Erfolg selbst gefördert werden:
Etwa der positive Einfluss identifikationsfördernder Unternehmenswerteund -kultur bei der Belegschaft ist mittlerweile unbestritten und mit messbaren Ergebnissen belegt. Gerade hier kann das neue Risikomanagement bei richtiger Kommunikation auch bereits intern einen heute nicht unwesentlichen Beitrag leisten.
Sie können gern auf uns zukommen bei Fragen zu diesen Themen. Die Unterstützung in den verschiedenen Compliance- Bereichen und auch bei dem Umgang mit diesen neuen Funktionen gehört zu unseren Kernkompetenzen.
Das OLG Hamm (Beschluss v. 06.02.2024 – 4 W 22/23) hat entschieden, dass ein Unterlassungsschuldner, der regelmäßig weniger als 100 Mitarbeiter beschäftigt, bei einem Verstoß gegen gesetzliche Informations- und Kennzeichnungspflichten nach § 13 IV UWG auch dann keine Veranlassung zur Verfahrenseinleitung gibt, wenn er den Verstoß auf die Abmahnung des Mitbewerbers hin abstellt und eine nicht strafbewehrte Unterlassungserklärung abgibt.
Zum Sachverhalt:
Wegen eines Verstoßes gegen § 4 Absatz I 1 PAngV bei einem Online-Shop hat ein Mitbewerber den Betreiber abgemahnt und auf Unterlassung in Anspruch genommen. Letzterer stellte den Verstoß ab und gab eine Unterlassungserklärung ab, die jedoch nicht strafbewehrt war. Der Mitbewerber stellte beim LG Bochum einen Antrag auf Erlass einer einstweiligen Verfügung, den dieses ohne Anhörung des Antragsgegners stattgab. Es untersagte dem Antragsgegner unter Androhung von Ordnungsmitteln, im geschäftlichen Verkehr mit Zubehör für Wasserbetten beim Angebot und/oder der Bewerbung von Waren in Fertigpackungen nicht neben dem Gesamtpreis auch den Grundpreis unmissverständlich, klar erkennbar und gut lesbar anzugeben.
Das Gericht hat dem Gegner auch die Kosten des Verfahrens auferlegt. Dieser erklärte nach Zustellung der einstweiligen Verfügung, diese als endgültige Regelung anzuerkennen mit Ausnahme der Kostenregelung. Insofern legte er hinsichtlich des Kostenausspruchs beim LG einen beschränkten Widerspruch ein. Unter Verweis darauf, dass eine erstmalige Abmahnung aufgrund eines Verstoßes gegen gesetzliche Informations- und Kennzeichnungspflichten im elektronischen Geschäftsverkehr (§ 13 IV Nr. UWG) gegenständlich sei, für den gemäß § 13a II UWG die Vereinbarung einer Vertragsstrafe ausgeschlossen sei, hat er vorgetragen, die nicht strafbewehrte Unterlassungserklärung habe die durch den Verstoß gegen § 4 I 1 PAngV begründete Wiederholungsgefahr entfallen lassen. Mit Blick auf § 14 II 3 Nr. UWG hat er zudem die örtliche Zuständigkeit gerügt und eine mangelnde Dringlichkeit. Dagegen hat der Antragsteller die Auffassung vertreten, § 13 IV UWG sei nicht anzuwenden, weil der Verstoß nur nach Irreführungstatbeständen § 5a II, IV UWG) und nicht § 3a UWG zu beurteilen sei. Das LG Bochum hat mit dem Kosten-Urteil vom 14.03.2023 (I-18 O 25/22) die einstweilige Verfügung im Kostenausspruch aufgehoben und die Kosten dem Antragsteller auferlegt. Das OLG Hamm hat die sofortige Beschwerde des Antragstellers gegen das Kosten-Urteil des LG Bochum zurückgewiesen und die Kosten des Beschwerdeverfahrens dem Antragsteller auferlegt.
Folgen für die Praxis:
Sollten Empfänger einer Abmahnung auf eine solche außergerichtlich reagieren? Die typische Juristen-Antwort lautet: Es kommt darauf an. Das OLG Hamm macht deutlich, dass es sachdienlich sein kann, zeitnah außergerichtlich zu reagieren.
Dass Juristen mit Entscheidungen des OLG Hamm differenziert umgehen sollten, wird diesen bereits vielfach im Referendariat vermittelt.
Im Ergebnis wird zutreffend entschieden, dass der Gegner zur Antragstellung keinen Anlass geboten hat und eine Erledigung des Verfügungsanspruchs durch Anerkenntnis sofort erfolgt ist. Abgestellt wird insofern auf § 93 ZPO.
Die Entscheidung zeigt auf, dass ein Nichtreagieren auf eine berechtigte Abmahnung auch nach dem novellierten Lauterkeitsrecht mit § 13a II UWG nachteilig sein kann, da die Rechtsposition des Unterlassungsschuldners erheblich verschlechtert werden kann. Selbst wenn der Unterlassungsgläubiger unberechtigterweise die Abgabe einer strafbewehrten Unterlassungserklärung verlangen sollte, wäre dem Abgemahnten zu empfehlen, Rechtsrat in Anspruch zu nehmen und zumindest eine einfache Unterlassungserklärung abzugeben. Dann kann eine Berufung auf § 93 ZPO in einem nachfolgenden Gerichtsprozess gelingen.
Für alle Betreiber "digitaler Dienste" ergeben sich Rechts- und Compliance-Anforderungen aufgrund neuer europäischer und nationaler Gesetzgebung.
Die Bundesregierung hat mit dem Digitale-Dienste-Gesetz (DDG) ein Nachfolgegesetz des Telemediengesetzes (TMG) verabschiedet, welches am 14.05.2024 in Kraft getreten ist. Das TMG und der überwiegende Teil des Netzwerkdurchsetzungsgesetzes (NetzDG) gelten damit nicht mehr. Die Regelungsinhalte werden durch die neue europäische und nationale Gesetzgebung abgedeckt durch den Digital Services Act (DSA) und das Digitale-Dienste-Gesetz (DDG).
Das neue DDG hat den Zweck, den europäischen DSA zu ergänzen. Der DSA ist eine in den EU-Mitgliedsstaaten unmittelbar geltende Verordnung, mit der Vorgaben zur Reduzierung rechtswidriger Inhalte im Internet statuiert werden, indem weitreichende Pflichten für Online-Dienste etabliert werden. Der DSA ist von sehr großen Plattformen bereits seit dem 25.08.2023 zu beachten, was die EU-Kommission überwacht. Seit dem 17.02.2024 gilt der DSA auch für alle anderen Betreiber.
Das DDG knüpft an diese Rechtsetzung an und bestimmt die konkrete Umsetzung dieser Pflichten in Deutschland. Dazu gehört, die Befugnis, dass deutsche Aufsichtsbehörden den DSA bei den Unternehmen durchsetzen können. Die Zuständigkeit übernimmt eine unabhängige Koordinierungsstelle für digitale Dienste innerhalb der Bundesnetzagentur (Digital Services Coordinator).Bei Rechtsverstößen können Bußgelder verhängt werden. Möglich ist auch, dass Nutzerinnen und Nutzer Beschwerden unmittelbar an die Behörde richten können.
Mit der Einführung des DDG wurde auch eine weitere Gesetzesänderung vorgenommen: Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) wurde geändert in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Das TDDDG weist im Wesentlichen die gleichen Regelungsinhalte auf wie das bisherige TTSSG. Die Umbenennung erfolgte ebenfalls zur Angleichung des nationalen Rechts an den europäischen DSA. In diesem Zug wurden Begriffsänderungen vorgenommen. Es erfolgte eine Ersetzung des Begriffs "Telemedium" durch die Bezeichnung "digitaler Dienst".
Das TDDDG dient im Wesentlichen der Anpassung unterschiedlicher datenschutzrechtlicher Positionen an die Datenschutzgrund-Verordnung (DSGVO) mit Transformation der ePrivacy-Richtlinie der EU (RiLi 2002/58/EG) in nationales Recht. Im Gegensatz zur DSGVO, welche den Schutz der personenbezogenen Daten intendiert, verfolgt das TDDDG einen technologieneutralen Anwendungsbereich, indem es für jede Form der Datenerhebung durch Endgeräte Geltung beansprucht.
Hinzuweisen ist beim TDDDG insbesondere auf folgende Regelungsinhalte:
Mit dem "digitalen Nachlass" nach § 4 TDDDG werden die Rechte des Erben des Endnutzers und anderer Personen mit vergleichbarer Rechtsstellung bestimmt.
Unzulässige Werbeanrufe und das unerlaubte Unterdrücken einer Rufnummer bei Werbetelefonie werden gemäß §§ 14-16 TDDDG "eingefangen".
Bei Tracking-Tools und Cookies sind zur Erhebung und Speicherung von Daten durch Endeinrichtungen Vorgaben zu beachten, nun auch für Smarthome- und Connected Cars-Systeme. Aufgrund von § 25 TDDDG gilt für Cookies und Tracking-Maßnahmen das Erfordernis der Einwilligung der Nutzer, ebenfalls für Smarthome- und Connected Cars-Systeme.
Mittels des sog. Einwilligungsmanagements gibt es nach § 26 TDDDG Dienste zur Verwaltung der erteilten Einwilligungen ("Personal Information Management System - PIMS"). Hier geht es darum, sog. Cookie Popups zu eliminieren. Dieses Regelungsmodell ist eine große Schwachstelle des Gesetzes. Denn es existieren diverse Arten von einwilligungspflichtigen Vorgängen. Diese können nicht komplett durch eine sog. Einwilligungsverwaltung erfasst werden.
Bewertung von Jordan & Wagner:
Die Regelungsinhalte, insbesondere die Regulierungsvorhaben mit dem DSA durch die EU sind angesichts der im Binnenmarkt und global festzustellenden Entwicklungen im Internet zu begrüßen.
Die nationalen Gesetzesumsetzungen sind überwiegend konsequent, lassen aber auch gesetzestechnische Unschärfen und gesetzgeberische Fragwürdigkeiten erkennen, angefangen mit den Umbenennungen von TMG durch DDG und TTDSG und TDDDG bis zu dem nicht überzeugenden Ansatz beim Einwilligungsmanagement.
Die Autorität des Rechts leidet allein durch die Schaffung "behördlicher Zungenbrecher" und die verwaltungsadministrative "Taufe" bei den Gesetzesbezeichnungen: Das "Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz - TDDDG)" weist nicht nur eine rekordverdächtigen Namen auf, sondern weckt auch bei der amtlichen Abkürzung TDDDG "kafkaeske Assoziationen" an Science Fiction , KI und Robotertechnik, wenn man die drei D's im Gesetzesnamen "T3DG" aussprechen möchte. Eine phonetische Nähe zu "C3PO" ist dann nicht zu verneinen.
Handlungsempfehlung für Unternehmen und die öffentliche Hand:
Websites, Webshops und Apps sollten vom Betreiber überprüft und aktualisiert werden. Beim Betrieb von Websites ist zu beachten, dass die Impressumspflicht (bislang gemäß § 5 TMG) nun in § 5 DDG geregelt ist. Es wird empfohlen, im Impressum die Bezeichnung des TMG durch das DDG zu ersetzen. Da bei dem Gesetzesinhalt nur eine redaktionelle Änderung vorliegt, sind ansonsten keine internet- und wettbewerbsrechtlich relevanten Zusatzpflichten entstanden.
Hinsichtlich der Änderung des TTDSG zum TDDDG ist zu beachten, dass insbesondere in der jeweiligen Datenschutzerklärung eines digitalen Dienstes sowie in Cookie-Richtlinien nicht mehr von TTDSG die Rede ist, da es dieses Gesetz nicht mehr gibt. Gerade die „Schnittstellen“ von Webdesign, Marketing, Vertrieb und Datenschutzmanagement bei der Implementierung von Softwaretools sollten inhaltlich und bezüglich der technischen und rechtlichen Folgen im Dialog mit dem Datenschutzbeauftragten sichergestellt werden.
Ihre Ansprechpartner:
Dr. Thomas A. Degen, Rechtsanwalt, Fachanwalt für IT-Recht, Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV), Lehrbeauftragter an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW)
Mathias Lang LL.M., Rechtsanwalt, Fachanwalt für IT-Recht, Master of Laws (LL.M.) Informationsrecht
Dr. Arnd-Christian-Kulow, Rechtsanwalt, Zertifizierter Datenschutzbeauftragter - DSB (TÜV-SÜD), Zertifizierter Auditor für Datenschutz - DSA TÜV-SÜD), Zertifizierter Beauftragter für QM nach DIN EN ISO 9001:2015 (QM-B) (TÜV SÜD)
Marcia Iosini LL.M., Rechtsanwältin
Tilo Schindele, Rechtsanwalt, Lehrbeauftragter an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW)
Veranstalter: Ministerium der Finanzen und für Wissenschaft des Saarlandes, Staatssekretär Wolfgang Förster, und Universität des Saarlandes, Univ.-Prof. Dr. Annemarie Matusche-Beckmann, Lehrstuhl für Bürgerliches Recht,deutsches und europäisches Handels- und Wirtschaftsrecht sowie Privatversicherungsrecht
Auszug aus dem Programm:
- Einführung zu den Haftungsrisiken von Aufsichtsräten öffentlicher Unternehmen
- Das neue Lieferkettensorgfaltspflichtengesetz – Umsetzung in der Unternehmenspraxis
- Konsequenzen des AI-Act der Europäischen Union für öffentliche Unternehmen
- Compliance und Nachhaltigkeit
- Cybercrime – rechtliche Konsequenzen für das operative und kontrollierende Management – Warum IT-Compliance Sinn macht (Jordan & Wagner RA GmbH)
Auszug aus dem Programmflyer:
"Compliance
Die Sicherstellung der Einhaltung geltender Gesetze und Normen hat in der privaten Wirtschaft einen festen Stellenwert, nicht zuletzt weil Regelverstöße Schadensersatzansprüche, hohe Bußgelder und zuweilen auch Strafen nach sich ziehen können. Die Notwendigkeit einer strategischen Herangehensweise an das Thema Compliance ist umso drängender, wenn Unternehmen in öffentlicher Hand stehen oder handelnde Personen öffentliche Positionen bekleiden. Denn dann ist das Vertrauen in das Handeln öffentlicher Stellen berührt, an die besonders hohe Integritätsanforderungen gestellt werden. Demzufolge schlagen hier etwaige Gesetzes- und Normverstöße besonders hohe Wellen, die enorme Image- und Vertrauensschäden verursachen.
Vor diesem Hintergrund veranstaltet das Ministerium der Finanzen und für Wissenschaft in Kooperation mit dem Lehrstuhl für Bürgerliches Recht, deutsches und europäisches Handels- und Wirtschaftsrecht sowie Privatversicherungsrecht der Universität des Saarlandes in regelmäßigen Abständen Tagungen zum Thema „Compliance im öffentlichen Unternehmen“. Nach einer Einführung in das Thema kommen Stimmen aus der Praxis zu Wort, und es besteht die Möglichkeit eines intensiven Austauschs. Dabei sollen bei der aktuellen Veranstaltung gezielt Fragen zu Haftungsrisiken von Aufsichtsräten öffentlicher Unternehmen und hiermit einhergehende, aktuelle Compliance-rechtliche Fragestellungen behandelt werden."
Zu den zusätzlichen Herausforderungen im internationalen Handel gehört die Exportkontrolle. Das Thema ist nicht neu, durch die aktuellen geopolitischen Entwicklungen aber mittlerweile Chefsache, zu Recht.
Die für Unternehmen wichtigen neuen Rechtsrahmen stellen wir kurz mit den wichtigsten Inhalten in Tabellenform vor (Inkraft? / Regelungsinhalt? / Betrifft?):
Mit Beratungs- und Prozessfokus auf IT und Wirtschaftsrecht und langjähriger Erfahrung im individuellen und kollektivem Arbeitsrecht, wie Mitbestimmungsrecht und Outsourcing, verstärkt Rechtsanwalt Tilo Schindele das Stuttgarter Team von Jordan & Wagner rund um IT, Datenschutz, Vertriebs- und Wirtschaftsrecht. Eine ideale Ergänzung besteht im Arbeitsrecht, rund um Digitalisierungsprojekte und Social Media, beim Datenschutzmanagement und bei internationalen Cross-border-Projekten, da Tilo Schindele seine langjährige Praxiserfahrung in den Bereichen Contract & Claim Management, Exportkontrolle (national / EU / USA), Cloud Computing und Software-Erstellung einbringt. Er berät und vertritt internationale Unternehmen, Behörden und Privatpersonen und steht auch als externer Datenschutzbeauftragter zur Verfügung.
Seine Expertise zeigt Tilo Schindele auch als Lehrbeauftragter an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW) für Arbeitsrecht, Handels- und Gesellschaftsrecht sowie für Internationales Vertragsrecht, Dozent an Weiterbildungseinrichtungen der Erwachsenenbildung im Arbeitsrecht und Dozent beim W.A.F. Dank langjähriger Erfahrung auch als Syndikusanwalt bei einem deutschen IT-Großunternehmen sowie Verbandsarbeit ist Rechtsanwalt Tilo Schindele mit den branchentypischen Praxisanforderungen von Industrie- und KMU im Handels- und Dienstleistungssektor bestens vertraut.
„Ich trete für valide Strukturen, rechtliche und wirtschaftliche Erfolge ein. Industrie 4.0 und KI verlangen klare Lösungskonzepte und Statements zu Arbeit, IT und Datenschutz. Mit Peter Wagner, Thomas Degen, Hanns-Georg-Pipping, Marcia Iosini, Mathias Lang, Arnd-Christian Kulow, Isabel Ledig-Sturm und allen interdisziplinären Teamplayern freue ich mich, konstruktiv wirken zu können und auf spannende Herausforderungen.“
Die Schwerpunkte der Beratung und Prozessführung und Vita von Tilo Schindele sowie weiteren Informationen sind hier abrufbar.
Wie werden die EU-Whistleblowing-Richtlinie und das Hinweisgeberschutzgesetz rechtssicher umgesetzt?
Was ist das Ziel des Hinweisgeberschutzes?
Aufdecken und Unterbinden von (Gesetzes-)Verstößen,
Schutz der Identität von hinweisgebenden Personen,
Schutz der hinweisgebenden Personen vor Repressalien, Disziplinarmaßnahmen, Kündigung, Versetzung, Karrierenachteilen
Beweislastumkehr zugunsten der Hinweisgeber in gerichtlichen Verfahren
Regelung von Schadensersatzansprüchen
Sanktionierung von Verstößen als Ordnungswidrigkeiten mit Geldbuße
Das Hinweisgeberschutzgesetz (HinSchG) ist zum 02.07.2023 in Kraft getreten und soll sicherstellen, dass Personen, die Verstöße gegen das Recht oder sonstige Missstände am Arbeitsplatz melden, einen angemessenen Schutz genießen. Viele potentielle Hinweisgeber, sog. „Whistleblower“, schreckten in der Vergangenheit aus Angst vor Repressalien häufig davor zurück, ihre Bedenken oder ihren Verdacht zu melden, wenn sie im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben. Das Gesetz verfolgt das Ziel, die Motivation zur Meldung von Verfehlungen zu stärken und die Rechenschaftspflicht in staatlichen und privaten Institutionen zu fördern. Die Hinweisgeber sollen geschützt werden, wenn sie aufgetretene Verstöße an die eigens hierfür eingerichtete Stellen melden wollen, indem sie bei ihrer Meldung und insbesondere auch danach noch geschützt werden. Diese Schutzmaßnahmen umfassen unter anderem die Anonymität der Hinweisgeber, den Schutz vor Benachteiligungen am Arbeitsplatz sowie die Möglichkeit, sich an spezialisierte Stellen zu wenden, welche die Meldungen professionell behandeln.
Ass. Iur. Kristina Sučić und Ombudsmann Dr. Thomas A. Degen fassen in dem Beitrag "Das Hinweisgeberschutzgesetz: Transparenz, Schutz, Verantwortung – Ein Überblick" in der Zeitschrift für die staatliche und kommunale Verwaltung apf des Boorberg Verlags (1/2024, S. 7 ff.) die wichtigsten Aspekte der neuen Rechtslage zusammen. Thematisiert werden der Geltungsbereich des HinSchG, interne und externe Meldestellen, der Schutz des Hinweisgebers und praxisrelevante Abläufe und Beispiele.
Welche Unternehmen müssen umsetzen?
Seit 02.07.2023:
Unternehmen mit mehr als 250 Mitarbeitern
Unternehmen aus bestimmten Branchen schon ab 1 Mitarbeiter, z. B. Finanzdienstleistungen (vgl. § 12 Abs. 3 HinSchG)
Öffentliche Arbeitgeber mit mehr als 50 Mitarbeitern
Seit 17.12.2023:
alle Unternehmen mit mehr als 50 Mitarbeitern.
Umsetzungsempfehlung: Mit einer externen Ombudsperson können Unternehmen die Vorgaben rechtssicher und unkompliziert umsetzen.
