Ausufernde Überwachung und Leistungskontrollen von Arbeitnehmern aufgrund des Einsatzes von Produkten US-amerikanischer IT-Konzerne führen auch in Deutschland immer mehr und mehr zu rechtswidrigen Einschränkungen der Arbeitnehmerrechte und Verletzung geltender Datenschutzvorgaben.

Während Microsoft frühzeitig auf Bedenken gegen bedenkliche Funktionen bei Office 365 reagiert, beanstanden Behörden den Einsatz einer bestimmten Software bei Amazon. Microsoft hatte sein Softwarepaket „Microsoft 365“ in einem Update um eine zusätzliche Analyse-Funktion namens „Workspace Analytics“ erweitert. Damit ließ sich ein sogenannter Productivity-Score, also ein Produktivitätswert für einzelne Mitarbeiter errechnen. In diesen Wert fließen etwa Angaben dazu ein, wie viele E-Mails oder Messenger Nachrichten die einzelnen Mitarbeiter täglich verschicken oder wie oft die Dateien in der Microsoft Cloud speichern oder diese Daten mit externen Personen teilen. Auch technische Details, wie etwa zur Nutzung von langsameren konventionellen Festplatten anstelle der schnelleren SSD. Auch Daten zur Zeitdauer der Aktivierung von Webcams während Videokonferenzen werden hier erfasst.

Nach Intervention von Datenschützern ruderte Microsoft allerdings zurück und besserte das Update entsprechend nach. Den Productivity-Score wird es danach nur noch in zusammengefasster Form auf Unternehmensebene geben, sodass keine direkten Rückschlüsse auf einzelne Arbeitnehmer mehr möglich sein werden.

Anders allerdings die Reaktion von Amazon. Hier hat der niedersächsische Datenschutzbeauftragte den Einsatz einer umstrittenen Überwachung-bzw. Leistungskontrollsoftware Amazon ausdrücklich untersagt.

Mithilfe der Software wird jeder Scanvorgang, den die Mitarbeiter beim Einlagern oder Entnehmen von Produkten durchführen, automatisch auch auf die Geräte der Vorarbeiter übertragen und dort angezeigt. Diese können darüber also jeden einzelnen Arbeitsschritt in Echtzeit überwachen und erkennen beispielsweise direkt, wenn ein Mitarbeiter einmal seinen gewohnten Arbeitsrhythmus kurz unterbricht. Diese umfassenden Daten werden auch dazu genutzt, um detaillierte Profile der Mitarbeiter anzulegen. Amazon sieht in dem Einsatz der Leistungsüberwachungsoftware überhaupt kein Problem und wird den Bescheid der Behörde nicht akzeptieren.

Diese Rechtsauffassung entspricht meiner Meinung nach nicht den grundsätzlichen gesetzlichen Vorlagen der DSGVO. Eine beim Einsatz dieser Software nach Art. 35 DSGVO erforderliche Datenschutzfolgenabschätzung würde dieses sicherlich bestätigen. Danach sind nämlich die Notwendigkeit und Verhältnismäßigkeit des Einsatzes dieser Software in Bezug auf den Zweck, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten. Diese Software kommt somit einer Totalüberwachung gleich, die sicherlich dem Grundgedanken des Art. 1 Grundgesetzes, und damit einem wesentlichen Aspekt des Kerns des Grundrechts auf informationelle Selbstbestimmung, widerspricht.

im Hinblick auf Sicherheit und Haftung der EU-Kommission an das Europäische Parlament, den Rat und den europäischen Wirtschafts- und Sozialausschuss vom 19.2.2020

Dieser Bericht wurde zusammen mit dem Weißbuch zur künstlichen Intelligenz – ein europäisches Konzept für Exzellenz und Vertrauen – am 19.2.2020 von der EU-Kommission veröffentlicht. In diesem Bericht wird der einschlägige, gegenwärtige Rechtsrahmen in der EU analysiert. Dabei wird der Frage nachgegangen, wo es Unsicherheiten hinsichtlich der Anwendung dieses Rechtsrahmens wegen der spezifischen Risiken gibt, die von KI-Systemen und anderen Technologien ausgehen. Der Bericht kommt zu dem Schluss, dass die geltenden Produktsicherheitsvorschriften bereits ein erweitertes Konzept des Schutzes von allen Arten von Risiken, die von dem Produkt je nach seiner Verwendung ausgehen, unterstützen. Um größere Rechtssicherheit zu schaffen, könnten jedoch Bestimmungen aufgenommen werden, die sich ausdrücklich auf neuere Risiken im Zusammenhang mit den neuen digitalen Technologien beziehen. Zusammenfassend könnte man sagen, dass der Bericht einen Ausblick über die zu erwartenden gesetzlichen Regelungen auf EU-Ebene für die nächsten Jahre im Bereich KI-Systeme und dort insbesondere hinsichtlich der damit verbundenen Sicherheits- und Haftungsfragen gibt. Der Bericht unterscheidet hier zwischen zwei wesentlichen Regelungsbereichen, den Produktsicherheitsvorschriften und den Fragen nach den bestehenden Haftungsrahmen für die digitalen Technologien.

  1. Produktsicherheitsvorschriften
    Der Bericht kommt zwar zu dem Schluss das geltende Produktsicherheitsvorschriften bereits ein erweitertes Konzept des Schutzes vor allen Arten von Risiken, die von einem Produkt je nach seiner Verwendung ausgehen, unterstützen. Um eine größere Rechtssicherheit zu schaffen, könnten jedoch Bestimmungen aufgenommen werden, die sich ausdrücklich auf neue Risiken im Zusammenhang mit den neuen digitalen Technologien beziehen.
    1. Das autonome Verhalten bestimmter KI-Systeme während ihres Lebenszyklus kann zu erheblichen sicherheitsrelevanten Änderungen der Produkte führen, die eine neue Risikobewertung erforderlich machen können. Darüber hinaus kann es nötig sein, als Schutzmaßnahme die Kontrolle durch die Menschen ab der Phase der Auslegung während des gesamten Lebenszyklus der KI-Produkte und-Systeme vorzusehen.
    2. Explizite Verpflichtungen für Hersteller könnten gegebenenfalls auch in Bezug auf psychische Sicherheitsrisiken für Anwender in Erwägung gezogen werden (zum Beispiel bei Zusammenarbeit mit humanoiden Robotern).
    3. Die Produktsicherheitsvorschriften der Union könnten sowohl spezifische Anforderung vorsehen, um die Sicherheitsrisiken auszuräumen, die von fehlerhaften Daten in der Phase der Auslegung ausgehen als auch Mechanismen, mit denen sichergestellt wird, dass die Qualität der Daten während der gesamten Nutzung der KI-Produkte und-Systeme aufrechterhalten wird.
    4. Die Frage der Opazität- also der Möglichkeit durch selbstgesteuertes Lernen und selbstgesteuerter Leistungsverbesserung einiger KI-Produkte – von auf Algorithmen basierenden Systemen könnte durch die Festlegung von Transparenzanforderungen angegangen werden.
    5. Im Falle eigenständiger Software, die als solche in Verkehr gebracht wird oder nach dem Inverkehrbringen in ein Produkt heruntergeladen wird, müssen die bestehenden Vorschriften möglicherweise angepasst und präzisiert werden, wenn die Software sicherheitsrelevante Auswirkungen hat.
    6. Angesichts der zunehmenden Komplexität der Lieferketten bei neuen Technologien könnten auch Bestimmungen, die eine Zusammenarbeit zwischen den Wirtschaftsteilnehmern in der Lieferkette und den Nutzern verbindlich vorschreiben, zu Rechtssicherheit beitragen.

  2. Haftungsvorschriften
    Die Merkmale neuer digitaler Technologien wie KI können bestimmte Aspekte der bestehenden Haftungsrahmen infrage stellen und deren Wirksamkeit verringern. Aufgrund mancher dieser Eigenschaften könnte es schwierig werden, den Schaden zu einer Person zurückzuverfolgen, was nach den meisten nationalen Vorschriften erforderlich wäre, um verschuldensunabhängige Ansprüche geltend zu machen. Dies könnte die Kosten für die Geschädigten erheblich erhöhen und dazu führen, dass Haftungsansprüche gegenüber anderen Akteuren als den Herstellern schwer geltend zu machen oder zu belegen sind.
    1. Personen, die infolge der Nutzung von KI-System ein Schaden erlitten haben müssen, das gleiche Schutzniveau genießen wie Personen, die durch andere Technologien geschädigt wurden. Gleichzeitig muss genug Raum für die Weiterentwicklung technologischer Innovation bleiben.
    2. Alle Optionen, die zur Erreichung dieses Ziels ins Auge gefasst werden – einschließlich möglicher Änderung der Produkthaftungsrichtlinie und einer etwaigen weiteren gezielten Harmonisierung der nationalen Haftungsvorschriften – sollten sorgfältig geprüft werden. So bittet die Kommission beispielsweise um Stellungnahme zu der Frage, ob und in welchem Umfang es erforderlich sein könnte, die Folgen der Komplexität abzumildern, in dem für Schäden, die durch den Betrieb von KI-Anwendungen verursacht werden, die in den nationalen Handlungsvorschriften vorgesehenen Beweislastregeln geändert werden.
    3. Angesichts der vorstehenden Ausführungen zum Haftungsrahmen kommt die Kommission zu dem Schluss, dass – zusätzlich zu den möglichen Anpassung dieser bestehenden Rechtsvorschriften – möglicherweise neue, speziell auf KI ausgerichtete Rechtsvorschriften erforderlich sind, um den Rechtsrahmen der EU an die derzeitigen und erwarteten technologischen und kommerziellen Entwicklung anzupassen.

    Als mögliche zusätzliche Regulierungspunkte werden in dem Weißbuch folgende Bereiche genannt:
    • Eine klare rechtliche Definition von KI
      Hier sollte man einen risikobasierten Ansatz verfolgen, d. h., dass es KI-Anwendungen mit hohem bzw. nur geringem Risiko geben sollte. Hierbei sollte man die regulatorischen Bestrebungen auf diejenigen Anwendungen konzentrieren mit hohem Risiko, um den Aufwand für KMU nicht unverhältnismäßig hoch zu verursachen.
      Kriterien für die Risikoklasse sollte sein die Frage ob die KI Anwendung in einem Sektor eingesetzt wird, in dem aufgrund der Art der typischen Tätigkeiten mit erheblichen Risiken zu rechnen ist. Zweites Kriterium ist, ob die KI-Anwendung in dem betreffenden Sektor so eingesetzt wird das mit erheblichen Risiken zu rechnen ist.
    • Schlüsselmerkmale
      Die Anforderungen an KI-Anwendungen mit hohem Risiko kann sich dabei auf folgende Schlüsselmerkmale beziehen: Trainingsdaten, Aufbewahrung von Daten und Aufzeichnungen, Vorzulegende Information, Robustheit und Genauigkeit, menschliche Aufsicht, besondere Anforderungen an bestimmte KI-Anwendungen, zum Beispiel Anwendungen für die biometrische Fernidentifikation.
    • Adressaten
      Im Lebenszyklus eines KI-Systems sind viele Akteure beteiligt. Hierzu gehört der Entwickler, der Betreiber und möglicherweise weitere Akteure wie Hersteller, Händler Importeur, Dienstleister, professioneller oder privater Nutzer. Nach Auffassung der Kommission sollten in einem künftigen Rechtsrahmen die einzelnen Verpflichtungen jeweils dem Akteur/den Akteuren obliegen, die am besten in der Lage sind, potenzielle Risiken zu bewältigen. So wären möglicherweise die Entwickler von KI am besten in der Lage, den Risiken zu begegnen, die sich aus der Entwicklungsphase ergeben, während ihre Fähigkeit die Risiken in der Nutzungsphase zu kontrollieren, eher eingeschränkt wäre. Nach Ansicht der Kommission ist es von entscheidender Bedeutung, dass die Auflagen für alle einschlägigen Wirtschaftsteilnehmern gelten, die KI-gestützte Produkte oder Dienstleistungen in der EU anbieten, unabhängig davon, ob sie in der EU niedergelassen sind oder nicht.
    • Einhaltung und Durchsetzung
      angesichts des hohen Risikos, dass bestimmte KI-Anwendungen insgesamt darstellen, ist die Kommission zum gegenwärtigen Zeitpunkt der Auffassung, dass eine objektive vorab vorzunehmende Konformitätsbewertung erforderlich wäre, um zu überprüfen und sicherzustellen, dass bestimmte der oben genannten obligatorischen Auflagen für Anwendungen mit hohem Risiko erfüllt sind. Eine vorab vorzunehmende Konformitätsbewertung könnte Verfahren für die Prüfung, Inspektion oder Zertifizierung umfassen. Dies könnte eine Überprüfung der Algorithmen und der in der Entwicklungsphase verwendeten Datensätze beinhalten.

      a) Governance
      eine europäische Governance-Struktur für KI in Form eines Rahmens für die Zusammenarbeit der zuständigen nationalen Behörden ist notwendig, um eine Aufsplitterung der Zuständigkeiten zu vermeiden, die Kapazitäten in den Mitgliedstaaten auszubauen und sicherzustellen, dass Europa sich schrittweise mit der für die Prüfung und Zertifizierung von KI-gestützten Produkten und Dienstleistungen erforderlichen Kapazitäten ausstattet.
  1. Fazit
    Wenn auch die von der EU-Kommission im Weißbuch und im Bericht über die Auswirkung Auswirkungen künstlicher Intelligenz gemachten Überlegungen über Anpassung der rechtlichen national unterschiedlichen vorhandenen Regelungen hinsichtlich künstlicher Intelligenz noch in einem sehr unkonkreten Stadium und sich noch mitten in der politischen Diskussion befinden, so kann man doch folgendes festhalten:
    1. Mit einer angepassten bzw. ergänzenden gesetzlichen Regelung auf EU-Ebene hinsichtlich der Fragen der Produktsicherheit (also Markt-Zugangsvoraussetzungen) als auch hinsichtlich der Neuordnung der haftungsrechtlichen Fragen im Zusammenhang mit KI-Systemen kann mit einiger Sicherheit im Laufe der nächsten Jahre ausgegangen werden.
    2. Gerade KI-Anbieter sollten sich hier darauf einstellen, dass der Algorithmus transparenter, überprüfbarer und schließlich auch gewissen Zertifizierungsansprüchen genügen muss. Daneben ist sicherlich eine erweiterte Haftung und damit Verantwortlichkeit des KI-Anbieters die über das bisher bekannte Maß einer Produkthaftung hinausgeht, zum Beispiel auch im Hinblick einer Verantwortung für Lieferketten und komplexe Produkte, zu rechnen. Im Ergebnis wird dies nur mit geänderten, transparenteren Entwicklungsprozessen und einer erweiterten Verantwortlichkeit, sprich einem erheblich höheren Aufwand für den entsprechenden Versicherungsschutz, verbunden sein.

Am 9. Dezember 2020 beabsichtigt die EU-Kommission die Bekanntgabe einer Reihe neuer geplanter wettbewerbsrechtlicher und kartellrechtlicher Regelungen zur besseren Kontrolle von Technologie-Konzernen, insbesondere den großen Internetplattformen.

Auch der EU-Rechnungshof fordert eindringlich in einem am 19.11.2020 veröffentlichen Bericht die Verbesserung entsprechender EU-Regelungen. Insbesondere kritisiert der Bericht, dass es zwei kartellrechtliche Verfahren gegen Internetplattformen nach gegenwärtigem Recht schon gibt, die Durchsetzung hier aber sehr zu wünschen übriglässt.

Zwar hat die EU-Kommission ein Kartellrechtverfahren gegen Google eröffnet, dieses ist aber jetzt bereits seit mehr als 3 Jahren ohne eine Entscheidung beim europäischen Gerichtshof anhängig.

Bereits vor paar Wochen wurden die Inhalte der geplanten neuen EU-Regelungen – dem sogenannten Digital Services Act- geleakt, sodass ich im Folgenden gern eine kurze Auflistung der beabsichtigten Regelungen geben möchte.

1. Exklusive Datennutzung

Großen Onlineplattformen könnte es unter dem Digital Services Act der EU verboten werden, gesammelte Userdaten zu verwenden, wenn diese nicht auch kleineren Plattform zur Verfügung gestellt werden. Hierbei wird insbesondere auf die Aktivitäten der sogenannten „Gatekeeper“ Plattformen wie Google, Amazon und Facebook eingegangen. Diese Großkonzerne haben ein unverhältnismäßig hohes Maß an wirtschaftlicher Macht und Kontrolle über die Online-Welt und können somit „am Eingangstor“ mitentscheiden, wer auf den Markt eintreten darf.

Nach der neuen Regulierung dürfen Gatekeeper die Daten,

  • welche auf der Plattform selbst
  • oder auf anderen Diensten der Geldgeber erzeugt und gesammelt werden
    nur dann für ihre eigenen kommerziellen Zwecke verwenden, wenn diese Daten auch anderen gewerblichen Nutzern zugänglich gemacht werden.

2. Rankings

Ferner soll es Online-Suchmaschinen verboten werden können ihre eigenen Dienste bevorzugt und an exponierter Stelle anzuzeigen. Diese Regelung stellt eine erhebliche Verschärfung der bisherigen Verordnung der EU aus dem Juli 2019 dar. In dieser waren Suchmaschinen lediglich verpflichtet transparent und deutlich zu machen, wenn sie ihre eigenen Produkte und Dienstleistungen bevorzugt behandeln.

3. Wahlfreiheit und Vorinstallation

Ebenso soll es den E-Commerce Giganten in Zukunft verboten werden die Möglichkeit der geschäftlichen Nutzer einzuschränken, den Verbrauchern dieselben Waren und Dienstleistungen unter anderen Bedingungen über andere Online-Vermittlungsdienste anzubieten. Ebenso soll es verboten sein, dass große Unternehmen  ausschließlich ihre eigenen Apps auf Hardwaresystemen vorinstallieren. Ebenso muss es möglich sein vom Hersteller bereits vorinstallierte Anwendungen durch den Verbraucher deinstallieren zu können.

4. Einführung einer sogenannten „Grauen Liste“

Ferner beabsichtigt die EU-Kommission die Einführung einer sogenannten „Grauen Liste“ von Aktivitäten, die die Exekutive als unfair erachtet und die daher zukünftig möglicherweise einer verstärkten Aufsicht durch eine zuständige Behörde benötigen. Demnach wäre es den Plattformgiganten nicht erlaubt, Drittanbieter am Zugang zu wesentlichen Informationen über Kunden zu hindern, und sie würden angewiesen keine persönlichen Daten zu sammeln die über das hinausgehen, was für die Erbringung ihrer Dienstleistung notwendig ist.


Im Ergebnis bleibt abzuwarten in welcher konkreten Ausgestaltung die EU-Kommission diese Regelungen jetzt im Dezember 2020 vorstellen wird. Es ist aber sicherlich damit zu rechnen, dass durch intensive Lobbyarbeit der großen Internetkonzerne, wie auch bereits mehrfach in der Vergangenheit geschehen, hier bis zur endgültigen Verabschiedung wir noch einiges an Veränderung und öffentliche Diskussion sehen werden. Es bleibt  -wie so oft im Leben- also weiterhin spannend.

Was steckt dahinter?

In einem Beschluss hat der BGH die Verhängung eines Bußgeldes durch das Bundeskartellamt gegen Facebook bestätigt. Obwohl der Beschluss des BGH nun schon über zwei Monate zurückliegt, möchte ich das Thema hier dennoch erneut aufgreifen und auf zwei Probleme, die in dieser Entscheidung deutlich werden, aufmerksam machen.

1. Problem

Zuerst bleibt festzuhalten, dass diese Entscheidung im Augenblick keinerlei Rechtswirkungen für den Alltag und für das Verhalten in und mit Facebook bewirken wird.

Dieses ist einfach dem Umstand geschuldet, dass es sich bei dem Beschluss um einen Beschluss in einem Eilverfahren handelt. In diesem Eilverfahren entschied das Gericht über eine im Jahre 2019 durch das Bundeskartellamt gegenüber Facebook erlassene Bußgeldentscheidung.

Hier ist auch schon der erste Kritikpunkt: Die zeitliche Dauer des Eilverfahrens!

Vor Erlass des Bußgeldbescheides hatte das Kartellamt bereits 3 Jahre ermittelt. Dieses sogenannte Eilverfahren hat somit bis zu seiner Rechtskraft mehr als 4 Jahre gedauert!

Dies erscheint äußerst problematisch gerade in Streitfällen mit Bezug zur Digitalwirtschaft, weil sich die wirtschaftliche Macht auf digitalen Märkten schnell verfestigt.

Facebook wiederum hat nun die Möglichkeit im Hauptsacheverfahren die Entscheidung noch einmal intensiv überprüfen zu lassen. Möglicherweise wird in dem Verfahren der BGH auch noch einer Stellungnahme des europäischen Gerichtshofs einholen, was wiederum ein jahrelanges Hauptsacheverfahren bedeuten würde.

Hier ist zweifellos der Gesetzgeber aufgerufen für einen effektiven Rechtsschutz Sorge zu tragen!

2. Problem:

Der zweite wichtige Aspekt dieser Entscheidung ist, dass der BGH nicht die inhaltliche Begründung der marktbeherrschenden Stellung von Facebook -wie im ursprünglichen Bescheid des Bundeskartellamts – übernommen hat. Der BGH hat gerade nicht auf einen Verstoß gegen die DSGVO als Kartellrechtsverstoß als Grund für seine Entscheidung genannt, sondern die AGB’ s von Facebook als kartellrechtlich bedenklich eingestuft.

Damit vermeidet der BGH eine inhaltliche Entscheidung hinsichtlich der Frage, ob ein Verstoß gegen die DSGVO grundsätzlich einen Tatbestand einer Kartellrechtsverletzung erfüllen kann. Früher oder später wird der BGH sich einer Stellungnahme zu dieser Frage nicht verschließen können. Denn dabei ist der Kern des Problems, dass die DSGVO das Grundrecht auf informationelle Selbstbestimmung nicht gegen einen zu übergriffigen Staat, sondern gegen die wirtschaftlichen Interessen der international sehr gut aufgestellten Internetplattformen schützen will! Deren Geschäftsmodell besteht nämlich genau darin, durch die intelligente Ausnutzung personenbezogener Daten ihre Umsätze zu generieren.

Zusammenfassend lässt sich also sagen:

Da wir uns erst zu Beginn der intensiven höchstrichterlichen Klärung von Rechtsfragen zur Anwendung und Reichweite der DSGVO befinden, wird sich auch der BGH hier früher oder später klar positionieren müssen! Im Kern geht es dabei um die Frage, ob das dem öffentlichen Verfassungsrecht zugehörige Feld des Grundrechtsschutzes auch im privatwirtschaftlichen, zivilrechtlichen Bereich unmittelbare Anwendung auf die Rechtsbeziehungen zu den Internetplattformen Anwendung findet.

Mit seinem aktuellen Urteil erklärt der EuGH das Privacy-Shield -Abkommen für unwirksam. Im Wesentlichen begründet er dies mit den US-Sicherheitsgesetzen, die den Behörden weitreichende Zugriffsmöglichkeiten ohne nennenswerte Einschränkungen auf Daten von EU-Bürgern einräumen, ohne dass eine gerichtliche Kontrolle möglich ist.

Gleichzeitig entschied der EuGH auch über die Standard-Datenschutzklauseln, mit denen ein Datenimporteur im Drittland gegenüber einem europäischen Unternehmen vertraglich zusichert, dorthin übermittelte Daten nach EU-Datenschutzstandards zu verarbeiten.

Diese sollen grundsätzlich weiterhin gültig sein, sofern es dem Datenempfänger nach den Gesetzen des Ziellandes möglich ist, diese Datenschutzklauseln auch einzuhalten. Da in den USA die Firmen gesetzlich verpflichtet sind, staatlichen Behörden gegenüber weitreichend ihre Daten zur Verfügung zu stellen, seien die europäischen Datenschutzbehörden verpflichtet, die auf diese Datenschutzklauseln gestützte Übermittlung dann in solchen Ländern auszusetzen oder zu verbieten.

Dieses Urteil hat erhebliche praktische Auswirkungen auf den internationalen Datenaustausch!

Datentransfers in die USA sind ab sofort datenschutzwidrig, wenn sie ausschließlich auf Grundlage einer Privacy Shield- Zertifizierung erfolgen. Erfasst sind nicht nur Übermittlungen an Auftragsverarbeiter, also Cloud-Dienstanbieter, sondern auch solche innerhalb eines Konzerns oder an Geschäftspartner, bei denen zumindest ein Teil der Datenverarbeitung in den USA erbracht wird.

Sowohl der Einsatz von Software-Tools, bei denen zumindest ein Teil der Datenverarbeitung in den USA stattfindet, als auch die konzerninternen Datenflüsse an US-Konzernunternehmen müssen überprüft werden.

Der EuGH deutet an, dass dies in den USA aufgrund der unkontrollierten Überwachungsbefugnisse der Sicherheitsbehörden kein angemessenes Schutzniveau besteht.

Zulässig bleibt allein eine Übermittlung, die zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen mit dem Betroffenen erforderlich ist. Die Kommunikation mit amerikanischen Kunden oder Hotelbuchungen in den USA sind weiter zulässig.

Ebenso nicht unmittelbar betroffen ist die Nutzung von US-Dienstleistern, wenn die Leistungserbringung vollständig in europäischen Rechenzentren erfolgt. Dies ist zum Beispiel bei großen Hosting- und Cloud-Anbietern (z.B. Amazon Cloud) aus den USA mittlerweile der Fall, da sie über Serverstandorte in Europa verfügen.

In der Praxis bleibt somit zunächst nur der Weg über den Einsatz von Standarddatenschutzklauseln, welche für eine gewisse Rechtssicherheit Sorge tragen. Daneben bleibt aber sicherlich die große Unsicherheit hinsichtlich der zusätzlich nach wie vor erforderlichen Prüfung des Datenschutzniveaus im Land des Datenempfängers.

Es bleibt also abzuwarten, wie sich weitere Datenschutzbehörden in Deutschland und der EU zur Frage des rechtskonformen Einsatzes von Standardvertragsklauseln bei Datentransfers in die USA positionieren. Denkbar wäre ein erneuter Versuch einer Nachfolgeregelung des Privacy Shield zu etablieren.

Dieses Abkommen müsste aber deutliche Beschränkungen der amerikanischen Sicherheitsgesetze und Ausweitung der Rechtsschutzmöglichkeiten für EU-Bürger umfassen. Dies scheint wenig aussichtsreich. Die USA werden ihre Sicherheitsgesetze nicht wegen Datenschutzbedenken der EU ändern!

Im Ergebnis bleibt es in der Praxis einem zunächst nichts anderes übrig als das weitere Vorgehen der EU-Kommission und Empfehlungen der Datenschutzaufsichtsbehörden abzuwarten. Entsprechende Ankündigungen wurden sowohl von der EU-Kommission, sowie vom europäischen Datenschutzausschuss (EDSA) bereits getätigt. Also, leider wie so oft abwarten…

Twitter war dazu übergegangen Fake- News und falsche Behauptungen in seinen veröffentlichten Tweets zu kennzeichnen. Damit wollte Twitter klar machen, dass Twitter den Wahrheitsgehalt des Inhalts anzweifelt.

Dies hat man auch beim erfolgreichen Twitterer Donald J. Trump mit mehr als 85,5 Millionen Followern getan. Er sah darin direkt eine Zensur seiner Meinungsäußerung und drohte die bisherige Haftungsfreiheit für rechtwidrige Inhalte auf den Plattformen abzuschaffen.

Dieses Vorgehen hätte fatale Auswirkungen und wäre eine dramatische Verschlechterung der Rechtsposition der Internetplattformen. Denn sollten diese tatsächlich für rechtswidrige Inhalte Ihrer Nutzer selbst haften, dann wäre durch die Änderung der Geschäftsmodelle und Einführung von Uploadfiltern eine deutliche Zensur des Content zu befürchten.

Ob Trump dieses verfassungsrechtlich per Präsidialdekret überhaupt ausrichten kann, soll hier nicht weiter eine Rolle spielen.

Äußerst interessant, fand ich, ist auch der veröffentlichte Standpunkt von Mark Zuckerberg von Facebook hierzu. Dieser wird durch folgende Äußerung deutlich: “Ich glaube nicht, dass Facebook und andere Plattformen Schiedsrichter der Wahrheit sein sollten!

Daraufhin erwiderte Jack Dorsey, CEO von Twitter: “Ich will nicht über die Wahrheit urteilen, sondern die Leute in die Lage versetzen aufgrund von Tatsachen sich eine freie Meinung bilden zu können!“

Und mittendrin Donald J. Trump, welcher der festen Überzeugung ist, dass alles was er von sich gibt der Wahrheit und den Tatsachen entspricht.

Ich denke hier ist es lohnend, sich kurz Gedanken zu machen über die Begriffe: Tatsache, Meinung und Wahrheit.

Im Verfassungsrecht der westlichen Demokratien ist die Meinungsäußerungs-und Pressefreiheit traditionell als sehr hohes Rechtsgut fest verankert.

Presserechtlich wird zwischen Meinung und Tatsache in der Form unterschieden, dass Tatsachen prinzipiell einer objektiven, wissenschaftlichen Beweisführung zugänglich sind. Hingegen eine Meinungsäußerung sich gerade dadurch kennzeichnet, dass diese nicht überprüfbar, sondern das Ergebnis eines individuellen, gedanklichen, subjektiven Prozesses ist, der sich einer Überprüfung entzieht.

Erfreulicherweise wird diese weite Definition der Meinungsäußerungsfreiheit konsequent vom Bundesverfassungsgericht vertreten und geschützt. Eine inhaltliche Bewertung der Meinung verbietet sich, ganz im Sinne von Voltaire, Vordenker der französischen Revolution und den bürgerlichen Freiheiten.

Meinungsäußerungsfreiheit im öffentlichen Raum ist eben genau das Recht, das zu äußern und zu sagen was die anderen gerade nicht hören wollen!

Rechtlich problematisch ist jetzt die Definition des Begriffs Wahrheit. Hier verlassen wir den justiziablen Verfassungsrechtsbereich und betreten den philosophisch, religiös geprägten Weltanschauungsbereich.

Die Wahrheit ist bestenfalls einzuordnen als:

in ihrer überzeugendsten Form überprüfbare Tatsache.

Wenn wir sie aber so betrachten, dann ist sie eben eine überprüfbare Tatsache und keine Wahrheit mehr.

Das bedeutet also: wenn wir von Wahrheit sprechen beinhaltet dieses immer auch ein Element der subjektiven Überzeugung. Denn subjektive Überzeugung, egal ob nun weltanschaulich oder religiös, ist ein Kennzeichen der Definition von Meinung im verfassungsrechtlichen Sinn.

Eigenartigerweise haben wir somit bei dem Begriff: Wahrheit es mit einem Begriff zu tun der sowohl Elemente der Tatsache und des Begriffs Meinung mit seiner Subjektivität enthält.

Dieses erinnert mich in beeindruckender Weise an ein Zitat von Friedrich Nietzsche, welcher die Wahrheit als etwas anderes bezeichnete- als etwas immer auch Bipolares. „Schmerz ist auch immer eine Lust, Fluch auch immer ein Segen, Nacht auch eine Sonne und ein Weiser auch ein Narr[…]“ (Quelle: Also sprach Zarathustra S. 402)

Nach diesen Erkenntnissen bleibt somit im Ergebnis überraschenderweise festzuhalten, dass man hier durchaus Donald J. Trump recht geben muss, wenn er sagt, dass alles, was er von sich gibt der Wahrheit entspricht.2

Es handelt sich dabei jedoch nur um seine eigene, individuelle, höchstpersönliche Wahrheit.

Sofern er jedoch Tatsachen behauptet, kann er sich nicht der Notwendigkeit verweigern, diese auch beweisen zu müssen.

Immer wieder lesen oder hören wir: „Der EuGH hat entschieden“ oder „[…] der EuGH hat heute in seiner Entscheidung die Rechte der Verbraucher in der EU gestärkt“ oder so ähnlich.

Die Fragen die sich einem dann aufdrängen sind doch in solchem Fall:

  • Welche Rechtswirkung hat das Urteil eigentlich für mich als Bürger der BRD?
  • Müssen jetzt alle Gerichte in der BRD diese Entscheidung bei Ihren Urteilen zugrunde legen?
  • Welche Funktion mit welchen Rechtswirkungen haben eigentlich Urteile des EuGHs?

Hierzu betrachten wir zunächst einmal die originären Zuständigkeiten des EuGHs?

  1. Der EuGH ist innerhalb der EU zuständig für alle Feststellungen von EU-Vertragsverletzungen durch Mitgliedstaaten.
    Das heißt, der EuGH entscheidet verbindlich, ob ein Staat EU-Verträge verletzt hat. So z.B. im Fall des von der BRD in sein UrhG eingeführtes Leistungsschutzrechts für Presseverleger.
    Bsp.: In diesem Fall verstieß die BRD gegen EU-Vertragsrecht mit der Konsequenz, dass diese Vorschriften des deutschen UrhG unwirksam sind! (Wenn ein Sachverhalt durch eine EU-Richtlinie geregelt werden soll – wie hier – dann kann ein Mitgliedstaat nicht einfach eine eigene nationale Regelung treffen!)

  2. Der EuGH ist außerdem zuständig für die Fragen, ob ein Staat durch sein Handeln die in der EU-Menschenrechtskonvention niedergelegten Menschenrechte eines EU-Bürgers verletzt hat. Auch hier führt ein Urteil des EuGHs sofort zur Unwirksamkeit des Handelns des Mitgliedsstaates oder seine angewandten Regelungen!
    Bsp.: Die BRD musste Ihre Sorgerechtsregelungen ändern, nachdem der Vater eines unehelichen Kindes, der Unterhalt zahlte und auf sein Umgangsrecht bestand. Nach damaliger Rechtslage konnte die Mutter ihm das Umgangsrecht grundsätzlich verbieten. Der Vater hatte vor allen deutschen Gerichten einschließlich des BVerfG verloren. Oder der Fall des Jurastudenten aus Wien namens Schrempp, der durch die damalige – auf das Safe Harbor-Abkommen – beruhende Praxis des Austausches von personenbezogenen Daten zwischen der EU und den USA seine EU-Menschenrechte beeinträchtigt sah. In diesem Fall führt die Entscheidung des EuGHs zur sofortigen Nichtigkeit des Safe-Harbor-Abkommens und somit zur sofortigen Rechtswidrigkeit des gesamten Datenaustausches zwischen den USA und Europa.

Was ist aber nun in den Fällen, wo nationale oberste Gerichte, wie der BGH, den EuGH anrufen?

Dieses geschieht nur in den Fällen, bei denen die Entscheidung des nationalen Gerichts auf die Interpretation einer Norm gestützt werden soll, die ihren Ursprung in einer EU-Richtlinie hat. Hier gibt es den erklärten politischen Willen, dass man eine einheitliche Rechtsprechung in Europa bei der Interpretation von EU-Richtlinien sicherstellen möchte. Wie geschieht das nun? Also, wenn der BGH einen Fall entscheiden muss, bei dem es um eine entsprechende Norm geht, macht er einen sogenannten Vorlagebeschluss an den EuGH mit Fragen zur Interpretation der Norm.

Dieser prüft unter Berücksichtigung von Gutachten die vorgelegten Fragen und beantwortet diese in Form eines Beschlusses.

Das ist nun die Entscheidung des EuGHs von der wir in den Medien dann lesen!

Dieser Beschluss geht dann an das nationale Gericht zurück und dieses hat nun zwei Möglichkeiten:

  • Es schließt sich der Auffassung des EuGHs an und entscheidet seinen Fall dann unter Zugrundelegung dieser Interpretation.

Oder

  • Es schließt sich der Interpretation nicht an und entscheidet anders.

Im Ergebnis heißt das, dass es nicht diese rechtliche Verbindlichkeit des EuGHs im Verhältnis zu den nationalen Gerichten, als quasi höchste Instanz auf EU Ebene gibt.

Die Autonomie der nationalen Gerichte wird nicht angetastet, so das auch hier gilt: Nur in den unter 1. und 2. genannten Konstellationen hat der EuGH verbindliche Wirkung und Befugnisse in Bezug auf die Mitgliedstaaten und deren Bürger. Bei allen anderen Rechtsfragen verbleibt es bei der nationalen Selbständigkeit und Unabhängigkeit der Gerichte.

In meinen Seminaren zum Urheberrecht bin ich in den letzten Monaten immer wieder auf diese Frage gestoßen. Anlass war die im Sommer 2019 auch in der Öffentlichkeit mit viel Aufregung geführte Diskussion um die neue EU-Urheberrechtsrichtlinie.

Schlagworte waren Upload-Filter und unmittelbare Haftung der Plattformbetreiber für Rechtsverletzungen durch ihre Nutzer.

Bei der Richtlinie geht es in der Hauptsache um die europaweite Einführung des Leistungsschutzrechtes für Presseverleger und die Begründung einer unmittelbaren Haftung des Plattformbetreibers. Beides ist bereits in der BRD geltendes Recht.

Aber welche rechtliche Bindungswirkung hat denn überhaupt eine EU-Richtlinie?

Dazu muss man wissen, dass eine EU-Richtlinie im sogenannten TRILOG -Verfahren auf EU-Ebene zustande kommt, d.h. unter Beteiligung der drei Institutionen der EU:

  1. Der EU-Rat, also die Versammlung der Regierungschefs der EU-Mitgliedstaaten. Dieser tagt auch auf Ministerebene. Der EU-Rat ist die politische Führung der EU und dort herrscht bei Abstimmungen das Einstimmigkeitsprinzip. Dies ist auch der Grund, dass die EU keinerlei politische Entscheidungen in der letzten Zeit treffen kann.
  2. Das EU-Parlament, welches größer ist als jedes nationale Parlament wird direkt gewählt.
  3. Die EU-Kommission als der Verwaltungsarm der EU, der im Kern für die Gewährleistung einheitlicher Wirtschaftsbedingungen in der EU zuständig ist und hierzu auch weitreichende Kompetenzen erhalten hat.

Also, wie läuft nun typischerweise das TRILOG-Verfahren ab?

Der EU-Rat beschließt, auf einem Gebiet, z.B. Vorratsdatenspeicherung, sei es sinnvoll eine einheitliche europaweite Regelung zu installieren. Dieser beauftragt dann die EU-Kommission mit der Ausarbeitung einer entsprechenden Richtlinie.

Die EU-Kommission fertigt nun unter Beteiligung und Anhörung betroffener Verbände und Lobbyisten den Entwurf einer EU-Richtlinie an und legt diesen dann dem EU-Parlament zur 1. Abstimmung vor.

Im EU-Parlament wird dieser Entwurf dann ergänzt, abgeändert und erweitert und nach Abschluss der parlamentarischen Diskussion zur 1. Abstimmung gestellt.

Diese Version wird nun dem EU-Rat zur abschließenden Prüfung vorgelegt. Dieser kann Streichungen und Änderungen vornehmen und muss dann erneut abstimmen.

Der so geänderte Entwurf gelangt dann zur 2. Abstimmung zum EU-Parlament. Dieses muss dann abstimmen, ohne Möglichkeit noch irgendetwas inhaltlich an der Richtlinie ändern zu können.

Erfolgt diese Abstimmung positiv dann ist sie endlich da die endgültige EU-Richtlinie!

Uns was heißt das jetzt?

Nach den EU-Verträgen gilt diese Richtlinie jetzt nicht unmittelbar in den Mitgliedstaaten als verbindliches Recht, sondern löst lediglich die Verpflichtung der Mitgliedstaaten aus, nunmehr diese Richtlinie in nationales Recht zu überführen.

Heißt: Nun muss jeder Staat sein nationales Gesetzgebungsverfahren starten und die Richtlinienregelung in das jeweils nationale Recht einfügen, z. B. UrhG. Das dies auch umgesetzt wird ist leider überhaupt nicht gewährleistet! Die EU kann lediglich Strafzahlungen verhängen, wenn ein Staat nicht innerhalb einer Frist von 3 – 5 Jahren die Richtlinie umsetzt.

Kein Staatschef der EU riskiert aber bei sich „zu Hause“ politische Probleme, nur um eine EU-Richtlinie umzusetzen. Uns sollte es daher nicht verwundern, dass gerade auch die BRD längst nicht alle EU-Richtlinien in nationales Recht umsetzt!

Also, im Ergebnis muss man somit festhalten, das eine EU-Richtlinie niemals für einen Bürger eines Mitgliedstaates unmittelbar rechtlich verbindlich wird!

Immer wieder sieht man in Stellenausschreibungen oder im Rahmen der Vorbereitungen für ein Vorstellungsgespräch, dass das ausschreibende Unternehmen darauf hinweist, dass es leider die Kosten für das Vorstellungsgespräch nicht übernehmen kann. Das wirft die Frage auf: Wie gehe ich als Bewerber mit dieser Situation um? Es gibt wohl kaum eine Rechtsfrage, bei der die deutschen Gerichte so einig sind, wie bei dieser Frage.

Nach § 670 BGB muss das einladende Unternehmen die Kosten tragen!

Warum?

Nun, in § 670 BGB steht natürlich nichts von Vorstellungskosten aber § 670 BGB lautet:

Macht der Beauftragte zum Zwecke der Ausführung des Auftrags Aufwendungen, die er den Umständen nach für erforderlich halten darf, so ist der Auftraggeber zum Ersatz verpflichtet.

Dies bedeutet, dass falls jemand etwas für einen anderen tut, ohne konkreten Auftrag, dass dieser Ihm dann die dafür getätigten Aufwendungen ersetzen muss. Einzige Voraussetzung ist, dass das Geschäft ausschließlich oder zumindest überwiegend im Interesse des anderen (des Geschäftsherrn) getätigt wird und der Ausführende nicht im eigenen Interesse gehandelt hat.

Typisches Beispiel für §670 BGB: Ihr Nachbar fährt in die Karibik zum Tauchen und ist auch telefonisch nicht erreichbar. Dann passiert in seiner Wohnung ein Rohrbruch. Als verantwortungsvoller Nachbar kümmern Sie sich und beauftragen einen Klempner und haben auch noch weitere Aufwendungen. Da Sie Vertragspartner des Klempners sind müssen Sie diesen auch bezahlen. Aber keine Sorge nach § 670 BGB brauchen Sie nur zu warten bis Ihre Nachbar wohlbehalten aus dem Urlaub zurück ist und dann muss er Ihnen alle Kosten ersetzten. Ob er will oder nicht. Diese Aufwendungen haben sie nur in seinem und nicht in Ihrem eigenen Interesse gemacht.

Nun zurück zum Thema. Genauso beurteilen die Gerichte die Interessenlage bei einem Vorstellungsgespräch. Die Gerichte sind der Auffassung, dass es im ausschließlichen oder zumindest im überwiegenden Interesse des einladenden Unternehmens ist, seine Unternehmensprozesse mit qualifizierten Mitarbeitern zu verbessern und damit letztendlich seinen Profit zu erhöhen. Achtung: Wenn ich vor Antritt der Fahrt zum Vorstellungsgespräch darauf hingewiesen werde, dass die Kosten nicht übernommen werden, und ich fahre als Bewerber trotzdem zum Vorstellungsgespräch, dann ist das ein rechtsgültiger Verzicht auf meinen Anspruch aus § 670BGB.

PRAXISTIPP:

  1. Die Frage der Kosten sollte der Bewerber niemals von sich aus bei den Vorbereitungen zum Vorstellungsgespräch stellen, sondern einfach die Kosten auslegen und zum Vorstellungsgespräch fahren.
  2. Erst wenn die endgültige Absage kommt, macht man diese Kosten dann geltend.
  3. Ansprüche aus § 670 BGB verjähren erst in 3 Jahren. Also, Zeit genug!

Persönliches Statement: Ich kann nicht verstehen, dass Unternehmen mit großer Personalfluktuation oder der Besetzung einfacher Minijobs, die Bewerber mit diesen Kosten für ein Vorstellungsgespräch belasten. Für Unternehmen sind diese Kosten ein marginaler Aufwand. Jedoch sind diese Kosten für den einzelnen Bewerber, der sich in einer wirtschaftlichen Alarmsituation befindet, da er eventuell einen neuen Job braucht oder sich weiterentwickeln möchte, eine hohe Belastung. Er hat womöglich mehrere Vorstellungsgespräche zu absolvieren und da stellen diese Kosten immer einen wesentlich höheren Anteil seines zur Verfügung stehenden Einkommens dar, als für das einladende Unternehmen.