DGRI Jahrbuch 2015 9783504385248
Jahrestagung 2015, Stuttgart Minimierung des US-(Produkt-)Haftungsrisikos (Lothar Determann/Daniel Robyn) Sozialadäqu
181 87 5MB
German Pages 318 Year 2016
Polecaj historie
Citation preview
Baumgärtel/Scholz (Hrsg.) DGRI Jahrbuch 2015
Informationstechnik und Recht Schriftenreihe der Deutschen Gesellschaft für Recht und Informatik e.V.
Band 25
DGRI Jahrbuch 2015 Im Auftrag der Deutschen Gesellschaft für Recht und Informatik e.V.
herausgegeben von
Dr. Matthias Baumgärtel Oldenburg und
Dr. Matthias Scholz, LL.M. Frankfurt a.M.
2016
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Verlag Dr. Otto Schmidt KG Gustav-Heinemann-Ufer 58, 50968 Köln Tel. 02 21/937 38-01, Fax 02 21/937 38-943 [email protected] www.otto-schmidt.de ISBN 978-3-504-67024-5 ©2016 by Verlag Dr. Otto Schmidt KG, Köln
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Das gilt insbesondere für Vervielfältigungen. Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungsbeständig und umweltfreundlich. Einbandgestaltung nach einem Entwurf von: Jan P. Lichtenford Satz: Datagroup Int., Timisoara Druck und Verarbeitung: Stückle, Ettenheim Printed in Germany
Editorial Das DGRI Jahrbuch 2015 – erschienen als 25. Band der Schriftenreihe der Deutschen Gesellschaft für Recht und Informatik e. V. im 40. Jubiläumsjahr der Gesellschaft – spiegelt mit seinen lesenswerten Beiträgen die Entwicklungen des Informationsrechts sehr anschaulich wider. Die Jahrestagung 2015 in Stuttgart stand unter dem Motto „Smart aber hart: Haftungsrisiken bei IT-Innovationen“ und befasste sich schwerpunktmäßig mit aktuellen Fragen rund um die Entwicklung neuer digitaler Produkte und Geschäftsfelder. Der einführende Beitrag von Determann/Robyn gibt einen sehr anschaulichen Einblick in die Praxis der Vertragsgestaltung mit US-Unternehmen und einen interessanten Vergleich über die haftungsrechtliche Situation in den USA. Mit den haftungsrechtlichen Risiken und der sozialversicherungsrechtlichen Regulierung von medizinischen Apps befassen sich Brönneke und Kipker in ihrem Beitrag. Die Autoren prüfen, ob im Hinblick auf haftungs- und sozialversicherungsrechtliche Fragen Regelungen erforderlich sind, die nicht nur dem Schutz von Patienten und anderen Anwendern solcher Produkte dienen, sondern auch Rechtssicherheit für Innovatoren, Hersteller und Intermediäre schaffen. Der Beitrag von Chirco zur Vertragsgestaltung in der Industrie 4.0 beleuchtet das Spektrum an Rechtsfragen bei der Vertragsgestaltung, die bei der Implementierung vernetzter Produktionssysteme zu beachten sind. Ein besonderes Augenmerk widmet der Autor den Themen Datenschutz und -sicherheit sowie der Haftung im Bereich der Industrie 4.0-Technologien. Dem sehr aktuellen Thema „rechtliche und technische Aspekte autonom agierender Systeme: Automatisiertes Fahren – Drohnen – Serviceroboter nehmen sich Günther/ Lutz in ihrem Beitrag an. Der Beitrag von Hornung zur „IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft: Vorgaben des IT-Sicherheitsgesetzes zur Identifizierung, Abwehr und Bewältigung für Risiken für kritische Infrastrukturen“ ist angesichts der aktuellen Diskussion um die neue Sicherheitsgesetze hoch aktuell. Das zweite große Thema im Berichtszeitraum war die Informatik in der forensischen Praxis und in der Finanzbranche, das auch Gegenstand des Drei-Länder-Treffens in Basel war. Bräutigam/Rockenbach beleuchten die Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB. Die Autoren befassen sich mit der Zulässigkeit von anwaltlichen Outsourcing- und Cloud-Lösungen im Lichte des § 203 StGB und § 2 BORA und schlagen zur Schaffung von Rechtssicherheit Änderungen im Strafgesetzbuch sowie des § 43 BRAO vor. Mit den Anforderungen, wie Rechtsberatung durch IT effizient gestaltet werden kann, befasst sich Piernot V
Editorial
in seinem Beitrag „Was braucht der Anwalt heute und in Zukunft“. Er kommt zum Ergebnis, dass die Expertise der Rechtsberater ein immens wichtiges Gut ist, das auch eine Technologie im Jahr 2016 nicht kopieren oder künstlich erzeugen könne. In dem Beitrag „Elektronische Kommunikation mit den Gerichten in der Schweiz“ befasst sich Rufener mit den Anforderungen, die ein Anwalt heute beim elektronischen Rechtsverkehr beachten muss und welche Anstrengungen noch erforderlich sind, um diesem Kommunikationsweg zum Durchbruch zu verhelfen. Es folgen sehr aufschlussreiche und praxisrelevante Beiträge von Streitz (High Level Forensik zur Sachverhaltsaufbereitung in komplexen Rechtsstreitigkeiten) und von Heinson (IT-Forensik und Beweisrecht). Mit der Informatik in der Finanzbranche und zu den Anforderungen bei Compliance-Untersuchungen befassen sich dann die Beiträge von Kast zu den Besonderheiten von Online-Banking-Apps und Plath mit den Hinweisen zur BDSG-konformen Ausgestaltung von internen Untersuchungen. Kast stellt die Besonderheiten von Online-Banking-Apps dar und prüft die Anwendung anhand der neuen Zahlungsdienste-Richtlinie. Plath erörtert, welche rechtlichen Rahmenbedingungen, insbesondere in arbeitsrechtlicher, strafrechtlicher und datenschutzrechtlicher Hinsicht bei der Durchführung einer internen Compliance-Untersuchung zu beachten sind. Es gibt die Empfehlung, dass alle Maßnahmen dem Gebot der Verhältnismäßigkeit unterliegen und alle Schritte sorgfältig zu planen sind. Die DSRI-Preisträgerin Sandfuchs stellt die wichtigsten Punkte ihrer ausgezeichneten Arbeit „Privatheit wider Willen – Verhinderung informationeller Preisgabe im Internet nach deutschen und US-amerikanischen Verfassungsrecht“ vor. In der Jahreschronik berichtet die DGRI-Geschäftsführerin Fischer über die wichtigsten Tagungen und Kooperationen des Jahres 2015 sowie die Aktivitäten der Fachausschüsse und der neu an der Humboldt-Universität zu Berlin angesiedelten Schlichtungsstelle. Abgerundet wird die Chronik durch einen Überblick über die drei Stellungnahmen der Gesellschaft sowie einer Darstellung der Struktur der DGRI mit vielen Daten und Namen. Den Nachruf auf Herbert Fischer hat Alfred Büllesbach verfasst. Weiterhin gibt es eine erfreulich große Zahl an Berichten aus den zahlreichen Fachausschüssen. Vervollständigt wird das Jahrbuch schließlich durch einen Abdruck der drei Stellungnahmen, die von der DGRI im Berichtszeitraum abgegeben wurden.
VI
Editorial
Für die Herausgeber war das Zusammenstellen der einzelnen Beiträge eine sehr interessante und ehrenvolle Aufgabe. Wir sind allen Autoren für ihren Einsatz bei der Erstellung der qualitativ durchweg hervorragenden Beiträge sehr zu Dank verpflichtet. Daneben gilt unser Dank aber auch Ulrich Gasper, dem Lektor im Verlag Dr. Otto Schmidt KG, sowie seinen Mitarbeitern für ihre Geduld und vielfältige Unterstützung bei der Organisation und Erstellung dieses Jahrbuches. Das Jahrbuch belegt, dass die DGRI eine sehr lebendige, aktive Organisation ist und offenbart einen eindrucksvollen Einblick in das intellektuelle Leben der Gesellschaft. Wir wünschen viel Vergnügen beim Lesen. Frankfurt/Oldenburg, im September 2016
Dr. Matthias Baumgärtel/ Dr. Matthias Scholz
VII
Inhaltsübersicht* Editorial (Matthias Baumgärtel/Matthias Scholz) . . . . . . . . . . . . .
V
A. Jahrestagung 2015, Stuttgart Minimierung des US-(Produkt-)Haftungsrisikos – Gesichtspunkte bei der Gestaltung von AGB und Individualverträgen mit US-Unternehmen (Lothar Determann/Daniel Robyn) . . . . . . . . .
1
Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB (Peter Bräutigam/Florian Rockenbach) . . . . . . . . . . . . . . . . . . . . .
27
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft: Vorgaben des IT-Sicherheitsgesetzes zur Identifizierung, Abwehr und Bewältigung von Risiken für Kritische Infrastrukturen (Gerrit Hornung). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
Haftungsrechtliche Risiken und sozialversicherungsrechtliche Regulierung von medizinischen Apps (Jan Benedikt Brönneke/ Dennis-Kenji Kipker) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
High Level Forensik zur Sachverhaltsaufbereitung in komplexen Rechtsstreitigkeiten (Siegfried Streitz) . . . . . . . . . . . .
93
IT-Forensik und Beweisrecht (Dennis Heinson) . . . . . . . . . . . . . . .
109
Die Vertragsgestaltung in der Industrie 4.0 (Claudio G. Chirco). . . .
131
Rechtliche und technische Aspekte autonom agierender Systeme: Automatisiertes Fahren – Drohnen – Serviceroboter (Jan-Philipp Günther/Lennart S. Lutz) . . . . . . . . . . . . . . . . . . . . . .
151
B. Drei-Länder-Treffen 2015, Basel, Schweiz Besonderheiten von Online-Banking Apps (Christian R. Kast) . . .
169
Compliance Untersuchungen und Datenschutz – Hinweise zur BDSG-konformen Ausgestaltung von internen Untersuchungen (Kai-Uwe Plath) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
183
Was braucht der Anwalt heute und in Zukunft (Dominic Piernot). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
205
Elektronische Kommunikation mit den Gerichten in der Schweiz (Adrian Rufener) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
227
*
Ausführliche Inhaltsverzeichnisse jeweils zu Beginn der Beiträge.
IX
Inhaltsübersicht
C. Preisträger der DSRI 2015 Privatheit wider Willen – Verhinderung informationeller Preisgabe im Internet nach deutschem und US-amerikanischem Verfassungsrecht (Barbara Sandfuchs) . . . . . . . . . . . . . . . . . . . . . .
237
D. Aus der DGRI DGRI Jahreschronik 2015 (Veronika Fischer). . . . . . . . . . . . . . . . .
243
Herbert Fiedler bleibt unvergessen (Alfred Büllesbach) . . . . . . . .
255
E. Bericht der Fachausschüsse 2015 Fachausschuss Arbeitsrecht: Jahresbericht 2015 (Britta Alexandra Mester) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
259
Fachausschuss Datenschutz: Jahresbericht 2015 (Robert Selk/Sibylle Gierschmann) . . . . . . . . . . . . . . . . . . . . . . . .
261
Fachausschuss Firmenjuristen: Jahresbericht 2015 (Roland Bömer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
265
Fachausschuss Internet und eCommerce: Jahresbericht 2015 (Holger Lutz/Thomas Wilmer) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
Fachausschuss Outsourcing: Jahresbericht 2015 (Thomas Thalhofer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
269
Fachausschuss Softwareschutz: Jahresbericht 2015 (Malte Grützmacher/Jörg Schneider-Brodtmann) . . . . . . . . . . . . .
273
Fachausschuss Compliance und Strafrecht: Jahresbericht 2015 (Susanne Beck/Dirk Meinicke) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
277
Fachausschuss Vertragsrecht: Jahresbericht 2015 (Thomas Stögmüller/Mathias Lejeune) . . . . . . . . . . . . . . . . . . . . .
279
Anhang Stellungnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
X
281
Minimierung des US-(Produkt-)Haftungsrisikos – Gesichtspunkte bei der Gestaltung von AGB und Individualverträgen mit US-Unternehmen Lothar Determann*/Daniel Robyn** I. Einleitung II. Battle of the Forms: Die Verwendung von AGB mit US-Geschäftspartnern 1. Battle of the Forms nach „USRecht“ am Beispiel des kalifornischen „Uniform Commercial Code“ a) Ist bei einem Austausch widersprüchlicher AGB ein Vertrag zustande gekommen? b) Welche Klauseln sind zum Vertragsinhalt geworden? aa) Wenn nicht beide Parteien Kaufleute sind bb) Wenn beide Parteien Kaufleute sind (1) Die Behandlung von „additional terms“ (2) Die Behandlung von „different terms“
2. Praktische Auswirkungen anhand von Beispielsfällen a) Beispiel 1 – „Garantiezeit von 24 oder 22 Monaten?“ aa) Illinois bb) Kalifornien b) Beispiel 2 aa) Illinois bb) Kalifornien 3. Wie kann man die „Battle of the Forms“ gewinnen? 4. Wie kann man die „Battle of the Forms“ vermeiden? III. Inhaltliche Gestaltung von AGB und Individualverträgen nach „US-Recht“ 1. Warranties 2. Limitation of liability 3. Indemnification 4. Choice of Law IV. Schlusswort
I. Einleitung Seit jeher nehmen die Vereinigten Staaten im Produkthaftungsrecht 1 einen besonderen Platz ein. Fast jährlich sorgen Entscheidungen in US-Produkthaftungsverfahren in den Medien – insbesondere wegen ihrer hohen Schadensersatzsummen – für Aufsehen. Ursache hierfür ist u. a. die im Gegensatz zu vielen anderen Ländern besonders scharfe Ausformung *
Prof. Dr. Lothar Determann ist Partner bei Baker & McKenzie LLP, San Francisco. Er ist sowohl in Kalifornien als auch in Deutschland zugelassener Rechtsanwalt. [email protected]. ** Daniel Robyn, LL.M., ist Partner bei Baker & McKenzie LLP, San Francisco. Er ist sowohl in Kalifornien als auch in Deutschland zugelassener Rechtsanwalt. [email protected].
1
Lothar Determann/Daniel Robyn
des US-Produkthaftungsrechts, die sich sowohl auf materiell-rechtlicher (z. B. Existenz besonderer Schadensarten wie „punitive damages“, „emotional distress“ und „loss of consortium“ als auch auf prozessrechtlicher Ebene (z. B. durch „pre-trial discovery“, „expert discovery“, Jury-Verfahren, „class-actions“ etc.) sowie im Bereich des Standesrechts (z. B. Zulässigkeit von Erfolgshonoraren [„contingency fees“]) bemerkbar macht. Hinzu kommt, dass – im Gegensatz zum deutschen Recht – selbst die im US-Zivilprozess obsiegende Partei jedenfalls im Grundsatz – mangels Kostenrückerstattungspflicht der unterliegenden Partei – ihre eigenen Rechtsanwaltsgebühren selbst zu tragen hat (sog. „American Rule of Costs“). Verschärft wird diese Situation weiter dadurch, dass in den USA bislang kein einheitlich geltendes „Bundesprodukthaftungsgesetz“ existiert. Vielmehr ist der Bereich der Produkthaftung als Teil des Deliktsrechts der Regelung der jeweiligen Bundesstaaten überlassen, so dass es grundsätzlich 50 verschiedene „Produkthaftungsrechtssysteme“ gibt, die ihre Grundlage zum einen in einzelstaatlichen Gesetzen und zum anderen im Fallrecht der jeweiligen Staaten- bzw. Bundesgerichte finden. 2 Oftmals wird daher aus unternehmerischer Sicht die Frage gestellt, ob und wie das nahezu unüberschaubare US-Produkthaftungsrisiko ausgeschlossen oder zumindest minimiert werden kann. Im Ergebnis lässt sich diese Frage dergestalt beantworten, dass ein kompletter Ausschluss des US-Produkthaftungsrisikos nicht möglich ist, sehr wohl aber (Präventiv-) Maßnahmen zur Verminderung des Haftungsrisikos getroffen werden können. Dazu gehören z. B. die Sicherstellung der „product compliance“ mit US-Standards („technical audits“), die Erstellung adäquater Produktdokumentation nach US-Vorschriften, die Qualitätssicherung, die Versicherung des Risikos und die adäquate Gestaltung von Verträgen mit US-Kunden. 3 Der folgende Beitrag gibt hierbei europäischen Unternehmen Hilfestellung, was bei der Vertragsgestaltung zu beachten ist und welche Schritte unternommen werden können, um bei der Anwendung „amerikanischen“ Vertragsrechts (ein einheitliches „US-Vertragsrecht“ existiert aufgrund der föderalen Struktur nicht) die Produkthaftung möglichst umfassend zu beschränken. Dazu ist zwischen den Rechtsbeziehungen, die zwischen europäischem Unternehmen (z. B. Hersteller) und US-Gesellschaften (z. B. US-Vertriebsgesellschaft, US-Händler, US-Wartungsunternehmen) zumeist auf vertraglicher Ebene bestehen („Innenverhältnis“) und den Rechtsbeziehungen zwischen europäischem Unternehmen und Dritten (z. B. US-Endkunden, US-Produktbenutzer), mit denen grundsätzlich keine vertragliche Beziehung besteht („Außenverhältnis“), zu unterscheiden.
2
Minimierung des US-(Produkt-)Haftungsrisikos
Im Außenverhältnis kommt mangels vertraglicher Rechtsbeziehungen 4 oft weder ein vertraglicher Haftungsausschluss noch eine vertragliche Haftungsbeschränkung in Betracht, so dass das europäische Unternehmen der durch US-Gesetze und US-Fallrecht geprägten Haftung grundsätzlich vollumfänglich unterliegt. Allerdings nutzen US-Unternehmen oft recht aggressiv die Möglichkeit, Endnutzer, insbesondere auch Verbraucher, über Dienstverträge, Softwarelizenzverträge und Nutzungsbedingungen (ggfs. durch Click-through und Schutzhüllenverträge) an Haftungsbeschränkungen und Schiedsgerichtsvereinbarungen zu binden, die grundsätzlich auch durchsetzbar sind.1 Im Innenverhältnis dagegen, also z. B. zwischen europäischem Liefe- 5 ranten und dessen US-Vertragspartner, stehen dem europäischen Unternehmen grundsätzlich zahlreiche vertragliche Gestaltungsoptionen zur Verfügung, durch deren geschickte Verwendung nicht nur eine Haftungsminderung (z. B. durch eine „limitation of liabilities“ Klausel), sondern z. T. auch Haftungsabwälzungen (z. B. durch eine „indemnification“Klausel) bzw. Haftungsausschlüsse (z. B. durch „disclaimer“) herbeigeführt werden können. Von derartigen Gestaltungsoptionen kann ein europäisches Unternehmen sowohl in seinen Allgemeinen Geschäftsbedingungen („AGB“) als auch in Individualverträgen mit US-Kunden Gebrauch machen. Bei der Verwendung von AGB kann sich – im Gegensatz zum Individualvertrag – vorab die Problematik ergeben, ob und inwieweit sie überhaupt Vertragsbestandteil geworden sind. Im Folgenden wird daher zunächst auf den beim Zustandekommen von Verträgen unter Einbeziehung von AGB als „Battle of the Forms“ bekannten Problembereich und sodann auf einige ausgewählte Gesichtspunkte bei der inhaltlichen Gestaltung sowohl von AGB als auch Individualverträgen eingegangen.
1
Vgl. dazu Determann/Purves, The Glue That Holds It Together: Enforceability of Arbitration Clauses in Click-Through Agreements and Other Adhesion Contracts, Electronic Commerce & Law (BNA), January 7, 2009, S. 1 ff. Zur Frage der Vertragsänderung durch einen Weblink, der auf geänderte Vertragsbedingungen hinweist vgl. Determann, Notice, Assetn Rules for Contract Changes After Douglas v. U. S. District Court, Electronic Commerce & Law (BNA), August 15, 2007, S. 1 ff. Zum Vertragsschluss im Internet im Allgemeinen vgl. Determann/Ang-Olson, Comment on Specht v. Netscape, Intellectual Property Law Bulletin, University of San Francisco School of Law, Vol. 6, No. 2, p. 39 (2001); republished in 20 The Computer & Internet Lawyer 22 (2003), sowie Determann/Gutierrez, Copyright Violations in Caching of Website Content and Online Contract Formation, Journal of Intellectual Property Law & Practice, July 11, 2008, S. 1 f.
3
Lothar Determann/Daniel Robyn
II. Battle of the Forms: Die Verwendung von AGB mit US-Geschäftspartnern 6 Oftmals liefern europäische Unternehmen ihre Produkte in die USA unter Beifügung ihrer ansonsten üblicherweise geltenden AGB, die ggfs. ins Englische übersetzt wurden. Im Gegenzug finden sich auf der Bestellung durch das US-Unternehmen die üblicherweise von diesem verwendeten „US Terms and Conditions“, die in einer Vielzahl von Fällen nicht mit den Bedingungen des europäischen Unternehmens übereinstimmen. Im Verlaufe der Transaktion gehen beide Unternehmen entweder davon aus, dass die jeweils eigenen AGB Geltung finden, oder sie sind sich der Existenz von Diskrepanzen der jeweiligen AGB bewusst, hoffen aber, dass „schon nichts passieren“ wird. 7 Soweit es in der Folgezeit allerdings – entgegen den Erwartungen der Parteien – zu einem Rechtsstreit zwischen diesen beiden Unternehmen kommt (z. B. bzgl. des Inhalts von Garantien) oder beide Unternehmen in einen Rechtsstreit mit Dritten involviert werden (z. B. wenn ein Produktbenutzer beide Unternehmen wegen eines angeblichen Mangels in Anspruch nimmt), so stellt sich im Innenverhältnis der beiden Gesellschaften die Frage, ob überhaupt ein Vertrag zustande gekommen ist und, wenn ja, welche vertraglichen Bestimmungen gelten – die AGB des europäischen Unternehmens oder die US Terms and Conditions? Allgemein wird diese Situation als „Battle of the Forms“ bezeichnet. Vermieden werden kann diese Situation entweder durch das Zusammenspiel von bestimmten Schutzklauseln innerhalb der eigenen AGB, die rechtzeitige Erhebung von Widersprüchen gegen die AGB des Vertragspartners, klare Kommunikation mit dem Vertragspartner über den Vertragsinhalt, oder aber – im Idealfall und soweit praktisch möglich – durch die Vereinbarung eines Individualvertrags (dazu näher unten). 8 Im Vorfeld der o. g. Fragen, ob ein Vertrag zustande gekommen ist und welchen Inhalt dieser hat, stellt sich die Problematik, nach welchem Recht diese Fragen zu beurteilen sind. Das europäische Unternehmen wird i. d. R. wollen, dass sein eigenes (z. B. deutsches) Recht gilt, wohingegen das US-Unternehmen argumentieren wird, es solle das Recht eines US-Bundesstaates (z. B. kalifornisches Recht) gelten. Soweit das UN-Kaufrecht („CISG“)2 nicht durch beide Parteien gem. Art. 6 CISG3 2
3
4
Übereinkommen der Vereinten Nationen v. 11.4.1980 über Verträge über den internationalen Warenverkauf“ (Convention on the International Sale of Goods, CISG). Art. 6 CISG: „The parties may exclude the application of this Convention or, subject to article 12, derogate from or vary the effect of any of its provisions.“
Minimierung des US-(Produkt-)Haftungsrisikos
ausgeschlossen wurde, könnten auch seine Vorschriften zur Anwendung gelangen, da das UN-Kaufrecht im Verhältnis der USA zu sämtlichen europäischen Staaten – mit Ausnahme Englands, Irlands und Portugals – als Staatsvertrag vorrangig vor einzelstaatlichem Recht Anwendung findet (das UN-Kaufrecht gilt mittlerweile in insgesamt 73 Staaten,4 zuletzt trat Armenien dem UN-Kaufrechtsübereinkommen bei).5 Diese Vorfeld-Problematik ist nach dem Internationalen Privatrecht der 9 jeweils betroffenen Staaten (z. B. Deutschland und Kalifornien) zu lösen, auf die im Folgenden nicht näher eingegangen wird. Vielmehr wird für die Zwecke dieses Beitrags davon ausgegangen, dass diese Frage, welches Recht Anwendung findet, zugunsten der des Rechts eines US-Bundesstaates (z. B. Kalifornien) entschieden wurde. 1. Battle of the Forms nach „US-Recht“ am Beispiel des kalifornischen „Uniform Commercial Code“ Der Verkauf von beweglichen Sachen richtet sich in den USA grundsätz- 10 lich nach dem „Uniform Commercial Code“, einem Modellgesetz, das in allen Staaten – mit Ausnahme Louisianas – in leicht abgeänderten Fassungen in einzelstaatliches Recht umgesetzt wurde. In Kalifornien trat der „Uniform Commercial Code“6 (hiernach „UCC“) am 1.1.1965 in Kraft. Der Verkauf von beweglichen Sachen ist in „Division 2“ (§§ 2101 bis 2801) geregelt, wobei § 2207 die Problematik des Austauschs widersprüchlicher Geschäftsbedingungen behandelt. Der Wortlaut der kalifornischen Vorschrift des § 2207 ist mit dem der Schwestervorschriften in den Commercial Codes einer Vielzahl anderer Bundesstaaten (so z. B. New York und Illinois) identisch und lautet wie folgt: 2207. (1) A definite and seasonable expression of acceptance or a written confirmation which is sent within a reasonable time operates as an acceptance even though it states terms additional to or different from those offered or agreed upon, unless acceptance is expressly made conditional on assent to the additional or different terms.
4
5 6
Eine Liste der Beitrittsstaaten findet sich auf der Webseite der UNCITRAL: http://www.uncitral.org/uncitral/en/uncitral_texts/sale_goods/1980CISG_ status.html; eine hilfreiche Übersichtskarte findet sich auf www.legacarta. org. Vgl. Pressemitteilung der UNCITRAL v. 17.2.2009: http://www.unis.unvienna.org/unis/pressrels/2009/unisl127.html. Vgl. Cal. Comm. Code § 1101: „This code may be cited as the Uniform Commercial Code.“ Das Gesetz wird aber auch als „Commercial Code“ bezeichnet.
5
Lothar Determann/Daniel Robyn
(2) The additional terms are to be construed as proposals for addition to the contract. Between merchants such terms become part of the contract unless: (a) The offer expressly limits acceptance to the terms of the offer; (b) They materially alter it; or (c) Notification of objection to them has already been given or is given within a reasonable time after notice of them is received. (3) Conduct by both parties which recognizes the existence of a contract is sufficient to establish a contract for sale although the writings of the parties do not otherwise establish a contract. In such case the terms of the particular contract consist of those terms on which the writings of the parties agree, together with any supplementary terms incorporated under any other provisions of this code. a) Ist bei einem Austausch widersprüchlicher AGB ein Vertrag zustande gekommen? 11 Im Gegensatz zur sog. „Mirror Image Rule“ des common law,7 nach der ein Vertrag nur dann zustande kommt, wenn die Annahme ein „Spiegelbild“ (Mirror Image) des Angebots ist und, wenn dies nicht der Fall ist, die Annahme ein Gegenangebot darstellt, etabliert der UCC gemäß § 2207 (1) den Grundsatz, dass ein Vertrag auch dann zustande kommt, wenn die Annahme zusätzliche („additional“) oder unterschiedliche („different“) Klauseln enthält. Denn der UCC verfolgt den Zweck, das Zustandekommen von Verträgen, so wie sie im Praxisalltag vorkommen, zu ermöglichen.8 Enthalten die AGB des Käufers z. B. eine Klausel wonach der Verkäufer zwei Jahre Garantie zu gewähren hat, die AGB des Verkäufers schließen jedoch eine Garantie komplett aus, so ist dennoch grundsätzlich ein Vertrag gemäß § 2207 (1) zustande gekommen. Eine Ausnahme von der vorgenannten Grundregel besteht nach § 2207 (1) nur dann, wenn die das ursprüngliche Angebot modifizierende Annahme selber ausdrücklich unter der Bedingung steht, dass die zusätzlichen oder 7
8
6
In Kalifornien ist diese „Mirror Image Rule“ in § 1585 des California Civil Code kodifiziert worden: „An acceptance must be absolute and unqualified, or must include in itself an acceptance of that character which the proposer can separate from the rest, and which will conclude the person accepting. A qualified acceptance is a new proposal.“ Vgl. Kevin C. Stemp, Survey: Solving problems facing international law today: A comparative analysis of the „Battle of the Forms“, 15 Transnatl‘ L. & Contemp. Probs. 243, 246: „UCC Section 2-207(1) is primarily concerned with finding the existence of a contract.“
Minimierung des US-(Produkt-)Haftungsrisikos
unterschiedlichen Klauseln durch den Vertragspartner akzeptiert werden müssen – in diesem Fall stellt die Annahme ein Gegenangebot dar. Dies wäre z. B. der Fall, wenn der Verkäufer auf das Angebot des Käufers durch Zusendung seiner eigenen AGB reagiert und diese z. B. Folgendes besagen: „No contract will be formed unless Buyer agrees to all of the terms contained in Seller’s terms and conditions.“ Wenn die AGB der Parteien jedoch so widersprüchlich sind, dass von 12 einer Einigung jedenfalls auf Basis der ausgetauschten Schriftstücke nicht ausgegangen werden kann, so kommt ein Vertrag auf Grundlage von § 2207 (1) nicht zustande mit der Folge, dass auch § 2207 (2) keine Anwendung findet. Soweit die Parteien jedoch trotz des augenscheinlichen Fehlens einer Einigung mit der Lieferung von Waren bzw. der Bezahlung derselben fortfahren, kommt ein Vertrag gemäß § 2207 (3) aufgrund des Parteiverhaltens zustande. Die Unterscheidung, ob ein Vertrag nach § 2207 (1) oder nach § 2207 (3) zustande gekommen ist, wird bei der Frage danach relevant, welche Klauseln zum Vertragsinhalt geworden sind. b) Welche Klauseln sind zum Vertragsinhalt geworden? Kommt ein Vertrag nach § 2207 (1) zustande, so richtet sich der Inhalt des 13 Vertrags nach § 2207 (2). Dabei ist danach zu unterscheiden, ob der Vertrag „zwischen Kaufleuten“ („between Merchants“) i. S. v. §§ 2207 (2), 2104 (1) und 2104 (3) abgeschlossen wurde oder nicht. Nach § 2104 (3)9 ist ein Vertrag „zwischen Kaufleuten“ zustande gekommen, wenn beide Parteien Kaufleute i. S. v. § 2104 (1)10 sind. aa) Wenn nicht beide Parteien Kaufleute sind Soweit auch nur eine Partei Nicht-Kaufmann ist, werden die Modifika- 14 tionen, die in der Annahme gemacht werden, lediglich als „proposals for addition to the contract“ angesehen, so dass sie nicht automatisch Vertragsbestandteil werden, sondern es einer Annahme derselben durch den Vertragspartner bedarf (vgl. § 2207 (2), erster Satz).
9 UCC § 2104 (3) lautet wie folgt: „(3) „Between merchants“ means in any transaction with respect to which both parties are chargeable with the knowledge or skill of merchants.“ 10 UCC § 2104 (1) definiert den Begriff „Merchant“ wie folgt: „(1) „Merchant“ means a person who deals in goods of the kind or otherwise by his occupation holds himself out as having knowledge or skill peculiar to the practices or goods involved in the transaction or to whom such knowledge or skill may be attributed by his employment of an agent or broker or other intermediary who by his occupation holds himself out as having such knowledge or skill.“
7
Lothar Determann/Daniel Robyn
bb) Wenn beide Parteien Kaufleute sind 15 Wenn beide Parteien Kaufleute sind, was bei der Lieferung von Produkten von einem europäischen Unternehmen an ein US-Unternehmen i. d. R. der Fall sein wird, muss in der Mehrzahl der US-Bundesstaaten danach unterschieden werden, ob es sich bei den in der Annahme enthaltenen Modifikationen um „additional terms“ (nur dann gilt § 2207 (2), zweiter Satz, sowie § 2207 (2) (a)-(c)) oder „different terms“ (dann gilt die „Knock-Out Rule“ analog § 2207 (3) (dazu näher unten)) handelt. In einer Minderheit der US-Bundesstaaten (so z. B. in Kalifornien) ist diese Unterscheidung jedoch nicht notwendig, da hier die Begriffe „additional terms“ und „different terms“ gleichbehandelt werden, so dass in jedem Fall unabhängig von der Kategorisierung der Modifikationen als „additional“ oder „different“ § 2207 (2), zweiter Satz, sowie § 2207 (2) (a)-(c) Anwendung finden. 16 Von „additional terms“ spricht man i. d. R., wenn die Annahme eine oder mehrere Klauseln enthält, die im Angebot noch nicht vorhanden war(en), wohingegen „different terms“ grundsätzlich dann vorliegen, wenn die Annahme eine oder mehrere im Angebot bereits enthaltene Klauseln modifiziert. Diese – nach dem Recht der meisten US-Bundesstaaten vorzunehmende – Differenzierung kann in der Praxis mitunter jedoch Schwierigkeiten bereiten. (1) Die Behandlung von „additional terms“ 17 Soweit die Annahme des Vertragspartners „additional terms“ enthält, findet in nahezu allen US-Bundesstaaten § 2207 (2), zweiter Satz, bzw. § 2207 (2) (a)-(c) unstreitig Anwendung. Hiernach ist die Grundregel, dass die in der Annahme enthaltenen Zusatzklauseln zwischen Kaufleuten automatisch Vertragsbestandteil werden, also auch ohne dass der andere Vertragspartner diesen zustimmt. Davon gibt es allerdings drei Ausnahmen, die in §§ 2207 (2) (a), (b) und (c) geregelt sind. „Additional terms“ werden zwischen Kaufleuten dann nicht automatisch Vertragsbestandteil (sondern erst dann, wenn eine Einigung hierüber erzielt wurde), wenn 1. das Angebot nur durch Zustimmung zu allen im Angebot enthaltenen Klauseln angenommen werden kann und dies ausdrücklich aus dem Angebot hervorgeht (vgl. § 2207 (2) (a): „The offer expressly limits acceptance to the terms of the offer;“); 2. die in der Annahme enthaltenen zusätzlichen Klauseln eine wesentliche Änderung des Vertrags darstellen (vgl. § 2207 (2) (b): „They materially alter it [the contract];“); oder 3. ein Widerspruch gegen die zusätzlichen Klauseln bereits erhoben wurde oder binnen einer „vernünftigen“ Zeitspanne nach Erlangung 8
Minimierung des US-(Produkt-)Haftungsrisikos
von Kenntnis der Zusatzklauseln eingelegt wird (vgl. § 2207 (2) (c): „Notification of objection to them has already been given or is given within a reasonable time after notice of them is received“). (2) Die Behandlung von „different terms“ Umstritten ist allerdings, ob § 2207 (2), zweiter Satz, bzw. § 2207 (2) 18 (a)-(c) auch für „different terms“ gelten, da der Wortlaut des § 2207 (2) ausdrücklich nur von „additional terms“ spricht, den Begriff „different terms“ jedoch unerwähnt lässt. In der Praxis haben sich hier verschiedene Meinungen gebildet. Knock-Out Rule: Nach der wohl herrschenden „Knock-Out Rule“, die 19 von der Mehrzahl der US-Bundesstaaten (so z. B. in Illinois)11 vertreten wird, gelten § 2207 (2), zweiter Satz, bzw. § 2207 (2) (a)-(c) für „different terms“ nicht, da der Wortlaut der Vorschrift sich eindeutig nur auf „additional terms“ beziehe. Soweit die AGB zwischen Kaufleuten „different terms“ enthalten, sind in diesen Bundesstaaten die „different terms“ aus den jeweiligen AGB zu streichen, mit der Folge, dass an deren Stelle die gesetzlichen Regelungen des UCC treten. Different terms = additional terms: Nach einer Mindermeinung, die u. a. 20 von den Gerichten in Kalifornien vertreten wird, sind „additional terms“ und „different terms“ gleich zu behandeln, da die Nichterwähnung des Begriffs „different“ lediglich auf ein Redaktionsversehen des Gesetzgebers zurückzuführen ist, so dass § 2207 (2), zweiter Satz bzw. § 2207 (2) (a)-(c) auch auf „different terms“ Anwendung findet.12 Dies hat zur Folge, dass in diesen Bundesstaaten sämtliche in der Annahme enthaltene Modifikationen zwischen Kaufleuten automatisch Vertragsbestandteil werden, es sei denn, dass eine der drei in § 2207 (2) (a)-(c) aufgeführten Ausnahmen vorliegt (s. o.). 21
Darüber hinaus existieren folgende weitere Mindermeinungen: –
First shot rule: Da eine Annahme vorliegt und die „different terms“ nicht von § 2207 (2) umfasst sind, sei die im Angebot enthaltene Klausel wirksam, d. h. diejenige Partei, die den „ersten Schuss“ gemacht hat (in Form des Angebots), gewinnt.13
11 Vgl. Northrop Corp. v. Litronic Indus., 29 F.3d 1173 (7th Cir. 1994) (applying Illinois law). 12 Vgl. Steiner v. Mobil Oil Corp., 569 P.2d 751 (Cal. 1977). 13 Vgl. Duesenberg/King/Gabriel/Henning, Sales & Bulk Transfers, vol. 3, Release 69 (November 2008), § 3.05 [1] [b], S. 3-83.
9
Lothar Determann/Daniel Robyn
–
Best shot rule: Die Klausel, die am „fairsten“ ist, solle Geltung finden.14
–
Last shot rule: Da die Annahme „different terms“ enthalte, stelle sie ein Gegenangebot dar, so dass ein Vertrag erst bei einer Annahme des Gegenangebots durch den Vertragspartner zustande komme, d. h. diejenige Partei, die den „letzten Schuss“ abfeuert (in Form des Gegenangebots bzw. der Annahme mit „different terms“), gewinnt.15
2. Praktische Auswirkungen anhand von Beispielsfällen 22 Die folgenden Beispielsfälle sollen verdeutlichen, wie unterschiedlich das Ergebnis der Anwendung von UCC § 2207 innerhalb der verschiedenen US-Bundesstaaten sein kann. Exemplarisch wird auf den Staat Illinois (Bundesstaat, in dem „additional terms“ unter § 2207 (2) fallen, jedoch „different terms“ nach der Knock-Out-Rule zu handhaben sind) und Kalifornien (Bundesstaat, in dem „additional terms“ und „different terms“ gleichgesetzt werden und nach § 2207 (2) zu behandeln sind), abgestellt. Des Weiteren wird in allen Beispielen unterstellt, dass beide Parteien Kaufleute sind, „US-Recht“ Anwendung findet und eine „vernünftige Zeit für die Dauer einer Garantie“ („warranty of a reasonable period of time“) 12 Monate beträgt. Des Weiteren werden die folgenden Abkürzungen verwendet: K = Käufer; V = Verkäufer; PO = Purchase Order. a) Beispiel 1 – „Garantiezeit von 24 oder 22 Monaten?“ 23 K bestellt im Wege einer PO, die eine Garantieklausel zugunsten des K von 24 Monaten enthält, Produkte bei V. V schickt K eine Auftragsbestätigung, die eine Garantieklausel von 22 Monaten enthält. V liefert die Produkte sodann an K, der selbige ordnungsgemäß bezahlt und verwendet. Nach 23 Monaten sind die Produkte defekt. Frage: Ist ein Vertrag zustande gekommen? Welche Garantiezeit gilt? aa) Illinois 24 Ein Vertrag ist nach § 2207 (1) zustande gekommen, denn die Tatsache, dass die in der Auftragsbestätigung des V enthaltene Garantieklausel von der des K abweicht, ist nach dieser Vorschrift unerheblich. Nach dem Recht des Staates Illinois ist danach zu fragen, ob die Garantieklausel des V ein „additional term“ oder „different term“ ist. Da die PO des K bereits eine Garantieklausel enthielt, die durch V abgeändert wurde, handelt es
14 Vgl. Stemp a. a. O., S. 247 ff., m. w. N. 15 Vgl. Duesenberg/King/Gabriel/Henning, a. a. O., S. 3-85.
10
Minimierung des US-(Produkt-)Haftungsrisikos
sich um einen „different term“, auf den § 2207 (2) nicht anzuwenden ist. Stattdessen werden beide Garantieklauseln nach der „Knock-Out-Rule“ eliminiert und es gelten die gesetzlichen Bestimmungen. Soweit keine anderen Vorschriften existieren gilt nach dem Uniform Commercial Code von Illinois die Garantiezeit für eine „vernünftige Zeitspanne“, die im Streitfall durch das Gericht festgelegt würde. Da von einer hypothetischen Dauer dieser Zeitspanne von 12 Monaten ausgegangen wird, würde die Garantiezeit im Beispielsfall 12 Monate betragen. bb) Kalifornien Auch nach kalifornischem Recht ist ein Vertrag gemäß § 2207 (1) zustan- 25 de gekommen. Allerdings findet – da „different terms“ und „additional terms“ gleichbehandelt werden – auf die „unterschiedlichen“ Garantieklauseln § 2207 (2) Anwendung, so dass die 22-monatige Garantieklausel des V grundsätzlich Vertragsbestandteil geworden ist, es sei denn eine der Ausnahmen des § 2207 (2) (a)-(c) liegt vor. Da K die Annahme seiner PO nicht ausdrücklich auf die in der PO enthaltenen Klauseln beschränkt (§ 2207 (2) (a)) und auch der Garantieklausel des V nicht widersprochen (§ 2207 (2) (c)) hat, stellt sich lediglich gemäß § 2207 (2) (b) die Frage, ob in der 22-monatigen Garantieklausel des V eine „wesentliche Änderung“ des Vertrags vorliegt. Im Streitfall hätte also ein Gericht darüber zu entscheiden, ob die Reduzierung der 24-monatigen Garantiezeit auf eine 22-monatige Zeitspanne eine „wesentliche Änderung“ darstellt. b) Beispiel 2 Die AGB des K beinhalten eine Schutzklausel, nach der K nur dann 26 einen Vertrag eingeht, wenn V den AGB des K zustimmt. Im Gegenzug beinhalten die AGB des V ebenfalls eine entsprechende Schutzklausel, wonach V nur dann vertraglich gebunden wird, wenn K den AGB des V zustimmt. K sendet V eine PO zu, nach der die Garantiezeit für die von V zu liefernden Produkte zeitlich unlimitiert ist. V sendet K eine Auftragsbestätigung, in der V jegliche Garantien ausschließt („disclaimer of warranties“). V liefert die Produkte sodann an K, der selbige ordnungsgemäß bezahlt und verwendet. Nach sieben Monaten sind die Produkte defekt. Frage: Ist ein Vertrag zustande gekommen? Welche Garantiezeit gilt? aa) Illinois Da sowohl die AGB des K als auch die des V eine Schutzklausel beinhal- 27 ten, nach der die Parteien nur dann vertraglich gebunden sein wollen, wenn ihre eigenen AGB gelten, ist davon auszugehen, dass ein Vertrag
11
Lothar Determann/Daniel Robyn
auf Grundlage der ausgetauschten AGB gemäß § 2207 (1) nicht zustande gekommen ist. Allerdings haben die Parteien durch ihr Verhalten konkludent einen Vertrag gemäß § 2207 (3) geschlossen, so dass der Vertragsinhalt nach den folgenden Maßgaben zu bestimmen ist: 1. Soweit die AGB des K und V übereinstimmen sind derartige übereinstimmende Klauseln Vertragsinhalt geworden. 2. Im Übrigen gelten die gesetzlichen Regelungen von Illinois. Da die AGB bzgl. der Garantiezeit nicht übereinstimmen, gilt – soweit keine anderen Vorschriften existieren – nach dem Uniform Commercial Code von Illinois die Garantie für eine „vernünftige Zeitspanne“, die im Streitfall durch das Gericht festgelegt würde. Da von einer hypothetischen Dauer dieser Zeitspanne von 12 Monaten ausgegangen wird, würde die Garantiezeit im Beispielsfall 12 Monate betragen, mit der Folge, dass K in diesem Beispielsfall einen Garantieanspruch gegen V hätte, da die Produkte bereits nach sieben Monaten einen Defekt aufwiesen. bb) Kalifornien 28 Die Gerichte in Kalifornien müssten zu demselben Ergebnis wie in Illinois gelangen, da davon auszugehen ist, dass auch hier § 2207 (3) angewendet wird. 3. Wie kann man die „Battle of the Forms“ gewinnen? 29 Idealerweise sollte versucht werden, die „Battle of the Forms“ gänzlich zu vermeiden, um die hiermit verbundenen Rechtsunsicherheiten auszuschalten (vgl. dazu unten). Soweit dies nicht möglich oder erwünscht ist, kann eine Partei die „Battle of the Forms“ u. a. durch Verwendung bestimmter Schutzklauseln in ihren AGB gewinnen. So kommen z. B. folgende – hier nur beispielhaft genannte und nicht als abschließend zu verstehende – Maßnahmen in Betracht: –
Schutzklausel des Anbietenden: Der Anbietende kann seine AGB mit einer Schutzklausel dergestalt versehen, dass es nur dann zu einem Vertragsschluss kommt, wenn der Vertragspartner das Angebot so annimmt, wie es abgegeben wurde (vgl. § 2207 (2) (a)).
–
Schutzklausel des Annehmenden: Diejenige Partei, der ein Angebot gemacht wurde und die mit „additional“ oder „different terms“ darauf reagieren möchte, kann in ihre AGB eine Schutzklausel einbauen gemäß derer ihre Annahme ausdrücklich unter die Bedingung gestellt wird, dass ein Vertrag durch diese Annahme nur dann geschlossen wird, wenn der Anbietende den „additional“ oder „different terms“
12
Minimierung des US-(Produkt-)Haftungsrisikos
zustimmt (vgl. § 2207 (1)). In diesem Fall stellt die Annahme ein Gegenangebot dar, das durch den Vertragspartner angenommen werden müsste, so dass es nicht automatisch zu einem Vertragsschluss kommt. –
Rechtzeitiger Widerspruch: Eine Partei legt gegen diejenigen Klauseln der anderen Partei, denen nicht zugestimmt werden kann, entweder bereits im Vorfeld oder aber nach Kenntniserlangung – und dann rechtzeitig – (schriftlichen) Widerspruch ein (vgl. § 2207 (2) (c)).
4. Wie kann man die „Battle of the Forms“ vermeiden? Um die mit der „Battle of the Forms“ – insbesondere im internationa- 30 len Rechtsverkehr – bestehende Rechtsproblematik zu vermeiden, sollte den Vertragsparteien daran gelegen sein, eine klare vertragliche Abrede zu treffen, aus der die Rechte und Pflichten jeder Partei unzweideutig entnommen werden können. Idealerweise geschieht dies durch die Erstellung eines individuell ausgehandelten Vertragswerks, das durch die Vertragsparteien unterzeichnet wird. Soweit dies nicht möglich sein sollte und stattdessen die jeweilige Vertragspartei ihre eigenen AGB verwendet, so sollten die Parteien grundsätzlich bestehende Unklarheiten identifizieren und mit der anderen Partei hierüber kommunizieren, so dass eine entsprechende Einigung erzielt werden kann (eine andere Interessenlage kann sich allerdings z. B. dann ergeben, wenn bestimmte Unklarheiten eindeutig zu Lasten einer Partei gehen, so dass u. U. deren Beibehaltung von der anderen Partei gewünscht wird). III. Inhaltliche Gestaltung von AGB und Individualverträgen nach „US-Recht“ Egal ob ein Vertrag mit einem US-Vertragspartner individuell verhandelt 31 wird oder auf Basis von AGB zustande kommt, so sollte sich ein europäisches Unternehmen darüber bewusst sein, dass es – je nachdem, ob es in der Rolle des Käufers oder Verkäufers ist – u. U. von Vorteil sein kann, wenn die Anwendung von „US-Recht“ vereinbart wird. Soweit es sich in der Verkäuferrolle befindet, ist „US-Recht“ grundsätzlich u. a. deshalb – z. B. gegenüber deutschem Recht – vorzuziehen, weil mangels spezialgesetzlicher AGB-Regelungen in den USA weitgehende Vertragsfreiheit im „B2B“-Bereich existiert16 und verschiedene Möglichkeiten zur Haftungs-
16 Allerdings ist natürlich auch in den USA eine Inhaltsüberprüfung von B2B Verträgen in gewissem Umfang möglich. So kennt z. B. das kalifornische Zivilgesetzbuch u. a. eine Generalklausel, nach der Verträge dem Grundsatz von
13
Lothar Determann/Daniel Robyn
begrenzung gegeben sind. Mitunter wird ein europäisches Unternehmen aber auch deshalb der Vereinbarung von „US-Recht“ zustimmen, weil es dem US-Vertragspartner ein Entgegenkommen signalisieren will oder die entsprechende Verhandlungsstärke nicht vorhanden ist. 32 Soweit „US-Recht“ Anwendung findet, sollte ein europäisches Unternehmen u. a. Kenntnis über die folgenden Grundlagen bzgl. der inhaltlichen Gestaltung von Individualverträgen bzw. AGB haben: 1. Warranties 33 Verträge, die nach „US-Recht“ gestaltet sind, unterliegen oftmals einer Vielzahl von „warranties“ (vergleichbar mit einer Garantie),17 die i. d. R. durch den Verkäufer abgegeben werden und sich im allgemeinen auf das zu verkaufende Produkt beziehen.18 Eine „warranty“ ist ein Versprechen oder eine Bestätigung, dass eine Tatsache der Wahrheit entspricht, wobei dieses Versprechen mündlich, schriftlich, ausdrücklich oder konkludent erfolgen kann.19 Für den Verkäufer können „warranties“ zur potentiellen Haftungsfalle werden, so dass es sich auf Verkäuferseite empfiehlt, von den umfassenden Ausschlussmöglichkeiten („disclaimer of warranties“) Gebrauch zu machen. Dabei sind jedoch bestimmte Form- und Inhaltserfordernisse zu beachten,20 die im Rahmen der unten dargestellten „Abwehrmaßnahmen“ näher erläutert werden. Zudem gibt es insbesondere
17
18
19 20
14
„Treu und Glauben“ entsprechen müssen, vgl. Cal. Civ. Code 1670.5: „(a) If the court as a matter of law finds the contract or any clause of the contract to have been unconscionable at the time it was made the court may refuse to enforce the contract, or it may enforce the remainder of the contract without the unconscionable clause, or it may so limit the application of any unconscionable clause as to avoid any unconscionable result. (b) When it is claimed or appears to the court that the contract or any clause thereof may be unconscionable the parties shall be afforded a reasonable opportunity to present evidence as to its commercial setting, purpose, and effect to aid the court in making the determination.“ Zur Abgrenzung zwischen „warranty“ und „guarantee“ im Zusammenhang mit Software und Computerprodukten, vgl. Determann/Krüdewagen, Manufacturer Guarantees in Global Commerce, Computer Law Review International, February 15, 2004, S. 12 ff. Daneben existieren sog. „representations“, worunter man eine sich auf eine Tatsache oder Lebenssachverhalt beziehende mündliche oder schriftliche Aussage versteht, die geeignet ist, beim Vertragspartner Vertrauen zu erwecken und diesen zum weiteren Handeln (z. B. zum Vertragsabschluss) zu bewegen, vgl. Kuney/Looper, California Law of Contracts, § 6.1, m. w. N. Kuney/Looper, California Law of Contracts, § 6.1, m. w. N. Vgl. UCC § 2316; vgl. auch UCC § 2312 (2).
Minimierung des US-(Produkt-)Haftungsrisikos
bei Verträgen mit Verbrauchern, die Konsumgüter („consumer goods“) zum Gegenstand haben, sowohl auf einzelstaatlicher als auch auf Bundesebene einige Spezialgesetze wie z. B. die folgenden: –
–
Auf Bundesebene: –
Magnuson-Moss Warranty – Federal Trade Commission Improvement Act;21
–
FTC Regulations Concerning Written Consumer Warranties.
In Kalifornien: –
Consumer Legal Remedies Act (Cal Civ. Code §§ 1750-1784);
–
Song-Beverly Consumer Warranty Act („Lemon Law“) (Cal Civ. Code §§ 1790-1795.8);
–
Motor Vehicle Warranty Adjustment Programs (Cal Civ. Code §§ 1795.90-1795.93);
–
Standards for Warranty Work (Cal Civ. Code §§ 1796, 1796.5);
–
Mobilehome Warranties (Cal Civ. Code §§ 1797-1797.7);
–
Grey Market Goods (Cal Civ. Code §§ 1797.8-1797.86);
–
Home Roof Warranties (Cal Civ. Code §§ 1797.90-1797.96).
Grundsätzlich ist zwischen den folgenden „warranties“22 zu unterschei- 34 den: –
„Express warranties“: „Warranties“, die entweder ausdrücklich (z. B. durch mündliche Aussagen, Produktbroschüren oder Werbungen) gemacht werden oder durch die Aushändigung von Musterexemplaren oder durch sonstiges Verhalten des Verkäufers entstehen.23 Abwehrmaßnahme: Disclaimer of Warranties, wobei folgendes zu beachten ist: –
Neben einem schriftlichen Disclaimer ist gemäß § 2312 (1) auch grundsätzlich ein mündlicher Disclaimer möglich („...words or conduct tending to negate or limit warranty...“).
21 Vgl. hierzu Determann/Krüdewagen, Written Guarantees Must be Clearly Limited, Precise, San Francisco Daily Journal, May 25, 2004, S. 5. Zu „warranties“ und „disclaimers“ im Zusammenhang mit Open Source Licensing vgl. Determann/Pixley/Shapiro, Managing Commercial Risks in Open Source Software Licensing, 2 Journal of Intellectual Property & Practice 770 (2007). 22 Zur „Lifetime Warranty“ vgl. Determann/Splittgerber, The Meaning of ‚Life‘, San Francisco Daily Journal, August 4, 2008. 23 Vgl. UCC § 2313.
15
Lothar Determann/Daniel Robyn
–
Die Wortwahl des Disclaimers ist sorgfältig zu wählen, da er ansonsten u. U. nicht durchsetzbar ist.24
–
Darüber hinaus kann sich aus prozessualer Sicht ein sog. „Parol Evidence Rule“ Problem z. B. in Situationen ergeben, in denen der Verkäufer z. B. mündliche „warranties“ abgegeben hat, jedoch später im schriftlichen Vertrag sämtliche „express warranties“ im Wege eines Disclaimers ausgeschlossen werden. Nach der Parol Evidence Rule können vorherige widersprüchliche Abreden grundsätzlich dann nicht als Beweismittel in den Prozess eingeführt werden, wenn der später abgeschlossene schriftliche Vertrag von den Parteien als „endgültiges Vertragsdokument“ intendiert war.25 Um dem Gericht später ein Indiz dafür zu liefern, dass ein Vertrag in der Tat als „endgültiges Vertragsdokument“ intendiert war, wird in US-Verträgen zumeist eine sog. „Merger Clause“ eingefügt, die besagt, dass der Vertrag die vollständige Abrede der Parteien umfassend und abschließend reflektiert, so dass alle vorherigen Abreden damit überholt sind. Jedoch sind die Gerichte nicht unbedingt daran gehalten, diese Klausel als zwingend anzusehen. In Kalifornien z. B. ist eine solche Vorschrift lediglich „strong evidence of the parties’ intent“, jedoch nicht „conclusive“.26
–
Wenn im schriftlichen Vertrag eine „express warranty“ gemacht wird, jedoch der Vertrag gleichfalls einen „disclaimer of express warranties“ enthält, wird der Disclaimer gemäß § 2316 (1) inso-
24 Vgl. Computerized Radiological Servs. v. Syntex Corp., 595 F. Supp. 1495 (1506) (ED NY 1984), affirmed in part and revised in part on other grounds (2d Cir 1986), 786 F2d 72 (construing California law): Der Verkäufer wollte „express warranties“ mit dem Hinweis „No other warranty except Title to Materials furnished shall be implied with respect to this order...“, jedoch legte das Gericht diesen „disclaimer“ so aus, dass lediglich „implied warranties“ von ihm umfasst seien. 25 Vgl. UCC § 2202: „Terms with respect to which the confirmatory memoranda of the parties agree or which are otherwise set forth in a writing intended by the parties as a final expression of their agreement with respect to such terms as are included therein may not be contradicted by evidence of any prior agreement or of a contemporaneous oral agreement but may be explained or supplemented (a) By course of dealing, course of performance, or usage of trade (Section 1303); and (b) By evidence of consistent additional terms unless the court finds the writing to have been intended also as a complete and exclusive statement of the terms of the agreement.“ 26 Vgl. Sierra Diesel Injection Serv., Inc. v. Burroughs Corp. (9th Cir. 1989), 890 F2d 108; vgl. auch Thomas Ross, California UCC Sales and Leases (CEB), vol. 1, § 3.52.
16
Minimierung des US-(Produkt-)Haftungsrisikos
weit unwirksam sein, da derartige Widersprüchlichkeiten zu Lasten des Disclaimers gehen.27 –
„Implied warranties“: Konkludente „warranties“, von denen es herkömmlicherweise zwei bekannte Untergruppen gibt: –
„Warranty of merchantability“:28 Dass das Produkt der herkömmlichen Qualität anderer Produkte seiner Gattung entspricht und für seinen bestimmungsgemäßen Gebrauch geeignet ist, wobei diese Art der implied warranty nur dann existiert, wenn der Verkäufer ein Kaufmann ist. Abwehrmaßnahme: Disclaimer of Warranties, wobei folgendes zu beachten ist: –
Neben einem schriftlichen Disclaimer ist gemäß § 2312 (2) auch ein mündlicher Disclaimer möglich.
–
Das Wort „merchantability“ muss gemäß § 2316 (2) ausdrücklich erwähnt werden.29
–
Soweit der Disclaimer schriftlich erfolgt, muss er das Erfordernis der „Conspicuousness“ („Deutlichkeit“) erfüllen, was dann der Fall ist, wenn eine vernünftige Person, gegen die der Disclaimer verwendet wird, von selbigem hätte Notiz erlangen können („whether a reasonable person against whom it [the disclaimer] is to operate ought to have noticed it“). Hierfür ist gemäß § 1201 (b) (10) die graphische Hervorhebung sowohl der Überschrift als auch des Textes des Disclaimers ausreichend.30
27 Vgl. UCC § 2316 (1): „Words or conduct relevant to the creation of an express warranty and words or conduct tending to negate or limit warranty shall be construed wherever reasonable as consistent with each other; but subject to the provisions of this division on parol or extrinsic evidence (Section 2202) negation or limitation is inoperative to the extent that such construction is unreasonable.“ 28 Vgl. UCC § 2314. 29 Vgl. UCC § 2316 (2): „(2) Subject to subdivision (3), to exclude or modify the implied warranty of merchantability or any part of it the language must mention merchantability and in case of a writing must be conspicuous, and to exclude or modify any implied warranty of fitness the exclusion must be by a writing and conspicuous. Language to exclude all implied warranties of fitness is sufficient if it states, for example, that „There are no warranties which extend beyond the description on the face hereof.“ 30 Vgl. UCC § 1201 (b) (10): „„Conspicuous,“ with reference to a term, means so written, displayed, or presented that a reasonable person against whom it is to operate ought to have noticed it. Whether a term is „conspicuous“ or not is a decision for the court. Conspicuous terms include the following: (A) a heading in capitals equal to or greater in size than the surrounding text, or in contrasting type, font, or color to the surrounding text of the same or lesser
17
Lothar Determann/Daniel Robyn
–
–
31
32
33 34
18
Es kann zudem Gesetze geben, die weitere Erfordernisse aufstellen. So ist z. B. in Kalifornien aufgrund des Song-Beverly Consumer Warranty Act im Zusammenhang mit dem Verkauf von Konsumgütern („consumer goods“) ein Disclaimer der „warranty of merchantability“ grundsätzlich verboten.31 Ein anderes Beispiel ist der Verkauf von Pestiziden, für den bzgl. „implied warranties“ in Kalifornien Sondervorschriften gelten.32
„Warranty of fitness for a particular purpose“:33 Zusicherung, dass das Produkt für seinen besonderen Gebrauchszweck geeignet ist, wobei diese Art der implied warranty grundsätzlich bei jedem Vertrag gilt (soweit es sich um „sale of goods“ handelt), also nicht nur dann, wenn der Verkäufer ein Kaufmann ist. Abwehrmaßnahme: Disclaimer of Warranties, wobei folgendes zu beachten ist: –
Der Disclaimer muss gemäß UCC § 2316 (2) schriftlich erfolgen.
–
Das Erfordernis der „Conspicuousness“ muss erfüllt sein (vgl. dazu obige Erläuterungen bei warranty of merchantability).
–
Wiederum kann es andere Gesetze geben, die weitere Erfordernisse aufstellen. So ist z. B. in Kalifornien aufgrund des Song-Beverly Consumer Warranty Act im Zusammenhang mit dem Verkauf von Konsumgütern („consumer goods“) ein Disclaimer der „warranty of fitness for a particular purpose“ grundsätzlich verboten. Ein anderes Beispiel ist wiederum der Verkauf von Pestiziden, für den bzgl. „implied warranties“ in Kalifornien Sondervorschriften gelten.34
size; and (B) language in the body of a record or display in larger type than the surrounding text, or in contrasting type, font, or color to the surrounding text of the same size, or set off from surrounding text of the same size by symbols or other marks that call attention to the language.“ Vgl. Cal. Civ. Code § 1792.3: „No implied warranty of merchantability and, where applicable, no implied warranty of fitness shall be waived, except in the case of a sale of consumer goods on an „as is“ or „with all faults“ basis where the provisions of this chapter affecting „as is“ or „with all faults“ sales are strictly complied with. Vgl. Food & Agricultural Code § 12854: „No limitations of warranty by the seller shall exclude or waive either of the following implied warranties: (a) That the pesticide corresponds to all claims and descriptions that the registrant has made in respect to it in print. (b) That the pesticide is reasonably fit for use for any purpose for which it is intended according to any printed statement of the registrant.“ Vgl. UCC § 2315. Vgl. Food & Agricultural Code § 12854: „No limitations of warranty by the seller shall exclude or waive either of the following implied warranties: (a) That
Minimierung des US-(Produkt-)Haftungsrisikos
–
„Statutory warranties“: Hierbei handelt es sich um gesetzlich festgelegte „warranties“, von denen es im Wesentlichen zwei Arten gibt: –
„Warranty of title“:35 Dass das Eigentum unbelastet übertragen werden kann. Diese „warranty of title“ wird in jeden „sale of goods“-Vertrag hineingelesen (also nicht nur dann, wenn der Verkäufer ein Kaufmann ist). Abwehrmaßnahme: Disclaimer of Warranties, wobei folgendes zu beachten ist: –
–
Der Disclaimer muss gemäß § 2312 (2) eine bestimmte Wortwahl („specific language“) beinhalten, aus der hervorgeht, dass die „warranty of title“ ausgeschlossen werden soll. Der Begriff „warranty of title“ sollte ausdrücklich erwähnt werden. Wenngleich die „warranty of title“ in jeden „sale of goods“Vertrag hineingelesen wird, handelt es sich nicht um eine „implied warranty“. Aus diesem Grunde wird – zumindest in Kalifornien – die „warranty of title“ nicht wirksam durch einen „all warranties, express or implied“-Disclaimer ausgeschlossen.36
„Warranty against infringement“:37 Dass das übertragene Rechtsgut frei von Patent- und Markenrechten Dritter ist. Diese Art der warranty existiert gemäß § 2312 (3) bei einem „sale of goods“Vertrag nur dann, wenn der Verkäufer ein Kaufmann ist. Abwehrmaßnahme: Disclaimer of Warranties, wobei folgendes zu beachten ist: –
§ 2312 (3) stellt keine Spezialanforderungen an den Disclaimer. Jedoch sollte er vorsichtshalber eine bestimmte Wortwahl beinhalten, aus der hervorgeht, dass die „warranty against infringement“ ausgeschlossen werden soll.
2. Limitation of liability Der Verkäufer und ggfs. auch der Käufer wird i. d. R. ein Interesse daran 35 haben, etwaige aus der Transaktion resultierende Folgeschäden („consequential damages“) zu limitieren oder auszuschließen, da diese zum einen unvorhersehbar sind und der Höhe nach beträchtlich sein können.
the pesticide corresponds to all claims and descriptions that the registrant has made in respect to it in print. (b) That the pesticide is reasonably fit for use for any purpose for which it is intended according to any printed statement of the registrant.“ 35 Vgl. UCC § 2312 (1). 36 Vgl. Ross, a. a. O., § 3.65. 37 Vgl. UCC § 2312 (3).
19
Lothar Determann/Daniel Robyn
Nach § 2719 (3)38 ist eine Limitierung bzw. ein Ausschluss von „consequential damages“ grundsätzlich zulässig, es sei denn, dass ein Verstoß gegen Treu und Glauben vorliegt („consequential damages may be limited or excluded unless the limitation or exclusion is unconscionable“). 36 Allerdings ist zu beachten, dass bei der Limitierung von „consequential damages“ im Zusammenhang von Personenschäden, die durch Konsumgüter („consumer goods“) verursacht werden, ein Verstoß gegen den Grundsatz von Treu und Glauben widerlegbar vermutet wird, wohingegen bei rein wirtschaftlichem Verlust eine widerlegbare Vermutung zugunsten der Wirksamkeit der Limitierungsklausel gegeben ist. Der Wortlaut der Ausschluss- bzw. Limitierungsklausel sollte sorgfältig gewählt werden, um die Wahrscheinlichkeit der gerichtlichen Durchsetzbarkeit dieser Vorschrift nicht unnötig zu gefährden. 3. Indemnification 37 Unter „indemnification“ oder „indemnity agreement“ versteht man im Grundsatz das vertragliche Versprechen einer Partei, ihren Vertragspartner vor den rechtlichen Konsequenzen des Verhaltens oder Unterlassens irgendeiner der Vertragsparteien oder eines Dritten zu schützen.39 Dabei kann sich ein Unternehmen grundsätzlich auch für seine eigene Fahrlässigkeit durch den Vertragspartner schützen lassen, wobei dies allerdings bei einigen Vertragstypen (z. B. in Bau- und Transportverträgen)40 nicht wirksam vereinbart werden kann41 und darüber hinaus u. U. besondere Anforderungen an den Wortlaut der Klausel gestellt werden (so sollte sich eine solche Klausel in Kalifornien z. B. ausdrücklich auf „active and passive negligence“ der schadlos zu haltenden Partei beziehen).42 „In38 UCC § 2719 (3): „Consequential damages may be limited or excluded unless the limitation or exclusion is unconscionable. Limitation of consequential damages for injury to the person in the case of consumer goods is invalid unless it is proved that the limitation is not unconscionable. Limitation of consequential damages where the loss is commercial is valid unless it is proved that the limitation is unconscionable.“ 39 So lautet die Definition von „indemnity“ im Zivilgesetzbuch Kaliforniens z. B. wie folgt: „Indemnity is a contract by which one engages to save another from a legal consequence of the conduct of one of the parties, or of some other person.“, vgl. Cal. Civ. Code § 2772. 40 Für ‚Construction Contracts“ in Kalifornien, vgl. Cal. Civ. Code § 2782; für „Hauling, Trucking or Cartage Contracts“ in Kalifornien, vgl. Cal. Civ. Code § 2784.5. 41 Vgl. Bay Dev., Ltd. 50 CA3d, 1033; Plant Insulation Co. v. Fibreboard Corp., 224 CA 3d 781 (1990); Kuney/Looper, California Law of Contracts, § 6.51. 42 Vgl. Kuney/Looper, California Law of Contracts, § 6.51.
20
Minimierung des US-(Produkt-)Haftungsrisikos
demnification clauses“ sind ihrer Natur nach einseitig und werden nicht als gegenseitig geltende Bestimmungen ausgelegt,43 so dass sie in einem Vertrag grundsätzlich einseitig zugunsten nur einer Vertragspartei (z. B. zugunsten des Verkäufers) verwendet werden können. Je nachdem, ob eine Indemnification-Klausel für eine Vertragspartei vor- 38 oder nachteilhaft, kann sie entweder eine Haftungserleichterung oder aber eine Haftungsfalle darstellen, denn eine solche Klausel umfasst – jedenfalls nach kalifornischem Zivilrecht – nicht nur die Verpflichtung zur Erstattung einer etwaig zu zahlenden Urteilssumme, sondern grundsätzlich auch zur Verteidigung („duty to defend“)44 und zur Erstattung der Rechtsanwalts- und Gerichtskosten.45 Bei der Formulierung von Indemnification-Klauseln sollte wiederum der 39 Wortlaut sorgfältig gewählt sein, um u. a. sicherzustellen, dass diejenigen Sachverhalte, für die der Vertragspartner zur Schadloshaltung herangezogen werden soll, abgedeckt sind. Zudem ist auf etwaige einzelstaatliche Besonderheiten zu achten. So unterscheidet das kalifornische Zivilgesetzbuch z. B. danach, ob der Wortlaut einer solchen Klausel eine „indemnity against liability“ oder eine „indemnity against loss“ darstellt. Im erstgenannten Fall ist die zu entschädigende Partei („indemnitee“) zur Schadloshaltung im Zeitpunkt des Erlasses eines Urteils berechtigt (ohne dass eine Zahlung auf das Urteil erfolgt ist), wohingegen im zweitgenannten Fall dies erst dann der Fall ist, wenn der „Indemnitee“ den im Urteil festgestellten Anspruch tatsächlich befriedigt hat.46
43 Vgl. Kuney/Looper, California Law of Contracts, § 9.14 (wobei jedoch folgende Ausnahme gilt: „If, however, the indemnity clause is drafted to provide for recovery of attorney fees for enforcement of the agreement, CC § 1717 (a) will apply and the clause will be deemed to be reciprocal.“). 44 Vgl. Vgl. Cal. Civ. Code § 2278 (4): „The person indemnifying is bound, on request of the person indemnified, to defend actions or proceedings brought against the latter in respect to the matters embraced by the indemnity, but the person indemnified has the right to conduct such defenses, if he chooses to do so...“. 45 Vgl. Cal. Civ. Code § 2278 (3): „An indemnity against claims, or demands, or liability, expressly, or in other equivalent terms, embraces the costs of defense against such claims, demands, or liability incurred in good faith, and in the exercise of a reasonable discretion...“. 46 Vgl. Cal. Civ. Code § 2278 (1) und (2): „1. Upon an indemnity against liability, expressly, or in other equivalent terms, the person indemnified is entitled to recover upon becoming liable; 2. Upon an indemnity against claims, or demands, or damages, or costs, expressly, or in other equivalent terms, the person indemnified is not entitled to recover without payment thereof...“. Ein
21
Lothar Determann/Daniel Robyn
4. Choice of Law 40 Oftmals fällt es den Vertragsparteien schwer, sich auf die Wahl des Rechts eines Landes oder eines US-Bundesstaates zu einigen. Dies liegt in vielen Fällen daran, dass die Parteien aus Angst oder Unkenntnis des ausländischen Rechts jeweils auf ihrem eigenen „Heimatrecht“ bestehen. In diesen Fällen einigen sich die Parteien häufig auf eine „Kompromisslösung“ dergestalt, dass das Recht eines Drittlandes bzw. eines Dritt-US-Bundesstaats vereinbart wird. Wird das Produkt z. B. in Deutschland hergestellt und an einen Käufer in Texas verlauft, so kann es sein, dass der Verkäufer nicht gewillt ist, das Recht des Staates Texas Anwendung finden zu lassen und der Käufer mit der Wahl deutschen Rechts nicht einverstanden ist, so dass letztlich z. B. kalifornisches Recht gewählt wird (obwohl zu Kalifornien kein anderweitiger Bezug besteht). Aus praktischer Sicht sollten dabei u. a. die folgenden Gesichtspunkte berücksichtigt werden: –
„US-Recht“ kann vorteilhaft sein: Wie bereits erläutert kann gerade dann, wenn sich ein europäisches Unternehmen in der Verkäuferrolle befindet, die Vereinbarung des Rechts eines US-Bundesstaates – aufgrund des Fehlens spezialgesetzlicher AGB-Regelungen in den USA und der Möglichkeit umfassender Haftungsausschlüsse – durchaus vorteilhafter sein als die Anwendung des Rechts des Heimatlandes.
–
„Nexus“-Erfordernis bei der Vereinbarung des Rechts eines Drittstaates: Wenn bei einer „sale of goods“-Transaktion „hinreichende Berührungspunkte“ („reasonable relation“) sowohl zum Staat Kalifornien als auch zu einem anderen US-Bundesstaat oder zu einem anderen Land besteht, kann nach kalifornischem Recht gemäß § 1301 (a)47 entweder kalifornisches Recht oder aber das Recht des entsprechenden anderen US-Bundesstaates oder Landes gewählt wer-
„Becoming liable“ liegt i. d. R. dann vor, wenn ein Urteil gegen den Indemnitee ergangen ist, vgl. Kuney/Looper, California Law of Contracts, § 6.51. 47 Vgl. UCC § 1301: „(a) Except as otherwise provided in this section, when a transaction bears a reasonable relation to this state and also to another state or nation, the parties may agree that the law either of this state or of the other state or nation shall govern their rights and duties. (b) In the absence of an agreement effective under subdivision (a), and except as provided in subdivision (c), this code applies to transactions bearing an appropriate relation to this state. (c) If one of the following provisions specifies the applicable law, that provision governs and a contrary agreement is effective only to the extent permitted by the law so specified: (1) Section 2402. (2) Section 4102. (3) Section 5116. (4) Section 6103. (5) Section 8110. (6) Sections 9301 to 9307, inclusive. (7) Sections 10105 and 10106. (8) Section 11507.“
22
Minimierung des US-(Produkt-)Haftungsrisikos
den.48 Im Umkehrschluss kann demnach kalifornisches Recht grundsätzlich nicht wirksam vereinbart werden, wenn die Transaktion zu Kalifornien keine „hinreichenden Berührungspunkte“ aufweist. Von dieser Vorschrift gibt es jedoch im kalifornischen Zivilgesetzbuch eine wesentliche Ausnahme: Nach Cal. Civ. Code § 1646.549 kann bei Transaktionen, in denen es um insgesamt mindestens $ 250.000 geht, kalifornisches Recht auch dann vereinbart werden, wenn zu Kalifornien keine „hinreichenden Berührungspunkte“ bestehen. Andere Bundesstaaten wie z. B. New York,50 Texas und Delaware, verfügen über ähnliche Vorschriften.
48 Die meisten US-Bundesstaaten haben ähnliche Vorschriften erlassen, die sich im Grundsatz an § 187 (2) des Restatement (Second) of Conflict of Laws anlehnen: „(2) The law of the state chosen by the parties to govern their contractual rights and duties will be applied, even if the particular issue is one which the parties could not have resolved by an explicit provision in their agreement directed to that issue, unless either (a) the chosen state has no substantial relationship to the parties or the transaction and there is no other reasonable basis for the parties’ choice, or (b) application of the law of the chosen state would be contrary to a fundamental policy of a state which has a materially greater interest than the chosen state in the determination of the particular issue and which, under the rule of § 188, would be the state of the applicable law in the absence of an effective choice of law by the parties.“ 49 Vgl. Cal. Civ. Code § 1646.5. „Notwithstanding Section 1646, the parties to any contract, agreement, or undertaking, contingent or otherwise, relating to a transaction involving in the aggregate not less than two hundred fifty thousand dollars ($ 250,000), including a transaction otherwise covered by subdivision (a) of Section 1301 of the Commercial Code, may agree that the law of this state shall govern their rights and duties in whole or in part, whether or not the contract, agreement, or undertaking or transaction bears a reasonable relation to this state...“. 50 Für New York, vgl. General Obligations Law § 5-1401: „1. The parties to any contract, agreement or undertaking, contingent or otherwise, in consideration of, or relating to any obligation arising out of a transaction covering in the aggregate not less than two hundred fifty thousand dollars, including a transaction otherwise covered by subsection one of section 1-105 of the uniform commercial code, may agree that the law of this state shall govern their rights and duties in whole or in part, whether or not such contract, agreement or undertaking bears a reasonable relation to this state. This section shall not apply to any contract, agreement or undertaking (a) for labor or personal services, (b) relating to any transaction for personal, family or household services, or (c) to the extent provided to the contrary in subsection two of section 1-105 of the uniform commercial code. 2. Nothing contained in this section shall be construed to limit or deny the enforcement of any provision respecting choice of law in any other contract, agreement or undertaking.“
23
Lothar Determann/Daniel Robyn
–
Geltung des UN-Kaufrechts: Soweit das UN-Kaufrecht nicht durch beide Parteien gem. Art. 6 CISG ausgeschlossen wurde, könnten auch seine Vorschriften weiterhin zur Anwendung gelangen.
–
Anerkennung- und Vollstreckung von Urteilen:51 Die Rechtswahl sowie die damit i. d. R. einhergehende Wahl des Gerichtsstands kann für die Frage der Vollstreckbarkeit eines etwaigen Urteils von wesentlicher Bedeutung sein. Zwischen den USA und den verschiedenen Staaten Europas besteht bislang kein Abkommen, das die Vollstreckung von Gerichtsurteilen regelt. Vielmehr richtet sich diese in den USA und in Europa nach dem Recht der jeweiligen Einzelstaaten, so z. B. in Deutschland nach §§ 328, 722 ff. ZPO und – bei auf Zahlung einer Geldsumme gerichteten Urteilen – in einer Vielzahl von USBundesstaaten nach den sog. „Foreign-Country Money Judgments Recognition Acts“ (in Kalifornien z. B. enthalten in Cal. Code of Civ. Pro. §§ 1713-1724). Im Ergebnis ist demnach die Vollstreckung von US-Urteilen in Europa und von Urteilen europäischer Staaten in den USA – mangels entsprechender Staatsverträge – nicht garantiert. Selbst wenn eine Vollstreckung möglich ist kann diese u. U. mit hohem Kosten- und Zeitaufwand verbunden sein. Daher ist bei der Frage der Rechts- und Gerichtsstandswahl stets auch in Erwägung zu ziehen, in welchem US-Bundesstaat oder Land der Vertragspartner über Vermögen verfügt, in das – möglichst unproblematisch – vollstreckt werden könnte.
IV. Schlusswort 41 Wie dargestellt stehen einem Unternehmen, das Produkte in die USA liefert, zahlreiche vertragsgestalterische Mittel zur Verfügung, um seine Haftung im Verhältnis zum Vertragspartner zu begrenzen (z. B. „limitation of liability“), auszuschließen (z. B. „disclaimer of warranty“) oder auf den Vertragspartner abzuwälzen (z. B. „indemnification clause“). Dabei können sich jedoch im Einzelfall zahlreiche Rechtsprobleme ergeben, die ohne rechtlichen Beistand wohl nicht zu bewältigen sind (z. B. Battle of the Forms, konkrete inhaltliche und formgerechte Ausgestaltung von „disclaimer of warranty“ und „limitation of liability“).
51 Zur Vollstreckung einstweiliger Verfügungen in den USA vgl. Determann/ Ang-Olson, Recognition and Enforcement of Foreign Injunctions in the U. S. – Yahoo!, Inc. v. La Ligue Contre LeRacisme et L‘Antisemitisme, Computer Law Review International 2002, 12; republished in: Corporate Counsel’s International Advisor, August 1, 2004.
24
Minimierung des US-(Produkt-)Haftungsrisikos
Einen ersten Schritt hat das europäische Unternehmen aber bereits dann 42 getätigt, wenn es intern zur Erkenntnis darüber gelangt ist, dass der Handel mit den USA nach anderen Regeln ablaufen kann als denen, die im jeweiligen Heimatland Geltung finden – hierzu gehört z. B., dass die bloße englische Übersetzung der ansonsten verwendeten eigenen AGB bei Geschäften mit US-Kunden i. d. R. nicht ausreichend sein dürfte. In einem zweiten Schritt gilt es dann für das Unternehmen, eine Problemidentifikation zu betreiben, um die eigenen Schwachstellen im Geschäftsverkehr mit US-Vertragspartnern aufzudecken, die bislang bestehen (z. B. wenn bisher nach dem Motto „es wird schon gut gehen“ entweder trotz des Bestehens erheblicher Unsicherheiten oder gar ohne näheres Verständnis des Vertragsinhalts Geschäfte mit US-Partnern getätigt wurden). In einem dritten Schritt sollte dann für das Unternehmen die Problembeseitigung anstehen, die u. a. durch die Einschaltung interner oder externer Rechtsberater und die Schulung des Verkaufspersonals erreicht werden kann. Auch wenn die „US-Produkthaftung“ grundsätzlich nicht komplett aus- 43 geschlossen werden kann, so sollte die sorgfältige Vertragsgestaltung mit US-Unternehmen für ein europäisches Unternehmen ebenso zum Portfolio von Präventiv- und Sicherheitsmaßnahmen für den US-Markt gehören, wie beispielsweise die Qualitätssicherung, Einhaltung von USStandards und US-Versicherungsdeckung.
25
Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB Peter Bräutigam*/Florian Rockenbach** I. Möglichkeiten und Vorteile des IT-Outsourcings in der anwaltlichen Tätigkeit 1. Non-legal-Outsourcing 2. Legal-Outsourcing II. Kernproblem in rechtlicher Hinsicht: Vereinbarkeit mit § 203 StGB 1. Tatbestandsvoraussetzungen des § 203 StGB 2. Problematik der Strafbarkeit 3. Lösungsansätze III. 1. 2. 3.
Jetzt: Änderung von § 2 BORA Verfahrensstand Wortlaut der neuen Vorschrift Sinn und Zweck
IV. Rechtliche Würdigung 1. Satzungsermächtigung in § 59b BRAO 2. Zur Sozialadäquanz allgemein 3. Die Sozialadäquanz im Rahmen des § 203 StGB 4. Dogmatische Verortung 5. Die Reichweite der Sozialadäquanz 6. Auswirkungen der Neuregelung a) Ausweitung der Strafbarkeit auf Cloud-Provider b) Bedeutung für Zeugnisverweigerungsrecht/Beschlagnahmeverbot 7. Fazit
Längst hat die Digitalisierung auch die juristischen Berufe erreicht. Wäh- 1 rend in der Justiz vor allem die Einführung der elektronischen Akte zu Beginn des Jahres 2016 für Wirbel sorgte,1 vollzog auch der anwaltliche Büroalltag einen Wandel hin zur papierlosen Kanzlei, in der Akten immer abrufbereit auf mobilen Geräten zur Verfügung stehen. Mittlerweile hat sich ein eigener Markt für anwaltliche Outsourcing- und Cloud-Lösungen herausgebildet, der gezielt auch kleine und mittelständische Unternehmen anspricht. Bei all der Euphorie, die angesichts der zahlreichen Vorteile des Outsourcings entsteht, gerät die Frage nach seiner Zulässigkeit für Anwälte im Lichte des § 203 StGB allerdings ins Hintertreffen. Dieser Beitrag soll helfen, die viel diskutierte Änderung des § 2 BORA im
*
Prof. Dr. Peter Bräutigam, Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Honorarprofessor für Medien- und Internetrecht an der Universität Passau und Dozent für IT-Recht. ** Florian Rockenbach, Rechtsreferendar am Oberlandesgericht München. 1 Die NJW hat diesem Thema in der Ausgabe 38/2015 sogar ein eigenes Schwerpunktthema gewidmet.
27
Peter Bräutigam/Florian Rockenbach
Kontext des anwaltlichen Outsourcings einzuordnen und eine Prognose über seine Auswirkungen für die Praxis treffen. I. Möglichkeiten und Vorteile des IT-Outsourcings in der anwaltlichen Tätigkeit 2 Der Begriff des IT-Outsourcings umfasst die Übertragung der Verantwortung für die eigene EDV- und IT-Services an einen externen Dienstleister. Grundsätzlich können sämtliche Ebenen, Phasen und Tätigkeiten eines Unternehmens outgesourct werden.2 Im Fall der Anwaltskanzleien sind zwei Fallkonstellationen denkbar: Das Non-legal-Outsourcing und das Legal-Outsourcing. 1. Non-legal-Outsourcing 3 Beim Non-legal-Outsourcing bedient sich die Kanzlei für die Erbringung kanzleibezogener Hilfstätigkeiten eines externen Dienstleisters mit entsprechender Spezialisierung. Praxisrelevant sind insbesondere die Erledigung von Schreibarbeiten durch Schreibbüros3 oder die Wartung und Reparatur der EDV-Ausstattung.4 Der Vorteil besteht vor allem in einer höheren wirtschaftlichen Rentabilität, beim IT-Outsourcing aber insbesondere in der wesentlichen technischen Erleichterung der Vorgänge. 2. Legal-Outsourcing 4 Daneben ist – in Deutschland noch kaum verbreitet – auch das Outsourcing originär anwaltlicher Tätigkeiten denkbar.5 Unternehmen und Kanzleien können sich so durch die Beauftragung eines „Legal Process Outsourcing“(„LPO“)-Anbieters im Bedarfsfall die Vorhaltung eigener Angestellter für Recherchetätigkeiten6 oder gar Rechtsanwälte7 sparen.
2 3 4 5 6 7
28
Küchler in: Bräutigam, IT-Outsourcing und Cloud-Computing, Teil. 1: Technische und wirtschaftliche Grundlagen, Rz. 1. Zu dieser Problemlage in der Krankenhauspraxis Langkeit, WStZ 6 ff., 8. Siegmund, ZRP 20175, 78. Kotthoff, AnwBl 2012, 482, 483. Ruwe, LTO v. 22.9.2014, http://www.lto.de/persistent/a_id/13222/(abgerufen am: 23.3.2016). Demmer, Süddeutsche Zeitung v. 15.6.2014.
Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB
II. Kernproblem in rechtlicher Hinsicht: Vereinbarkeit mit § 203 StGB Obwohl gerade der Anwaltsberuf maßgeblich von kollegialer Zusam- 5 menarbeit geprägt ist, die Outsourcing-Lösungen erheblich vereinfachen würde, korreliert die Zielsetzung des Outsourcings immer wieder mit der Vorschrift des § 203 Abs. 1 StGB. Sie ist Ausfluss der von Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG geschützten Befugnis des Einzelnen, über die Preisgabe und die Verwendung seiner persönlichen Informationen selbst zu entscheiden8 sowie des Allgemeininteresses, dass der Betroffene auf die Verschwiegenheit bestimmter Berufsgruppen vertrauen darf.9 Für Angehörige dieser Berufsgruppen ist diese Schweigepflicht jedoch gleichzeitig Segen und Fluch: Einerseits können Sie sichergehen, dass Informationen, die ihnen anvertraut wurden, vor staatlichen und privaten Zugriffen gesichert sind. Andererseits müssen Sie aufgrund dieser herausgehobenen Stellung auch sehr viel weitgehendere Maßnahmen zum Schutz ihrer Daten treffen.10 Der schon aus der Zeit vor der Reichsgründung stammende § 203 StGB hat nur die Zusammenarbeit mit den beim Anwalt festangestellten Gehilfen (z. B. Rechtsanwaltsgehilfen, Sekretärinnen) im Blick (vgl. nur § 203 Abs. 3 StGB). Die Regelung kann daher hinsichtlich der modernen, vielfältigen Arbeitsteilung getrost als „Dinosaurier mit Artenschutz“ bezeichnet werden. Es nimmt deshalb nicht Wunder, dass die Diskussion um die Strafbarkeit 6 der Nutzung von Outsourcing und Cloud-Diensten durch Berufsgeheimnisträgern schon länger schwelt. Von Bedeutung ist hier in Deutschland allein das Non-legal-Outsourcing; die nachfolgenden Ausführungen beschränken sich deshalb auf diese Fallkonstellation. 1. Tatbestandsvoraussetzungen des § 203 StGB Der Geheimnisschutz des § 203 StGB obliegt nicht jedermann, sondern 7 nur den dort aufgezählten Berufsgeheimnisträgern, zu denen nach § 203 Abs. 1 Nr. 3 StGB insbesondere Rechtsanwälte und andere Träger juristischer Berufe zählen. Neben den zur Verschwiegenheit Verpflichteten selbst, weitet § 203 Abs. 3 StGB den Anwendungsbereich – wie gesagt – auf ihre berufsmäßig tätigen Gehilfen, insbesondere Sekretärinnen und
8 BVerfG, Beschl. v. 14.12.2001 – 2 BvR 152/01; NJW 2002, 2164; BGH, Urt. v. 25.3.1993 – IX ZR 192/92, DStR 1993, 1158. 9 Lackner/Kühl/Heger, StGB § 203 Rz. 1; Schönke/Schröder/Lenkner/Eisele, StGB, § 203 Rz. 3. 10 Vgl. allgemein zu der Problematik des § 203 StGB bei Outsourcing-Projekten: Schultze-Melling/Bräutigam, IT-Outsourcing, Teil 5, Rz. 113.
29
Peter Bräutigam/Florian Rockenbach
Schreibkräfte,11 und die Personen, die bei ihnen zur Vorbereitung auf den Beruf tätig sind – in Anwaltskanzleien betrifft das regelmäßig Rechtsreferendare12 – aus. 8 Weitere Voraussetzung ist das unbefugte Offenbaren eines fremden Geheimnisses. Hierunter fällt jede Mitteilung des Geheimnisses an einen Dritten.13 Geheimnisse sind solche Tatsachen, die nur einem begrenzten Personenkreis bekannt sind14 und an deren Geheimhaltung der Betroffene ein sachlich begründetes Interesse hat.15 Keine Geheimnisse sind demnach anonymisierte Informationen, die keinen Rückschluss auf die Person zulassen, oder solche, die bereits offenkundig sind.16 Das anwaltliche Mandatsgeheimnis wird folglich weitreichend geschützt, unabhängig davon, ob es den persönlichen Lebensbereich oder Betriebs- und Geschäftsgeheimnisse betrifft.17 2. Problematik der Strafbarkeit 9 Damit ein Offenbaren i. S. d. Vorschrift gegeben ist, genügt bei verkörperten Schriftstücken das Verschaffen des körperlichen Gewahrsams mit der Möglichkeit der Kenntnisnahme.18 Nach herrschender Auffassung gilt für digital gespeicherte Geheimnisse Entsprechendes.19 10 Da die Mitarbeiter des Outsourcing-Providers durch die zentrale Speicherung der Daten zumindest theoretisch die Möglichkeit erhalten, von den geschützten Geheimnissen Kenntnis zu erlangen, geht man allgemein davon aus, dass der Anwalt mit der Einschaltung eines Outsourcing-Providers gegen seine Schweigepflicht verstößt,20 unabhängig davon, ob der
11 BeckOK StGB/Weidemann, § 203 Rz. 22. 12 Lackner/Kühl/Heger, StGB, § 203 Rz. 12. 13 Fischer, StGB, § 203 Rz. 30; BeckOK StGB/Weidemann, § 203 Rz. 31; Schönke/Schröder/Lenckner/Eisele, StGB § 203 Rz. 19. 14 OLG Dresden, Beschl. v. 11.9.2007 – 2 Ws 163/07, NJW 2007, 3509; zur vergleichbaren Frage bei § 353b StGB: OLG Köln, Urt. v. 20.12.2011 – III-1 RVs 218/11, ZD 2012, 332, 333. 15 OLG Stuttgart, Urt. v. 19.5.2008 – 14 O 548/07, BeckRS 2009, 10924; Schönke/ Schröder/Lenckner/Eisele, StGB, 27. Aufl., § 203 Rz. 5. 16 Fischer, StGB, § 203, Rn. 10a. 17 Schönke/Schröder/Lenckner/Eisele, StGB § 203 Rz. 9 ff. 18 LG Augsburg, Urt. v. 19.7.2011 – 041 O 2480/10, 41 O 2480/10, Rz. 25, juris; Kargl/Kindhäuser/Neumann/Paeffgen, StGB, § 203 Rz. 20. 19 Kilian, NJW 1992, 2317; Schönke/Schröder/Lenckner/Eisele, StGB § 203 Rz. 19. 20 Spatscheck, AnwBl. 2012, 478, 480 f.; Siegmund, ZRP 2015, 78.
30
Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB
Outsourcing-Provider seinerseits schweigepflichtig ist oder seine Verschwiegenheit vertraglich zusichert.21 3. Lösungsansätze Da auch für Berufsgeheimnisträger für den Einsatz moderner IT-Dienst- 11 leistungen eine praktische Notwendigkeit besteht,22 überzeugt es nicht, diesen Personengruppen diese Möglichkeit zu verwehren. In der Vergangenheit wurden daher zahlreiche Lösungsansätze und die Frage diskutiert, ob man einer Strafbarkeit nach § 203 StGB beim anwaltlichen Outsourcing durch Auslegungswandel oder Rechtsfortbildung entgehen kann. Das strenge strafrechtliche Gesetzlichkeitsprinzip und das Analogieverbot kommt nur bei einer strafbarkeitsbegründenden oder strafbegründenden Wirkung zum Tragen (Art. 103 Abs. 2 GG bzw. § 1 StGB: „nulla poena sine lege“)23 und stehen folglich einer strafbarkeitsausschließenden Auslegung nicht im Wege. Denkbare dogmatische Anknüpfungspunkte sind die Tatbestandsmerkmale „unbefugt“, „offenbaren“, oder der Gehilfenbegriff und die Ausweitung der von der Rechtsprechung bereits anerkannten Ausnahmen von der Strafbarkeit nach § 203 Abs. 1 StGB. Eine Möglichkeit, das Problem zu lösen, wäre, eine Einwilligung des 12 Mandanten im Rahmen des jeweiligen Mandates in die Einbeziehung eines Outsourcing-Dienstleisters zu verlangen; dann würde das Offenbaren nicht unbefugt erfolgen.24 Eine solche Einwilligung hätte tatbestandsausschließende Wirkung.25 Dieses Vorgehen lässt sich jedoch in der Regel nicht zu hundert Prozent umsetzen. Verweigert der Mandant die Einwilligung, wäre der Rechtsanwalt in letzter Konsequenz gezwungen, das Mandat abzulehnen.26 Auch der weiter gehende Lösungsansatz, dem Mandanten eine konkludente Einwilligung „unterzuschieben“ überzeugt nicht. Die Folge wäre eine eklatante Verkürzung der Rechte des Mandanten.27 Doch selbst wenn man dies noch gelten lassen möchte, steht man vor dem Problem, dass für den Mandanten zumindest erkennbar sein muss, was mit seinen Daten geschieht. Ob er sich hierüber, ohne 21 Schönke/Schröder/Lenckner/Eisele, StGB § 203 Rz. 19b. 22 Bräutigam, AnwBl. 2012, 487; Leutheusser-Schnarrenberger, AnwBl. 2012, 477; Recktenwald, AnwBl. 2012, 488. 23 Kühl/Lackner/Kühl, StGB, § 1 Rz. 1. 24 Heger/Lackner/Kühl, StGB, § 203 Rz. 18; Ewer, AnwBl. 2011, 847; Jahn/Palm, AnwBl. 2011, 613. 25 Fischer, StGB, § 203 Rz. 31; MüKo StGB/Cierniak, § 203 Rz. 54. 26 Siegmund, ZRP 2015, 78. 27 Kargl/Kindhäuser/Neumann/Paeffgen, StGB, § 203 Rz. 20a.
31
Peter Bräutigam/Florian Rockenbach
konkrete Anhaltspunkte zu haben, überhaupt Gedanken macht, kann mit guten Gründen bezweifelt werden. Für den Anwalt bestünde jedenfalls stets die Unsicherheit, ob die Voraussetzungen einer mutmaßlichen Einwilligung tatsächlich vorliegen.28 13 Andere wollen den Dienstleister unter den Gehilfenbegriff des § 203 Abs. 3 StGB ziehen. Ein Offenbaren wäre dann schon tatbestandlich ausgeschlossen. Da der Outsourcing-Dienstleister/Cloud-Provider allerdings nur die äußeren Bedingungen für die Ausübung des Anwaltsberufs schafft, aber weder in die Kanzleiorganisation eingebunden ist, noch dem Weisungsrecht des Kanzleiinhabers unterliegt,29 dürfte dies vor den von der Rechtsprechung entwickelten Grundsätzen wohl kaum zu halten sein. 14 Schließlich wird erwogen, die Entscheidung des EuGH zur Erforderlichkeit von Verkehrsdaten für die Gebührenabrechnung und Forderungseinziehung auf die vorliegenden Fälle zu übertragen.30 Demnach wäre eine Datenübertragung zulässig, sofern eine Weisungsbefugnis besteht und diese sich im Rahmen des Erforderlichen hält.31 Ob sich diese Ansicht durchsetzen kann, vermag man heute aber noch nicht abzuschätzen.32 Kritisch ist auch hier das Fehlen des Weisungsrechts. 15 Insgesamt besteht also eine ganz erhebliche Rechtsunsicherheit. Nach herrschender Meinung ist zu konstatieren, dass ein Anwalt, der Outsourcing-Leistungen in Anspruch nimmt, gegen § 203 Abs. 1 StGB verstößt. III. Jetzt: Änderung von § 2 BORA 16 Nachdem von der Anwaltschaft mehrfach der erfolglose Versuch unternommen wurde, den Gesetzgeber zu einer Reform zu bewegen,33 nahm sie sich nun selbst dem Problem an und brachte mit der Sitzung der Satzungsversammlung der Bundesrechtsanwaltskammer am 10.11.2014 neuen Wind in die Diskussion. Nach der dort verabschiedeten Neufas-
28 Siegmund, ZRP 2015, 78. 29 Siegmund, ZRP 2015, 78. 30 Becker, Tagungsband DSRI 2013, 343, 351; kritisch Vander, Tagungsband DSRI 2013, 105, 121. 31 EuGH, Urt. v. 22.11.2012 – Rs. C-119/12, K&R 2013, 31 = CR 2013, 25. 32 So auch Thalhofer/Bräutigam/Klindt, Digitaliserte Wirtschaft/Industrie 4.0, S. 123. 33 Vgl. zuletzt den Vorstoß des Deutschen Anwaltvereins 2011/2012, vgl. hierzu Bräutigam, AnwBl. 2012, 487.
32
Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB
sung des § 2 BORA drängt sich die Frage auf, ob für das anwaltliche Outsourcing eine neue Bewertung geboten ist. 1. Verfahrensstand Am 10.11.2014 änderte die Satzungsversammlung der Bundesrechtsan- 17 waltskammer (BRAK) die Berufsordnung für Rechtsanwälte (BORA) und veröffentlichte diese in den BRAK-Mitteilungen, die Mitte April 2015 an die Mitglieder versandt wurden. Dem gingen langwierige Konsultationen mit dem Bundesministerium 18 der Justiz und Verbraucherschutz (BMJ) voraus, das (zunächst) der Ansicht war, dass § 2 Abs. 3 lit. c BORA eine gesetzliche Änderung des § 203 StGB enthalte, zu deren Erlass der Satzungsversammlung die nötige Kompetenz fehle; derartige tiefgreifende Eingriffe seien ausschließlich dem Gesetzgeber vorbehalten.34 Nach weiterer Abstimmung revidierte das Ministerium seine Meinung und entschied unter Berücksichtigung der mündlichen Erläuterungen des Präsidenten der Bundesrechtsanwaltskammer als auch der Beschlussvorlage des Ausschusses 6 der Satzungsversammlung vom 7.10.2014, dass § 2 Abs. 3 lit. c BORA als noch akzeptabel angesehen werden könne. Der ursprüngliche Bescheid wurde aufgehoben.35 Am 1.7.2015 trat dann schließlich der neugefasste § 2 BORA in Kraft. 2. Wortlaut der neuen Vorschrift 19
Der Wortlaut von § 2 BORA lautet: „(1) Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet und berechtigt. Dies gilt auch nach Beendigung des Mandats. (2) Ein Verstoß gegen die Pflicht zur Verschwiegenheit (§ 43a Abs. 2 Bundesrechtsanwaltsordnung) liegt nicht vor, soweit Gesetz und Recht eine Ausnahme fordern oder zulassen. (3) Ein Verstoß ist nicht gegeben, soweit das Verhalten des Rechtsanwalts 34 Lührig, AnwBl. 2015, M100; der Bescheid des BMJV kann im Internet unter folgendem Link abgerufen werden: http://www.brak.de/w/files/01_ueber_die_ brak/5sv/bescheid-des-bundesministerium-der-justiz-und-fuer-verbraucherschutz-vom-31.3.2015.pdf (23.3.2016). 35 Der Bescheid des BMJV kann im Internet unter folgendem Link abgerufen werden: http://www.brak.de/w/files/01_ueber_die_brak/5sv/bescheid-des-bundesministerium-fuer-justiz-und-verbraucherschutz-vom-4.3.2015.pdf (23.3.2016).
33
Peter Bräutigam/Florian Rockenbach
a) mit Einwilligung erfolgt oder b) zur Wahrnehmung berechtigter Interessen erforderlich ist, z. B. zur Durchsetzung oder Abwehr von Ansprüchen aus dem Mandatsverhältnis oder zur Verteidigung in eigener Sache, oder c) im Rahmen der Arbeitsabläufe der Kanzlei einschließlich der Inanspruchnahme von Leistungen Dritter erfolgt und objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht (Sozialadäquanz). (4) Der Rechtsanwalt hat seine Mitarbeiter zur Verschwiegenheit schriftlich zu verpflichten und anzuhalten, auch soweit sie nicht im Mandat, sondern in sonstiger Weise für ihn tätig sind. (5) Abs. 4 gilt auch hinsichtlich sonstiger Personen, deren Dienste der Rechtsanwalt in Anspruch nimmt und a) denen er verschwiegenheitsgeschützte Tatsachen zur Kenntnis gibt oder b) die sich gelegentlich bei ihrer Leistungserbringung Kenntnis von verschwiegenheitsgeschützten Tatsachen verschaffen können. Nimmt der Rechtsanwalt die Dienste von Unternehmen in Anspruch, hat er diesen Unternehmen aufzuerlegen, ihre Mitarbeiter zur Verschwiegenheit über die Tatsachen gemäß Satz 1 zu verpflichten. Die Pflichten nach Satz 1 und 2 gelten nicht, soweit die dienstleistenden Personen oder Unternehmen kraft Gesetzes zur Geheimhaltung verpflichtet sind oder sich aus dem Inhalt der Dienstleistung eine solche Pflicht offenkundig ergibt. (6) Der Rechtsanwalt darf Personen und Unternehmen zur Mitarbeit im Mandat oder zu sonstigen Dienstleistungen nicht hinzuziehen, wenn ihm Umstände bekannt sind, aus denen sich konkrete Zweifel an der mit Blick auf die Verschwiegenheitspflicht erforderlichen Zuverlässigkeit ergeben und nach Überprüfung verbleiben. (7) Die Bestimmungen des Datenschutzrechts zum Schutz personenbezogener Daten bleiben unberührt.“ 20 Die Satzungsversammlung gab der Vorschrift mithin einen vollkommen neuen Wortlaut ohne aber ihren Kern anzutasten: § 2 Abs. 1 BORA legt auf Satzungsebene noch einmal die von § 203 Abs. 1 StGB geschützte und an das verfassungsrechtlich garantierte Selbstbestimmungsrecht anknüpfende36 Verschwiegenheitspflicht des Rechtanwaltes nieder. Für das anwaltliche Outsourcing ist aber insbesondere Abs. 3 lit. c der No36 Weidemann/BeckOK StGB, § 203 Rz. 2 m. w. N.
34
Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB
vellierung von Interesse. Demnach soll ein Verstoß nicht gegeben sein, soweit die Inanspruchnahme von Leistungen Dritter im Rahmen der Arbeitsabläufe der Kanzlei erfolgt und objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht (Sozialadäquanz). Flankierend muss der Rechtsanwalt den Dienstleister nach § 2 Abs. 4, 3 BORA zur Verschwiegenheit verpflichten. Die Wahl des Dienstleisters darf nach § 2 Abs. 6 BORA nur auf solche Dienstleister fallen, von denen dem Rechtsanwalt keine Umstände bekannt sind, aus denen sich (nach Überprüfung ggf.) konkrete Zweifel an der mit Blick auf die Verschwiegenheitspflicht erforderliche Zuverlässigkeit ergeben. 3. Sinn und Zweck Das neugeschaffene Satzungsrecht eröffnet damit Rechtsanwälten prima 21 vista erstmalig die Möglichkeit, Dienste Dritter, solange ein sachlicher – und nicht nur örtlicher – Bezug zwischen dem Verhalten des Rechtsanwalts und der Kanzlei besteht und dieses sozialadäquat ist. Der Begriff der Sozialadäquanz setzt sich dabei aus der objektiven Komponente der Üblichkeit und der normativen Komponente der Billigung durch die Allgemeinheit im sozialen Leben zusammen.37 Ziel der Neufassung sollte die Straffreiheit des Non-legal-Outsourcing sein. Ob und in welchem Umfang dies gelang, soll im Folgenden beleuchtet werden. IV. Rechtliche Würdigung 1. Satzungsermächtigung in § 59b BRAO Die Ermächtigungsgrundlage für den Erlass der BORA findet sich in 22 § 59b BRAO. Nach § 59b Abs. 2 Nr. 1 lit. c BRAO kann die BORA die Verschwiegenheit der Rechtsanwälte näher regeln. In seinem ersten Schreiben kritisierte das BMJ, der beschlossene § 2 Abs. 3 lit. c BORA sei nicht von der Ermächtigungsnorm gedeckt, da der Satzungsgeber nicht kompetent war, eine eigenständige Befugnisnorm zu § 203 StGB zu schaffen.38 Nach richtiger Ansicht handelt es sich bei § 2 Abs. 3 lit. c BORA allerdings lediglich um eine Auslegungsregel, welche Unsicherheiten be-
37 BRAK, Vorlage von Ausschuss 6 an die Satzungsversammlung, S. 19 f., abrufbar im Internet unter http://www.brak.de/w/files/01_ueber_die_brak/5sv/ beschlussvorlage-as-6-zu-c-2-bora.pdf (30.3.2016). 38 BMJV, Bescheid v. 4.3.2015, abrufbar im Internet unter: http://www.brak. de/w/files/01_ueber_die_brak/5sv/bescheid-des-bundesministerium-fuer-justiz-und-verbraucherschutz-vom-4.3.2015.pdf (31.3.2016).
35
Peter Bräutigam/Florian Rockenbach
seitigt, ohne, dass die Anwaltschaft von ihrer Verschwiegenheitspflicht entbunden oder diese gelockert werden würde.39 § 2 Abs. 3 lit. c BORA ist also nicht als Befugnisnorm zu verstehen, die verfassungsrechtlich unzulässig gewesen wäre. Vielmehr handelt es sich lediglich um die Verankerung eines allgemein anerkannten Rechtsgrundsatzes im anwaltlichen Satzungsrecht. 2. Zur Sozialadäquanz allgemein 23 Das Rechtsinstitut der Sozialadäquanz ist keinesfalls neu. Von Welzel im Jahr 1939 entwickelt,40 findet es sich heute bereits in zahlreichen Gebieten des Straf-, Zivil- und öffentlichen Rechts wieder. Schon 1970 stellte der Bundesgerichtshof fest, dass es sich bei der Lehre von der Sozialadäquanz nicht um ein originär strafrechtliches Prinzip handelt, sondern dass diese vielmehr die gesamte Rechtsordnung durchdringt.41 24 So kommt die Lehre von der Sozialadäquanz auch im Zivilrecht zur Geltung; beispielsweise bei der Frage nach dem verkehrsrichtigen Verhalten im Rahmen des § 823 Abs. 1 BGB42 oder im Mietrecht, ob ein Verbot des Haltens von Hunden in einer Wohnung AGB-rechtlich zulässig ist.43 Im Immissionsschutzrecht spielt die Sozialadäquanz wiederum bei der Zumutbarkeit des Lärmpegels eines Kinderspielplatzes die zentrale Rolle.44 25 Seine größte Bedeutung hat die Lehre von der Sozialadäquanz jedoch im Strafrecht.45 Sie dient in den Fällen, in denen sich eine tatbestandsmäßige Handlung im Rahmen der Sozialordnung hält, als Korrektiv, schließt die Strafbarkeit für solche Verhaltensweisen aus46 und versucht, gesellschaftliche Realität und das Strafrecht aufeinander abzustimmen.47 26 In jüngster Zeit wurden jedoch in der Literatur Stimmen laut, die die Lehre von der Sozialadäquanz grundsätzlich ablehnen.48 Kritisiert wird insbesondere die mangelhafte Bestimmtheit des Begriffs; die gesellschaftliche Normenordnung sei nicht kodifiziert und die Existenz einer einheitlichen Vorstellung der Bevölkerung illusorisch. Auch bestehe die 39 40 41 42 43 44 45 46 47 48
36
Wedel, BRAK 2015, 210, 214. Welzel, ZStW 1939, 491, 516 f., 527 ff. BGH, NJW 1970, 818, 818 f. Palandt/Sprau, BGB, § 823 Rz. 36. LG Köln v. 28.11.2013 – 1 S 300/12, ZMR 2014, 453. Rojahn, ZfBR 2010, 752. Valerius, JA 2014, 561. Fischer, StGB, Vor § 32 Rz. 12. Rönnau, JuS 2011, 311. Rönnau, Jus 2011, 311, 312.
Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB
Gefahr, dass vorschnell auf die Rechtsfigur zurückgegriffen werde und damit das eigene Rechtsgefühl aufgrund angeblich bestehender gesellschaftlicher Normen über die Voraussetzungen der Strafbestände gestellt werden.49 3. Die Sozialadäquanz im Rahmen des § 203 StGB Ob die Lehre der Sozialadäquanz im Rahmen des § 203 StGB überhaupt 27 angewendet werden kann, ist umstritten. So sehen etwa Lenckner/ Eisele in ihr keine hinreichende Grundlage für eine Offenbarungsbefugnis.50 Dies war letztlich auch der Grund für die ablehnende Haltung des BMJ, das die Beschlüsse der Satzungsversammlung ja zunächst aufhob.51 Wie dargestellt, handelt es sich richtiger Ansicht nach bei der Lehre der Sozialadäquanz um ein allgemeines Rechtsprinzip, das die gesamte Rechtsordnung prägt.52 Folglich muss sie auch für sämtliche Straftaten – der ultima ratio des Rechtssystems53 – gelten.54 Im Zusammenhang mit § 203 StGB wurde die Lehre von der Sozialad- 28 äquanz bisher vornehmlich im Rahmen der ärztlichen Schweigepflicht diskutiert.55 Während der Diskussion um die Neufassung der § 2 Abs. 3 lit. c BORA rückte nunmehr aber auch die anwaltliche Schweigepflicht in den Fokus.56 4. Dogmatische Verortung Während der Bundesgerichtshof diese Frage offen lässt,57 ist es in der 29 Literatur umstritten, ob die Sozialadäquanz eines Verhaltens rechtfer-
49 Valerius, JA 2014, 561, 562. 50 Lenckner/Eisele/Schönke/Schröder, StGB, § 203 Rz. 54. 51 Vgl. BMJV, Bescheid v. 4.3.2015, abrufbar im Internet unter: http://www.brak. de/w/files/01_ueber_die_brak/5sv/bescheid-des-bundesministerium-fuer-justiz-und-verbraucherschutz-vom-4.3.2015.pdf (31.3.2016). 52 BGH, NJW 1970, 818. 53 Diesen Gedanken hebt Bräutigam, AnwBl. 2012, 487 hinsichtlich einer zusätzlichen Kriminalisierung der Anwaltschaft bei der Nutzung von Cloud Diensten hervor. 54 So auch Franck, NStZ 2015, 322, 323, Franzheim, ZRP 1981, 6, 7 f. 55 Franck, NStZ 2015, 322. 56 So etwa Siegmund, ZRP 2015, 78, 79. 57 Vgl. BGH, NJW 1970, 818.
37
Peter Bräutigam/Florian Rockenbach
tigende58 oder tatbestandsausschließende Wirkung hat.59 Weitgehende Einigkeit besteht aber zumindest insoweit, als die Lehre der Sozialadäquanz nicht erst im Rahmen der Schuld zu berücksichtigen ist.60 Die letztere, herrschende, Meinung wird damit begründet, dass sozialadäquates Verhalten kein Unrecht darstellt und deswegen schon keinen Straftatbestand erfüllen kann.61 Teilweise wird angenommen dass die Sozialadäquanz ein Unterfall der objektiven Zurechnung ist.62 Andere sehen in ihr eine am geschützten Rechtsgut orientierte, einschränkende Interpretation nach den allgemeinen Auslegungsregeln. Der Gedanke der Sozialadäquanz soll demnach nur bei Tatbeständen angewendet werden, die zu weit gefasst sind und daher auch Fälle einschließen, die nicht von strafrechtlicher Relevanz sein sollen.63 30 Im Zusammenhang mit § 203 StGB wird vertreten, die Sozialadäquanz als eigenständige, bereits im Tatbestandsmerkmal des Offenbarens angelegte, Offenbarungsbefugnis einzustufen.64 5. Die Reichweite der Sozialadäquanz 31 Nach § 2 Abs. 3 lit. c BORA ist ein solches Verhalten sozialadäquat, das im Rahmen der Arbeitsabläufe der Kanzlei einschließlich der Inanspruchnahme von Leistungen Dritter erfolgt und objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht. Der Satzungsgeber lehnt sich dabei an dem von der Rechtsprechung geprägten Begriff der Sozialadäquanz an. Zu dem Merkmal „von der Allgemeinheit gebilligten Verhaltensweise“ führte der Bundesgerichtshof weiter aus, dass die erfassten Verhaltensweisen im Rahmen der sozialen Handlungsfreiheit liegen und in strafrechtlicher Hinsicht im sozialen Leben gänzlich unverdächtig sind.65 Die Lehre von der Sozialadäquanz hat demnach zwei Elemente: Ein faktisches (Üblichkeit) und ein normatives (Billigung der Allgemeinheit).
58 OLG Celle v. 12.1.1993 – 1 Ss 297/92, NStZ 1993, 291; Altermann, EisenbergFS, S. 233 ff. 59 So die wohl h. M.: Hirsch, ZStW 1974, 78; Küpper, GA 1987, 388; Lenckner/ Eisele/Schönke/Schröder, StGB, Vor § 32 Rz. 107a; Fischer, StGB, Vor § 32 Rz. 12 m. w. N.; Rönnau, JuS 2011, 311, 312; Zipf, ZStW 92, 633, 647 ff. 60 Rönnau, JuS 2011, 311, 312. 61 Lenckner/Sternberg-Lieben/Schönke/Schröder, StGB, Vorb. §§ 32 ff. Rz. 107a. 62 Eisele/Schönke/Schröder, StGB, Vor § 13 Rz. 93. 63 Rönnau, Jus 2011, 311, 312. 64 Franck, NStZ 2015, 322, 324; Wedel, BRAK Mitteilungen 2015, 210, 213. 65 BGH, NJW 1970, 818.
38
Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB
Im Hinblick auf § 2 BORA dürfte die objektive Komponente Probleme 32 bereiten. Weder existieren verlässliche Erfahrungswerte über die Verbreitung des Einsatzes von IT-Outsourcing oder Cloud Computing,66 noch bietet die Vorschrift einen Anhaltspunkt, was im Rahmen der anwaltlichen Tätigkeit üblich sein soll.67 Ausgehend vom Telos der Rechtsfigur der Sozialadäquanz, die gesellschaftliche Realität auch im Strafrecht abzubilden,68 erscheint sie grundsätzlich ein tauglicher Ansatzpunkt, Rechtsanwälten die Inanspruchnahme von IT-Outsourcing-Diensten zu ermöglichen. Die Unbestimmtheit des Rechtsbegriffs der Sozialadäquanz macht je- 33 doch eine enge, am geschützten Rechtsgut orientierte, Auslegung erforderlich. Schließlich sollen lediglich solche Fälle von der Strafbarkeit ausgenommen werden, in denen eine teleologische Reduzierung geboten ist, da das geschützte Rechtsgut gar nicht beeinträchtigt wird.69 Man kann daher wohl nicht ohne weiteres von der Realität in den Anwaltskanzleien auf die Billigung der Allgemeinheit und damit in erster Linie auf die Erwartung des Mandanten schließen. Es bleibt abzuwarten, ob sich diese Erwartung in nächster Zeit einstellt. Während die Beschäftigung von Raumpflegern oder eines IT-Fachmanns zur Installation oder Reparatur des IT-Systems vor Ort wohl im Allgemeinen akzeptiert wird, dürfte dies für das IT-Outsourcing wohl nicht gelten. Gerade in Zeiten der NSAAffäre hat das Vertrauen in IT-Outsourcing-Dienstleister, insbesondere solche im außereuropäischen Ausland, stark gelitten, weswegen diese Entwicklung weiterhin mit Spannung zu beobachten sein wird.
66 Siegmund beruft sich auf eine Erhebung des SOLDAN-Instituts, denen zufolge im Jahr 2014 63 Prozent der Rechtsanwälte IT-Dienstleistungen Dritter in Anspruch nehmen, vgl. Siegmund, ZRP 2015, 78. Aus diesen Zahlen geht jedoch nicht hervor, welcher Anteil hier tatsächlich auf Outsourcing-Dienste entfällt. Dieser dürfte wohl erheblich niedriger sein. 67 Besonders deutlich bringt das Franck für die ärztliche Schweigepflicht zum Ausdruck: „Auch die Unsitte ist eine Sitte“, vgl. Franck, NStZ 2015, 322, 323; Siegmund favorisiert eine Ausdehung des relevanten Marktes auf alle Dienstleister, vgl. Siegmund, ZRP 2015,78, 79. 68 Rönnau, JuS 2011, 311. 69 Rönnau, Jus 2011, 311, 312.
39
Peter Bräutigam/Florian Rockenbach
6. Auswirkungen der Neuregelung a) Ausweitung der Strafbarkeit auf Cloud-Provider 34 Obwohl der neue § 2 Abs. 3 lit. c BORA einen Schritt in die richtige Richtung macht, stellen sich beim Non-legal-Outsourcing nun neue Probleme. 35 Wie die Satzungsversammlung klarstellte, soll § 2 Abs. 3 lit. c BORA nicht zu einer Aufweichung des Anwaltsgeheimnisses führen.70 Konsequent zu Ende gedacht, könnte das bedeuten, dass die Strafbarkeit des Anwalts nunmehr auf den Dienstleister ausgedehnt werden müsste, damit keine Strafbarkeitslücken entstehen. Eine solche Ausweitung der Strafbarkeit bleibt wegen Art. 103 Abs. 2 GG allerdings allein dem parlamentarischen Gesetzgeber vorbehalten. 36 Um diesen Konflikt aufzulösen, schlägt Siegmund vor, weiterhin auf einem tatbestandsausschließenden Einverständnis des Mandanten aufzubauen und gleichzeitig § 43a BRAO um eine Auslegungsregel zu erweitern. Nach dieser soll im Zweifel eine Befreiung von der Schweigepflicht angenommen werden, wenn zur Aufrechterhaltung des ordnungsgemäßen Kanzleibetriebs üblicherweise anfallende Tätigkeiten auf Dritte übertragen werden und diese hierzu persönlich und fachlich geeignet sind.71 37 Für einen alternativen Ansatz könnten die Vorschriften der Landeskrankenhausgesetze, wie § 49 BW-LKHG, Modell stehen, die ein IT-Outsourcing grundsätzlich, auch ohne Einwilligung des Patienten ermöglichen. Zusätzlich müssten die übertragenen Aufgaben im Rahmen des üblichen Kanzleibetriebes anfallen.72 Erfolgt die Datenverarbeitung extern, sollte der Dienstleister außerdem zusätzlich die Erfordernisse des § 11 BDSG erfüllen müssen.73 b) Bedeutung für Zeugnisverweigerungsrecht/Beschlagnahmeverbot 38 Die Anschlussfrage stellt sich bei den Zeugnisverweigerungsrechten im Straf- und Zivilprozess. Hier ist zu überlegen, ob es nicht angebracht und für den Schutz des Mandanten erforderlich wäre, § 53 StPO und § 383 ZPO auf den IT-Dienstleister/Cloud-Provider auszuweiten. Andernfalls
70 71 72 73
40
Wedel, BRAK 2015, 210, 214. Siegmund, ZRP 2015, 78, 80. Siegmund, ZRP 2015, 78, 80. So bereits Bräutigam, AnwBl. 2012, 487; zustimmend Siegmund, ZRP 2015, 78, 80.
Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB
könnte das Zeugnisverweigerungsrecht nutzlos werden, wenn zwar der Anwalt das Zeugnis verweigern darf, nicht aber der Dienstleister, der ebenfalls mit Mandantengeheimnissen in Berührung kommt. Hier müsste jedoch der Gesetzgeber tätig werden, da einer erweiternden Auslegung des § 53 StPO das Interesse an der funktionierenden Strafrechtspflege entgegensteht.74 In die gleiche Kerbe schlägt die Frage nach dem Beschlagnahmeverbot 39 des § 97 Abs. 1 Nr. 1 StPO. Diese Beschränkung gilt nämlich nur solange, wie sich die Gegenstände im Gewahrsam des zur Zeugnisverweigerung berechtigten befinden. Was aber ist, wenn der Anwalt persönliche Dokumente des Beschuldigten/Angeklagten nicht auf seinem PC, sondern in einer Cloud speichert? Unabhängig davon, ob das Speichern in der Cloud überhaupt einen Gewahrsamsverlust mit sich bringt, könnte man hier mit dem Schutzzweck argumentieren, das Zeugnisverweigerungsrecht des § 53 StPO durchzusetzen.75 Demnach verliert das Beweismittel seine Schutzwürdigkeit erst mit dem Verlassen der Geheimnis- und Vertrauenssphäre, da ab diesem Zeitpunkt die Möglichkeit der Kenntnisnahme besteht.76 Beim Speichern von Dokumenten in der Cloud, soll das gerade nicht der Fall sein. Hier erlegt § 2 Abs. 5 BORA dem Rechtsanwalt gerade auf, den Outsourcing-Anbieter seinerseits selbst zur Verschwiegenheit zu verpflichten, um ein Bekanntwerden des Geheimnisses zu unterbinden. Es besteht aber auf dieser Basis keine endgültige Klarheit, ob ein Dokument auch dann dem Beschlagnahmeverbot unterfällt, wenn es der Anwalt in der Cloud oder bei einem Outsourcing-Dienstleister speichert. Deshalb wäre eine Klarstellung durch den Gesetzgeber wünschenswert, um den Beschlagnahmeverboten den Weg in das digitale Zeitalter zu ebnen. 7. Fazit Grundsätzlich kann die Lehre von der Sozialadäquanz als allgemeiner 40 Rechtsgrundsatz auch im Rahmen des § 203 StGB herangezogen werden. Da diese ohnehin nur einen bestehenden Rechtsgrundsatz normiert, hätte es der Neufassung des § 2 BORA eigentlich gar nicht bedurft. Problematisch ist jedoch, dass sich im Bereich des Non-legal-Outsour- 41 cings noch kein einheitlicher Standard, was nun üblich und von der Allgemeinheit gebilligt ist, herauskristallisiert hat. Für die wirklich um-
74 Meyer-Goßner, StPO, § 53 Rz. 2 f. 75 Meyer-Goßner, StPO, § 97 Rz. 1. 76 Ritzert/BeckOK StPO, § 97 Rz. 6.
41
Peter Bräutigam/Florian Rockenbach
strittenen Bereiche, wie beispielsweise das Outsourcing und auch das Cloud Computing bringt die Vorschrift dadurch keine Rechtsklarheit. 42 Außerdem ist es nicht damit getan, sich für eine Straflosigkeit des outsourcenden Anwalts auszusprechen, wenn die Konsequenzen nicht gleich mit angegangen werden. Dies sind die Probleme der Strafbarkeit des Dienstleisters, sowie einer Erweiterung der Aussageverweigerungsrechte und einer Klarstellung bei den Beschlagnahmeverboten. 43 All dies kann eine erneute Satzungsänderung nicht leisten. Als einzig gangbarer Weg, endlich Rechtssicherheit herzustellen, erscheint daher ein Akt der Legislative; namentlich einer Änderung der § 203 StGB und § 43 BRAO, wie bereits 2011 vorgeschlagen.77
77 Wedel, BRAK-Mitteilungen 2015, 210, 213.
42
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft: Vorgaben des IT-Sicherheitsgesetzes zur Identifizierung, Abwehr und Bewältigung von Risiken für Kritische Infrastrukturen Gerrit Hornung* I. Kritische Infrastrukturen und ITSicherheit 1. Die Bedeutung der IT-Sicherheit 2. IT-Sicherheit als staatliche Aufgabe II. Das Gesetzgebungsverfahren III. Inhaltlicher Überblick IV. Sachlicher und persönlicher Anwendungsbereich 1. Spezielle Infrastrukturen 2. Allgemeiner Begriff der Kritischen Infrastrukturen 3. Nicht erfasste Betreiber Kritischer Infrastrukturen V. Vorgaben für die Einhaltung von IT-Sicherheitsstandards 1. Materielle Vorgaben 2. Nachweis der Einhaltung: Audits, Prüfungen und Zertifizierungen 3. Sanktionen
VI. Meldepflichten für IT-Sicherheitsvorfälle 1. Pflichten nach dem BSI-Gesetz 2. Spezielle Meldepflichten 3. Sanktionen 4. Datenschutz- und Vertraulichkeitsaspekte 5. Informations- und Veröffentlichungspflichten des BSI VII. Weitere Regelungen und Auswirkungen 1. Pflichten für Anbieter nach dem Telemediengesetz 2. Verarbeitungsbefugnisse nach § 100 Abs. 1 TKG 3. Weitere Aufgaben des BSI 4. Haftungsfragen VIII. Ausblick
Literaturübersicht: Beucher/Utzerath, MMR 2013, 362; BMI, Cyber-Sicherheitsstrategie für Deutschland, 2011; Braun, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013; Bräutigam/Wilmer, ZRP 2015, 38; BSI, KRITIS-Sektorstudie Informationstechnik und Telekommunikation (IKT), 2015; BSI, Die Lage der ITSicherheit in Deutschland 2014; Buchberger, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2014; Djeffal, MMR 2015, 716; Eckardt, ZD 2014, 599; Eckert, IT-Sicherheit. Konzepte – Verfahren – Protokolle, 9. Aufl. 2014; Eckhardt/Schmitz, DuD 2010, 390; FIfF e. V., A-Drs. 18(4)252, 4 ff.; Gabel, BB 2009, 2045; Gander/Perron/Poscher/Riescher/Würtenberger (Hrsg.), Resilienz in
*
Prof. Dr. Gerrit Hornung, LL.M., Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht, Universität Kassel.
43
Gerrit Hornung der offenen Gesellschaft. Symposium des Centre for Security and Society, 2012; Gercke, CR 2016, 28; Gerling, RDV 2015, 167; Gitter/Meißner/Spauschus, ZD 2015, 512; Guckelberger, DVBl 2015, 1213; Haverkamp/Kaufmann/Zoche, in: Zoche/Kaufmann/Haverkamp (Hrsg.), Zivile Sicherheit. Gesellschaftliche Dimensionen gegenwärtiger Sicherheitspolitiken, 2011; Heinickel/Feiler, CR 2014, 708; Hornung, Grundrechtsinnovationen, 2015; Hornung, NJW 2015, 3334; Hornung, A-Drs. 18(4)284 G, 9; Hornung, in: Roßnagel (Hrsg.), Recht der Telemediendienste, 2013; Hornung, NJW 2010, 1841; Kaufmann, in: Hempel/Krasmann/Bröckling (Hrsg.), Sichtbarkeitsregime. Überwachung, Sicherheit und Privatheit im 21. Jahrhundert, 2011; Keber/Roguski, AVR 49 (2011), 399; Klett/Ammann, CR 2014, 93; Kloepfer (Hrsg.), Schutz kritischer Infrastrukturen: IT und Energie, 2010; Köhler, EnWZ 2015, 407; KPMG, IT-Sicherheit in Deutschland, 2014; Leisterer/Schneider, K&R 2015, 681; Leisterer/Schneider, CR 2014, 574; Lurz/Scheben/Dolle, BB 2015, 2755; Neumann, A-Drs. 18(4)284 F, 8; Rath/Kuss/Bach, K&R 2015, 437; Roos, MMR 2015, 636; Roos, K&R 2013, 769; Roßnagel, DVBl 2015, 1206; Roßnagel, A-Drs. 18(4)284 B, 2; Schiller, A-Drs. 18(4)284 C, 8; Schulz/Tischer, ZG 2013, 339; Schulze, Cyber-›War‹ – Testfall der Staatenverantwortlichkeit, 2015; Seidl, jurisPR-ITR 12, 15/2014 Anm. 2 (Teile 4, 5); Seidl, jurisPR-ITR 7, 9, 10/2014 Anm. 2 (Teile 1–3); Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, 2007; Starnecker/Kuhls, jurisPR-ITR 15/2015 Anm. 2; ULD, Stellungnahme vom 13.2.2015; v. Lewinski (Hrsg.), Resilienz des Rechts, 2016; Weise/ Brühl, CR 2015, 290; de Wyl/Weise/Bartsch, N&R 2015, 23.
1 Bedrohungen für die IT-Sicherheit können vielfältige Lebensbereiche betreffen: Bürgerinnen und Bürger als Individuen, Unternehmen und staatliche Stellen. Zunehmend wächst das Bewusstsein dafür, dass daneben auch Kritische Infrastrukturen anfällig für gezielte oder ungezielte Gefahren im Bereich der IT-Sicherheit sind – etwa im Bereich der Versorgung mit Energie, Lebensmitteln, Telekommunikations-, Verkehrs- und Gesundheitsdienstleistungen. Das IT-Sicherheitsgesetz vom 17.7.2015 definiert materielle IT-Sicherheitsstandards und schafft eine Pflicht, ITSicherheitsvorfälle zu melden. Der Beitrag erläutert den Anwendungsbereich, wesentliche Vorgaben für IT-Sicherheitsstandards und Meldepflichten nach dem neuen Gesetz und bietet einen Vergleich mit der soeben verabschiedeten europäischen Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union.1
1
44
Der Text ist eine überarbeitete und (vor allem hinsichtlich der europäischen Entwicklungen) erweiterte Fassung des Beitrags „Neue Pflichten für Betreiber Kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes“, NJW 2015, 3334. Er geht in Teilen auf die Stellungnahme des Autors für die Anhörung des BT-Innenausschusses am 20.4.2015 zurück.
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
I. Kritische Infrastrukturen und IT-Sicherheit In der Informationsgesellschaft geraten Bürger, Wirtschaft und Staat in 2 erhebliche Abhängigkeit zu der Verfügbarkeit funktionsfähiger, integrer und vertraulicher Informationstechnologie. Private und geschäftliche Kommunikation, Wirtschafts- und Verwaltungsprozesse, Bildung und demokratische Partizipation sind ohne diese Technologie kaum noch vorstellbar. 1. Die Bedeutung der IT-Sicherheit Bedrohungen für die IT-Sicherheit sind damit zugleich Bedrohungen für 3 das freie und selbstbestimmte menschliche Verhalten in diesen wichtigen Bereichen des gesellschaftlichen und individuellen Lebens. Derartige Bedrohungen sind in Deutschland real und konkret.2 Sie entstehen durch Fehler und Mängel der verwendeten Systeme oder durch private und staatliche Angreifer. Aus rechtlicher Sicht ist die Gewährleistung der IT-Sicherheit zum einen 4 Teil der staatlichen Infrastrukturverantwortung, zum anderen Ausfluss grundrechtlicher Schutzpflichten. Letzteres betrifft eine Vielzahl von Grundrechten, deren Ausübung heutzutage nicht mehr ohne funktionsfähige Informationstechnologie möglich ist, insbesondere aber das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.3 Je nach Art der betroffenen Infrastruktur kommen weitere verfassungsrechtliche Gewährleistungsvorgaben hinzu.4 Bürger, Wirtschaft und Staat sind besonders betroffen, wenn es um Kri- 5 tische Infrastrukturen geht. Der Ausfall dieser „vitalen Systeme“5 oder
2
3
4 5
S. nur BSI, Die Lage der IT-Sicherheit in Deutschland 2014; zur Bedeutung von Informations- und Kommunikationstechnik s. BSI, KRITIS-Sektorstudie Informationstechnik und Telekommunikation (IKT), 2015; zur Sicherheitslage von KMU s. Lurz/Scheben/Dolle, BB 2015, 2755, 2760 ff.; zu den technischen Grundlagen Eckert, IT-Sicherheit. Konzepte – Verfahren – Protokolle, 9. Aufl. 2014. BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 = CR 2008, 306, zur Genese Hornung, Grundrechtsinnovationen, 2015, S. 277 ff.; s. a. Roßnagel, DVBl 2015, 1206, 1207. S. für die Energieversorgungssicherheit Guckelberger, DVBl 2015, 1213, 1214 f. Kaufmann, in: Hempel/Krasmann/Bröckling (Hrsg.), Sichtbarkeitsregime. Überwachung, Sicherheit und Privatheit im 21. Jahrhundert, 2011, S. 101 und 119.
45
Gerrit Hornung
„zentralen Lebensnerven“6 einer Gesellschaft kann nicht nur einzelnen Individuen und Organisationen, sondern einer Vielzahl von ihnen Nachteile zufügen.7 In manchen Lebensbereichen stellt Informationstechnologie selbst eine Kritische Infrastruktur dar. Noch wichtiger ist, dass inzwischen praktisch alle anderen Kritischen Infrastrukturen (beispielsweise die Lebensmittel-, Energie- oder Gesundheitsversorgung) nicht ohne Informations- und Kommunikationstechnologie auskommen, sondern sie als unverzichtbare Funktionselemente integrieren. Ausfälle können deshalb Multiplikations- und Kaskadeneffekte verursachen. Die Abwehr massiver Angriffe gegen technische Infrastrukturen (bis hin zu einem „Cyberwar“)8 ist deshalb ein unverzichtbarer Bestandteil der „Zivilen Sicherheit“.9 IT-Sicherheit wird damit zu einer gesellschaftlichen Aufgabe. 2. IT-Sicherheit als staatliche Aufgabe 6 Wie in anderen Regulierungsbereichen stellt sich für die IT-Sicherheit die Frage des sinnvollen Maßes an staatlichen Vorgaben einerseits, Selbstverantwortung und Selbstregulierung andererseits. IT-Sicherheitsmaßnahmen weisen insoweit Besonderheiten auf: Sie sind typischerweise Vorsorgemaßnahmen, die kostenträchtig und gerade im Erfolgsfall schwer zu rechtfertigen sind, weil die hypothetischen Schadensfälle schwer plausibel gemacht werden können. Kommen IT-Sicherheitsvorfälle vor, so betreffen diese in aller Regel nicht nur einen Akteur, da dieselben Systeme bei vielen anderen eingesetzt werden. Schließlich befürchten die Verantwortlichen den Verlust von Reputation und Kundenvertrauen und haben deshalb ein natürliches Interesse daran, Vorfälle nicht publik werden zu lassen. 7 Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.7.201510 adressiert der Gesetz-
6 Haverkamp/Kaufmann/Zoche, in: Zoche/Kaufmann/Haverkamp (Hrsg.), Zivile Sicherheit. Gesellschaftliche Dimensionen gegenwärtiger Sicherheitspolitiken, 2011, S. 9. 7 S. aus rechtlicher Sicht z. B. Kloepfer (Hrsg.), Schutz kritischer Infrastrukturen: IT und Energie, 2010; speziell zum Internet Schulz/Tischer, ZG 2013, 339 ff. 8 S. Keber/Roguski, AVR 49 (2011), 399 ff.; Schulze, Cyber-›War‹ – Testfall der Staatenverantwortlichkeit, 2015. 9 Zur Geschichte dieses Begriffs s. Kaufmann (Fn. 5), S. 102; s. a. die Beiträge in Zoche/Kaufmann/Haverkamp (Hrsg.) (Fn. 6). 10 Zum Inhalt und zu den Hintergründen s. Gerling, RDV 2015, 167 ff.; Gitter/Meißner/Spauschus, ZD 2015, 512 ff.; Guckelberger, DVBl 2015, 1213 ff.;
46
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
geber diese Probleme von zwei Seiten, indem materielle Standards für die IT-Sicherheit vorgegeben und die Betreiber verpflichtet werden, ITSicherheitsvorfälle zu melden. Dies ist ein zu unterstützender Schritt zur Verrechtlichung der IT-Sicherheit, der durch den kooperativen Ansatz einer Zusammenarbeit zwischen Behörden und Wirtschaft auch Chancen für die Verbesserung der Widerstandsfähigkeit (Resilienz)11 der zugrundeliegenden Infrastrukturen bietet. Zwar sind IT-Sicherheitsmaßnahmen potenziell kostenträchtig, und Meldeverfahren können je nach Zahl und Detaillierungsgrad substantiellen Aufwand erzeugen. Insofern stellen beide Eingriffe in Wirtschaftsgrundrechte dar. Angesichts der Bedeutung der IT-Sicherheit für die Gesellschaft und der im Folgenden dargestellten abgestuften Regeln sind diese Eingriffe jedoch in der durch den Gesetzgeber gewählten Form verhältnismäßig.12 Daneben gibt es viele weitere sinnvolle Regulierungsbereiche der IT- 8 Sicherheit. Diese reichen von Anforderungen an die Produktsicherheit über Nachbesserungspflichten für Hersteller von Hard- und Software und Haftungsregeln für Hersteller, Verkäufer und Anwender bis hin zu informellem staatlichem Handeln wie der individuellen Beratung oder dem Setzen von Anreizen zum Einsatz sicherer Technologien.13 Ein so umfassender Ansatz hätte das IT-Sicherheitsgesetz aber überfrachtet und muss deshalb weiteren Gesetzgebungsinitiativen vorbehalten bleiben. II. Das Gesetzgebungsverfahren Bereits in der letzten Legislaturperiode hatte es einen Anlauf für ein IT- 9 Sicherheitsgesetz gegeben, der maßgeblich wegen Kritik aus der Wirtschaft (insbesondere hinsichtlich kostenträchtiger Maßnahmen und der Befürchtung, Meldungen über IT-Sicherheitsvorfälle würden der Reputation der Unternehmen schaden) nicht umgesetzt wurde.14 Der geänderte
11
12 13 14
Hornung, NJW 2015, 3334 ff.; Lurz/Scheben/Dolle, BB 2015, 2755 ff.; Rath/ Kuss/Bach, K&R 2015, 437 ff.; Roos, MMR 2015, 636 ff.; Roßnagel, DVBl 2015, 1206 ff. Dazu Gander/Perron/Poscher/Riescher/Würtenberger (Hrsg.), Resilienz in der offenen Gesellschaft. Symposium des Centre for Security and Society, 2012; v. Lewinski (Hrsg.), Resilienz des Rechts, i. E. S. Roßnagel, DVBl 2015, 1206, 1207 f.; Guckelberger, DVBl 2015, 1213, 1220 ff. S. die Auflistung bei Roßnagel, A-Drs. 18(4)284 B, 2 f.; Roßnagel, DVBl 2015, 1206, 1212; s. a. Neumann, A-Drs. 18(4)284 F. S. Beucher/Utzerath, MMR 2013, 362, 363 ff.; Roos, K&R 2013, 769 ff.; Klett/ Ammann, CR 2014, 93, 96 ff.; Seidl, jurisPR-ITR 7, 9, 10/2014 Anm. 2 (Teile 1-3).
47
Gerrit Hornung
Entwurf der Bundesregierung wurde am 17.12.2014 beschlossen.15 Der Bundesrat begrüßte am 6.2.2015 den Entwurf grundsätzlich und regte vor allem die Präzisierung einiger wesentlicher Begriffe an.16 10 Nach einer Sachverständigenanhörung im federführenden Innenausschuss am 20.4.201517 beschloss dieser am 10.6.2015 seine Empfehlungen.18 In dieser Form verabschiedete der Bundestag das Gesetz am 12.6.2015.19 Das IT-Sicherheitsgesetz vom 17.7.2015 wurde am 24.7.2015 verkündet20 und trat mit einer Ausnahme am folgenden Tag in Kraft. Allerdings wird der persönliche Anwendungsbereich erst durch die Rechtsverordnung nach § 10 Abs. 1 BSIG bestimmt werden. Ab dann verbleiben den Unternehmen zwei Jahre für die Implementierung von IT-Sicherheitsmaßnahmen (§ 8a Abs. 1 Satz 1 BSIG) und sechs Monate für die Benennung einer Kontaktstelle zur Meldung von IT-Sicherheitsvorfällen (§ 8b Abs. 3 Satz 1 BSIG). Da dieser Zeitraum angesichts des erheblichen Aufwands knapp bemessen ist, werden zumindest die Unternehmen, die auf Grund ihrer Größe bereits abschätzen können, dass die Rechtsverordnung sie erfassen wird, schon jetzt mit der Vorbereitung technisch-organisatorischer Maßnahmen und interner Regelungen beginnen müssen. 11 Auf EU-Ebene wurde soeben ein paralleles Vorhaben abgeschlossen. In einer Gemeinsamen Mittteilung an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen legten die Europäische Kommission und die Hohe Vertreterin der Europäischen Union für Außen- und Sicherheitspolitik eine „Cybersicherheitsstrategie der Europäischen Union“ vor.21 Am selben Tag unterbreitete die Kommission einen Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union.22 Nach einer legislativen Entschließung des Parlaments vom 13.3.2014 und intensiven Verhandlungen im 15 BR-Drs. 643/14. 16 S. BR-Drs. 643/14(B); s. a. die Gegenäußerung der Bundesregierung v. 25.2.2015, BT-Drs. 18/4096. 17 Protokoll des Innenausschusses 18/44. 18 BT-Drs. 18/5121. 19 Stenografischer Bericht 18/10563 ff. 20 BGBl. I, S. 1324; zum Verfahren auch Roos, MMR 2015, 636, 637; Roßnagel, DVBl 2015, 1206 f. (dort auch zu früheren Regulierungsansätzen). 21 Gemeinsame Mittteilung an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: „Cybersicherheitsstrategie der Europäischen Union – ein offener, sicherer und geschützter Cyberraum“, JOIN(2013) 1 final. 22 KOM(2013) 48; s. Beucher/Utzerath, MMR 2013, 362 ff.; Roos, K&R 2013, 769, 773 ff.; Klett/Ammann, CR 2014, 93, 95 ff.; Heinickel/Feiler, CR 2014,
48
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
Trilog23 konnte Anfang Dezember 2015 ein Kompromiss erzielt werden, der am 18.12.2015 von den Mitgliedstaaten informell angenommen wurde.24 Als „ Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU“ wurde die RL (EU) 2016/1148 (NIS-RL) am 6. Juli 2016 beschlossen und trat am 8. August 2016 in Kraft. Im Grundsatz verfolgen die Gesetzgeber dabei das identische Ziel der 12 Verbesserung der IT-Sicherheit bei Kritischen Infrastrukturen und sehen weitgehend kongruente Mittel vor (IT-Sicherheitsstandards und Meldepflichten). Soweit sich Unterschiede erkennen lassen, wird darauf im Folgenden eingegangen. Wichtig ist, dass die Richtlinie ausweislich Art. 3 NIS-RL nur mindestharmonisierend wirkt. Einzige Ausnahme sind gemäß Art. 16 Abs. 10 NIS-RL die Bestimmungen zu „digital services“ (Dienstleistungen der Informationsgesellschaft). Soweit also der deutsche Gesetzgeber im Übrigen schärfere IT-Sicherheitsmaßnahmen vorsieht oder zusätzliche Sektoren verpflichtet, ist dies grundsätzlich zulässig. III. Inhaltlicher Überblick Mit dem Gesetz soll eine signifikante Verbesserung der IT-Sicherheit 13 in Deutschland erreicht werden.25 Es ist damit ein Baustein der CyberSicherheitsstrategie der Bundesregierung von 2011.26 Die wesentlichen Änderungen des Artikelgesetzes betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) (Art. 1). Hier werden Kritische Infrastrukturen umschrieben, IT-Sicherheitspflichten ihrer Betreiber definiert, Meldepflichten für Störungen der IT-Sicherheit eingeführt und die neuen Aufgaben und Befugnisse des BSI festgelegt. Weitere Regelungen erfassen spezialgesetzlich normierte Kritische 14 Infrastrukturen und ändern das Atomgesetz (Art. 2), das Energiewirt-
23 24
25 26
708 ff.; Seidl, jurisPR-ITR 12, 15/2014 Anm. 2 (Teile 4, 5); Guckelberger, DVBl 2015, 1213, 1215 f.; Leisterer/Schneider, K&R 2015, 681, 686 f. S. z. B. den Verhandlungsstand v. 5.3.2015, abrufbar unter http://statewatch. org/news/2015/mar/eu-council-NIS-consolidated-multi-col-6788-15.pdf. S. Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union – Examination of the final compromise text in view to agreement, ST 15229 2015 REV 2 – 2013/027 (OLP); zum Kompromiss und den einzelnen Aktivitäten der Union s. Gercke, CR 2016, 28 ff. S. die Begründung, BT-Drs. 18/4096, 19. S. BMI, Cyber-Sicherheitsstrategie für Deutschland, 2011.
49
Gerrit Hornung
schaftsgesetz (Art. 3), das Telemediengesetz (Art. 4) und das Telekommunikationsgesetz (Art. 5). Art. 6 ordnet den Präsidenten des BSI in die Besoldungsgruppe B 7 ein (bisher B 6). Art. 7 bis 9 ändern weitere Gesetze des Bundes,27 Art. 10 sieht eine Evaluierung vor und Art. 11 regelt das Inkrafttreten. IV. Sachlicher und persönlicher Anwendungsbereich 15 Angesichts der Pflicht zur Implementierung potenziell kostenträchtiger IT-Sicherheitsmaßnahmen und mehr oder weniger aufwändiger Meldeverfahren28 ist der Anwendungsbereich für die betroffenen Unternehmen von erheblicher Bedeutung. 1. Spezielle Infrastrukturen 16 Soweit das IT-Sicherheitsgesetz einzelne Kritische Infrastrukturen regelt, ist die Frage nach der Anwendbarkeit überwiegend leicht zu beantworten. § 44b AtomG gilt für Genehmigungsinhaber nach §§ 6, 7 und 9 AtomG, § 13 Abs. 7 TMG für Diensteanbieter nach § 2 Nr. 1 TMG und § 109 Abs. 5 TKG für Betreiber öffentlicher Telekommunikationsnetze (§ 3 Nr. 16a TKG) und öffentlich zugänglicher Telekommunikationsdienste (§ 3 Nr. 17a TKG). § 11 Abs. 1c EnWG erfasst dagegen nicht alle Betreiber von Energieanlagen, sondern nur diejenigen, die durch die Rechtsverordnung nach § 10 Abs. 1 BSIG bestimmt werden.29 2. Allgemeiner Begriff der Kritischen Infrastrukturen 17 § 2 Abs. 10 BSIG enthält eine Legaldefinition des Begriffs der Kritischen Infrastrukturen, während die näheren Bestimmungen gemäß § 10 Abs. 1 BSIG durch Rechtsverordnung des Bundesministeriums des Innern bestimmt werden. Die Definition in § 2 Abs. 10 BSIG erfasst bestimmte „Sektoren“, nämlich „Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“, allerdings nur, wenn sie „von hoher Be27 Insbesondere erweitert Art. 7 des IT-Sicherheitsgesetzes § 4 Abs. 1 Satz 1 Nr. 5 BKAG. Das Bundeskriminalamt wird dadurch unter bestimmten Voraussetzungen zuständig für die Verfolgung von Straftaten nach §§ 202a, 202b, 202c, 263a, 303a, 303b StGB (bisher nur § 303b StGB). 28 Zur Verhältnismäßigkeit s. Roßnagel, DVBl 2015, 1206, 1207 f.; Guckelberger, DVBl 2015, 1213, 1220 ff. 29 Zu den Anforderungen speziell im Energiesektor s. Guckelberger, DVBl 2015, 1213 ff.; Köhler, EnWZ 2015, 407 ff.
50
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
deutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden“. Diese Begriffsbestimmung ist mit Blick auf ihren (geringen) Bestimmt- 18 heitsgrad kritisiert worden.30 In der Tat ist der personelle Anwendungsbereich nicht direkt dem Gesetz zu entnehmen. Wenn in der Begründung bereits die relativ konkrete Zahl von maximal 2.000 Unternehmen genannt wird, die von den Regelungen betroffen sein werden,31 waren offenbar auch bereits Kriterien verfügbar, nach denen diese Zahl ermittelt wurde. Der Gesetzgeber hat auf diese Kritik reagiert und in § 10 Abs. 1 Satz 2 19 BSIG vorgegeben, dass der als bedeutend anzusehende Versorgungsgrad anhand von „branchenspezifischen Schwellenwerten“ für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen ist. Insbesondere mit dieser Ergänzung ist die gesetzliche Verordnungsermächtigung nach Maßgabe von Art. 80 Abs. 1 Satz 2 GG zulässig.32 Aufgabe des Verordnungsgebers ist es nunmehr, nach der erforderlichen 20 aufwändigen Abstimmung (die Verordnung erfordert zwar keine Zustimmung des Bundesrats, aber das Einvernehmen von nicht weniger als neun Bundesministerien)33 konkrete und handhabbare Kriterien anzugeben. Es wäre nicht zu rechtfertigen, wenn die Betreiber nicht erkennen könnten, ob sie von dem Gesetz überhaupt erfasst werden. Sollten insoweit Unklarheiten bleiben, wäre es erforderlich, ein behördliches Feststellungsverfahren vorzusehen. Da dieses im Gesetz nicht vorgesehen ist, können
30 Z. B. Roos, K&R 2013, 769, 770 f.; Heinickel/Feiler, CR 2014, 708, 712 ff.; Leisterer/Schneider, CR 2014, 574, 577; Bräutigam/Wilmer, ZRP 2015, 38, 40 sowie zahlreiche Stellungnahmen der Wirtschaftsverbände; s. a. BR-Drs. 643/14(B), 1 f. 31 BT-Drs. 18/4096, 21; ein BDI-Gutachten geht eher von 20.000 Unternehmen aus, sofern alle Großunternehmen erfasst werden, s. http://www.bdi.eu/download_content/KPMG_IT-Sicherheit_in_Deutschland.pdf, 31. 32 Ebenso Roßnagel, DVBl 2015, 1206, 1208; Guckelberger, DVBl 2015, 1213, 1217. 33 S. § 10 Abs. 1 Satz 1 BSIG: Bundesministerium für Wirtschaft und Energie, Bundesministerium der Justiz und für Verbraucherschutz, Bundesministerium der Finanzen, Bundesministerium für Arbeit und Soziales, Bundesministerium für Ernährung und Landwirtschaft, Bundesministerium für Gesundheit, Bundesministerium für Verkehr und digitale Infrastruktur, Bundesministerium der Verteidigung und Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit.
51
Gerrit Hornung
sich Betreiber überdies nicht direkt gegen eine Einordnung als „kritisch“ wehren. Sie sind vielmehr gezwungen, Aufsichtsmaßnahmen abzuwarten und verwaltungsgerichtlich anzugreifen. Erst dann kann – inzident – geprüft werden, ob die Festsetzungen der Verordnung mit höherrangigem Recht vereinbar sind.34 21 Das Bundesministerium des Innern hat am 13.1.2016 einen Referentenentwurf für eine Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) vorgelegt, der am 22.4.2016 verabschiedet wurde. Das Ministerium beabsichtigt ein zweistufiges Vorgehen und adressiert in dieser Verordnung zunächst die Sektoren Energie (§ 2 BSI-KritisV-E), Wasser (§ 3 BSI-KritisV), Ernährung (§ 4 BSI-KritisV) sowie Informationstechnik und Telekommunikation (§ 5 BSI-KritisV). Die weiteren Sektoren (Transport und Verkehr, Gesundheit35 sowie Finanz- und Versicherungswesen) sollen in einem zweiten Schritt folgen. Als Maßstab für die Schwellenwerte bestimmt die BSIKritisverordnung die Versorgung von 500.000 Personen. Wenn ein Ausfall einer Anlage mindestens diese Personenzahl betrifft, gilt eine Anlage als Kritische Infrastruktur. Das Ministerium geht davon aus, dass in den genannten Sektoren (das heißt auf der ersten Stufe) insgesamt etwa 650 Betreiber erfasst sein werden. 22 Ein Anpassungsbedarf wird sich für das Gesetz und die Verordnung gegebenenfalls durch Inkrafttreten der NIS-RL ergeben.36 Diese gibt in Annex II eine Liste mit Sektoren (Energie, Verkehr, Banken und Finanzmarkt, Gesundheitswesen, Wasserversorgung und digitale Infrastrukturen) und Subsektoren vor, die weitgehend mit § 2 Abs. 10 BSIG übereinstimmen, im Detail allerdings Unterschiede erkennen lassen. Gemäß Art. 5 Abs. 1 NIS-RL identifizieren die Mitgliedstaaten für jeden Subsektor die jeweiligen Anbieter wesentlicher Dienste. Art. 5 Abs. 2 NISRL gibt dafür Kriterien vor. Diese sind inhaltlich vergleichbar mit § 2 Abs. 10, § 10 Abs. 1 BSIG, sodass für die übereinstimmenden Sektoren ein Gleichlauf zwischen nationaler und europäischer Ebene möglich ist. Freilich kommt es insoweit darauf an, ob Einigkeit hinsichtlich der festzulegenden Schwellwerte erzielt werden kann. 23 Abweichungen ergeben sich hinsichtlich der durch den Richtlinienentwurf teilweise ebenfalls erfassten Dienstleistungen der Informa34 S. für das Energiewirtschaftsgesetz Köhler, EnWZ 2015, 407, 409. 35 S. dazu sowie zum Verhältnis zu den Regelungen im SGB V Starnecker/Kuhls, jurisPR-ITR 15/2015 Anm. 2. 36 S. Roos, K&R 2013, 769, 773 f.; zum Vergleich mit den Entwürfen s. Heinickel/Feiler, CR 2014, 708, 711.
52
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
tionsgesellschaft im Sinne von Art. 1 lit. b RL (EU) 2015/1535. Diese werden nunmehr in einem separaten Art. 16 NIS-RL reguliert, der Online-Marktplätze, Suchmaschinen und Cloud Computing Angebote umfasst (s. Anhang 3). Art. 16 Abs. 1 NIS-RL verpflichtet die Anbieter dieser Dienstleistungen dazu, ein risikoangemessenes Maß an IT-Sicherheit für Netzwerke und Informationssysteme sicherzustellen. Gemäß Art. 16 Abs. 3 NIS-RL besteht eine Meldepflicht bei IT-Sicherheitsvorfällen. Ersteres weist eine Parallele zum neuen § 13 Abs. 7 TMG auf,37 Letzteres findet bisher keine Entsprechung im deutschen Recht. Dies muss nach Inkrafttreten der Richtlinie geändert werden. 3. Nicht erfasste Betreiber Kritischer Infrastrukturen Die aufsehenerregendste Störung der IT-Sicherheit in Deutschland war 24 in der letzten Zeit der Angriff auf die IT-Infrastruktur des Deutschen Bundestages im Frühjahr 2015. Dieser verursachte mehrmonatige Arbeiten, die in einen teilweisen Austausch der verwendeten Informationstechnologie mündeten. Es ist deshalb bemerkenswert, dass das Gesetz den öffentlichen Sektor insgesamt nicht erfasst.38 Nicht nur mit Blick auf den genannten Vorfall ist diese Ungleichbehand- 25 lung nicht zu rechtfertigen. Es stimmt zwar, dass insoweit die Spezialregelungen der §§ 4, 5 und 8 BSIG greifen.39 Auch wurde in den Ausschussberatungen in § 5 Abs. 1 Satz 4 BSIG eine Pflicht der Bundesbehörden eingeführt, interne Protokolldaten an das BSI zu übermitteln. Wieso allerdings für die Standards der IT-Sicherheit und die Meldeverfahren unterschiedliche Maßstäbe gelten sollen, ist nicht ersichtlich. Perspektivisch wird sich dies aus europarechtlichen Gründen ohnehin nicht halten lassen, weil Art. 4 Nr. 4 NIS-RL zwar nicht im Kommissionsentwurf, wohl aber nach endgültiger Fassung jede „öffentliche oder private Einrichtung“ erfasst. Den Bereich der Bundesverwaltung hätte das Gesetz unproblematisch 26 regeln können. Für Behörden und sonstige Stellen der Länder fehlt es dagegen an der Gesetzgebungskompetenz. Sollten die Länder nicht von sich aus tätig werden, entstünde insoweit eine Lücke hinsichtlich der 37 S. u. VII.1. 38 Anders als der Referentenentwurf v. 18.8.2014 nimmt § 2 Abs. 10 BSIG nicht pauschal Kommunikationstechnik des Bundes (§ 2 Abs. 3 1 BSIG) aus. Dennoch geht die Begründung davon aus, dass die Verwaltung des Bundes sowie von Regierung und Parlament nicht erfasst sind (BT-Drs. 18/4096, 24). Aus dem Gesetz ergibt sich dies nicht. 39 S. die Begründung, BT-Drs. 18/4096, 24.
53
Gerrit Hornung
Vollständigkeit der durch das BSI gesammelten Informationen. Da die Länder aufgrund der NIS-RL zum Handeln gezwungen sein werden, steht dies allerdings zumindest mittelfristig nicht zu befürchten. 27 Nicht erfasst sind nach § 8c Abs. 1 BSIG Kleinstunternehmen,40 die allerdings regelmäßig ohnehin keine Kritischen Infrastrukturen betreiben. Schließlich weist die Begründung zutreffend darauf hin, dass der Bereich der Kultur und Medien aus Kompetenzgründen nicht erfasst sein kann.41 Bestimmte Angebote und Systeme aus diesen Bereichen können allerdings durchaus als Kritische Infrastrukturen verstanden werden, wie sich an dem groß angelegten Angriff auf die französische Fernsehsendergruppe TV5Monde Anfang April 2015 gezeigt hat. Auch in diesem Bereich der Massenmedien müssten die Länder tätig werden. 28 Eine sinnvolle Regelung für Anbieter, die nicht unter die Definition der Kritischen Infrastrukturen fallen, enthält Art. 20 NIS-RL. Danach wird explizit vorgegeben, dass diese Anbieter auf freiwilliger Basis ebenfalls Vorfälle melden können, die einen signifikanten Effekt auf die Verfügbarkeit ihrer Dienstleistungen haben. Dies darf nicht zu erweiterten IT-Sicherheitspflichten der Unternehmen führen. Die Mitgliedstaaten werden verpflichtet, derartige freiwillige Meldungen im selben Verfahren zu verarbeiten wie diejenigen von meldepflichtigen Betreibern. V. Vorgaben für die Einhaltung von IT-Sicherheitsstandards 29 Ein Kernbereich des Gesetzes sind materielle Vorgaben für IT-Sicherheitsstandards. 1. Materielle Vorgaben 30 Nach § 8a Abs. 1 BSIG werden die Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit maßgeblich sind. Die Begründung nennt infrastrukturelle und personelle Maßnahmen, Detektion und Behebung von Störungen sowie eine Abschottung besonders 40 Im Sinne der Empfehlung 2003/361/EC der Kommission v. 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. L 124 v. 20.5.2003, S. 36. Nach Art. 2 Abs. 3 des Anhangs sind Kleinstunternehmen solche, die weniger als 10 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 2 Mio. Euro nicht überschreitet. 41 BT-Drs. 18/4096, 24.
54
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
kritischer Prozesse.42 Dabei „soll der Stand der Technik eingehalten werden“.43 Mit der Soll-Regelung bringt der Gesetzgeber zum Ausdruck, dass Abweichungen zulässig sind, aber nur in (gut) begründeten Ausnahmefällen.44 Eine Präzisierung der erforderlichen Maßnahmen kann durch die bran- 31 chenspezifischen Sicherheitsstandards nach § 8a Abs. 2 BSIG erfolgen, die durch Betreiber oder Branchenverbände vorgeschlagen und durch das BSI mittels feststellendem Verwaltungsakt45 akzeptiert werden. Dies erfolgt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes bzw. im Benehmen mit der sonst zuständigen Aufsichtsbehörde. Die NIS-RL enthält insoweit eine allgemeine Pflicht der Mitgliedstaaten, auf die Einhaltung europäischer oder international akzeptierter Standards hinzuwirken (Art. 19 Abs. 1 NIS-RL); eine wesentliche Rolle kommt nach Art. 19 Abs. 2 NIS-RL dabei der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) zu. Die Option zum Vorschlag branchenspezifischer Standards ist grundsätz- 32 lich sinnvoll, weil sie die Verantwortung der Betreiber betont und zugleich das bei diesen verfügbare Wissen über Sicherheitsprobleme und Abwehrmaßnahmen nutzt. Die Regelung wirft aber einige Probleme auf. So wird der Umgang mit mehreren, inhaltlich abweichenden Standardvorschlägen für dieselbe Branche nicht adressiert.46 Im Gesetz ist überdies nicht vorgesehen, die erarbeiteten Standards zu pflegen und zu aktualisieren.47 Die Mitwirkung der Aufsichtsbehörden kann sich relativ komplex darstellen und je nach Branche auch mehrere Behörden (vor allem die Aufsichtsbehörden nach § 38 BDSG) umfassen. Schließlich kann das BSI nicht von sich aus tätig werden, hat also keine Befugnis, im Wege 42 BT-Drs. 18/4096, 25 f. 43 Im Entwurf noch schwächer: „zu berücksichtigen“ (ebenso § 109 Abs. 1 Satz 2 TKG und der neue § 109 Abs. 2 Satz 3 TKG sowie § 13 Abs. 7 TMG, kritisch Roßnagel, DVBl 2015, 1206, 1208); dies war in der Sachverständigenanhörung mehrfach kritisiert worden. Art. 14 Abs. 1 NIS-RL-E formuliert zwar ähnlich wie der ursprüngliche deutsche Entwurf („unter Berücksichtigung“), ist aber nach Art. 3 NIS-RL-E nur mindestharmonisierend. 44 S. Gitter/Meißner/Spauschus, ZD 2015, 512, 513; Guckelberger, DVBl 2015, 1213, 1218; Roßnagel, DVBl 2015, 1206, 1208. 45 Roßnagel, DVBl 2015, 1206, 1209. 46 Z. B. Eckardt, ZD 2014, 599, 600 f.; Heinickel/Feiler, CR 2014, 708, 712. 47 S. aber die Begründung, BT-Drs. 18/4096, 26; die in der Literatur (Roos, MMR 2015, 636, 638) vorgeschlagene Überarbeitung analog zur zweijährigen Nachweispflicht in § 8a Abs. 3 BSIG erscheint sinnvoll, ergibt sich aber nicht aus dem Gesetz.
55
Gerrit Hornung
einer Ersatzvornahme selbst Standards vorzuschreiben. Unterbreiten Betreiber und Verbände keinen Vorschlag, verbleibt der Behörde nur die individuelle Beratung. 33 Abweichungen ergeben sich nach § 11 Abs. 1b Satz 2 EnWG:48 Die Regulierungsbehörde ist befugt, im Benehmen mit dem BSI einen Katalog von Sicherheitsanforderungen zu erstellen, dessen Einhaltung gemäß § 11 Abs. 1b Satz 6 EnWG einen angemessenen Schutz darstellt. Die Unternehmen können hier weder Standards vorschlagen noch sonst mitwirken. Überdies enthält § 11 EnWG keinen Verweis auf den Stand der Technik. Aus dem Verzicht auf eine Sollensregelung analog § 8a Abs. 1 Satz 1 BSIG lässt sich folgern, dass die Regulierungsbehörde den Stand der Technik fest und verbindlich vorgeben darf.49 2. Nachweis der Einhaltung: Audits, Prüfungen und Zertifizierungen 34 Nach § 8a Abs. 3 BSIG ist die Erfüllung der Anforderungen alle zwei Jahre nachzuweisen. Dies kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.50 Von diesen Begriffen wird lediglich die Zertifizierung in § 2 Abs. 7 BSIG definiert. Nach Kritik in der Anhörung hinsichtlich des Fehlens von Aussagen zu den durchführenden Stellen (Qualifikation, Akkreditierung), Verfahrensanforderungen, materiellen Standards (etwa Prüfungen vor Ort oder aussagekräftige Penetrationstests) und Rechtsfolgen51 wurde durch § 8a Abs. 4 BSIG das BSI ermächtigt, entsprechende Anforderungen festzulegen. Die Behörde darf nunmehr Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle festlegen. Entscheidend wird sein, dass tatsächlich effektive Tests durchgeführt werden und nicht lediglich auf Hersteller- oder Betreibererklärungen vertraut wird.52 35 Das BSI verfügt zwar über die Befugnis, nach § 8a Abs. 3 Satz 4 Nr. 2 BSIG die Beseitigung von Sicherheitsmängeln zu verlangen (vergleichbar,
48 Speziell zum Energiewirtschaftsgesetz de Wyl/Weise/Bartsch, N&R 2015, 23 ff.; Weise/Brühl, CR 2015, 290 ff.; Guckelberger, DVBl 2015, 1213, 1218 ff. 49 Guckelberger, DVBl 2015, 1213, 1218 f. 50 Nach § 11 Abs. 1b EnWG genügt demgegenüber eine Eigenerklärung der Betreiber. 51 S. u. a. Hornung, A-Drs. 18(4)284 G, 9; s. a. Heinickel/Feiler, CR 2014, 708, 712. 52 Zur Gefahr der Bürokratisierung s. Neumann, A-Drs. 18(4)284 F, 8.
56
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
aber wohl weitergehend Art. 15 Abs. 3 NIS-RL),53 kann jedoch nicht ein konkretes Sicherheitsaudit, eine Prüfung oder Zertifizierung anordnen (anders § 109 Abs. 7 TKG). Nach dem Kompromiss in Art. 15 Abs. 2 lit. b NIS-RL erhalten die Behörden die Befugnis, den Nachweis einer effektiven Implementierung von Sicherheitsstrategien zu verlangen. Die Durchführung einer „Sicherheitsüberprüfung“ wird als (einziges) Beispiel genannt. Diese soll entweder durch die Behörde selbst oder „qualifizierte Prüfer“ durchgeführt werden. Findet Letzteres statt, sind die Ergebnisse an die Behörde weiterzugeben. Diese spezifischen Befugnisse hat das BSI bislang nur im Telekommunikationsbereich; insoweit wird sich ein Änderungsbedarf ergeben. 3. Sanktionen Das IT-Sicherheitsgesetz und die europäischen Regelungen verfolgen 36 einen grundsätzlich begrüßenswerten „kooperativen Ansatz“ und begreifen die Sicherheit Kritischer Infrastrukturen als gemeinsame Aufgabe von Wirtschaft und Staat. Da erfahrungsgemäß jedoch nicht alle Anbieter immer kooperativ sind, enthält zum Beispiel Art. 21 NIS-RL die Verpflichtung der Mitgliedstaaten, Sanktionen für die Verletzung der normierten Pflichten einzuführen. Der deutsche Entwurf hatte hier noch eine nicht zu rechtfertigende Un- 37 gleichbehandlung vorgesehen, da sich ausschließlich die Anbieter geschäftsmäßig angebotener Telemedien gemäß § 16 Abs. 2 Satz 2 Nr. 3 TMG bußgeldpflichtig gemacht hätten, wenn sie ihre Systeme entgegen § 13 Abs. 7 TMG nicht entsprechend schützen. Dies war umso auffälliger, als diese Anbieter regelmäßig noch nicht einmal Kritische Infrastrukturen im Sinne von § 2 Abs. 10 BSIG betreiben werden. Nach Kritik in der Anhörung wurde dies nunmehr durch § 14 Abs. 1 Nr. 1 und 2 BSIG korrigiert.54 Zweifelhaft ist allerdings, ob dies auch Betreiber nach dem Energiewirtschaftsgesetz und dem Telekommunikationsgesetz erfasst, deren Pflichten zu IT-Sicherheitsmaßnahmen nicht aus dem BSI-Gesetz (s. § 8c Abs. 2 BSIG), sondern aus § 11 Abs. 1b EnWG und § 109 Abs. 2 TKG folgen. Diese Regelungen werden weder durch § 14 BSIG noch durch die Bußgeldkataloge in § 95 EnWG und § 149 TKG einbezogen. Diese Ungleichbehandlung ist weder beabsichtigt noch zu rechtfertigen.
53 „Following the assessment of information or results of security audits referred to in paragraph 2, the competent authority may issue binding instructions to the operators of essential services to remedy their operations.“ 54 S. zu den Ordnungswidrigkeiten und der Haftung der Unternehmen Lurz/ Scheben/Dolle, BB 2015, 2755, 2758 f.; s. a. Roos, MMR 2015, 636, 641.
57
Gerrit Hornung
VI. Meldepflichten für IT-Sicherheitsvorfälle 38 Wenn die intrinsischen Anreize für kostenträchtige IT-Sicherheitsmaßnahmen gering, die potentiellen Auswirkungen von Vorfällen breit, die Kommunikation hierüber aber unterentwickelt ist, so sind Meldepflichten eine sinnvolle Strategie. Diese wird in vergleichbaren Fällen bereits verfolgt, etwa im Datenschutzrecht (§ 42a BDSG, § 15a TMG, § 109a TKG, § 83a SGB X).55 1. Pflichten nach dem BSI-Gesetz 39 Meldepflichtig sind nach § 8b Abs. 4 Satz 1 BSIG Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit56 von IT-Systemen, Komponenten und Prozessen.57 Der Begriff der Störung wird nicht definiert. Ausweislich der Begründung liegt eine solche vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken. Dazu zählen insbesondere „Fälle von Sicherheitslücken, Schadprogrammen und erfolgten, versuchten oder erfolgreich abgewehrten Angriffen auf die Sicherheit in der Informationstechnik sowie außergewöhnliche und unerwartete technische Defekte mit ITBezug (zum Beispiel nach Softwareupdates oder ein Ausfall der Serverkühlung)“.58 40 Die Störungen müssen „erheblich“ sein59 sowie entweder zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen
55 Dazu z. B. Gabel, BB 2009, 2045 ff.; Eckhardt/Schmitz, DuD 2010, 390 ff.; Hornung, NJW 2010, 1841 ff. 56 Dies sind Kernbegriffe der IT-Sicherheit, s. Eckert (Fn. 2). 57 S. Gitter/Meißner/Spauschus, ZD 2015, 512, 513 f.; Hornung, NJW 2015, 3334, 3336 ff.; Roßnagel, DVBl 2015, 1206, 1209 f.; Lurz/Scheben/Dolle, BB 2015, 2755, 2756 f. 58 BT-Drs. 18/4096, 27 f. 59 Darunter versteht die Begründung (BT-Drs. 18/4096, 28) solche Störungen, die nicht bereits automatisiert oder mit wenig Aufwand mithilfe der nach § 8a BSIG als Stand der Technik beschriebenen Maßnahmen abgewehrt werden können. Als Beispiele werden neuartige oder außergewöhnliche IT-Vorfälle, gezielte Angriffe, neue Modi Operandi und unerwartete Vorkommnisse sowie solche Vorfälle genannt, die nur mit deutlich erhöhtem Ressourcenaufwand bewältigt werden können. Umgekehrt fehlt es an der Erheblichkeit bei „tagtäglich vorkommende[n] Ereignisse[n] (Spam, übliche Schadsoftware, die standardmäßig im Virenscanner abgefangen wird, Hardwareausfälle im üblichen Rahmen)“, die mit üblichen Maßnahmen ohne nennenswerte Probleme bewältigt werden können.
58
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
Infrastruktur führen können oder schon geführt haben.60 Dies geht insoweit über die NIS-RL hinaus, als diese sich auf Sicherheitsvorfälle („incidents“) beschränkt. Diese werden in Art. 3 Abs. 7 NIS-RL definiert als „alle Ereignisse, die tatsächlich nachteilige Auswirkungen“ haben; Art. 14 Abs. 4 NIS-RL definiert Kriterien für die Feststellung der Signifikanz des Vorfalls. Der überschießende Inhalt des deutschen Rechts ist wegen des nur mindestharmonisierenden Charakters der NIS-RL (s. Art. 3 NIS-RL) unproblematisch. Allerdings enthält Art. 16 Abs. 5 NISRL eine besondere Verzahnung zwischen den allgemein meldepflichtigen Betreibern und den Anbietern von Dienstleistungen der Informationsgesellschaft: Sofern erstere auf derartige Dienstleistungen angewiesen sind, müssen sie Sicherheitsvorfälle bei den Dienstleistungen der Informationsgesellschaft ebenfalls melden, falls sie sich auf die Kritische Infrastruktur auswirken. Hier wird mit anderen Worten eine Meldepflicht nicht für Vorfälle bei eigenen, sondern bei fremden IT-Systemen vorgeschrieben, die sich so bisher nicht im deutschen Recht findet. Die Meldung erfolgt an das BSI, allerdings nicht zwingend direkt. Zwar 41 müssen die Betreiber Kritischer Infrastrukturen gemäß § 8b Abs. 3 BSIG jeweils eine Kontaktstelle für die Kommunikationsstrukturen nach § 3 Abs. 1 Satz 2 Nr. 15 BSIG61 benennen und über diese „jederzeit“ erreichbar sein.62 Zusätzlich zu dieser Kontaktstelle können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, aber nach § 8b Abs. 5 Satz 1 BSIG eine „gemeinsame übergeordnete Ansprechstelle“ benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle (§ 8b Abs. 5 Satz 2 BSIG). Sofern personenbezogene Daten enthalten sind, statuiert § 8b Abs. 7 BSIG eine strenge Zweckbindung. Die Meldung muss nach § 8b Abs. 4 Satz 2 BSIG Angaben zu der Störung 42 sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnologie, der Art der betroffenen Einrichtung oder Anlage und zur Branche enthalten. Der konkrete Betreiber kann – wenn für seinen Sektor eine 60 Zu den unbestimmten Rechtsbegriffen der Erheblichkeit und der Beeinträchtigung z. B. Bräutigam/Wilmer, ZRP 2015, 38, 40 f. 61 Diese Strukturen müssen geeignet sein „zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft“. 62 Das Unterlassen der Benennung ist in § 14 Abs. 1 Satz 3 BSIG bußgeldbewehrt.
59
Gerrit Hornung
gemeinsame übergeordnete Ansprechstelle nach § 8b Abs. 5 Satz 1 BSIG besteht – dem BSI gegenüber pseudonym auftreten, sofern es nicht tatsächlich zu einem Ausfall oder einer Beeinträchtigung gekommen ist. Diese Abstufungen zwischen erheblichen und nicht erheblichen Störungen sowie zwischen Störungen mit und ohne Folgen ist sinnvoll und berücksichtigt die berechtigten Interessen der Betreiber, nicht mit aufwändigen Meldungen zu unwesentlichen Vorfällen überfrachtet sowie nicht genannt zu werden, sofern es nicht zu tatsächlichen Ausfällen oder Beeinträchtigungen gekommen ist.63 43 § 8b Abs. 6 BSIG ermöglicht dem BSI, von den Herstellern der betroffenen IT-Produkte und -Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung zu verlangen. Dies soll vor allem die kurzfristige Behebung von Sicherheitslücken umfassen, etwa durch die Bereitstellung von Updates.64 Dies ist eine potentiell extrem weitreichende Befugnis der Behörde. Da sie auch auf eine Störungsvermeidung abzielt, könnte das BSI sogar präventiv, das heißt ohne konkrete Vorfälle, jeden beliebigen Hersteller zur Vornahme weitreichender Updates verpflichten. Das in der Begründung, nicht aber im Gesetz genannte Zumutbarkeitserfordernis muss deshalb schon aus Gründen der grundrechtlichen Berufsfreiheit der Hersteller berücksichtigt werden. 2. Spezielle Meldepflichten 44 § 8c Abs. 3 BSIG nimmt Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zugänglicher Telekommunikationsdienste, Betreiber von Energieversorgungsnetzen und Energieanlagen, Inhaber atomrechtlicher Genehmigungen sowie Betreiber Kritischer Infrastrukturen mit vergleichbaren Vorgaben von den Meldepflichten aus. Für diese gelten separate Regelungen (§ 109 Abs. 5 TKG, § 11 Abs. 1c EnWG, § 44b AtomG), die jedoch teilweise unzureichend mit dem BSI-Gesetz abgestimmt sind. 45 Während nach § 8b Abs. 4 BSIG Betreiber „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ zu melden haben, „die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben“, werden von § 109 Abs. 5 Satz 1 TKG „Beeinträchtigungen“ von Telekommunikationsnetzen und -diensten er63 S. Hornung, NJW 2015, 3334, 3337; Guckelberger, DVBl 2015, 1213, 1220 ff.; Roßnagel, DVBl 2015, 1206, 1210. 64 BT-Drs. 18/5121, 16; s. a. Gitter/Meißner/Spauschus, ZD 2015, 512, 514.
60
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
fasst, „die zu beträchtlichen Sicherheitsverletzungen führen oder führen können“. Ob mit dieser unterschiedlichen Wortwahl auch unterschiedliche Anforderungen gemeint sind, wird nicht deutlich. In der Diskussion ist der Begriff der „Beeinträchtigung“ teilweise als umfassender aufgefasst worden. Der Terminus „Sicherheitsverletzung“ ist im Telekommunikationsgesetz an keiner Stelle definiert. § 109 Abs. 5 Satz 2 TKG nennt exemplarisch Einschränkungen der Verfügbarkeit und unerlaubte Zugriffe auf Systeme. Wieso hier nicht ebenfalls mit den Begriffen Integrität, Authentizität und Vertraulichkeit gearbeitet wurde, ist nicht ersichtlich. § 11 Abs. 1c EnWG orientiert sich demgegenüber überwiegend an § 8b 46 BSIG.65 Allerdings wird aufgrund einer Änderung im Innenausschuss nunmehr der Inhalt der Meldung abweichend geregelt. § 8b Abs. 4 Satz 2 BSIG fordert auch Angaben über die Art der betroffenen Einrichtung oder Anlage; eine entsprechende Änderung im Energiewirtschaftsgesetz wurde mutmaßlich vergessen. Nach § 44b AtomG sind „Beeinträchtigungen“66 der IT-Systeme, Kom- 47 ponenten oder Prozesse zu melden, „die zu einer Gefährdung oder Störung der nuklearen Sicherheit der betroffenen kerntechnischen Anlage oder Tätigkeit führen können oder bereits geführt haben“. Die begriffliche Struktur ist also ähnlich wie in § 109 Abs. 5 TKG, aber erneut anders als in § 8b Abs. 4 BSIG. Besonders auffällig ist, dass in § 44b Satz 1 AtomG offenbar Beeinträchtigungen zu Störungen führen, während in § 8b Abs. 4 Satz 1 BSIG genau umgekehrt Störungen Beeinträchtigungen zur Folge haben. § 44b Satz 2 AtomG übernimmt hingegen für den Inhalt der Meldung den Wortlaut von § 8b Abs. 4 Satz 2 BSIG. Dies ist wenig sinnvoll, weil in § 44b Satz 1 AtomG nicht Störungen der IT-Sicherheit, sondern Störungen der nuklearen Sicherheit erwähnt werden. Die Möglichkeit der pseudonymen Meldung wird in § 11 Abs. 1c 3 EnWG 48 ebenfalls eröffnet, geht dort aber ins Leere, weil die Meldung hier nicht über eine gemeinsame übergeordnete Ansprechstelle nach § 8b Abs. 5 Satz 1 BSIG, sondern nach § 11 Abs. 1c Satz 1 EnWG direkt an das BSI erfolgt, sodass unklar ist, wie dies pseudonym erfolgen soll. Im Telekommunikationsgesetz und Atomgesetz fehlt eine entsprechende Regelung ganz. Für das Atomgesetz mag dies keine Rolle spielen, weil es dort ohnehin nur um wenige Anbieter geht. Im Telekommunikationsgesetz wäre eine einheitliche Regelung hingegen sinnvoll gewesen. 65 Näher zu § 11 Abs. 1c EnWG Guckelberger, DVBl 2015, 1213, 1220 f.; dort auch zu den Auslegungsproblemen. 66 Für eine erweiterte Auslegung gegenüber dem Begriff der Störung in § 8b BSIG Roos, MMR 2015, 636, 643.
61
Gerrit Hornung
3. Sanktionen 49 Auch für die Meldepflichten hatte der Entwurf nur für einen Sektor Bußgeldtatbestände vorgesehen (§ 149 Nr. 21a TKG). Diese nicht zu rechtfertigende Ungleichbehandlung67 (die künftig Art. 21 NIS-RL widersprechen wird) wurde durch § 14 Abs. 1 Nr. 4 BSIG überwiegend bereinigt. In beiden Fällen ist nunmehr das Unterlassen der Meldung dann bußgeldbewehrt, wenn der zu meldende Vorfall tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat (§ 8b Abs. 4 Satz 1 Nr. 2 BSIG). Sofern dies nur möglich war, entfällt die Bußgeldpflicht sowohl nach dem BSI-Gesetz als auch nach dem Telekommunikationsgesetz. Ähnlich wie bei den ITSicherheitsstandards wurden jedoch entsprechende spezielle Regelungen (hier in § 46 AtomG und § 95 EnWG) versäumt. 4. Datenschutz- und Vertraulichkeitsaspekte 50 Meldungen über IT-Sicherheitsvorfälle können sensible Informationen umfassen, nämlich personenbezogene Daten von Kunden, Mitarbeitern oder Dritten und Informationen über die Betreiber. Für den Datenschutz betrifft dies drei Fälle: –
Im Rahmen der Meldung selbst kann es erforderlich sein, personenbezogene Daten zu übermitteln. Hierfür enthält § 8b BSIG keine explizite Ermächtigungsgrundlage. Lediglich mittelbar lässt sich aus der Zweckbindung in § 8b Abs. 6 BSIG entnehmen, dass der Gesetzgeber davon ausgeht, die Meldungen könnten auch solche Daten enthalten. Unter den Gesichtspunkten der Rechtsklarheit und Transparenz ist dies mehr als unglücklich, weil offenbleibt, auf welche Rechtsgrundlage sich die Übermittlung stützen soll. Überdies ergibt sich ein möglicherweise nicht beabsichtigter Effekt: Da die Tätigkeit des BSI nach § 8b BSIG nicht unter § 14 Abs. 2 und § 15 Abs. 5 Satz 3 TMG fällt, besteht wegen der Regelung in § 12 Abs. 1 TMG („verschärftes“ Verbotsprinzip) keine Befugnis zur Übermittlung von Bestands- und Nutzungsdaten nach dem Telemediengesetz.
–
Grundsätzlich denkbar wäre, dass das BSI Dritte über die Meldungen informiert und dabei personenbezogene Daten weitergibt. Dies untersagen jedoch § 8b Abs. 6 und § 8d Abs. 1 Satz 2 BSIG.
–
Soweit der IT-Sicherheitsvorfall selbst personenbezogene Daten betrifft, können auch die Meldepflichten nach § 42a BDSG, § 15a TMG, § 109a TKG und § 83a SGB X einschlägig sein. Insoweit erscheint
67 Kritisch z. B. Bräutigam/Wilmer, ZRP 2015, 38, 41.
62
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
eine gegenseitige Information oder Zusammenarbeit der Behörden sinnvoll. Den Unternehmen sollte so ermöglicht werden, möglichst einheitliche Berichtsverfahren einzurichten. Daneben können auch die Interessen der meldenden Unternehmen be- 51 einträchtigt werden, wenn entweder Betriebs- und Geschäftsgeheimnisse betroffen sind oder ihre Reputation gefährdet wird. Diesem Problem wird durch das abgestufte Meldesystem in § 8b Abs. 4 BSIG Rechnung getragen, in dem die Meldepflichtigen pseudonym bleiben können, solange es nicht zu einer Störung kommt. Ist dies der Fall, so ist die Offenlegung des konkreten Betreibers gegenüber dem BSI wegen des übergeordneten Interesses gerechtfertigt. Nicht übersehen werden darf, dass das BSI nicht nur ein allgemeines La- 52 gebild zur IT-Sicherheit, sondern auch sehr konkrete Informationen über die Anfälligkeit bestimmter Branchen in Deutschland und sogar über Probleme einzelner Unternehmen erhalten wird. Diese Informationen sind sensibel, weil sie etwa im Rahmen von Industriespionage oder sonst zum Nachteil der betroffenen Unternehmen verwendet werden können. Es ist deshalb sicherzustellen, dass das BSI im Rahmen seiner Zusammenarbeit mit anderen Behörden – vor allem denen anderer Staaten (§ 3 Abs. 1 Satz 2 Nr. 16 BSIG) – keine Informationen weitergibt. Wieso der Gesetzgeber dies ausschließlich für den Bereich des Energiewirtschaftsgesetzes angeordnet hat (§ 11 Abs. 1c Satz 5 EnWG), ist nicht ersichtlich. 5. Informations- und Veröffentlichungspflichten des BSI Während das Gesetz den Informationsfluss zum BSI stark reguliert, wer- 53 den die Veröffentlichungspflichten der Behörde nur fragmentarisch ausgestaltet.68 Die Kommunikationswege zu den Betreibern Kritischer Infrastruktu- 54 ren erscheinen hinreichend. § 3 Abs. 3 BSIG eröffnet dem BSI allgemein die ermessensabhängige Möglichkeit der Beratung bei der Sicherung der Informationstechnologie; nach allgemeinen Regeln kann sich dieses Ermessen auf Null reduzieren, wenn zum Beispiel ein Betreiber auf die rasche Unterstützung gerade des BSI angewiesen ist. In Umsetzung der neuen Aufgabe nach § 3 Abs. 1 Satz 2 Nr. 2 BSIG regelt § 8b Abs. 2 Nr. 4 lit. a BSIG eine Pflicht der Behörde zur Information der Betreiber über
68 S. allgemeiner zum staatlichen Informationshandeln im Bereich der IT-Sicherheit Leisterer/Schneider, K&R 2015, 681 ff.
63
Gerrit Hornung
sie betreffende Informationen, die aus gemeldeten Daten synthetisiert werden.69 55 Dagegen ist die Information sonstiger Dritter und der Öffentlichkeit im Ergebnis viel zu zurückhaltend geregelt.70 Die Begründung betont zwar das Ziel des verstärkten Schutzes der Bürgerinnen und Bürger.71 Dieser wird jedoch nur mittelbar bewirkt, nämlich über die Verbesserung der ITSicherheit in den Kritischen Infrastrukturen. Eine Einbindung der Bürgerinnen und Bürger selbst ist gesetzlich nicht vorgesehen. 56 Die Übermittlungspflicht nach § 8b Abs. 2 Nr. 4 lit. a BSIG ist auf Betreiber Kritischer Infrastrukturen beschränkt. In Bezug auf andere Stellen ist eine proaktive Tätigkeit des BSI dagegen nicht nur nicht als Pflicht, sondern noch nicht einmal als Möglichkeit vorgesehen. § 8d BSIG lässt eine Information Dritter nur auf Antrag zu und stellt sie ins Ermessen. Dies ist in mehrfacher Hinsicht unangemessen. Erstens werden als ermessenslenkende Maßstäbe ausschließlich Gründe für den Ausschluss der Auskunft genannt; stattdessen wäre eine Abwägung mit den legitimen Informationsinteressen Dritter angemessen.72 Zweitens wäre es sinnvoll, dem BSI eine proaktive Informationspflicht aufzuerlegen, sofern die Behörde berechtigte Interessen Dritter erkennt. Ohne Kenntnis von etwaigen Informationen des BSI werden diese regelmäßig keinerlei Anlass haben, ein Auskunftsverlangen zu stellen. Drittens ist nicht erkennbar, wieso der betroffene Betreiber nicht an der Entscheidung beteiligt oder zumindest informiert werden soll. Dies ist auf Initiative von Parlament und Rat nunmehr auch in Art. 14 Abs. 6 NIS-RL vorgesehen. 57 Auch hinsichtlich der Information der Öffentlichkeit ist das Gesetz wenig eindeutig. In der Begründung heißt es zwar, die Öffentlichkeit werde benachrichtigt, wenn das öffentliche Interesse dies erfordere; auch insoweit dürften schutzwürdige Interessen der Betreiber Kritischer Infrastrukturen nicht entgegenstehen.73 Auf welcher Basis dies erfolgen und woraus sich die genannte Einschränkung ergeben soll, wird jedoch nicht angegeben. § 8b BSIG enthält jedenfalls weder eine Befugnis, geschweige denn eine Pflicht zu einer solchen Benachrichtigung. Auch das Antragsverfahren nach § 8d BSIG kann kaum gemeint sein. Somit bleibt lediglich die allgemeine Befugnis zur Warnung der Öffentlichkeit nach 69 Zu den praktischen Problemen z. B. Lurz/Scheben/Dolle, BB 2015, 2755, 2762. 70 S. schon Hornung, NJW 2015, 3334, 3338; s. a. Roßnagel, DVBl 2015, 1206, 1210. 71 BT-Drs. 18/4096, 1, 2, 19. 72 Für eine solche Abwägung auch de lege lata aufgrund grundrechtlicher Schutzpflichten Roßnagel, DVBl 2015, 1206, 1210. 73 BT-Drs. 18/4096, 27.
64
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
§ 7 BSIG.74 Da diese sich jedoch nicht auf die neuen Aufgaben nach § 3 Abs. 1 Satz 2 Nr. 17 BSIG bezieht, ist unklar, ob Informationen aus den Meldungen öffentlich gemacht werden dürfen.75 Wieso der Gesetzgeber schließlich eine Befugnis zur Information der 58 Öffentlichkeit ausschließlich in § 109 Abs. 5 Satz 7 TKG eingeführt hat,76 ist nicht ersichtlich. Auch Art. 14 Abs. 6 NIS-RL sieht eine entsprechende Regelung vor.77 Danach kann die Behörde die Öffentlichkeit nicht nur allgemein, sondern über individuelle IT-Sicherheitsvorfälle informieren, wenn die öffentliche Aufmerksamkeit zur Verhinderung weiterer Vorfälle erforderlich ist. Erwägungsgrund 40 bringt die Erwartung zum Ausdruck, dass das CSIRTs network78 eine entsprechende Webseite mit Informationen bereitstellen wird. Über die Bedeutung der Öffentlichkeitsinformation bestand im europäischen Gesetzgebungsverfahren Einigkeit zwischen allen Beteiligten. VII. Weitere Regelungen und Auswirkungen 1. Pflichten für Anbieter nach dem Telemediengesetz Der neue § 13 Abs. 7 TMG verpflichtet Diensteanbieter, soweit dies 59 technisch möglich und wirtschaftlich zumutbar ist, durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist.79 Überdies müssen diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen (auch durch äußere Angriffe) gesichert werden. Dabei ist der Stand der Technik zu berücksichtigen (das heißt nicht wie nach § 8a Abs. 1 Satz 2 BSIG „einzuhalten“).80 Als ein Beispiel für Maßnahmen nennt § 13 Abs. 7 Satz 3 TMG als sicher anerkannte Verschlüsselungsverfahren, die Begründung
74 Zum bisherigen Norminhalt s. Buchberger, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2014, § 7 BSIG Rz. 1 ff.; zu den Änderungen durch das IT-Sicherheitsgesetz Leisterer/Schneider, K&R 2015, 681, 683 f. 75 S. a. Leisterer/Schneider, K&R 2015, 681, 683 f. 76 Danach kann die Bundesnetzagentur die Öffentlichkeit unterrichten oder die Verpflichteten hierzu auffordern, wenn sie zu dem Schluss gelangt, dass dies im öffentlichen Interesse liegt. 77 Dazu Roos, K&R 2013, 769, 774. 78 S. u. VII.3. 79 Näher Djeffal, MMR 2015, 716 ff.; Gitter/Meißner/Spauschus, ZD 2015, 512, 515 f.; Roos, MMR 2015, 636, 643. 80 Kritisch Roßnagel, DVBl 2015, 1206, 1208.
65
Gerrit Hornung
überdies Authentifizierungsverfahren.81 Die Pflicht erfasst alle geschäftsmäßig erbrachten Telemedien und ist damit sehr weitgehend, weil sie insbesondere viele Webseitenbetreiber betrifft, die keine Kritischen Infrastrukturen betreiben. Eine Einschränkung ergibt sich aus dem Erfordernis, dass die Vorkehrungen wirtschaftlich zumutbar sein müssen. Die Gesetzesbegründung bezieht dies auf den „konkreten Diensteanbieter“.82 Dies sollte allerdings nicht so verstanden werden, dass es auf die individuelle wirtschaftliche Lage ankommt, weil dann schlecht wirtschaftende Unternehmen geringere Anforderungen erfüllen müssten. Vielmehr ist auf den konkret angebotenen Dienst abzustellen. 60 Der Referentenentwurf hatte zusätzlich vorgesehen, dass Diensteanbieter, soweit erforderlich, Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen ihrer technischen Einrichtungen erheben und verwenden dürfen sollten. Diese Regelung wurde bereits im Regierungsentwurf gestrichen.83 Mit Blick auf die Streichung und die Tatsache, dass § 13 Abs. 7 TMG personenbezogene Daten nicht erwähnt, können die nach dieser Norm geforderten Maßnahmen sich nicht auf die Sammlung von Nutzungsdaten erstrecken. 2. Verarbeitungsbefugnisse nach § 100 Abs. 1 TKG 61 § 100 Abs. 1 TKG enthielt bereits bisher die Befugnis der Diensteanbieter, die Bestands- und Verkehrsdaten der Teilnehmer und Nutzer zu erheben und zu verwenden, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen erforderlich war. Dies entspricht nunmehr § 100 Abs. 1 Satz 1 TKG. Der neue § 100 Abs. 1 Satz 2 TKG bestimmt, dass dies auch für Störungen gilt, die zu einer Einschränkung der Verfügbarkeit von Informations- und Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer „führen können“. Die Erstreckung auf potentielle Einschränkungen der Verfügbarkeit entspricht der Auslegung des Bundesgerichtshofs zu § 100 Abs. 1 TKG a. F.84 Neu ist demgegenüber die Erweiterung auf Systeme der Nutzer.
81 BT-Drs. 18/4096, 34 f. 82 BT-Drs. 18/4096, 34. 83 Zu den Problemen und Lösungsmöglichkeiten s. z. B. FIfF e. V., A-Drs. 18(4)252, 4 ff.; ULD, Stellungnahme v. 13.2.2015; Schiller, A-Drs. 18(4)284 C, 8 ff. 84 BGH v. 3.7.2014 – III ZR 391/13, NJW 2014, 2500 = CR 2015, 444; BGH v. 13.1.2011 – III ZR 146/10, NJW 2011, 1509 = CR 2011, 178 m. Anm. Wüstenberg, CR 2011, 254.
66
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
Mit Blick auf den Eingriff in Art. 10 GG begegnet § 100 Abs. 1 TKG 62 verfassungsrechtlichen Bedenken, die auch für die bisherige Regelung gelten und deshalb hier nur angedeutet werden sollen.85 Da die Norm potenziell eine umfassende Analyse der Verkehrsdaten aller Teilnehmer und Nutzer in Deutschland ermöglicht, ist es nicht zu rechtfertigen, dass sie de facto nur das Erforderlichkeitskriterium enthält. Zwar gelten die durch das Bundesverfassungsgericht und den Europäischen Gerichtshof aufgestellten Anforderungen an die Vorratsspeicherung von Telekommunikations-Verkehrsdaten86 nicht direkt. Die in diesen Urteilen beschriebenen Risiken für die unbeobachtete Kommunikation der Bürgerinnen und Bürger sind jedoch auch hier betroffen. Erforderlich sind deshalb zumindest ergänzende Regelungen zur Sicherung der Persönlichkeitsrechte: insbesondere Erheblichkeitsschwellen (der Wortlaut erfasst auch unwesentliche Störungen und Fehler), Maßnahmen zum Schutz gegen Zweckentfremdung, Dokumentationspflichten, Ausnahmen für sensible Kommunikationsvorgänge, Vorgaben zur Information der Betroffenen und zeitlich konkretisierte Löschpflichten.87 3. Weitere Aufgaben des BSI Schließlich regelt das Gesetz neue Aufgaben und Befugnisse des BSI. 63 Dieses ist auf nationaler Ebene zuständig für die Informationssicherheit (§ 1 BSIG). Es kann nunmehr Betreiber Kritischer Infrastrukturen beraten (§ 3 Abs. 3 BSIG). Die Befugnisse zur Warnung der Öffentlichkeit und Empfehlung von Sicherheitsmaßnahmen und -produkten in § 7 Abs. 1 BSIG wurden präzisiert und erweitert. Die Behörde darf auch bei Datenverlust oder unerlaubtem Zugriff auf Daten Betroffene und Öffentlichkeit warnen und hierfür Dritte (vor allem Provider zur Information ihrer Kunden)88 einbeziehen. § 7a BSIG gibt dem BSI die Möglichkeit, auf dem Markt bereitgestellte 64 oder zur Bereitstellung vorgesehene IT-Produkte und -Systeme zu unter85 S. z. B. Braun, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, § 100 Rz. 7 ff. m. w. N.; Roßnagel, A-Drs. 18(4)284 B, 18 f.; Roßnagel, DVBl 2015, 1206, 1211 f.; FIfF e. V., A-Drs. 18(4)252, 10 ff. 86 BVerfGE 125, 260; EuGH, NJW 2014, 2169. 87 Das Kriterium der Erforderlichkeit führt zu erheblicher Rechtsunsicherheit hinsichtlich der zulässigen Speicherdauer (in der Praxis zwischen 3 und 180 Tagen, s. Neumann, A-Drs. 18(4)284 F, 11); die Klärung durch den BGH (BGH v. 3.7.2014 – III ZR 391/13, NJW 2014, 2500 = CR 2015, 444; BGH v. 13.1.2011 – III ZR 146/10, NJW 2011, 1509 = CR 2011, 178 m. Anm. Wüstenberg, CR 2011, 254) betrifft lediglich IP-Adressen. 88 S. die Begründung, BT-Drs. 18/4096, 25.
67
Gerrit Hornung
suchen und dabei Dritte heranzuziehen. Durch die Bezugnahme auf die Aufgaben nach § 3 Abs. 1 Satz 2 Nr. 1, 14 und 17 BSIG ist dieses Befugnis sehr weitreichend und gibt der Behörde das Recht, eine große Bandbreite von Produkten und Systemen auch gegen den Willen der Hersteller zu untersuchen; diese müssen noch nicht einmal informiert werden. Die gewonnenen Erkenntnisse dürfen zur Gefahrenabwehr und zu Beratungszwecken weitergegeben und sogar veröffentlicht werden, wenn dies erforderlich ist und die Hersteller Gelegenheit zur Stellungnahme erhalten. 65 Gemäß § 8 Abs. 1 BSIG ist eine Pflichtaufgabe des BSI, Mindeststandards für die IT-Sicherheit des Bundes zu erarbeiten. Diese können in einem erleichterten Verfahren durch das BMI als allgemeine Verwaltungsvorschriften erlassen werden. Das bisherige Erfordernis der Zustimmung des Rats der IT-Beauftragten der Bundesregierung hatte den Erlass faktisch verhindert.89 66 Schließlich bündelt § 8b BSIG die Aufgaben des BSI als zentrale Stelle für die IT-Sicherheit Kritischer Infrastrukturen. Neben der Entgegennahme von Meldungen über Störungen betrifft dies die allgemeine Informationssammlung und Analyse, die Erstellung eines kontinuierlich zu aktualisierenden Lagebildes und entsprechende Informationspflichten. Das BSI fungiert damit als nationale Anlaufstelle nach Art. 8 NIS-RL und wird voraussichtlich auch die Koordinationsaufgaben nach Art. 9 NIS-RL hinsichtlich der „Computer Security Incident Response Teams“ übernehmen. 67 Darüber hinaus sehen Art. 11 und Art. 12 NIS-RL auf Initiative des Rats nunmehr eine „Cooperation group“ (Art. 11) und ein „CSIRTs network“ (für Computer Security Incident Response Teams) vor. Die Cooperation group besteht aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA und zielt vor allem auf den Austausch von Informationen und best practices sowie auf strategische Fragen der IT-Sicherheit. Hier wird sich eine Mitarbeit des BSI ebenfalls anbieten. Als nationale Anlaufstelle („single point of contact“) besteht für die Behörde gemäß Art. 10 Abs. 3 NIS-RL die Pflicht, einmal pro Jahr einen zusammenfassenden Bericht über die eingegangenen Meldungen und die getroffenen Abwehrmaßnahmen an die Cooperation group zu übermitteln. Darüber hinaus besteht nach den im Trilog eingefügten Art. 14 Abs. 5, Art. 16 Abs. 6 NIS-RL die Pflicht der nationalen Behörde, andere Mitgliedstaaten zu informieren, falls sich signifikante Auswirkungen auf deren Kritische Infrastrukturen ergeben. 89 S. die Begründung des Innenausschusses, BT-Drs. 18/5121, 15.
68
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
Das CSIRTs network setzt sich aus Vertretern der nationalen CSIRTs 68 (also nicht nur staatliche Stellen) sowie des CSIRT der Union zusammen. Die Kommission hat Beobachterstatus, die ENISA stellt Sekretariat und weitere Unterstützung. Das Netzwerk ist im Unterschied zur Cooperation group mehr mit der Diskussion praktischer Fragen von Bedrohungen für die IT-Sicherheit und entsprechender Abwehrmaßnahmen befasst. Hierzu zählen auch etwaige koordinierte Maßnahmen und die Unterstützung der Mitgliedstaaten bei grenzüberschreitenden Vorfällen. 4. Haftungsfragen Das Gesetz adressiert die wichtige Frage einer zivilrechtlichen Haftung 69 von Herstellern und Anbietern nicht. Dennoch gibt es mehrere Ansatzpunkte für entsprechende Auswirkungen: –
Da das Gesetz spezifische Verhaltenspflichten für die Anbieter im Bereich der IT-Sicherheit regelt, werden sich – auch ohne spezielle Produkthaftungsregeln – mutmaßlich Auswirkungen auf allgemeine Fahrlässigkeitsmaßstäbe ergeben, die sowohl im Rahmen von Verträgen der Anbieter mit ihren Endkunden als auch für allgemeine Haftungsnormen wie § 823 Abs. 1 BGB eine Rolle spielen.90 Soweit diese durch AGB geregelt werden, könnten sich die neuen Pflichten auf die gerichtliche AGB-Kontrolle auswirken und dazu führen, dass sich die Anbieter insoweit nicht von der Haftung befreien können.
–
Demgegenüber dürften die Meldepflichten keine Schutzgesetze im Sinne von § 823 Abs. 2 Satz 1 BGB sein, da die neuen Regelungen (anders als etwa bei § 42a BDSG, § 15a TMG, § 109a TKG, § 83a SGB X)91 praktisch keine Bezugnahmen auf Dritte enthalten. Allenfalls denkbar erscheint es, im Verhältnis der Betreiber untereinander von einem Schutzgesetz auszugehen, weil die Meldepflichten zumindest auch auf eine gegenseitige Information zielen.92 Aufgrund des infrastrukturbezogenen Charakters der Regelungen und des mehrfach vermittelten Informationsflusses über Kontakt- und Ansprechstellen sowie das BSI spricht aber mehr für die umgekehrte Auffassung. Europäische Vorgaben bestehen höchstens teilweise. Art. 14 Abs. 3 Satz 3 NIS-RL regelt auf Initiative von Parlament und Rat, dass die
90 Eher zurückhaltend Beucher/Utzerath, MMR 2013, 362, 367; s. allgemein Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, 2007. 91 S. Hornung, in: Roßnagel (Hrsg.), Recht der Telemediendienste, 2013, § 15a TMG Rz. 51 m. w. N. 92 Dafür Roos, MMR 2015, 636, 641.
69
Gerrit Hornung
Meldungen die Anbieter nicht dem Risiko einer verschärften Haftung aussetzen dürfen. Eine Haftung für eine unterlassene Meldung bleibt also möglich. Allenfalls bei unzutreffenden Meldungen ließe sich argumentieren, dass die Vorschrift eine Sperrwirkung für nationale Haftungsregelungen entfaltet. –
Für Diensteanbieter nach dem Telekommunikationsgesetz könnten die neuen Pflichten im Rahmen der Haftungsregeln nach §§ 44, 44a TKG relevant werden, weil diese sich auf alle Verpflichtungen nach dem Gesetz erstrecken. Dies betrifft vor allem § 109a Abs. 4 TKG, wonach der Diensteanbieter Nutzer informieren muss, wenn von ihren Systemen Störungen ausgehen.93
–
Auch bei den neuen Vorgaben in § 13 Abs. 7 TMG spricht zumindest hinsichtlich Satz 1 Nr. 2a) wegen der klaren Intention zum Schutz der personenbezogenen Daten alles für die Annahme eines Schutzgesetzes nach § 823 Abs. 2 Satz 1 BGB.94
70 Unklar ist, ob sich auch Auswirkungen auf die Haftung von Verbraucherinnen und Verbrauchern ergeben. Einen Ansatzpunkt könnte ebenfalls § 109a Abs. 4 TKG sein, wenn nach einer Information durch den Diensteanbieter das Sicherheitsproblem eines privaten Computers nicht behoben wird. Ob sich durch diese Information im Zusammenspiel mit anderen allgemeinen Regeln eine Verkehrssicherungspflicht der Privatnutzer ergibt, ist allerdings völlig offen. 71 Schließlich kann sich aus allgemeinen Regeln auch eine Haftung des Bundes für das Handeln des BSI ergeben. Zumindest gegenüber den Betreibern Kritischer Infrastrukturen wird für die Pflicht in § 8b Abs. 2 Nr. 4 BSIG wohl eine drittgerichtete Amtspflicht zu bejahen sein, sodass eine Haftung nach § 839 BGB i. V. m. Art. 34 GG möglich ist. VIII. Ausblick 72 Einige besonders große Unternehmen der Sektoren nach § 2 Abs. 10 BSIG konnten von Anfang an erkennen, dass die neuen Anforderungen sie betreffen werden. Alle anderen mussten und müssen die Rechtsverordnung
93 Dazu Gitter/Meißner/Spauschus, ZD 2015, 512, 516; insbesondere besteht keine Pflicht der Betreiber, aktiv nach entsprechenden Störungen zu suchen. 94 Roos, MMR 2015, 636, 643; für den gesamten § 13 Abs. 7 TMG Djeffal, MMR 2015, 716, 719 (sehr weitgehend und ohne Diskussion von Kriterien für eine umfassende Verkehrssicherungspflicht sowie strafrechtliche Verantwortlichkeit).
70
IT-Sicherheit als gemeinsame Aufgabe von Staat und Wirtschaft
abwarten, die in zwei Schritten verabschiedet werden soll.95 Seit sie im ersten Schritt vorliegt, ist keine Zeit zu verlieren: IT-Sicherheitsmaßnahmen sind auf Eignung und Aktualität zu prüfen, Audits und Zertifizierungen auszuwählen und durchzuführen. Hierfür sind zwei Jahre keine allzu lange Übergangszeit. Hinzu kommt die Implementierung von Prozessen für die Störungsmeldungen, die überdies intern mit anderen Meldeverfahren harmonisiert werden sollten. Insgesamt werden die Gewährleistung von IT-Sicherheit und die Meldung von Störungen noch mehr als bisher Teil der IT-Compliance in den Unternehmen.96 Neue IT-Sicherheitsmaßnahmen werden regelmäßig nur bei den An- 73 bietern erforderlich sein, die insoweit in der Vergangenheit nachlässig waren. Ein zusätzlicher Aufwand entsteht allerdings für die verschiedenen Nachweise und Audits sowie für die Störungsmeldungen. Dasselbe gilt für Webseitenbetreiber, soweit sie die relativ niedrige Hürde des geschäftsmäßigen Angebots von Telemedien überschreiten. Der damit verbundene Aufwand lohnt sich jedoch und ist überdies gruppennützig, weil letztlich alle betroffenen Anbieter profitieren. Aus demselben Grund sollten sich die Unternehmen nicht scheuen, an branchenspezifischen Standards mitzuwirken. IT-Sicherheit ist eine ganzheitliche Aufgabe, die weder in einem Unter- 74 nehmen an einen IT-Sicherheitsbeauftragten, noch in einer Gesellschaft an eine Behörde wie das BSI abgeschoben werden kann. Das IT-Sicherheitsgesetz ist deshalb – auch wenn es sich auf das Segment der Kritischen Infrastrukturen beschränkt97 und im Bereich des Informationsflusses verbesserungsfähig ist – ein Schritt in die richtige Richtung.
95 S. o. IV.2. 96 S. Beucher/Utzerath, MMR 2013, 362, 366 f.; zur Umsetzung auch KPMG, IT-Sicherheit in Deutschland, 2014. 97 S. Fn. 13.
71
Haftungsrechtliche Risiken und sozialversicherungsrechtliche Regulierung von medizinischen Apps Jan Benedikt Brönneke*/Dennis-Kenji Kipker** I. Einführung II. Haftungsrechtliche Risiken von medizinischen Apps 1. Medizinische Apps als Risikofaktor 2. Haftungsrechtliche Qualifikation von medizinischen Apps a) Aspekte der vertraglichen Haftung b) Aspekte der deliktischen Haftung 3. Ergebnis und Ausblick für die haftungsrechtlichen Risiken medizinischer Apps
1. Nutzung medizinischer Apps in der GKV 2. Zulassung von medizinischen Apps nach dem Medizinproduktegesetz MPG 3. Nutzung von medizinischen Apps im Rahmen der gesetzlichen Krankenversicherung nach dem SGB V 4. Case Study 5. Ergebnis und Ausblick sozialversicherungsrechtlicher Regulierung medizinischer Apps IV. Fazit
III. Sozialversicherungsrechtliche Regulierung von medizinischen Apps
Literaturübersicht: Bamberger/Roth, Kommentar zum Bürgerlichen Gesetzbuch – Band 1, 3. Auflage 2012; Becker/Kingreen, SGB V, 4. Auflage 2014; Brönneke/Kipker, Fitness-Apps in Bonusprogrammen gesetzlicher Krankenkassen, GesR 2015, 211; Cohen/Stavri/Hersh, A categorization and analysis of the criticisms of Evidence-Based Medicine, International Journal of Medical Informatics 2004 (73), 35; Felix/Ullrich, Paradigmenwechsel in der Methodenbewertung, NZS 2015, 921; Francke/Hart, Bewertungskriterien und -methoden nach dem SGB V, MedR 2008, 2; Frese, Recht im zweiten Maschinenzeitalter, NJW 2015, 2090; Gassner, MedTech meets M-Health, MPR 2015, 73; Gassner/Strömer, Mobile Health Applications, VersR 2015, 1219; Gehring/Pramann/Imhoff/Albrecht, Zukunftstrend „Medical Apps“, Bundesgesundheitsbl 2014, 1402; Heimhalt/ Rehmann, Gesundheits- und Patienteninformationen via Apps, MPR 2014, 197; Irmer, Medizinprodukterechtliche Einordnung von Software, Updates & Upgrades, MPR 2013, 145; Jauernig, Bürgerliches Gesetzbuch, 16. Auflage 2015; Keßler/ Zindel, Sind nur Produkte mit medizinischer Zweckbestimmung Medizinpro*
Jan Benedikt Brönneke, LL.M., Institut für Informations-, Gesundheits- und Medizinrecht (IGMR), Universität Bremen. ** Dr. Dennis-Kenji Kipker , Institut für Informations-, Gesundheits- und Medizinrecht (IGMR), Universität Bremen.
73
Jan Benedikt Brönneke/Dennis-Kenji Kipker dukte?, MPR 2012, 186; Körner/Leitherer/Mutschler, Kasseler Kommentar Sozialversicherungsrecht, 88. Auflage 2016; Krauskopf, Soziale Krankenversicherung, Pflegeversicherung, 90. Auflage 2016; Oen, Software als Medizinprodukt, MPR 2009, 55; Roters, Die Bewertung medizinischer Methoden nach der Verfahrensordnung des G-BA, NZS 2007, 176; Säcker/Rixecker/Oetker, Münchener Kommentar zum BGB – Band 5, 6. Auflage 2013; Schmidt-Sausen, Näher am Patienten geht nicht, Dt. Ärztebl. 2015, 1820; Spickhoff, Medizinrecht, 2. Auflage 2014; Wallace/ Dhingra, A systematic review of smartphone applications for chronic pain available for download in the United States, Journal of Opioid Management 2014, 63; Zimmermann, Der Gemeinsame Bundesausschuss, 2012.
I. Einführung 1 Informationstechnologien sind bereits seit langem vitaler Bestandteil der modernen Medizin.1 Jüngere technische2, gesellschaftliche3, rechtliche und politische4 Entwicklungen verdeutlichen den hohen und sichtlich zunehmenden Stellenwert von IT-Lösungen im Gesundheitswesen. Diese Entwicklung ist angesichts der Möglichkeiten informationell vernetzter Medizin durchaus erwünscht5, sie bringt jedoch auch Risiken mit sich, die einer rechtlichen Klärung bedürfen. Unter den informationell vernetzten Medizintechnologien finden derzeit sogenannte mHealth (mobile Health) Produkte, wie etwa Gesundheits-Apps (z. B. Fitness- oder Blutdruck-Apps) oder dazugehörige Wearables (z. B. Fitnesstracker, ka-
1
2
3
4
5
74
Man denke etwa nur an das seit den 1970er Jahren eingesetzte bildgebende Verfahren der Computertomographie, das – wie der Name bereits sagt – auf die Nutzung von Informationstechnologien zwingend angewiesen ist. Hervorzuheben sind hier die Fortschritte der künstlichen Intelligenz, z. B. der IBM Computer Watson, vgl. Frese, Recht im zweiten Maschinenzeitalter, NJW 2015, 2090, 2091. Erwähnenswert ist z. B. die jüngere Tendenz zum „Quantified self“, vgl. DPA-Meldung v. 9.2.2016, jeder Dritte zeichnet Gesundheitsdaten digital auf, http://www.handelsblatt.com/politik/deutschland/apps-und-fitness-armbaender-jeder-dritte-zeichnet-gesundheitsdaten-digital-auf/12939604.html (Stand: 2.5.2016). Eine jüngere rechtliche Maßnahme ist die Einführung des sog. E-Health Gesetzes v. 21.12.2015, BGBl. I, S. 2408; relevant sind aber auch das IT-Sicherheitsgesetz (IT-SiG) v. 25.7.2015 und das Förderkonzept Medizininformatik des BMBF, https://www.bmbf.de/files/BMBF_040_Medizininformatik_BARRIEREFREI.pdf (Stand: 2.5.2016). Siehe nur das Gutachten „Digitale Welt und Gesundheit“ des Sachverständigenrats für Verbraucherfragen von Januar 2016, http://www.bmjv.de/DE/ Ministerium/Veranstaltungen/SaferInternetDay/01192016_Digitale_Welt_ und_Gesundheit.pdf;jsessionid=983739B5EF962CF8AE39C2BE4A29EB52.1_ cid297?__blob=publicationFile&v=3 (Stand: 2.5.2016).
Risiken und Regulierung von medizinischen Apps
belloses Blutdruckmessgerät) besondere Beachtung.6 Deren bestimmendes Merkmal, nämlich die unmittelbare Anwendung durch den Patienten, definiert in gewissem Maße den Diagnose- und Behandlungskontext neu: Während im klassischen, klinischen Kontext der behandelnde Arzt „Herr“ über die medizinische Technologie war (etwa Belastungs-EKG) kann mittels mHealth-Innovationen scheinbar der Patient selbst die Aufgaben des Diagnostikers und Therapeuten übernehmen. Diese reichen vom Anlegen der Sensoren bis hin zum Auswerten der Daten und dem Ableiten von „Behandlungsmöglichkeiten“. Auch wenn der Einsatz solcher medizinischer IT-Innovationen teilweise im Kontext einer klinischen Untersuchung oder Behandlung erfolgt, also z. B. der behandelnde Arzt die gesammelten Daten auswertet, kann insofern von „dezentralisierter“ Medizin gesprochen werden. In diesem Behandlungsgefüge stellen sich bei mHealth-Technologien 2 (neben den offensichtlichen datenschutzrechtlichen Aspekten7) verschiedene grundsätzliche Fragen der rechtlichen Regulierung, insbesondere hinsichtlich der Haftung für eine fehlerhafte Datenerhebung oder -übertragung und, zum Teil darauf basierend, bei fehlerhaften Diagnosen und Verhaltensanweisungen sowie der Nutzung solcher Produkte im Rahmen der gesetzlichen Krankenversicherung.8 Diese Fragen hängen schließlich mehr oder weniger von einer Abgrenzung solcher Technologien mit dem medizinisch-gesundheitlichen Effekt von Lifestyle-Produkten ab.9 Von rechtswissenschaftlicher Seite kann eine gewisse Skepsis festgestellt 3 werden, ob das geltende Recht hinreichende Antworten auf die aufgewor-
6
7
8 9
So hat das Bundesministerium für Justiz und Verbraucherschutz dem Thema beim Safer Internet Day 2016 besondere Aufmerksamkeit geschenkt, https:// www.digitale-agenda.de/Content/DE/Artikel/2016/02/2016-02-09-safer-internet-day-wie-sicher-sind-gesundheitsapps.html (Stand: 2.5.2016). Vgl. aktuell die Entschließung der 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder v. 6./7.4.2016: „Wearables und Gesundheits-Apps – Sensible Gesundheitsdaten effektiv schützen!“, https:// www.datenschutz-mv.de/datenschutz/themen/beschlue/91_DSK/EntschlWearables.pdf (Stand: 2.5.2016); „Wir stehen vor Gesundheitsschub oder Healthcare-Horror“, Pressemitteilung des Verbandes eco v. 7.10.2015, https:// www.eco.de/2015/pressemeldungen/eco-wir-stehen-vor-gesundheitsschuboder-healthcare-horror.html (Stand: 2.5.2016). Vgl. Brönneke/Kipker, Fitness-Apps in Bonusprogrammen gesetzlicher Krankenkassen, GesR 2015, 211-216. Einen Überblick über verschiedene Abgrenzungsansätze bietet Gassner, MedTech meets M-Health, MPR 2015, 73, 77 ff.
75
Jan Benedikt Brönneke/Dennis-Kenji Kipker
fenen Fragen bieten kann.10 Vor dem Hintergrund der rasanten Entwicklung medizinischer IT-Innovationen gilt es, die bestehenden rechtlichen Regulierungen hinsichtlich ihrer Steuerungstauglichkeit im Spannungsfeld zwischen Förderung von Innovationen und deren Nutzenpotenzial sowie der Abwehr und dem Ausgleich von Schadpotenzialen auszuloten. Der folgende Beitrag soll dazu eine grundlegende Orientierung bieten; im Mittelpunkt stehen dabei zivilrechtliche Haftungsaspekte einerseits sowie Aspekte der gesetzlichen Krankenversicherung andererseits. II. Haftungsrechtliche Risiken von medizinischen Apps 1. Medizinische Apps als Risikofaktor 4 Medizinische Apps weisen als Produkte mit Gesundheitsbezug ein erhebliches Risikopotenzial auf, da eine durch sie verursachte Körper- oder Gesundheitsverletzung beträchtliche Vermögensschäden nach sich ziehen kann. Gerade im Bereich psychischer Krankheiten, bei denen zur Heilung im Regelfall kein körperlicher Eingriff notwendig ist, gewinnen die so genannten „depression apps“ zunehmend an Popularität, indem sie eine einfache, interaktive und onlinebasierte Behandlung versprechen. Attraktiv sind derlei Programme bei psychischen Erkrankungen wie Depressionen vor allem auch deshalb, weil der Betroffene die Hoffnung hat, sich durch die App-Nutzung den Facharztbesuch ersparen zu können, um die mit einer offiziellen Diagnose seiner Krankheit möglicherweise verbundenen sozialen und stigmatisierenden Effekte zu vermeiden. Ebenso kann der Patient zu jeder denkbaren Zeit und an jedem möglichen Ort individuell mit seiner Behandlung beginnen, sodass sich die Benutzung einer App auch deutlich besser in den gewohnten Tagesablauf einpasst als ein regelmäßiger Arztbesuch. Und nicht zuletzt erfährt die Krankheit durch die Software eine Art Mediatisierung, so werden selbst für medizinische Apps Custom-Designs angeboten, die sich der Optik des eigenen Smartphones oder Tablet-Computers anpassen. 5 Nur allzu leicht wird bei so viel Schönsinn jedoch vergessen, dass es sich auch bei einer „depression app“ immer noch um ein Produkt mit Gesundheitsbezug handelt, sodass mit deren Nutzung nicht unerhebliche rechtliche Probleme verbunden sind. So stellt sich die Frage, welcher haftungsrechtliche Maßstab an die Sorgfaltspflichten des Softwareentwicklers oder Vertriebsunternehmens anzulegen ist, die mit einer Behandlung durch „health apps“ einhergehen. Teils wird hier vertreten, dass normale 10 Insb. kritisch Gassner/Strömer, Mobile Health Applications, VersR 2015, 1219-1228.
76
Risiken und Regulierung von medizinischen Apps
vertrags-, produzenten- und produkthaftungsrechtliche Maßstäbe nicht ausreichten, sondern der fachärztliche Maßstab an das Handeln des die Software zur Verfügung stellenden Unternehmens anzulegen sei.11 Im Gegenzug versuchen sich die Hersteller mit teils umfangreichen Allgemeinen Geschäftsbedingungen gerade von einem umfassenden Haftungsregime zu lösen, indem beispielsweise der Hinweis gegeben wird, dass das Produkt keinen Arztbesuch ersetze oder es sich etwa nur um eine Beta-Version handle, auf deren medizinische Empfehlungen kein Verlass sei.12 Dabei ist der Anwender letztlich derjenige, der in der konkreten Situation auf die Funktionsfähigkeit der Software vertraut. Von Fall zu Fall mag dieses Vertrauen unterschiedlich ausgeprägt sein – je nachdem, auf welche Art und Weise das Programm beworben wird – jedoch wird man für den Fall der „depression apps“ wohl kaum noch behaupten können, dass es sich um eine bloße, nicht weiter ernst zu nehmende technische Spielerei handelt. So hat der britische National Health Service (NHS) als staatliches Ge- 6 sundheitssystem nicht nur festgestellt, dass es mit fast zehn Millionen Seitenabrufen pro Monat ein erhebliches Interesse seitens der Bevölkerung gibt, sondern auch, dass nur 15 % der empfohlenen „depression apps“ einen klinischen Nutzen besitzen, wohingegen die Mehrheit der Programme mangels ausreichender Testverfahren in ihrer Nutzung nicht zu empfehlen ist. Es bestehe vielmehr das Risiko, dass die ausgeprägte Verwendung bestimmter Software zur Behandlung einer Depression gegenteilig zu einer weiteren Verschlimmerung des Ist-Zustandes führe.13 Auch in Deutschland werden mittlerweile verschiedene Programme angeboten, die als Mittel zur Behandlung von Depressionen herangezogen werden können, wobei diese teils als eigenständiges Angebot, teils wiederum lediglich zur Begleitung einer fachärztlichen Heilbehandlung konzipiert sind. Unabhängig davon, wie man persönlich zu medizinischem Nutzen und 7 Effektivität solcher Behandlungen für psychische Krankheiten stehen
11 So Gaßner/Strömer, VersR 2015, 1219, 1223 f. 12 Siehe nur die App „WolkenLOS – positiv leben“ im iTunes-Store des Herstellers Apple: „Auf der nachfolgenden Seite kannst du einen Onlinetest machen ob es Anzeichen für Depressionen bei dir gibt. Ich bin kein Arzt und kann dir nur empfehlen mit deinem Hausarzt darüber zu sprechen um schnellstmöglich Hilfe zu erhalten.“ 13 Knapton, Most NHS depression apps are unproven, warn health experts, The Telegraph v. 12.10.2015, http://www.telegraph.co.uk/news/nhs/11926616/ Most-NHS-depression-apps-are-unproven-warn-health-experts.html (Stand: 2.5.2016).
77
Jan Benedikt Brönneke/Dennis-Kenji Kipker
mag: Soweit die Behandlung nicht gelingt oder sich die Erkrankung verschlimmert, sind neben der eigentlichen Körper- bzw. Gesundheitsverletzung schwerwiegende Vermögensschäden denkbar: So kann die Depression als Risikofaktor für Herzkrankheiten und Schlaganfälle eine erhöhte medizinische Versorgung in der Form von Medikamenten und ärztlichen Kontrollbesuchen nach sich ziehen. Infolge eines mit der Erkrankung verbundenen ungesunden Lebenswandels (Rauchen, Bewegungsmangel, Ernährungsfehler, Übergewicht) sind weitere Folgeerkrankungen möglich. Auch ist es nicht ausgeschlossen, dass es in Stadien einer schweren Depression zur Arbeitsunfähigkeit und damit zu Verdienstausfällen kommt und daneben Hilfs- und Unterstützungsleistungen im Haushalt notwendig werden. Soweit ein flächendeckender Einsatz von medizinischen Apps in naher Zukunft beabsichtigt wird, bedarf es somit eines hinreichend geregelten und umfassenden Haftungsregimes. 2. Haftungsrechtliche Qualifikation von medizinischen Apps 8 Zur Bestimmung der haftungsrechtlichen Relevanz des Einsatzes medizinischer Apps ist es zuvorderst notwendig zu bestimmen, zwischen welchen Parteien ein Vertrag im Hinblick auf die Nutzung der Software geschlossen wurde und ob dieser von seiner Natur dem ärztlichen Heilbehandlungsvertrag unterfällt. Die Frage nach einer rein abstrakten Vorabqualifikation der App als medizinisches Heilbehandlungsinstrument kann hingegen so nicht beantwortet werden, da es nach hier vertretener Auffassung einen solchen allgemeinen ärztlichen Standard, der sich gleichermaßen durch alle Formen der vertraglichen und deliktischen Haftung zieht, zurzeit nicht gibt.14 Vielmehr muss das jeweils gegenüber dem Anwender geschuldete Pflichtenprogramm für den haftungsrechtlichen Einzelfall herausgearbeitet werden, so ob beispielsweise ein ärztlicher Heilbehandlungsvertrag vorliegt, sodass die Regeln der ärztlichen Kunst global anwendbar sind oder ob die Leistung lediglich im Rahmen eines Kaufvertrages erbracht wird, sodass im Deliktsrecht Rückgriff auf die Grundsätze der Produzentenhaftung genommen werden muss. a) Aspekte der vertraglichen Haftung 9 Soweit es zur Anwendung medizinischer Apps kommt, sind unter dem Gesichtspunkt einer Haftung aus Vertrag drei unterschiedliche Szenarien denkbar: 14 Anders jedoch Gaßner/Strömer, VersR 2015, 1219, 1223 f., welche den Facharztstandard sowohl auf die vertragliche wie auch auf die deliktische Haftung beziehen.
78
Risiken und Regulierung von medizinischen Apps
1. Der Softwarehersteller vertreibt das Produkt unmittelbar gegenüber dem Anwender, indem es z. B. als Download auf der Website angeboten wird. 2. Die medizinische App wird nicht direkt durch den Entwickler vermarktet, sondern durch ein zwischengeschaltetes Vertriebsunternehmen. Denkbar ist ebenso, dass es sich bei dem Programm um eine Auftragsentwicklung handelt, sodass nur der Auftragnehmer als Vertreiber der Software in unmittelbaren Kontakt zum Anwender tritt (so beispielsweise für Krankenkassen). 3. Die App wird nicht durch den Betroffenen selbst, sondern durch einen externen Anwender eingesetzt, der weder Hersteller noch dem reinen Vertrieb zuzuordnen ist. Beispielhaft genannt werden kann der Einsatz im Rahmen von Pflege und Betreuung als nichtmedizinische Leistungen sowie durch Ärzte, Psycho-, Ergo- und Physiotherapeuten als auch durch Heilpraktiker im Rahmen der medizinischen Leistungserbringung.15 Schon bei Betrachtung dieser drei Kategorien wird deutlich, wie unter- 10 schiedlich die Vertriebs- und Anwendungsszenarien medizinischer Apps sein können, was gegen die Annahme eines einheitlichen Haftungsmaßstabs spricht. Darüber hinaus ist es schon begrifflich problematisch, den Hersteller und/oder Vertrieb als Behandelnde im Sinne des § 630a BGB einzustufen, denn geschuldet ist im Rahmen des Behandlungsvertrages als Sondertypus des Dienstvertrags im Schwerpunkt regelmäßig eine Tätigkeit in Form eines Dauerschuldverhältnisses,16 was für den bloßen Vertrieb einer Software17 ohne weitere Absprachen normalerweise nicht angenommen werden kann, wo es zumeist nur um den einmaligen Erfolg der Zurverfügungstellung geht. Dementsprechend stehen – je nachdem, wo der Schwerpunkt der vertraglichen Vereinbarungen liegt und für welche Rechtsauffassung man sich hinsichtlich des Softwarebegriffes entscheidet – zweckmäßigere gesetzlich vertypte Vertragsarten mit eigenständigen Vorschriften bei mangelhafter Leistungserbringung medizinischer Apps zur Verfügung: der Kauf-, Werk-, Werklieferungs- sowie der allgemeine Dienstvertrag gem. §§ 611 ff. BGB. Allerdings muss bei dieser individuellen Einordnung in bestimmte Ver- 11 tragstypen auch dem individuellen Schutzbedürfnis des Anwenders in
15 Vgl. Spickhoff in: ders., Medizinrecht § 630a BGB Rz. 15 f. 16 Vgl. Mansel in: Jauernig, BGB Vorbem. zum Dienstvertrag Rz. 1. 17 Hier wurde bewusst der Begriff „Vertrieb“ gewählt, da die streitige Problematik der Anwendbarkeit des Kaufrechts auf Software an dieser Stelle nicht thematisiert werden kann.
79
Jan Benedikt Brönneke/Dennis-Kenji Kipker
der konkreten Situation Rechnung getragen werden. So macht es durchaus Sinn, in Situationen, in denen eine App als eindeutiges Substitut einer ärztlichen Heilbehandlung beworben wird, haftungsrechtlich auf den Begriff des „scheinmedizinisch Behandelnden“ Rückgriff zu nehmen, sodass sich das Produkt hinsichtlich seiner Mangelfreiheit am ärztlichen Sorgfaltsmaßstab orientieren muss.18 Abgesehen von dieser Ausnahme sollte für medizinische Apps jedoch nur in denjenigen Fällen auf die §§ 630a ff. BGB zurückgegriffen werden, in denen tatsächlich auch ein medizinischer Leistungserbringer das Produkt zu Zwecken der von ihm durchzuführenden Heilbehandlung einsetzt. In diesen Fällen dürfte im Regelfall ohnehin keine unmittelbare vertragliche Beziehung zum Hersteller oder Vertrieb der Software vorliegen. Die Beschränkung des ärztlichen Standards allein auf die medizinischen Anwendungsfälle hat jedoch nicht zur Folge, dass Hersteller und Vertrieb von sämtlicher vertraglicher Haftung befreit wären. Soweit auch eine unmittelbare Vertragsbeziehung zwischen ihnen und dem betroffenen Anwender besteht, kann nach wie vor Rückgriff auf das spezielle und allgemeine Leistungsstörungsrecht des BGB mit seinen eigenständigen Vorschriften hinsichtlich des Mangelbegriffs genommen werden. 12 Freilich wird man bei der rechtlichen Beurteilung, ob denn ein vertraglicher Schadensersatz geschuldet ist, nicht umhin kommen, die Problematik der Beweis- und Nachweisbarkeit für den Geschädigten zu thematisieren. Qualifiziert man die infolge der App-Nutzung entstehenden Körper- bzw. Gesundheitsverletzungen und die damit beispielsweise entstehenden Verdienstausfälle und den erhöhten medizinischen Bedarf als Mangelfolgeschaden, so hat grundsätzlich der Geschädigte die Pflichtverletzung, die Schadensentstehung und den Kausalzusammenhang zwischen der Pflichtverletzung und dem Schaden zu beweisen, wohingegen nur für das Nichtvertretenmüssen der Anspruchsgegner beweispflichtig ist.19 Gerade für medizinische Apps stellt sich hier ein besonderes Problem für den Betroffenen. Allein schon der Nachweis, dass das technische Produkt selbst mangelhaft ist, dürfte ohne zusätzliche Erleichterungen der Beweislast kaum möglich sein – das allein schon deshalb, weil keine Quellcodekenntnis besteht. Und selbst wenn ein Mangel an der Software nachgewiesen werden kann, so stellt sich weitergehend die Frage, ob gerade dieser Mangel zur Gesundheitsverletzung und damit zum Schaden geführt hat oder ob die Ursache nicht vielmehr in einer Verkettung anderer unglücklicher Umstände liegt. Nicht zuletzt dürften nahezu alle 18 Siehe zum Begriff des „scheinmedizinisch Behandelnden“ auch Spickhoff in: ders., Medizinrecht § 630a BGB Rz. 17. 19 Vgl. Unberath in: Bamberger/Roth, BGB, § 280 BGB Rz. 78.
80
Risiken und Regulierung von medizinischen Apps
Betroffenen zum Zeitpunkt der Fehlfunktion keine Beweissicherung betrieben haben – denn wer fertigt schon regelmäßig Screenshots von seinem Smartphone-Display an, um für spätere Haftungsansprüche besser gewappnet zu sein? Im Ergebnis liegt hier noch (zu) vieles im Argen. Gefördert wird diese für den geschädigten Nutzer nachteilige rechtliche Situation ferner durch zahlreiche Haftungsausschlüsse in den SoftwareAGB, die jedoch in vielen Fällen – zumindest soweit es die Verletzung von Körper und Gesundheit und hieraus resultierende Schäden betrifft – aufgrund einer Klauselkontrolle gem. § 309 Nr. 7a) BGB unwirksam sein dürften.20 Im Ergebnis lässt sich deshalb für die vertragliche Haftung im Bereich 13 medizinischer Apps sagen, dass das eigentliche Problem grundsätzlich nicht wie mancherorts behauptet im Rahmen des geschuldeten Sorgfaltsmaßstabes oder im Fehlen möglicher adäquater Anspruchsgrundlagen, sondern vielmehr in der Nachweisbarkeit des Mangels und des daraus resultierenden Schadens besteht. Zur Lösung dieses Problems wäre in rechtspolitischer Hinsicht beispielsweise anzudenken, die für Verbraucher geltende Vorschrift der Beweislastumkehr nach § 476 BGB zeitlich wie inhaltlich weiter auszubauen: Zeitlich durch eine Ausdehnung der Vermutungswirkung einer Mangelhaftigkeit von einem halben Jahr hin zur gesamten Dauer der Gewährleistungsfrist für hochkomplexe technische Produkte,21 daneben inhaltlich für den Sonderfall der medizinischen Produkte auch hinsichtlich der Kausalität zwischen Pflichtverletzung und Schadensentstehung22. Freilich müsste dafür zunächst wieder geklärt sein, ob für Software das Kaufrecht überhaupt erst zur Anwendung gelangen soll.
20 Ebenso Gaßner/Strömer, VersR 2015, 1219, 1226 m. w. N. 21 Insoweit ist auch die Verbrauchsgüterkaufrichtlinie 99/44/EG, welche die Beweislastumkehr in Art. 5 Abs. 3 festlegt, nicht mehr auf dem Stand der Zeit, denn die fehlende Nachweismöglichkeit des Verbrauchers für Mängel an komplexen technischen Produkten führt im Endeffekt ganz allgemein dazu, dass nach Fristablauf der Beweislastumkehr kaum mehr Gewährleistungsansprüche geltend gemacht werden können. De facto wird dadurch die Dauer der kaufrechtlichen Gewährleistung für komplexe technische Produkte ebenso auf sechs Monate reduziert. 22 Für eine extensive Auslegung unter dem Gesichtspunkt der Mangelhaftigkeit der Kaufsache entgegen der einengenden Auffassung des BGH auch Faust in: Bamberger/Roth, BGB, § 476 BGB Rz. 8 ff.
81
Jan Benedikt Brönneke/Dennis-Kenji Kipker
b) Aspekte der deliktischen Haftung 14 Bei der deliktischen Haftung für medizinische Apps ist zwischen Ansprüchen aus Gefährdungshaftung, der Haftung aus vermutetem Verschulden sowie der Verschuldenshaftung zu differenzieren. Grundsätzlich ist im Bereich der Gefährdungshaftung diejenige aus dem ProdHaftG und bei Datenschutzverletzungen durch öffentliche Stellen als Vertriebsorganisation der App § 8 BDSG denkbar, für das vermutete Verschulden kommen die Haftungstatbestände des § 831 BGB sowie des § 823 Abs. 1 BGB im Rahmen der Produzentenhaftung bzw. im Falle eines Organisationsverschuldens und bei Datenschutzverletzungen der § 7 BDSG in Betracht. Denkbare Ansprüche aus Verschuldenshaftung ergeben sich aus den § 823 Abs. 1 und Abs. 2 BGB in Verbindung mit einer Schutzgesetzverletzung wie der fahrlässigen Körperverletzung gem. § 229 StGB und die Organhaftung bei juristischen Personen gem. §§ 823 ff. BGB in Verbindung mit § 31 BGB (bei öffentlichen Stellen zusätzlich über § 89 Abs. 1 BGB), so bei Fehlern des Vorstands. Im jeweiligen Innenverhältnis kann auch auf das AktG sowie auf das GmbHG Rückgriff zu nehmen sein. Soweit daneben die Leistung der medizinischen App durch eine Krankenkasse im Rahmen des Satzungszweckes gem. § 11 Abs. 6 SGB V als schlicht-hoheitliches Handeln erfolgt, kann ebenso ein Anspruch aus Amtshaftung gem. § 839 BGB in Verbindung mit Art. 34 GG bestehen. 15 Sollte die Anwendung der medizinischen App als Bestandteil eines Behandlungsvertrages im Sinne der §§ 630a ff. BGB erfolgen, so ist das deliktische Haftungsregime deutlich und zugunsten des Patienten geregelt, indem die rechtlichen Wertungen der ärztlichen Vertragshaftung inklusive der geschuldeten Sorgfaltsmaßstäbe auch auf die Deliktshaftung übertragen werden.23 Falls hingegen kein medizinischer Behandlungsvertrag vorliegen sollte, also die App lediglich durch den Anwender selbst eingesetzt wird, besteht kein einheitlicher Maßstab, der aus dem Vertragsrecht übernommen werden könnte. Im Wesentlichen kommt es hier auf die Vorgaben an, die durch das ProdHaftG sowie allein von § 823 Abs. 1 BGB getroffen werden. Voraussetzung beider Haftungsgrundlagen ist jeweils die Verletzung der Rechtsgüter Körper und Gesundheit, wobei für die Produkthaftung der Produktfehler ausschlaggebendes Haftungskriterium ist, wohingegen § 823 Abs. 1 BGB eine solche Voraussetzung nicht aufstellt. Soweit es die Produkteigenschaft gem. § 2 ProdHaftG betrifft, tritt erneut der Streit um Software als Sache hervor. Wenn der gut begründeten Auffassung gefolgt wird, dass auch online übertragene und im Anschluss lokal gespeicherte Programme, also typischerweise Apps,
23 Hierzu detailliert Greiner in: Spickhoff, Medizinrecht, § 839 BGB Rz. 1 ff.
82
Risiken und Regulierung von medizinischen Apps
dem Produktbegriff unterfallen, ist die Anwendbarkeit des ProdHaftG gegeben.24 Soweit es den im Anschluss zu beurteilenden Produktfehler nach § 3 ProdHaftG betrifft, wird für medizinische Apps vorrangig auf die Alternativen des Abs. 1 lit. a) (Darbietung) und lit. b) (Billigerweise zu erwartender Gebrauch) zurückzugreifen sein. Dabei bestimmt sich der Fehler anhand der berechtigten Sicherheitserwartungen, die an das Produkt anzulegen sind. Bei der Festsetzung des Maßes dieser Erwartungen kann auf die umfassende Rechtsprechung zur Produzentenhaftung gem. § 823 Abs. 1 BGB Rückgriff genommen werden.25 Soweit es diese betrifft, werden die Verkehrspflichten des Herstellers an diversen Sorgfaltspflichten festgemacht, wobei sich in der Kehrseite verschiedene Fehlertypologien unterscheiden lassen: der Konstruktions-, Fabrikations-, Instruktions- und Produktbeobachtungs-, teils auch noch der Organisationsfehler. Hiermit verbunden wiederum sind verschiedene Beweiserleichterungen, die speziell für die Produzentenhaftung entwickelt wurden. Für medizinische Apps am wichtigsten dürfte hier der grundsätzlich mögliche Anscheinsbeweis im Bereich der haftungsbegründenden Kausalität zwischen Produktfehler und Rechtsgutsverletzung sein, wobei in diesem Zusammenhang stets auch die umfassende Kasuistik zu berücksichtigen ist, bevor voreilige Schlüsse gezogen werden.26 3. Ergebnis und Ausblick für die haftungsrechtlichen Risiken medizinischer Apps Es gibt für den Einsatz medizinischer Apps eine Vielzahl von Haftungs- 16 grundlagen sowohl im vertraglichen wie auch im deliktischen Bereich. Schwierigkeiten jedoch bereitet zum einen die Systematisierung möglicher Anspruchsgrundlagen, da zahlreiche praktische Anwendungsszenarien denkbar sind und die rechtliche Qualifikation von Software noch nicht zweifelsfrei erfolgt ist. Zum anderen ist es streckenweise ebenso schwierig zu beurteilen, welcher Haftungsmaßstab im Einzelnen heranzuziehen ist. Dennoch empfiehlt es sich aufgrund der Unterschiedlichkeit der Sachverhalte gerade nicht, den anzulegenden Sorgfaltsmaßstab anhand des Standards der ärztlichen Heilbehandlung zu vereinheitlichen. Im Bereich der vertraglichen wie auch der deliktischen Haftung ist
24 Vgl. Wagner in: Münchener Kommentar zum BGB, § 2 ProdHaftG Rz. 15 f. m. w. N. 25 Wagner in: Münchener Kommentar zum BGB, § 3 ProdHaftG Rz. 5 m. w. N. 26 Die Rechtsprechung hierzu weist einen starken Einzelfallbezug auf, siehe nur BGH, NJW 1969, 269, 274 f., wobei zwischen den Begriffen „Rechtsgutsverletzung“ und „Schaden“ sowohl in der Rechtsprechung wie auch in der Literatur nicht immer zweifelsfrei differenziert wird.
83
Jan Benedikt Brönneke/Dennis-Kenji Kipker
der technischen Komplexität von medizinischen Apps durch Beweislasterleichterungen für den Geschädigten Rechnung zu tragen. Insbesondere die für die Produzentenhaftung entwickelten Grundsätze sind infolge ihres Einzelfallbezugs für den Geschädigten keine große Hilfe. Wenn deshalb schon eine Vereinheitlichung des Sorgfaltsmaßstabes erfolgt, sollte diese ausschließlich über die Vorgaben des Medizinprodukterechts stattfinden. Nur so kann langfristig ein angemessener Ausgleich zwischen Betroffenenschutz und Innovationsförderung hergestellt werden. III. Sozialversicherungsrechtliche Regulierung von medizinischen Apps 1. Nutzung medizinischer Apps in der GKV 17 Abseits von Szenarien der Anpassung von Beitragssätzen auf Grundlage von Daten aus Gesundheits-Apps, die im Rahmen des derzeitigen, auf dem Solidarprinzip basierenden Beitragsregimes jedenfalls bislang eher theoretischer Natur sind27, stellen sich aus krankenversicherungsrechtlicher Perspektive insbesondere Fragen der Nutzung von IT-Innovationen im Rahmen der Leistungen der gesetzlichen Krankenversicherung (GKV) im Sinne des § 11 SGB V. Die Krankenkassen tragen eine Vielzahl von Leistungen z. B. bei Schwanger- und Mutterschaft, zur Krankheitsprävention und Empfängnisverhütung, bei Sterilisation und Schwangerschaftsabbruch, zur Früherkennung von Krankheiten zur medizinischen Rehabilitation und nicht zuletzt zur ambulanten und stationären Behandlung einer Krankheit. Nicht wenige dieser Leistungen beinhalten die Nutzung von Medizintechnik, wie z. B. Ultraschall- und EKG-Geräte, Computertomographen, Dialysepumpen, Herzschrittmacher, Blutzuckermessgeräte und viele mehr. In Hinblick auf medizinische IT-Innovationen stellt sich die ganz wesentliche Frage, welche Anforderungen das GKV-Recht an solche Innovationen stellt, die im Rahmen des Leistungskatalogs angewandt werden sollen. Dabei ist zu unterscheiden zwischen den Zulassungsanforderungen des Medizinproduktegesetzes (MPG) einerseits und den Anforderungen an Leistungen des Fünften Buchs Sozialgesetzbuch (SGB V) andererseits: Sofern eine IT-Innovation einem medizinischen Zweck dienen soll, bedarf sie zunächst der Zulassung nach den Vorschrif27 Im Rahmen des Solidarsystems sind die Beiträge nach den beitragspflichtigen Einnahmen der Versicherten zu bemessen, § 223 Abs. 2 Satz 1 SGB V. Das gilt auch für den Zusatzbeitrag, § 242 Abs. 1 Satz 2 SGB V. Insofern sind weder das individuelle Krankheitsrisiko noch bestimmte Verhaltensweisen der Versicherten – wie etwa die Einwilligung in Datenerhebung oder Einsicht – für die Höhe des Beitragssatzes erheblich. Eine Ausnahme stellen die Tatbestände des § 52 SGB V dar.
84
Risiken und Regulierung von medizinischen Apps
ten des MPG i. V. m. der jeweilig einschlägigen europäischen Richtlinie, um überhaupt auf dem europäischen Markt verkehrsfähig zu sein. Erst in einem zweiten Schritt stellt sich dann die Frage, ob ihr Einsatz auch im Rahmen der GKV erfolgen (und vergütet werden) kann. Hinsichtlich medizinischer Apps ergeben sich in beiden Schritten Fragen, die vor dem Hintergrund des rapiden Fortschritts sowohl der Medizin als auch der Technik zu diskutieren sind. 2. Zulassung von medizinischen Apps nach dem Medizinproduktegesetz MPG Die Zulassung nach den Vorschriften des MPG knüpft an den Medizin- 18 produktebegriff des § 3 Nr. 1 MPG an, demnach ein Medizinprodukt ein spezifisches Erscheinungsbild aufweist (Instrumente, Apparate, Software, Stoffe, Gegenstände, usw.), dem Zweck der Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten, der Erkennung, Überwachung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen, der Untersuchung, Ersetzung oder Veränderung des anatomischen Aufbaus oder eines physiologischen Vorgangs oder der Empfängnisregelung dient und schließlich nicht immunologisch, metabolisch oder pharmakologisch wirkt, also durch eine eher mechanische Wirkung gekennzeichnet und damit von den Arzneimitteln abgrenzbar ist.28 Während letzteres Merkmal bei Software wie z. B. Apps unproblematisch ist, ergeben sich hinsichtlich der ersten beiden Merkmale durchaus Schwierigkeiten. So war es bis zum Inkrafttreten des 4. MPG-Änderungsgesetzes im März 201029 durchaus umstritten, ob Software – wie z. B. auch Apps30 – das nach der Vorschrift erforderliche Erscheinungsbild erfülle. Die Definition des § 3 Nr. 1 MPG nannte bis dahin explizit nur eine Art von Software, die ein Medizinprodukt sein könne, nämlich die „vom Hersteller speziell zur Anwendung für diagnostische oder therapeutische Zwecke bestimmte und für ein einwandfreies Funktionieren des Medizinproduktes eingesetzte“ Software. Diese ist als ein notwendiger und integrierter Bestandteil des eigentlichen Medizinproduktes anzusehen und bedarf keiner eigenständigen Zu-
28 Vgl. auch Irmer, MPR 2013, 145, 145, die jedoch missverständlicherweise hinsichtlich des Erscheinungsbildes von „physiologischer Komponente“ spricht. 29 Eingeführt m. W. v. 21.3.2010 durch G. v. 29.7.2009 (BGBl. I, S. 2326), mit dem Änderungsgesetz wurde die Novellierung der Medical Device Directive 93/42/ EWG durch MDD 2007/47/EG umgesetzt. 30 Zur grundsätzlichen Einordnung von Apps als Medizinprodukte s. Gehring/ Pramann/Imhoff/Albrecht, Zukunftstrend „Medical Apps“, Bundesgesundheitsbl 2014, 1402.
85
Jan Benedikt Brönneke/Dennis-Kenji Kipker
lassung.31 Mit der Änderung durch das 4. MPG-Änderungsgesetz wurde daneben Software explizit als mögliche Erscheinungsform von Medizinprodukten in die Vorschrift aufgenommen. Insofern Software, die integraler Bestandteil eines Medizinprodukts ist, bereits explizit aufgeführt ist, kann es sich bei dieser nun eigenständig genannten Software nur um Stand-Alone-Software handeln. Damit ist jedenfalls klargestellt, dass auch Stand-Alone-Software grundsätzlich als Medizinprodukt zu klassifizieren sein kann, wenn sie den im MPG genannten medizinischen Zwecken dient.32 Konkretisiert wird die Einordnung als Medizinprodukt durch die von der Kommission herausgegebene rechtlich unverbindliche MEDDEV Guidance 2.1/633, die einen Entscheidungsbaum bereithält, mit dessen Hilfe eine Einordnung von Software vorgenommen werden kann.34 Die dort genutzte Definition von nach dem Medizinprodukterecht zulassungspflichtiger Stand-Alone-Software kann freilich zu Abgrenzungsfragen führen: Eine Zulassung ist danach nämlich nur dann erforderlich, wenn die Software eine über die Speicherung, Archivierung, verlustfreie Komprimierung, Kommunikation oder simple Suche von Daten hinausgehende Funktion hat.35 Dieser Definition kann jedenfalls entnommen werden, dass eine datenerhebende Software unter das Regime des Medizinprodukterechts fällt. 19 Neben der Erscheinungsform kommt dem zweiten Merkmal des Medizinprodukts, der medizinischen Zweckbestimmung, große Bedeutung zu. Diese hängt maßgeblich von der Einordnung durch den Hersteller des Medizinproduktes ab: Sofern der Hersteller einer App diese nicht ausdrücklich für die in § 3 Nr. 1 MPG genannten Zwecke bestimmt, unterfällt sie demnach nicht dem Anwendungsbereich des MPG.36 Hierin wird ein grundsätzliches, zentrales Problem des Medizinprodukterechts 31 Oen, MPR 2009, 55, 55; andere Software wurde als Zubehör i. S. d. § 3 Nr. 9 MPG angesehen. 32 Heimhalt/Rehmann, MPR 2014, 197, 200; Irmer, MPR 2013, 145, 146; Oen, MPR 2009, 55, 56. 33 MEDDEV Guidance 2.1/6 „Guidelines on the qualification and classification of stand-alone software used in healthcare within the Regulatory Framework of Medical Devices“ von Januar 2012, http://ec.europa.eu/growth/sectors/medical-devices/guidance/index_en.htm (Stand: 2.5.2016). Obwohl die Guidance selbst nur von Stand-Alone-Software spricht, ist sie gem. des – ebenfalls rechtlich unverbindlichen – Manual on Borderline and Classification in the Community Regulatory Framework for Medical Devices, Version 1.17 v. September 2015, Abschnitt 9, S. 63, auch auf „mobile applications“ anwendbar. 34 MEDDEV 2.1/6, S. 9 f. 35 MEDDEV 2.1/6, S. 9 f; Step 3. 36 Gleiches ergibt sich aus Art. 1 Abs. 2 lit. a der Medizinprodukterichtlinie 93/42/EEC: „[..] intended by its manufacturer to be used specifically for dia-
86
Risiken und Regulierung von medizinischen Apps
erkannt, das im Hinblick auf medizinische Apps als besonders kritisch angesehen wird.37 Der Hintergrund dieser Bindung des Anwendungsbereichs an die subjektive Zwecksetzung durch den Hersteller ist vor dem Hintergrund des Zwecks des Medizinprodukterechts zu sehen, der nämlich gerade im Schutz der spezifisch „verletzlichen“ und damit besonders schutzwürdigen Behandlung eines Patienten liegt, § 1 MPG.38 Diese Schutzwürdigkeit entfällt aber, sobald Anwender und Patienten ein Produkt nutzen, das nicht ausdrücklich der medizinischen Behandlung (oder Diagnose, etc.) dient.39 Entschärft wird das Problem der Zweckbestimmung durch den Hersteller zum einen durch ein Willkürverbot40, zum anderen dadurch, dass der Hersteller bei fehlender medizinischer Zweckbestimmung eine solche auch nicht bewerben darf.41 Dennoch ergeben sich gerade in Hinblick auf Apps, die häufig changierende, nicht klar umrissene medizinische Zwecke erfüllen, nicht unerhebliche Fragen: Beispiele schwieriger Zuordnung sind eine Schwangerschaftsbegleitungsapp, die der werdenden Mutter helfen soll, Arzttermine zu verwalten, medizinische Befunde zu verstehen und ggf. sogar Handlungsempfehlungen gibt, die sich nach der entsprechenden Schwangerschaftswoche richten42 oder eine Medikationsapp, die neben einem Medikationsplan auch Vitalwerte des Patienten erfasst und zu dessen Information aufbereitet.43 Diesbezüglich werden von verschiedenen Akteuren unterschiedliche Abgrenzungskonzepte vorgeschlagen oder bereits genutzt, die an dieser jedoch Stelle nicht weiter vertieft werden können.44 Jedenfalls aus Sicht des GKV-Rechts spielt die Frage der Zweckbestimmung durch den Hersteller einer App und deren Klassifizierung als Medizinprodukt wohl jedoch nur eine untergeordnete Rolle, weil die Anforderungen des SGB V über diejenigen des MPG regelmäßig hinausgehen.45
37 38 39 40 41 42 43 44 45
gnostic and/or therapeutic purposes [...]“; s. außerdem die Guideline der Kommission MEDDEV 2.1/1, Kap. I., 1.1., lit. b. Vgl. nur Gaßner/Strömer, VersR 2015, 1219, 1228. Dabei sollen nicht nur Patienten, sondern auch die (behandelnden) Anwender von Medizinprodukten sowie Dritte geschützt werden. So wohl auch EuGH MPR 2012, 191 ff.; vgl. Keßler/Zindel, MPR 2012, 186, 187. Heimhalt/Rehmann, MPR 2014, 197, 201 mit Verweis auf BGH, GRUR 2013, 1261 f. Vgl. Keßler/Zindel, MPR 2012, 186, 188. Ein Beispiel einer solchen App ist „Onelife Baby“, das als Medizinprodukt der Klasse I CE-zertifiziert ist. Z. B. die nicht als Medizinprodukt CE-zertifizierte App „MyTherapy“. Siehe dazu umfassend Gassner, MPR 2015, 73. Siehe dazu Abschnitt III 3. Deutlich wird dies insbesondere im Hinblick auf Hilfsmittel, deren Anforderungen im SGB V teilweise als erfüllt vermutet
87
Jan Benedikt Brönneke/Dennis-Kenji Kipker
20 Sofern eine App als Medizinprodukt einzuordnen ist, stellt sie ein aktives Medizinprodukt dar, so dass bei der Klassifizierung die zusätzlichen Regeln für aktive Medizinprodukte gem. Anhang IX der Medizinprodukterichtlinie 93/42/EWG gelten.46 3. Nutzung von medizinischen Apps im Rahmen der gesetzlichen Krankenversicherung nach dem SGB V 21 Das SGB V enthält – abgesehen von den mit dem eHealth-Gesetz von 201547 eingeführten Regelungen zur Telematikinfrastruktur – keine expliziten Regelungen des Einsatzes von IT-Technologien in der medizinischen Versorgung. Auch Medizinprodukte im Sinne des MPG sind, von wenigen Ausnahmen abgesehen, nicht unmittelbar adressiert. Eingang finden Medizinprodukte insbesondere auf zwei Wegen: Als Hilfsmittel im Sinne des § 33 SGB V, wie z. B. Blutzuckermessgeräte und Hausnotrufe, oder als Bestandteil einer Krankenbehandlung im Sinne des § 27 SGB V, worunter z. B. klassischerweise bildgebende Geräte und Dialysegeräte fallen. Sowohl Hilfsmittel als auch Krankenbehandlungen (und deren Bestandteile) sind auf einer medizinischen Methode zu fundieren, also auf einer auf einem theoretisch-wissenschaftlichen Konzept beruhenden systematischen Vorgehensweise bei der Untersuchung und Behandlung einer Krankheit.48 Dabei ist zum einen zwischen neuen und bereits etablierten Untersuchungs- und Behandlungsmethoden einerseits sowie ambulant und stationär angewandten Methoden andererseits zu unterscheiden. Für innovative medizinische Apps ist hinsichtlich ersterer Unterscheidung insbesondere der Eingang neuer Untersuchungs- und Behandlungsmethoden in den Leistungskatalog der GKV von Relevanz. Grundsätzlich müssen alle Leistungen der gesetzlichen Krankenversicherung den Anforderungen des Qualitäts- und Wirtschaftlichkeitsgebots genügen, §§ 2 Abs. 1 Satz 3, 12 Abs. 1 SGB V – diese gelten auch für werden, wenn eine CE-Kennzeichnung nach Maßgabe des MPG besteht, § 139 Abs. 5 SGB V. Nicht unproblematisch ist vor diesem Hintergrund jedoch die Nutzung von Apps im Rahmen von Präventionsprogrammen der Krankenkassen, die zum Teil auch die Anforderungen des SGB V nicht durchweg erfüllen, vgl. Brönneke/Kipker, GesR 2015, 211. 46 MEDDEV 2.1/6, S. 15; Irmer, MPR 2013, 145, 147; einschlägig sind damit die Regeln 9-12 des Anhang IX der Richtlinie93/42/EWG, für Stand-Alone-Software dürfte ganz überwiegend Regel 12 gelten, sodass sie der Klasse I zuzuordnen ist. 47 Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen sowie zur Änderung weiterer Gesetze, v. 21.12.2015, BGBl. I, S. 2408. 48 Schmidt-De Caluwe in: Becker/Kingreen, SGB V § 135 Rz. 3 m. w. N.
88
Risiken und Regulierung von medizinischen Apps
bereits etablierte Methoden, in deren Rahmen medizinische Apps angewandt werden sollen und die durch die innovative Komponente keine wesentliche Änderung erfahren.49 Für neue, ambulant angewandte Methoden gilt dabei ein grundsätzliches Verbot der Erbringung mit Erlaubnisvorbehalt: Erst wenn der Gemeinsame Bundesausschuss (G-BA)50 den Nutzen, die medizinische Notwendigkeit und Wirtschaftlichkeit neuer Untersuchungs- und Behandlungsmethoden in Richtlinien gem. § 135 Abs. 1 i. V. m. § 92 SGB V als anerkannt ansieht, dürfen diese ambulant zulasten der Krankenkassen angewandt werden.51 Für stationär zu erbringende Leistungen bzw. deren zugrundeliegende Methoden bestand demgegenüber bis Juli 2015 eine grundsätzliche Leistungserlaubnis mit der Möglichkeit des Ausschlusses durch den G-BA ex-post, § 137c SGB V. Mit Schaffung des § 137h SGB V52 wurde dies jedenfalls in Hinblick auf solche Methoden, deren technische Anwendung maßgeblich auf dem Einsatz eines Medizinprodukts mit hoher Risikoklasse beruht, also Medizinprodukten der Klassen IIb und III, geändert.53 Solche Methoden bedürfen nun ebenfalls einer positiven Bewertung durch den G-BA, der die Leistung zulassen, ausschließen oder zur Erprobung im Sinne des § 137e SGB V zulassen muss. Geht man freilich davon aus, dass ein großer Teil medizinischer Apps der Medizinprodukteklasse I zuzuordnen sein wird, bleibt für diese jedenfalls im stationären Bereich das System der grundsätzlichen Erlaubnis mit Verbotsvorbehalt bestehen. Dennoch müssen auch dann die Leistungen den grundsätzlichen Anforderungen des Qualitäts- und Wirtschaftlichkeitsgebots entsprechen.54 Im Kern der Anforderungen und der Bewertung der Methoden in Hin- 22 blick auf diese Vorgaben steht der medizinische Nutzen der Methode, der das Ergebnis einer Abwägung zwischen den zu erwartenden positiven und negativen Effekten ist. Als Maßstab der Nutzenbewertung wird im SGB V der unbestimmte Rechtsbegriff des „allgemein anerkannten
49 Falls die Methode durch den Einsatz der innovativen App eine wesentliche Änderung erfährt, ist diese als neue Untersuchungs- und Behandlungsmethode erneut durch den G-BA zu überprüfen, vgl. Roters in: Kasseler Kommentar, § 135 SGB V Rz. 5. 50 Umfassend zum G-BA s. Zimmermann, Der Gemeinsame Bundesausschuss. 51 Tatsächlich normiert § 135 Abs. 1 Satz 2 SGB V auch die Überprüfung von bereits zulasten der Krankenkasse erbrachten Leistungen. 52 Eingeführt m. W. v. 23.7.2015 durch G. v. 16.7.2015 (BGBl. I, S. 1211); vgl. Felix/Ullrich, Paradigmenwechsel in der Methodenbewertung, NZS 2015, 921. 53 Hornig in: Krauskopf, Soziale Krankenversicherung, Pflegeversicherung, SGB V § 137h Rz. 2. 54 BSG-Rechtsprechung zum § 137c SGB V, der zwar ex post arbeitet, die Krankenhäuser aber nicht dazu befugt, unwirtschaftliche Leistungen zu erbringen.
89
Jan Benedikt Brönneke/Dennis-Kenji Kipker
Stands der medizinischen Erkenntnisse“55 angeführt, der nach ganz herrschender Meinung auf die Nutzung der Methoden der evidenzbasierten Medizin (ebM) rekurriert.56 Das bedeutet nicht weniger, als dass die positiven Effekte der Leistung durch möglichst hochwertige klinische Evidenz nachgewiesen werden müssen, optimalerweise durch randomisierte klinische Studien.57 Solche Studien, aber auch geringerwertige Evidenz wie z. B. klinische Kohortenstudien, sind mit einem nicht unwesentlichen Aufwand verbunden und werden gerade für medizinische Apps bislang selten durchgeführt.58 Hinzu kommt, dass wohl gerade der Nutzen von Apps und anderer Software mittels der Methoden der evidenzbasierten Medizin nur unzureichend erfasst werden kann. Gerade bei den Vorteilen von Apps, die häufig in deren mobiler Anwendung zu finden sein werden, ist anzunehmen, dass diese in den auf solide patientenrelevante Endpunkte wie etwa Morbidität und Mortalität59 ausgerichteten Studien nur schwer zu erfassen sind.60 4. Case Study 23 Die aufgezeigten Aspekte des Rechts der gesetzlichen Krankenversicherung und dem – gleichsam vorgeschalteten – Medizinprodukterecht sollen anhand des Beispiels einer App für Patienten mit bipolarer Störung verdeutlicht werden: Die Smartphone-App zeichnet Bewegungs-, Schlaf-, Surf- und Kommunikationsverhalten der Patienten auf und meldet normabweichendes Verhalten, wie etwa die für manische Phasen typische erhöhte Kommunikation oder das für depressive Phasen typische erhöhte Schlafverhalten, an die behandelnden Ärzte, die dann die notwendigen pharmakotherapeutischen Maßnahmen früh einleiten können.61 Zunächst ist hier zu prüfen, ob die App in ihrer spezifischen Erscheinungsform grundsätzlich als Medizinprodukt in Frage kommt. Unter Rückgriff auf die oben genannten Bestimmungen des MPG und der MEDDEV 2.1/6 ist die App als Stand-Alone-Software einzuordnen. Eine medizinische 55 Der Terminus findet sich in verschiedenen Vorschriften des SGB V, so etwa in § 2 Abs. 1 Satz 3 und § 135 Abs. 1 Nr. 1 und ist in seinem Gehalt nicht unumstritten, vgl. Francke/Hart, MedR 2008, 2. 56 Vgl. nur BSGE 104, 95; Roters, NZS 2007, 176, 177. 57 Vgl. die Evidenzstufenschemata im 2. Kap. § 11 Abs. 2 und im 4. Kap. § 7 Abs. 4 der Verfahrensordnung des G-BA. 58 Wallace/Dhingra, Journal of Opioid Management 2014, 63. 59 Siehe etwa die Surrogatparameter in § 35b Abs. 1 Satz 4 SGB V. 60 Zur grundsätzlichen Kritik an der Fokussierung der evidenzbasierten Medizin auf epidemiologische Evidenz s. Cohen/Stavri/Hersh, International Journal of Medical Informatics, 2004 (73), 35, 42. 61 Schmidt-Sausen, Dt. Ärztbl. 2015, 1820.
90
Risiken und Regulierung von medizinischen Apps
Zweckbestimmung im Sinne des MPG liegt hier ebenfalls nahe: Auch wenn andere Anwendungsgebiete, etwa die Aufzeichnung der genannten Daten aus Gründen des „Lifestyle“62, grundsätzlich denkbar ist, dient doch die Übertragung dieser Daten an die behandelnden Ärzte erkennbar der Überwachung von Krankheiten i. S. d. § 3 Abs. 1 lit. a MPG. Im (hier unwahrscheinlichen) Fall, dass der Hersteller eine solche App nicht als Medizinprodukt zulassen will, wäre es zumindest nicht fernliegend, darin eine willkürliche Zweckbestimmung zu sehen. Insofern wäre für die App eine CE-Kennzeichnung anzustreben. Insoweit die App im Rahmen von Leistungen der gesetzlichen Kranken- 24 versicherung angewandt und vergütet werden soll, muss ihr Nutzen mithilfe möglichst hochwertiger Evidenz nachgewiesen werden. Im Fall der konkreten App wird solche Evidenz zu generieren versucht.63 Ob der zu erwartende Nutzen, der insbesondere in der kontinuierlichen, vom Handeln des Patienten unabhängigen und zudem unauffälligen Arbeitsweise der App bestehen dürfte64, und die gegebenenfalls daraus resultierende verbesserte Adhärenz65 mithilfe von Methoden der evidenzbasierten Medizin nachgewiesen werden kann, bleibt dabei jedoch fraglich. 5. Ergebnis und Ausblick sozialversicherungsrechtlicher Regulierung medizinischer Apps Wie aufgezeigt, ergeben sich hinsichtlich der Nutzung medizinischer IT- 25 Innovationen, wie etwa medizinischer Apps, im Rahmen der gesetzlichen Krankenversicherung verschiedene, im Einzelfall nicht ohne Weiteres zu beantwortende Fragen. Sowohl die Regelungen des MPG als auch des SGB V stellen jedoch keine „unüberwindbaren“ Hürden auf und bieten genügend Anhaltspunkte, um auch komplexere Fragen zu klären. Jedenfalls grundsätzlich können aus sozialversicherungsrechtlicher Sicht medizinische IT-Innovationen weitreichend erfasst werden. Fragen z. B. der Nutzenbewertung im SGB V und der Abgrenzung zu Nicht-Medizin-
62 Koller, Ich messe, also bin ich, Zeit Online v. 9.2.2012, http://www.zeit. de/2012/07/WOS-Quantified-Self (Stand: 2.5.2016); Friedrichs, Das tollere Ich, Zeit Online v. 8.8.2013, http://www.zeit.de/2013/33/selbstoptimierung-leistungssteigerung-apps (Stand: 2.5.2016). 63 Schmidt-Sausen, Dt. Ärztbl. 2015, 1820. 64 Schmidt-Sausen, Dt. Ärztbl. 2015, 1820. 65 So auch Heimhalt/Rehmann, MPR 2014, 197, 200; „Als Adhärenz bezeichnet man in der Medizin die Einhaltung der gemeinsam von Patient und Behandler gesetzten Therapieziele im Rahmen des Behandlungsprozesses“, DocCheck Flexikon, http://flexikon.doccheck.com/de/Adhärenz (Stand: 2.5.2016).
91
Jan Benedikt Brönneke/Dennis-Kenji Kipker
produkten im MPG bedürfen freilich noch einiger Justierung, um den Besonderheiten solcher Innovationen gerecht zu werden. IV. Fazit 26 Medizinische IT-Innovationen wie z. B. Apps lassen sich de lege lata sowohl im Zivil- wie auch im öffentlichen Recht zunächst unproblematisch erfassen. Gleichwohl besteht sowohl im Hinblick auf haftungsund sozialversicherungsrechtliche Fragen Bedarf für weitere Konkretisierungen, die nicht nur dem Schutz von Patienten und anderen Anwendern solcher Produkte dienen, sondern auch Rechtssicherheit für Innovatoren, Hersteller und Intermediäre schaffen.
92
High Level Forensik zur Sachverhaltsaufbereitung in komplexen Rechtsstreitigkeiten Siegfried Streitz* I. Einleitung II. Definition und Abgrenzung 1. IT-Forensik 2. High Level Forensik III. Anwendungsbereich und Vorgehensweise 1. Einsatz in Zivilverfahren 2. Erfassung 3. Methodik zur Zusammenführung und Aufbereitung 4. Umsetzung der Methodik a) Gewinnung der Daten b) Transformation
c) Zusammenführung auf Zielsystem IV. Auswertungsmöglichkeiten 1. Version 1.0 (Sichtung von Papier) 2. Version 2.0 (Unterstützung durch IT) 3. Version 3.0 (Wissensnetze) V. Praktische Hinweise 1. Zusammenarbeit 2. Semantische Netze VI. Zusammenfassung
Literaturübersicht: Bundesamt für Sicherheit in der Informationstechnik, Leitfaden „IT-Forensik“, Version 1.0.1, März 2011; Christoph Willer, PC-Forensik, 2012.
I. Einleitung IT-Forensik beschäftigt sich mit der Erfassung und Auswertung digitaler 1 Spuren. Im Fokus steht dabei in der Regel ein konkreter Straftatverdacht. Gegenstände von IT-Forensik sind einzelne Objekte wie Server, Personalcomputer, Speichermedien, Verbindungen oder Netzwerke. Bei High Level Forensik müssen diese Voraussetzungen nicht gegeben 2 sein. Wenn kein konkreter Straftatverdacht besteht oder ein Betrugsund Korruptionsnetzwerk aufgeklärt werden soll, sind viele Objekte und Datenquellen auf Verbindungen und Zusammenhänge hin zu analysieren. Aus einer großen Datenmenge sind somit Informationen zu gewinnen und zu verdichten. Dieser Beitrag skizziert die Vorgehensweise von High Level Forensik bei der Erfassung, Zusammenführung und Aufbereitung von Informationen, besonders auch in der Sachverhaltsaufbereitung bei komplexen IT-Rechtsstreitigkeiten, und stellt Analyse- und Auswertungsmöglichkeiten vor. *
Dr. Siegfried Streitz, IT-Sachverständiger, Streitz Hoppen & Partner, Brühl.
93
Siegfried Streitz
II. Definition und Abgrenzung 1. IT-Forensik 3 Eine globale Definition bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) an1: IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems. 4 Diese Begriffsausprägung bezieht weitere Aspekte der Vorbereitung und der Sichtweise ein, die von der Vorgehensweise her geprägt sind. Wesentlich ist die zugrunde liegende Methodik, die als unabdingbarer Bestandteil jeglicher IT-Forensik aufgeführt ist. 5 Die IT-Forensik wird üblicherweise in mehrere Teilbereiche gegliedert. Bei der Computer-Forensik geht es um die Analyse von Rechnern oder Mobilgeräten und der darin enthaltenen Daten mit dem Ziel, die Kommunikation zu analysieren. Die forensische Datenanalyse hat die Aufklärung von Handlungen zum Ziel und wertet Datenbestände aus Anwendungen aus2. Es liegt somit in der Regel ein konkreter Straftatverdacht vor, so dass beispielsweise die Übernahme von Quellcode, das Abspeichern von Bildern oder den zeitlichen Ablauf zum Schließen von Vereinbarungen als Gegenstand besitzt. Dazu werden einzelne Rechner oder bestimmte Verbindungsnetzwerke näher ausgewertet. 2. High Level Forensik 6 Es gibt eine Reihe von Situationen, in denen kein konkreter Straftatverdacht formuliert werden kann. Hierzu gehören unter anderem Drohungen eines entlassenen (leitenden) Mitarbeiters, die Anlass bieten, bestimmte Kommunikationsbeziehungen oder Sachverhalte weiter zu analysieren. Auch bei groß angelegten Betrugs- und Korruptionsnetzwerken mit der Hinterziehung von Sozialversicherungsabgaben, unzutreffenden Leistungsabrechnungen und Scheinabrechnungen3 ist es oftmals schwer, am Anfang den Gesamtkomplex zu überblicken. Den Ausgangspunkt bilden in diesen Fällen häufig Zeugenaussagen als Mosaikteile, die einzelne Sachverhalte wie schwarze Kassen oder Messpunkte für 1 2 3
94
BSI, Leitfaden „IT-Forensik“, S. 8. Wikipedia, Stichwort IT-Forensik, zuletzt abgerufen am 18.4.2016. Siehe beispielsweise http://www.wiwo.de/unternehmen/korruption-deutschlands-spektakulaerste-bauskandale-seite-3/5563676-3.html.
High Level Forensik zur Sachverhaltsaufbereitung
Leistungsabrechnungen aufzeigen können. Die Zusammenführung von digitalen Durchsuchungsergebnissen aus einer Vielzahl von Orten kann dabei mit Hilfe von High Level Forensik erfolgen. Auch eine präventive Nutzung ist denkbar, um Compliance-Prüfungen zu ergänzen. Ziel der High Level Forensik ist somit in erster Linie, das Wissen um den 7 Sachverhalt zu verbessern und hierbei eine Vielzahl von Objekten und Datenquellen zu berücksichtigen. Basis ist – insbesondere bei der eindeutigen und beweissicheren Zuordnung von Sachverhalten – das KnowHow der IT-Forensik. Die diesbezüglichen Grundsätze sind somit einzuhalten. So ist grundsätzlich nur an Kopien zu arbeiten, die einzelnen Schritte und (Zwischen-)Ergebnisse sind nachvollziehbar und nachprüfbar zu dokumentieren. III. Anwendungsbereich und Vorgehensweise High Level Forensik beschränkt sich nicht nur auf den strafrechtlichen 8 Bereich, sondern kann auch in Zivilverfahren äußerst hilfreich sein. Die Vorgehensweisen zur Erfassung, Zusammenführung und Aufbereitung von Daten sind nahezu identisch. Die zugrunde liegende Methodik wird mit ihrer Umsetzung vorgestellt und an Beispielen erläutert. 1. Einsatz in Zivilverfahren Die Sachverhalte in vielen Zivilverfahren sind so komplex geworden, 9 dass sie ohne IT-gestützte Verfahren nicht mehr mit vernünftigem Aufwand beherrscht werden können. Wenn beispielsweise ein komplexes IT-Projekt mit Teilprojekten, eingebundenen Subunternehmern, verteilt auf verschiedene Standorte und mit einer mehrjährigen Laufzeit in eine Schieflage gerät, müssen Tausende von Informationselementen ausgewertet werden. Dazu gehören E-Mails, Abstimmungen in Konferenzen und Sitzungen, Teilergebnisse, aber auch in der bisherigen Auseinandersetzung erarbeitete Zwischenresultate. Für die juristische Vertiefung ist es notwendig, dass der Sachverhalt entsprechend verdichtet und aufbereitet wird. Dabei stellt sich immer die Frage, wie vollständig die Informationsaufnahme durchgeführt werden konnte. So können schlichte Erklärungen (wie beispielsweise zu einer Teilabnahme) gravierende Auswirkungen haben. Es ist daher notwendig, alle Informationsquellen heranzuziehen. Eine entsprechende Volltext-Indizierung (siehe Abschnitt III. 4. b)) ermöglicht eine schnelle Reaktion (auch in der mündlichen Verhandlung) und stellt sicher, dass möglichst alle für die Parteien positiven und negativen Sachverhaltselemente bekannt sind. Die zugehörige Erarbeitung benötigt jedoch einen gewissen zeitlichen Vorlauf. 95
Siegfried Streitz
2. Erfassung 10 Ausgangspunkt beim Einsatz von High Level Forensik ist die Erfassung möglichst vieler relevanter Datenquellen. Dabei kommen Daten aus unterschiedlichen elektronischen Systemen in Betracht, die nachstehend auszugsweise aufgeführt sind. Bei der Prüfung dieser Systeme kann es sinnvoll sein, bestimmte Daten unmittelbar aus Anwendungen zu exportieren (wie Kontenblätter aus einer Finanzbuchhaltung), da in diesen Fällen die Bedeutung der Daten erhalten bleibt und nicht nur Zahlen ungeordnet nebeneinander stehen. Es ist somit unumgänglich, sich auch mit den im jeweiligen Kontext genutzten Software-Systemen näher auseinanderzusetzen. –
Datenträger/Festplatten (aus Personal Computern, Notebooks, Servern, Smartphones oder als externe Speicher beziehungsweise Datensicherungen)
–
Bänder und Kassetten
–
Cloudspeicher
–
Telefaxsysteme
–
Telefonanlagen
–
Zugangskontrollsysteme
11 Aus Aufwandsgründen werden viele Daten zunächst unstrukturiert erfasst. Es ergibt sich erst im Verlauf der weiteren Auswertung, dass der Kontext aus der jeweiligen Anwendung notwendig ist, um zu weiteren Ergebnissen zu gelangen. So kann es beim Auffinden eines Belegs eines Electronic Banking-Programms sinnvoll erscheinen, den weiteren Zahlungsverkehr mit diesem Empfänger aufzuklären. Das kann effizient durch eine Nutzung der mit der Software gespeicherten Daten erfolgen. Beispielhaft kommen in Betracht: –
Protokolle von Systemen und Anwendungen (auch Ereignisprotokolle von Betriebssystemen)
–
Kommunikation mit Instant-Messaging–Diensten
–
E-Mails
–
Soziale Netzwerke
–
Auktionsplattformen
–
Software, Ausgaben und Protokolle zum Electronic Banking
–
Protokolle und Ausgaben von Telefonanlagen, wie Anrufe in Abwesenheit
96
High Level Forensik zur Sachverhaltsaufbereitung
3. Methodik zur Zusammenführung und Aufbereitung Ein iterativer Auswertungsprozess führt von unstrukturierten Daten zu 12 immer weiter strukturierten und verdichteten Informationen, indem ein sog. ETL-Prozess (Extrakt, Transform, Load) verwendet wird. Dieser Prozess ist eine klassische Vorgehensweise bei der Verarbeitung von Big Data. Die folgende Grafik zeigt die wesentlichen Schritte:
Die Extraktion bezeichnet die Gewinnung von Daten aus unterschied- 13 lichen Systemen. Im Rahmen der Filterung werden unwichtige Daten (wie Programmdateien des Betriebssystems) weggelassen. Die Harmonisierung sorgt dafür, dass Werte angeglichen werden (beispielsweise Umformung von zweistelligen in vierstellige Jahreszahlen). Der Schritt der Aggregation fasst Daten nach mathematischen Methoden zusammen (wie den Umsatz mit einem bestimmten Geschäftspartner). Die Anreicherung versieht die Daten mit Zusatzinformationen weiterer externer Daten wie GPS-Positionsangaben oder eindeutige Firmenkennzeichnungen mit der Dun & Bradstreet (D&B) Kennzeichnung D-U-N-S. Im letzten Schritt Laden werden alle Daten in ein zentrales Analysesystem zur weiteren Untersuchung überführt. 4. Umsetzung der Methodik Zur Umsetzung dieser Methodik sind folgende Verfahrensschritte not- 14 wendig: a) Gewinnung der Daten (Extraktion) b) Aufbereitung der Daten, anschließende Volltextindizierung (Transformation) 97
Siegfried Streitz
c) Zusammenführung auf Zielsystem (Laden) a) Gewinnung der Daten 15 Zur Gewinnung der Daten sind die in Betracht kommenden Quellen zunächst zu identifizieren. Bei IT-Projekten ist hier die Projektablage das primäre Ziel. Von zentraler Bedeutung sind in nahezu allen Fällen E-Mails. Diese Daten werden in der Regel kopiert (gegebenenfalls nach forensischen Gesichtspunkten), wobei auch schon eine Angleichung der Formate und Zeichensätze erfolgen kann. Soweit Informationen nur als Bilddateien4 vorliegen (wie Kopien oder Faxausdrucke), ist eine Texterkennung (Optical Character Recognition – OCR) durchzuführen, die auswertbare Texte erzeugt. 16 Ein gesonderter Aspekt ist die Suche nach gelöschten Dateien, was im Einzelfall auch unter Aufwandsgesichtspunkten entschieden werden muss. b) Transformation 17 Im Rahmen der Transformation ist zunächst zu überlegen, ob eine Filterung erfolgen soll. Das Weglassen von Verzeichnissen ist vergleichsweise aufwändig in der Umsetzung und birgt das Risiko, dass Daten an ungewöhnlichen Speicherorten nicht erfasst werden. Dadurch können wichtige Kontextinformationen (wie beispielsweise Datumsangaben von Betriebssystemverzeichnissen) verloren gehen und nicht zu einer Validierung der gewonnenen Ergebnisse verwendet werden. In der Regel wiegt der Vorteil einer geringeren Datenmenge den zusätzlichen Aufwand und die möglicherweise entstehenden Nachteile bei der Auswertung nicht auf. 18 Bei verschlüsselten Dateien ist eine Abwägung durchzuführen, mit welchem Aufwand eine Entschlüsselung erfolgen kann und welche Ergebnisse daraus abgeleitet werden können. Teilweise kann mit vergleichsweise wenig Aufwand eine Entschlüsselung erfolgen (beispielsweise durch den Aufruf von Electronic Banking-Programmen, wenn die Zugangsdaten bekannt sind). 19 Generell sollte geprüft werden, aus welchen Anwendungsprogrammen ein Datenexport mit Erhalt der semantischen Beziehungen, also der Bedeutung der Daten, durchgeführt werden kann. So ist es dann bei einer Finanzbuch-
4
98
Beispielsweise mit der Endung *.gif oder *.jpg, aber auch eingescannte PDFDateien.
High Level Forensik zur Sachverhaltsaufbereitung
haltung möglich, die Zusammengehörigkeit von Beträgen und Buchungstexten und Zeitangaben für die Auswertung unmittelbar zu erhalten. Postfächer sollten stets vollständig exportiert werden, da die Filterungs- 20 mechanismen der bekannten Postfachprogramme häufig Defizite und Schwächen besitzen. Damit Postfachdateien handhabbar werden, sollten vorzugsweise Aus- 21 wertungen auf einzelnen E-Mails erfolgen, um die Nutzung von Dateien im Gigabyte-Bereich zu vermeiden. Es sollte eine Möglichkeit bestehen, eine zeitliche Sortierung über Benutzer beziehungsweise Quellen hinweg vorzunehmen. Damit können auch Ergebnisse in eine reproduzierbare Reihenfolge gebracht werden. Der letzte wesentliche Schritt ist die Durchführung einer Volltext-Indizie- 22 rung, gegebenenfalls ergänzt durch eine automatische Themensortierung. Bei einer Volltext-Indizierung werden alle Zeichenfolgen, die in einem Text vorkommen, in einer Datei oder in einer Datenbank, dem Index, abgespeichert. Wichtig ist, dass die Volltextindizierung dauerhaft erfolgt, indem eine Datenbank abgelegt wird, die nach Zeichenfolgen beliebiger Art durchsucht werden kann. Vorteilhaft ist es, wenn nach Begriffen auch innerhalb eines gewissen Wortabstandes gesucht werden kann. Ein dafür in Betracht kommendes Produkt ist dtSearch des gleichnami- 23 gen Unternehmens5, das auf handelsüblichen PC-Systemen eine sehr gute Leistung zeigt. Das nachfolgende Beispiel beruht auf dem Enron-Fall aus 20016. Der zugehörige Datenbestand ist im Internet frei zugänglich und wurde als exemplarische Datenmenge aufbereitet und Volltext-indiziert. Den einzelnen E-Mails wurde ein Präfix in der Form _[laufende Nummer]_ vorangestellt. Dadurch wird ist es möglich, zeitliche Sortierungen, auch über mehrere Postfächer hinweg, vorzunehmen. Beigefügte Anhänge (Dateien) werden mit dem gleichen Präfix, ergänzt um einen Anlagezähler, versehen, so dass sie als selbständige Unterlagen behandelt werden können. Damit eröffnet sich die Möglichkeit, mit wenig Aufwand die Adressaten dieser Anhänge/Dateien zu ermitteln. Nachfolgend ist das Suchfenster wiedergegeben, das Suchmöglichkeiten 24 in dem aufbereiteten Datenbestand anbietet. Im rechten oberen Bereich sind die verschiedenen Indizes abgebildet (beginnend mit allen-p mit Kon5 6 7
www.dtsearch.com. Bilanzfälschungen, https://de.wikipedia.org/wiki/Enron. In der Form JJMMTT_SSmmss, J=Jahr, M=Monat, T=Tag, S=Stunde, m=Minute, s=Sekunde.
99
Siegfried Streitz
takten und Kalender, aufgehört mit Sonstige Daten). Der erste Index ist ausgewählt, die vorhandenen Zeichenfolgen sind im linken oberen Bereich dargestellt (beginnend mit galloway@enron). Darunter sind die logischen Operatoren (and, or, ...) abgebildet. Es schließt sich das Suchfenster an, in das der Begriff gaming eingegeben wurde. Darunter ist die Eingabe von Optionen wie Stemming (Suche nach ähnlichen Formen) oder phonetischen Suchen möglich sowie eine Anzeigereihenfolge wählbar.
25 Durch Betätigen der Schaltfläche Search wird die Suche aufgerufen, die das nachfolgend wiedergegebene Ergebnis liefert.
100
High Level Forensik zur Sachverhaltsaufbereitung
Das Fenster ist in zwei Bereiche gegliedert. Im oberen Bereich werden die 26 Treffer mit Dateiname, Trefferanzahl etc. wiedergegeben, während im unteren Bereich eine unmittelbare Vorschau des Kontextes der Funde in der im oberen Bereich ausgewählten Datei angezeigt wird. Dieses Merkmal der Software ermöglicht es, unmittelbar eine Beurteilung vorzunehmen, ob es sich um einen relevanten Kontext oder um ein Wörterbuch handelt, in dem zufälligerweise dieser Begriff auch enthalten ist. c) Zusammenführung auf Zielsystem Bei der Dimensionierung des Zielsystems ist zu berücksichtigen, dass es 27 sinnvoll ist, alle Quell-Dateien im Zugriff zu haben. Durch die PostfachExtraktion und die Indizierung steigt der Speicherbedarf um circa 40 %, so dass ausreichend Platz vorzusehen ist, gegebenenfalls auf getrennten Speichersystemen. Auf diesem System werden die Daten zusammengeführt, wobei die Rechenzeit-intensive Indizierung auf getrennten Systemen (mit anschließendem Transport der Dateien) durchgeführt werden kann. Bei Verwendung von dtSearch können rund 20 Millionen Dateien be- 28 ziehungsweise E-Mails mit einem Speicherbedarf von rund 10 Terabyte in einigen Sekunden nach einer beliebigen Zeichenfolge durchsucht werden. Bei der Nutzung derartiger Datenbestände ist jedoch zu beachten, dass die Kopie eines Terabytes (beispielsweise zur Sicherung oder zur Dokumentation von Zwischenergebnissen) einige Stunden Kopierzeit benötigt. Es ist somit eine sorgfältige Planung notwendig, um einen
101
Siegfried Streitz
nachhaltigen Umgang mit großen Datenbeständen sicherzustellen, der den sonstigen Arbeitsablauf nicht behindert. IV. Auswertungsmöglichkeiten 29 Die Vorteile einer Auswertung auf Basis von High Level Forensik-Mechanismen zeigen sich am besten, wenn ein Vergleich mit herkömmlichen Vorgehensweisen durchgeführt wird. Hierzu wird die Sichtung von Papier (wie Gerichtsakte) einer Unterstützung durch Informationstechnik in unterschiedlicher Ausprägung gegenübergestellt. 1. Version 1.0 (Sichtung von Papier) 30 Die Auswertung von Papierdokumenten erfolgt in Form einer sequentiellen Durchsicht auf Basis des jeweils gegebenen Wissenstandes. Wenn sich neue Erkenntnisse ergeben oder eine veränderte Sichtweise notwendig wird, kommt es auf das Gedächtnis des Auswerters an. Sind zugehörige entsprechende Fundstellen noch bekannt, können diese schnell aufgefunden werden. Bei großen Datenmengen oder einem schlechteren Gedächtnis ist eine erneute Durchsicht von Anfang an erforderlich. Diese Vorgehensweise führt bei komplexen Sachverhalten zu einer ausufernden Dokumentation, da Zwischenergebnisse dokumentiert werden müssen, um sie gegebenenfalls wieder verwenden zu können. Bei heute üblichen IT-Projekten, die im zwei- oder dreistelligen Millionenbereich liegen, ist eine derartige Vorgehensweise nicht mehr praktikabel. 2. Version 2.0 (Unterstützung durch IT) 31 Eine zentrale Funktion ist die Suche nach Zeichenfolgen in Texten. Die in den verschiedenen Textanwendungsprogrammen angebotenen Suchen unterstützen in der Regel exakte Schreibweisen und ermöglichen es nicht, ähnliche Schreibweisen auf den gemeinsamen Wortstamm zurückzuführen (sog. Stammformreduktion der morphologischen Varianten eines Wortes). Allenfalls ist es möglich, Groß-/Kleinschreibung nicht als Kriterium zu verwenden. Hingegen müssen verschiedene Suchen durchgeführt werden, um die verschiedenen Schreibweisen von Umlauten (ae, ä) oder Zusammen-/Getrenntschreibungen zu finden. In fortgeschrittenen Suchfunktionen stehen hierfür Ähnlichkeitssuchen zur Verfügung, die auch Muster erkennen können (wie Zahlen-/Zeichenkombinationen mit bestimmten Stelligkeiten). Beispielsweise findet s*d alle Worte, die mit s beginnen und d enden wie Sand oder Strand.?tant findet alle Worte, die mit einem beliebigen Buchstaben beginnen und mit tant enden.
102
High Level Forensik zur Sachverhaltsaufbereitung
Ein weiterer Schritt ist, eine Volltextindizierung durchzuführen und mit 32 Hilfe von Stichworten und der Indizierung zu suchen. Damit können EMails zu wichtigen Begriffen (wie Abnahme, Meilenstein, Mitwirkung*) etc. aufgefunden werden. Logische Such-Operatoren können auch verknüpft werden. So findet 33 Konto AND BLZ alle Dateien, in denen eine Kontoangabe und eine Bankleitzahl vorhanden sind. Wenn ein bestimmter Betrag gesucht wird, bietet sich die Kombination Konto W/8 an, die genau den genannten Betrag in einem Abstand von 8 Worten zu dem Begriff Konto findet. Eingrenzungsmöglichkeiten bestehen nicht nur im Hinblick auf die 34 vorgegebene Ordnerstruktur, sondern auch auf E-Mails einer bestimmten Person. So findet [email protected] AND Konto alle E-Mails der Person Nase, in denen der Begriff Konto auftaucht. Unerwünschte Treffer können von vorneherein ausgeblendet werden, indem beispielsweise der Ausdruck Nase AND NOT Newsletter verwendet wird, der die Person Nase in allen Dateien außer denjenigen findet, in denen auch der Begriff Newsletter enthalten ist. Diese Operatoren können auch – abhängig vom verwendeten E-Mail- 35 Programm beziehungsweise der Extraktionslogik aus Postfächern – dazu verwendet werden, bestimmte Adressatenkreise anzusprechen und/oder bestimmte Personen auszublenden. Es ist sinnvoll, in Ermittlungs- und Gerichtsverfahren zu prüfen, ob eine 36 IT-Unterstützung der sichergestellten Unterlagen und Informationen zur Verfügung steht. In vielen Fällen wird nämlich nicht offengelegt, dass eine Suche mit elektronisch gestützten Hilfsmitteln durchgeführt wurde, da in den Verfahren nur ausgedrucktes Papier, vorzugsweise aus sichergestellten Asservaten, vorgelegt wird. 3. Version 3.0 (Wissensnetze) Eine wesentlich weiterreichende Art der Auswertung kann durch Ver- 37 knüpfungen von Suchen und Ergebnissen erzielt werden. Zwei Beispiele zeigen die unterschiedlichen Ansatzmöglichkeiten in einem strafrechtlichen Ermittlungsverfahren und einem zivilrechtlichen Prozess über ein Software-Projekt. In einem Ermittlungsverfahren kann der Einstieg über Nicknames8 der 38 verdächtigen Personen erfolgen, die zu privaten E-Mail-Konten führen. 8
Tatsächlich verwendeter Benutzername.
103
Siegfried Streitz
Nach diesen kann noch entsprechend gefiltert werden. Die Inhalte aller an eine oder mehrere Privatadresse gesandten E-Mails können analysiert und nach verschiedenen Gesichtspunkten ausgewertet werden. 39 Darüber hinaus ist es möglich, Kommunikationsprofile zu erstellen und folgende Fragen zu beantworten: –
Wer hat die Inhalte erstellt beziehungsweise übermittelt?
–
Wer war über den Sachverhalt informiert beziehungsweise nicht informiert?
–
Wer war in die Kommunikation einbezogen?
In diesem Kontext können auch weitere private E-Mail-Adressen ermittelt werden. 40 Eine weitere Auswertungsmöglichkeit ist die Bildung von Zeitreihen, indem die Dateien über die verschiedenen Quellen hinweg zeitlich dargestellt werden. Daraus ist insbesondere der Initiator einer Informationskette zu entnehmen. Ferner kann die Konsistenz mit anderen Informationen wie Anmeldungen, Reisen, Protokollen etc. geprüft werden. 41 Der generelle Vorteil einer derartigen Vorgehensweise ist, dass unmittelbar auf Einlassungen und neue Erkenntnisse reagiert werden kann. Notwendig sind lediglich der Volltextindex und Kopien der Originaldaten. 42 In Prozessen über schiefliegende Software-Projekte sind häufig Fragestellungen zu beantworten, ob Mitwirkungsleistungen vertragsgerecht erbracht wurden oder (Teil-)Abnahmen ausgesprochen wurden. Der Beginn der Auswertung kann über entsprechende Wort-Suchen wie beispielsweise mitwirk* erfolgen, die alle Dateien anzeigt, die mit der Zeichenfolge mitwirk beginnen. 43 Mit Hilfe der Ergebnisse kann ein semantisches Netz (vergleiche unten Abschnitt V.2.) aufgebaut werden, in dem abgebildet wird, wer zu welchen Leistungen mit welchem Termin aufgefordert hat. Diese Ergebnisse können anschließend daraufhin überprüft werden, ob sie vertragskonform geleistet wurden (wie Schriftformerfordernisse, Fristen, Adressaten etc.). 44 Da dann die entsprechenden Dateien beziehungsweise E-Mails mit Adressaten bekannt sind, können mit geringem Aufwand Antworten und Reaktionen dazu gesucht werden. Ferner ist es möglich, die zeitliche Abfolge im Projektverlauf darzustellen und erbrachte Leistungen in den Ablauf einzuordnen. Mit Hilfe der beteiligten Personen beziehungswei-
104
High Level Forensik zur Sachverhaltsaufbereitung
se der Datumsangaben können weitere Projektunterlagen wie Stundennachweise, Protokolle etc. zugeordnet werden. Im Ergebnis bieten IT-technische Standardverfahren wie die Zusam- 45 menführung von Datenbeständen, die Extraktion von Postfächern, die Volltextindizierung und der Einsatz von logischen Operatoren die Möglichkeit, umfangreiche und komplexe Sachverhalte effizient zu durchdringen. Mit vergleichsweise geringem Aufwand können logische Verknüpfungen hergestellt und der Sachverhalt erfasst werden, ohne den Anspruch an Vollständigkeit aufgeben zu müssen. V. Praktische Hinweise 1. Zusammenarbeit Auch wenn der Einsatz von IT-Standardverfahren die Möglichkeit bietet, 46 komplexe Sachverhalte effizient aufzuarbeiten, wird dennoch der Einsatz mehrerer Personen notwendig, die inhaltlich an der Aufarbeitung der Sache beteiligt sind. Daher wird für die weitere Darstellung angenommen, dass eine entsprechend abgesicherte Plattform zur Verfügung steht, auf der mehrere Personen (gleichzeitig) am Datenbestand arbeiten können. Ein zentrales Element ist die Verwaltung von Fundstellen, um inner- 47 halb der Arbeitsgruppe einen effizienten Knowhow-Transfer zu ermöglichen. Eine einfache Möglichkeit ist, Unterlagen auszudrucken und die Fundstelle zu dokumentieren. Dies kann durch einen Fensterausdruck erfolgen, da nahezu jede Datei mit der Eingabe von zwei bis drei Suchbegriffen unmittelbar wiedergefunden werden kann. Der Nachteil dieser Vorgehensweise ist, dass keine unmittelbare elektronische Verknüpfung vorliegt und die Ergebnisse nur mit einem Medienbruch (Papier) dokumentiert sind. Eine weitere Möglichkeit ist die Nutzung der Dateieigenschaften der 48 kopierten Dateien des Originaldatenbestandes. Da es sich lediglich um eine Kopie handelt, können Veränderungen in diesem Bestand ohne Verletzung der forensischen Methodik vorgenommen werden. So werden im Betriebssystem Windows des Herstellers Microsoft vielfältige Informationen, sog. Metadaten, zu den Dateien gespeichert. Hierzu steht beispielsweise das Feld Kommentare zur Verfügung, das im Fenster Eigenschaften des Explorers für die Eingabe entsprechender Informationen verwendet werden kann. Der nachfolgende Fensterausdruck zeigt die Speicherung zusätzlicher Informationen zu verschiedenen Dateien in der rechten Spalte.
105
Siegfried Streitz
49 Der Vorteil hierbei ist, dass diese Informationen unproblematisch zusätzlich indiziert werden können und damit leicht aufzufinden sind. Es werden bestehende Funktionalitäten genutzt; daher ist es nicht nötig, eine weitere Software einzuführen. 50 Wenn diese Möglichkeit nicht ausreichend ist, können Datenbanken von Auswertungswerkzeugen eingesetzt werden, die neben der Fundstellenverwaltung auch eine weitergehende Arbeitsunterstützung (wie das Hinzufügen von Tags und Lesezeichen) bieten können. Bei der Nutzung sollten eindeutige Schlüsselbegriffe verwendet und durchgängige Speicherstrukturen eingehalten werden. 51 Eine weitere Möglichkeit ist es, in den Datenbestand beschreibende Textdateien mit einer eindeutigen Kennzeichnung (beispielsweise durch ein Präfix) zur Kenntlichmachung aufzunehmen. Dies können in erster Linie Textverarbeitungsdateien sein, in denen die Quellen als Bilder beziehungsweise PDF-Dateien eingefügt und kommentiert werden können. Ferner können Links als Verweise auf Verzeichnisse und Dateien genutzt und damit Beziehungen dokumentiert werden. 2. Semantische Netze 52 Die Abbildung von Beziehungen ist auch über sog. semantische Netze möglich, die Objekte und Beziehungen enthalten. Objekte können insbesondere Personen darstellen. Dabei steht nicht ein mathematisches Modell von Datenbanken im Vordergrund, sondern ein sich iterativ erschließender Sachverhalt, der sich in einem Erarbeitungsprozess herauskristallisiert. Dies beinhaltet insbesondere, dass ein übliches Relationenmodell zur Abbildung zwischen Personen nicht genutzt werden kann, da eine Person verschiedene Rollen einnehmen kann. 53 Das nachfolgende Beispiel aus der Software k-infinity9 bietet die Möglichkeit, Daten so abzubilden, wie Menschen denken.
9
www.k-infinity.de.
106
High Level Forensik zur Sachverhaltsaufbereitung
Der Grafik ist zu entnehmen, dass Ron Wood verschiedene Rollen als 54 Komponist, Bassist und Gitarrist ausübt. Diese Rollen beziehen sich auf Musikstücke und Formationen. Ferner ist es möglich, auch von Ron Wood gespielte Instrumente (Bassgitarre, Gitarre) abzubilden. Man beginnt somit bei der Modellierung nicht mit abstrakten Objekten, sondern mit konkreten Verkörperungen (sog. Instanzen) eines Objektes. Damit ist diese Möglichkeit der Darstellung von Verknüpfungen bei der Erarbeitung eines Sachverhalts unmittelbar nutzbar. Die Nutzung von semantischen Netzen stellt somit eine Vorstufe der 55 juristischen Arbeitsmethoden (Relationstechnik) zur Erfassung und Auswahl des Streitstoffes dar. VI. Zusammenfassung High Level Forensik verfolgt in erster Linie das Ziel, das Wissen um 56 Sachverhalte zu verbessern. Basis ist eine große Datenmenge, die aus einer Vielzahl von Quellen bestehen kann. In vielen Verfahren bildet die Konsolidierung sämtlicher E-Mails die primäre Informationsquelle. Diese Daten sind zu erfassen und nach verschiedenen Gesichtspunkten zu transformieren. Wesentliche Komponenten ist dabei eine Volltextindi107
Siegfried Streitz
zierung des gesamten Datenbestandes. Anschließend werden alle Daten in einem Ziel- und Auswertungssystem zusammengeführt und den Verfahrensbeteiligten zur Auswertung bereitgestellt. 57 Bei der Auswertung bieten IT-gestützte Methoden die Möglichkeit, zeitliche Abläufe und logische Beziehungen wie Kommunikationsnetze mit vergleichsweise geringem Aufwand sichtbar zu machen. Für die Dokumentation der Auswertungsergebnisse stehen verschiedene Optionen zur Verfügung, die auch eine Bearbeitung in verteilten Arbeitsgruppen ermöglichen. IT-technische Standardverfahren liefern damit die Möglichkeit, umfangreiche und komplexe Sachverhalte effizient aufzubereiten und zu durchdringen.
108
IT-Forensik und Beweisrecht Dennis Heinson* I. Beweisrecht 1. Denkgesetze und Erfahrungssätze 2. Beweiswertkriterien II. Strafprozessrecht 1. IT-Forensik als Durchsuchungsmaßname 2. Beschlagnahme von Datenbeständen 3. Beweisverbote III. Interne Ermittlungen 1. Anforderungen des Datenschutzrechts 2. Datenabgleiche 3. Rezeption der Rechtsprechung des Bundesverfassungsgerichts
4. Rechtmäßigkeitskriterien a) Ermittlungsanlass b) Wahl des Ermittlungsansatzes c) Eingriffsschwellen d) Streubreite e) Erforderlichkeit und Datensparsamkeit f) Intensität der Grundrechtsbeeinträchtigung IV. Strafbarkeitsrisiken 1. Ermittlungen im Strafverfahren 2. Betriebliche Ermittler V. Zusammenfassung
Literaturübersicht: Bäcker, Das IT-Grundrecht: Funktion, Schutzgehalt, Auswirkungen auf staatliche Ermittlungen, in: Uerpmann-Wittzack (Hrsg.), Das neue Computergrundrecht, 2009; Desoi/Knierim, Intimsphäre und Kernbereichsschutz, in: DÖV 2011, 398; Greger, in: Zöller, Zivilprozessordnung, 31. Auflage 2016; Heinson, Compliance durch Datenabgleiche, in: BB 2010, 3084; Heinson, ITForensik: Zur Erhebung und Verwertung von Beweisen aus informationstechnischen Systemen, 2015; Heinson/Schmidt, IT-gestützte Compliance-Systeme und Datenschutzrecht, in: CR 2010, 544; Meyer-Goßner, in: Meyer-Goßner/Schmitt, Strafprozessordnung, 59. Auflage 2016; Schenke, W.-R., in: Kopp/Schenke, Verwaltungsgerichtsordnung, 22. Auflage 2016; Schmitt, in: Meyer-Goßner/Schmitt, Strafprozessordnung, 59. Auflage 2016; Winter/Schneider/Yannikos, Detecting Fraud Using Modified Benford Analysis, in: Peterson (Hrsg.), Advances in Digital Forensics VII, 7th IFIP WG 11.9 International Conference on Digital Forensics, 2011.
Bei der Nutzung von Informationstechnik fallen Daten an, die Gesche- 1 henes abbilden. Informationstechnische Systeme (IT-Systeme) werden so zu Spurenträgern. Die gespeicherten Daten zu extrahieren und auszuwerten kann dazu dienen, Vorgänge zu rekonstruieren. Dadurch erhalten *
Dr. Dennis Heinson, LL.M. (UCLA), Rechtsanwalt, CMS Hasche Sigle, Hamburg.
109
Dennis Heinson
Daten wachsende Bedeutung für die Beweisführung, ob vor Gericht oder anderswo (IT-Forensik).1 Die Auswertung von IT-Systemen ist mittlerweile integraler Bestandteil vieler Ermittlungsansätze, sowohl im Strafverfahren als auch etwa bei betriebsinternen Ermittlungen. 2 Daten sind mittlerweile nicht mehr nur räumlich konzentriert auf einzelnen IT-Systemen gespeichert. Ein großer Teil der heutigen Informationstechnik tauscht Daten über das Internet aus. Datenbestände können deshalb räumlich fragmentiert sein. Dies erzeugt einerseits zusätzliche Zugriffsstellen, andererseits aber auch die Herausforderung, den Zugriff technisch zu ermöglichen. 3 Erfolgreich Beweis zu führen setzt beweiskräftige Beweismittel voraus. Soll mit Daten Beweis geführt werden, entscheiden ganz wesentlich Technik und Verfahren über den Erfolg. Nicht nur muss die Beweisgewinnung technisch möglich sein und so durchgeführt werden, dass die beschafften Daten später Überzeugungskraft entfalten. Beweisverlust droht auch, wenn Technik und Verfahren nicht rechtskonform ausgestaltet sind. Die Verletzung von Grundrechten kann beispielsweise Beweisverwertungsverbote auslösen. 4 Dieser Beitrag führt in beweisrechtliche Grundkonzepte der IT-Forensik und die Beweisführung mit Daten ein und erläutert diese anhand eines Beispiels (I.). Er widmet sich dann den Anforderungen und Vorgaben des Strafprozessrechts an die Beweisgewinnung und die Beweisführung, insbesondere dem Zweck und der Funktion der Durchsuchungsanordnung (II.). Ein weiterer Teil befasst sich mit den Anforderungen bei betriebsinternen Ermittlungen (III.). Schließlich wird kurz auf die Strafbarkeitsrisiken der Ermittlungspersonen eingegangen (IV.). I. Beweisrecht 5 Die konkreten Anforderungen an die forensische Auswertung eines Datenbestands werden durch den späteren Verwendungszweck vorgegeben. In vielen Fällen sollen die gewonnenen Informationen am Ende dazu geeignet sein, Beweis über die enthaltenen Tatsachen zu erbringen. Den Maßstab für den Erfolg bildet folglich das Beweisrecht. 6 Während sich die Art und Weise, wie Beweismittel gewonnen werden und in einen Gerichtsprozess gelangen, unter den Prozessordnungen unterscheiden, sind sowohl die gemäß dem Strengbeweisverfahren zuläs1
Der Inhalt des Beitrags beruht wesentlich auf der Dissertation des Autors. Sie ist im Volltext unter http://www.uni-kassel.de/go/it-forensik verfügbar.
110
IT-Forensik und Beweisrecht
sigen Beweismittel als auch die Anforderung an die Überzeugungskraft des im Einzelfall vorgelegten Beweismittels weitgehend gleich. Für Daten an sich sehen die Prozessordnungen keine eigene Art des 7 Beweismittels vor. Prinzipiell kommt in Betracht, dass mit den Ergebnissen einer Auswertung auf jede der gesetzlich abschließend beschriebenen Arten Beweis erbracht wird. So können die Untersuchungspersonen als Sachverständige beispielsweise Gutachten erstatten, Ausdrucke in Augenschein genommen werden, die Parteien oder der Beschuldigte können oder kann zum Inhalt der Daten befragt, Urkunden können vorgelegt werden (etwa eine schriftliche Stellungnahme über den Inhalt der Daten) oder Zeugen über ihre Wahrnehmungen während der Auswertung berichten. Auf welche Weise Beweis angetreten wird, hängt damit vom Einzelfall 8 ab. Unabhängig vom dem konkret in einen Prozess eingebrachten Beweismittel lässt sich jedoch ein allgemeiner Grundsatz festhalten: Für den Inhalt der Daten und deren Aussagekraft gilt, dass das Gericht in seiner Überzeugungsbildung frei ist. In diesem Grundsatz sind die Prozessordnungen einheitlich (§ 286 ZPO, § 261 StPO, § 108 Abs. 1 VwGO). Folglich lässt sich kaum pauschalisieren, wann Ermittlungsergebnisse vor Gericht eine hohe Beweiskraft entfalten. Auf den ersten Blick scheint es deshalb, als ließen sich allenfalls vage Vorgaben für Technik und Verfahren aufstellen, die den Beweiswert stärken. 1. Denkgesetze und Erfahrungssätze Bei näherer Betrachtung zeigt sich jedoch, dass die Freiheit der Beweis- 9 würdigung eingeschränkt ist. Es bestehen Regeln, denen das Gericht zu folgen hat. Werden diese Regeln verletzt, liegt ein Rechtsverstoß vor. Insoweit kann die Beweiswürdigung auch in der Revisionsinstanz geprüft werden. Das Revisionsgericht kann die Beweiswürdigung auf ihre inhaltliche Schlüssigkeit dahingehend prüfen, ob sie Denkgesetzen und den Regeln der Logik folgt.2 Dies betrifft beispielsweise die Kausalität und Indizienketten. Darüber hinausgehend und weitaus wesentlicher ist aber seine Prüfungs- 10 befugnis hinsichtlich der Einhaltung von sogenannten Erfahrungssätzen, die fast einhellig anerkannt ist. Greger vertritt, revisionsrechtlich zu 2
Ständige Rspr., s. nur BVerfG v. 27.6.1994 – 2 BvR 1269/94, NJW 1995, 125, 126; BVerfG v. 30.4.2003 – 2 BvR 2045/02, NJW 2003, 2444, 2445, 2446; im Zivilprozess s. bspw. BGH v. 6.7.2010 – VI ZR 198/09, NJW 2010, 3230, 3231 = MDR 2010, 1052.
111
Dennis Heinson
prüfen sei nur die Verletzung von Denkgesetzen, solchen Erkenntnissen, „die nach menschlicher Erfahrung ausnahmslose Geltung beanspruchen“.3 Die Rechtsprechung ist anderer Ansicht. Der Bundesgerichtshof prüft regelmäßig auch, ob die durch ein Gericht zugrunde gelegten „einfachen“ Erfahrungssätze zutreffen.4 11 Erfahrungssätze bilden das Bindeglied zwischen den vorgetragenen Tatsachen und dem Beweisschluss auf das Vorliegen eines Tatbestandsmerkmals. Sie erlauben den (Induktions-)Schluss von einem Indiz auf das Vorliegen eines bestimmten Sachverhalts, der wiederum zur Subsumtion unter einen Rechtssatz dient.5 Mit einfachen Worten ausgedrückt gelangt das Gericht anhand von Erfahrungssätzen zu dem Schluss, „so wird es gewesen sein“. 12 Erfahrungssätze stammen aus der allgemeinen Lebenserfahrung. Sie können aber auch aus dem Erfahrungsschatz von Experten entnommen werden.6 Gerade dies zeichnet den Sachverständigenbeweis gegenüber dem Zeugenbeweis aus. Bei technischen Themen wie der IT-Forensik reicht die allgemeine Lebenserfahrung in der Regel kaum aus, um fragmentierte Indizien zu dem Gesamtbild eines Sachverhalts zusammenzusetzen. Hierzu kann der Sachverständigenbeweis dienen. Der Sachverständige liefert unter anderem Erfahrungssätze aus seiner Fachdisziplin und wendet diese auf die ihm bekannten Tatsachen an.7 Auf diese Weise verbinden sich Wissenschaft und Beweisführung: Anerkannte Methoden und wissenschaftliche Erkenntnisse werden zu Erfahrungssätzen, die der Beweiswürdigung dienen. Im Fall der IT-Forensik können einschlägige Fachgebiete beispielsweise die Informatik oder Ingenieurwissenschaften sein. 13 Der Beweiswert von Daten im Prozess hängt somit letztlich auch davon ab, inwieweit man bei der IT-forensischen Auswertung den einschlägigen wissenschaftlichen Methoden gefolgt ist und deren Erkenntnisse zugrunde gelegt hat. Die Wissenschaftlichkeit wird so zu einem zentralen Kriterium der Beweiswürdigung. 3 4
5 6 7
Greger, in: Zöller, ZPO, § 286 Rz. 13b. Vgl. BGH v. 11.2.1987 – IVb ZR 23/86, NJW 1987, 1557, 1558 = MDR 1987, 566; BGH v. 22.1.1991 – VI ZR 97/90, NJW 1991, 1894, 1895 = MDR 1991, 993; BGH v. 14.1.1993 – IX ZR 238/91, NJW 1993, 935, 938 = MDR 1993, 1239. Beschreibung s. Heinson, IT-Forensik, S. 98 ff. Vgl. BVerfG v. 27.6.1994 – 2 BvR 1269/94, NJW 1995, 125, 126 zum Rückschluss auf Fahruntüchtigkeit aufgrund der Blutalkoholkonzentration. Schmitt, in: Meyer-Goßner/Schmitt, vor § 72 StPO Rz. 1; Schenke, W.-R., in: Kopp/Schenke, § 98 VwGO Rz. 13; weniger deutlich Greger, in: Zöller, ZPO, § 402 Rz. 1a und 6b („Schlussfolgerungen kraft Sachkunde“).
112
IT-Forensik und Beweisrecht
Wie eingangs erwähnt, kann über denselben Datenbestand letztlich mit 14 ganz unterschiedlichen Mitteln Beweis angetreten werden. Das Gericht wendet bei seiner Überzeugungsbildung nicht nur die von Sachverständigen zugelieferten Erfahrungssätze an, sondern bildet seine Überzeugung auch selbst. Kennt oder erfährt das Gericht die zur Bewertung des konkret in den Prozess eingeführten Beweismittels erforderlichen Erfahrungssätze nicht, muss das logische Resultat grundsätzlich die Beweislosigkeit sein. In einem solchen Fall des non liquet hat das Gericht nach Beweislastregeln zu entscheiden.8 Ein Gericht kann sich aber auch mit einem (oder mehreren) relativ 15 schwachen Erfahrungssatz (oder -sätzen) begnügen. Die Beweiswürdigung ist dann kaum mehr als eine Plausibilitätsprüfung des Beweismaterials. In einem solchen Fall wird die von dem Bundesgerichtshof in seinem bekannten „Anastasia“-Urteil aufgestellten Formel, nach der die Überzeugung einen Grad erreichen muss, der „den Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen“,9 regelmäßig unterschritten. Das Prozessziel der materiellen Wahrheitsfindung wird dann ohnehin kaum mehr erreicht. Im klassischen Parteienprozess kann der Prozessgegner ein Korrektiv 16 bieten. Nicht nur kann er Gegenbeweis antreten, der eine von dem Gericht gewonnene Überzeugung erschüttert.10 Auch kann er die Beweisaufnahme und Beweiswürdigung beeinflussen, indem er mit seinem Vortrag Zweifel begründet oder nährt.11 Schließlich kann er die seiner Meinung nach maßgeblichen Erfahrungssätze vortragen. Das Kriterium der Wissenschaftlichkeit erlangt auf diese Weise auch außerhalb des Sachverständigenbeweises Bedeutung. 2. Beweiswertkriterien Aus dem Blickwinkel der Wissenschaftlichkeit und angewendet auf die 17 IT-Forensik lassen sich die Antonyme Überzeugung und Zweifel jeweils der technischen und organisatorischen Sicherheit oder Unsicherheit des Verfahrens zuordnen. Bestehen Sicherheitslücken, sinkt die Beweiskraft, und zwar unabhängig davon, mit welchem Beweismittel schließlich Beweis angetreten wird. Die Gesamtsicherheit des Verfahrens ist deshalb 8 Greger, in: Zöller, ZPO, vor § 284 Rz. 14 ff.; Schenke, W.-R., in: Kopp/Schenke, § 108 VwGO Rz. 11 ff.; vgl. Meyer-Goßner, in Meyer-Goßner/Schmitt, § 261 StPO Rz. 26 ff. 9 BGHZ 53, 245, 255 f. 10 Heinson, IT-Forensik, S. 103. 11 Hohlweck, GRUR 2014, 940, 941 f.
113
Dennis Heinson
Voraussetzung für einen hohen Beweiswert.12 Sicherheitslücken können jedes Glied der Beweiskette zertrennen. Insbesondere das Manipulationsrisiko muss stets im Blick behalten werden. Der so genannte „Bundestrojaner“, der im Strafverfahren bereits eingesetzt wurde, ist diesem Kriterium kaum gerecht geworden. Die Software verfügte erwiesenermaßen über zahlreiche Schwachstellen, mittels derer selbst Dritte Beweismittel hätten manipulieren können.13 18 Auch das Fehlen von Indizien kann Zweifel wecken. Je größer der Schritt, der für einen Induktionsschluss erforderlich ist, desto schwächer werden in der Regel die Erfahrungssätze. Ein extremes Beispiel ist der sogenannte Black-Box-Effekt.14 Werden Hard- und Software eingesetzt, deren Funktionsweise für Dritte nicht nachvollziehbar ist, so kann das Gericht die Herkunft der Daten nicht prüfen. Auf einer solchen Grundlage kann von der Würdigung eines Beweismittels kaum mehr die Rede sein. Es handelt sich um wenig mehr als eine Vertrauenseinschätzung über Hersteller und Anwender der Black Box. Darauf werden sich Gerichte kaum einlassen. Der Block-Box-Effekt veranschaulicht, dass die Nachvollziehbarkeit der forensischen Auswertung eine Voraussetzung für die erfolgreiche Beweisführung mit Daten ist. Sie muss als Kriterium bereits bei der Gestaltung von Technik und Verfahren im Blick behalten werden.15 19 Nachvollziehbarkeit ist als Kriterium für den Beweiswert auch aus einem weiteren Blickwinkel zentral. Grundvoraussetzung der Überprüfbarkeit einer gerichtlichen Entscheidung in der Rechtsmittelinstanz ist die intersubjektive Diskutierbarkeit.16 Auch deshalb hat ein Gericht in seiner Entscheidung die Gründe anzugeben, die für die richterliche Überzeugung leitend waren – einschließlich der zugrunde gelegten (Indiz-) Tatsachen und Erfahrungssätze (vgl. § 286 Abs. 1 Satz 2 ZPO). Kann die Rechtsmittelinstanz die Beweiswürdigung nicht nachvollziehen, ist dies für sich genommen ein Rechtsfehler.17 Weist eine Beweiswürdigung inso-
12 13 14 15 16
Vgl. Heinson, IT-Forensik, S. 146 ff. Siehe hierzu Heinson, IT-Forensik, S. 154 ff. Siehe Heinson, IT-Forensik, S. 163 f. Heinson, IT-Forensik, S. 132 ff. Greger, in: Zöller, ZPO, vor § 286 Rz. 21; Schenke, W.-R., in: Kopp/Schenke, § 108 VwGO, Rz. 11 ff.; Meyer-Goßner, in Meyer-Goßner/Schmitt, § 337 StPO Rz. 26. 17 Greger, in: Zöller, ZPO, vor § 286 Rz. 21; Schenke, W.-R., in: Kopp/Schenke, § 108 VwGO, Rz. 8; Meyer-Goßner, in Meyer-Goßner/Schmitt, § 337 StPO Rz. 27.
114
IT-Forensik und Beweisrecht
weit Lücken auf, bietet dies allen Anlass, eine auf ihr beruhende gerichtliche Entscheidung aufzuheben. II. Strafprozessrecht Die Auswertung von IT-Systemen zur Beweisgewinnung hat auch im 20 Strafverfahren inzwischen einen festen Platz eingenommen. Die Kriminalämter haben Fachabteilungen eingerichtet, die über die erforderlichen technischen Kenntnisse und die entsprechende Hard- und Software verfügen. Auch beauftragen Staatsanwaltschaften externe Gutachter und spezialisierte Unternehmen, die IT-Forensik als Dienstleistung anbieten.18 Mit jeder Ermittlungsmaßnahme, bei der ein IT-System ausgewertet 21 wird, geht ein Grundrechtseingriff einher. Seit der Entscheidung des Bundesverfassungsgerichts zur sogenannten Online-Durchsuchung steht fest, dass jede Infiltration eines IT-Systems am Maßstab des allgemeinen Persönlichkeitsrechts und insbesondere der Menschenwürde gemessen und verfassungsrechtlich gerechtfertigt sein muss.19 Die Rechtswissenschaft ist bis heute uneins darüber, in welchem Konkurrenzverhältnis das Grundrecht auf Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme (IT-Grundrecht) mit dem Recht auf informationelle Selbstbestimmung steht.20 Richtigerweise kann es sich nur um einen Fall der Spezialität handeln. Findet bei einer Untersuchung eine Infiltration statt, geht das IT-Grundrecht vor.21 1. IT-Forensik als Durchsuchungsmaßname Im Strafverfahren dienen die strafprozessualen Ermittlungsnormen zur 22 verfassungsrechtlichen Rechtfertigung. Welche Norm anwendbar ist, richtet sich nach dem jeweiligen Ermittlungsansatz. Im Strafverfahren handelt es sich um eine Durchsuchungsmaßnahme, wenn Ermittler forensisch auf IT-Systeme zugreifen und die darin gespeicherten Datenbestände durchsehen. Das Bundesverfassungsgericht hat anerkannt, dass die generalklauselartig formulierten §§ 102 ff. StPO auch zur Durch-
18 Zur organisatorischen Einbettung s. Heinson, IT-Forensik, S. 66 f. 19 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 = CR 2008, 306. 20 Darstellung bei Heinson, IT-Forensik, S. 87 f. und S. 178 ff. 21 Ausführlich zum Konkurrenzverhältnis s. Heinson, IT-Forensik, S. 84 ff. und S. 178 ff.
115
Dennis Heinson
suchung von Datenbeständen ermächtigen.22 Die Reichweite dieser Ermächtigungen ist enorm. Gleichzeitig sind die verfahrensmäßigen Sicherungen gerade im Vergleich zu den sonstigen Normen der Strafprozessordnung, die informationsbezogene Eingriffe erlauben, allenfalls rudimentär ausgestaltet (vgl. beispielsweise § 101a StPO). 23 Nach Ansicht des Bundesverfassungsgerichts ist es im Wesentlichen Aufgabe der Anordnung der jeweiligen Maßnahme, im Verfahren den Grundrechtsschutz sicherzustellen.23 Dies ist nicht unproblematisch, denn der in § 105 StPO normierte Richtervorbehalt gilt nur fakultativ. Liegt Gefahr im Verzug, so sind auch die Staatsanwaltschaft, und mit einer Ausnahme zusätzlich auch deren Ermittlungspersonen (in der Regel die Polizei), anordnungsbefugt. Das Normgerüst wird deshalb mit Recht kritisiert.24 24 Eine wesentliche Funktion der Anordnung ist, die Eingriffsbefugnisse auf die jeweilige Ermittlungssituation zu konkretisieren, den zulässigen Umfang der Maßnahme zu begrenzen und ihn zu dokumentieren.25 Im Kern muss sie der späteren Durchführung Grenzen setzen, die gewährleisten, dass die Maßnahme die rechtlichen Anforderungen einhält. Die erforderliche Dokumentation erleichtert die Nachprüfung von Rechtsverletzungen.26 Ein Recht auf gerichtliche Prüfung einer nicht-richterlich angeordneten Durchsuchung wird aus § 98 Abs. 2 Satz 2 StPO analog zugestanden.27 Für effektiven Rechtsschutz ist es folglich kaum verzichtbar, dass Durchsuchungsanordnungen schriftlich ergehen. Gesetzlich vorgeschrieben ist es jedoch nicht. 25 Durchsuchungen bei Beschuldigten erlaubt § 102 StPO, bei anderen Personen § 103 StPO. Abzugrenzen hiervon ist die sog. „Durchsicht von Papieren“ nach § 110 StPO, und insbesondere § 110 Abs. 3 StPO über die Durchsicht von elektronischen Speichermedien. Diese Norm enthält keine eigenständigen Eingriffsermächtigungen. Vielmehr erweitert sie die Reichweite der §§ 102 und 103 StPO über das reine „Auffinden“ von möglichen Beweismitteln auf deren Durchsicht.28 Dies umfasst auch die
22 Vgl. BVerfG v. 12.4.2005 – 2 BvR 1027/02, BVerfGE 113, 29, 55 ff. = CR 2005, 777. 23 Siehe bspw. BVerfG, NJW 2007, 1804, 1804 f. 24 Bäcker, Das IT-Grundrecht, 2009, S. 1 ff. 25 BVerfG, NJW 2007, 1804, 1804 f. 26 Vgl. BVerfGE 42, 212, 221; BVerfG, NJW 2007, 1804, 1804 f. 27 Vgl. BVerfG v. 18.3.2009 - 2 BvR 1036/08 Rz. 51. 28 BVerfG v. 18.3.2009 - 2 BvR 1036/08 Rz. 50–54.
116
IT-Forensik und Beweisrecht
sogenannte „Mitnahme zur Durchsicht“, an die jedoch strengere Anforderungen zu stellen sind, da sie in jedem Fall eingriffsvertiefend wirkt.29 Doch wonach richtet sich nun, wie weit eine Durchsuchungsmaßnahme 26 mit den Mitteln der IT-Forensik in Datenbestände hineinreichen darf? Fest steht, dass sie Daten nicht vorbehaltslos erfassen darf. Um sich im sozialen Gefüge entfalten zu können, ist der Einzelne vielfach darauf angewiesen, der von ihm verwendeten Technik persönliche Lebenssachverhalte preiszugeben. Das Leben der Menschen ist mittlerweile derart eng mit der Nutzung von IT-Systemen verwoben, dass jede Auswertung das Potential hat, ins Innerste der Persönlichkeit der Betroffenen einzudringen. Dies würde die Menschenwürde berühren. Der Kernbereich der privaten Lebensgestaltung ist deshalb auf Grundlage von Art. 1 Abs. 1 GG durch eine unverletzliche Grenze vor staatlicher Kenntnisnahme geschützt.30 Eine Durchsuchungsmaßnahme muss Kernbereichsinformationen ausnehmen – nicht nur im Bereich der IT-Forensik.31 Das Bundesverfassungsgericht hat hierzu eine „Reparaturlösung“ gewählt. Erhalten staatliche Stellen im Zuge einer Ermittlungsmaßnahme Kenntnis von Informationen, die den Kernbereich betreffen, sind diese sofort zu löschen.32 Neben dem Kernbereich bestehen auch weitere Bereiche, die von Ermittlungsmaßnahmen ausgenommen sind. So darf etwa nach Daten, die als Berufsgeheimnisse geschützt sind, nicht gesucht werden.33 Durchsuchungsanordnungen werden durch die Verfassung nicht nur der- 27 art klar umreißbare äußere Grenzen gesetzt. Sie müssen auch die durch die Rechtsprechung konkretisierten Mindestanforderungen zur Bestimmtheit des Tatvorwurfs, der Bezeichnung der Beweismittel und der Verhältnismäßigkeit einhalten.34 Auf welche Weise diese Anforderungen zu berücksichtigen sind, kommt auf den Einzelfall an. Im Zentrum der Verhältnismäßigkeitsprüfung steht, ob die Maßnahme sich auf die zur Förderung der konkreten Ermittlung erforderlichen Daten beschränkt und ob der von ihr ausgehende Grundrechtseingriff angemessen bleibt.35
29 Heinson, IT-Forensik, S. 173 f. 30 Siehe hierzu Desoi/Knierim, DÖV 2011, 398 ff. 31 Vgl. BVerfG v. 3.3.2004 – 1 BvR 2378/98, 1 BvR 1084/99, BVerfGE 109, 279, 313 = CR 2004, 343; BVerfGE 124, 43, 70; BVerfG v. 27.7.2005 – 1 BvR 668/04, BVerfGE 113, 348, 391 f. = CR 2005, 796. 32 Vgl. BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274, 339 = CR 2008, 306; BVerfGE 124, 43, 70. 33 Zu diesen „beschlagnahmefreien Gegenständen“ siehe Heinson, IT-Forensik, S. 190 f. 34 Siehe hierzu im Einzelnen Heinson, IT-Forensik, S. 191. 35 BVerfGE 124, 43, 67; BGH v. 24.11.2009 – StB 48/09 (a), NJW 2010, 1297.
117
Dennis Heinson
Je gewichtiger das staatliche Strafverfolgungsinteresse ist, etwa wegen der Schwere des Tatvorwurfs, desto schwerwiegendere Eingriffe lassen sich rechtfertigen.36 2. Beschlagnahme von Datenbeständen 28 Steht fest, dass ein Datenbestand im Verfahren potentielle Beweisbedeutung hat, so kann dieser gemäß den §§ 94 ff. StPO beschlagnahmt werden (vgl. § 94 Abs. 1 StPO).37 Die Begründung dieses förmlichen „amtlichen Gewahrsams“ über den Beweisgegenstand ist nur erforderlich, wenn er nicht freiwillig herausgegeben wird (§ 94 Abs. 2 StPO). Dies kann auch notwendig werden, wenn Dritte sich trotz Aufforderung weigern, Daten herauszugeben. Ein Fall, zu dem auch das Bundesverfassungsgericht entschieden hat, ist die Beschlagnahme von E-Mails beim Anbieter.38 29 Auch bei Beschlagnahmen gilt ein (fakultativer) Richtervorbehalt (§ 98 Abs. 1 StPO). Anders als bei den §§ 102 ff. StPO haben die Betroffenen ein ausdrückliches Recht auf richterliche Kontrolle, falls die Beschlagnahme nicht gerichtlich angeordnet wurde (§ 98 Abs. 2 Satz 2 StPO). Die Rechtmäßigkeitskriterien stimmen zum großen Teil mit denjenigen für Durchsuchungsmaßnahmen überein.39 Hinzu kommt jedoch, dass die Beschlagnahme weit länger andauern kann als eine Durchsuchungsmaßnahme. Die Perpetuierung vertieft den Eingriff und erhöht den Rechtfertigungsbedarf.40 30 Im Bereich der IT-Forensik wirft dies die Frage auf, ob ein Beweisgegenstand nicht bereits während des Verfahrens zurückgegeben werden muss. Denn Daten lassen sich prinzipiell verlustfrei kopieren. Auch mit Kopien kann Beweis angetreten werden. Würde dies den Beweiswert der Daten vor Gericht schwächen, spräche dies gegen eine Rückgabe noch während des Erkenntnisverfahrens. Wann die Rückgabepflicht greift, hängt deshalb letztlich von der technischen und verfahrensmäßigen Gestaltung ab. Existieren beweiswerterhaltende Verfahren, die im jeweiligen Einzelfall verwendet werden können, so entfällt die Beweissicherung als Rechtfertigungsgrund für eine fortgesetzte Beschlagnahme.41
36 BVerfG, NJW 2007, 1804, 1805. 37 Zur Zulässigkeit s. BVerfG v. 12.4.2005 – 2 BvR 1027/02, BVerfGE 113, 29, 50 ff. = CR 2005, 777. 38 BVerfGE 124, 43. 39 Zu den Rechtmäßigkeitskriterien siehe Heinson, IT-Forensik, S. 169 ff. 40 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274, 323 ff. = CR 2008, 306. 41 Siehe hierzu Heinson, IT-Forensik, S. 212 ff.
118
IT-Forensik und Beweisrecht
Durchsuchung und Beschlagnahme sind keine heimlichen Maßnahmen. 31 Sie sind den Betroffenen und den Verfahrensbeteiligten bekannt zu machen (§ 33 Abs. 1 oder Abs. 2, § 35 Abs. 2 StPO). Dies ist höchstrichterlich entschieden.42 Die Rechtsprechung lässt allerdings offen, ob dies bereits für Anordnungen durch die Staatsanwaltschaft oder deren Ermittlungspersonen gilt.43 Die §§ 33 ff. StPO gelten unmittelbar nur für gerichtliche Entscheidungen. 3. Beweisverbote Das Verfahrensrecht und insbesondere das Prozessrecht kennt Verbote, 32 rechtswidrig gewonnene Ermittlungsergebnisse in den Prozess einzubringen. Das Verfahrensziel, die materielle Wahrheit zu finden, muss dann zurückstehen. Wahrheitsfindung „um jeden Preis“ erfolgt nicht.44 Insbesondere wenn Grundrechte verletzt werden, kann daraus ein Verbot 33 der gerichtlichen Verwertung erwachsen. Fehler bei der Sammlung und Auswertung von Daten schlagen dann durch und können zur Beweislosigkeit führen. Die prozessrechtlichen Anforderungen wirken auf diese Weise auf die Beweisgewinnung zurück. Technik und Verfahren müssen deshalb so ausgestaltet sein, dass sie kein Beweisverbot auslösen. Es gibt nur wenige ausdrücklich gesetzlich normierte Beweisverbote, die 34 bei der forensischen Auswertung von IT-Systemen einschlägig sind. Relevant sind vor allem Verwertungsverbote, die aus der Verfassung abgeleitet werden. Wann sie greifen, hat die Rechtsprechung konkretisiert. Es herrscht die sogenannte Abwägungslehre. Die Rechtsprechung ist dabei traditionell zurückhaltend. Sie hält die Verwertung von einmal erhaltenen Erkenntnissen im Grunde für gerechtfertigt.45 Der Ausnahmecharakter von Beweisverwertungsverboten wird im We- 35 sentlichen mit einem Vorrang der Funktionsfähigkeit der Strafrechtspflege begründet.46 Nur unter besonderen Umständen ist ein Verwertungsverbot ausnahmsweise gerechtfertigt, etwa „bei schwerwiegenden, bewussten oder willkürlichen Verfahrensverstößen, in denen die Be-
42 BGH v. 24.11.2009 – StB 48/09 (a), NJW 2010, 1297, 1298; BGH, NStZ 2015, 704, 705. 43 Vgl. Heinson, IT-Forensik, S. 227 ff. 44 BGHSt 14, 358, 365. 45 BVerfG v. 2.7.2009 – 2 BvR 2225/08, NJW 2009, 3225; BGHSt 44, 243, 249; BGHSt 51, 285, 289 f. 46 BGHSt 44, 243, 249; BGHSt 51, 285, 290.
119
Dennis Heinson
schränkung auf den Ermittlungszweck der Datenträgerbeschlagnahme planmäßig oder systematisch außer Acht gelassen wird.“47 36 Bei Willkür zieht demnach auch die Rechtsprechung eine Grenze. Setzen sich Ermittlungsbeamte über die Voraussetzungen der Ermächtigungsgrundlagen hinweg, gerade so, als würden diese gar nicht bestehen, so folgt ein prozessuales Verwertungsverbot.48 Bei der Gestaltung von Technik und Verfahren im Rahmen eines Entwicklungsprojekts mit einer Vielzahl von Beteiligten (etwa der Konzeption eines neuen „Bundestrojaners“) dürfte die Rechtsprechung bei Verfassungsverletzungen die Willkürschwelle deutlich geringer ansetzen als bei Entscheidungen, die Ermittler „im Eifer des Gefechts“ treffen müssen (beispielsweise bei der Sicherung von Daten im Rahmen einer Wohnungsdurchsuchung durch die Ermittlungsbeamten, die irrtümlich den Beweisverlust fürchten, wenn sie einen Personal Computer herunterfahren und mitnehmen). 37 Unter dem Strich lässt die Rechtsprechung jedoch kaum eine klare Linie erkennen. Das Bundesverfassungsgericht konstatiert: „[F]este verfassungsrechtliche Maßstäbe für die Frage, ob und unter welchen Voraussetzungen von Verfassungs wegen ein Beweisverbot im Strafverfahren in Betracht kommt, [existieren] in der verfassungsgerichtlichen Rechtsprechung noch nicht [...].“49 38 Für die IT-Forensik bedeutet dies, dass sich allenfalls Leitlinien aufstellen lassen. Abgesehen davon, dass Technik und Verfahren ohnehin so zu gestalten sind, dass sie die rechtlichen Anforderungen erfüllen, sollte im Zweifel die grundrechtsschonende Gestaltungsalternative bevorzugt werden. Insbesondere sind Vorkehrungen zu treffen, die verhindern, dass Daten aus dem Kernbereich der privaten Lebensgestaltung oder solche, für die ein Beschlagnahmeverbot besteht, erfasst werden. III. Interne Ermittlungen 39 Die Aufklärung von Sachverhalten mit dem Ziel, gerichtsfeste Erkenntnisse zu beschaffen, findet nicht nur im Strafverfahren statt. Gerade große Unternehmen sind häufig darauf angewiesen, innerhalb ihrer Organisation Informationen zusammenzutragen und zu einem schlüssigen Bild von Geschehensabläufen zusammensetzen zu lassen. Die Anlässe sind vielfältig. Häufige und prominente Beispiele sind Korruptionsfälle,
47 BVerfG v. 12.4.2005 – 2 BvR 1027/02, BVerfGE 113, 29, 61 = CR 2005, 777. 48 BVerfG v. 2.7.2009 – 2 BvR 2225/08, NJW 2009, 3225, 3226 m. w. N. 49 BVerfG NStZ 2000, 489, 490.
120
IT-Forensik und Beweisrecht
die Aufklärung von Management-Fehlern, um Manager (oder deren Versicherung) ggf. in Haftung nehmen zu können, oder Audits zu Compliance-Zwecken, etwa im Bereich des Kreditwesens. Gerade in Fällen, in denen persönliches Fehlverhalten in Frage steht, muss immer die Möglichkeit der späteren Verwertung vor dem Arbeitsgericht, beispielsweise in einem Kündigungsschutzverfahren, im Blick behalten werden. Anders als im Strafverfahren benötigen „private“ Ermittler keine Er- 40 mächtigungsnormen, um tätig zu werden. Zwischen Privatrechtssubjekten ist erst einmal alles erlaubt, was nicht verboten ist.50 Für interne Ermittlung stellt sich deshalb in erster Linie die Frage nach den Grenzen, die die Rechtsordnung den Ermittlern stellt. Diese sind vielfältig und finden sich – je nach Kontext der Ermittlungen – in unterschiedlichen Gesetzen. Hinzu kommt, dass im Einzelnen vieles umstritten ist. 1. Anforderungen des Datenschutzrechts Dies betrifft im besonderen Maße das Datenschutzrecht. Unbestritten 41 ist, dass bei Ermittlungen mit IT-Forensik personenbezogene Daten verarbeitet werden können. Doch bereits die Frage nach dem anwendbaren Recht ist unklar.51 Beispielsweise gehen Betriebsvereinbarungen den allgemeinen Regelungen des Bundesdatenschutzgesetzes vor, soweit sie interne Ermittlungen regeln. Betriebsvereinbarungen gehen allerdings über die Rechtsverhältnisse von Betriebsangehörigen nicht hinaus. In ITSystemen sind jedoch in aller Regel auch Daten über Dritte gespeichert, die nicht betriebsangehörig sind, etwa E-Mail-Absender oder -Empfänger. Auch ihnen gegenüber müssen die Ermittlungshandlungen datenschutzrechtlich gerechtfertigt sein. Nach welcher (datenschutzrechtlichen) Norm sich die Rechtmäßigkeit im 42 Einzelnen richtet, entscheidet der Zweck des Datenumgangs, in diesem Fall folglich der Zweck der Ermittlungsmaßnahme. Bis die DatenschutzGrundverordnung in Kraft tritt, regelt gegenüber den Beschäftigten § 32 BDSG die Anforderungen. Zu unterscheiden ist zwischen dem Umgang mit Daten zur Aufdeckung von Straftaten und sonstigen Ermittlungsmaßnahmen. Im ersteren Fall müssen zusätzliche Tatbestandsmerkmale erfüllt sein. Zudem wird eine Güterabwägung angeordnet (§ 32 Abs. 1 Satz 2 BDSG). Die Subsumtion unter den Tatbestand ist schwierig, da die Auslegung seiner Merkmale unklar ist. Bestimmt sich beispielsweise der Zweck objektiv, d. h. ist die Norm bereits anwendbar, wenn eine Ermittlungs50 Dies ist für interne Ermittlungen nicht unumstritten, s. hierzu Heinson, ITForensik, S. 275 f. 51 Zu den Abgrenzungsfragen s. Heinson, IT-Forensik, S. 294 ff.
121
Dennis Heinson
maßnahme geeignet ist, strafbares Verhalten aufzudecken? Oder kommt es auf die „Widmung“ durch die verantwortliche Stelle, d. h. deren subjektive Bestimmung des Zwecks der Maßnahme an? Sollte Letzteres der Fall sein, besteht Missbrauchspotenzial. 43 Auch die Normenkonkurrenz zwischen der Erlaubnis in § 32 Abs. 1 Satz 2 und derjenigen in § 32 Abs. 1 Satz 1 BDSG ist nicht geklärt. Ist § 32 Abs. 1 Satz 2 BDSG abschließend? Lassen sich Ermittlungen, die nicht „zur Aufdeckung“ von Straftaten dienen, über § 32 Abs. 1 Satz 1 BDSG rechtfertigen?52 Wenn Letzteres der Fall ist, müssen für derartige Ermittlungen aber noch strengere Anforderungen gelten, als § 32 Abs. 1 Satz 2 BDSG normiert. Denn es wäre widersprüchlich, bei geringfügigen Anlässen ein geringeres Datenschutzniveau anzusetzen als bei der Aufdeckung von gravierenden Verstößen, wie etwa Straftaten. 2. Datenabgleiche 44 Ein besonderer Ermittlungsansatz, der von Unternehmen unter anderem zur Aufdeckung von Korruptionsfällen eingesetzt wird, ist der sogenannte Datenabgleich.53 Im Grunde genommen handelt es sich lediglich um Vorermittlungen, da sich an sogenannte Trefferfälle erst noch konkretere, auf Einzelfälle bezogene Ermittlungen anschließen.54 Datenabgleiche sind deshalb nur im weiteren Sinne forensisch. Gleichwohl sind die eingesetzten Verfahren durchaus wissenschaftlich. Beispielsweise wird mit dem Benfordschen Gesetz gearbeitet.55 45 Praktisch gesehen handelt es sich bei Datenabgleichen um Rasterfahndung im Betrieb (vgl. § 98a StPO).56 Gerade in Enterprise Resource Planning-Systemen (ERP-Systemen) finden sich große Datenbestände, die sich automatisiert auswerten lassen. Gesucht wird nach Korrelationen, die als Indikatoren für persönliches Fehlverhalten dienen.57 Ein einfacher Fall ist beispielsweise, wenn das Gehaltskonto eines Mitarbeiters mit dem Konto eines Lieferanten übereinstimmt. Dies kann ein Indikator für einen missbräuchlichen Zahlungsfluss (z. B. eine Kickback-Zahlung) sein.
52 53 54 55 56
Darstellung zum Meinungsstand bei Heinson/Schmidt, CR 2010, 544 f. Heinson, BB 2010, 3084. Zu einer Beschreibung s. Heinson, IT-Forensik, S. 287. Winter/Schneider/Yannikos, S. 129. Die Rasterfahndung wird auf Grundlage von polizei- und ordnungsrechtlichen Vorschriften der Länder auch zur Gefahrenabwehr eingesetzt. 57 Heinson, IT-Forensik, S. 281 f.
122
IT-Forensik und Beweisrecht
Der Erkenntniswert einer solchen Korrelation ist, wie gesagt, gering. Dies 46 schließt aber nicht aus, dass derartige Informationen vor Gericht verwertet werden, als Indiz mit entsprechend geringem Beweiswert. War ein Datenabgleich rechtswidrig, stellt sich erneut die Frage nach einem Verwertungsverbot, und insbesondere nach der Fernwirkung der Rechtswidrigkeit. Durch die Verletzung des Datenschutzrechts bei der Beschaffung der Anknüpfungstatsachen beruht die weitere Ermittlung einschließlich der hervorgebrachten Beweismittel auf einer Persönlichkeitsverletzung. Die gerichtliche Verwertung greift erneut in das Persönlichkeitsrecht ein. Auch das Zivilprozessrecht kennt das Verbot der Verwertung von persönlichkeitsverletzenden Beweismitteln. Die Rechtsprechung weitet dies teilweise sogar auf ein Verbot zur Verwertung von Sachvortrag aus.58 Eine Fernwirkung von Beweisverwertungsverboten ist im deutschen 47 Prozessrecht grundsätzlich nicht anerkannt. Eine „fruit of the poisonous tree“-Doktrin, wonach eine rechtswidrig erlangte Spur (der Baum) ein Verwertungsverbot für alle weiteren aus ihr hervorgegangenen Erkenntnisse (die Früchte) hervorruft (vergiftet), gilt im Grunde nicht.59 Die Dogmatik der zivilrechtlichen Verwertungsverbote ist jedoch strenger als diejenige des Strafprozessrechts. Das Ziel der Wahrheitsfindung tritt unter deutlich geringeren Anforderungen hinter das Persönlichkeitsrecht der Betroffenen zurück. Das „schlichte“ Beweisinteresse einer Partei reicht nicht aus, um Persönlichkeitsverletzungen zu rechtfertigen.60 Das Risiko der Beweislosigkeit einer Partei wird dann hingenommen. Die rechtlichen Anforderungen an Datenabgleiche sind streng. Im Wege 48 der grundrechtlichen Drittwirkung sind sie in der Regel letztlich am Recht der informationellen Selbstbestimmung zu messen.61 Datenabgleiche entfalten eine große Streubreite, da viele Personen betroffen sind.62 Sie erfolgen mehr oder weniger anlasslos und ins Blaue hinein, da Verdachtsfälle ja gerade erst ermittelt werden sollen.63 Gestaltungsvorschläge mit Pseudonymisierungs- und Anonymisierungslösungen erweisen sich häufig als Umgehungsversuche, die die Eingriffstiefe kaum senken. Denn bereits denklogisch bezieht der Abgleich jede Person in die Maßnahme ein, gegen die am Ende auch ein personenbezogener Verdacht möglich ist.64 Dem kann begegnet werden, indem das Verfahren so 58 59 60 61 62 63 64
BAG v. 13.12.2007 – 2 AZR 537/06, NZA 2008, 1008, 1010 f. BGHSt 27, 355, 358. BVerfG v. 9.10.2002 – 1 BvR 1611/96, 1 BvR 805/98, NJW 2002, 3619, 3624. Heinson, BB 2010, 3084, 3085 f. Zur Eingriffsvertiefung s. Heinson, IT-Forensik, S. 342. Zum Anlasserfordernis s. Heinson, IT-Forensik, S. 337 ff. Heinson, IT-Forensik, S. 350 ff.
123
Dennis Heinson
gestaltet wird, dass Treffer sich nur auf Personengruppen, nicht aber auf Einzelne beziehen können.65 49 Zusammenfassend lässt sich nur festhalten, dass die konkreten Anforderungen des Datenschutzrechts an interne Ermittlungen unklar sind. Es herrscht nur wenig Rechtssicherheit. Gerade in Bereichen mit Konfliktpotenzial, wie der Auswertung von persönlich genutzten IT-Systemen, ist dies für Ermittler eine unbefriedigende Situation. 3. Rezeption der Rechtsprechung des Bundesverfassungsgerichts 50 Eine Orientierung kann die Rechtsprechung bieten. Namentlich das Bundesarbeitsgericht hat zu mehreren Fallgruppen, etwa der betrieblichen Videoüberwachungen, Kriterien aufgestellt,66 die nach dem Willen des Gesetzgebers bei der Anwendung der datenschutzrechtlichen Erlaubnisnormen gelten.67 Zwar liegen keine Entscheidungen speziell zu Fragen der IT-Forensik vor. Jedoch lassen die Entscheidungen des Gerichts erkennen, dass es die Rechtsprechung des Bundesverfassungsgerichts zu staatlichen Maßnahmen rezipiert. Insbesondere übernimmt es dessen Kriterien zur Bestimmung der Eingriffstiefe in das Persönlichkeitsrecht und verwendet diese jeweils angepasst an die Situation im Betrieb.68 51 Diese Vorgehensweise ist folgerichtig, denn Abwägungsklauseln und unbestimmten Rechtsbegriffe im Datenschutzrecht bilden ein Einfallstor für die Drittwirkung der Grundrechte. Die Vorgehensweise ist gleichzeitig verallgemeinerbar, denn prinzipiell enthalten sämtliche einschlägige Erlaubnisnormen des Datenschutzrechts derartige Tatbestandsmerkmale. Auch im Bereich des Betriebsverfassungsrechts gilt Entsprechendes, wie bereits ein Blick auf § 75 Abs. 2 BetrVG zeigt. 52 Auf die IT-Forensik angewendet heißt dies, dass die Ermittler sich im Kern an die Vorgaben für informationsbezogene Grundrechtseingriffe halten müssen. Auch hierbei ist anhand der Schutzbereiche zu unterscheiden, ob die Maßstäbe des Telekommunikationsgeheimnisses, des IT-Grundrechts oder des Rechts auf informationelle Selbstbestimmung anzulegen sind. Der Inhalt der jeweiligen Angemessenheitsprüfung und
65 Zum Anonymitätskriterium s. Heinson, IT-Forensik, S. 343 f. 66 Siehe z. B. BAG v. 27.3.2003 – 2 AZR 51/02, NZA 2003, 1193 = MDR 2004, 39; BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 = MDR 2005, 152; BAG, NZA 2005, 839; BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 = MDR 2008, 1401. 67 BT-Drs. 16/13657, 21. 68 Heinson, IT-Forensik, S. 332 ff.
124
IT-Forensik und Beweisrecht
deren Ausgang sind jedoch anders als bei staatlichen Eingriffen. Denn ein Arbeitgeber kann sich, anders als der Staat, im Einzelfall selbst auf Grundrechte berufen, etwa aus Art. 12 und Art. 14 GG.69 Auch sind die teilweise unmittelbar aus der Verfassung abgeleiteten verfahrensmäßigen Sicherungen, wie der Richtervorbehalt, nicht unmittelbar übertragbar. 4. Rechtmäßigkeitskriterien Im Schutzbereich des Rechts auf informationelle Selbstbestimmung sind 53 wesentliche Rechtmäßigkeitskriterien etwa:70 a) Ermittlungsanlass Je konkreter der Verdacht und je gravierender die mögliche Rechtsgutbe- 54 einträchtigung, desto weiter reichen die Eingriffsbefugnisse. Ermittlungen „ins Blaue hinein“ sind unzulässig. Im Anwendungsbereich von § 32 BDSG ist der Umgang mit personenbezogenen Daten zu Ermittlungszwecken nur bei tatsächliche Anhaltspunkten für eine Straftat zulässig. Dies gibt § 32 Abs. 1 Satz 2 BDSG vor. „Kriminalistische Erfahrung“ oder die abstrakte Erkenntnis, dass in Unternehmen häufig Wirtschaftsstraftaten begangen werden, reichen hierfür nicht aus. b) Wahl des Ermittlungsansatzes Die jeweilige Maßnahme muss sich im Rahmen des Ermittlungszwecks 55 (dem Ermittlungsanlass) bewegen. Das Mittel muss gemessen am Zweck angemessen sein. Insbesondere flächendeckende Maßnahmen kommen folglich nur bei gravierenden Anlässen in Betracht. „Schüsse mit Kanonen auf Spatzen“ sind unzulässig. c) Eingriffsschwellen Es kann die Intensität des Eingriffs senken, wenn institutionalisierte und 56 unabhängige Kontrollmechanismen eingerichtet sind, die über das „Ob“ einer Maßnahme mitentscheiden. Dies ist analog der verfahrensmäßigen Sicherungen im Strafprozessrecht zu sehen, zu denen der Richtervorbehalt zählt. Im Betrieb können als solche etwa der Beauftragte für den Datenschutz und der Betriebsrat fungieren.
69 Heinson, IT-Forensik, S. 334 f. 70 Ausführliche Darstellung bei Heinson, IT-Forensik, S. 332.
125
Dennis Heinson
d) Streubreite 57 Nicht nur die Zahl der Betroffenen, sondern auch deren persönliche oder sachliche Nähe zu dem Ermittlungszweck sind ein Rechtmäßigkeitskriterium. Werden gänzlich unbeteiligte Dritte Gegenstand einer Maßnahme, ist dies schwieriger zu rechtfertigen, als wenn sie beispielsweise die in einem sicherheitskritischen Bereich Beschäftigten erfasst. e) Erforderlichkeit und Datensparsamkeit 58 Während jeden Schritts einer Ermittlung darf nur mit denjenigen Daten umgegangen werden, die für diesen Zweck auch erforderlich sind. Stellt sich während der Auswertung heraus, dass ein gewisser Datenbestand keine (Beweis-)Relevanz haben kann, so darf er nicht weiter verwendet werden. Kopien sind zu löschen.71 f) Intensität der Grundrechtsbeeinträchtigung 59 Die Intensität der Grundrechtsbeeinträchtigung für den Einzelnen hängt unter anderem davon ab, inwieweit er gegenüber den Ermittlern anonym bleibt, welche Nachteile ihm durch die Ermittlung drohen oder er dadurch befürchtet, wie lange eine Maßnahme dauert und welcher Art die persönlichen Informationen sind, die von der Maßnahme erfasst werden. Auch die Transparenz der Ermittlung entscheidet über die Intensität der Beeinträchtigung. Heimliche Maßnahmen sind deutlich schwieriger zur rechtfertigen, als solche, deren Gegenstand und Durchführung den Betroffenen bekannt sind. Eine nachträgliche Bekanntgabe mildert die Eingriffsintensität ab. IV. Strafbarkeitsrisiken 60 Die Tätigkeit der Ermittler, die ein IT-System mit forensischen Mitteln auswerten, kann den objektiven Tatbestand von Strafgesetzen verletzen. So kann beispielsweise der Zugang zu Daten durch Überwindung einer Zugangssicherung strafbewehrt sein (§ 202a StGB). Genau dies findet aber statt, wenn Ermittler eine Passwortsicherung umgehen, um auf den in einem IT-System gespeicherten Datenbestand zugreifen zu können. Ermittlungspersonen sind damit prinzipiell einem Strafbarkeitsrisiko ausgesetzt. Einschlägig können beispielsweise auch § 303a StGB oder Straftatbestände aus den §§ 43 f. BDSG sein. Da das Strafrecht nicht be-
71 Vgl. zum Strafverfahren oben II. 3.
126
IT-Forensik und Beweisrecht
zweckt, legitime Ermittlungen zu verhindern, stellt sich die Frage nach der Reichweite und Abgrenzung der einschlägigen Strafnormen. 1. Ermittlungen im Strafverfahren Klar ist, dass Straftaten im Amt möglich sind. Das zeigt schon der Um- 61 stand, dass es Amtsdelikte gibt. Erfüllt eine Amtshandlung, die auf Grundlage einer strafprozessualen Ermächtigungsnorm erfolgt, die Tatbestandsvoraussetzungen einer Strafnorm, so ist sie in der Regel im strafrechtlichen Sinne gerechtfertigt.72 Aus diesem Grunde machen sich beispielsweise die Ermittlungspersonen der Staatsanwaltschaft, die im Rahmen einer richterlichen Anordnung gem. den §§ 102 ff. StPO eine Hausdurchsuchung durchführen, nicht wegen Hausfriedensbruchs (§ 123 StGB) strafbar. Doch was geschieht, wenn eine Handlung einer Ermittlungsperson die 62 Grenzen der Ermächtigungsnorm überschreitet? Die häufig auslegungsbedürftigen Tatbestandsvoraussetzungen und auch das eingeräumte Ermessen können – gerade in einer konkreten Ermittlungssituation – eine Einschätzung im Einzelfall schwierig machen. Zusätzlich hängt die Rechtmäßigkeit der (dem Staat zuzurechnenden) Maßnahme von ihrer Verhältnismäßigkeit ab. Insbesondere da sich die konkreten Anforderungen regelmäßig erst im Lichte umfangreicher Rechtsprechung bestimmen lassen, besteht für die Ermittlungspersonen insoweit nur wenig Rechtssicherheit. Bei jedem Verlassen der Grenze der Ermächtigung eine persönliche 63 Haftung anzunehmen, würde den Schutzzweck des jeweiligen Straftatbestands überschreiten. Dies ist auch nicht der Fall. Denn subjektive Rechtfertigungselemente, namentlich Erlaubnis- und Erlaubnistatbestandsirrtum, erweitern den Umfang der Rechtfertigungsmöglichkeit.73 Dogmatisch sind die damit zusammenhängenden Rechtsfragen bislang wenig geklärt, insbesondere für den Fall informationsbezogener Ermittlungsansätze wie der IT-Forensik. Festhalten lässt sich aber, dass nicht nur die Anordnung, sondern auch 64 der Vollzug eines jeden staatlichen Akts verhältnismäßig sein muss.74 Die Rechtsprechung erlegt deshalb Amtsträgern die Pflicht auf, bei der Ausübung ihrer Hoheitsbefugnisse eine Verhältnismäßigkeitsprüfung
72 Heinson, IT-Forensik, S. 376. 73 Heinson, IT-Forensik, S. 376. 74 Vgl. BVerfGE 19, 342, 347 f.
127
Dennis Heinson
durchzuführen.75 Für den Fall des Schusswaffengebrauchs hat der Bundesgerichtshof die strafrechtliche Rechtfertigung durch eine Ermächtigungsnorm davon abhängig gemacht, ob der Beamte im Einzelfall den Verhältnismäßigkeitsgrundsatz ermessensfehlerfrei berücksichtigt hat.76 In der gleichen Entscheidung geht der Bundesgerichtshof aber auch davon aus, dass zugunsten des angeklagten Beamten nicht zu widerlegen sei, dass er sich einen Sachverhalt vorstellte, der den Schusswaffengebrauch gerechtfertigt hätte.77 Die rechtfertigende Wirkung des Erlaubnistatbestandsirrtums gilt also auch insoweit. 2. Betriebliche Ermittler 65 Betriebliche Ermittler haben nicht das Privileg, ihre Handlungen durch die Strafprozessordnung rechtfertigen zu können. Für sie gelten die allgemeinen Grundsätze. Ist ein Straftatbestand erfüllt, kommt zur Rechtfertigung etwa eine Einwilligung in Betracht. Sehr problematisch ist insoweit, wer zur Disposition über das jeweils geschützte Rechtsgut befugt ist. Gerade im Bereich des Ausspähens von Daten (§ 202a StGB) und der Datenveränderung (§ 303a StGB) ist umstritten, was, wen und wovor die Normen eigentlich schützen sollen. Die normative Unklarheit erreicht einen Grad, der unter rechtsstaatlichen Gesichtspunkten im Bereich des materiellen Strafrechts kaum hinnehmbar ist.78 66 Auf „private“ Ermittler wirkt sich die Unklarheit unmittelbar aus. Denn es ist beispielsweise nicht sicher, ob ein Arbeitgeber im Sinne des § 202a StGB in die Analyse eines IT-Systems einwilligen kann, das ein Beschäftigter auch zu privaten Zwecken nutzt.79 Unter anderem vor diesem Hintergrund besteht für interne Ermittler nur wenig Rechtssicherheit. Dadurch sind sie angehalten, die Herrschaft über eine Ermittlung im Zweifel frühzeitig an die Staatsanwaltschaft abzugeben. V. Zusammenfassung 67 Rechtlich betrachtet handelt es sich bei der IT-Forensik um eine Querschnittsmaterie, deren Anforderungen nicht nur einem breit gefächerten Spektrum an Rechtsquellen entstammen, sondern die auch stets 75 Vgl. BGH v. 26.10.1988 – 3 StR 198/88, BGHSt 35, 379, 383, 387 = MDR 1989, 373; BGH v. 25.3.1993 – 5 StR 418/92, BGHSt 39, 168, 184 f. = MDR 1993, 554. 76 BGH v. 26.10.1988 – 3 StR 198/88, BGHSt 35, 379, 387 = MDR 1989, 373. 77 BGH v. 26.10.1988 – 3 StR 198/88, BGHSt 35, 379, 388 f. = MDR 1989, 373. 78 Heinson, IT-Forensik, S. 384 ff. und S. 391 ff. 79 Heinson, IT-Forensik, S. 388 f.
128
IT-Forensik und Beweisrecht
im Licht der sich ständig fortentwickelnden Technik betrachtet werden muss. Der Beweiswert lässt sich anhand von benennbaren Kriterien stärken. Im Mittelpunkt stehen die Erfahrungssätze der forensischen Wissenschaften. Ausgangspunkt zur Bestimmung der Rechtmäßigkeit einer forensischen 68 Auswertung ist ihr Verwendungskontext. Im Strafverfahren setzen vor allem die Grundrechte Grenzen. Ist eine Ermittlungsmaßnahme rechtswidrig, kann daraus ein Verwertungsverbot folgen. Im Fall von betriebsinternen Ermittlungen wird die Zulässigkeit vor al- 69 lem durch das Datenschutzrecht eingeschränkt. Fast jede Analyse eines IT-Systems, die IT-Forensik einsetzt, bezieht personenbezogene Daten mit ein. Bei der Bestimmung der konkreten Anforderungen besteht nur wenig Rechtssicherheit. Die verfassungsgerichtliche Rechtsprechung kann Anhaltspunkte liefern. Es kann strafbar sein, IT-Systeme forensisch auszuwerten. Das materiel- 70 le Strafrecht kann die Ermittlungspersonen persönlich haftbar machen. Denn die forensische Auswertung eines IT-Systems kann erfordern, Zugangssicherungen zu überwinden und auf geschützte Daten zuzugreifen. Unter welchen Umständen ein solches „Hacking“ gerechtfertigt und damit nicht strafbar ist, ist insbesondere im Bereich von betriebsinternen Ermittlungen dogmatisch bislang weitgehend ungeklärt.
129
Die Vertragsgestaltung in der Industrie 4.0 Claudio G. Chirco* I. Einführung: Überblick Industrie 4.0 II. Praxisbeispiel: Intelligente Ausgabeautomaten III. Schwerpunkte in der anwaltlichen Beratung 1. Rechtliche Schwerpunkte bei der Industrie 4.0 a) Schutz von Unternehmensdaten b) Verwertung von Unternehmensdaten c) Umgang mit personenbezogenen Daten
d) Haftung und Beweislast e) Abnahme f) Daten- und Systemmigration 2. Neue Möglichkeiten der Vertragsgestaltung am Beispiel des Vertriebs Intelligenter Ausgabeautomaten a) Grenzen der Vertragsgestaltung b) Bestimmung der Vertragsnatur c) Vertragliche Regelung des Vertragszwecks IV. Ausblick
Literaturübersicht: Arbeitskreis Industrie 4.0, Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0 – Abschlussbericht des Arbeitskreises Industrie 4.0, Hrsg.: Promotorengruppe Kommunikation der Forschungsunion Wirtschaft – Wissenschaft Frankfurt a. M. 2013; Bräutigam, Peter/Klindt, Thomas, Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, S. 1137–1142; Datta, Shoumen, The Next Tsunami – An incomplete exploratory Tutorial, http://www.iiconsortium.org/TNT_508.pdf (zuletzt abgerufen am 10.7.2015); Dorner, Michael, Big Data und „Dateneigentum“, CR 2014, S. 617–628; Gilart-Iglesias, Virgilio/MaciáPérez, Francisco/Marcos-Jorquera, Diego/Mora-Gimeno, Francisco Jose, Industrial Machines as a Service: Modelling industrial machinery processes“, University of Alicante, Conference: Industrial Informatics, 2007 5th IEEE International Conference on, Volume: 2 http://citeseerx.ist.psu.edu/viewdoc/download?doi= 10.1.1.100.1867&rep=rep1&type=pdf (zuletzt abgerufen am 10.7.2015); Hoeren, Thomas, Dateneigentum – Versuch einer Anwendung von § 303a StGB im Zivilrecht, MMR 2013, S. 486–491; Hofmann, Kai, Zum Schutz der informationellen Selbstbestimmung von Unternehmen in „intelligenten“ Netzwerken, JurPC JurPC Web-Dok. 158/2015 – DOI 10.7328/jurpcb20153010153 http://www.jurpc. de/jurpc/show?id=20150158 (zuletzt abgerufen am 10.10.2015); Hübner, Axel, Siemens und Deutsch Telekom schmieden Allianz, Handelsblatt (Onlineausgabe), *
Dr. Claudio Chirco ist Fachanwalt für Informationstechnologierecht und Rechtsanwalt bei BEITEN BURKHARDT in Düsseldorf, claudio.chirco@ bblaw.com
131
Claudio G. Chirco vom 26.10.2014, http://www.handelsblatt.com/unternehmen/it-medien/digitales-buendnis-siemens-und-deutsche-telekom-schmieden-allianz/10892480.html (zuletzt abgerufen am 10.7.2015); Kirn, Stefan/Müller-Hengstenberg, Claus D., Technische und rechtliche Betrachtung zur Autonomie kooperativ-intelligenter Softwareagenten, Künstliche Intelligenz 2015, 29, S. 59 – 74; Kirn, Stefan/MüllerHengstenberg, Claus D., Intelligente (Software-)Agenten: Von der Automatisierung zur Autonomie? Verselbständigung technischer Systeme, MMR 2014, S. 225– 232; Kirn, Stefan/Müller-Hengstenberg, Claus D., Intelligente (Software-)Agenten: Eine neue Herausforderung unseres Rechtssystems – Rechtliche Konsequenzen der „Verselbständigung“ technischer Systeme, MMR 2014, S. 307–313; Kraus, Michael, Telematik – Wem gehören Fahrzeugdaten? DSRI-Tagungsband 2014, S. 377–390; Lukas, Uwe Freiherr von/Stork, André/Behr, Johannes, Industrie 4.0 – Evolution statt Revolution, wt Werkstattstechnik online, Jahrgang 104 (2014), S. 255–257; http://www.werkstattstechnik.de/libary/news/2014/04/255_78143. pdf (zuletzt abgerufen am 10.7.2015); Mühlich, Regina, Datenschutz und Industrie 4.0 – eine sensible Annäherung ist notwendig, ZD 2014, S. 381–382; Peschel, Christopher/Rockstroh, Sebastian, Chancen und Risiken neuer Daten-basierter Dienste für die Industrie, DSRITB 2014, S. 309–325; Peschel, Christopher/Rockstroh, Sebastian, Big Data in der Industrie – Chancen und Risiken neuer datenbasierter Dienste, MMR 2014, S. 571–576; Plattform Industrie 4.0, Umsetzungsstrategie Industrie 4.0, Hrsg.: BITKOM e. V./VDMA e. V./ZVEI e. V., Berlin, April 2015, https://www.bitkom.org/Publikationen/2015/Leitfaden/Umsetzungsstrategie-Industrie-4.0/150410_Umsetzungsstrategie_0.pdf (zuletzt abgerufen am 10.7.2015); Scholz, Jochen, Mögliche vertragliche Gestaltungen zur Weitergabe von Software nach „UsedSoft II“, GRUR 2015, S. 142–149; Solmecke, Christian/Vondrlik, Simon-Elias, Rechtliche Probleme bei Produkten mit serverbasierten Zusatzdiensten. Was passiert, „wenn der Kühlschrank keine Einkaufsliste mehr schreibt...“, MMR 2013, S. 755–760; Taeger, Jürgen (Hrsg.), Internet der Dinge – Digitalisierung von Wirtschaft und Gesellschaft, Tagungsband Herbstakademie 2015, Edewecht 2015; Vaske, Heinrich, US-Hersteller organisieren sich für den Wachstumsmarkt Industrie 4.0, computerwoche vom 28.3.2014, http://www.computerwoche.de/a/ us-hersteller-organisieren-sich-fuer-den-wachstumsmarkt-industrie-4-0,2556956 (zuletzt abgerufen am 10.7.2015).
1 Hintergrund dieses Aufsatzes sind zwei Vorträge mit dem Titel „INDUSTRIE 4.0 IN DER PRAXIS – DIE AUSWIRKUNGEN DER VERNETZUNG VON WERTSCHÖPFUNGS-KETTEN AUF DIE ANWALTLICHE BERATUNG“, die der Autor auf der Herbstakademie 2015 der Deutschen Stiftung für Recht und Informatik (DSRI) im September 2015 in Göttingen sowie auf der Jahrestagung der Deutschen Gesellschaft für Recht und Informatik im November 2015 in Stuttgart gehalten hat. 2 Nach einer Einführung in die Thematik „Industrie 4.0“ wird anhand eines ausgewählten Beispiels aus der Beratungspraxis dargestellt, wie sich das Spektrum an Rechtsfragen, die bei der Implementierung und vertraglichen Regelung vernetzter Produktionssysteme zu beachten 132
Vertragsgestaltung in der Industrie 4.0
sind, vergrößert hat, diese Komplexität jedoch nicht nur Probleme aufwirft, sondern auch zu erweiterten Möglichkeiten bei der Vertragsgestaltung führen kann. Dabei stehen insbesondere die Themen Datenschutz und -sicherheit sowie Haftung im Bereich der Industrie 4.0-Technologien im Mittelpunkt. Abschließend soll ein kurzer Ausblick auf die zukünftigen Auswirkungen dieses technologischen Wandels auf die anwaltliche Beratung gewagt werden. I. Einführung: Überblick Industrie 4.01 Während im Jahr 2012 die „Industrie 4.0“ im Aktionsplan zur „High- 3 tech-Strategie 2020“ der Bundesregierung noch als ein reines „Zukunftsprojekt“ individualisiert wurde,2 hat der Wandel heute bereits begonnen.3 Die Wortschöpfung Industrie 4.0 soll dabei zum Ausdruck bringen, dass 4 nach den vorherigen drei industriellen Revolutionen durch Mechanisierung, Elektrifizierung und schlussendlich der Digitalisierung nunmehr die vierte Revolution ansteht, mit dem die Industrieproduktion durch moderne Informations- und Kommunikationstechnologien unternehmensübergreifend vernetzt wird.4 Während die Auswirkungen der unter dem Begriff Industrie 4.0 zusammengefassten Themenfeldern tatsächlich einer Revolution gleichkommen, vollzieht sich der Technologiewandel nicht schlagartig, sondern gleicht vielmehr einer fortschreitenden Evolution, bei der zukünftig Maschinen, Lagersysteme und Betriebsmittel weltweit zunehmend vernetzt und schlussendlich durch IT-Strukturen mit einer künstlichen Intelligenz koordiniert werden.5 Ziel ist, die in-
1
2
3
4 5
Der vorliegende Aufsatz ist eine überarbeitete Zweitveröffentlichung eines Aufsatzes aus dem Tagungsband der Herbstakademie 2015 „Internet der Dinge – Digitalisierung von Wirtschaft und Gesellschaft, Edewecht 2015 mit dem Titel: „INDUSTRIE 4.0 IN DER PRAXIS – DIE AUSWIRKUNGEN DER VERNETZUNG VON WERTSCHÖPFUNGS-KETTEN AUF DIE ANWALTLICHE BERATUNG“. Der Autor bedankt sich diesbezüglich bei dem Herausgeber, Prof. Jürgen Taeger für die freundliche Genehmigung dieser Zweitveröffentlichung. Vgl. Bericht der Bundesregierung – Zukunftsprojekt der Hightech-Strategie (HTS-Aktionsplan) http://www.bmbf.de/pub/HTS-Aktionsplan.pdf (zuletzt abgerufen am 26.4.2016). So nutzen laut einer Studie der Bitkom bereits jedes Zweite Unternehmen Industrie 4.0-Anwendungen, Pressemitteilung v. 21.4.2016 https://www.bitkom.org/Presse/Presseinformation/Fast-jedes-zweite-Industrieunternehmennutzt-Industrie-40.html (zuletzt abgerufen am 26.4.2016). Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 5. von Lukas/Stork/Behr, wt online 2014, 104, S. 255, 255.
133
Claudio G. Chirco
dustriellen Prozesse in der Produktion, dem Engineering, der Materialverwendung und des Lieferketten- und Lebenszyklusmanagements grundlegend zu verbessern sowie deren Effizienz zu steigern, indem die einzelnen Produktionsstationen eigenständig Informationen austauschen, gegenseitig dynamische Aktionen auslösen und sich selbstständig steuern sowie optimieren.6 5 In der Diskussion um Industrie 4.0, finden sich letztlich alle aktuellen Technologien, wie das „Internet of Things“ (IoT), die „Cyber-Physical Systems“ (CPS), das Cloud Computing, Big Data, Softwareagenten etc., die derzeit die digitalisierten Lebensbereiche grundlegend verändern. Die kombinierte Implementierung all dieser Technologien auf den Produktionsprozess soll final zu der „Smart Factory“ führen, also der intelligenten, sich selbst steuernden Fabrik, bei der Kundenbedarf, Fabrikation und Auslieferung zu einem einheitlichen System verschmelzen, um nicht nur die Effizienz jedes einzelnen Handlungsschrittes so nah wie möglich an das theoretische Optimum heranzuführen, sondern auch neue Wertschöpfungen, wie die industrialisierte individuelle Produktion von Einzelstücken, oder die Verbesserung der Arbeitsbedingungen zu ermöglichen. 6 In Anbetracht der Tatsache, dass dieser Wandlungsprozess ein Knowhow aus verschiedenen Bereichen, wie zum Beispiel der Softwareentwicklung, der Robotik, der Netzwerktechnik sowie der Datenanalyse erfordert, das derzeit noch nicht bei allen Unternehmen der klassischen Industrie, jedenfalls nicht gebündelt, vorhanden ist, wird erwartet, dass die Industrie 4.0 innovative Geschäftsmodelle entstehen lassen wird.7 Hiervon sollen zukünftig auch Start-ups und kleinere Unternehmen profitieren, die als „Industrie 4.0-Enabler“ mit innovativen und hoch spezialisierten Dienstleistungen aufwarten.8 Tatsächlich gibt es bereits jetzt erste Anzeichen für eine hierauf fokussierte Branche, die mit Ihrem Angebot an serviceorientierter IT-Architektur eine Partizipation an der „4. industriellen Evolution“ ermöglicht. Besonders relevant ist dies zwar für den industriellen Mittelstand, bei dem sich die Spezialisierung zumeist auf die eigene Branche beschränkt, doch selbst große Konzerne, die über auf ITK-Lösungen ausgerichtete Forschungsabteilungen verfügen, sind diesbezüglich auch auf branchenübergreifende Kooperationen angewiesen.9 6 7 8 9
Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 5, 9. Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 5. Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 5. Vgl. Hübner, „Digitales Bündnis – Siemens und Deutsche Telekom schmieden Allianz“, Handelsblatt (Onlineausgabe) v. 26.10.2014.
134
Vertragsgestaltung in der Industrie 4.0
II. Praxisbeispiel: Intelligente Ausgabeautomaten Die Gründe, weshalb sich die Implementierung der teilweise bereits vor- 7 handenen Industrie 4.0-Technologien derzeit noch verzögert, sind vielfältig. Neben den damit verbundenen hohen Investitionskosten schreckt auch die derzeit noch fehlende Standardisierung der Systeme ab. Darüber hinaus verfügen einige, aktuell zum Einsatz kommende Produktionsanlagen über noch sehr lange Lebenszyklen, weshalb sich die Umrüstung der gesamten Produktionskette noch nicht rentieren würde. Darüber hinaus bestehen Vorbehalte aufgrund der Angst der Unternehmen vor neuen Technologien im Hinblick auf die Datensicherheit und der Kontrollierbarkeit der Systeme. Verbreiteter und in der Praxis bereits bewährt haben sich deshalb bislang 8 vornehmlich kleinere, von Industrie 4.0-Enablern angebotene, modulare Einheiten, die zunächst nur einen Schritt der Produktionskette digitalisieren. Hier kommen zunächst nur einige der oben beschriebenen Technologien zum Einsatz, wobei diese Industrie 4.0-Einheiten so konzipiert sind, dass sie zukünftig um Funktionen erweitert und mit anderen Stationen in der Wertschöpfungskette vernetzt werden können, um schlussendlich zu der vollumfänglichen Vernetzung der gesamten Produktionsstraße zu führen. Ein Beispiel hierfür ist der intelligente Ausgabeautomat, der zur Verwal- 9 tung und Bereitstellung von Arbeitsmitteln im Unternehmen eingesetzt wird. Gesteuert wird der Ausgabeautomat über eine, zumeist in einer Cloud bereitgestellten Software, die neben der ständigen Übersicht über den im jeweiligen Ausgabeautomaten gelagerten Waren- und Werkzeugbestand, auch zahlreiche weitere Informationen für produktionsoptimierende Auswertungen, wie z. B. wer, wann, wie lange, welches Arbeitsmittel benötigt hat, bereithält. Darüber hinaus verfügt die Software über zahlreiche weitere Funktionalitäten, wie die Möglichkeit zur Implementierung automatisierter Bestellprozesse mit Zulieferern. In der nächsten „Evolutionsstufe“ wird die Software zusätzlich mit Live- 10 Informationen über die aktuellen Kundenbestellungen versorgt werden, damit sich die Arbeitsmittelbestellung auch an dem konkret anstehenden Arbeitsaufwand orientiert. Im Gegenzug gibt das System eine Rückmeldung zum Status der Produktion sowie etwaigen Verzögerungen bei der Nachschublieferung. Der nächste Schritt wäre sodann die Kopplung der Warenverwaltungssoftware mit Big Data-Analyse-Tools, beispielsweise in Bezug auf Rohstoffpreise und Wetterdaten, sowie einem Soft-
135
Claudio G. Chirco
wareagenten,10 also einem Computerprogramm mit künstlicher Intelligenz, das hinsichtlich des gesamten Produktionsprozesses vollkommen eigene Entscheidungen trifft und Optimierungen vornimmt.11 III. Schwerpunkte in der anwaltlichen Beratung 11 Bei der Gestaltung der im Zusammenhang mit der Implementierung und dem Vertrieb von Industrie 4.0-Einheiten erforderlichen Verträge begegnen dem Anwalt viele Themenkomplexe, die in der Vergangenheit bereits im Bereich von komplexen IT-Projekten zu beachten waren. 1. Rechtliche Schwerpunkte bei der Industrie 4.0 12 Im Abschlussbericht des Arbeitskreises Industrie 4.012 wurden die nachfolgenden vier rechtlichen Herausforderungen individualisiert, die regelmäßig beim Einsatz von Cyber-Physischen Systemen von besonderer Bedeutung sein werden: –
Schutz von Unternehmensdaten
–
Umgang mit personenbezogenen Daten
–
Haftung
–
Handelsbeschränkungen
13 In der aktuellen anwaltlichen Praxis lässt sich in der Tat feststellen, dass insbesondere die ersten drei vorgenannten Themenfelder häufig anzutreffen sind. Weiterhin von zunehmender, proportional zur Komplexität des Gesamtsystems wachsender Relevanz sind die Aspekte Abnahme der Produktionssysteme, Fehlerermittlung sowie Daten- und Systemmigration. Hier besteht Einigkeit, dass sich ein Großteil dieser Problemstellungen durch eine adäquate Vertragsgestaltung lösen lässt.13 Dabei ist eine solche vertragliche Lösung nicht lediglich möglich, sondern vielmehr aus anwaltlicher Vorsorgepflicht zwingend geboten, da das Gesetz bezüglich dieser Themen zu viele offene Fragen lässt.
10 Zur Technologie der künstlichen Intelligenz von Softwareagenten: Kirn/ Müller-Hengstenberg, Künstl. Intell 2015, 29, S. 59, 59 ff. sowie Kirn/MüllerHengstenberg, MMR 2014, 225, 225 ff. 11 Zu den Potentialen der Industrie 4.0 vgl. die use cases des Industrial Internet Consortium (IIC) Datta, The Next Tsunami – An incomplete exploratory Tutorial. 12 Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 62. 13 Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 62.
136
Vertragsgestaltung in der Industrie 4.0
Der Abschlussbericht des Arbeitskreises Industrie 4.014 fordert diesbe- 14 züglich zwar die Entwicklung von Mustervertragsklauseln, doch ist es, abgesehen der Schwächen solcher Musterverträge bei komplexen Sachverhalten, ohnehin sehr fraglich, ob sich auf deutschem Recht basierende Vertragsvorlagen international als Standard durchsetzen würden. Auch der Gesetzgeber hinkt aufgrund seiner schwerfälligen politischen Entscheidungsprozesse regelmäßig der Innovationskraft der fortschreitenden Technik hinterher. Es ist deshalb wahrscheinlicher, dass sich in technischer Hinsicht auf 15 dem Markt „de-facto“-Standards entwickeln werden, wohingegen die Regelung der Rechtsfragen vorerst Aufgabe der die Verträge verhandelnden und gestaltenden Berater bleiben wird. a) Schutz von Unternehmensdaten Die Vernetzung der Produktionseinheiten, die bei der Kommunikation 16 zwischen der einzelnen Maschine zu einem zentralen Rechner beginnt und in einem umfassenden ununterbrochenen Informationsfluss aller an der Produktion beteiligten Einheiten im Rahmen des Internet of Things endet, steigert die Menge, wie auch die Aussagekraft der hierdurch generierten Unternehmensdaten.15 So können zunächst für einen konkreten Produktionsschritt erforder- 17 lichen Informationen, wie Logistikdaten, einem externen Dienstanbieter aufgrund eines Kontextwechsels ungewollte Einblicke in Unternehmensinterna ermöglichen.16 Darüber hinaus kann beispielsweise an den Echtzeitbestellungen der aktuelle Unternehmensumsatz abgelesen werden und die bedarfsgenaue Bestellung von Rohstoffen gibt Hinweise auf geheime Herstellungsprozesse und Rezepturen. Selbst zunächst für sich genommen unbedeutende Daten offenbaren somit kumuliert geheime Geschäftsstrategien,17 wie zum Beispiel den Neueinstieg des Unternehmens in bestimmte Länder und Märkte oder die Verschiebung von Produktionsstätten. Es erklärt sich von selbst, dass bei Wettbewerbern, aber auch den Vertragspartnern, ein gesteigertes Interesse an diesen Informationen besteht und die Datensicherheit deshalb einen besonders hohen Stellenwert bei der vertraglichen Gestaltung der Unternehmensübergreifenden Vernetzung haben muss.
14 15 16 17
Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 65. Mühlich, ZD 2014, 381, 382. Hofmann, JurPC Web-Dok 158/2015, Abs. 12. Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 62.
137
Claudio G. Chirco
18 Die gesetzlichen Regelungen, wie auch die klassischen Geheimhaltungsvereinbarungen, zielen dabei darauf ab, die Erkenntnisse aus der vertraglichen Zusammenarbeit vor Dritten geheim zu halten. Der Schutz vor der Zweckentfremdung durch den Vertragspartner, der die Informationen zunächst rechtmäßig erhalten hat, wird hingegen nur sehr rudimentär behandelt. Besonders schwierig ist die Rechtslage, wenn die Inhaberschaft der Daten nicht eindeutig ist.18 19 Zur Absicherung der Unternehmensdaten ist es deshalb erforderlich, detailliertere vertragliche Vorgaben hinsichtlich der ausgetauschten Informationen zu machen. Hierbei können Anleihen an den Schutz von personenbezogenen Daten genommen werden.19 So können die aus dem BDSG bekannten Grundsätze der Zweckbindung und der Transparenz sowie, in leicht abgewandelter Form, der Grundsatz der Datenvermeidung und -sparsamkeit das Gerüst für ein sinnvolles vertragliches Regelungssystem bieten. 20 Soweit einer Vertragspartei hinsichtlich der Daten eine konkrete Zweckbindung vorgegeben wird, so ist diese Regelung aufgrund der hiermit verbundenen Beweisprobleme stets mit korrespondierenden ReportingPflichten oder Rechten zur Auditierung abzusichern. 21 Ist zu befürchten, dass ein Vertragspartner die erlangten Informationen im Rahmen von Preisverhandlungen ausnutzt, kann eine sinnvolle Alternative auch darin bestehen, ein Modell der vollen Transparenz von Angebot und Nachfrage, gekoppelt an einen entsprechenden Berechnungsalgorithmus einzuführen, bei dem im Wege eines dynamischen Preismanagements die Vergütung auf Basis des aktuellen Bedarfs reguliert wird.20 22 Soweit neben der Zweckbindung zusätzlich die Verpflichtung zur Löschung der Betriebsdaten bereits während der Vertragslaufzeit, beispielsweise unmittelbar nach Ausführung eines Auftrags, vorgesehen ist, wird es im Gegenzug erforderlich sein, zu Beweiszwecken die Daten bei einem unabhängigen Dritten zu deponieren, mithin eine Art „Betriebsdaten-Escrow“ zu vereinbaren, um hierauf im Falle von etwaigen Vertragsstreitigkeiten zurückgreifen zu können.
18 Mühlich, ZD 2014, 381, 382, siehe hierzu Ziffer 3.1.2; Hofmann, JurPC WebDok 158/2015, Abs. 55. 19 Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 63; zur analogen Anwendung des BDSG auf Unternehmensdaten: Hofmann, JurPC Web-Dok 158/2015, Abs. 13 ff. 20 Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 63.
138
Vertragsgestaltung in der Industrie 4.0
Ein solches Escrow zur Beweissicherung kann auch in einem anderen 23 Zusammenhang sinnvoll sein: Sind im Rahmen eines Produktionsverfahrens mehrere Parteien, z. B. verschiedene Industrie 4.0-Enabler beteiligt, liegen die Informationen zu dem Produktionsverfahren teilweise bei unterschiedlichen Unternehmen. Dies kann zu großen Problemen bei der Fehlerermittlung führen, da eine solche zumeist nur erfolgen kann, wenn alle Informationen bezüglich aller Produktionsschritte vorliegen. Will ein Unternehmen somit den Ursprung eines Fehlers ermitteln, der beispielsweise bei den produzierten Waren zu einem Qualitätsverlust oder einer Überproduktion geführt hat, so muss sich das Unternehmen ggf. von allen Beteiligten die Daten übermitteln lassen. Spätestens wenn eines dieser Industrie 4.0-Enabler befürchtet, für den Fehler verantwortlich zu sein, wird es für das Unternehmen regelmäßig schwierig sein, die diesbezüglichen Informationen zu erhalten, selbst wenn dies als vertragliche Pflicht vereinbart worden ist. Vor diesem Hintergrund kann es erforderlich werden, alle Beteiligten zur 24 Übermittlung der ihnen vorliegenden Daten zu jeder Produktionscharge an einen unabhängigen Dritten zu verpflichten. Treten sodann Fehler an einer Charge auf, können diese so kumulierten Informationen analysiert und die Fehlerursache ermittelt werden. Befürchten die Beteiligten die Preisgabe von Betriebsgeheimnissen, kann vertraglich vereinbart werden, dass diese Daten ausschließlich von einem unabhängigen, von den Parteien gemeinsam bestellten Sachverständigen, analysiert werden und nur das diesbezügliche Ergebnis mitgeteilt wird. Zum Schutz vor der unberechtigten Kenntniserlangung der Unterneh- 25 mensdaten durch Dritte wird es im Übrigen unerlässlich sein, ein stets angemessenes Sicherheitsniveau, beispielsweise mittels entsprechender Abwehr- und Verschlüsselungssysteme, zu vereinbaren.21 Hierzu gehört auch die Zusicherung der „Resilienz“, also einem Mindestmaß an Sabotagefestigkeit der informatorischen Systeme und Prozesse.22 b) Verwertung von Unternehmensdaten Ein weiterer vom Anwalt zu berücksichtigender Aspekt ist die Tatsache, 26 dass Daten ein zuweilen unterschätzter wirtschaftlicher Wert innewohnen kann, weil selbst zunächst banale Informationen durch die im Bereich des Big Data zum Einsatz kommenden Analysemethoden zu einer zuverlässigen Prognose verschmolzen werden können. So ist es beispiels21 Plattform Industrie 4.0 – Umsetzungsstrategie Industrie 4.0, April 2015, S. 72 ff. 22 Bräutigam/Klindt, NJW 2015, 1137, 1141.
139
Claudio G. Chirco
weise anhand von kumulierten „Industriedaten“, wie Betriebsstunden einer Maschine, Druck, Temperatur, Stromverbrauch etc. möglich, bis zu 3 Monate im Voraus auf den Tag genaue Prognosen zu dem Ausfall einer Maschine zu machen.23 Zum Erkennen solcher Muster ist lediglich eine beträchtliche Anzahl an Rohdaten erforderlich, die sodann durch systematische Anordnung sowie der Anwendung entsprechender Analyseverfahren zu sog. Smart-Data aufgewertet werden.24 27 Hier besteht in erster Linie ein konkretes Interesse des Unternehmens, bei dem die Daten ursprünglich erhoben wurden, diese Informationen zur eigenen Prozessoptimierung zu nutzen. Gleichzeitig stellen Smart Data eine eigenständige Handelsware dar, da die sich hieraus ableitbaren Regeln auch für Prognosen in anderen Unternehmen mit vergleichbaren Produktionsverfahren eignen. 28 Diesbezüglich noch nicht abschließend geklärt ist jedoch die Frage, wem die gesammelten Rohdaten bzw. die hieraus gewonnenen Smart Data gehören.25 Vieles spricht dafür, dem jeweiligen Dienstleister, der die Daten sammelt und planmäßig strukturiert, die Rechte an diesen Daten nach §§ 87a ff. UrhG zuzuerkennen.26 Teilweise wird zusätzlich ein „Sui-generis-Schutz“ oder eine Analogie von § 903 BGB diskutiert.27 In Anbetracht der Anwaltlichen Sorgfaltspflicht wird es dennoch unumgänglich sein, diesbezüglich eine klare Regelung zum sog. „Data Ownership“ in den Vertrag mit aufzunehmen, die die Verwertungsrechte an diesen Daten sowie ggf. etwaige Ausgleichszahlungen explizit regelt.28 Dies ist vor allem deshalb erforderlich, weil die vorgenannten Rechte allenfalls vor der Verwertung der Datenbank schützen, nicht jedoch die „Nutzung der Datenbank als Informationsquelle“.29 29 Schlussendlich muss die Qualität der Smart-Data vertraglich abgesichert werden, da nur hochwertige Informationen zuverlässige Analysen und
23 Peschel/Rockstroh, MMR 2014, 571, 571. 24 Peschel/Rockstroh, MMR 2014, 571, 571; Heuring, Warum Big Data zu Smart Data werden muss!, http://www.siemens.com/innovation/de/home/picturesof-the-future/digitalisierung-und-software/von-big-data-zu-smart-data-warum-big-data-smart-data-werden-muss.html, (zuletzt abgerufen am 26.4.2015). 25 Bräutigam/Klindt, NJW 2015, 1137, 1139. 26 Peschel/Rockstroh, DSRITB 2014, 309, 315; Hofmann, JurPC Web-Dok 158/2015, Abs. 57. 27 Kraus, DSRI-Tagungsband 2014, S. 377, 381 ff.; dagegen: Dorner, CR 2014, 617, 618; Hoeren, MMR 2013, 486, 488 ff. 28 Siehe hierzu auch Ziffer 3.2.3. 29 Hofmann, JurPC Web-Dok 158/2015, Abs. 58.
140
Vertragsgestaltung in der Industrie 4.0
Prognosen zulassen. Zukünftig werden die Verträge deshalb standardmäßig sog. „Data Quality Level Agreements“ enthalten müssen. c) Umgang mit personenbezogenen Daten In Parallele zu den gesteigerten Erkenntnissen über die einzelnen Unter- 30 nehmen wachsen auch die Informationen in Bezug auf das einzelne, in der Produktion involvierte Individuum. Vor allem sog. Assistenzsysteme, die Informationen wie Standort, Geschwindigkeit und Qualität der Aufgabenerfüllung dokumentieren, stellen dabei eine Gefahr für die informationelle Selbstbestimmung der Mitarbeiter dar.30 Hier stellen sich letztlich die klassischen Probleme des Arbeitnehmerdatenschutzes, wie sie bereits bei der Überwachung im Unternehmen bekannt sind. Darüber hinaus ist die rechtskonforme Übermittlung und Speicherung 31 dieser Daten auf Servern außerhalb des Europäischen Wirtschaftsraumes ebenso eine Herausforderung, wie der Grundsatz der Datensparsamkeit, der letztlich dem Sinn- und Zweck des Big Data diametral gegenüber steht. Lösungen lassen sich diesbezüglich bei konzerninternen sog. „Binding Corporate Rules“ sowie Vereinbarungen in Tarifverträgen und Betriebsvereinbarungen finden, wobei Einigkeit besteht, dass die aktuellen rechtlichen Rahmenbedingungen dringend einer Novellierung bedürfen.31 Soweit die personenbezogenen Daten nur „en passant“, als Mittel zum Zweck, erhoben und sogleich anonymisiert werden, kann dies im Einzelfall auch über § 28 Abs. 1 Nr. 2 BDSG gerechtfertigt sein,32 doch verbleiben insbesondere hinsichtlich der Anforderungen an den Grad der Anonymisierung Restrisiken, da selbst anonymisierte Daten durch Neukombination mit zusätzlichen Informationen ggf. „repersonalisiert“ werden können. Erhält der Produktionsprozess eine auf eine konkrete Kundenbestellung 32 abgestimmte Individualisierung, können zudem auch personenbezogenen Daten der Kunden betroffen sein. Vereinbarungen zur Auftragsdatenverarbeitung mit den in die Produk- 33 tion involvierten Dienstleistern wird in jedem Fall unumgänglich sein, wobei auch hier darauf zu achten ist, in welchem Land der jeweilige Dienstleister die Daten verarbeitet. Je umfassender und komplexer die Datenströme sind, desto sinnvoller 34 wird es zudem sein, deren Legitimität durch entsprechende datenschutz30 Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 64. 31 Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 64. 32 Peschel/Rockstroh, DSRITB 2014, 309, 319.
141
Claudio G. Chirco
rechtliche Zertifizierungen abzusichern. Letztlich wird jedoch hinsichtlich dieser Thematik abzuwarten sein, welche Neuerungen die Reform des Datenschutzrechts durch die anstehende EU-Datenschutzgrundverordnung mit sich bringen wird. d) Haftung und Beweislast 35 Besonders anspruchsvoll wird in Zukunft die Regelung der Haftungsfragen der beteiligten Unternehmen untereinander sein. Während Haftungsklauseln bislang recht standardisiert in Verträgen verwendet werden, ist dies in einem von mehreren Unternehmen betriebenen Produktionsprozess nicht mehr ausreichend. 36 In einem automatisierten Kommunikationsnetz, in dem die von verschiedenen Unternehmen kontrollierten Produktionsstätten eigenständig und in Echtzeit Informationen austauschen, wird es faktisch unmöglich sein, die Verantwortlichkeit nach Kriterien wie leichte oder grobe Fahrlässigkeit zu bewerten. Zumal der Grundsatz, dass Software ab einer bestimmten Komplexität nicht mehr vollständig fehlerfrei programmierbar ist, erst recht dann gilt, wenn gleich mehrere komplexe Softwarekomponenten innerhalb eines Unternehmensübergreifenden IT-Systems miteinander interagieren. Tatsächlich lässt sich hier regelmäßig nicht einmal mehr feststellen, wo ein Fehler letztlich seinen Ursprung hatte. Auch beim Einsatz von Big Data-Analysemethoden ist das Feststellen eines Verschuldens oder einer Kausalität sehr schwierig.33 Unklar ist zudem, wer für die Entscheidungsfehler von Softwareagenten haftet, wenn die Programmierleistungen dem aktuellen Stand der Technik entsprechen.34 37 Um Beweisprobleme beherrschbar zu machen, müssen die Rollen der Parteien im Produktionsprozess deshalb präzise beschrieben und Verantwortlichkeiten genau benannt werden. So wird es beispielsweise bei der Übermittlung von Daten darauf ankommen, wo der genaue Übergabepunkt ist und welche Qualität diese haben müssen, damit bei etwaigen Fehlern oder dem Verlust von Daten klar wird, wessen Sphäre diese zuzurechnen sind.35 38 Wenngleich Unternehmen bislang hiervor zurückschrecken, wird der Fokus deshalb zukünftig vermehrt auf der verschuldensunabhängigen Risi-
33 Vgl. Bräutigam/Klindt, NJW 2015, 1137, 1139. 34 Kirn/Müller-Hengstenberg, MMR 2014, 308, 310 ff.; Kirn/Müller-Hengstenberg, Künstl. Intell 2015, 29, S. 59 (59 ff.). 35 Peschel/Rockstroh, DSRITB 2014, S. 309, 321.
142
Vertragsgestaltung in der Industrie 4.0
koverteilung liegen, da sehr komplexe Prozesse effektiver mit garantierten Service-Levels und Vertragsstrafen abgesichert werden können, als durch verschuldensabhängige Schadensersatzregelungen. Hier wird es letztlich darauf ankommen, wer bereit ist welches Risiko zu tragen. Die Erfahrung hat diesbezüglich jedenfalls gezeigt, dass langjährige Gerichtsstreitigkeiten mit aufwendigen Sachverständigengutachten oftmals kostspieliger sein können, als das Bedienen einer Garantie, zumal der Ausgang der Gerichtsverfahren bei Rechtsstreitigkeiten mit IT-rechtlichen Bezügen nur in den seltensten Fällen sicher vorhergesagt werden kann. Bei größeren Projekten tendieren die Mandanten derweil zur Auslage- 39 rung der Risiken in Versicherungen. So werden bei Vertragsverhandlungen beispielsweise vermehrt sog. Cyber-Versicherungen gefordert. Eine solche Absicherung ist auch in vielen Fällen sinnvoll, da es eine „100-Prozent-Security für Industrie 4.0 nicht geben wird“36 und moderne Schadsoftware nicht nur Daten ausspähen, sondern auch aktiv in die Produktion eingreifen und damit enorme Schäden in Form von mangelhaften Produkten oder beschädigten Maschinen verursachen können. In der Praxis ist es zudem im Nachhinein sehr schwierig nachzuweisen, ob der unbefugte Eingriff in die Systeme vermeidbar war oder nicht, was ebenfalls einen Vorteil der Gefahrenhaftung gegenüber der klassischen Verschuldenshaftung darstellt. Gleich ob man die vertragliche Haftung nach einem Verschuldensmaß- 40 stab oder einer hiervon unabhängigen Risikoverteilung bestimmt, ist es in jedem Fall erforderlich, den Systemfehler zu lokalisieren, um dessen Ausmaß festzustellen. Dies ist im Falle von vernetzten Systemen, deren einzelne Komponenten von verschiedenen Parteien gestellt werden, zumeist nur im Rahmen eines Zusammenwirkens aller Beteiligten möglich. Während sich herkömmliche Verträge zu diesem Thema regelmäßig ausschweigen, wird es in der Ära der Industrie 4.0 unerlässlich sein, die Mitwirkungshandlungen der Vertragspartner bei einer gemeinsamen Fehlerursachenerforschung, ggf. unter Zuhilfenahme eines unabhängigen Sachverständigen, festzulegen. Hierzu gehört auch die Verpflichtung zur Dokumentation und zum Reporting, wonach die Produktionsprozesse und Systemzustände lückenlos zu protokollieren sowie etwaige Sicherheitsprobleme und Ausfälle zu melden sind.37 Wie bereits erläutert, kann hier eine kontinuierliche Übermittlung aller Produktionsinformationen an einen unabhängigen Dritten, wie einen „Betriebsdaten“-Escrow-An-
36 Plattform Industrie 4.0 – Umsetzungsstrategie Industrie 4.0, April 2015, S. 73. 37 Arbeitskreis Industrie 4.0 – Abschlussbericht April 2013, S. 64.
143
Claudio G. Chirco
bieter sinnvoll sein, um im Falle der Notwendigkeit einer Fehlerermittlung bereits alle Informationen gebündelt zur Verfügung zu haben. e) Abnahme 41 Selbst bei der anfänglichen Abnahme des Systems ist es dem Erwerber inzwischen aufgrund der Komplexität nicht immer möglich, das System vollkommen eigenständig zu prüfen. Auch hier ist insbesondere die Lokalisierung des Fehlers, und damit die Individualisierung der Verantwortlichkeiten, ohne Unterstützung der übrigen Beteiligten sehr schwierig. Hier empfiehlt es sich ebenfalls, in den Verträgen ein detailliertes Abnahmeprozedere vorzusehen, an dem sich die Parteien orientieren können. f) Daten- und Systemmigration 42 Je komplexer ein System ist, desto aufwändiger und zeitintensiver ist der Austausch eines in den Produktionsprozess involvierten Dienstleisters. Stillstände in der Produktion können sich Unternehmen derweil nicht leisten. Jeder Vertrag sollte deshalb umfassende Regelungen zu den Verpflichtungen bei Beendigung der Vertragsbeziehungen, wie die Sicherstellung der Dienstleistungen für eine bestimmte Übergangszeit enthalten. Es müssen zudem Mitwirkungs- und Unterstützungspflichten bei der Übernahme durch einen neuen Dienstleister oder der unternehmenseigenen IT-Abteilung vorgesehen werden. 2. Neue Möglichkeiten der Vertragsgestaltung am Beispiel des Vertriebs Intelligenter Ausgabeautomaten 43 Neben den aufgezeigten Rechtsproblemen, bieten die mit der Industrie 4.0 verknüpften neuen Geschäftsideen zugleich auch neue Gestaltungschancen, die zuvor im Rahmen der klassischen Vertriebsmodelle nicht realisierbar oder sinnvoll waren. 44 Die klassischen kauf- und werkvertraglichen Lösungen genügen den neuen Bedürfnissen zukünftiger Produktionsketten in den meisten Fällen ohnehin nicht, da die betreuungsintensiven Industrie 4.0-Systeme eher eine vertragliche Dauerbeziehung erfordern. Die bloße Einräumung von Gewährleistungsrechten stellt mithin keine befriedigende Lösung dar. 45 Diese längerfristige und enge Zusammenarbeit bringt dabei zwangsläufig neue Schwerpunkte bei der Vertragsgestaltung mit sich. Auch die derzeit in der industriellen Produktion häufig zum Einsatz kommenden Support- und Wartungsregelungen zu genügen diesbezüglich nicht, da 144
Vertragsgestaltung in der Industrie 4.0
die Verzahnung der einzelnen Maschinen mit dem Gesamtsystem noch sehr oberflächlich ist und deshalb zahlreiche neue Thematiken nicht berücksichtigt werden. Die Anzahl der miteinander vernetzten Systeme und kommunizierten Daten, die Art der Zusammenarbeit der Beteiligten sowie letztlich die involvierte Technik ähneln vielmehr den in ITProjekten bekannten Themen, so dass sich viele Problembereiche besser mit den sich dort bewährten Regelungen lösen lassen und das Wesen der vertraglichen Beziehung eher einem Dienstleistungs- oder Mietvertrag ähnelt. a) Grenzen der Vertragsgestaltung Das deutsche Recht geht grundsätzlich von der Vertragsfreiheit aus, wo- 46 nach jedermann im Wesentlichen frei entscheiden kann, was er mit wem vertraglich vereinbaren möchte. Diese Vertragsfreiheit ist indes nicht grenzenlos. Gerade bei der vertraglichen Gestaltung neuer Geschäftsideen wird es sich im Regelfall um Vertragsmuster handeln, die für eine Mehrzahl von Geschäftsbeziehungen zum Einsatz kommen sollen und deshalb insbesondere an den gesetzlichen Vorgaben der §§ 305 ff. BGB zu messen sind. Solche Allgemeinen Geschäftsbeziehungen dürfen gem. § 307 Abs. 1 BGB den anderen Geschäftspartner insbesondere nicht unangemessen benachteiligen. Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist. b) Bestimmung der Vertragsnatur Bei der Gestaltung der Verträge im Bereich der Industrie 4.0 ist deshalb 47 stets zunächst danach zu fragen, welche Vertragsnatur die zu regelnde Geschäftsbeziehung hat. Ein wesentlicher Unterschied zu den klassischen Vertragsmodellen beim 48 Vertrieb von Produktionsmaschinen ist, dass bisher die Maschine und zukünftig dessen Software im Mittelpunkt des wirtschaftlichen Interesses stehen wird. Dies ist auch vor dem Hintergrund konsequent, dass sich die Wettbewerber immer mehr durch die Leistungsfähigkeit der von ihnen angebotenen Software unterscheiden werden. Auch im eingangs beschriebenen Beispiel war bei früheren Produktreihen 49 der verkörperte Ausgabeautomat das wesentliche Asset, wohingegen die auf einer Platine befindliche Software lediglich ein Steuerungselement 145
Claudio G. Chirco
war. Der tatsächliche Mehrwert der neuen Generation an intelligenten Ausgabeautomaten ist demgegenüber deren „Intelligenz“, also die über die Software ermöglichten Industrie 4.0-Anwendungen. 50 Während der aktuelle Vertrieb der Ausgabeautomaten, je nach Umfang der zusätzlichen Implementierungsleistungen, noch als Kauf- und/oder Werkvertrag qualifiziert werden kann, bedarf die vertragliche Einordnung der Softwarebereitstellung einer näheren Betrachtung. 51 Teilweise wird in Bezug auf Konsumgüter mit serverbasierten Zusatzdiensten, konkret dem Kühlschrank mit Internetzugang, vertreten, dass die Einordnung letztlich vom objektiven Empfängerhorizont der potentiellen Vertragsparteien abhängt, weshalb im Regelfall hinsichtlich des Gegenstands ein Kaufvertrag und hinsichtlich der Servergestützten Funktionalitäten ein unbefristeter Dienstvertrag mit einer Mindestvertragsdauer von 2 Jahren angenommen werden könne.38 Beim Vertrieb von Ausgabeautomaten mit komplexer Verwaltungssoftware kommt eine solche Einordnung allerdings nur in Betracht, wen der Automat auch ohne diese konkrete Steuerungssoftware nutzbar ist. Letztere muss somit entweder als ein reiner „Zusatzdienst“ zu qualifizieren sein oder der Automat ist so konzipiert, dass er auch durch eine andere Software (mit verhältnismäßigem Aufwand) gesteuert werden kann. Die werkseitige Software muss somit austauschbar sein.39 52 Zuweilen wird primär danach differenziert, ob ein Leistungsschwerpunkt zu erkennen ist, der es rechtfertigen würde, alle Leistungen im Rahmen eines Gesamtvertrages zu beurteilen.40 Auch dies führt im vorliegenden Beispielsfall jedoch zu keinem befriedigenden Ergebnis. Bei der Verwaltung des Automaten über eine in der Cloud befindlichen Software sind die Produkte derart voneinander getrennt, dass hier nicht mehr von einem einheitlichen Vertragsgegenstand gesprochen werden kann, zumal die einheitliche Einordnung von Ausgabeautomat und Software unter ein Vertragsregime keinem der Parteiinteressen dienen würde. Gerade im Hinblick auf das Bedürfnis des Erwerbers, auch noch in mehreren Jahren eine lauffähige, den Sicherheitsstandards entsprechende Softwareversion zu haben, wären die Gewährleistungsrechte, welche auf einen Mangel bei Übergabe bzw. Abnahme der Software abstellen, nur unzureichend. Andererseits ließe sich die dauerhafte Überlassung des Warenautomaten gegen eine Einmalzahlung nur schwerlich als Dienstvertrag auslegen.
38 Solmecke/Vondrlik, MMR 2013, 755, 755 ff. 39 Vgl. Bräutigam/Klindt, NJW 2015, 1137, 1138. 40 Bräutigam/Klindt, NJW 2015, 1137, 1138.
146
Vertragsgestaltung in der Industrie 4.0
Im Regelfall wird man deshalb zu dem Ergebnis gelangen, dass jede Ein- 53 zelleistung, sprich die Übereignung des Automaten, die Überlassung der Software sowie ggf. Support- und Wartung unabhängig voneinander nach dem jeweils passenden Vertragsregime zu beurteilen sind. c) Vertragliche Regelung des Vertragszwecks In Anbetracht der Tatsache, dass die zuvor dargestellte Differenzierung 54 im Einzelfall sehr schwierig sein wird, ist es aus anwaltlicher Sicht geboten, die Rechtsverhältnisse diesbezüglich klar vertraglich zu regeln, damit sich hieraus die beabsichtigte Vertragsnatur konsequent ableiten lässt. Dabei wird es darauf ankommen, welche Seite der Anwalt im konkreten Fall vertritt: Dem Erwerber kann daran gelegen sein, die Software einmalig für einen 55 entsprechenden Betrag zu erwerben, um neben der Maschine aufgrund des urheberrechtlichen Erschöpfungsgrundsatzes auch weitgehend frei über die Steuerungssoftware verfügen zu können.41 Soweit der Erwerber jedoch auf die Weiterentwicklung der Software angewiesen ist, muss er dies zusätzlich im Rahmen von Support- und Wartungsverträgen absichern, bei denen sehr lange Laufzeiten sowie Kündigungsfristen gelten und die eine Pflicht zu regelmäßigen Updates, zumindest der Sicherheitsrelevanten Softwarekomponenten, beinhalten. Dem Industrie 4.0-Enabler wird es hingegen darauf ankommen, mög- 56 lichst weitgehende Kontrollbefugnisse über seine Produkte zu behalten und den Erwerber langfristig an sich zu binden. Eine Möglichkeit, diese Interessen miteinander in Ausgleich zu brin- 57 gen, ist die Trennung zwischen einer standardmäßig mit der Maschine mitverkauften „Basissoftware“ für den Grundbetrieb und einer als Software as a Service (SaaS) angebotenen „Premiumsoftware“ mit erweiterten Industrie 4.0-Funktionalitäten. Der Vorteil besteht in der Flexibilisierung für beide Vertragsparteien. Während der Erwerber wählen kann, ob bzw. wie lange er diesen Zusatzservice wünscht, bieten sich für den Dienstleister neue Gestaltungsmöglichkeiten beim Vertrieb. So kann der Dienstleister dem Erwerber beispielsweise in einem be- 58 stimmten Umfang Branchenexklusivität versprechen, da er im Rahmen der SaaS frei bestimmen kann, mit wem er einen Vertrag eingeht. Er wird es zwar nicht verhindern können, wenn seine einmal in den Verkehr ge-
41 Vgl. zum Themenkomplex der vertraglichen Beschränkung der Weitergabe von Software: Scholz, GRUR 2015, 142, 142 ff.
147
Claudio G. Chirco
brachten Ausgabeautomaten auch an Wettbewerber des Erwerbers verkauft werden, aber er kann aufgrund der Vertragsfreiheit entscheiden, wem er die Industrie 4.0-Leistungen zur Verfügung stellt. Ein positiver Nebeneffekt für den Dienstleister ist die hierdurch mögliche Kontrolle des Gebrauchtmarkts für seine Ausgabeautomaten. 59 Im Hinblick auf die Haftung besteht für den Dienstleister im Übrigen der Vorteil, dass hier kein konkreter Erfolg geschuldet ist. Auf Seiten des Erwerbers wird deshalb wiederum das Interesse bestehen, diesen erheblichen Nachteil durch präzise Definition des Leistungsumfangs der Software sowie entsprechend strengen Service-Level-Agreements auszugleichen. IV. Ausblick 60 Die Rolle des Anwalts wird sich bei der Beratung von Projekten aus dem Industriesektor durch den bevorstehenden technischen Wandel nicht grundlegend verändern, aber er wird hierbei zukünftig über eine profunde IT-rechtliche Expertise verfügen müssen. Das Bedürfnis nach dieser Spezialisierung bei der anwaltlichen Beratung wird dabei proportional zu den in diesem Bereich stetig steigenden Investitionen wachsen.42 61 Während beim Erwerb von Produktionsmaschinen bislang der verkörperte Gegenstand und dessen Finanzierung von herausragender Bedeutung waren, wird dieser Aspekt mehr und mehr in den Hintergrund rücken. Dies liegt nicht allein daran, dass die vorstehend thematisierten Themen an Gewicht gewinnen, sondern auch an der sich zukünftig verändernden Vergütungsstruktur. Während bislang auf einen Schlag eine erhebliche Geldsumme nötig war, um die Produktionseinheiten zu erwerben, könnte der eigentliche Preisfaktor bald bei der im Rahmen von Dauerschuldverhältnissen zu vergütenden Software bzw. deren Wartung und Support liegen. Aufgrund der zunehmenden informatorischen Kontrolle über die Produktionsprozesse sind sogar völlig neue Preismodelle, wie eine an dem Produktionserfolg orientierte Vergütung, denkbar. Selbst die Art des Vertragsschlusses wird zu überdenken sein, wenn Softwareagenten innerhalb automatisierter Wertschöpfungsketten dynamische Vertragsabschlüsse herbeiführen.43 Hier stoßen die gesetzlichen Regelungen noch 42 So geht die Bitkom von Investitionen in Industrie 4.0-Lösungen bis zum 2020 in Höhe von 10,9 Milliarden aus, vgl. Investitionen in Industrie 4.0 steigen rasant, Bitkom Presseinformation v. 25.7.2014, https://www.bitkom.org/Presse/ Presseinformation/Investitionen-in-Industrie-40-steigen-rasant.html (zuletzt abgerufen am 26.4.2016). 43 Plattform Industrie 4.0 – Umsetzungsstrategie Industrie 4.0, April 2015, S. 16.
148
Vertragsgestaltung in der Industrie 4.0
an ihre Grenzen, so dass der Anwalt mittels kreativer neuer Vertragsmodelle ein eigenes Regelungssystem implementieren muss. Letztlich wird der Erwerb von Produktionseinheiten bald der Durchfüh- 62 rung eines komplexen IT-Projekts gleichen, bei dem auch innovative Vertriebs- und Vertragsmodelle denkbar sind. So könnte beispielsweise die physische Produktionseinheit im Vergleich zu den Industrie 4.0-Funktionalitäten derart in den Hintergrund rücken, dass die Maschine gemeinsam mit der Software, als „Machine as a Service“ angeboten wird.44 Darüber hinaus werden Datenschutz- und -sicherheit eine herausragen- 63 de Bedeutung bei der anwaltlichen Beratung einnehmen. Das Bedürfnis nach Rechtssicherheit wird dabei dazu führen, dass der Anwalt zukünftig vermehrt bei entsprechenden Zertifizierungsprozessen mitwirken wird. Wie ohnehin im gesamten Bereich des IT-Rechts zu beobachten ist, wer- 64 den die anfallenden Streitigkeiten mit Bezug zu Industrie 4.0-Technologien, soweit möglich, außergerichtlich gelöst. Die Tätigkeit des Anwalts vor auf IT-Streitigkeiten spezialisierten Schiedsgerichten wird dementsprechend ebenso zunehmen, wie er selbst Schlichtertätigkeiten bei punktuellen Meinungsverschiedenheiten während laufender Projekte, beispielsweise im Hinblick auf Change-Requests, Teilabnahmen oder dem Erreichen von Meilensteinen übernehmen wird. Hier wird sich insoweit ein neuer Markt für Anwälte ergeben, die im Rahmen von solchen ad hoc Schlichtungsverfahren eine schnelle Fortführung eines festgefahrenen Projektes herbeiführen können. Letztlich wird das interdisziplinäre Wesen der Industrie 4.0-Technolo- 65 gien die Gründung von Joint-Ventures, sei es zum Zwecke der Forschung und Entwicklung, sei es zum Zwecke der (Zweit)Verwertung des gewonnenen Know-hows begünstigen.
44 Gilart-Iglesias/Maciá-Pérez/Marcos-Jorquera/Mora-Gimeno, „Industrial Machines as a Service: Modelling industrial machinery processes“.
149
Rechtliche und technische Aspekte autonom agierender Systeme Automatisiertes Fahren – Drohnen – Serviceroboter Jan-Philipp Günther*/Lennart S. Lutz** I. Technik um uns herum II. Begriffsverwendungen III. 1. 2. 3. 4.
Automatisierte Fahrzeuge Zulassungsrecht Verhaltensrecht Haftungsrecht Zwischenfazit
IV. Drohnen 1. Zulassungsrecht 2. Verhaltensrecht
3. Haftungsrecht 4. Zwischenfazit V. Serviceroboter 1. Wirtschaftliches Potenzial 2. Zulassungsrecht/Produktsicherheitsrecht 3. Haftung für Serviceroboter 4. Neue Haftungskonzepte für Roboter 5. Zwischenfazit VI. Fazit
Literaturübersicht: Beck, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, 2015, S. 173; Beck, in: Hilgendorf/Günther (Hrsg.), Roboter und Gesetzgebung, 2013, S. 239; BeckOK-BGB/Schaub, § 276; BeckOK-BGB/NN, Vorb. § 823; BeckOK-BGB/Unberath, § 276; Bodungen/Hoffmann, NZV 2015, 521; Bodungen/ Hoffmann, SVR 2016, 41; Lohmann, Erste Barriere für selbstfahrende Fahrzeuge überwunden – Entwicklungen im Zulassungsrecht, 13.12.2015, Abschnitt III, abrufbar unter: http://sui-generis.ch/17; Cacilo et al., Hochautomatisiertes Fahren auf Autobahnen – Industriepolitische Schlussfolgerungen, 2015; Dreier, in: Neumann/Schulz (Hrsg.), Verantwortung in Recht und Moral, 2000, S. 9; Gasser et al., Rechtsfolgen zunehmender Fahrzeugautomatisierung, Berichte der BASt, Heft F83, 2012; Gruber, in: Hilgendorf/Günther (Hrsg.), Roboter und Gesetzgebung, 2012, S. 133; Günther, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, 2015, S. 155; Günther, Roboter und rechtliche Verantwortung, 2016; Hilgendorf, in: VGT 2015, 55; Hötitzsch/May, in: Hilgendorf, Robotik im Kontext von Recht und Moral, 2014, S. 189; Frenz/Casimir-van den Broek, NZV 2009, 529; Kornmeier, Der Einsatz von Drohnen zur Bildaufnahme, 2012; Lämmel/Cleve, Künstliche Intelligenz, 2008; Lutz, DAR 2013, 446; Lutz, DAR 2016, 55; Lutz, in: Hilgendorf/ Hötitzsch/Lutz, Rechtliche Aspekte automatisierter Fahrzeuge, 2015, S. 33; Lutz,
* Dr. Jan-Philipp Günther, Rechtsanwalt, Baker & McKenzie, München. ** Dipl.-Ing. Dipl.-Jur. Lennart S. Lutz, Forschungsstelle RobotRecht, Universität Würzburg.
151
Jan-Philipp Günther/Lennart S. Lutz NJW 2015, 119; Lutz, NZV 2014, 67; Lutz, NZV 2016, im Erscheinen; Lutz, PHi 2016, 2; MüKo-BGB/Wagner, § 2 ProdHaftG; MüKo-BGB/Wagner, § 823; Regenfus, NZM 2011, 799; Schrader, NJW 2015, 3537; Schubert, PHi 2015, 46–5; Solmecke/Nowak, MMR 2014, 431.
I. Technik um uns herum 1 Rasante technische Fortschritte im Bereich der Mikroelektronik und des Software Engineerings haben es in den letzten Jahren ermöglicht, unterschiedlichste Maschinen mit einem zusehends höheren Grad von „Intelligenz“ auszustatten. Der ursprünglich auf die industrielle Produktion konzentrierten Automatisierungstechnik haben sich so gänzlich neue Anwendungsfelder erschlossen. Eine besonders dynamische Entwicklung vollzieht sich momentan in drei Teilgebieten, nämlich dem automatisierten Fahren, dem Einsatz von (zivilen) Drohnen und der (Service-) Robotik. Von diesen ausgehend spürt der vorliegende Beitrag der Frage nach, inwieweit der Einsatz autonomer Systeme mit der derzeitigen Rechtslage vereinbar ist und welche zulassungs- und haftungsrechtlichen Anpassungen ggf. vorgenommen werden sollten. 2 So kann es auch bei Einsatz dieser neuen Systeme zu Schäden kommen und es stellt sich die Frage der rechtlichen Verantwortlichkeit. Beispielsweise kam es im September 2015 zu einem Unfall mit einem Mähroboter:1 Ein Dreijähriger betrat das Grundstück eines Nachbarn, auf dem ein Mähroboter arbeitete. Der Mähroboter kollidierte von hinten mit dem Kind und zerschnitt dem Jungen den Fuß. Glückerweise konnte der Junge in einem Krankenhaus operiert werden und die Operation verlief erfolgreich. Aus rechtlicher Perspektive stellt sich die Frage der Verantwortung. Kann etwa Schadensersatz vom Hersteller oder den Nachbarn verlangt werden? Die Eltern des Jungen haben eine Anwältin eingeschaltet, die argumentiert, dass die Nachbarn ihre Aufsichtspflicht verletzt haben da sie den Roboter unbeaufsichtigt betrieben haben und das Grundstück nicht gesichert war. 3 Zwar sind Systeme wie der soeben beschriebene Mähroboter wohl noch nicht als tatsächlich autonom zu bezeichnen und in ihren Fähigkeiten noch recht begrenzt. Dennoch zeigt das Beispiel eindrücklich, dass es 1
NWZ Online, Mähroboter zerschneidet Kinderfuß – Huder Familie warnt vor Gefahr, 16.9.2015, http://www.nwzonline.de/blaulicht/maehroboter-zerschneidet-kinderfuss-maehroboter-zerschneidet-kinderfuss_a_30,1, 979365985.html; Focus online, Rasenmäher-Roboter zerschneidet kleinem Jungen die Ferse – „Klingen liefen einfach weiter“, 15.9.2015, http://www.focus.de/panorama/ welt/klingen-liefen-einfach-weiter-rasenmaeher-roboter-zerschneidet-kleinemjungen-die-ferse_id_4949479.html.
152
Rechtliche und technische Aspekte autonom agierender Systeme
beim Einsatz von solchen Systemen zu Personen- und Sachschäden kommen kann. II. Begriffsverwendungen Um sich dem Thema aus rechtlicher Perspektive zu nähern, ist es not- 4 wendig, Klarheit über die verwendeten Begriffe zu schaffen. Was ist unter autonom zu verstehen, was ist künstliche Intelligenz und wie kann man (rechtliche) Verantwortung beschreiben? Derzeit ist es schwierig, allgemein anerkannte Definitionen im Bereich 5 der autonomen Systeme zu finden.2 Das sei am Beispiel des Begriffes Autonomie gezeigt: Mag der Techniker bei einer strengen Interpretation des Begriffs Autonomie ein System vor Augen haben, welches beispielsweise ohne externe Stromversorgung auskommt, so könnte der Philosoph Autonomie im Sinne von Selbstbestimmung begreifen.3 Für die rechtliche Bewertung im Abschnitt V.3 soll Autonomie als Grad 6 an Wissen über ein System verstanden werden.4 Ist der Grad an Wissen über ein System hoch, ist die Autonomie des Systems für den Betrachter gering. Verfügt der Betrachter hingegen über spärliches Wissen bezüglich des Systems, ist die Autonomie des Systems hoch. Dies wird insbesondere bei der rechtlichen Bewertung der Fahrlässigkeit relevant werden, siehe Abschnitt 5.3. Künstliche Intelligenz ist für die nachfolgenden Überlegungen als Teil- 7 gebiet der Informatik zu sehen. Es sollen neue oder effizientere Aufgabenlösungen erreicht werden, indem menschliche Vorgehensweisen der Problemlösung auf Computern nachgebildet werden.5 Bezüglich der rechtlichen Verantwortung ist zunächst festzustellen, dass 8 es nicht die Verantwortung oder das Konzept der Verantwortung gibt.6 Vielmehr unterscheidet sich das Konzept Verantwortung nach Rechts2 3 4 5
6
Vgl. hierzu Günther, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 157; Günther, Roboter und rechtliche Verantwortung, Teil 1. Günther, Roboter und rechtliche Verantwortung, Teil 1. Zu diesem Ansatz Günther, Roboter und rechtliche Verantwortung, Teil 1, B., III., 2., m. w. N. (im Erscheinen). Lämmel/Cleve, Künstliche Intelligenz, S. 14; Günther, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 157; Günther, Roboter und rechtliche Verantwortung, Teil 1, B. I, 1., m. w. N. Beck, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 173; Dreier, in: Neumann/Schulz (Hrsg.), Verantwortung in Recht und Moral, S. 12; Günther, Roboter und rechtliche Verantwortung, Teil 1, C., m. w. N.
153
Jan-Philipp Günther/Lennart S. Lutz
gebiet und Lebenszusammenhang.7 Im Ausgangspunkt bedeutet verantworten sein Handeln zu begründen, es zu verteidigen oder auch für sein Handeln Rechenschaft abzulegen.8 Genauer ausgestaltet wird dann die rechtliche Verantwortung durch Rechtsnormen, beispielsweise zur Haftung. 9 Nach diesem kurzen Ausflug in das Problem der Begriffsdefinitionen sei sich nun den Beispielen, den automatisierten Fahrzeugen, Drohnen und Servicerobotern zugewandt. III. Automatisierte Fahrzeuge 10 Kaum ein anderes Thema an der Schnittstelle von Technik und Recht erfreut sich derzeit einer vergleichbaren medialen Aufmerksamkeit wie das automatisierte Fahren.9 Dies verwundert kaum, spricht doch viel für eine blühende Zukunft von Pkw, die die Fahraufgabe zumindest abschnittsweise selbsttätig ausführen können: So werden nicht nur Verbesserung der Verkehrssicherheit sowie des Umweltschutzes und eine Entlastung des Fahrers erwartet,10 sondern auch bedeutende wirtschaftliche11 Vorteile für den Industriestandort Deutschland. Bislang ist das Verkehrsrecht allerdings auf den vom Menschen gelenkten Verkehr zugeschnitten, weshalb vor dem Übergang zum automatisierten Verkehr verschiedene rechtliche Hürden zu überwinden sind.
7 Beck, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 173; Dreier, in: Neumann/Schulz (Hrsg.), Verantwortung in Recht und Moral, S. 12; Günther, Roboter und rechtliche Verantwortung, Teil 1, C., m. w. N. 8 Günther, Roboter und rechtliche Verantwortung, Teil 1, C., m. w. N. 9 Siehe zum automatisierten Fahren auch den Beitrag von Riess im selben Band. 10 Bundesregierung, Strategie automatisiertes und vernetztes Fahren, S. 8, verfügbar unter www.bmvi.de/SharedDocs/DE/Publikationen/StB/broschuere-strategieautomatisiertes-vernetztes-fahren.pdf?blob=publication File; Empfehlung des Arbeitskreises II, 53. Deutscher Verkehrsgerichtstag 2015, abrufbar unter: http://www.deutscher-verkehrsgerichtstag.de/images/empfehlungen_pdf/empfehlungen_53_vgt.pdf. 11 Cacilo et al., Hochautomatisiertes Fahren auf Autobahnen – Industriepolitische Schlussfolgerungen, 2015, S. 120 ff., verfügbar unter: www.bmwi.de/ BMWi/Redaktion/PDF/H/hochautomatisiertes-fahren-aufautobahnen,property=pdf,bereich=bmwi2012, sprache=de,rwb=true.pdf; RolandBerger Think Act, Autonomous driving, 11.2014, S. 10, abrufbar unter: https://new.roland berger.com/wp-content/uploads/Roland_Berger_Autonomous-Driving1.pdf.
154
Rechtliche und technische Aspekte autonom agierender Systeme
1. Zulassungsrecht Voraussetzung für die Einführung automatisierter Fahrzeuge ist zu- 11 nächst, dass die einschlägigen technischen Bauvorschriften einen automatisierten Betrieb überhaupt zulassen. Maßgeblich sind für neue Großserienfahrzeuge insoweit die Vorgaben der RL 2007/46/EG, die in ihrem Anhang IV hinsichtlich der eigentlichen technischen Anforderungen auf die sog. ECE-Regeln verweist. Diese werden auf Grundlage des sog. ECEAbkommens12 von 1958, einem völkerrechtlichen Vertrag, erlassen und auch in vielen Ländern außerhalb der EU für die Zulassung von Fahrzeugen herangezogen. Da derzeit keine spezielle ECE-Regel für automatisierte Steuerungen 12 existiert, sind diese nach den allgemeinen Anforderungen zu beurteilen. Im Zusammenhang mit der automatisierten Durchführung der Fahrbewegung sind insbesondere die ECE-Regel 13-H für Bremsen und die ECERegel 79 für Lenkanlagen relevant:13 In ECE-Regel 13-H werden explizit Anforderungen an automatisch ge- 13 steuerte Bremsungen normiert – sie sind daher bereits heute unproblematisch zulässig, wenn ihre Betätigung wie von Abs. 5.2.22.2. gefordert zur Einschaltung der Bremsleuchte führt und die in Anhang 8 der ECERegel 13-H niedergelegten Entwicklungs- und Dokumentationsvorschriften beachtet werden. Die ECE-Regel 79 enthält für Lenkanlagen dagegen deutlich restriktivere 14 Vorgaben. So darf eine automatische Lenkfunktion gem. Abs. 5.1.6.1. der ECE-Regel nur bei Geschwindigkeiten bis maximal 12 km/h (10 km/h zuzüglich 20 % Toleranz) zum Einsatz kommen. Zulässig sind damit zwar Einparkautomaten, automatisiertes Fahren bei normalen Geschwindigkeiten und insbesondere auf der Autobahn ist dagegen ausgeschlossen. Teilweise werden weitere Restriktionen auch den ECE-Regeln 6 bzw. 48 15 entnommen, die sich mit Fahrtrichtungsanzeigern (Blinkern) und deren Anbau am Fahrzeug beschäftigen: Da eine automatisierte Aktivierung des Blinkers nicht ausdrücklich vorgesehen ist, soll diese unzulässig
12 Agreement concerning the adoption of uniform technical prescriptions for wheeled vehicles, equipment and parts which can be fitted to and/or be used on wheeled vehicles and the conditions for reciprocal recognition of approvals granted on the basis of these prescriptions, abrufbar unter: www.unece.org/ fileadmin/DAM/trans/main/wp29/wp29regs/505ep29.pdf. 13 Zum Ganzen ausführlich auch Lutz, in: Hilgendorf/Hötitzsch/Lutz, Rechtliche Aspekte automatisierter Fahrzeuge, 2015, S. 33, 45 ff.
155
Jan-Philipp Günther/Lennart S. Lutz
sein.14 Dagegen spricht allerdings, dass selbst der manuelle Bedienungsvorgang keine Normierung gefunden hat, sodass sich aus dem diesbezüglichen „Schweigen“ der ECE-Regeln 6 und 48 keine Einschränkungen ableiten lassen.15 16 Insgesamt ist daher festzuhalten, dass im Bereich des Zulassungsrechts bislang die ECE-Regel 79 die wesentliche Hürde für die Einführung automatisierter Fahrzeuge enthält. Dieses Problem wurde auch in dem für Änderungen der ECE-Regeln zuständigen Gremium, der WP.29 der UNECE16 erkannt, das Anfang des letzten Jahres eine sog. informal Group mit der Ausarbeitung eines Änderungsvorschlags beauftragt hat. Nach dem derzeitigen Diskussionsstand sollen zukünftig verschiedene Kategorien von automatischen Lenkfunktionen unterschieden werden, wobei die höchstentwickelten automatisierten Fahrten auf autobahnähnlichen Straßen, inklusive aller erforderlichen Fahrmanöver, ermöglichen würden.17 Ein Fahrer muss jedoch weiterhin vorhanden und im Bedarfsfall in der Lage sein, die Fahrzeugführung nach Aufforderung innerhalb einer Vorwarnzeit von 4s wieder zu übernehmen. 17 Die Arbeiten an dem Änderungsvorschlag sind relativ weit fortgeschritten, sodass eine Modifikation der ECE-Regel 79 möglicherweise bereits Ende 2016 oder Anfang 2017 erfolgen könnte. 2. Verhaltensrecht 18 Näherer Untersuchung bedarf daneben, welchen Restriktionen der Fahrer bei der Benutzung eines automatisierten Fahrzeugs unterworfen ist. Sein volles Potenzial kann dieses nämlich nur dann entfalten, wenn der Fahrer bei Aktivität der automatisierten Steuerung in gewissem Umfang Nebentätigkeiten nachgehen und die Fahrzeit somit sinnvoll nutzen kann.18 19 Die in der StVO enthaltenen Verkehrsregeln richten Anforderungen jedoch vielfach unmittelbar an den Fahrzeugführer, weshalb teilweise 14 Cacilo et al., a. a. O. (Fn. 11), S. 116. 15 Auch mit einer näheren Analyse Lutz, PHi 2016, 2, 3. 16 „World Forum for Harmonization of Vehicle Regulations“ der „United Nations Economic Commission for Europe (UNECE)“. 17 Informal Document ACSF-05-16, abrufbar unter: https://www2.unece.org/ wiki/download/attachments/29229510/ACSF-05-16 %20 %20 %28Secretary%29%20Consolidated%20Document%20after%205th%20meeting.pdf?api=v2; vgl. ausführlich dazu Lutz, PHi 2016, 2, 3 f. 18 Ausführlich dazu und zu dem verfassungsrechtlichen Rahmen Lutz, NZV 2016, im Erscheinen.
156
Rechtliche und technische Aspekte autonom agierender Systeme
angenommen wird, dieser müsse die automatisierte Fahrt und das Verkehrsgeschehen zumindest ständig überwachen und dürfe keine Nebentätigkeiten aufnehmen.19 Telos der StVO ist es jedoch nicht primär, dem Fahrer ein bestimmtes Verhalten abzuverlangen, sondern die Bewegung der Verkehrsteilnehmer abstrakt zu normieren um etwa Zusammenstöße zu vermeiden. Häufig knüpft sie Verhaltensregeln daher unmittelbar an Fahrzeuge selbst, die beispielsweise gem. § 3 Abs. 2 StVO ohne triftigen Grund nicht so langsam fahren dürfen, dass sie den Verkehrsfluss behindern.20 Sowohl eine technikfreundliche Interpretation wie auch gesetzgeberische 20 Änderungen wären jedoch ohnehin nur zulässig, wenn automatisiertes Fahren auch mit dem Wiener Übereinkommen über den Straßenverkehr von 1968 (WÜ) vereinbar ist. An diesem völkerrechtlichen Vertrag sind neben Deutschland noch 72 weitere Staaten beteiligt, die – sofern sie das WÜ ratifiziert haben – gem. Art. 3 Abs. 1 lit. a WÜ gewährleisten müssen, dass ihre innerstaatlichen Verkehrsregeln mit den Vorgaben in Kapitel II des WÜ in ihrem sachlichen Gehalt übereinstimmen. In der Vergangenheit hat die herrschende Meinung insbesondere aus 21 Art. 8 Abs. 5 und Art. 13 Abs. 1 Satz 1 WÜ, nach denen der Fahrer sein Fahrzeug jederzeit beherrschen muss, abgeleitet, dass die Aufnahme von Nebentätigkeiten und damit automatisiertes Fahren im eigentlichen Sinne nicht mit dem WÜ vereinbar ist.21 Bereits am 22.3.2016 trat nun jedoch eine Änderung des WÜ in Kraft,22 22 durch die in Art. 8 WÜ ein neuer sog. Abs. 5 bis aufgenommen wird.23 Nach diesem gelten die Anforderungen des Art. 8 Abs. 5 und des Art. 13 Abs. 1 WÜ für solche Fahrzeugsysteme als erfüllt, die entweder entsprechend den bereits erwähnten ECE-Regeln konstruiert sind oder vom Fah19 Cacilo et al., a. a. O. (Fn. 11), S. 109 f.; Gasser et al., Rechtsfolgen zunehmender Fahrzeugautomatisierung, Berichte der BASt, Heft F83, 2012, S. 57, 73 ff., 79 ff. 20 Lutz, NJW 2015, 119, 122. 21 Cacilo et al., a. a. O. (Fn. 11), S. 336 ff.; Lutz, NJW 2015, 119, 122; Hötitzsch/ May, in: Hilgendorf, Robotik im Kontext von Recht und Moral, 2014, S. 189, 197; Frenz/Casimir-van den Broek, NZV 2009, 529, 533; ausführlich zur Auslegung des WÜ Lutz, NZV 2014, 67-72. 22 Siehe dazu Depositary Notification C.N.529.2015.TREATIES-XI.B.19, abrufbar unter: https://treaties.un.org/doc/Publication/CN/2015/CN.529.2015. Reissued.06102015-Eng.pdf. 23 Siehe zum Text des Änderungsvorschlags ECE/TRANS/WP.1/2014/1, abrufbar unter: http://www.unece.org/fileadmin/DAM/trans/doc/2014/wp1/ECETRANS-WP1-2014-1e.pdf.
157
Jan-Philipp Günther/Lennart S. Lutz
rer übersteuert oder ausgeschaltet werden können. Die herrschende Meinung sieht die Änderung auch als vorrangig gegenüber den sonstigen auf den Fahrer bezogenen Anforderungen des WÜ an, sodass die Aufnahme von Nebentätigkeiten während einer automatisierten Fahrt zukünftig mit diesem vereinbar sein dürfte.24 23 Eine derartige technikfreundliche Auslegung dürfte auch die einzige Möglichkeit bieten, um automatisierte Fahrzeuge zeitnah in den Markt einführen zu können. Ein sehr weitreichender Änderungsvorschlag der Schweden und Belgier, der allerdings noch verschiedene Ungereimtheiten aufwies, ist Ende des Jahres 2015 nämlich vom zuständigen Gremium abgelehnt worden.25 Das Änderungsprozedere beansprucht aber ca. zwei Jahre, sodass weitere Modifikationen frühestens bis zum Jahr 2018 möglich wären.26 3. Haftungsrecht 24 Automatisierte Fahrzeuge werden vom geltenden Haftungsrecht vollumfänglich erfasst. Zwar entfällt der Fahrer als Fehlerquelle, sodass eine verschuldensabhängige Haftung regelmäßig nicht in Betracht kommen dürfte.27 Der Halter muss gem. § 7 StVG jedoch verschuldensunabhängig für jegliche Schäden einstehen, die von seinem Fahrzeug verursacht werden, auf den Automatisierungsgrad kommt es dabei nicht an. 25 Eine Feinjustierung ist lediglich bei den Haftungshöchstbeträgen erforderlich. Derzeit ist die Halterhaftung nämlich gem. § 12 StVG bei Personenschäden auf 5 Millionen Euro und bei Sachschäden auf 1 Million Euro begrenzt. Bislang war dies unproblematisch, da regelmäßig parallel eine unbegrenzte Haftung des Fahrers bestand. Da dieser beim automati-
24 Mit einer ausführlichen Darstellung Lutz, DAR 2013, 446, 449 f.; ders., NJW 2015, 119, 123; ders., in: Hilgendorf/Hötitzsch/Lutz, Rechtliche Aspekte automatisierter Fahrzeuge, 2015, S. 33, 40 ff.; ebenso Cacilo et al., a. a. O. (Fn. 11), 120 ff.; Lohmann, Erste Barriere für selbstfahrende Fahrzeuge überwunden – Entwicklungen im Zulassungsrecht, 13.12.2015, Abschnitt III, abrufbar unter: http://sui-generis.ch/17; dies., Automatisierte Fahrzeuge im Lichte des Schweizer Zulassungs und Haftungsrechts, 2016 (im Erscheinen); dafür auch Hilgendorf, in: VGT 2015, 55, 61 f.; anders v. Bodungen/Hoffmann, SVR 2016, 41, 45 ff. 25 Working Document ECE/TRANS/WP.1/2015/8, S. 7 f., abrufbar unter: http:// www.unece.org/fileadmin/DAM/trans/doc/2015/wp1/ECE-TRANS-WP12015-8e.pdf; ausführlich dazu v. Bodungen/Hoffmann, NZV 2015, 521-526. 26 Lutz, DAR 2016, 55, 56. 27 So auch Schrader, NJW 2015, 3537, 3541.
158
Rechtliche und technische Aspekte autonom agierender Systeme
sierten Fahren nicht mehr als Haftungssubjekt zur Verfügung steht, sollten die Obergrenzen zukünftig an- oder aufgehoben werden.28 Daneben dürfte zukünftig die Bedeutung der Produkt- bzw. Produzen- 26 tenhaftung gem. § 1 ProdHaftG, § 823 Abs. 1 BGB zunehmen; schließlich wird bei Unfällen, die im automatisierten Fahrmodus entstehen, zumindest in gewissen Konstellationen ein Produktfehler des Fahrzeugs zu bejahen sein, wodurch ein Regress der Pflichtversicherer gegen den Hersteller möglich würde.29 4. Zwischenfazit Als Ergebnis lässt sich festhalten: Die Einführung automatisierter Fahr- 27 zeuge setzt zwingend eine Änderung der ECE-Regeln voraus, die automatisch aber auch zu einer Vereinbarkeit mit dem Wiener Übereinkommen führen dürfte. Im Haftungsrecht müssen dagegen lediglich die Haftungshöchstgrenzen der Halterhaftung angepasst werden; hinsichtlich der Möglichkeit eines Regresses der Pflichtversicherung gegen den Fahrzeughersteller für im automatisierten Modus verursachte Schäden besteht derzeit eine gewisse Rechtsunsicherheit. IV. Drohnen Nicht nur im Straßen-, sondern auch im Luftverkehr ist eine zunehmen- 28 de Automatisierung zu verzeichnen; auch um den vermehrten Einsatz von Drohnen wird in jüngster Zeit eine intensive Diskussion geführt. Im zivilen Bereich lassen sich dabei vor allem zwei Klassen von Droh- 29 nen unterscheiden: Einerseits die heute bereits sehr kostengünstig zu erwerbenden Modelle, die von einem Operator unmittelbar ferngesteuert werden, meist mit Videokameras ausgestattet sind und so vor allem Probleme des Datenschutzes aufwerfen.30 Aufgrund der unmittelbaren Fernsteuerung handelt es sich nicht um autonome Systeme im Sinne dieses Beitrages. Allerdings haben in den letzten Jahren verschiedene Unternehmen angekündigt, Kleinstfluggeräte zu entwickeln, die Pakete ohne menschlichen Eingriff automatisiert an den Endkunden ausliefern können.31 Die EU-Kommission geht davon aus, dass auf Drohnen binnen
28 Lutz, NJW 2015, 119, 120. 29 Dazu und zu Alternativen Gestaltungsmöglichkeiten: Schubert, PHi 2015, 46-51; Lutz, NJW 2015, 119 ff. 30 Dazu etwa Regenfus, NZM 2011, 799. 31 Siehe beispielsweise http://www.dhl.de/paketkopter.
159
Jan-Philipp Günther/Lennart S. Lutz
der nächsten 10 Jahren ein Marktanteil von 15 Milliarden Euro entfallen wird.32 30 Im Folgenden soll näher betrachtet werden, welche rechtlichen Hürden dem Serieneinsatz derartiger Drohnen bislang entgegenstehen. 1. Zulassungsrecht 31 Anders als im Straßenverkehrsrecht sind zunächst keine Vorgaben aus dem überstaatlichen Recht zu beachten: Zwar schafft die europäische VO Nr. 216/2008 einen harmonisierten rechtlichen Rahmen für die zivile Luftfahrt. Nach Art. 4 Abs. 4, 5 i. V. m. lit. i des Anhang II sind unbemannte Luftfahrzeuge mit einer Betriebsmasse bis 150 kg aber vom Anwendungsbereich der Verordnung ausgenommen, weshalb entsprechende Vorgaben in die Zuständigkeit der Mitgliedstaaten fallen.33 32 Zur Regulierung des Luftverkehrs bedient sich der deutsche Gesetzgeber der aus dem Straßenverkehr bekannten Regelungsstruktur: Grundlegende Vorgaben enthält das Luftverkehrsgesetz, das durch eine Luftverkehrsordnung und Luftverkehrszulassungsordnung näher konkretisiert wird. 33 Das Luftfahrtgesetz und entsprechend die nachgeordneten Vorschriften sind gem. § 1 auf zwei Arten unbemannter Luftfahrzeuge anwendbar: Einerseits die sog. Flugmodelle und andererseits die unbemannten Luftfahrtsysteme. Wie der Gesetzgeber in der Legaldefinition des unbemannten Luftfahrtsystems in § 1 Abs. 2 Satz 3 LuftVG klargestellt hat, ist das entscheidende Abgrenzungskriterium dabei die Art der Nutzung:34 Werden die Fluggeräte wie die hier betrachteten Logistikdrohnen nicht zu Zwecken des Sports oder der Freizeitgestaltung betrieben, sind diese als unbemannte Luftfahrtsysteme und nicht als Flugmodelle anzusehen, sodass der Anwendungsbereich des Luftverkehrsrechts grundsätzlich eröffnet ist. 34 Auf Logistikdrohnen anwendbar ist damit prinzipiell auch die LuftVZO. Grundsätzlich bedürfen Luftfahrzeuge nach § 1 LuftVZO einer sog. Musterzulassung, in der die Einhaltung von technischen Anforderungen einer gesamten Baureihe überprüft wird und nach § 6 LuftVZO einer Verkehrszulassung eines einzelnen Fluggerätes. Unbemannte Luftfahrtsysteme 32 Europäische Kommission, Pressemitteilung v. 8.4.2014, http://europa.eu/rapid/press-release_IP-14-384_de.htm. 33 EASA, Vorschriften für den Betrieb von Drohnen in Europa, September 2015, S. 2, abrufbar unter: http://easa.europa.eu/download/ANPA-translations/205933_EASA_Summary%20of%20the%20ANPA_DE.pdf. 34 Solmecke/Nowak, MMR 2014, 431, 432.
160
Rechtliche und technische Aspekte autonom agierender Systeme
sind gem. § 1 Abs. 4 Satz 1 Nr. 2 und § 6 Abs. 2 Satz 1 LuftVZO aber ausdrücklich von der Zulassungspflicht ausgenommen.35 Anders als bei automatisierten Straßenfahrzeugen stellt das Zulassungsrecht für Drohnen daher keine Hürde dar. 2. Verhaltensrecht Umso größere Probleme ergeben sich allerdings im Luftverkehrsord- 35 nungsrecht: So ist der Einsatz von unbemannten Luftfahrtsystemen nach § 20 Abs. 1 Nr. 7 LuftVO zunächst erlaubnispflichtig. Da die Erlaubnis gem. Abs. 4 aber erteilt wird, wenn die Nutzung zu keiner Gefahr für die Sicherheit und Ordnung des Luftverkehrs führen kann, dürften diese Vorgaben wohl grundsätzlich erfüllbar sein. Erhebliche Schwierigkeiten bereitet jedoch § 19 Abs. 3 LuftVO. Nach 36 dessen Satz 1 ist der Betrieb von unbemannten Luftfahrtsystemen verboten, wenn diese entweder außerhalb der Sichtweite des Steuerers36 eingesetzt werden oder wenn diese eine Gesamtmasse von mehr als 25 kg aufweisen. Während die letztere Anforderung möglicherweise noch erfüllbar wäre – die Drohnen könnten dann eben nur kleinere Päckchen ausliefern – steht die erstere automatisierten Drohnen diametral entgegen. Schließlich sollen diese gerade außerhalb der Sichtweite des Steuerers bzw. gänzlich ohne einen solchen eingesetzt werden. Zwar kann die zuständige Behörde unter bestimmten Voraussetzungen Ausnahmen zulassen, von dieser Möglichkeit dürfte aber wohl nur zurückhaltend Gebrauch gemacht werden. 3. Haftungsrecht Haftungsrechtlich wirft der Einsatz von Drohnen dagegen keine besonde- 37 ren Probleme auf. Insoweit besteht eine dem Straßenverkehr vergleichbare Situation: § 33 Abs. 1 Satz 1 LuftVG begründet eine Gefährdungshaftung des Halters der Drohne, die nach § 37 Abs. 1 lit. a LuftVG auf einen Höchstbetrag von 750.000 sog. Rechnungseinheiten begrenzt ist. Nach § 49b Satz 1 LuftVG ist das Sonderziehungsrecht des internationalen Währungsfonds gemeint, sodass sich nach dem derzeitigen Umrechnungskurs ein Haftungshöchstbetrag von ca. 920.000 Euro ergibt. Daneben bleiben die allgemeinen Haftungstatbestände, beispielsweise gem. § 823 BGB nach § 42 LuftVG vollumfänglich anwendbar. Wie im
35 Vgl. auch Kornmeier, Der Einsatz von Drohnen zur Bildaufnahme, S. 59. 36 Dazu auch Solmecke/Nowak, MMR 2014, 431, 432.
161
Jan-Philipp Günther/Lennart S. Lutz
Straßenverkehr ist der Halter dabei gem. §§ 43 Abs. 2 Satz 1 LuftVG, 102 LuftVZO zum Abschluss einer Versicherung verpflichtet. 4. Zwischenfazit 38 Insgesamt lässt sich damit festhalten, dass dem Einsatz von Drohnen etwas geringere Hürden entgegenstehen als dem automatisierten Fahren. Schließlich wären Drohnen immerhin aufgrund einer Sondererlaubnis außerhalb der Sichtweite des Steuerers einsetzbar, während der Zulassung von automatisierten Fahrzeugen die zwingend anwendbare ECE-R 79 entgegensteht. V. Serviceroboter 39 Im Folgenden soll es nun um Serviceroboter gehen. Serviceroboter sind technische Systeme, die nicht in industrieller Umgebung eingesetzt werden, für den durchschnittlichen Benutzer einen mittleren bis hohen Grad an Autonomie besitzen und in der Lage sind, nützliche Dienste für den Menschen zu verrichten.37 40 (Zukünftige) Anwendungsbeispiele sind vielseitig: So werden Roboter entwickelt, die zur Betreuung von älteren Menschen oder im medizinischen Bereich eingesetzt werden können. Andere Anwendungsgebiete sind etwa der Roboter als Musemsführer oder als Wachmann. Roboter, die den Rasen mähen oder den Boden saugen werden inzwischen schon in Massenproduktion hergestellt und sind für den Heimgebrauch zu erwerben. 1. Wirtschaftliches Potenzial 41 Die Verbreitung von Servicerobotern nimmt weltweit zu. So wurden im Jahr 2014 im professionellen Bereichen 24.207 Einheiten mit einem Gesamtwert von 3,77 Milliarden US-Dollar verkauft, was einem Plus von 11,5 % im Gegensatz zum Vorjahr entspricht.38 Noch höher ist die Zunahme an Stückzahlen im heimischen Bereich. Dort wurden im Jahr 2014 ca. 4,7 Millionen Einheiten mit einem Gesamtwert von 2,2 Milliar-
37 Angelehnt an IFR – International Federation of Robotics, Service Robots, Definition of Service Robots, http://www.ifr.org/service-robots/. 38 International Federation of Robotics, Service Robot Statistics, World Robotics 2015 Service Robots, .
162
Rechtliche und technische Aspekte autonom agierender Systeme
den US-Dollar auf den Markt gebracht – dies entspricht einem Verkaufsplus von 28 % im Vergleich zum Jahr 2013.39 Es wird geschätzt, dass zwischen 2015 bis 2018 ca. 152.400 professionelle 42 Serviceroboter im Gesamtwert von 19,6 Milliarden US-Dollar verkauft werden – für den heimischen Bereich wird eine Zunahme von 35 Millionen neuer Einheiten erwartet.40 Es ist erkennbar, dass in den nächsten Jahren mehr und mehr Service- 43 roboter um uns herum eingesetzt werden und es fragt sich, ob das Recht auf diesen neuen Mitspieler vorbereitet ist. 2. Zulassungsrecht/Produktsicherheitsrecht Im Gegensatz zu automatisieren Fahrzeugen oder Drohnen, gibt es kein 44 spezielles Recht, welches konkret den Betrieb von Servicerobotern regelt und sich explizit an den Benutzer richtet. Für denjenigen, der Serviceroboter am Markt bereitstellt, gilt jedoch 45 das Produktsicherheitsrecht (§ 1 ProdSG). Ein solches Bereitstellen am Markt kann dabei, je nach Einzelfall, durch einen Hersteller, einen Importeur oder einen Händler geschehen.41 Ausgangspunkt ist, dass nur sichere Produkte auf den europäischen Binnenmarkt gebracht werden. Nach § 3 Abs. 1 ProdSG darf ein Produkt, soweit es einer oder meh- 46 reren Rechtsverordnungen unterliegt, nur auf dem Markt bereitgestellt werden, wenn es (1.) die darin vorgesehenen Anforderungen erfüllt und (2.) die Sicherheit und Gesundheit von Personen oder sonstige in den Rechtsverordnungen aufgeführte Rechtsgüter bei bestimmungsgemäßer oder vorhersehbarer Verwendung nicht gefährdet. Dies betrifft den sog. harmonisierten Bereich, also ein Produkt, das unter eine spezielle Rechtsverordnung fällt. Die angesprochenen Rechtsverordnungen verweisen auf Europäische Richtlinien, die detaillierte Vorgaben beinhalten und primär das Produktdesign betreffen; etwa Not-Aus-Mechanismen oder Vorgaben zu Risiken durch bewegliche Teile. In Betracht für den Bereich der Servicerobotik kommen beispielsweise die Maschinenverordnung und die Niederspannungsverordnung.
39 International Federation of Robotics, Service Robot Statistics, World Robotics 2015 Service Robots. 40 International Federation of Robotics, Service Robot Statistics, World Robotics 2015 Service Robots. 41 MüKo-BGB/Wagner, § 823, Rz. 697 f.; Günther, Roboter und rechtliche Verantwortung, Teil 2, A., IV., 2., a), bb), (1), β), m. w. N.
163
Jan-Philipp Günther/Lennart S. Lutz
3. Haftung für Serviceroboter 47 Zunächst soll ein Blick auf die Benutzer-/Betreiberhaftung geworfen werden. Zur Illustration soll folgendes Beispiel dienen: 48 Ein Serviceroboter wird in einem Museum eingesetzt. Dieser Serviceroboter verfügt über einen hohen Grad an Autonomie. Während der Öffnungszeiten kollidiert der Roboter mit einem Besucher. Der Besucher stürzt und wird leicht verletzt. 49 Um eine vertragliche Haftung nach § 280 BGB oder eine deliktische Haftung nach § 823 BGB zu begründen, muss dem Betreiber des Roboters schuldhaftes Verhalten vorzuwerfen sein. Hier stellt sich insbesondere die Frage nach der Fahrlässigkeit. § 276 Abs. 2 BGB stellt dazu die Regel auf, dass, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt, fahrlässig handelt. Die Fahrlässigkeit setzt sich dabei grundsätzlich aus zwei Elementen zusammen: Zum einen die Erkennbarkeit, zum anderen die Vermeidbarkeit.42 Problematisch könnte, je nach Einzelfall und Art des eingesetzten Serviceroboters, die Erkennbarkeit sein, wenn der Serviceroboter dazu in der Lage ist, etwa auf Grund von bestimmten Algorithmen selbstständig Entscheidungen zu treffen.43 So müssen die haftungsbegründen Umstände (z.B. der Erfolg als solcher, soweit der haftungsbegründende Tatbestand einen Erfolg voraussetzt) vorhersehbar sein, wenn auch nicht in allen Einzelheiten.44 Dies ist aus objektiver Sichtweise zu beurteilen. Es ist zu fragen, „was von einem durchschnittlichen Anforderungen entsprechenden Angehörigen des jeweiligen Verkehrskreises in der jeweiligen Situation erwartet werden konnte, ohne Rücksicht darauf, ob der Handelnde nach seinen individuellen Fähigkeiten, Kräften, Erfahrungen und Kenntnissen die objektiv gebotene Sorgfalt erkennen und erbringen konnte“45. Es wird Fälle geben, in denen der Betreiber aus objektiver Perspektive das Geschehen nicht erkennen bzw. vorhersehen konnte, da der Roboter einen hohen Grad an Autonomie für ihn besitzt. Wenn der Betreiber die Gefahr objektiv nicht erkennen konnte, kann § 823 BGB keine Haftung begründen. Im Vertragsverhältnis kann die Beweislastumkehr gem. § 280 Abs. 1 Satz 2 BGB einen Vorteil
42 BeckOGK-BGB/Schaub, § 276, Rz. 56. 43 Vgl. zu diesem Problem etwa Günther, Roboter und rechtliche Verantwortung, Teil 2, A., II., 1., b), bb), (2), m. w. N.; Günther, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 162 f. 44 BeckOGK-BGB/Schaub, § 276, Rz. 60. 45 BeckOK-BGB/Unberath, § 276, Rz. 21, m. w. N.; siehe auch Günther, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 162; Günther, Roboter und rechtliche Verantwortung, Teil 2, A., II., 1., b), bb), (2), m. w. N.
164
Rechtliche und technische Aspekte autonom agierender Systeme
für den Verletzten darstellen, da sich der Schädiger – im Beispiel der Betreiber – für vermutetes Verschulden entlasten muss. Man könnte überlegen, eine Haftung des Roboterbetreibers mit dem Ar- 50 gument zu begründen, dass der Benutzer den Roboter freiwillig einsetzt, den Nutzen durch den Robotereinsatz zieht und damit zwingend verantwortlich sein sollte.46 Dies würde jedoch zu einer quasi-Gefährdungshaftung führen und damit die gesetzlichen Voraussetzungen zum Verschulden nicht beachten. Denkbar wäre jedoch die Entwicklung von Kriterien zur Schaffung von Sorgfaltspflichten, die der Betreiber zu beachten hat. Hierbei wird ein schmaler Grad beschritten, da das Abrutschen in eine grundsätzliche quasi-Gefährdungshaftung droht. Mit Blick auf den Hersteller kommen im Schadensfalls insbesondere An- 51 sprüche nach der Produzentenhaftung (§ 823 BGB) und der Produkthaftung (§ 1 ProdHaftG) in Betracht, wenn ein Produktfehler vorliegt.47 Ein Fehler kann grundsätzlich in folgende inzwischen durch Rechtsprechung und Lehre herausgebildete Kategorien fallen: Konstruktionsfehler, Fabrikationsfehler, Instruktionsfehler, Vernachlässigung der Produktbeobachtungspflicht.48 Von besonderer Relevanz für den Bereich der Systeme mit einem hohen Grad an Autonomie ist der Instruktionsfehler sowie die Produktbeobachtung: Wenn der Hersteller des Serviceroboters nicht in geeigneter Weise vor Ge- 52 fahren warnt, die von dem Serviceroboter ausgehen und dem Hersteller erkennbar sind, vernachlässigt er seine Instruktionspflicht.49 Nur wenn der Betreiber über sicherheitsrelevante Eigenschaften des Serviceroboters informiert ist, kann er sachgerecht mit dem Serviceroboter umgehen.50 Der Umfang der Instruktion bestimmt sich einzelfallabhängig, wobei zum einen die Wahrscheinlichkeit der potentiellen Schäden und zum andern die Schwere der Schäden ausschlaggebend sind.51 Hierbei stellt sich die Frage, wie der Hersteller diesen Anforderung bei Systemen mit einem hohen Grad an Autonomie gerecht werden soll. So ist es auch für ihn nicht 46 Vgl. hierzu: Günther, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 163. 47 Günther, Roboter und rechtliche Verantwortung, Teil 2, A., IV., 2., m. w. N. 48 Zu den Pflichten im Einzelnen: MüKo-BGB/Wagner, § 823, Rz. 654 ff.; MüKoBGB/Wagner, § 2 ProdHaftG, Rz. 29 ff. 49 Staudinger/Hager, § 823, Rz. F 14, m. w. N., vgl. insb. BGH, Urt. v. 11.7.1972 – VI ZR 194/70, NJW 1972, 2217, 2220; BGH, Urt. v. 3.6.1975 – VI ZR 192/73, NJW 1975, 1827, 1826; Günther, Roboter und rechtliche Verantwortung, Teil 2, A., IV., 2., a), aa), (2), γ), m. w. N. 50 MüKo-BGB/Wagner, § 823, Rz. 662. 51 MüKo-BGB/Wagner, § 823, Rz. 665.
165
Jan-Philipp Günther/Lennart S. Lutz
immer erkennbar, wie sich ein Serviceroboter in einer bestimmten Situation verhalten wird. Jedoch kann der Hersteller – im Vergleich zum Betreiber oder einem Dritten, der mit dem Serviceroboter interagiert – die Fähigkeiten des Roboters besser einschätzen, sodass dem Hersteller eine umfassende Analyse möglicher Gefahren zuzumuten ist.52 53 Nur aus der deliktischen Produzentenhaftung nach § 823 BGB, nicht jedoch aus der Produkthaftung aus dem ProdHaftG ergibt sich eine Pflicht zur Produktbeobachtung.53 Bezüglich der Produktbeobachtung sind grundsätzlich stengere Maßstäbe bei autonomen Systemen im Vergleich zu normalen Produkten anzusetzen.54 Hintergrund ist dabei, dass der Hersteller das Verhalten des Serviceroboters nicht konkret vorhersagen kann; dies ist insbesondere der Fall, wenn das System lernfähig ist und selbstständig Entscheidungen fällt. Wenn also ein potentielles (wenn auch unbekanntes) Risiko in den Schritten bis zur Inverkehrgabe geschaffen werden könnte, ist der Hersteller gehalten, diesem durch eine effiziente Produktbeobachtung entgegenzuwirken. Aus der Produktbeobachtung können Pflichten zur Produktionsumstellung, zur Warnung bis hin zum Rückruf des Serviceroboters resultieren.55 4. Neue Haftungskonzepte für Roboter 54 Inzwischen werden verschiedentlich Konzepte diskutiert, um die Haftung für Roboter mit einem hohen Grad an Autonomie neu zu regeln. Zum einen werden Analogien erörtert, zum anderen die Einführung neuer Haftungskonzepte angedacht. 55 Bei den Analogien reichen die Vorschläge im deliktischen Bereich von einer analogen Anwendung der Haftung für Verrichtungsgehilfen bis hin zur Anlehnung an die Haftung für Aufsichtsbedürftige oder für Tiere.56 Im vertraglichen Bereich wird die Anwendung der Zurechnung von Erfüllungsgehilfen diskutiert.57
52 Günther, Roboter und rechtliche Verantwortung, Teil 2, A., IV., 2., a), aa), (2), γ). 53 MüKo-BGB/Wagner, § 1 ProdHaftG, Rz. 57, siehe dort auch zur Berücksichtigung von neuen Erkenntnissen. 54 Günther, Roboter und rechtliche Verantwortung, Teil 2, A., IV., 2., a), aa), (2), γ). 55 MüKo-BGB/Wagner, § 823, Rz. 675 ff. 56 Für einen Überblick Günther, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 165 ff.; Günther, Roboter und rechtliche Verantwortung, Teil 2, A., IV., 1., b) – f); jeweils m. w. N. 57 Für einen Überblick Günther, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 161 ff.; Günther, Roboter und rechtliche Verantwortung, Teil 2, A., II., 1., b), cc), (4); jeweils m. w. N.
166
Rechtliche und technische Aspekte autonom agierender Systeme
Hierzu wird teilweise vertreten, dass, da es sich um Sondervorschriften 56 handeln soll, eine Analogie von Vornherein nicht in Betracht kommt.58 Auch wird angeführt, dass eine Maschine nicht mit einem Verrichtungsgehilfen, Tier oder Erfüllungsgehilfen gleichgesetzt werden darf. Soweit man eine analoge Anwendung der Gefährdungshaftungstatbestände nicht grundsätzlich ablehnen möchte, ist zumindest die Haftung des Tierhalters diskussionswürdig. Hier schließen sich interessante Sonderprobleme an: Etwa die Unterscheidung zwischen Nutz- und Luxusroboter entsprechend der Unterscheidung zwischen Nutz- und Luxustier.59 Abschließend sei noch ein Blick auf zwei Haftungskonzepte geworfen, 57 die womöglich für gesetzgeberische Aktivitäten interessant seinen könnten. Zum einen die Einführung einer Gefährdungshaftung60, zum anderen die elektronische Person61. Bezüglich der Gefährdungshaftung kann eine Brücke zu automatisierten 58 Fahrzeugen oder zu Drohnen geschlagen werden, für die eine solche – wie in Abschnitten 3 und 4 dargestellt – gesetzlich vorgeschrieben ist. So scheint eine sektorspezifische Gefährdungshaftung angemessen, wie im Straßen- und Luftverkehr gegeben. Diese sollte an den Roboterbetrieb in einem konkreten Kontext anknüpfen. Eine generelle Gefährdungshaftung für alle autonomen Systeme wäre wohl zu weitgehend. Diskutiert wird auch die Einführung einer elektronischen Person. Dabei 59 handelt es sich um ein Symbol in Anlehnung an die juristische Person.62 Die elektronische Person besitzt eine Haftungsmasse, die von den Beteiligten gespeist wird und auf die im Schadensfall zugegriffen werden kann.63 Liegt sicheres Fehlverhalten anderer Personen vor, ist jedoch eine Haftung ausgeschlossen.64
58 Zur Analogiefähigkeit von Gefährdungshaftungstatbeständen vgl. BeckOKBGB/NN, Vorb. § 823, Rz. 0.3 m. w. N. 59 Günther, in: Gruber/Bung/Ziemann (Hrsg.), Autonome Automaten, S. 167 f. 60 Siehe hierzu insb. Gruber, in: Hilgendorf/Günther (Hrsg.), Roboter und Gesetzgebung, S. 123 ff. 61 Siehe hierzu insb. Beck, in: Hilgendorf/Günther (Hrsg.), Roboter und Gesetzgebung, S. 239 ff. 62 Beck, in: Hilgendorf/Günther (Hrsg.), Roboter und Gesetzgebung, S. 255 ff.; Günther, Roboter und rechtliche Verantwortung, Teil 3, D., III. 63 Beck, in: Hilgendorf/Günther (Hrsg.), Roboter und Gesetzgebung, S. 256. 64 Beck, in: Hilgendorf/Günther (Hrsg.), Roboter und Gesetzgebung, S. 256.
167
Jan-Philipp Günther/Lennart S. Lutz
5. Zwischenfazit 60 Der Einsatz von Servicerobotern im professionellen und im privaten Bereich wird in den nächsten Jahren zunehmen. Es wird zu klären sein, wer im Schadensfall die Verantwortung tragen soll. Die Herstellerhaftung gründet sich auf das ProdHaftG und auf § 823 BGB. Probleme können bei der Benutzerhaftung auftreten, soweit es im Rahmen der Fahrlässigkeit an der Vorhersehbarkeit fehlt. Andere Haftungskonzepte könnten hier einen Anspruch gegen den Benutzer ermöglichen. VI. Fazit 61 Wie im vorliegenden Beitrag dargestellt, wird der Vormarsch der Automatisierungstechnik außerhalb der Fabrikhalle derzeit noch durch verschiedene rechtliche Hürden gebremst; im Falle von Drohnen und automatisierten Fahrzeugen finden sich diese primär im Zulassungs- und Verhaltensrecht, im Zusammenhang mit dem Einsatz von Servicerobotern ist dagegen eine Fortentwicklung des Haftungssystems zu erwägen. Diese Rechtsprobleme sind lösbar. Angesichts der rasanten technischen Entwicklung und deren enormen wirtschaftlichen und gesellschaftlichen Potenzial wird die Rechtswissenschaft ihr Augenmerk aber verstärkt auf neue Technologien richten müssen, um zu verhindern, dass die Technik zukünftig das Recht überholt.
168
Besonderheiten von Online-Banking Apps* Christian R. Kast** I. Der Markt für Banking Apps II. 1. 2. 3.
Besonderheiten bei Banking Apps Technische Besonderheiten AGB der Banken AGB des Anbieters und der App-Store 4. Datenschutz
III. Zahlungsdienste-Richtlinie(n) 1. Bestehende Richtlinie (PSD I) 2. Neuregelung der ZahlungsdiensteRichtlinie (PSD II) IV. Fazit
I. Der Markt für Banking Apps Der Gang zur Bank ist mittlerweile für viele Menschen eigentlich nur 1 noch der Gang zum Geldautomaten. Denn häufig werden die alltäglichen Bankgeschäfte per Online Banking erledigt. Statistisch gesehen1 nutzten in Deutschland in 2015 mehr als die Hälfte aller Bankkunden (54 %) das Online-Banking, in der Altersgruppe zwischen 25 und 44 Jahren sogar 74 %. Doch nicht nur die jüngeren nutzen diese Form der Erledigung ihrer Bankgeschäfte, sondern auch in der Altersgruppe zwischen 45 und 64 Jahren immerhin noch 55 % und in der Gruppe über 65 Jahren noch 44 %. Bezieht man diese Zahlen auf die absolute Bevölkerungszahl in den je- 2 weiligen Altersgruppen, so ergibt sich eine Zahl von circa 20 Millionen Online-Banking Nutzern in der Altersgruppe zwischen 20 und 60 Jahren. Bei einem Test von Apps für das Online-Banking in 2015 hat die Stiftung Warentest2 ermittelt, dass Online-Banking Apps von circa 5 Millionen * Textfassung eines Vortrages beim DGRI Dreiländertreffen Basel 2015. ** Christian R. Kast, Rechtsanwalt und Fachanwalt für Informationstechnologierecht im Anwaltscontor München und Online-Banking Nutzer (damals per BTX) seit 1986. 1 Statistik des Statistischen Bundesamtes „Private Nutzung von Informations- und Kommunikationstechnologien 2015“ abgerufen am 19.4.2016 unter https://www.destatis.de/DE/ZahlenFakten/GesellschaftStaat/EinkommenKonsumLebensbedingungen/ITNutzung/Tabellen/NutzungInternetPrivZweckeAlter_IKT.html. 2 Stiftung Warentest, Finanztest 06/2015 abgerufen am 19.4.2016 unter https:// www.test.de/Banking-Apps-Die-besten-Apps-fuers-Smartphone-Banking-4849502-0/.
169
Christian R. Kast
Nutzern heruntergeladen wurden, so dass also circa ein Viertel aller Online-Banking Nutzer mit Hilfe einer solchen App ihre Bankgeschäfte tätigen. 3 Die Banken, die das Online-Banking durchaus fördern3, da es zur Reduzierung von Kosten durch Filialen beiträgt, versuchen durch neue und bequeme Funktionen die Kunden zu treuen Nutzern ihrer Online-Services zu „erziehen“, zum Beispiel durch die Einführung von hohen Gebühren für beleghafte Überweisungen und ähnliche, filialgebundene Bankgeschäfte. Besonders auch ältere Bankkunden stehen dabei im Fokus4. 4 Dazu geben die Banken unter anderem auch Banking-Apps heraus, die neben dem reinen Abruf der Kontoinformationen wie Kontostand, Kontobewegungen und Depotinformationen auch das Ausführen von Überweisungen und Depot-Orders ermöglichen5. Eine Neuerung sind beispielsweise Finanzassistenten, die einen Überblick über Ein- und Ausgaben geben und die Zuordnung dieser Kontobewegungen zu Kategorien ermöglichen und so den Funktionsumfang früher weit verbreiteter Banking-Software für den Desktop Computer erreichen oder sogar übertreffen. Alleine im Apple Store sind über 200 Banking Apps6 gelistet, wobei einzelne Banken teilweise mehrere Versionen, z. B. Sprachversionen oder Landesversionen, ihrer Apps anbieten. 5 Im Markt hat sich auch eine neue Gruppe von Banking-App Anbietern etabliert, die selbst keine Bank sind, aber eine App für die Verwaltung von Konten einer Vielzahl von Banken sowie für die Abwicklung der Bankgeschäfte anbieten, sog. Multi-Banking-Apps. Diese Apps haben dabei den Vorteil, dass alle Konten eines Nutzers in einer App verwaltet, abgerufen und genutzt werden können, da diese Apps häufig auch Überweisungen und sonstige Kontoführungsfunktionen anbieten. Dieser Trend gilt dabei sowohl in Deutschland, wie auch in Österreich und der Schweiz sowie der übrigen EU. International gesehen ist der Markt noch uneinheitlich; in USA sind zum Beispiel bisher nur wenige Banking-Apps Verfügbar, 3
4
5
6
So titelte bereits der Fokus in 2001 „Clicks statt Bricks: Die Banken schließen Filialen und drängen ihre Kundschaft ins Internet, um Kosten zu sparen“ Heft 48/2001, abgerufen am 19.4.2016 unter http://www.focus.de/finanzen/ news/online-banking-billige-konten-fuer-teure-kunden_aid_192316.html. FAZ v. 20.2.2015, abgerufen am 19.4.2016 unter http://www.faz.net/aktuell/ finanzen/meine-finanzen/sparen-und-geld-anlegen/aelter-werden/rentnerentdecken-das-online-banking-fuer-sich-13438414.html. Online Banking Leitfaden, BITKOM 2015, 3.2/3.4, abgerufen am 20.4.2016 https://www.bitkom.org/Publikationen/2015/Leitfaden/Online-Banking/ 150105-OnlineBanking-Leitfaden.pdf. Stand 15.4.2016.
170
Besonderheiten von Online-Banking Apps
die sich im Wesentlichen auf die Anzeige von Kontoinformationen beschränken, da dort der Überweisungsverkehr nicht reguliert und daher technisch schwerer abzubilden ist. Zwischen den von den Banken herausgegebenen und den „unabhängi- 6 gen“ Banking-Apps ist insoweit ein „Wettstreit um den Kunden“ entstanden, da die Banken durch die Nutzung von „Dritt-Apps“ mehr und mehr den direkten Kontakt zum Kunden verlieren und damit „austauschbarer“ werden. Andererseits birgt die höhere Verbreitung von Banking-Apps technische7 und rechtliche8 Risiken. Aber in diesem Bereich besteht nach den Feststellungen der EU-Kommission ein großes positives Potenzial, das konsequenter geprüft und geregelt werden sollte. In der Europäischen Union ist daher der Unions-Gesetzgeber aktiv ge- 7 worden und hat mit der „Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25.11.2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG“, kurz „Zahlungsdienste-Richtlinie II“ oder „ZDR II“ die bestehenden Regelungen aktualisiert und um die Besonderheiten gerade auch von Banking-Apps ergänzt. II. Besonderheiten bei Banking Apps Im Vergleich zum Onlinebanking via Desktop gibt es bei der Nutzung 8 von Online-Banking via Banking Apps verschiedene Besonderheiten, insbesondere technischer Natur. Aber auch die bestehenden AGB der Banken sowie datenschutzrechtliche Regelungen sind besonders zu beachten. 1. Technische Besonderheiten Banking-Apps nutzen zum Ausführen ihrer Funktionen entweder stan- 9 dardisierte Schnittstellen (z. B. von Banken zur Verfügung gestellte, sogenannte APIs) beziehungsweise Standards (z. B. den HBCI Standard) oder bedienen das Online-Banking der jeweiligen Bank über sog. „Screen
7 8
Stiftung Warentest, Finanztest 06/2015 a. a. O. Erwägungsgrund 4 ff. der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates v. 25.11.2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/ EG (ZDR II).
171
Christian R. Kast
Parsing“ (auch „Screen Scraping“ genannt9). Screen Parsing funktioniert dabei so, dass die jeweiligen Inhalte der Online-Banking-Webseite an vordefinierten Stellen ausgelesen oder beschrieben werden, so dass die Banking-App wie ein „verlängerter Arm“ des Nutzers funktioniert. Denn in diesem Fall stellt die Banking-App ein technisches Hilfsmittel dar, die eigentliche Banking Oberfläche über die App zu bedienen. Falls sich die Inhalte der Webseite allerdings ändern, ist der Parsing-Prozess jeweils anzupassen, so dass dadurch ein hoher Wartungsaufwand entsteht. 10 Folgende weitere technische Besonderheiten sind bei der Bewertung von Banking Apps zu beachten10 und sind für die Sicherheit der jeweiligen App relevant: –
mobile Datenverbindungen.
–
zusätzliche Server erforderlich.
–
meist Speicherung der Zugangsdaten.
–
Speicherung der Inhalts-Daten erforderlich, soweit die Auswertung von Transaktionen angeboten wird (z. B. Kontoalarm, Budgetplanung, Vorsorgeoptimierung etc.).
–
für mache (Push-)Technologien ist serverseitige Verarbeitung erforderlich.
–
je nach Betriebssystem des Endgerätes eventuell höhere Gefahr von Viren.
–
bei Tan-Versand über Mobiltelefon eventuell nur ein Gerät.
11 Im Markt sind dabei Banking-Apps die die Daten, die im Rahmen des Kontoabrufes und durch sonstige Nutzeraktionen (z. B. durch Kategorisierung) entstehen, auf einem Server des App Anbieters speichern, wobei dieser Server dann auch den Abruf der Daten von der Bank sowie das Versenden von Überweisungen vornimmt.
9 https://de.wikipedia.org/wiki/Screen_Scraping abgerufen am 20.4.2016. 10 Stiftung Warentest, Finanztest 06/2015 a. a. O.
172
Besonderheiten von Online-Banking Apps
Bei diesem Verfahren besteht durch das „Zwischenschalten“ eines Ser- 12 vers grundsätzlich das Risiko, dass dieser Server Angriffen durch Dritte ausgesetzt ist und der Dienstleister bei Schäden dem Banking-App-Kunden dafür haftet11. Darüber hinaus ist der Einsatz dieser Technologie dem Kunden häufig gar nicht bewusst; es bestehen Bestrebungen der Bundesregierung, die App Anbieter hier zu mehr Transparenz zu verpflichten12. Andere Anbieter von Banking Apps verzichten auf die Zwischenschal- 13 tung solcher zusätzlichen Server und speichern alle Informationen auf dem Gerät des Nutzers. Hier besteht allerdings grundsätzlich das Risiko, dass der Nutzer selbst für die Datensicherung sorgen muss.
Diese direkte Verbindung zum Server der Bank kann dabei durch weitere 14 Sicherheitsmerkmale wie zum Beispiel eine Zertifikatsprüfung zusätzlich abgesichert werden. 2. AGB der Banken Neben den technischen Besonderheiten sind auch die AGB der Banken 15 für das Online-Banking zu beachten, da die Banking-Apps immer den von der Bank zur Verfügung gestellten Zugang zum Online-Banking nutzen, sei es über Schnittstellen oder Screen Parsing. Die Banken stellen daher in ihren AGB gewisse vertragliche Regeln für das Online-Banking auf, deren Ziel einerseits die Erhöhung der Sicherheit, andererseits die Haftungsbeschränkung der Bank ist13.
11 Mehrbrey/Schreibauer, Haftungsverhältnisse bei Cyber-Angriffen – Ansprüche und Haftungsrisiken von Unternehmen und Organen, MMR 2016, 75 ff., 79. 12 „Verbraucherschutzminister Maas will mehr Transparenz bei Apps“, Heise Online v. 20.4.2016, http://heise.de/-3178169. 13 Mehrbrey/Schreibauer, Haftungsverhältnisse bei Cyber-Angriffen – Ansprüche und Haftungsrisiken von Unternehmen und Organen, MMR 2016, 75 ff., 78.
173
Christian R. Kast
16 Eine übliche Regelung in AGB der Banken14 ist die Verpflichtung des Teilnehmers am Online-Banking ist, dass dieser seine personalisierten Sicherheitsmerkmale geheim zu halten hat und diese nur im Rahmen einer Auftragserteilung über die von der Bank gesondert mitgeteilten Online-Banking-Zugangskanäle an diese übermitteln darf. Er hat weiter sein Authentifizierungsinstrument vor dem Zugriff anderer Personen sicher zu verwahren. 17 Personalisierte Sicherheitsmerkmale sind dabei: –
die persönliche Identifikationsnummer (PIN),
–
einmal verwendbare Transaktionsnummern (TAN),
–
der Nutzungscode für die elektronische Signatur.
18 Authentifizierungsinstrumente sind verschiedene TAN Arten (Liste, mTan), ähnliche einmal oder mehrfach verwendbare Authentifizierungsobjekte (z. B. Tokens oder Tan-Generatoren) sowie Chipkarten, wie sie beispielsweise im HBCI Banking von Desktop-Banking-Software häufig eingesetzt werden. 19 Hintergrund dieser Regelungen ist unter anderem das Problem des „Phishing“15, mit dem Angreifer über manipulierte Webseiten versuchen, personalisierte Sicherheitsmerkmale sowie Authentifizierungsinstrumente auszuspähen und dann das jeweilige Konto missbräuchlich zu verwenden und die sich daraus ergebende Rechtsfrage, wie weit die Bank für die Sicherheit der von ihr eingesetzten Verfahren haftet16. Problematisch sind in diesem Zusammenhang auch sog. „Man-in-the-Middle-Angriffe“, da hier für den Bankkunden erhöhte Sorgfaltspflichten bei der Prüfung der Freigabe einer Zahlung bestehen17. 20 Problematisch ist bei der Nutzung von Banking-Apps insbesondere die Regelung in den meisten Banken AGB für Online-Banking, dass einerseits eine Speicherung der personalisierten Sicherheitsmerkmale nicht erfolgen darf und andererseits für die Übermittlung der Authentifizierung nicht das gleiche Endgerät verwendet werden darf, wie für den Betrieb der Banking-App („Kanaltrennung“). Verfügt also ein App-Nutzer über mehrere Konten und will die häufig angebotene „Kontenrundruf“ Funktion nutzen, so müsste er – würde er z. B. die Pin nicht speichern –
14 Bunte, AGB-Banken, 3. Aufl. 2011. Kapitel 6 A. 15 Borges, Rechtsfragen des Phishing – Ein Überblick, NJW 2005, 3313 ff. 16 von Elgert, Verheyen, Haftungsfragen bei Angriffen auf das mobile TAN-Verfahren beim Online-Banking, K&R 2015, 440 ff., 443. 17 LG Darmstadt v. 28.8.2014 – 28 O 36/14, CR 2014, 749.
174
Besonderheiten von Online-Banking Apps
vor jedem Kontenrundruf alle Pin’s der Konten eingeben. Ähnlich verhält es sich mit der Kanaltrennung, denn häufig wird zum Empfang der SMSTan das gleiche Endgerät genutzt wie für den Betrieb der Banking-App. 3. AGB des Anbieters und der App-Store Das Thema AGB des Anbieters von Apps ist geprägt durch das „Tri- 21 lemma“ des App-Entwicklers/App-Anbieters, der zwischen App Store, Kunde und (Datenschutz-)Recht steht, denn der rechtliche Verkäufer (der jeweilige App Store) und Entwickler/Anbieter sind nicht personengleich und häufig hat der Entwickler/Anbieter zunächst, das heißt zum Zeitpunkt des App-Erwerbs oder -Downloads kein direktes Vertragsverhältnis zum Kunden. Somit wird das Vertragsverhältnis zwischen Kunden und App-Store Be- 22 treiber zunächst alleine von letzterem bestimmt (insbesondere im Hinblick auf die AGB, den Datenschutz sowie die Abrechnung etc.)18. Es ist zwar möglich, auf der Download-Seite der App eigene AGB und Datenschutzbestimmungen zum Abruf bereitzustellen, im Bestell-Prozess ist jedoch bei den App-Stores keine – dem deutschen Recht entsprechende – Einbeziehung der AGB zum Beispiel durch „Anhaken“ der Zustimmung vorgesehen, so dass eine wirksame Einbeziehung dieser AGB fraglich ist. Erst im Rahmen der Nutzung der App kann der App-Anbieter eine solche Einbeziehung technisch selbst umsetzen, zu diesem Zeitpunkt hat der Kunde die App jedoch bereits erworben. Eventuell kann hier (insbesondere bei unentgeltlichen Apps) noch eine Einbeziehung der AGB und Datenschutzbestimmungen vorgenommen werden, wenn zwischen dem Erwerbs- und dem Nutzungsvertrag unterschieden werden kann. 4. Datenschutz Die zwingende Einbeziehung von App-Stores im Vertrieb von (Banking-) 23 Apps stellt den App-Anbieter dabei auch im Datenschutz vor große rechtliche Herausforderungen, insbesondere unter dem Gesichtspunkt des Wegfalls der Safe Harbour Regelungen19. Denn Empfänger im daten18 Loos, Standard terms for the use of the Apple App Store and the Google Play Store, EuCML 2016, 10 f.; Spindler, Verträge über digitale Inhalte – Haftung, Gewährleistung und Portabilität – Vorschlag der EU-Kommission zu einer Richtlinie über Verträge zur Bereitstellung digitaler Inhalte, MMR 2016, 219 ff., 220. 19 EuGH (Große Kammer), Urt. v. 6.10.2015 – C-362/14 (Schrems/Data Protection Commissioner), MMR 2015, 753 ff. mit Anmerkung Bergt = CR 2015, 633 m. Anm. Härting.
175
Christian R. Kast
schutzrechtlichen Sine ist jede Person oder Stelle, die Daten erhält. Damit ist der App Entwickler, wenn er die Daten des Kunden erhält zumindest auch „Verantwortliche Stelle“. Im Bereich des Datenschutzes stellen sich also folgende Fragen: –
Empfänger = App-Store Betreiber
–
Empfänger = der Entwickler?
–
Gesetz oder eine andere Rechtsvorschrift = § 28 BDSG?
–
Einwilligung des Betroffenen = im App-Store?
–
Einwilligung des Betroffenen = in der App durch Benutzung?
–
Identität der verantwortlichen Stelle = App-Store Betreiber?
–
Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und die Kategorien von Empfängern = wo werden die Daten denn eigentlich genutzt?
24 Dementsprechend trifft die Stellungnahme 02/2013 der ARTIKEL-29Datenschutzgruppe zu Apps auf intelligenten Endgeräten20 folgende Feststellungen: –
„Die wichtigsten Datenschutzrisiken für Endnutzer sind die mangelnde Transparenz und die mangelnde Kenntnis der von einer App aus geführten Verarbeitungen sowie das Fehlen einer expliziten Einwilligung des Endnutzers vor der Verarbeitung.
–
Zu den datenschutzrechtlich relevanten Akteuren gehören Entwickler und Eigentümer von Apps, App-Stores, Hersteller von Betriebssystemen und Endgeräten sowie andere Dritte, die an der Erfassung und Verarbeitung personenbezogener Daten von intelligenten Endgeräten beteiligt sein können“.
25 App-Entwickler müssen daher nach den Empfehlungen der Artikel-29Datenschutzgruppe: –
eine Einwilligung einholen, bevor die App beginnt, Informationen vom Endgerät zu lesen oder auf dem Gerät zu speichern (d. h. vor Installation der App). Eine solche Einwilligung muss ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erteilt werden;
–
eine differenzierte Einwilligung für jede Daten-Art einholen, auf die die App zugreift – zumindest für die Kategorien Standort, Kontakte, eindeutige Gerätekennung, Identität der betroffenen Person, Identität
20 Opinion 02/2013 on apps on smart devices, 27.2.2013, 00461/13/EN WP 202, Abgerufen am 20.4.2016 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_en.pdf.
176
Besonderheiten von Online-Banking Apps
des Telefons, Kreditkarten- und Zahlungsdaten, Telefonie und SMS, Browserverlauf, E-Mail, Authentifizierungsdaten für soziale Netzwerke und biometrische Daten.“ Besonders letzter Punkt stellt für App-Entwickler immer noch eine tech- 26 nische Herausforderung dar, da unter Android und auch unter Apple iOS noch nicht alle Zugriffe der App einzeln angesteuert werden können. In der Umsetzung in den Datenschutzregelungen, die der jeweiligen 27 (Banking-)App auch nach der Vorstellung der App Store Betreiber beizufügen sind21, sind daher folgende Punkte unbedingt umzusetzen: –
Einwilligung zur Datenerhebung durch den Nutzer zumindest beim ersten Start der Banking-App (also bevor die ersten Daten erhoben werden);
–
Genaue Beschreibung der erhobenen und anfallenden Daten (z. B. im Rahmen des Kontoabrufes) oder durch Zugriff auf andere Apps (z. B. bei der Anzeige dynamischer Daten im (integrierten) Webbrowser des mobilen Endgerätes;
–
Identität der verantwortlichen Stelle = App Betreiber mit allen notwendigen Daten (insbesondere da diese im App Store teilweise nur unvollständig einsehbar sind);
–
Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und die Kategorien von Empfängern = wo werden die Daten denn eigentlich genutzt?
–
Hinweise an den Betroffenen gemäß § 33 BGSG;
–
Hinweise zu und Umsetzung der Regeln nach §§ 34 und 35 BGSG an den Betroffenen.
Die Einwilligung des Nutzers zur Datenverarbeitung ist dabei im Ideal- 28 fall so gestaltet, dass er aktiv die Datenschutzbestimmungen annehmen muss und dieser Vorgang einerseits technisch dokumentiert und andererseits dem Nutzer die Datenschutzbestimmungen auch in Textform übermittelt werden oder in sonstiger Weise angemessen zur Verfügung gestellt werden. 21 Apple stellt folgende Regel auf: „Apps cannot transmit data about a user without obtaining the user’s prior permission and providing the user with access to information about how and where the data will be used“. Ziffer 17.1 App Store Review Guidelines, https://developer.apple.com/app-store/review/guidelines/#privacy; für Android gilt folgende Regel: „Sie können für jede Ihrer Apps eine Datenschutzerklärung einreichen. Die Datenschutzerklärung hilft Nutzern, Apps zu beurteilen, bevor sie sie herunterladen.“ https://support. google.com/googleplay/android-developer/answer/113469?hl=de.
177
Christian R. Kast
III. Zahlungsdienste-Richtlinie(n) 29 Der Bereich der Zahlungsdienste ist bereits seit langem durch eine europäische Richtlinie reguliert. Aufgrund der technischen Weiterentwicklung sowie der Veränderung der zugrundeliegenden Geschäftsmodelle im Markt wurde die bestehende Zahlungsdienste-Richtlinie aus dem Jahr 2007 in 2016 angepasst und „modernisiert“. 1. Bestehende Richtlinie (PSD I) 30 Derzeit gültig ist (noch) die Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13.11.2007 über Zahlungsdienste im Binnenmarkt22. 31 Vom Anwendungsbereich dieser Richtlinie ausgenommen sind derzeit alle Dienste, die von technischen Dienstleistern erbracht werden, die zwar zur Erbringung der Zahlungsdienste beitragen, jedoch zu keiner Zeit in den Besitz der zu transferierenden Geldbeträge gelangen, wie die Verarbeitung und Speicherung von Daten, vertrauensbildende Maßnahmen und Dienste zum Schutz der Privatsphäre, Nachrichten- und Instanzenauthentisierung, Bereitstellung von Informations-technologie(IT-) und Kommunikationsnetzen sowie Bereitstellung und Wartung der für Zahlungsdienste genutzten Endgeräte und Einrichtungen. 32 Dies bedeutet, dass Dritte, die rein als technisch anzusehende Dienstleitungen im Zahlungsumfeld erbringen bisher vom Anwendungsbereich ausgenommen sind. Für die Zahlungsdienste, insbesondere die der Banken, gelten aufgrund der bestehenden Richtlinie verschiedene, organisatorische und technische Anforderungen, die die technischen Dienste umzusetzen und abzusichern sind. Eine solche Richtlinie sind zum Beispiel die „Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)“, die seit dem Mai 2015 gelten und mittlerweile umgesetzt sein müssen.23 2. Neuregelung der Zahlungsdienste-Richtlinie (PSD II) 33 Im Rahmen der Marktbeobachtung hat die EU-Kommission dabei festgestellt, dass sich die Märkte seit der Verabschiedung der Richtlinie 2007/64/EG verändert haben und neue Arten von Zahlungsdiensten ent-
22 http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32007L0064 (abgerufen am 25.4.2016). 23 https://www.bafin.de/SharedDocs/Downloads/DE/FAQ/dl_faq_rs_1504_ ba.pdf?__blob=publicationFile&v=3 (abgerufen am 25.4.2015).
178
Besonderheiten von Online-Banking Apps
standen sind. Vor allem im Bereich der Internetzahlungen und sonstigen mobilen Bezahldienste, die nunmehr häufig durch dritte Zahlungsdienstleister ausgeführt werden, die Verbrauchern und Händlern sogenannte Zahlungsauslösedienste anbieten, ohne dabei in den Besitz der zu transferierenden Geldbeträge gelangen. Diese Dienste erleichtern den elektronischen Geschäftsverkehr durch die Einrichtung einer Softwarebrücke zwischen der Website des Händlers und der Plattform für das OnlineBanking des Verbrauchers; damit sollen auf Überweisungen bzw. Lastschriften gestützte Zahlungen über das Internet ausgelöst werden Es hat sich nach den Feststellungen der EU-Kommission für Zahlungsdienstleister als schwierig erwiesen, innovative, sichere und benutzerfreundliche digitale Zahlungsdienste einzuführen und den Verbrauchern wie auch den Einzelhändlern in der Union wirksame, bequeme und sichere Zahlungsmethoden anzubieten.24 Auf Grundlage dieser Erkenntnisse hat der europäische Gesetzgeber die 34 Zahlungsdienste-Richtlinie angepasst und insbesondere den Anwendungsbereich geändert und erweitert wie folgt: „Vom Anwendungsbereich dieser Richtlinie ausgenommen sind Dienste, die von technischen Dienstleistern erbracht werden, die zwar zur Erbringung der Zahlungsdienste beitragen, jedoch zu keiner Zeit in den Besitz der zu transferierenden Geldbeträge gelangen, wie die Verarbeitung und Speicherung von Daten, vertrauensbildende Maßnahmen und Dienste zum Schutz der Privatsphäre, Nachrichten- und Instanzenauthentisierung, Bereitstellung von Informations-technologie-(IT-) und Kommunikationsnetzen sowie Bereitstellung und Wartung der für Zahlungsdienste genutzten Endgeräte und Einrichtungen mit Ausnahme von Zahlungsauslösediensten und Kontoinformationsdiensten“. Solche dritten Zahlungsdienstleister bieten nach Sicht des europäischen 35 Gesetzgebers sowohl den Händlern als auch den Verbrauchern eine kostengünstige Alternative zu Kartenzahlungen und ermöglichen es den Verbrauchern, auch ohne Kreditkarte online einzukaufen. Da dritte Zahlungsdienstleister derzeit jedoch nicht der Richtlinie 2007/64/EG unterliegen, werden sie nicht zwangsläufig von einer zuständigen Behörde beaufsichtigt und richten sich nicht nach den Anforderungen der genannten Richtlinie25. Um den Markt hier zu öffnen sind folgende Maßnahmen nach der ZDR II umzusetzen26:
24 ZDR II, Erwägungsgrund 4 ff. 25 ZDR II, Erwägungsgrund 18. 26 ZDR II, Erwägungsgrund 34.
179
Christian R. Kast
–
Jeder Zahlungsdienstleister muss unbedingt Zugang zu den technischen Diensten für die Infrastruktur der Zahlungssysteme haben.
–
Der Zugang sollte jedoch bestimmten Anforderungen unterliegen, um die Integrität und Stabilität dieser Systeme zu gewährleisten.
–
Jeder Zahlungsdienstleister, der sich um die Teilnahme an einem Zahlungssystem bewirbt, sollte den Teilnehmern des Zahlungssystems den Nachweis erbringen, dass seine internen Vorkehrungen hinreichend solide sind, um allen Arten von Risiken standhalten zu können.
–
Um zwischen den einzelnen Kategorien von zugelassenen Zahlungsdienstleistern entsprechend ihrer aufsichtsbehördlichen Zulassung eine unionsweite Gleichbehandlung zu gewährleisten, sollten die Zulassungsvoraussetzungen für Zahlungsdienstleister und die Regeln für den Zugang zu Zahlungssystemen präzisiert werden.
36 Die ZDR II ermöglicht eine Abdeckung neuer Dienstleistungen und Dienstleister im Hinblick auf den Zugang zu Zahlungskonten und berücksichtigt dabei die Tatsache, dass diese dritten Zahlungsdienstleister zumindest in einigen Mitgliedstaaten derzeit keiner Regulierung unterliegen und setzt den Rechtsrahmen für Sicherheits-, Datenschutz- und Haftungsfragen. 37 Der ZDR II sieht vor, dass dritte Zahlungsdienstleister, die insbesondere Online-Banking-basierte Zahlungsauslösedienste anbieten, in den Anwendungsbereich der ZDR II (Anhang I Nummer 7) fallen. Die neuen Vorschriften betreffen vor allem die Bedingungen für den Zugang zu Kontoinformationen (Artikel 58), die Anforderungen an die Authentifizierung (Artikel 87), die Korrektur von Zahlungsvorgängen (Artikel 63 und 64) und die ausgewogene Aufteilung der Haftung (Artikel 65 und 66). 38 Neue Zahlungsdienstleister werden von dieser neuen Regelung profitieren – unabhängig davon, ob sie zu irgendeinem Zeitpunkt über Gelder des Zahlers oder des Zahlungsempfängers verfügen. Allerdings werden auch für diese neu unter die ZDR II fallenden Zahlungsdienstleister die technischen und organisatorischen Regelungsrahmen Anwendung finden. Dazu führt die BAFIN z. B. in ihren Hinweisen zur MaSIi27 folgendes aus: „Gehen kontoführende Zahlungsdienstleister zum Zwecke der Funktionsauslagerung Verträge mit „Dritten Zahlungsdienstleistern“ 27 BaFin-Rundschreiben Nr. 4/2015 v. 5.5.2015, https://www.bafin.de/SharedDocs/Downloads/DE/FAQ/dl_faq_rs_1504_ba.pdf?__blob=publicationFile& v=3 (abgerufen 25.4.2016).
180
Besonderheiten von Online-Banking Apps
ein und betrifft die Auslagerung die Sicherheit von Internetzahlungsdiensten, so haben die Institute die aufsichtsrechtlichen Anforderungen nach Nr. II 4.7 der MaSi, sowie die allgemeinen aufsichtsrechtlichen Anforderungen an die Geschäftsorganisation zu beachten (insbesondere AT 7.2 und AT 9 MaRisk). IV. Fazit Die neue Zahlungsdienste-Richtlinie schafft Rechtssicherheit für Ver- 39 braucher und Anbieter im Bereich von Banking-Apps und ermöglicht einen fairen Marktzugang für alle potentiellen Marktteilnehmer. Die künftig geltenden Anforderungen an die Zulassung und die technische Infrastruktur sind grundsätzlich hilfreich, die Sicherheit im Bereich der Banking-Apps zu erhöhen. Problematisch ist jedoch, dass der Prozess der Festlegung der Anforderungen (z. B. Mindestversicherungssummen, technische Systeme) noch nicht abgeschlossen ist und jeweils den nationalen Regulierungsbehörden primär obliegen, so dass sich draus wieder regionale Unterschiede ergeben können.
181
Compliance Untersuchungen und Datenschutz Hinweise zur BDSG-konformen Ausgestaltung von internen Untersuchungen Kai-Uwe Plath* I. Einleitung II. Rechtlicher Rahmen 1. Sachliche Anwendbarkeit des BDSG auf Compliance Untersuchungen 2. Territoriale Anwendbarkeit des BDSG auf Compliance Untersuchungen 3. Weitere rechtliche Rahmenbedingungen III. Zulässigkeit einer Compliance Untersuchung nach dem BDSG 1. Compliance Untersuchungen auf Basis von Einwilligungen a) Anforderungen an eine wirksame Einwilligung b) Freiwilligkeit der Einwilligung c) Transparenz der Einwilligung d) Form der Einwilligung e) Keine account-basierte Einwilligung f) Widerruflichkeit der Einwilligung
g) Zusammenfassende Bewertung zum Konzept der Einwilligung 2. Compliance Untersuchungen auf Basis gesetzlicher Erlaubnisse a) Erlaubnisnormen unter dem BDSG b) Erlaubnis aufgrund Betriebsvereinbarung c) Erlaubnis aufgrund § 32 BDSG d) Erlaubnis aufgrund § 28 BDSG aa) Berechtigtes Interesse bb) Erforderlichkeit cc) Interessen der Betroffenen – Verhältnismäßigkeit dd) Typische Anwendungsfälle 3. Datenübermittlung ins Ausland a) Übermittlung auf Basis von Einwilligungen b) Übermittlung auf Basis gesetzlicher Erlaubnis IV. Zusammenfassung
Literaturübersicht: Art-29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery) vom 11. Februar 2009; Beck’scher Online-Kommentar Datenschutzrecht, Wolff/Brink, 16. Edition, Stand: 1.11.2015; Deutlmoser/Filip, Europäischer Datenschutz und US-amerikanische (e-)Discovery-Pflichten – Ein Praxisleitfaden für Unternehmen, ZDBeil. 2012, 1; Kopp/Pfisterer, Vorauseilender Gehorsam? Die Übermittlung personenbezogener Daten durch Unternehmen im Rahmen freiwilliger Kooperation *
Dr. Kai-Uwe Plath, LL.M., Rechtsanwalt, KNPZ RECHTSANWÄLTE, Hamburg.
183
Kai-Uwe Plath mit Aufsichts- und Ermittlungsbehörden – Teil 1, CCZ 2015, 98; Kopp/Pfisterer, Vorauseilender Gehorsam? Die Übermittlung personenbezogener Daten durch Unternehmen im Rahmen freiwilliger Kooperation mit Aufsichts- und Ermittlungsbehörden – Teil 2, CCZ 2015, 151; Plath, Kommentar zum BDSG, 1. Auflage, 2013; Spehl/Momsen/Grützner, Unternehmensinterne Ermittlungen – Ein internationaler Überblick Teil II: „Zulässigkeit und rechtliche Anforderungen verschiedener Ermittlungsmaßnahmen in ausgewählten Ländern, CCZ 2014, 2; Spehl/Momsen/Grützner, Unternehmensinterne Ermittlungen – Ein internationaler Überblick – Teil III: Die Befragung von Mitarbeitern, CCZ 2014, 170; Süße/ Eckstein, Aktuelle Entwicklungen im Bereich „Interne Untersuchung“, Newsdienst Compliance 2014, 71009 Vogt, Compliance und Investigations – Zehn Fragen aus Sicht der arbeitsrechtlichen Praxis, NJOZ, 2009, 4206; Wybitul/Böhm, E-Mail-Kontrollen für Compliance-Zwecke und bei internen Ermittlungen, CCZ 2015, 133.
I. Einleitung 1 Unternehmen entscheiden sich aus verschiedenen Gründen zur Durchführung von internen Compliance Untersuchungen. Teilweise erfolgen die Untersuchungen zur Erfüllung der generellen Pflicht der Geschäftsleitung, rechtswidriges Verhalten – etwa im Bereich der Korruption – innerhalb des Unternehmens durch entsprechende organisatorische Vorkehrungen zu unterbinden und etwaige Verstöße aufzuklären. Teilweise erfolgen die Untersuchungen auf externen Druck, wie insbesondere im Falle von Aktionärsklagen oder der Einleitung von Verfahren durch die Staatsanwaltschaft, die Börsenaufsicht oder US-Behörden, die regelmäßig eine umfassende Mitwirkung der betroffenen Unternehmen an der Aufklärung einfordern. Und nicht zuletzt spielen häufig auch PR Aspekte eine Rolle, wenn in den Medien die „lückenlose Aufklärung“ eines publik gemachten Vorfalls verlangt wird. Bei der Durchführung einer internen Compliance Untersuchung sind diverse rechtliche Rahmenbedingungen zu beachten, insbesondere in arbeitsrechtlicher, strafrechtlicher und datenschutzrechtlicher Hinsicht. Der nachfolgende Beitrag beleuchtet die datenschutzrechtlichen Anforderungen an solche Untersuchungen unter dem Bundesdatenschutzgesetz (BDSG). II. Rechtlicher Rahmen 1. Sachliche Anwendbarkeit des BDSG auf Compliance Untersuchungen 2 Voraussetzung dafür, dass das BDSG überhaupt zur Anwendung gelangt, ist das eine Erhebung, Verarbeitung oder Nutzung „personenbezogener 184
Compliance Untersuchungen und Datenschutz
Daten“ erfolgt und zwar unter „Einsatz von Datenverarbeitungsanlagen“ oder in bzw. aus „nicht automatisierten Dateien“ (§ 1 Abs. 2 Nr. 3 BDSG). Sind diese Voraussetzungen nicht gegeben, so können die relevanten 3 Daten, und seien sie noch so sensibel, frei von datenschutzrechtlichen Beschränkungen verwendet werden. Dies gilt z. B. für eine Kunden- oder Lieferantenliste, soweit diese lediglich Firmenbezeichnungen von Unternehmen erhält und nicht zugleich auch personenbezogene Daten; etwa der Ansprechpartner in den Unternehmen. Bei der Verwendung solcher Dokumente mögen weitere Beschränkungen zu beachten sein, wie etwa vertragliche Vertraulichkeitsverpflichtungen oder das Bankgeheimnis.1 Beschränkungen unter dem BDSG ergeben sich in solchen Fällen indes nicht. „Personenbezogene Daten“ sind nach § 3 Abs. 1 BDSG „Einzelangaben 4 über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Diese Definition ist denkbar weit gefasst. Insbesondere unterfallen diesem Begriff nicht etwa nur solche Information, die sich konkret auf die Person beziehen, wie etwa deren Name, Alter oder Geschlecht, sondern vielmehr auch alle sonstigen Information „über persönliche oder sachliche Verhältnisse“. Dies führt dazu, dass nahezu sämtliche Informationen, die üblicherweise im Rahmen einer internen Untersuchung anfallen, dem Begriff der „personenbezogene Daten“ unterfallen können, soweit nur der notwendige Personenbezug besteht. Dies gilt z. B. für die Angabe der Funktion einer Person innerhalb eines Unternehmens („Vertriebsleiter“, „Geschäftsführer“); aber auch für alle Informationen über das Verhalten oder die Tätigkeit einer Person. So stellt z. B. bereits die bloße Angabe etwa in einem Protokoll, dass ein bestimmter Mitarbeiter an einem bestimmten Datum an einem Meeting teilgenommen hat, ein personenbezogenes Datum dar, solange die konkrete Person bestimmt oder jedenfalls bestimmbar ist. Weitere Voraussetzung für die Anwendbarkeit des BDSG ist der „Einsatz 5 von Datenverarbeitungsanlagen“, also typischerweise Computern. Dies wird der Regelfall sein bei einer internen Untersuchung, insbesondere bei der Auswertung von E-Mails. Dies wirft dann aber die Frage auf, wie mit Unterlagen umzugehen ist, 6 die nur in Papierform vorliegen, z. B. in Form von Aktenordnern oder auch nur losen Zettelsammlungen, die sich etwa im Büro einer betroffenen Personen befinden. In solchen Fällen der nicht-automatisierten Ver1
Siehe zum Bankgeheimnis z. B. Kopp/Pfisterer, CCZ 2015, 98, 104.
185
Kai-Uwe Plath
wendung personenbezogener Daten greift das BDSG grundsätzlich nur, wenn zumindest ein mittelbarer Dateibezug besteht. In § 3 Abs. 2 Satz 2 BDSG wird der Begriff der Datei als „jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann legaldefiniert. Auf die Datenverarbeitung in physischen Aktenordnern und sonstigen Dokumenten in Papierform, die nicht „Dateien“ i. S. d. § 3 Abs. 2 sind, findet das BDSG damit grundsätzlich keine Anwendung. Eine Ausnahme gilt nur dann, wenn die Daten in den Akten offensichtlich aus einer automatisierten Verarbeitung entstammen (vgl. § 27 Abs. 2 BDSG). Dies bedeutet konkret, dass z. B. ein chronologisch sortierter Aktenordner dem BDSG unterfällt. Gleiches gilt für Ausdrucke von Listen mit personenbezogenen Daten, die über einen Computer erstellt worden sind. Etwas anderes gilt aber für lose Zettelsammlungen oder etwa Notizen, die – mit oder ohne Vertuschungsabsicht – bereits im Abfall entsorgt werden sollten. 7 Einschränkend gilt zu dem zuvor Gesagten, dass das BDSG bei fehlendem Dateibezug auch dann zur Anwendung kommt, wenn sie für die Zwecke eines Beschäftigtenverhältnisses im Sinne des § 32 BDSG erfolgt (vgl. § 32 Abs. 2 BDSG). Diese – an dieser Stelle an sich systemwidrige – Ausnahme ist eingeführt worden, um der besonderen Schutzbedürftigkeit von Arbeitnehmern Rechnung zu tragen. Wenn sich also ein Arbeitgeber im Rahmen eines Einstellungsgesprächs eine „Post-it“ Notiz fertigt, die Angaben über die Person des Bewerbers enthält, so unterliegt diese dem Schutz des BDSG, obwohl die Information weder automatisiert verarbeitet wird, noch sich in einer sonstigen „Datei“ befindet. Zur Frage, unter welchen Voraussetzungen die Regelungen des § 32 BDSG zur Anwendung kommen, siehe sogleich unter Ziff. III.2.c). 8 Ausgenommen vom Geltungsbereich des BDSG sind nach § 1 Abs. 2 Nr. 3, 2. Halbs. BDSG „persönliche und familiäre Tätigkeiten“. Insoweit ist dem Missverständnis entgegenzutreten, dass eine Compliance-Untersuchung in all den Fällen außerhalb der Vorgaben des BDSG durchgeführt werden könnte, in denen „private“ Daten der Betroffenen verarbeitet werden. Denn die Ausnahmevorschrift regelt nicht den Fall, dass es sich bei den Daten um persönliche oder familiäre Daten handelt, sondern den Fall, dass die „verantwortliche Stelle“, also das Unternehmen, welches die Untersuchung durchführt, die Daten zu solchen Zwecken nutzt. Dies aber ist gerade nicht der Fall, denn der Zweck einer Compliance Untersuchung ist eben nicht „persönlich“ oder „familiär“.
186
Compliance Untersuchungen und Datenschutz
2. Territoriale Anwendbarkeit des BDSG auf Compliance Untersuchungen Im Rahmen von Compliance Untersuchungen kommt es häufig zu län- 9 derübergreifenden Konstellationen, insbesondere bei international agierenden Konzernen. Praktisch bedeutsam ist diese Frage vor allem deshalb, weil in den Mitgliedsstaaten ein unterschiedliches Schutzniveau herrscht hinsichtlich der Umsetzung und Auslegung der EG-Datenschutzrichtlinie. So mag eine bestimmte Verwendung personenbezogener Daten etwa in Spanien oder Irland als zulässig angesehen werden, während die deutschen Datenschutzbehörden ggf. eine restriktivere Sichtweise anlegen. Vor diesem Hintergrund ist es für die involvierten Unternehmen von großer praktischer Relevanz, nach welchem Recht sie sich zu richten haben. Insofern sind diverse Konstellationen zu unterscheiden2. Im Überblick gilt das BDSG in folgenden Fällen:
10
–
Das für die Untersuchung verantwortliche Unternehmen hat seinen Sitz in Deutschland und erhebt, verarbeitet und nutzt die Daten in Deutschland (Umkehrschluss aus § 1 Abs. 5 Satz 1 BDSG). Diese rein lokale Konstellation stellt gewissermaßen den Standardfall einer solchen Untersuchung dar, der ohne weiteres zur Anwendbarkeit des BDSG in territorialer Hinsicht führen wird.
–
Das für die Untersuchung verantwortliche Unternehmen hat seinen Sitz in der EU/EWR, also z. B. in England, die Datenverwendung erfolgt jedoch über eine Niederlassung in Deutschland (§ 1 Abs. 5 Satz 1, 2. Halbs. BDSG). Anknüpfungspunkt ist hier der Umstand, dass sich das Unternehmen über seine Niederlassung fest in Deutschland „niedergelassen“ hat und somit auch verpflichtet sein soll, das lokale Recht zu beachten.3
–
Das für die Untersuchung verantwortliche Unternehmen hat seinen Sitz in einem Drittland, also z. B. den USA, und die Datenverwendung erfolgt über ein in Deutschland „belegenes Mittel“ (§ 1 Abs. 5 Satz 2 BDSG). Ein solches Mittel stellt z. B. ein Server dar, der sich in Deutschland befindet und auf dem die für die Untersuchung erforderlichen Daten gespeichert werden.4
2 3
Ausführlich dazu Plath in: Plath, BDSG, § 1 Rz. 49 ff. Zur Auslegung des Begriffs der „Niederlassung“ siehe Plath in: Plath, BDSG, § 1 Rz. 52. Zur Auslegung des Begriffs des „Mittels“ siehe Plath in: Plath, BDSG, § 1 Rz. 62.
4
187
Kai-Uwe Plath
–
Das für die Untersuchung verantwortliche Unternehmen hat seinen Sitz in Deutschland und die Datenverwendung erfolgt in einem anderen Mitgliedstaat der EU/EWR, dabei jedoch nicht durch eine „Niederlassung“der verantwortlichen Stelle. Dieses Ergebnis beruht auf dem Umkehrschluss zur Tätigkeit der Niederlassung eines EUUnternehmens in Deutschland. Wenn also ein deutsches Unternehmen im EU-Ausland tätig wird, soll es grundsätzlich die Möglichkeit haben, sich nur nach „seinem“ lokalen Recht zu richten. Etwas anderes gilt aber dann, wenn es sich in dem anderen Mitgliedstaat fest einrichtet über die Errichtung einer Niederlassung. Dann hat es das Recht des anderen Mitgliedstaats zu beachten.
11 Im Umkehrschluss gilt das BDSG in folgenden Fällen nicht5: –
Das für die Untersuchung verantwortliche Unternehmen hat seinen Sitz in einem anderen Mitgliedsstaat der EU/EWR, und die Datenverwendung in Deutschland erfolgt nicht über eine Niederlassung in Deutschland. Klassischer und natürlich auch unmittelbar einleuchtender Fall wäre, dass ein englisches Unternehmen die Untersuchung in England durchführt.
–
Das für die Untersuchung verantwortliche Unternehmen hat seinen Sitz in einem Drittland außerhalb der EU/EWR und die Datenverwendung in Deutschland erfolgt nicht über ein in Deutschland „belegenes Mittel“. Führt ein US-Unternehmen eine Untersuchung in den USA durch, ist das deutsche Datenschutzrecht nicht anwendbar. Erfolgt dies aber unter Verwendung z. B. eines Servers in Deutschland, führt dies wiederum zur Anwendbarkeit des BDSG.
12 Von großer praktischer Bedeutung ist insoweit noch der Umstand, dass das BDSG nicht nach der Nationalität des Betroffenen, also der Person, auf die sich die Daten beziehen, differenziert. Wenn also das BDSG nach den vorstehenden Ausführungen zur Anwendung kommt, so spielt es keine Rolle, ob z. B. der jeweilige Arbeitnehmer die deutsche, die englische oder etwa die US-amerikanische Staatsbürgerschaft besitzt. 3. Weitere rechtliche Rahmenbedingungen 13 Neben dem BDSG können diverse weitere Regelungen für die Zulässigkeit einer Compliance Untersuchung relevant sein. An erster Stelle zu nennen ist insofern das Arbeitsrecht.6 Daneben können auch Fragen 5 6
Vgl. zur Rechtslage in anderen Ländern Spehl/Momsen/Grützner, CCZ 2014, 2; Spehl/Momsen/Grützner, CCZ 2014, 170. Näher dazu siehe z. B. Vogt, NJOZ, 2009, 4206.
188
Compliance Untersuchungen und Datenschutz
des Telekommunikationsrechts maßgeblichen Einfluss auf die Durchführung interner Untersuchung haben. Soweit die Untersuchung, wie üblich, die Auswertung von E-Mails beinhaltet, stellt sich die Frage, ob das Unternehmen, welches seinen Mitarbeitern einen geschäftlichen EMail-Account zur Verfügung stellt, der auch für private Zwecke genutzt werden kann, als Telekommunikationsanbieter anzusehen ist und somit an das Fernmeldegeheimnis gebunden ist. Bezüglich dieser Fragen sei auf die einschlägige Kommentarliteratur verwiesen.7 III. Zulässigkeit einer Compliance Untersuchung nach dem BDSG Das BDSG beruht auf dem Konzept eines Verbots mit Erlaubnisvorbehalt 14 (§ 4 Abs. 1 BDSG). Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift diese erlaubt oder anordnet oder der Betroffene eingewilligt hat (vgl. § 4 Abs. 1 BDSG). 1. Compliance Untersuchungen auf Basis von Einwilligungen In der Praxis stellt sich im Rahmen von Compliance Untersuchung zu 15 Beginn der Untersuchung häufig zunächst die grundlegende Frage, ob das Unternehmen versuchen sollte, die Einwilligung der betroffenen Mitarbeiter und sonstigen Personen in die Verwendung ihrer personenbezogenen Daten einzuholen. Vorteil dieser Lösung ist, dass im Falle einer wirksamen Einwilligung keine Notwendigkeit besteht, auf die gesetzlichen Erlaubnistatbestände zurückzugreifen, die – wie zu zeigen sein wird – komplexe Interessenabwägungen erfordern und daher zu gewisser Rechtsunsicherheit führen. Hinzu kommt der Faktor, dass Unternehmen daran gelegen sein kann, die handelnden Personen mit „ins Boot zu holen“. Sollen etwa Daten aus der HR-Abteilung eines Unternehmens verwendet werden, so mag es vorteilhaft sein, wenn etwa die HR-Leitung des Unternehmens in die Verwendung dieser Daten eingewilligt hat und somit auch gegenüber der Mitarbeiterschaft demonstriert wird, dass ein breiter Konsens vorliegt.8 Darüber hinaus können über eine sorgsam formulierte Einwilligung auch die Grenzen der Datenverwendung für die Zwecke der Untersuchung festgelegt werden. D. h. es wird insoweit nicht nur bestimmt, welche Verwendung gestattet werden, sondern 7
8
Vgl. Stamer/Kuhnke in: Plath, BDSG, § 32 Rz. 78 ff.; Jenny in: Plath, BDSG, § 88 TKG Rz. 13 ff.; vgl. auch Wybitul/Böhm, CCZ 2015, 133; Süße/Eckstein, Newsdienst Compliance 2014, 71009. Zur Frage des fehlenden „Account-Bezugs“ der Einwilligung siehe sogleich unter Ziff. III.1.e).
189
Kai-Uwe Plath
auch, in welchen Bereichen diese Gestattung endet (etwa hinsichtlich der Verwendung privater E-Mails). a) Anforderungen an eine wirksame Einwilligung 16 Die Vorschrift des § 4a BDSG regelt die Anforderungen an die Wirksamkeit der Einwilligung des Betroffenen. Werden die Anforderungen des § 4a BDSG nicht erfüllt, ist die Einwilligung unwirksam und eine darauf gestützte Verwendung der personenbezogenen Daten unzulässig, soweit nicht eine gesetzliche Erlaubnis greift. Erforderlich für eine wirksame Einwilligung nach dem BDSG sind –
die freie Entscheidung des Betroffenen (§ 4a Abs. 1 Satz 1 BDSG),
–
der Hinweis auf den vorgesehenen Zweck der Verwendung (§ 4a Abs. 1 Satz 2 BDSG),
–
der weitere Hinweis auf die Folgen der Verweigerung der Einwilligung, soweit erforderlich oder von dem Betroffenen verlangt (§ 4a Abs. 1 Satz 2 BDSG),
–
die Abgabe der Erklärung in Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (§ 4a Abs. 1 Satz 3 BDSG),
–
die besondere Hervorhebung der Einwilligung, wenn sie zusammen mit anderen Erklärungen schriftlich erteilt wird (§ 4a Abs. 1 Satz 4 BDSG).
b) Freiwilligkeit der Einwilligung 17 Nach § 4a Abs. 1 Satz 1 BDSG ist die Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Das Einverständnis muss ohne Zwang erfolgen und darf nicht erschlichen sein. Die Freiwilligkeit der Einwilligung kann im Rahmen von Compliance Untersuchungen insoweit insbesondere dann infrage stehen, wenn Arbeitnehmer eines Unternehmens zur Abgabe einer entsprechenden Erklärung aufgefordert werden.9 Insoweit ist z. B. anerkannt, dass der Arbeitgeber den zulässigen und eng gesteckten Rahmen seines Fragerechts gegenüber Arbeitnehmern und Bewerbern nicht etwa dadurch wirksam erweitern kann, dass er sich eine umfassende Einwilligung des Betroffenen einholt. Gleichzeitig impliziert das Arbeitsverhältnis allerdings nicht per se, dass jede Einwilligung des Arbeitnehmers pauschal unfreiwillig wäre. Zu be-
9 Speziell zur Einwilligung von Arbeitnehmern in die E-Mail Überwachung siehe z. B. Wybitul/Böhm, CCZ 2015, 133.
190
Compliance Untersuchungen und Datenschutz
grüßen ist insoweit die Entscheidung des BAG zur Veröffentlichung von Videoaufnahmen eines Arbeitnehmers aus dem Jahre 2014.10 In dieser hat das BAG ausdrücklich klargestellt, dass sich ein Arbeitnehmer auch im Rahmen eines Arbeitsverhältnisses grundsätzlich „frei entscheiden“ könne, wie er sein Grundrecht auf informationelle Selbstbestimmung ausüben wolle. Die Auffassung, dass es im Bereich der Arbeitsverhältnisse grundsätzlich nicht möglich sei, eine wirksame Einwilligung einzuholen, ist damit nicht mehr haltbar. Vielmehr bedarf es hier einer Einzelfallprüfung. Insoweit ist zu berücksichtigen, dass Compliance Untersuchung, zumal 18 wenn sie unter Einschaltung externer Anwaltskanzleien durchgeführt werden, zweifellos eine „beeindruckende“ Wirkung auf die betroffenen Personen haben können. Umso mehr ist es daher erforderlich, dass die Betroffenen umfassend über Sinn und Zweck sowie die Tragweite der erbetenen Einwilligung informiert werden. Darüber hinaus darf selbstverständlich kein Druck auf die Betroffenen ausgeübt werden. Ganz im Gegenteil ist abhängig von der jeweiligen Situation im Einzelfall zu erwägen, etwa den Datenschutzbeauftragten oder Betriebsrats des Unternehmens hinzuzuziehen, um dem Betroffenen Unterstützung zu leisten. c) Transparenz der Einwilligung Um sich frei für oder gegen die datenschutzrechtliche Einwilligung ent- 19 scheiden zu können, muss der Betroffene Sinn und Reichweite der Erklärung verstehen und richtig einschätzen können. Demnach sieht § 4a Abs. 1 Satz 2 BDSG vor, dass der Betroffene auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen ist. Der Betroffene darf seine Einwilligung folglich nicht als pauschale Erklärung erteilen, sondern muss diese „für den konkreten Fall und in Kenntnis der Sachlage“abgeben. Eine bloße Pauschaleinwilligung per „Einzeiler“ („Hiermit erkläre ich meine Einwilligung in die Durchführung einer Compliance Untersuchung“) dürfte den Anforderungen an die Transparenz nur selten genügen. In der Praxis ergibt sich aus diesem Gebot regelmäßig die Herausforde- 20 rung, einerseits sämtliche Informationen in dem Einwilligungstext abzubilden, andererseits aber die Erklärung so kurz und prägnant zu halten, dass sie für den Betroffenen noch verständlich ist. Denn je konkreter der Betroffene auf sämtliche Modalitäten der beabsichtigten Verwendung seiner Daten hingewiesen wird, desto umfangreicher wird der Einwilligungstext, was der Transparenz im Ergebnis nicht dienlich ist. Nach der 10 BAG, ZD 2015, 380 – Videoaufnahmen eines Arbeitnehmers im Internet.
191
Kai-Uwe Plath
hier vertretenen Ansicht ist es daher grundsätzlich ausreichend, wenn die Zwecke wie auch die weiteren Informationen ein Stück weit verallgemeinert werden, wenn dies im Ergebnis der Verständlichkeit insgesamt dient. 21 Neben dem konkreten Zweck der Datenverwendung muss die Aufforderung zur Abgabe der Einwilligung jedenfalls die Identität der verantwortlichen Stelle und die Kategorien von Empfängern enthalten. In der Praxis empfiehlt es sich insoweit, die Beteiligten an der Compliance Untersuchung (Anwaltskanzleien, forensische Dienstleister, etc.) möglichst konkret zu benennen ebenso wie die möglichen Empfänger, z. B. die ermittelnden Behörden. 22 Weiterhin setzt eine informierte Entscheidung auch voraus, dass der Betroffene darüber in Kenntnis gesetzt wird, welche Daten verwendet werden sollen. Dabei ist die Bezeichnung der Art der verwendeten Daten ausreichend, selbst dann, wenn die Aufzählung offensichtlich nicht abschließend ist (z. B. aufgrund des Zusatzes „oder vergleichbare Daten“). Soweit besondere Arten personenbezogener Daten erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. d) Form der Einwilligung 23 Grundsätzlich bedarf die Einwilligung der Schriftform. Eine Ausnahme besteht lediglich dann, wenn eine andere Form den Umständen nach angemessen ist. Auf diesen Ausnahmetatbestand werden üblicherweise die Werbeeinwilligungen im Online-Bereich gestützt. Für eine Compliance Untersuchung ist aber auf jeden Fall anzuraten, die Erklärung in Schriftform – also mit Unterschrift des Betroffenen – zu verfassen, um formelle Einwände von vorne herein auszuschließen. e) Keine account-basierte Einwilligung 24 Auch wenn es gelingt, von einer bestimmten Anzahl von betroffenen Personen eine Einwilligung in die Verwendung ihrer personenbezogenen Daten zu erlangen, wird es nur in den seltensten Fällen möglich sein, eine komplette Untersuchung auf das Konzept einer Einwilligung zu stützen. 25 Denn zu beachten ist, was häufig übersehen wird, dass eine Einwilligung seitens des Betroffenen immer nur hinsichtlich der ihn betreffenden persönlichen („eigenen“) Daten erteilt werden kann. Es ist ein in der Praxis verbreitetes Missverständnis, dass eine Art „account-basierte“ Einwilli192
Compliance Untersuchungen und Datenschutz
gung erteilt werden könnte. Konkret bedeutet dies, dass z. B. der Personalleiter eines Unternehmens nicht in der Lage ist, in die Verwendung der bei ihm geführten Personalakten einzuwilligen. Soweit die Verwendung der darin gespeicherten personenbezogenen Daten der Angestellten des Unternehmens auf Basis einer Einwilligung erfolgen soll, ist dazu die Einwilligung jedes einzelnen Mitarbeiters erforderlich, nicht etwa desjenigen, der die Daten verwaltet. Gleichwohl ist eine solche Einwilligung des „Verwalters“ der Daten nicht unbeachtlich. Denn sie stellt ein gewichtiges Element im Rahmen der Interessenabwägung dar, soweit die Verwendung der Daten auf die gesetzlichen Erlaubnistatbestände gestützt werden soll. Relevant wird dieses Thema z. B. auch bei der Einsichtnahme in E- 26 Mails. Auch wenn ein Mitarbeiter als der Empfänger der E-Mail in die Einsichtnahme z. B. durch seinen Arbeitgeber einwilligt, fehlt es streng genommen weiterhin an der zusätzlich erforderlichen Einwilligung des Versenders der E-Mail. Insoweit ist dann ein Rückgriff auf die gesetzlichen Erlaubnistatbestände erforderlich. Die Interessenabwägung wird in diesen Fällen regelmäßig zu einem Recht zur Einsichtnahme führen, da der Versender einer E-Mail damit rechnen muss, dass diese in der Sphäre des Empfängers ggf. eingesehen werden kann. Zu beachten ist aber, dass sich das Unternehmen insoweit nicht auf die Einwilligung stützen kann. f) Widerruflichkeit der Einwilligung Der Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen. 27 Zwar erwähnt das BDSG das Widerrufsrecht des Betroffenen allein im Kontext mit der elektronisch erklärten Einwilligung, § 28 Abs. 3a BDSG, doch ist ein entsprechendes Recht des Betroffenen im Hinblick auf den Schutz der informationellen Selbstbestimmung allgemein anerkannt. Zu beachten ist allerdings, dass auch für die Erklärung des Widerrufs gewisse Grenzen gelten. Dies hat das BAG in der zuvor zitierten Entscheidung zwischenzeitlich höchstrichterlich bestätigt.11 Konkret ist nach dem BAG „im Rahmen der gegenseitigen Rücksichtnahme auf die Interessen der anderen Seite, § 241 Abs. 2 BGB, eine Abwägung im Einzelfall vorzunehmen“. In dem konkreten Fall hielt das BAG den Widerruf der Einwilligung eines zwischenzeitlich ausgeschiedenen Arbeitnehmers zur weiteren Veröffentlichung von Videoaufnahmen durch seinen ehemaligen Arbeitgeber unter Abwägung der Umstände des Falles für unwirksam. Die verantwortliche Stelle muss diesen Widerruf ex-nunc beachten. Der 28 Widerruf hindert das Unternehmen damit zwar an der weiteren Verwen11 BAG, ZD 2015, 380 – Videoaufnahmen eines Arbeitnehmers im Internet.
193
Kai-Uwe Plath
dung der erhobenen Daten auf Grundlage der Einwilligung, berührt aber nicht die bereits erfolgte Verwendung der erhobenen Daten. Diese bleibt rechtmäßig. g) Zusammenfassende Bewertung zum Konzept der Einwilligung 29 Es hat sich gezeigt, dass das Konzept der Einwilligung auch im Rahmen von Compliance Untersuchungen durchaus seinen Nutzen haben kann. Indes stößt es in der Regel auch an seine Grenzen, zumal wenn eine Vielzahl von Betroffenen involviert ist. Diese Problematik hat auch die sog. Art-29-Datenschutzgruppe erkannt, die nach der EG-Datenschutzrichtlinie als unabhängiges europäisches Beratungsgremium in Datenschutzfragen fungiert und sich in dieser Funktion mit den „Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery)“ auseinandergesetzt hat.12 Konkret heißt es dazu mit Blick auf die oben angesprochene Problematik der Daten von Dritten: „Handelt es sich bei den angeforderten personenbezogenen Daten um Daten eines Dritten, beispielsweise eines Kunden, so ist derzeit unwahrscheinlich, dass der für die Verarbeitung Verantwortliche den Beweis erbringen könnte, dass die betroffene Person gebührend informiert war und von der Verarbeitung in Kenntnis gesetzt wurde.“ Auf dieser Basis kommt die Arbeitsgruppe dann zu folgenden Ergebnis: „Das Erfordernis der Einwilligung kann also als vermeintlich gute Lösung erscheinen, die auf den ersten Blick einfach, in der Praxis jedoch komplex und schwerfällig ist“. Die Arbeitsgruppe räumt allerdings auch ein, „dass es Situationen geben kann, in denen der Betroffene Kenntnis von dem Rechtsstreit hat oder sogar daran beteiligt ist und somit seine Einwilligung als korrekte Grundlage für die Verarbeitung anzusehen ist.“ 2. Compliance Untersuchungen auf Basis gesetzlicher Erlaubnisse a) Erlaubnisnormen unter dem BDSG 30 Soweit keine Einwilligung der Betroffenen vorliegt, muss die Verwendung personenbezogener Daten im Rahmen der Compliance Untersuchung auf eine der in § 4 Abs. 1 BDSG genannten Erlaubnisnormen gestützt werden. Neben einer gesetzlichen Erlaubnis direkt unter dem
12 Art-29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery) v. 11.2.2009.
194
Compliance Untersuchungen und Datenschutz
BDSG kommen auch „andere Rechtsvorschriften“ als Erlaubnisnormen in Betracht. b) Erlaubnis aufgrund Betriebsvereinbarung „Rechtsvorschriften“ i. S. d. § 4 Abs. 1 BDSG sind anerkanntermaßen 31 auch Tarifverträge sowie Betriebsvereinbarungen. Insofern ist im Rahmen der Compliance Untersuchung zunächst zu prüfen, ob ggf. eine Betriebsvereinbarung vorliegt, welche die Datenverwendung für die Zwecke der Untersuchung legitimiert. Ebenso können sich aus einer solchen Betriebsvereinbarung allerdings auch Beschränkungen bezüglich der Verwendung personenbezogener Daten ergeben, nach denen eine an sich nach dem BDSG zulässige Verwendung gerade nicht mehr gestattet ist. Umstritten ist zudem, inwieweit solche Vereinbarungen Datenverwen- 32 dungen rechtfertigen können, die ansonsten nach den Regelungen im BDSG verboten wären. Zu eng ist insoweit sicherlich die Auffassung, wonach solche Vereinbarungen das Schutzniveau des BDSG nicht unterschreiten dürften, denn dann bestünde für die Aufnahme dieser Vereinbarungen in den Anwendungsbereich des § 4 Abs. 1 BDSG kein Bedarf. Allerdings ist aus grundrechtlichen Erwägungen heraus einzuräumen, dass Betriebsvereinbarungen sicherlich keine uferlose Ausweitung der Datenverwendung ermöglichen können. Darüber hinaus ist zu beachten, dass Compliance Untersuchungen in aller Regel auch Daten von Personen erfassen, die nicht von dem Betriebsrat vertreten werden, wie etwa von den Organen der Gesellschaften oder betriebsfremden Dritten. c) Erlaubnis aufgrund § 32 BDSG Die Norm des § 32 BDSG regelt die Verwendung personenbezogener 33 Daten „für Zwecke des Beschäftigungsverhältnisses“. In seinem Anwendungsbereich geht der § 32 BDSG den Regelungen des allgemeinen Erlaubnistatbestands des § 28 BDSG vor. Dies führt zu der Frage, ob Unternehmen im Rahmen ihrer Compliance Untersuchungen die tendenziell strengeren Vorgaben des § 32 BDSG zu beachten haben oder sich auf die allgemeinen Erlaubnisnormen stützen können. Die Frage ist bislang nicht abschließend geklärt. Nach der hier vertre- 34 tenen Ansicht ist auf den Schwerpunkt der Untersuchung abzustellen. Dient diese dem Zweck, das Fehlverhalten eines konkreten Mitarbeiters des Unternehmens aufzuklären, so liegt die Anwendbarkeit des § 32 BDSG nahe. Dient die Untersuchung hingegen eher übergreifenden Compliance Zwecken, so erscheint ein Rückgriff auf § 28 BDSG naheliegender, und zwar auch dann, wenn im Rahmen der Untersuchung das 195
Kai-Uwe Plath
mögliche Fehlverhalten einzelner Personen untersucht wird. In solchen Fällen sind allerdings die Wertung des § 32 BDSG in den § 28 BDSG „hineinzulesen“. Wenn also z. B. mögliche Straftaten eines Beschäftigten in Rede stehen, so werden hohe Anforderungen an die Darlegung der Verdachtsmomente zu stellen sein (vgl. § 32 Abs. 1 Satz 3 BDSG). d) Erlaubnis aufgrund § 28 BDSG 35 Im Regelfall dürfte eine Compliance Untersuchung nach den vorstehenden Ausführungen damit an § 28 BDSG zu messen sein, konkret an § 28 Abs. 1 Satz 1 Nr. 2 BDSG, der die Datenverwendung zur Interessenwahrung regelt. 36 Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist nach dieser Norm zulässig, „soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. aa) Berechtigtes Interesse 37 Erforderlich ist also zunächst ein „berechtigtes Interesse“ des Unternehmens an der Durchführung der Compliance Untersuchung. Das berechtigte Interesse der verantwortlichen Stelle muss bei vernünftiger Erwägung durch die Sachlage gerechtfertigt sein, tatsächlich bestehen und kann rechtlicher, wirtschaftlicher, ideeller oder sonstiger Natur sein. Es besteht jedenfalls dann, wenn die verantwortliche Stelle ohne die Datenverwendung einen (erheblichen) Nachteil hätte. Grundsätzlich kann jedes Interesse berechtigt sein, das von der Rechtsordnung gebilligt ist. Insofern bestehen in der Regel keine Zweifel daran, dass Unternehmen bei der Durchführung von Compliance Untersuchungen „berechtigte Interessen“ i. S. d. Norm verfolgen. bb) Erforderlichkeit 38 Weiterhin muss die Untersuchung zur Durchführung des angestrebten Zwecks auch „erforderlich“ sein. Die Datenverwendung ist jedenfalls dann erforderlich, wenn sie zur Erreichung des beabsichtigten Ziels unerlässlich ist. Die Erforderlichkeit kann jedoch darüber hinaus auch dann bejaht werden, wenn für die Datenverwendung keine zumutbare Alternative besteht, oder sie für die verantwortliche Stelle zweckmäßig ist. Dies kann bspw. der Fall sein, wenn die Zielerreichung auf andere Weise nur mit einem größeren Kostenaufwand verbunden wäre. 196
Compliance Untersuchungen und Datenschutz
Im Grundsatz steht insoweit außer Frage, dass es zur Durchführung einer 39 Compliance Untersuchung erforderlich ist, personenbezogene Daten zu verwenden, wenn es z. B. darum geht, die Korrespondenz zwischen bestimmten Personen auszuwerten. Allerdings ist insofern eine Einzelfallprüfung vorzunehmen, da stets danach zu fragen ist, ob z. B. der Kreis der von der Untersuchung erfassten Personen richtig gezogen ist bzw. der beabsichtigte Zweck mit gleicher Sicherheit auch auf andere Weise erzielt werden kann. Weiterhin ist dann jeder einzelne Verwendungsschritt (Speicherung, Auswertung13, Mitarbeiterbefragung14, Übermittlung15, etc.) einer gesonderten Erforderlichkeitsprüfung zu unterziehen.16 cc) Interessen der Betroffenen – Verhältnismäßigkeit Die Interessen der verantwortlichen Stelle sind mit den entgegenstehen- 40 den Interessen des Betroffenen abzuwägen. Die verantwortliche Stelle ist insoweit nicht dazu verpflichtet, eine ausführliche Interessenabwägung im Einzelfall durchzuführen. Eine summarische, am typischen Sachverhalt orientierte Abwägung ist ausreichend. Maßstab der Abwägung ist der Verhältnismäßigkeitsgrundsatz. Die 41 Datenverwendung muss also geeignet, erforderlich und angemessen sein, wobei die Geeignetheit und Erforderlichkeit bereits vorab zu prüfen sind, so dass an dieser Stelle lediglich noch die Angemessenheit im Wege der Interessenabwägung zu ermitteln ist. Je sensibler die betroffenen Daten sind, desto gewichtiger muss das berechtigte Interesse der verantwortlichen Stelle sein. dd) Typische Anwendungsfälle Vielfach wird im Rahmen von Compliance Untersuchungen – insbeson- 42 dere im Zusammenhang mit Gerichtsverfahren in den USA – eine „Legal Hold Notice“ ausgesprochen, also die Anweisung, die gewöhnlichen
13 Zur Verwendung von Sicherungskopien eines E-Mail-Postfachs im vielbeachteten Fall „Mappus“ siehe VGH Mannheim, ZD 2014, 579. 14 Siehe konkret zur Frage der Zulässigkeit der Mitarbeiterbefragung Spehl/ Momsen/Grützner, CCZ 2014, 170; Süße/Eckstein, Newsdienst Compliance 2014, 71009. 15 Vgl. etwa zur Frage, ob Daten auf freiwilliger Basis an ermittelnde Behörden übermittelt werden dürfen oder eine solche Übermittlung an der Erforderlichkeit scheitert Kopp/Pfisterer, CCZ 2015, 98, 103. 16 Siehe dazu die Bewertung verschiedener Fallgruppen bei Spehl/Momsen/ Grützner, CCZ 2014, 2.
197
Kai-Uwe Plath
Löschroutinen auszusetzen und keine relevanten Dokumente zu löschen oder zu vernichten. 43 Hinzuweisen ist insoweit zunächst auf den Umstand, dass die weitere Speicherung personenbezogener Daten durchaus datenschutzrechtliche Relevanz hat, was offenbar in den USA nicht ohne weiteres so gesehen wird. Darauf weist die Art-29-Datenschutzgruppe in ihrer Stellungnahme zum pre-trial-discovery17 zutreffend hin, wenn es dort heißt: „In den Vereinigten Staaten wird zwar die Speicherung personenbezogener Daten für einen Rechtsstreit nicht als Verarbeitung angesehen, nach der Richtlinie 95/46/EG stellt aber jede Aufbewahrung, Konservierung oder Archivierung von Daten für derartige Zwecke eine Verarbeitung dar. Die Aufbewahrung von Daten für einen künftigen Rechtsstreit ist lediglich gemäß Artikel 7 Buchstaben c oder f der Richtlinie 95/46/EG möglich.“ 44 Die Eingriffsintensität solcher Maßnahmen ist jedoch vergleichsweise gering. Der reine Umstand, dass Daten weiterhin gespeichert bleiben, führt noch nicht unmittelbar dazu, dass die Daten auch darüber hinaus verwendet, also insbesondere eingesehen werden. Gleichzeitig muss sich eine solche Maßnahme an dem im BDSG verankerten Grundsatz der Datensparsamkeit messen lassen. Zu vermeiden ist es, Daten weiterhin vorrätig zu halten, die für die Untersuchung evident keine Bedeutung haben. Im Zweifel ist den Unternehmen insoweit aber ein eher weiter Ermessensspielraum zu gewähren, da sich zu Beginn einer Untersuchung häufig noch nicht abschließend bewerten lässt, welche konkreten Dokumente eines Tages relevant sein können, zumal wenn bei einem zu eng gesteckten Rahmen der Anordnung eine unwiderrufliche Löschung droht. 45 Für die grundsätzliche Zulässigkeit der Aussetzung einer Löschroutine hat sich für den Fall der pre-trial discoveries auch die Art-29-Datenschutzgruppe ausgesprochen. Wörtlich heißt es dazu in der Stellungnahme der Datenschutzgruppe18: „Wenn jedoch die personenbezogenen Daten rechtserheblich sind und in einem konkreten oder unmittelbar bevorstehenden Verfahren verwendet werden sollen, sollten sie bis zum Verfahrensabschluss und bis zum Ende der Berufungsfrist aufbewahrt werden. Die Vernichtung von Beweismitteln kann einschneidende ver-
17 Art-29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery) v. 11.2.2009. 18 Art-29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery) v. 11.2.2009.
198
Compliance Untersuchungen und Datenschutz
fahrensrechtliche und andere Sanktionen nach sich ziehen.“ Und weiter: „Es kann sich als notwendig erweisen, Informationen, einschließlich personenbezogener Daten, präventiv oder für ein Gerichtsverfahren („litigation hold“) aufzubewahren. De facto bedeutet dies, dass das Unternehmen Dokumente, die für bereits anhängige oder noch zu erwartende Klagen relevant sein können, vorübergehend aus seinem Dokumentenverwaltungssystem, das die Aufbewahrung oder Vernichtung von Dokumenten regelt, herausnimmt.“ Eine vergleichbare Thematik ergibt sich, wenn große Datenmengen für 46 die Zwecke der Auswertung auf gesonderten Servern gespeichert werden sollen, die häufig von technischen Dienstleistern betrieben werden. Bei einem solchen Vorgang kommt es zu einer Duplizierung der Datensätze und somit zu der Frage, ob diese dem Grundsatz der Erforderlichkeit genügt. Auch insoweit bestehen aber keine grundsätzlichen Bedenken gegen die Fertigung entsprechender Kopien, da i. d. R. nur auf diesem Wege eine strukturierte Untersuchung ohne Störung des Betriebsablaufs des Unternehmens durchgeführt werden kann. Auch insoweit gilt aber, dass sorgsam abzuwägen ist, welche konkreten Datensätze übernommen werden. Betrifft die Untersuchung z. B. nur Vorgänge aus einem bestimmten Zeitraum, so sollten die Datensätze so gewählt werden, dass sie – soweit technisch möglich – auch nur Daten, etwa E-Mails, aus dem relevanten Zeitraum enthalten. Diskutiert wird weiterhin, in welchem Rahmen die Unternehmen be- 47 rechtigt sind, Dritte – also insbesondere Anwaltskanzleien – mit der Einschaltung der Untersuchung zu betrauen. Denn die Einschaltung z. B. einer Anwaltskanzlei führt rechtstechnisch zu einer „Übermittlung“ personenbezogener Daten an die Kanzlei, welche sich wiederum an dem Grundsatz der Erforderlichkeit messen lassen muss. Bei formalistischer Betrachtung könnte eingewandt werden, dass die Einschaltung einer Kanzlei nicht erforderlich sei, da Unternehmen die Untersuchung ebenso gut intern durchführen können. In der Praxis stellt die Einschaltung von Kanzleien allerdings den Regelfall dar und lässt sich auch anhand der datenschutzrechtlichen Grundsätze gut begründen. Denn im Ergebnis führt die Einschaltung einer Kanzlei eher zu einer geringeren Belastung für die betroffenen Mitarbeiter eines Unternehmens, da deren Daten nicht etwa durch deren Kollegen oder Vorgesetzte gesichtet werden, sondern durch eine externe Kanzlei, die zudem dem anwaltlichen Berufsgeheimnis unterliegt. Hinzu kommt, dass auf Compliance Untersuchungen spezialisierte Kanzleien über spezifische Erfahrungen und Ressourcen verfügen, die in den Unternehmen oftmals nicht vorhanden sind.
199
Kai-Uwe Plath
48 Teilweise ist erwogen worden, externe Kanzleien unter dem Konstrukt der Auftragsdatenverarbeitung nach § 11 BDSG zu beauftragen. Vorteil dieses Konstrukts ist es, dass die Weitergabe der Daten an den Auftragnehmer im Rechtssinne keine Übermittlung an einen Dritten darstellt und daher nicht der gesetzlichen Erlaubnis nach § 28 BDSG bedarf. Allerdings verträgt sich das Modell der weisungsgebundenen Auftragsdatenverarbeitung nicht mit der Rolle der Kanzlei als unabhängige Rechtsberaterin des Unternehmens. Nach der hier vertretenen Ansicht ist insoweit auch kein Rückgriff auf § 11 BDSG erforderlich, da die Übermittlung nach § 28 BDSG gerechtfertigt ist. Im Gegensatz dazu sind forensische Dienstleister, die etwa das Hosting der für die Untersuchung benötigten Daten übernehmen, über § 11 BDSG zu beauftragen. Dies erfordert insbesondere den Abschluss eines schriftlichen Auftragsdatenverarbeitungsvertrages, der den formalen Anforderungen des § 11 BDSG genügt. 49 Die Frage, ob Untersuchungsergebnisse und sonstige Daten im Rahmen einer Untersuchung zwischen Konzerngesellschaften ausgetauscht werden dürfen, richtet sich nach § 28 BDSG. Da das BDSG kein „Konzernprivileg“ kennt, stellt jeder Austausch personenbezogener Daten zwischen konzernverbundenen Unternehmen eine Übermittlung an einen Dritten dar. Ob ein solcher Austausch dem Verhältnismäßigkeitsgrundsatz genügt, ist eine Frage des Einzelfalls. So kann eine Übermittlung z. B. dann zulässig sein, wenn eine bestimmte Konzerngesellschaft als zentraler Ansprechpartner für die Behörden agiert oder die Untersuchung insgesamt koordiniert. 50 Im Rahmen von Compliance Untersuchung ist es unvermeidbar, dass zunächst Daten gespeichert und gesichtet werden, die sich später als nicht relevant herausstellen. Denn naturgemäß muss ein zumindest potentiell relevantes Dokument zunächst geprüft werden, bevor ermessen werden kann, welche Relevanz es für die Untersuchung hat. Um diesem Problem zu begegnen, arbeitet man in der Praxis – zumindest im Rahmen größerer Untersuchungen – mit Suchbegriffen. Die Suchbegriffe werden speziell auf den Gegenstand der Untersuchung zugeschnitten und bilden somit einen ersten Filter, um den Umfang der untersuchten Dokumente im Rahmen eines automatisierten Verfahrens angemessen zu begrenzen. 51 In einem weiteren Schritt werden die auf Basis der Suchbegriffe als potentiell relevant identifizierten Dokumente gesichtet, i. d. R. durch Anwälte der eingeschalteten Kanzlei. In diesem Schritt werden weitere Dokumente aussortiert, die keinen Bezug zum Untersuchungsgegenstand haben. So mag es z. B. vorkommen, dass der Begriff „Geschenk“ als Suchbegriff verwendet wird für eine Untersuchung hinsichtlich möglicher Bestechungsversuche. Wenn sich nun aber z. B. Mitarbeiter des 200
Compliance Untersuchungen und Datenschutz
Unternehmens per E-Mail über ein Abschiedsgeschenk für ihren Kollegen ausgestaucht haben, so würde diese Korrespondenz anhand des Suchbegriffs als potentiell relevant angezeigt werden. Im Rahmen der Sichtung der entsprechenden Dokumente würde diese dann von der weiteren Untersuchung ausgenommen werden. Der vorstehend beschriebene Ansatz der „Filterung“ hat sich in der Pra- 52 xis als „best-practice“ Ansatz etabliert und entspricht auch den von der Art-29-Arbeitsgruppe etablierten Vorgaben, die sich wie folgt zu dieser Thematik positioniert hat19: „Die für die Verarbeitung Verantwortlichen, die an einem Rechtsstreit beteiligt sind, sind verpflichtet, geeignete Vorkehrungen zu treffen (im Hinblick auf die Sensibilität der betreffenden Daten sowie auf alternative Informationsquellen), um die Offenlegung personenbezogener Daten auf die Daten zu beschränken, die für die zur Verhandlung anstehenden Fragen objektiv erheblich sind. Dieses „Filtern“ erfolgt in mehreren Phasen: zunächst wird festgestellt, welche Informationen für den Rechtsstreit relevant sind, dann wird geprüft, inwieweit diese Informationen personenbezogene Daten enthalten. Sind personenbezogene Daten betroffen, muss der für die Verarbeitung Verantwortliche abwägen, ob es erforderlich ist, dass die personenbezogenen Daten vollständig verarbeitet werden, oder ob sie beispielsweise in einer stärker anonymisierten oder überarbeiteten Form vorgelegt werden können. Wenn die Identität der betroffenen Person für den Streitgegenstand nicht relevant ist, besteht keine Notwendigkeit, eine solche Information in erster Instanz bereitzustellen. Diese kann allerdings in einer späteren Phase vom Gericht angefordert werden, was zu einer weiteren „Filterung“ führen kann. In den meisten Fällen wird es ausreichen, die personenbezogenen Daten pseudonymisiert, d. h. mit anderen Identifikatoren als dem Namen der betroffenen Person, zu übermitteln.“ Ein absolutes Verbot, auch private Korrespondenz mit in die Untersu- 53 chung einzubeziehen, kennt das BDSG nicht. Allerdings sind insoweit an die Verhältnismäßigkeit der Maßnahmen besonders hohe Anforderungen zu stellen, denn in aller Regel wird die Untersuchung privater E-Mails und sonstiger Korrespondenz für die Durchführung der Untersuchung nicht erforderlich sein. Insofern ist im Einzelfall zu prüfen, ob als „privat“ gekennzeichnete E-Mails oder E-Mails aus bestimmten „Privatordnern“ von Beginn an von dem Umfang der Untersuchung ausgenommen werden können. Soweit dies technisch nicht möglich ist, sollte
19 Art-29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery) v. 11.2.2009.
201
Kai-Uwe Plath
jedenfalls ab dem Moment, zu dem eine E-Mails als „privat“ identifiziert worden ist, von der weiteren Auswertung abgesehen werden. 3. Datenübermittlung ins Ausland 54 Häufig sind Auslöser der internen Untersuchung „Investigations“ der US-amerikanischen Aufsichtsbehörden. Die US-Behörden verlangen in diesen Fällen eine umfassende Kooperation des betroffenen Unternehmens und insbesondere eine Offenlegung relevanter Daten. Insofern stellt sich dann die Frage, ob Daten mit Personenbezug gegenüber den US-Behörden offengelegt werden dürfen, ohne gegen die Vorgaben des BDSG zu verstoßen.20 a) Übermittlung auf Basis von Einwilligungen 55 Grundsätzlich kann die Übermittlung von Daten an US-Behörden, und freilich auch alle sonstigen Stellen, auf eine Einwilligung gestützt werden (vgl. § 4c Abs. 1 Satz 1 Nr. 1 BDSG). Dazu sollte der Einwilligungstext die entsprechend geplante Übermittlung möglichst konkret ausweisen. b) Übermittlung auf Basis gesetzlicher Erlaubnis 56 Liegt keine Einwilligung vor, so bedarf es einer gesetzlichen Erlaubnis und zwar auf Basis eines „Zwei-Stufen-Tests“. Zunächst fragt sich, ob die Daten überhaupt für die Zwecke der Untersuchung verwendet und an einen Dritten, wie eben eine US-Behörde, übermittelt werden dürfen. Dies richtet sich nach § 28 BDSG. Insofern sei auf die obigen Ausführungen verwiesen. Auf der zweiten Stufe fragt sich dann, ob die Daten in die USA oder einen sonstigen Drittstaat außerhalb der EU bzw. des EWR übermittelt werden dürfen. 57 Nach § 4b Abs. 2 BDSG hat eine Übermittlung zu unterbleiben, „soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen [hier: den US-Behörden] ein angemessenes Datenschutzniveau nicht gewährleistet ist.“ Nach Einschätzung der EU-Kommission fehlt es in den USA an einem „angemessenen Datenschutzniveau“, so dass das Verbot des § 4b Abs. 2 BDSG grundsätzlich zur Anwendung kommt. 58 Allerdings gelten nach § 4c BDSG gewissen Ausnahmen von diesem Verbot, die im Rahmen von Compliance Untersuchungen relevant sein können. Die wohl relevantesten Ausnahmen finden sich in § 4c Abs. 1 20 Vgl. dazu Deutlmoser/Filip, ZD-Beil. 2012, 1.
202
Compliance Untersuchungen und Datenschutz
Satz 1 Nr. 4 BDSG. Danach ist die Übermittlung zulässig, wenn „die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist“.21 Die Auslegung des Begriffs des wichtigen öffentlichen Interesses ist um- 59 stritten. Soweit die Untersuchung vornehmlich Verfehlungen einzelner Mitarbeiter eines Unternehmens mit interner Wirkung betrifft, so dürfte eine Berufung auf diesen Erlaubnistatbestand schwer fallen. Steht hingegen eine umfassende Untersuchung ggf. sogar mehrerer Unternehmen etwa des Finanzsektors im Raum, erscheint eine Berufung auf öffentliche Interessen denkbar. Allerdings wird auch vertreten, dass die Norm lediglich bzw. primär auf „Datentransfer zwischen öffentlichen Einrichtungen“ zugeschnitten sei.22 Daneben ist eine Übermittlung möglich, wenn dies zur Rechtsverteidi- 60 gung erforderlich ist. Auch insoweit kommt es dann auf die konkrete Konstellation des Einzelfalles an, z. B. auf die Frage, in welchen Stadium sich die Investigation der US-Behörden befindet. Relevant ist dies u. a. deshalb, weil die Norm auf eine Verteidigung „vor Gericht“ abstellt, was die Frage aufwirft, ob auch außer- bzw. vorgerichtliche Maßnahmen eine Übermittlung ermöglichen, wenn diese eine Rechtsverteidigung erfordern.23 Hierzu werden teilweise eher restriktive Auffassungen vertreten, wonach eine Anwendung „auf verwaltungsrechtliche oder strafrechtliche Verfahren“ ausgeschlossen sei und die Vorschrift daher Unternehmen keine Grundlage darstelle, „um extraterritorial wirkenden Offenlegungsanordnungen etwa der US-amerikanischen Börsenaufsicht SEC nachzukommen“24 Unter beiden Tatbeständen muss zusätzlich der Erforderlichkeitsgrund- 61 satz gewahrt bleiben. Insoweit stellt sich insbesondere die Frage, in wel21 Zur Frage eines möglichen Vorrangs bestehender Vereinbarungen über Rechtsund Amtshilfe siehe Kopp/Pfisterer, CCZ 2015, 151, 155. 22 Kopp/Pfisterer, CCZ 2015, 151, 154. 23 Mit Blick auf den Charakter der Regelung als Ausnahmetatbestand spricht sich etwa Spoerr in: Beck’scher Online-Kommentar Datenschutzrecht, Grundlagen und bereichsspezifischer Datenschutz, Finanzwesen, Kapitel F, Rz. 143, für eine „restriktive Auslegung“ aus. Zur Zulässigkeit einer freiwilligen Übermittlung vgl. Kopp/Pfisterer, CCZ 2015, 151, 153. 24 Schantz in: Beck’scher Online-Kommentar Datenschutzrecht, Grundlagen und bereichsspezifischer Datenschutz, § 4c Rz. 22; für eine enge wortlautorientierte Auslegung auch Kopp/Pfisterer, CCZ 2015, 151, 155: „Die Übermittlung von Daten ist demnach nur zulässig, soweit die Daten „im Zusammenhang mit einem gerichtlichen Verfahren“ Verwendung finden sollen“.
203
Kai-Uwe Plath
chem Umfang die übermittelten Daten zu pseudonymisieren sind, um diesen Anforderungen zu genügen.25 In der Stellungnahme der Art-29Datenschutzgruppe heißt es dazu wörtlich26: „Als ersten Schritt sollten die für die Verarbeitung Verantwortlichen die Offenlegung nach Möglichkeit auf anonymisierte oder zumindest pseudonymisierte Daten beschränken. Nach dem Herausfiltern irrelevanter Daten – möglicherweise durch eine vertrauenswürdige dritte Partei in der Europäischen Union – würden in einem zweiten Schritt personenbezogene Daten in einem sehr viel begrenzteren Umfang offen gelegt werden.“ IV. Zusammenfassung 62 Es zeigt sich, dass Compliance Untersuchungen ohne weiteres datenschutzkonform ausgestaltet werden können und zwar auch dann, wenn größere Mengen personenbezogener Daten verarbeitet werden. Allerdings unterliegt jeder Verarbeitungsschritt dem Gebot der Verhältnismäßigkeit. Insofern ist es erforderlich, jeden dieser Schritte sorgfältig zu planen unter einer fortwährenden Kontrolle dahingehend zu unterziehen, ob die jeweilige Maßnahme zur Wahrung der Interessen des Unternehmens erforderlich ist und ihr keine überwiegenden Interessen des Betroffenen entgegenstehen.
25 Restriktiver Spoerr in: Beck’scher Online-Kommentar Datenschutzrecht, Grundlagen und bereichsspezifischer Datenschutz, Finanzwesen, Kapitel F, Rz. 145: „im Regelfall anonymisiert werden müssen sämtliche Angaben zu inländischen natürlichen Personen“. 26 Art-29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery) v. 11.2.2009.
204
Was braucht der Anwalt heute und in Zukunft Dominic Piernot* I. Präambel II. 1. 2. 3.
Technologien und deren Herkunft Netzwerke und Internet Künstliche Intelligenz Sicherheit und Datenschutz
III. Rechtsberatung – wo greift Technologie bereits heute und was ist in der Zukunft zu erwarten? 1. Cloud und Kollaboration 2. Verschlüsselung, Sicherheit und Datenschutz
3. 4. 5. 6.
BigData und Analytics eDiscovery Datenräume eBilling/Legal Spend Management
IV. Fragen, die Sie sich stellen sollten 1. Make or buy 2. IT als Kostenstelle oder Profitcenter betrachten V. Schlusswort
I. Präambel Seit dem Jahre 1997 beschäftige ich mich mit den Themenfeldern Inter- 1 net, Netzwerk und Datenverarbeitung. Dabei hatte die verfügbare Technologie im privaten und beruflichen Alltag zu dieser frühen Zeit gerade im Vergleich zur IT von führenden Industrien mit höchstkritischer Infrastruktur (Energie, Finanzen, Chemie) schon vieles aufzuholen. Entscheidend für die Betrachtung der IT, der Medien und der globalen Entwicklung eines Marktes ist daher immer die Sicht auf die eigene Position, die aktuellen Stärken und Schwächen sowie das Universum, in welchem man sich bewegt. Der Rechtsmarkt als solches erweckte mein Interesse seit 2008. Damals 2 gründete sich meine Präsenz im Kreise der Rechtsberater auf dem Projekt einer technischen IT-Beratung für eine überregionale Sozietät, die bereit war, die Vorteile einer überörtlich verfügbaren, jedoch zentral verwalteten IT-Umgebung in ihre Prozesse zu integrieren. Mit welchem Erfolg und Resultat dann im Folgenden mehr. Sehr positiv im Ergebnis konnte man festhalten, dass das Projekt und die Umsetzung ein im Gesamtüberblick betrachtetes positives Ergebnis hervorbrachten – denn im Jahre 2008 gab es wenig bezahlbare Hybrid-Services wie z. B. einem „hostet“ und gemanagten E-Mailserver. Man baute daher auf eigene Infrastruk*
Dominic Piernot, Managing Director Sales eDiscovery bei EPIQ Systems Germany GmbH, [email protected].
205
Dominic Piernot
turen. Diese Infrastrukturen waren verhältnismäßig zu den heute angebotenen Diensten teuer, aufwändig in der Installation und Pflege und gegebenenfalls sehr anfällig für Ausfälle. Auch hatten die Virtualisierungssysteme der bereits dritten Generation (VMWare, Xenserver, etc.) in ihrer Grundlogik einen gewissen Gedanken, den man gerne übersah: Um Ausfällen vorzubeugen schaffte man redundante Datensilos, sowohl in ihrer Struktur als auch in ihrem Inhalt. Basierend auf dieser technisch bedingten „Ressourcenverschwendung“ basieren im Übrigen einige Geschäftsmodelle der „Cloud-Anbieter“. Die Skaleneffekte von hochverfügbaren IT-Systemen machten die heute sehr kostengünstige Preise der angebotenen Dienste möglich – z. B. durch sog. Thin Provisioning.1 3 Es lässt sich daher eingangs die wichtige Arbeitsthese feststellen, dass keinerlei Fortschritt in einer frühen Entwicklungsphase beherrsch- oder vorhersehbar ist. Der Fortschritt und seine Auswirkungen beherrschen uns, unsere Entscheidungen und all diejenigen Ressourcen, die wir dafür verwenden (müssen). Auch sei dokumentiert, dass gerade explizit der Rechtsmarkt nicht der Nährboden und Ursprung für neuste IT-Technologien wie z. B. HFT (High frequency trades) oder Blockchains ist dies ist schon aus seiner Natur mehr oder weniger nicht oder kaum möglich, denn die Rechtsberatung unterliegt auch heute noch nicht dem Industrialisierungs- und Standardisierungszwang, den die Industrie schon erfuhr. In den letzten Jahren jedoch hat die technologisierte Rechtsberatung einen neuen Namen erhalten: Legal Tec. Eines der beliebtesten und meist diskutierten Themen in den letzten 24 Monaten. 4 Eine deutliche Konsequenz aus dieser Beobachtung ist ebenfalls, dass wir alle heute als auch in den vergangenen Jahren kritische Fragen und Antworten diskutiert haben. Dies wird auch in diesem Beitrag der Fall sein. Wie in allen Bereichen erfolgt eine solche Rekapitulation auch unter Verwendung von öffentlichem Wissen (neudeutsch: public Knowledge) und diverser Thesen und Ausführungen von Freunden, Bekannten, Denkern und Menschen, bei denen es sich lohnt, zuzuhören. 5 Im Zweifel sollen meine Gedanken auch dazu führen, in einer Art Checkliste, eine persönliche Bestandsanalyse zu machen, neue Impulse zu erhalten und diese ggf. umzusetzen. Dies ist auch Sinn und Zweck der von mir sehr geschätzten Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI), bei welcher dieser Beitrag mit erschien. 6 Eine zweite Konsequenz daraus ist auch, dass wir in den folgenden Seiten eine detaillierte Begründung vorfinden werden, warum prinzipiell jegli1
https://de.wikipedia.org/wiki/Thin_Provisioning.
206
Was braucht der Anwalt heute und in Zukunft
cher Dienstleistungsberuf, so auch die Rechtsberatung, eine stark kognitive Fähigkeit von Einzelnen ist, die nur dann zur Leistung vieler werden kann, wenn die kognitiven Fähigkeiten mittels Einsatz eines Netzwerkes „zusammengeschalten“ werden. Insofern ist die Fähigkeit ein Team zusammenzustellen keine (gedachte) technologische Errungenschaft. Wie aber können wir generell von IT in jeglichen Produktionsprozessen einer Dienstleistung profitieren? Ausblicke folgen. Schließlich freue ich mich natürlich über kritische Fragen, Sichten und 7 Anregungen. Allen Lesern und Interessierten wünsche ich spannende Denkanstöße und Momente der Diskussion. II. Technologien und deren Herkunft Eine Vielzahl der heute stattfindenden Diskussionen über Technologien 8 basieren auf historischen Entwicklungen, die uns in ihrer Analogie ermöglichen, eine Parallelenfindung zu den heutigen Effekten auf unsere Arbeitswelt zu bilden. Interessante Beispiele und deren Grundsteine im Folgenden. 1. Netzwerke und Internet Ein Netzwerk ist die Zusammenschaltung einzelner Einheiten auto- 9 nom arbeitender Systeme, im Sinne der Rechen- und Speicherleistung, zu einem großen Ganzen „Gehirn“. Zu Beginn der 80er Jahre entstand innerhalb der weltweiten Universitäten der Reiz, vorhandenes Wissen schneller und intelligenter auszutauschen, vor allem aber durchsuchbar zu machen. Dies ist eine interessante Parallele zu den heutigen Softwareund Serviceprodukten und insbesondere deren Fokus im Rechtsmarkt. Man tauschte damals physikalisch Bücher miteinander aus und musste mühevolle Recherchen vornehmen. Da zu diesem Zeitpunkt „Rechensysteme“, die bereits zu wochenlang andauernden Simulationen von Wettermodellen genutzt wurden, zumindest in den größeren Universitäten vorhanden waren, entstand aus Wissen und Neugier letztendlich das Prinzip der E-Mail. Heute halten hauptsächlich datenbankbasierte Suchmechanismen Einzug in das Wissensmanagement – eine Logik, die von dem Wissenstransfer von z. B. Seniorpartnern an ihre Associates oder auch von Praxisgruppe zu Kanzlei lebt. Mit Fortschreiten der Anbindung und der mobilen als auch festen Kom- 10 munikationsstrukturen (man erinnere sich an das 56K Modem, als auch den Start der ersten GSM Frequenz in Deutschland) konnten sich einzelne größere, in sich zunächst autonome Netzwerke zu einem weit ver207
Dominic Piernot
flochtenen Netz sukzessiv zusammenschließen. Dies geschah unreguliert und nach dem besten Wissen einzelner Experten viele sehen eine Parallele in der Historie der Entstehung der überregionalen Sozietäten in Europa letztendlich „nur“ eine Verknüpfung von Experten und Wissen zu einer deutlich mächtigeren Gesamteinheit mit verbesserter Flächenpräsenz. 11 Im Jahre 2016 trägt sich der Gedanke der schnellen Internetanbindung bereits auf extrem gute Satelliten- und LTE-Abdeckung basierenden Technologien auch in die Schwellenländer ein. Im weltweiten Mittel steht der Zentraleuropäische Raum, hauptsächlich Deutschland, tendenziell jedoch sehr schlecht da. Konsequenterweise ermöglichte genau diese Historie und Entwicklung erst die Dezentralität der Arbeitnehmer und Kunden und wird diese in Bezug auf die Art und Weise, wie wir in Zukunft mit unseren Kunden und Mandanten sprechen, weiterhin massiv verändern. Ist die A-Lage für eine Sozietät Luxus oder Reputation? In Zeiten von zunehmenden Reisekosten-Policies der Konzerne und der steigenden Video-Telekommunikation wohl eine interessante Optimierungsmöglichkeit. Ebenfalls aus Sicht der Home- und Teleworker – auch wenn gerade diese Mitarbeiter in den seltensten Sozietäten vorzufinden sind, lies sich doch gerade aufgrund der im Jahre 2016 sicheren Kommunikationsmedien eine mögliche Verlagerung von „Basisdiensten“ wie z. B. Telefonzentrale, Helpdesk oder Dokumentensichtung an einen „shared“ Service auslagern. 12 Zudem begründen sich die sich im Markt ausbreitenden Legal-ProcessOutsourcing-Provider massiv auf der Tatsache, dass ein Büro, ein Mitarbeiter oder eine Ressource grundsätzlich mittels einem Internetanschluss weltweit bereitgestellt und ebenfalls eingesetzt werden können. 13 Sog. Near- und Offshoring unterscheidet hierbei einen Einkauf von Ressourcen, hauptsächlich juristischer Basisarbeit wie z. B. Vertrags- oder Dokumentenprüfung, in ihrem Erbringungsort. Man könnte Nearshoring auch als „lokal“ und Offshoring als „Indien und ähnliche Länder“ bezeichnen. Der Rechtsmarkt hatte anfangs sehr heftig, in den letzten Monaten eher moderat, mit ähnlich aussehenden oder wirkenden Angeboten gekontert. Eine Beobachtung aus dem Markt ist im Jahre 2016 jedoch definitiv zu dokumentieren: Die Kunden der Kanzleien nutzen die vielzähligen und sehr unterschiedlichen Angebote zumindest als sich intensivierende Gesprächs- und Argumentationsgrundlage. Datenschutz und die Anforderungen der Mandanten ermöglichen den Zu- oder Ein-
208
Was braucht der Anwalt heute und in Zukunft
kauf solcher Angebote für ganz klar definierte Schritte einer Beratungsleistung bei welcher beide Seiten einen Kostendruck verarbeiten wollen. Aber gerade die Leitungskapazitäten sowie der Breitbandausbau in 14 Deutschland sind ein dramatisches Problem: Diverse historische Entscheidungen im Bereich der damaligen Verwaltung der Bundespost, der Telekom und der Bundesnetzagentur haben als heutiges Resultat das sog. Vektoring2 als „non-plus-ultra“-Lösung für die Digitalisierung der deutschen Internet-Landschaft hervorgebracht. Aus Sicht der Bitkom, dem führenden Branchenverband, als auch vieler Experten ein zu kurz gedachter Gedanke. Denn nur der bedingungslose Ausbau der Infrastruktur mit Glasfaser wird die in spätestens 5 bis 10 Jahren erforderlichen Leistungskapazitäten erbringen können. Dabei spielen die zunehmenden IP-Dienste wie IPTV (in HD und 4K), Streaming und Datenverbindungen steigender Konnektoren, wie z. B. Alarmsysteme, Internet of the thingsSysteme, smart home und übertrieben gesagt sogar Geräte wie Kühlschränke etc. eine große Rolle in der Kommunikation und im weltweiten Kontext. Industrie 4.0 und die Digitalisierung der Industrie als auch die zunehmende Datenfülle ist ebenfalls ein sich gegen den Ausbau der Leistungskapazitäten entwickelnder Trend. Daher bliebe insbesondere im Rechtsmarkt zu diskutieren:
15
–
Wo liegen zentrale Datensysteme und wie gut und schnell sind diese angebunden?
–
Welche Erwartungen haben Mandanten an z. B. die Datenbereitstellung einer M&A Transaktion (Datenraum, Due Diligence, Compliance Monitoring)?
–
Wie gehen Juristen mit den massiv zunehmenden „Teilnehmern“ der globalen Netze um und wie kann der noch „rechtsfreie“ Raum behandelt werden?
–
Ist im übertriebenen Sinne ein Kaufvertrag zwischen einem vollautomatischen Kühlschrank zu Hause und dem Lebensmitteleinzelhändler bindend?
Die Geschwindigkeit, Verfügbarkeit und Erschließung der Anbindung 16 entscheidet über einen Standortvor- oder -nachteil. In der standardisierten IT-Beschaffung stellt man bei der Prüfung von Outsourcing Diensten gerade in Deutschland und der Schweiz zunehmend die Frage nach dem Standort der Server und Daten. Eine Entwicklung, die sich auch in diver-
2
https://de.wikipedia.org/wiki/VDSL2-Vectoring.
209
Dominic Piernot
sen Pitches und Fragebögen für die Ausschreibung der Legal Panels von diversen Konzernen wiederfindet. 17 In den Ballungszentren, hauptsächlich Frankfurt, München und Zürich profitieren die Nutzer von vorhandenen Mainframe (z. B. DE-CTX Knoten)-Systemen, die die angeschlossenen Gebiete ideal versorgen. 18 Glücklicherweise wird der Mobilfunkstandard fortwährend weiterschreiten – auch wenn dies hinsichtlich der eigentlichen Übertragungssicherheit und Ausfallwahrscheinlichkeit deutlich und kritisch als Leitungskapazität beäugt werden muss. Bereits im Jahre 2014 rangen die führenden Anbieter um neue Frequenzbänder für LTE-Max. Die hochfrequente Daten- und Sprachkommunikation mittels LTE hat insbesondere für Zugfahrten und Autobahnen im Verhältnis zu den deutlich geringeren Frequenzbändern der GSM/HSDAP und 3G Standards erhebliche Vorteile in Bezug auf den „per Senders Ratio“, welcher die Anzahl der Masten je 1.000 Geräte im Empfangsbereich definiert. Jedoch bedeuten höherfrequente Kommunikationstechnologien auch eine deutlich andere Energie- und Gerätesendeleistungsbilanz. 19 Wir stehen also vor der wirklichen Frage nach deutlich leistungsfähigeren Batteriesystemen um eine weitere Revolution einzuleiten. Diese Herausforderung sehen wir sowohl bei den mobilen Endgeräten, der Speicherung von regenerativer Energie als auch der Elektromobilität. 20 Neben all den bestehenden Innovationen und den sich in der Zukunft entwickelnden, hauptsächlich mobil gedachten Standards, haben wir aber auch bereits eine technologische Revolution geschafft. Dem heutigen Internetkommunikationsstandard IPv43 sind bereits seit 1998 absehbar und letztendlich planbar auf nahe Zukunft (man sprach von weniger als 12 Jahren) die weltweit noch freien öffentlichen IP Adressen ausgegangen. 21 Zur Erläuterung: Im Sinne des OSI4-Schichtenmodells, welches die Kommunikation in einem IT-Netzwerk einteilt, erfolgt jegliche Kommunikation zwischen einem „Computer“ über mehrere Ebenen und Protokolle. Beleuchtet man die dritte Ebene – die Vermittlungsschicht –, so erfolgt diese Kommunikation auf der Basis von IP-Adressen, welche die logische Adresse eines „Devices“ definiert. Oberflächlich beschrieben werden diese auf Basis von binären Potenzen der Zahl 2 bei 8 möglichen Bit zu 4 Blöcken gebildet. Der einfache Mathematiker erkennt, dass diese eine binäre Basis eine maximale Anzahl von 4.294.967.2965 Adressen ergeben 3 4 5
http://inetcore.com/project/ipv4ec/index_de.html. https://de.wikipedia.org/wiki/OSI-Modell. https://de.wikipedia.org/wiki/IPv4.
210
Was braucht der Anwalt heute und in Zukunft
kann. Per heute ist laut Gartner6 eine Anzahl von mindestens 6,4 Billionen Geräten im weltweiten Verbund täglich aktiv. Man konnte sich viele Jahre mit der sog. Network Addres Translation (NAT) und weiteren Techniken helfen. Schlussendlich setzte sich der IPv6 Standard nun durch. Im Vergleich zu IPv4 ist dieser Standard auf einem hexadezimalen Berechnungsweg aufgebaut. Dieser sehr fortgeschrittene Einblick in ein gezieltes „Problem“ unserer Zeit verdeutlicht eines: Das „Internet“ wurde nicht erdacht um knapp 6 Billionen täglich aktive Geräte miteinander zu vernetzen. Ganz im Gegenteil: Man ging von wenigen Großrechnern der Bibliotheken in Universitäten aus. Die Frage sei in conclusio an dieser Stelle daher erlaubt: Welche technische Errungenschaft wird heute noch unterschätzt oder hat den Zenit noch nicht einmal erreicht? Wie entstehen Hypes und wie erkennt man diese? Vertraut man auch hier wieder Gartner, kann man den Hype Cycle zu 22 Rate ziehen. Der Hype Cycle teilt Technologien bereits seit 2004 in unterschiedliche Phasen ein. Dabei unterliegt dieser Logik, dass Technologien einen Auslöser, eine Phase der höchsten Erwartung, ein Tal der „Desillusionierung“ sowie die Phase der Festigung haben. Danach kommt die „Nutzungsphase“.7
6 7
http://www.gartner.com/newsroom/id/3165317. Bildquelle: http://static2.techinsider.io/image/55d37c25371d22dd2e8bfb2a-1168730/screen%20shot%202015-08-18 %20at%202.39.51 %20pm.png.
211
Dominic Piernot
23 Der große Begriff „Cloud“ wurde durch die Hybrid-Cloud ersetzt. Eine wie ich finde sinnvolle Anpassung, da Cloud von zu vielen für zu vieles verwendet wurde. 24 Beispielhaft: Cloud beschreibt aus der Wahrnehmung des Marktes eine bedarfsgerechte, unverbindliche und per Nutzung abgerechnete Integration jeglicher IT-Infrastruktur – sei es Inhalt, Gerät oder auch die Kommunikationsinfrastruktur. Die Umsetzung ist jedoch im Jahre 2016 noch mangelhaft. Bereits mit Einzug der Cloud auf der CeBIT 2005 erkannte man die Synergien, es hatte jedoch 5 Jahre erfordert, um ein stringentes Verständnis bei Kunde und Lieferant vorzufinden. 25 Stand heute neigt der Markt dazu jegliche Form von „Webservice“ als Cloud zu titulieren. Wie aber definiert sich die Cloud neu, wenn die gerade am 14.4.2016 in der EU Kommission verabschiedeten Änderungen der Datenschutz-Grundverordnung auf europäischer Ebene auch Einzug in die Jurisdiktion halten werden. Hauptsächlich treibt die Kunden solcher Dienste dann die Frage, wie Sie z. B. das „Recht auf Vergessen werden“, die unzähligen Benachrichtigungspflichten bei Datenverlusten als auch die Handhabung der Drittland-Übertragung verwalten. Eine sehr interessante Beratungsleistung für jeglichen Rechtsberater. 2. Künstliche Intelligenz 26 Künstliche Intelligenz (sog. KI) und auch Virtual Reality (sog. VR) sind ergebnisreiche Effekte einer immens gestiegenen Prozessoren-Leistung und deren Baugröße. Oft liest man von dem Vergleich, dass das neuste iPhone 6S bereits mit der 128-fachen Rechenleistung des Apollo 8 Mondlandecomputers (nicht einmal redundant) ausgestattet ist. 27 Man erinnere sich auch an die „quasi“ monatlichen Meldungen der Giganten Intel und AMD und deren Errungenschaften in den Jahren 1993– 2007, als man verspürte, täglich schnellere und kleine Prozessoren-Generationen vorgestellt zu bekommen. 28 Darauf aufbauend erfand sich auch die Industrie der Leiterplatten- und Halbleiterhersteller neu. Man begann die immens hohe Rechenleistung der minimalsten Bauform in unterschiedlichste Alltagsgestände einzubauen – eine interessante Bewegung ist hierzu „smart home“ bzw. das vernetzte Haus. Auch kann die Jugend von heute mit einem sog. Rasperry PI-Bausatz in sehr jungen Jahren erlernen, wie sich Automatisierung und Programmierung anfühlt. 29 Andererseits konnten solche Leistungsparameter neue Felder der KI überhaupt erst ermöglichen. Der mitunter erste und aus Sicht der Gesell212
Was braucht der Anwalt heute und in Zukunft
schaft sinnvollste Anwendungsfall von KI ist die Simulation von Wettermodellen. Auf Basis aufgezeichneter Wetterdaten mehrerer Jahrzehnte (eine Errungenschaft der schier unendlich wachsenden Speicherkapazitäten), den möglichen Vergleichen zwischen Prognosen und Realität (hier Ist und Soll Vergleich mittels Datenbanken) sowie der menschlichen Erfahrung werden Satellitenbilder im Livezustand und dem gewissen „Bauchgefühl“ verarbeitet. Dadurch erreichen wir dank der Verknüpfung aller Elemente der Berechnungs- und Bewertungskette eine mittlerweile 98 % sichere Prognose – innerhalb von Minuten. Auf Basis dieses Beispiels lässt sich ein interessantes Gedankenspiel für 30 den Rechtsmarkt eröffnen. Unlängst las die Branche von Watson und Google: Beide Systeme wurden für ihre „künstliche Lösungsintelligenz“ von gesellschaftlich bekannten Brett- oder Wortspielen gelobt. Sich daraus erschließende Gefahren für den Rechtsberater findet man nun in jeglicher Publikation und Forum. Grund hierfür ist, dass man z. B. Watson als einen verkörperten und „denkenden“ KI-Roboter sieht, der mittels technologischer Hilfe und selbstlernender Programmierung jeglichen Rechtsberater in 20 Jahren überflüssig machen wird. Diese Hypothese kann differenziert betrachtet werden: Wahr ist,
31
–
dass man auf Basis von vorhandenem Wissen in einer Kanzlei, getroffenen Entscheidungen in den vergangenen Fällen und den daraus resultierenden Ergebnissen, z. B. im Umfeld von arbeitsrechtlichen Verträgen oder Massenklagen, durchaus eine IT-basierte Abhandlungsleistung erbringen lassen kann. Basis einer solchen auf dem „Knowledge“ basierten IT-Plattform ist die bedingungslose Kooperation aller Rechtsberater einer Sozietät oder eines Verbundes. Was die sozialen Netzwerke und deren Verschlungenheit mit dem Alltag heute hervorbringen werden, ist, dass diese Zusammenarbeit sich aus deutlich globaleren Netzpunkten erfinden wird. Auch sind Mandanten im Jahre 2016 an einem Punkt angekommen, wo der Kanzlei gegenüber eine höhere Nachfrage an der Bereitstellung des Gedankenguts und des Know-How in Form von Vorlagen vermittelt wird.
–
dass Technologien wie z. B. Watson den Wunsch einer Vorhersagewahrscheinlichkeit verkörpern, die den Rechtsmarkt hinsichtlich deutlicher schnellerer Kostenschätzungen für z. B. eine Transaktion aber auch einer Risikobewertung in z. B. einer internen Untersuchung treffen werden. Sich mit alternativen Vergütungsmodellen dagegen aufzustellen wird nur bedingt entgegenwirken, denn KI ist für Kunden und Mandanten beherrschbar und administrierbar gewor-
213
Dominic Piernot
den. Es ist also mehr oder wenig ein leichtes geworden, die gesamten Unternehmensdaten hinsichtlich Anomalien zu untersuchen. –
dass die steigende Technologisierung eine massiv differenzierte Erwartungshaltung der zukünftigen „Käufer“ von Rechtsdienstleistungen hervorruft – insbesondere in Bezug auf die Frage nach Erreichbarkeit, Datenbereitstellung und Einsatz von „kostenreduzierenden“ Maßnahmen wie z. B. eDiscovery oder der Verwendung von „kostengünstigeren“ Ressourcen alternativer Rechtsdienstleister
–
dass sich der Rechtsmarkt in seinem sehr pyramidischen Aufbau, zumindest in Europa, erfolgreich und mehrjährig gegen den starken Einzug von mandantengeforderten Technologien wehren konnte. Eine überaus gelungene Leistung. Die sich nun in gewisse Teilschritte einer rechtlichen Beratung implementierenden Systeme werden als „Verdränger“ erachtet. In Wirklichkeit steht die Steigerung der Effizienz im Vordergrund. Der dafür notwendige Einsatz von Technologie darf und sollte auf keinen Fall unter der Legal Tec-Familie subsummiert werden, da Legal Tec, auch mit Sicht aus US und UK, nur dann Legal Tec ist, wenn es die kognitive Leistung der Berater ersetzen kann – und zwar in der Vollständigkeit. Wir sprechen also „glücklicherweise“ nur von einer Art der Digitalisierung und deren idealer Vermarktung in einem bewussten und berechtigt elitären Berufsstand.
32 Kritisch zu bewerten ist, –
dass Technologie jeglicher Art von Menschenhand erschaffen wurde – ein autodidaktisches Lernen eines „Computers“ basiert letztendlich auf der Analyse der Entscheidungsmuster in mathematischen Grundlagen. Jura ist und bleibt eine zu sehr argumentatorische Leistung und ebenfalls bleibt die Einzelfallsubsumption dem Menschen vorbehalten. Jedoch ist Jura globaler, schneller und deutlich umkämpfter als noch vor 50 Jahren. Die KI ist daher ganz im speziellen der sog. Commodities (Basis-Leistungen mit wiederkehrenden Entscheidungsmuster der Rechtsberatung) ein gedachter Erfolg über die Verhandlungsstärke und dem Preiskampf der Käufer der Rechtsberatung.
–
dass nicht jede Form von IT-gestützter Rechtsberatung Legal Tec, KI oder einer sonstigen Gattung von massiv leistungszehrenden Trends entspricht. Ganz im Gegenteil: teilweise schafft man gerade erst das physikalische Fristenbuch in Kanzleien ab. Aus meiner ganz persönlichen Sicht ist es daher mehr eine Zusammenfassung von Ideen, die dem Wunsch effizienter Beratung nachstreben.
214
Was braucht der Anwalt heute und in Zukunft
Nimmt man diese Faktoren nun zur Grundlage einer Beobachtung der 33 heutigen Prozesse eines jeden juristischen Beratungsmandates, so sind folgende technologischen Elemente bereits aktiv: –
Durchsuchbarkeit von Dokumenten/Informationen ermöglichen
–
Vergleichen von Dokumenten/Informationen
–
Versionen und Inhalte historisieren
–
Urheberrechte verwalten
–
Vorlagen bereitstellen
–
Gemeinsame Bearbeitung von Dokumenten simultan erlauben
–
Den Kunden am Entstehungsprozess teilhaben lassen
–
Das Unternehmen verwalten
–
Die Ressourcen planen und einsteuern
–
Kommunizieren
–
KYC (Know your Customer)
Ganz zum Gegenteil der geglaubten Annahme, hat keine dieser tech- 34 nischen Errungenschaften weder die Stundensätze als noch die Teamstärken der Juristen großartig verändert: es wurden de facto neue Berufsbilder möglich. So ist der Legal Project Manager (sog. LPM) heute die zusammenfassende Position in einer Kanzlei, die sowohl IT und Jura versteht und dieses sehr breite Wissen in der Rechtsberatung zur Anwendung bringt. Der LPM repräsentiert und orchestriert die unterschiedlichen technologischen und inhaltlichen Anbieter gegenüber dem Mandanten. Ebenfalls beantwortet eine solche Integration von letzteren Experten überhaupt die Beantwortung immer technischerer und prioritärer Fragen in den Mandaten. 3. Sicherheit und Datenschutz Über allem steht übergreifend ein Sicherheits-Framework, welches drin- 35 gend zu empfehlen ist. Ausreichend und mannigfaltig bekannte Publikationen verraten bereits heute, wie mit den unzähligen Standards wie z. B. ISO 27001 oder auch den Grundverordnungen der Datenschutzbehörden umzugehen ist. Auch die DS-GVO (Datenschutz-Grundverordnung) verschärft mögliche Strafen und die Pflichten der Unternehmen martialisch. Ich kann an dieser Stelle nur noch weniges, aber wichtiges, hinzufügen: 1. Der Grad an Komfort im Umgang mit jeglicher IT steht immer im negativen Umkehrverhältnis der Sicherheit. Bespiel: WhatsApp mit dem beruflichen Gerät zu nutzen macht das kommunizieren leichter. Was aber geschieht mit den Kontakten des Anwenders? 215
Dominic Piernot
2. IT ist sicher: Im Jahre 2016 sollten Sie sich weniger Gedanken um Ihre externe Sicherheitsmaßnahmen im Sinne von Firewall und Netzwerk machen, als vielmehr um Ihre interne Sicherheit: Virenschutz, Phishing, Datendiebstahl – das interne Netzwerk der meisten Unternehmen ist die größte Gefahr. Letztendlich liegt es immer am Management eines Unternehmens, wie die Regulierungen der IT-Sicherheit festgehalten, dokumentiert und erwirkt werden. 3. Nicht jeder Hype ist ein Trend: Fahren Sie nicht in der 1. Reihe Achterbahn und lassen Sie Ihre Kunden mitentscheiden, ob Sie mit einer Technologie auf experimenteller Weise, auch im Sinne der Sicherheit, arbeiten wollen. 4. Befolgen und verfolgen Sie den führenden Branchenverbänden und überlegen Sie beim Einkauf von Diensten und IT-Services, welches Budget Sie auch nach einer initialen Investition einplanen sollten. 60 % der globalen IT-Systeme, davon die meisten unternehmenskritisch, werden schlicht und ergreifend zu spät oder gar nicht auf den neusten Stand der Technik gebracht. Im Jahre 2016 mit einem Softwarepaket Microsoft Office 2003 zu arbeiten scheint wirtschaftlich verlockend – wer von uns war im Jahr 2003 je in der Lage, ein Softwarepaket zu entwickeln, welches sich in einer in 12 Jahren entfernten zukünftigen Umgebung zurechtfinden sollte? 5. Erörtern Sie die Konsequenzen eines Ausfalls von kritischen Systemen. Teilen Sie jedoch auch die Ausfallwahrscheinlichkeit, das Risiko eines Ausfalles und die vorbeugenden Maßnahmen zu den vorhandenen IT-Ressourcen ein. Führen Sie regelmäßige Notfallszenarien durch und vertrauen Sie keinem Backupsystem ohne es auf der grünen Wiese ausprobiert und z. B. ein Desaster Recovery durchgeführt zu haben. 6. Schließlich gilt in jeder guten guten Kunden-/Mandanten-/Klienten Beziehung: Reden Sie mit Ihrem Auftraggeber über solche Themen. Eine unbegründete Sorge lässt sich schnell durch eine Dokumentation und einer Erklärung der technischen und organisatorischen Maßnahmen lösen. III. Rechtsberatung – wo greift Technologie bereits heute und was ist in der Zukunft zu erwarten? 36 Längst nutzen wir für die Kommunikation primär das Medium Internet. In den meisten Fällen finden Mandanten und deren Berater auch Wege, diese Kommunikation zu verschlüsseln und mittels Einsatz von klugen Rechtesystemen den Missbrauch oder das Mitlesen Dritter zu 216
Was braucht der Anwalt heute und in Zukunft
vermeiden. Auch die Rolle des Datenschützers hat in Sozietäten Einzug gehalten und ergreift gerade im Bereich von Finance- und Banking Mandanten eine imminent wichtige Rolle zur Prüfung und Qualifizierung der Sicherheit und der Compliance. Die Auswirkungen eines regulierten Prüfungs- und Überwachungssys- 37 tems in einer Partnerschaft sind indes nicht die leichteste Aufgabe für alle Beteiligten. Denn im Zuge der Mobilisierung der Arbeitswelt, sei es nur durch das Smartphone, als aber die Möglichkeit heutzutage von jedem Ort der Welt prinzipiell arbeiten zu können, eröffnen sich nicht nur neue Fragen, sondern auch neue Beratungsfelder. Ein sich stark ausweitendes Beratungsfeld, die „Compliance Prävention“ oder „Compliance Monitoring Systeme“ sind in ihrer Eigenheit auf den ersten Blick extrem technische und prozessuale Maßnahmen in Unternehmen. Gerade in Europa, vor allem jedoch durch die Änderungen der DatenschutzGrundverordnung, entstehen hier massive Potenziale für die Berater. Es wird kein Rechtsgebiet und auch keine Jurisdiktion mehr geben, die sich nicht mit den Fragen des Arbeitnehmerdatenschutzes oder der Datenübertragung an Drittländer befassen müssen. Am Beispiel der weltweiten Zunahme von internationaler Rechtsanspruchsdurchsetzung durch Behörden und deren Ermittlungseinheiten, ist der Kunde grundsätzlich „nie“ perfekt für ein Ereignis jeglicher Natur vorbereitet. Ein idealer Gesprächseinstieg für eine Risikoberatung. 1. Cloud und Kollaboration Ein klares Trendsetting erfolgt insbesondere durch die sich eröffnenden 38 Möglichkeiten wie Videokonferenzen, Datenräume und auch Chat-Systeme. Die Mandanten sind globaler verteilt, der angefragte Rechtsrat wird komplexer und instrumenteller. Die Mandanten neigen auch dazu, sich zunächst mit Basis-Informationen auszustatten, diese z. B. aus dem Internet zu recherchieren und den Umfang der rechtlichen Fragestellung bestmöglich einzugrenzen. Selbstverständlich spielt der demographische Wandel eine erhebliche 39 Rolle in den gesamten Implikationen des Konsumverhaltens. Kunden nutzen andere Medien und Kanäle um mit Angeboten in Verbindung zu treten als noch vor 10 Jahren. Das Risikobewusstsein und die Werte haben sich ebenfalls stark verändert. Dieses schlägt sich in der Art und Weise im Rechtsmarkt wieder, wie der Berater zum einen mandatiert wird. Zum anderen veränderten sich die Spielregeln zur Kundengewinnung massiv und werden es in kurzen Abständen von Jahren wieder tun. Die „Cloud“ und deren Angebote lassen sich durch den Käufermarkt so 40 interpretieren, dass man auch von einer Rechtsdienstleistung erwartet, 217
Dominic Piernot
dass diese „pay per use“ verrechnet wird. Die Frage nach Anwaltsprodukten wird auch daher immer lauter. Ein solches „Produkt“ kann bereits die pauschale Beratung zu einem klar definierten Sachverhalt sein. Oder der Mietvertrag sowie der Wunsch nach einer klar abgrenzbaren Beratungsleistung. Eine themenübergreifende Beratung zum Festpreis kann man sich selbst unter Einsatz modernster Technologien (noch) nicht vorstellen, da der sog. Scope weder für Kunde noch Berater messbar definierbar ist. 41 Kollaboration ergänzt diesen Themenkomplex um die Anforderungen und den Wunsch der Mandanten, Rechtsberatung als eine Art „Videothek“ zu verstehen, in welcher die Antworten meist zu festen Preisen aus einem Regal zur freien Verfügung stehen. Dies mag für den Konsumenten im B2C sicherlich weitestgehend zutreffend sein. Hier wird Kollaboration dann auch gerne als Serviceangebot rund um die Rechtsberatung verstanden: Erreichbarkeit, Kundenportale, Servicecenter, Übersetzungsleistungen und weitestgehend maschinelle Erstellung von gleichartigen Rechtsberatungsprodukten. 42 Im Umfeld der Top Tier Kanzleien und deren meist Corporate Kunden entsteht der Kollaboration-Effekt dann, wenn z. B. eine externe Kanzlei in einem vom Kunden bereitgestellten Extranet seine Arbeit und Leistungserbringung rechtfertigt. Eine Vielzahl interessanter neuer Modelle entsteht seit mehreren Monaten und wird hier auch noch einiges zu Tage fördern. 43 Die sich zeigenden Effekte sind allenfalls noch sehr schwach, denn die Berater passen ihr Arbeitsumfeld nur in gewissen Teilen an diese Zusammenarbeit an. Letztendlich sparen beide Seiten massive Kostenaufwendungen für Reisen und Gespräche. Die geglaubte „Trusted Advisor“Position, die auf einen persönlichen Kontakt gründet, könnte jedoch schnellstens als Asset und Signal der vertrauensvollen Kundenbindung verloren gehen. 2. Verschlüsselung, Sicherheit und Datenschutz 44 So genannte „New Law“ Anbieter punkten im Markt der Berater hauptsächlich deswegen, weil sie einfache juristische oder der Jura nahe Dienstleistungen, durch den Einsatz von IT, kostengünstiger am Markt positionieren zu können. Ohne eine berechtige Wertung der Leistung und der Qualität der Ergebnisse durchführen zu können, experimentiert zumindest jedes DAX-Unternehmen mit solchen Angeboten oder hat diese gar schon in seinen Einkaufsprozess integriert.
218
Was braucht der Anwalt heute und in Zukunft
Welche Leistungen machen solche Offerenten jedoch zu einer interes- 45 santen Wahl? Zunächst handelt es sich in der genannten Industrie um eine massive Marketingmaschine, andererseits traut der Markt den New Law Anbietern auch eine deutlich höhere Ausschöpfung der IT-Wertschöpfungskette zu, da dies im Kerngeschäft der Anbieter ist. Daher liegt es nahe, dass auch gerade die IT-gestützten Angebote die Nachfrage nach IT-Sicherheit, Verschlüsselung und Datenschutz im gesamten Kontext erhöhen. Kanzleien, die sich im Umfeld der DAX Konzerne als auch im Finanzsektor bewegen, sind in der Beantwortung von IT-Audits erfahren. Seit 2015 kann selbst der deutsche Rechtsmarkt eine Hand voll von Kanzleien mit ISO zertifizierten Infrastrukturen nachweisen. Je nach Mandantschaft gehört eine E-Mailverschlüsselung zum guten 46 Ton. Andere Einheiten kämpfen noch mit der Einbindung der diversen Extranet-Portale in ihre eigene IT. Definitiv ist der notwendige Betrachtungswinkel als auch der technische Erfüllungsgrad der Sicherheitsrichtlinien massiv von der Nachfrage jedes einzelnen Business Cases abhängig. Zuletzt brachte uns die Auflösung von Safe Harbour eine Vielzahl von Neuerungen ein: Die Frage nach dem Standort der Daten, der Sicherung dieser sowie der sichere Umgang mit den Verarbeitungsstellen. Nimmt man nun noch den Trend der Wirtschaftsprüfungsgesellschaften 47 und derer Rechtsberatungseinheiten in die Gleichung mit auf, kollidiert der Rechtsmarkt mit einer Marktmacht von höchsten IT-Standards. Insbesondere der BigFour wird neben einer Gesamtlösungskompetenz (sog „One Stop Shop“) auch eine hohe IT-Kompetenz zugewiesen, da es sich in diesen Themen neben der Abschlussprüfung um ein sehr natürliches BigFour-Thema handelt (z. B. SAP Beratung, Hosting, IT-Audit, Zertifizierungen etc.) In den letzten Jahren veränderte sich die Erwartungshaltung aller Käufer 48 in den Beratungsmärkten dahingehend, dass man einen gewissen Standard längst erwartet und ggf. je nach Komplexität oder Anforderung der Beratung um weitere Maßnahmen ergänzt. Es empfiehlt sich daher immer, auch auf wiederkehrender Basis, ein technisches Audit der Infrastruktur auf Basis von wichtigen Trends und Sicherheitsanforderungen des Marktes durchzuführen. 3. BigData und Analytics BigData sammelt als Dachbegriff eine Vielzahl von technologischen Ver- 49 änderungen. Zum einen der schier nicht endend wollende Datenhunger der Welt, die ständig ansteigende Zahl von Terrabytes als auch die Frage nach den digitalen Verwendungsmöglichkeiten. 219
Dominic Piernot
50 Analytics gruppiert zumindest im Jahre 2016 eine Ansammlung von Softwareprodukten und Suchmechanismen, die uns BigData beherrschbar und zugänglich machen möchte. 51 Dabei spielt sowohl die Erfassung, Wertung, Speicherung und Präsentation der Datenstämme eine zentrale Rolle. Der Mandant, ebenso auch wieder der Berater, unterliegt heute einer massiven Informationsflut, die er bewerten und verarbeiten muss. Know-Your-Customer (KYC) repräsentiert in einem sehr anschaulichen Fall, wie auch Berater ihren Datenhaushalt aktuell zu halten haben, denn KYC summiert eine Menge von notwendigen Checks, die man zu Beginn oder während einer Beratung durchzuführen hat. Es reicht heute leider nicht mehr aus, die finanzrelevanten Daten eines Mandanten zu prüfen. Längst werden Medienbeobachtungssysteme und weltweite Datenbankanbieter in einer zentralen Stelle gebündelt um Risiken oder Informationen zu einer Entität zu prüfen und zu überwachen. 52 Ein weiterer konkreter Anwendungsfall, den ich selbst aus der täglichen Arbeit sehr schätze, ist die Frühwarnung einer Zahlungsausfallwahrscheinlichkeit. Ergänzt man ein solches System zum Beispiel mit den sozialen Netzwerken, so lässt sich heute bereits mit einer klugen und interessanten Visualisierung erkennen, welcher Kunde einen dringenden Beratungsbedarf hat, obwohl er selbst noch nichts davon ahnt. All diese sehr smart wirkenden Plattformen (wie z. B. in der Finanzsteuerung QlikView) leben von einer Deutungslogik, welche u. a. über Thresholds und Schwellenwerte ein Alarmsystem ermöglichen. Die Anwendungsfälle sind sehr vielzählig und die lancierenden Unternehmen in diesem Markt finden sich erst. Aber auch hier entsteht eine sehr angenehme und dynamische Bewegung für den Rechtsberater, denn er könnte beispielsweise für die Überwachung von Patenten, die Prüfung von Vertriebsaktivitäten im Sinne des Wettbewerbsrechts als auch die PR-Integrität für seinen Kunden proaktiv überwachen. 53 Im Tagesgeschäft längst für Finanzauswertungen etabliert, bringen Analytics gerade in Untersuchungen oder Transaktionen eine Vielzahl von neuen Möglichkeiten ein. So kann z. B. in einer Portfolio-Due-Diligence eines Real-Estate-Kunden eine analytische Suche hinsichtlich der Inhalte und Risiken sowie möglicher Vertragsklauseln durchgeführt werden. Zudem hilft Analytics schon heute hauptsächlich in der strafrechtlichen Untersuchung, da die Systeme neben den bereits zu suchenden Sachverhalten auf weitere Anomalien aufmerksam machen können. Es ist daher nur eine Frage der Zeit, bis Mandanten und Kunden solche Systeme selbst in einer Dauerprüfung vorschalten und die Risiken der Unternehmen proaktiv erfassen und hoffentlich minimieren werden. Zu diesem 220
Was braucht der Anwalt heute und in Zukunft
Zeitpunkt wird es eine weitere disruptive Komponente im Markt geben, denn der angefragte Rechtsrat wird sich dann auf die logische Deutung und Entscheidungsfindung der technisch analysierten Daten beschränken. Daher der Rat: BigData ist kein Modethema und kann die eigene Beratungskompetenz massiv verstärken. Sehr lohnend ist der Blick nach USA. Die dortige Liberalisierung der 54 Rechtsdienstleistungen lässt Raum für junge und innovative Startups, ähnlich der Fintec-Branche in Europa oder der Gründerszene in Berlin. Legal Tec als Begriff ist längst in aller Mode, denn er beschreibt das Phä- 55 nomen der Integration von Technologien in ein stark manuelles Arbeitsumfeld. Auch ist die Art und Weise wie Rechtsdienstleistungen in den vereinig- 56 ten Staaten eingekauft werden, (noch) differenziert zu Europa. Eine sehr nützliche Veranstaltung, um einen Überblick zu erhalten, sind die Messen Legal Tec New York oder auch ILTA in Las Vegas. Die hervorgehobenen Themen waren in den Jahren 2014, 2015 und 2016 meist: 4. eDiscovery eDiscovery ist die Antwort auf die wachsende Datenmenge, welche in 57 juristischen Verfahren gefunden, gesichert, verwaltet und rezitiert werden müssen. Bereits vor 15 Jahren verankerte der Rechtsmarkt in US und UK die „pre trial discovery“ als generelle Offenlage der Dokumente (heute: Informationen) Parteien in einem Gerichtsverfahren. Der Markt für die diversen Anbieter (in Europa meist kCura, EPIQ Sys- 58 tems, IRIS Data Services sowie die BigFour) für Services im Bereich Forensik und Datenverarbeitung war geschaffen. Die juristische Szene Europa sieht sich spätestens nach den bekannten 59 Großverfahren der Automotive-Branche mit diesen Themen vermehrt konfrontiert. Interne Untersuchungen basieren bereits heute zum Großteil auf einer reinen „e-Search“. Wobei auch bei der Discovery das kleine „e“ für eine wie auch immer geartete elektronische Form steht. Heute ist der Einkauf von eDiscovery Leistungen eine im Bereich von 60 Litigation, internal Investigations und Compliance Untersuchungen etablierte Tatsache, die auch in Zukunft vermehrt von sog. Litigation Support Lawyer und Projektjuristen gesteuert werden.
221
Dominic Piernot
5. Datenräume 61 Die E-Mail ist in der Regel eine Postkarte – grundsätzlich könnte jeder mitlesen, auch Dritte. In den zunehmenden globalen Mergers&Akquisition-Verfahren wurde daher die Notwendigkeit von Datenräumen beantwortet. Hauptsächlich aus den sicherheitsrelevanten Aspekten getrieben, entstanden Anbieter die ihre Dienste in eigenen als auch in kundeneigenen Rechenzentren anbieten. Der Datenraum wird gerne als Ersatz für einen Projektraum hergenommen. Der Datenraum ist vor allem ein gesicherter „Ordner“, in dem für Due Diligence Sicherheitskonzepte umgesetzt werden, die die Sichtung von Informationen in Unternehmensverkäufen notwendig machen – Drucken, Speichern, Sichten, Öffnen oder Kommentieren – nur eine Auswahl von einzeln steuerbaren Rechtsobjekten je Datei in einem solchen „Workspace“. Man könnte sicherlich eine gewisse Analogie der Dienstanbieter der öffentlichen Austauschportale wie Dropbox etc. ziehen. Getrieben von dem Wunsch der Datenlokalität sowie den erheblichen Sicherheitsstufen und Auswertungsmöglichkeiten etablierten sich viele Anbieter in Europa. Die Preise je Datenvolumen sind nun, auch gemäß Legal Hype Cycle, auf einem moderaten Niveau angekommen. Zudem beherrschen gerade Mandanten und/oder auch Kanzleien das Bereitstellen von eigenen Datenaustauschsystemen deutlich besser als zur Zeit der ersten Datenraumanbieter. 6. eBilling/Legal Spend Management 62 eBilling bündelt eine Vielzahl von Softwaresystemen oder Plattformen zum Austausch von abrechnungsrelevanten Informationen auf elektronischem Pfad. Als Teil des Themenkomplexes „Legal Spend Management“ eine Art Vorstufe zur vollständig automatisierten Beschaffung von Rechtsdienstleistungen – so dachte man zuerst. 63 Ein in den USA schon etablierter Standard hält über die Einkaufsprozesse meist international agierender Unternehmen in Europa/Deutschland Einzug auf die Anfragen an den Markt der Rechtsdienstleister. 64 Im Grunde genommen ist dies eine Interaktion mit dem digitalen Bestellungs- und Beauftragungsprozess der Rechtsabteilungen an deren Panel und Legal Advisor, die zunächst nur als Vereinfachung der Abrechnungswege gedacht war. Rechtsdienstleistungen wie Bürobedarf einzukaufen setzt voraus, das zu beschaffende Gut bestens spezifizieren zu können. Mit großen Schritten in den Markt getrieben, dienen eBilling-Systeme der Schaffung von Transparenz für den General Counsel oder Rechtsdienstleistungskäufer, die die Kosten alleinig nicht bewerten können. eBilling ermöglicht dem General Counsel eines Automobilkonzernes zu 222
Was braucht der Anwalt heute und in Zukunft
recherchieren, wo z. B. eine M&A-Beratungsleistung im weltweiten Vergleich am günstigsten angeboten wird. Weiterhin ist er dank aktuellster Fortschritts- und Kostenübermittlungen jederzeit für sein zumindest geplantes Budget aussagefähig. Der Rechtsberater fühlt sich jedoch oft in seiner berechtigten Berufsehre 65 gekränkt, denn wie soll der Mandant die Qualität und die Expertise denn über die Anzahl der verrechneten Stunden ermessen? Vielleicht ist dies gerade aufgrund der sehr unwahrscheinlichen Einschätzung der Ergebnisleistung des Mandanten eine mögliche Antwort auf steigende Rechtsberatungskosten? Jedenfalls wird durch diesen Trend deutlich, dass die Beziehung zwischen Mandant und Berater auch durch solche Systeme „gelockert“ werden soll, um irgendwelche Beziehungsgeschäfte zu vermeiden. Zum Schluss werden für die richtig „harten Nüsse“ doch die guten Kontakte im „inner Circle“ befragt. Für die restlichen 80 % der alltäglichen, vor allem aber planbaren Rechtsberatung, sollten Sie als Kanzlei oder Berater fit um Umgang mit der Diskussion sein. eBilling dient neben der Transparenz auch der Klassifizierung und Kategorisierung Ihrer Leistung. Dazu zieht die Branche den sog. LEDES8 Standard zu Rate, der für viele Leistungen einen binären und somit auswertbaren Code vergibt. IV. Fragen, die Sie sich stellen sollten 1. Make or buy9 Die Entscheidung „make or buy“ zieht die Hypothese zu Grunde, dass 66 man sich seiner expliziten Stärken in der Verwaltung von IT-Systemen und deren Einkauf oder Erstellung bewusst ist. Dr. Bruno Mascello lässt sich hier sehr gut zitieren und zu Rate ziehen, denn er zeigt in seiner „Pyramide“ auf, welche Kernprozesse und Schwerpunkte sich in einem Unternehmen, einer Kanzlei, vorfinden lassen und wie diese korrelieren. Die Korrelation wiederum ermöglicht die Erkennung der eigenen Position im Verhältnis der inneren und äußeren Faktoren exzellent. Erschienen ist seine Publikation unter dem Titel „Beschaffung von Rechtsdienstleistungen und Management externer Anwälte (Law & Management)“. Diese kann ich selbst nur sehr empfehlen, denn darin verdeutlicht und verdichtet wird das Einkaufsverhalten der Käufer. Weiterhin können die darin besprochenen Thesen auch zur Betrachtung der nicht IT-Themen herangezogen werden. 8 9
https://ledes.org/. Vgl. Dr. Bruno Mascello.
223
Dominic Piernot
2. IT als Kostenstelle oder Profitcenter betrachten 67 Die Frage, ob man die eigene, sei es interne oder outgesourcte, IT-Abteilung als Kostenstelle oder Profitcenter betrachtet, hat massive Folgen auf die Art und Weise, welche Rolle letztere in der Beratung einnimmt. Sehr oft erlebe ich eine geringe Wertschätzung und Priorität gegenüber der IT – sinnbildlich: „interessiert mich nicht, solange alles läuft“. Eine sehr ehrenhafte Einstellung, denn die IT erhält meist nur dann Achtung, wenn Sie eben nicht funktioniert. Die Frage nach einer möglichen Nutzung der IT als gewinnenden Faktor, z. B. durch Einbeziehung der eigenen Experten in die Beratungsgespräche oder den Prozess der Rechtsberatung beantwortet sich selbst. Nun sind die Käufer, meist die Privatpersonen bedingt durch deren Alter oder Umgang mit IT, als auch die Käufer im Legal Team, so auch der Legal Compliance Officer etc., deutlich geschulter und versierter im Umgang mit IT und allen zusammenhängen Fragen als noch vor wenigen Jahren. 68 Es macht daher Sinn, die Frage nach der Wertigkeit der IT-Abteilung sowie deren Einbindung in strategische Themen absolut zu behandeln. V. Schlusswort 69 Um die eingehende Frage „Was braucht der Anwalt heute, was in Zukunft?“ abschließend zu behandeln empfinde ich die folgende Auflistung als wertvoll: –
Ein Blick nach USA und UK ermöglicht den europäischen Einheiten jederzeit ein Gefühl für die Trends der nächsten 3-5 Jahre, denn die Rechtsmärkte in USA und UK sind circa 3-5 Jahre dem zentraleuropäischen Gefüge des Rechtsmarkts voraus.
–
Es ist auf jeden Fall lohnend, die heutigen Prozesse in einer Kanzlei und in der Kette der Rechtsberatungsprozesse aufzuteilen, einzugliedern und in Ihrer Fähigkeit, durch IT unterstützt zu werden, zu katalogisieren.
–
Es kann nicht schaden, den Mandanten bereits heute aufzuzeigen, wie Rechtsberatung durch IT effizient gestaltet wird. Es kann ebenso sehr positiv für die Bindung der Mandanten/Berater-Beziehung sein, wenn die Fragen der weiteren Entwicklung und des Einsatzes von Innovationen gemeinsam besprochen werden.
–
Den Austausch mit anderen Einheiten, gerade in Bezug auf die Erfahrungen von „experimentellen oder frühen“ Neuerungen in Expertengruppen durchzuführen, ist eine sehr fruchtbare Kooperation.
224
Was braucht der Anwalt heute und in Zukunft
Zuletzt fiel mir in jeglicher Diskussion, in unterschiedlichsten Ge- 70 sprächen oder auch in der täglichen Arbeit im Rechtsmarkt auf, dass die tatsächliche kognitive Leistung und die Expertise der Rechtsberater ein immenses Gut ist, das auch eine Technologie zuletzt im Jahre 2016 nicht kopieren oder künstlich erzeugen konnte. Daher sollte man aus den angebotenen Diensten, die Teile herauspicken, die den Mandanten bei vielerlei Entscheidungskriterien unterstützen und seine eingekaufte Beratung wertvoll machen.
225
Elektronische Kommunikation mit den Gerichten in der Schweiz Adrian Rufener* I. Elektronischer Rechtsverkehr heute 1. Mit dem Schweizerischen Bundesgericht a) Rechtliche Ausgangslage b) Fallzahlen/Bedeutung des ERV 2. Mit den Bundesverwaltungsbehörden a) Rechtliche Ausgangslage b) Fallzahlen 3. Elektronischer Rechtsverkehr in Zivilprozessen, Strafprozessen sowie im Schuldbetreibungs- und Konkursverfahren a) Rechtliche Ausgangslage b) Organisation der Zivil- und Strafjustiz in der Schweiz c) Fallzahlen 4. Motion „Bischof“ 5. Zentrale Anwaltsdatenbank als Teil des ERV
6. „Proof of concept“ des Schweizerischen Anwaltsverbandes II. Ausblick und Beurteilung 1. Bericht des Bundesrates vom Dezember 2015 zur Motion „Bischof“ 2. Revision des ZertES 3. Einführung der elektronischen Geschäftsverwaltung in der Bundesverwaltung 4. Harmonisierung der Informatik in der Strafjustiz 5. Beurteilung der IST-Situation/ Verbindlichkeit des ERV für die Anwaltschaft 6. Vorgaben der Anwaltschaft an der ERV
I. Elektronischer Rechtsverkehr heute 1. Mit dem Schweizerischen Bundesgericht a) Rechtliche Ausgangslage Das Bundesgerichtsgesetz1, 2 regelt seit dem 1.1.2007 den elektronischen 1 Rechtsverkehr mit dem höchsten Gericht. Es enthält Vorschriften über das Zustelldomizil (Art. 39), die Rechtsschriften (Art. 42), den Fristenlauf (Art. 48) sowie die Eröffnung von Entscheiden (Art. 60 Abs. 3 BGG). Das *
1 2
Lic.iur. HSG Adrian Rufener, Rechtsanwalt und Notar, AMPARO Anwälte und Notare, St. Gallen; Vorstandsmitglied des Schweizerischen Anwaltsverbandes, Leiter Ressort IT. BGG, SR 173.110. Die Bundesgesetze sind im Internet unter: https://www.admin.ch/gov/de/ start/bundesrecht.html abrufbar. Dabei kann entweder mit der Ordnungsnummer oder mittels Texteingabe gesucht werden.
227
Adrian Rufener
Bundesgericht hat in eigener Kompetenz am 5.12.2006 das Reglement über den elektronischen Rechtsverkehr mit den Parteien und Vorinstanzen erlassen. Dieses Reglement sieht u. a. die Verwendung eines Verfahrensformulars (PDF), einer qualifizierten Signatur gemäss ZertES3 sowie einer der beiden zum ERV zugelassenen Zustellplattformen4 als Übermittlungsplattformen vor. Aktenbeilagen sind entweder physisch oder elektronisch5 einzureichen. b) Fallzahlen/Bedeutung des ERV 2 Die Bedeutung des ERV vor Bundesgericht ist gering. Im Jahre 2015 wurden von insgesamt 7‘853 Beschwerden lediglich deren 39 in elektronischer Form eingereicht. 2. Mit den Bundesverwaltungsbehörden a) Rechtliche Ausgangslage 3 Mit den Bundesverwaltungsbehörden ist elektronischer Rechtsverkehr seit 1.1.2008 möglich. Das Bundesgesetz über das Verwaltungsverfahren6 sieht Vorschriften über das Zustelldomizil (Art. 11b Abs. 2), die elektronische Zustellung (Art. 21a Abs. 1) und über die Eröffnung von Verfügungen (Art. 34 Abs. 1bis) vor. Details sind in der Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens7 geregelt. 4 Elektronische Eingaben sind zulässig, wenn die Behörde im Behördenverzeichnis8 vermerkt ist und die Verordnung zudem keine Ausnahmen vom ERV9 vorsieht. Als Kommunikationskanäle sind einerseits die beiden Zustellplattformen, ein verschlüsseltes Mail oder die online-Eingabe auf der Internetseite der am ERV teilnehmenden Verwaltungsbehörde vorgesehen. Im Grundsatz ist eine qualifizierte Signatur zu verwenden. Auf diese kann verzichtet werden, wenn einerseits die Identifikation des Absenders10 gewährleistest und andererseits die Integrität der Übermittlung der Eingabe sichergestellt ist. Die elektronische Eingabe ist unzulässig, wenn das Bundesrecht eine (physische) Unterschrift verlangt.
3 Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur, SR 943.03. 4 IncaMail = www.incamail.ch; PrivaSphere: www.privasphere.com. 5 Als PDF mit einem qualifizierten Zertifikat versehen. 6 VwVG; SR 172.021. 7 VeÜ-VwV; SR 172.021.2. 8 www.ch.ch/ejustice. 9 Vgl. Informationsschutzverordnung: SR 510.411. 10 Z. B. durch die Verwendung eines IDP.
228
Elektronische Kommunikation mit den Gerichten in der Schweiz
Art. 12 VeÜ-VwV sieht Regelungen über den Trägerwandel vor, da Einga- 5 ben an die Behörden von diesen ausgedruckt werden bzw. auszudrucken sind. Dies jedenfalls solange, als die entsprechende Verwaltungseinheit des Bundes noch nicht die elektronische Geschäftsverwaltung gemäss Bundesstandard umgesetzt hat.11 b) Fallzahlen Aussagekräftige Fallzahlen zur Nutzung des ERV liegen leider keine vor. 6 Jedenfalls sind die elektronischen Eingaben von untergeordneter Bedeutung. 3. Elektronischer Rechtsverkehr in Zivilprozessen, Strafprozessen sowie im Schuldbetreibungs- und Konkursverfahren a) Rechtliche Ausgangslage In diesen drei Rechtsbereichen wurde der ERV mit Wirkung per 1.1.2011 7 eingeführt. Die massgeblichen Regelungen finden sich in Art. 130 Abs. 2, 139 und Art. 143 Abs. 2 ZPO,12 Art. 86 und 110 StPO13 und Art. 33 SchKG.14 Im Wesentlichen gelten folgende Grundsätze: die elektronische Eingabe ist in jeder Verfahrensart zulässig, die Eingabe (teilweise auch die Beilagen) ist mit einer qualifizierten elektronischen Signatur zu versehen, die Behörde bzw. das Gericht kann die Nachreichung „der Papierversion“ verlangen und die Frist gilt als eingehalten, wenn das Informatiksystem15 den Empfang innerhalb der Frist bestätigt. Bei physischen Eingaben (von Rechtsschriften und Beilagen) genügt zur Fristwahrung die persönliche Übergabe beim Gericht oder die Übergabe16 an die schweizerische Post. Details werden in der Verordnung über die elektronische Übermittlung 8 im Rahmen von Zivil- und Strafprozessen sowie von Schuldbetreibungsund Konkursverfahren17 geregelt. Art. 13 VeÜ-ZSSV sieht Regelungen 11 12 13 14 15
Vgl. nachfolgende Ziffer II.3. Schweizerische Zivilprozessordnung; SR 272. Schweizerische Strafprozessordnung, SR 312. Bundesgesetz über Schuldbetreibung und Konkurs; SR 281.1. Da die Zustellung im Grundsatz über eine der beiden Plattformen oder mit einem Webformular (je nach Kanton unterschiedlich), welches zur Plattform führt, stellt sich immer wieder die Frage, welche Zeitangabe massgebend ist, wenn die Zustellung über die eine Plattform erfolgt, das Gericht jedoch die andere Plattform einsetzt. Zwar ist die Interoperabilität der Plattformen im Grundsatz gewährleistet, aber die Betreiber setzen technische Anpassungen meistens nicht zeitgleich um. 16 Innerhalb der Frist, d. h. bis 24:00 Uhr des letzten Tages. 17 VeÜ-ZSSV; SR 272.1.
229
Adrian Rufener
über den Trägerwandel vor, da Eingaben an die Behörden von diesen ausgedruckt werden bzw. auszudrucken sind (sic!). Kurzum: nach Eingang einer elektronischen Eingabe wird in der Gerichtskanzlei der Short-Cut: „Ctrl + P“ gewählt. b) Organisation der Zivil- und Strafjustiz in der Schweiz 9 Die Organisation der Zivil- und Strafjustiz sowie der Behörden und Gerichte im Bereich der Schuldbetreibungs- und Konkursverfahren ist Sache der Kantone. Diese kantonale Kompetenz umfasst, unter Berücksichtigung allfälliger bundesrechtlicher Vorgaben18, neben der Organisationsfreiheit, auch die Verpflichtung für die Kosten19 der Justiz aufzukommen. Nach dem Grundsatz: „Wer zahlt, befiehlt“ haben die Kantone auf den 1.1.2011 hin das gesetzliche Minimum umgesetzt, d. h. die Voraussetzungen geschaffen, dass die Parteien elektronische Eingaben einreichen können. Dabei haben sie unterschiedliche Wege gewählt. Von der Möglichkeit einer Eingabe per einfachem Mail20 oder per Zustellplattform bzw. sicherem Webformular finden sich alle Variationen. Im Ergebnis liegen 2821 unterschiedliche Lösungen vor. Während die Kantone Genf und Zürich im Bereich der Gerichtssoftware auf Eigenentwicklungen vertrauen, setzen die übrigen 24 Kantone auf die Software von zwei Anbietern.22 10 Das Bundesstrafgericht setzt auch die Software einer „Allianz“ ein, hat aber der Besonderheit Rechnung zu tragen, dass im Bereich des Verfahrensrechts je nach Verfahrensart entweder Bestimmungen der StPO oder des VwVG zur Anwendung kommen. Das Bundesgericht setzt auf eine Eigenentwicklung. c) Fallzahlen 11 Aussagekräftige Fallzahlen zur Nutzung des ERV vor den kantonalen Zivil- und Strafjustizbehörden liegen leider keine vor. Jedenfalls sind die elektronischen Eingaben von untergeordneter Bedeutung und eine Trendwende in naher Zukunft ist nicht absehbar.
18 19 20 21 22
Z. B. im Grundsatz mindestens zwei Gerichtsinstanzen. Personalkosten, Sachkosten, etc. Unverschlüsselt. 26 Kantone, Bundesstrafgericht, Bundesgericht. ABRAXAS-Juris bzw. Tribuna.
230
Elektronische Kommunikation mit den Gerichten in der Schweiz
4. Motion „Bischof“ Mit der am 12.12.2012 eingereichten und vom Parlament am 23.9.2013 12 mit Änderungen angenommenen Motion 12.4139 „Einführung des elektronischen Rechtsverkehrs“ wurde der Bundesrat beauftragt, die notwendigen rechtlichen, organisatorischen und technischen Vorkehrungen zu treffen, um dem ERV zum Durchbruch zu verhelfen. Zusätzlich sollten die Voraussetzungen für eine zentral zugängliche Aktenführung mit Akteneinsicht und Vorgaben zur elektronischen Archivführung geprüft werden. Die vom Bundesamt für Justiz einberufene Arbeitsgruppe hat ihre Arbeiten im Dezember 2014 beendet. Das von der Arbeitsgruppe erarbeitete Konzept sieht im Wesentlichen 13 die nachfolgenden Komponenten vor: –
Eine zentrale schweizerische Anwaltsdatenbank (grün)
–
Einen IDP/IAM (grün)
–
Eine sichere Austauschplattform (blau);
–
Messaging Plattform (rosa).
231
Adrian Rufener
5. Zentrale Anwaltsdatenbank als Teil des ERV 14 Gemäss dem BGFA23 führen die kantonalen Registerbehörden je ein eigenes Anwaltsregister. Kurzum: es bestehen 26 unterschiedliche Registerlösungen, wobei das BGFA, welches als Rahmengesetz ausgestaltet ist, lediglich Mindestvorgaben vorsieht. Im Übrigen sind die Kantone in der Ausgestaltung des Anwaltsrechts frei, soweit die kantonalen Normen nicht übergeordneten Vorschriften widersprechen. 15 Der Schweizerische Anwaltsverband24 hat per 19.1.2015 eine neue, webbasierte zentrale Anwaltsdatenbank25 in Betrieb genommen. Ziel der zentralen SAV-Mitgliederdatenbank ist es auch, die kantonalen Registerbehörden einzubinden und „REGAVO“ (auch) als zentrale schweizerische Anwaltsregisterdatenbank26 zu betreiben. Derzeit wird REGAVOREG27 von der Anwaltskammer des Kantons St. Gallen im Testbetrieb eingesetzt. Gleichzeitig soll REGAVO-REG28 als (schweizerische) Datenbank für das Europäische Justizportal dienen. 6. „Proof of concept“ des Schweizerischen Anwaltsverbandes 16 Da im Zeitpunkt der Beendigung der Tätigkeit der Arbeitsgruppe Motion „Bischof“ absehbar war, dass der Vorstoss politisch „versenkt“ wird, haben diverse Softwareanbieter29 an mehreren Sitzungen die Frage diskutiert, wie der Anwaltschaft bzw. den Gerichten und Behörden möglichst rasch Dienste zur Verfügung gestellt werden können, welche den Arbeitsalltag erleichtern und Teile der elektronischen Akteneinsicht bzw. des ERV abdecken. Dabei hat sich rasch herausgestellt, dass aus Sicht der Anwaltschaft die „sichere Webakte“ ein Bedürfnis darstellt, welches abgedeckt werden sollte und einen Teilbereich des Projektes elektronische Akteneinsicht abdeckt. Innerhalb von zwei Monaten haben zwei Soft-
23 Bundesgesetz über die Freizügigkeit der Anwälte und Anwältinnen; SR 935.61. 24 SAV; ca. 92 bis 95 aller in der Schweiz registrierten Anwälte sind Mitglied des SAV; www.sav-fsa.ch. 25 „REGAVO“. 26 In der Schweiz sind ca. 10‘500 Anwälte registriert. 27 = REGAVO für Registerbehörden. 28 Der SAV und die Registerbehörden basieren auf der gleichen Datenbank haben aber je nach USER-Rechten Zugriff auf teilweise unterschiedliche Datenfelder. 29 TEMET (Sicherheitsarchitekten bzw. -berater; www.temet.ch), ERGON (IDP/ IAM; wwww.ergon.ch), AGORA (sichere Plattform; http://www.agora-secureware.com) und WinJur (Anwaltssoftware; www.winJur.ch).
232
Elektronische Kommunikation mit den Gerichten in der Schweiz
wareanbieter30 eine Lösung realisiert, welche am Schweizerischen Anwaltskongress am 4.6.2015 präsentiert werden konnte.31 II. Ausblick und Beurteilung 1. Bericht des Bundesrates vom Dezember 2015 zur Motion „Bischof“ In seinem Bericht vom Dezember 2015 vertrat der Bundesrat die Auf- 17 fassung, dass die Bereitstellung der Informatiksysteme für die Gerichte inklusive deren Finanzierung eine Aufgabe der für die entsprechenden Gerichte zuständigen Körperschaften (Kantone) sei. Die von der Arbeitsgruppe beschriebene Lösung mit gemeinsamen Standards für die Gestaltung der elektronischen Akteneinsicht würde wohl der Organisationsautonomie der involvierten Akteure am besten Rechnung tragen. Allerdings erscheine es fraglich, ob durch die ausschliessliche Definition von Standards innert nützlicher Frist eine flächendeckende Umsetzung in der gesamten Schweiz erreicht könne. Für eine Bundeslösung würden angesichts der neusten Sparbeschlüsse des Bundesrates die notwendigen Mittel fehlen.32 2. Revision des ZertES Das Bundessparlament hat am 18.3.2016 eine Mini-Revision des ZertES 18 beschlossen. Im Rahmen der Gesetzesrevision wurden auch die Verfahrensbestimmungen des VwVG, BGG, ZPO, StPO und des SchKG geändert und vereinheitlicht. Da der Bund den Kantonen aufgrund der derzeitigen Rechtslage nicht vorschreiben kann, dass die Verfahrensakte elektronisch zu führen ist, wird sich am status quo in absehbarer Zeit nichts ändern. 3. Einführung der elektronischen Geschäftsverwaltung in der Bundesverwaltung An seiner Sitzung vom 19.12.2012 hat der Bundesrat beschlossen, die 19 Geschäftsverwaltung33 der Bundesverwaltung gemäss Bundesstandard auf elektronische Dossiers umzustellen. Mit der Einführung der elekt-
30 AGORA und WinJur. 31 Vgl. Adrian Rufener, Elektronische Akteneinsicht – von der Vision zum Dienstleistungsangebot „sichere Webakte“ in: Anwaltsrevue 5/2015, S. 218. 32 Die Kosten für die Umsetzung der „elektronischen Aktensicht“ als Teilprojekt des ERV wurden auf CHF 2 bis 3 Mio. geschätzt. 33 Abgekürzt: GEVER.
233
Adrian Rufener
ronischen Geschäftsverwaltung34 in der Bundesverwaltung werden alle geschäftsrelevanten Informationen elektronisch geführt, welche die Verwaltungseinheiten im Rahmen ihres gesetzlichen Auftrags mit Hilfe von Geschäftsverwaltungssystemen erzeugen, empfangen, bearbeiten, verwalten, austauschen, verteilen, publizieren und archivieren. Mittelfristig wird sich die Situation somit verbessern, sieht doch das Regierungs- und Verwaltungsorganisationsgesetz35 vor, dass in der Bundesverwaltung die elektronische Geschäftsverwaltung36 eingeführt wird. Verwaltungseinheiten, welche bereits GEVER-Systeme im Einsatz haben, haben ihre Lösungen an den Mindeststandard bis 30.6.2018, spätestens jedoch 31.12.2019 anzupassen. 4. Harmonisierung der Informatik in der Strafjustiz 20 Im Rahmen des gemeinsamen Programms von Bund und Kantonen zur Harmonisierung der Polizeiinformatik37 wurde festgestellt, dass eine Prozessvereinheitlichung bei der polizeilichen Vorgangsbearbeitung notwendigerweise auch die Interessen der Staatsanwaltschaften, Gerichtsbehörden und Justizvollzugsämter berücksichtigen sollte. Die Konferenz der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren38 beschloss deshalb, auch ein Programm zur Harmonisierung der Informatik in der Strafjustiz39 zu starten. An ihrer Herbstversammlung 2015 hiess die KKJPD die aufgrund der Vernehmlassungsergebnisse angepasste Vereinbarung gut und gab sie zur Unterzeichnung frei. Inzwischen40 konnte auch die Frage der Finanzierung gelöst werden. Der Bund beteiligt sich mit 20 % an den Kosten von HIS/HPI sofern sich mindestens 18 Kantone zur Mitarbeit bzw. Umsetzung verpflichten. 5. Beurteilung der IST-Situation/Verbindlichkeit des ERV für die Anwaltschaft 21 Die derzeitige Situation ist vom Gedanken geprägt, der elektronische Rechtsverkehr falle unter die Organisationsautonomie der zuständigen Instanzen. Dabei wird verkannt, dass sicherer elektronischer Datenver34 Vgl. auch Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung; SR 172.010.441. 35 RVOG; SR 172.010; vgl. auch: Regierungs- und Verwaltungsorganisationsverordnung; SR 172.010.1. 36 Abgekürzt: GEVER. 37 HPI. 38 KKJPD. 39 HIS. 40 Frühjahr 2016.
234
Elektronische Kommunikation mit den Gerichten in der Schweiz
kehr zwischen Behörden, Bürgern und Unternehmen ebenso zur Basisinfrastruktur eines Landes gehört, wie die Strom- und Wasserversorgung, öffentlicher Verkehr und das Strassennetz. Aus Sicht der Anwaltschaft ist die Sache klar: ohne verbindliche Normen mit einem verpflichtenden Umsetzungsdatum wird sich am bisherigen Flickenteppich nichts ändern. Aufgrund der wenig erbaulichen IST-Situation hat der Vorstand des Schweizerischen Anwaltsverbandes beschlossen, beim Bundesamt für Justiz vorstellig zu werden und zu verlangen, dass der ERV für Rechtsanwälte verbindlich erklärt wird. 6. Vorgaben der Anwaltschaft an der ERV Aufgrund der sehr heterogen organisierten Anwaltschaft ist es unab- 22 dingbar, dass eine Lösung sowohl den Anliegen von Kleinst- und Kleinkanzleien aber auch denjenigen von grösseren Kanzleien Rechnung trägt. Während für eine Einmann/-Frau-Kanzlei ein persönliches elektronisches Anwaltspostfach Sinn macht, erweist sich dieser Ansatz aus Sicht des SAV für Mehrpersonenkanzleien als nicht zielführend. Vielmehr sind elektronische „Kanzleipostfächer“ vorzusehen. Nur so lassen sich aus Sicht der Anwaltschaft Fristüberwachungen, Stellvertretungen, etc. sicher und ökonomisch sinnvoll lösen. Sollten mehrere sichere Zustellplattformen zum Einsatz kommen, was angesichts der förderalistischen Organisationsstruktur der Schweiz nicht ausgeschlossen werden kann, ist ein „single-sign-on“ über einen IDP/IAM unabdingbar. Erfolgt die Identifikation über einen IAM/IDP kann aus Sicht der Anwaltschaft auf den Einsatz von qualifizierten elektronischen Zertifikaten verzichtet werden. Vielmehr würden Organisationszertifikate, welche auf die Kanzlei ausgestellt sind, genügen. Neben den Anforderungen an das Datenformat der Eingaben und Beilagen41 wird es notwendig sein zu definieren, welche Daten42 im XML-Format anzuliefern sind. Und zuletzt: „keep it simple and stupid“. Sodann ist als Fallback vorzusehen, dass in bestimmten Fällen die Verfahrensakte mit einem hybriden43 Dossier44 geführt wird. Namentlich in Straffällen, in welchen Tatwaffen, Asservate, etc. Verfahrensgegenstand sind, werden hybride Dossiers ohnehin notwendig sein.
41 42 43 44
PDF-A. Parteibezeichnungen etc. Elektronisch und physisch. Auch im ERV gilt die 80:20 Regel.
235
Privatheit wider Willen – Verhinderung informationeller Preisgabe im Internet nach deutschem und US-amerikanischem Verfassungsrecht* Barbara Sandfuchs** I. Problemaufriss
IV. Stellungnahme
II. Der Blick über den Tellerrand III. Maßgebliche Parameter
Literaturübersicht: Allen, Anita, Unpopular Privacy – What must we hide?, 2011; Calo, Ryan, Against Notice Skeptisism in Privacy (and Elsewhere), 87 Notre Dame L. Rev. (2012), 1027.
I. Problemaufriss Informationelle Preisgabe im Internet kann trotz positiver Seiten mit- 1 unter Ausmaße und Ausprägungen annehmen, die für die preisgebenden Nutzer selbst, Dritte und die Allgemeinheit gefährlich sind. Es kann daher nach Abwägung im Einzelfall sinnvoll erscheinen, bestimmte Preisgaben zu verhindern und so die Nutzer und ihr Umfeld zu schützen. Jedenfalls bei besonders sensiblen Daten oder im Falle von besonders gefährlichen Umständen der Preisgabe kann das rechtspolitische Bedürfnis bestehen, nicht erschließbare Privaträume zu definieren. Die Devise mag lauten: „Caring about not caring about privacy“.1 Muss oder kann der Staat Nutzer daran hindern, ihre genetischen Daten 2 im Rahmen einer Statusmeldung in einem sozialen Netzwerk zu teilen oder Videoaufnahmen sadomasochistischer Praktiken auf Internet-Plattformen hochzuladen? Muss oder kann er sie davon abhalten, umfassende Einwilligungen zu Datenerhebungen, -verarbeitungen und -nutzungen zu geben, wenn die daraufhin entstehenden Persönlichkeitsprofile ihnen langfristig gesehen großen Schaden zufügen können?
*
Die gleichnamige Doktorarbeit wurde mit dem DSRI-Wissenschaftspreises 2015 ausgezeichnet und erschien 2015 bei Mohr Siebeck. ** Dr. Barbara Sandfuchs, Lehrbeauftragte an der Juristenfakultät der Universität Leipzig. 1 Allen, Unpopular Privacy, 171.
237
Barbara Sandfuchs
3 Und wie wirkt es sich auf die rechtliche Bewertung aus, wenn Nutzer minderjährig sind oder die Videomitschnitte sadomasochistischer Praktiken auch den Partner zeigen? 4 Was ist, wenn der Staat Nutzer nicht hindert, sondern den verantwortlichen Stellen nur eine Unterrichtungspflicht auferlegt? Oder wenn er Webseitenanbieter verpflichtet, einen die Nutzer verfolgenden Avatar anzuzeigen, den die Nutzer mit einem Klick ausblenden oder aber ihr Opt-out aus dem Tracking erklären können?2 5 Die aufgeworfenen Fragen geben Einblick in die Brisanz, die der Verhinderung informationeller Preisgabe im Internet zukommt. Dabei ist Selbstentblößung durch Einzelne keineswegs ein neues Problem. Das Internet bietet allerdings potenzierte Möglichkeiten zur informationellen Preisgabe, wodurch eine Vielzahl an privaten Akteuren Zugriff auf umfangreiche Datensätze vieler Nutzer erhält. Zusätzlich können Strafverfolgungsbehörden und Geheimdienste im In- und Ausland unter für die Einzelnen schwer über- und durchschaubaren rechtlichen Voraussetzungen Zugriff auf private Datenbanken nehmen. So entstehen für Nutzer durch informationelle Preisgabe nicht nur Bedrohungen in Form der Datenauswertung durch Private, sondern auch durch die Datenanalyse staatlicher Stellen im In- und Ausland. Es stellt sich daher aktuell umso mehr die Frage nach dem Schutz vor diesen Gefahren. 6 Ein staatliches Untätigbleiben im bloßen Vertrauen auf die Selbstregulierung des Markts und die Rationalität seiner Teilnehmer erscheint ebenso problematisch wie ein Verzicht auf jegliche Datenpreisgabe. Nicht zu unterschätzen ist der, auch dem in § 3a BDSG normierten Gebot der Datenvermeidung und -sparsamkeit zugrunde liegende, Gedanke, dass einmal preisgegebene Daten der Kontrolle der Einzelnen weitgehend entzogen sind. Die Zurückerlangung oder Sperrung der Daten ist technisch in aller Regel unmöglich und rechtlich außerhalb des Geltungsbereichs des europäischen Datenschutzrechts de facto chancenlos. Ein sinnvoller Ansatzpunkt zur Verhinderung der mit informationeller Preisgabe verbundenen Gefahren kann daher insbesondere Prävention sein. 7 Jedoch könnte Nutzern im Rahmen ihrer Persönlichkeitsentfaltung das Recht zustehen, selbst und eigenverantwortlich personenbezogene Daten im Internet preiszugeben, auch wenn daraus Gefahren für sie erwachsen. 8 Häufig mag ein Schutz Nutzern zugutekommen, da die Preisgabe für sie objektiv nachteilig gewesen wäre. Einer freiheitlichen Demokratie 2
Ein solches Vorgehen wird vorgeschlagen von: Calo, Against Notice Skepticism in Privacy (and Elsewhere), 1040.
238
Privatheit wider Willen
scheint es jedoch grundsätzlich versagt zu sein, selbstbestimmt Handelnde nur um ihrer selbst willen paternalistisch zu bevormunden. Bestehen dennoch staatliche Möglichkeiten und vielleicht sogar Pflichten, selbstbestimmte informationelle Preisgabe einzugrenzen? II. Der Blick über den Tellerrand Aus der Natur der Informationsgesellschaft folgt, dass Grundrechtsfragen 9 sich zwar im nationalen Bereich stellen, aber nicht ausschließlich im nationalen Kontext lösen lassen. Vielmehr bringt die weltweite Vernetzung neue Rechtsprobleme mit sich und fordert internationale Lösungsansätze. Als Standort der Mehrzahl der großen Akteure der Informationsgesellschaft, wie Apple Inc., Google Inc., Microsoft Inc. oder Facebook Inc., kommt den Vereinigten Staaten von Amerika eine bedeutende Rolle im Privatheitsschutz der Nutzer weltweit zu. Zugleich verspricht die dort hitzig geführte Diskussion über die Etablierung weitergehender datenschutzrechtlicher Standards Impulse auch für die Debatte diesseits des Atlantiks. Zudem befasst sich der wissenschaftliche Diskurs in Deutschland nicht 10 allein mit dem hergebrachten Privatheitsverständnis des deutschen Verfassungsrechts. Vielmehr reicht der Blick über den berühmten Tellerrand hinaus und berücksichtigt angloamerikanische, insbesondere aus den USA stammende Forschungsansätze. Ein Einblick in das PrivacyVerständnis, wie es in der US-Rechtsordnung zum Ausdruck kommt, ist unerlässlich, um einen beträchtlichen Teil der international relevanten Forschung erschließen zu können. So misst jedenfalls die US-amerikanische Literatur der Information(al) Privacy eben jenen über die Individuen hinausgehenden Wert zu, den die deutsche Verfassungsordnung für die informationelle Privatheit zugrunde legt. Auch angesichts erheblicher Bedeutungsunterschiede zwischen den Oberbegriffen Privatheit und privacy erscheint es daher häufig möglich, jedenfalls die Begriffe informationelle Privatheit und Informational Privacy gleichzusetzen. III. Maßgebliche Parameter Anlass und gleichsam Tertium Comparationis zwischen der deutschen 11 und der US-amerikanischen Rechtslage ist das rechtspolitische Bedürfnis, bestimmte Formen von informationeller Preisgabe im Internet zu unterbinden, um ihren Gefahren vorzubeugen. Dabei lassen sich die denkbaren Maßnahmen zur Verhinderung informationeller Preisgabe grob in die drei Kategorien erzwungener Schutz, 239
Barbara Sandfuchs
Unterstützung informationellen Selbstschutzes und Schutz durch (im Bereich der Verhaltensökonomie diskutierte) Entscheidungsarchitekturen – sog. Nudges – einteilen. 12 Die Eindämmung übermäßiger Preisgabe kann dabei sowohl dem Ziel dienen, die Preisgebenden selbst zu schützen als auch Preisgaben zu verhindern, die sich nachteilig auf Dritte oder die Allgemeinheit auswirken können. Der Stellenwert, den die beiden Verfassungen jeweils den bedrohten Belangen der Preisgebenden, Dritter oder der Allgemeinheit zuordnen, muss sodann Grundlage für die Prüfung sein, ob die Staaten zum Schutz dieser Güter informationelle Preisgabe verhindern müssen (Schutzpflicht). Weiter ist deren Gewicht dafür entscheidend, ob das bedrohte Gut jeweils bedeutend genug ist, zu seinem Schutz Preisgaben verhindern zu dürfen (Rechtfertigung von Grundrechtseingriffen). 13 Staatliche Handlungspflichten und -möglichkeiten werden dabei aus verfassungsrechtlicher Sicht maßgeblich von dem jeweils staatlicherseits verfolgten Ziel geprägt. Der rein paternalistische Schutz der selbstbestimmt Preisgebenden erweist sich als unzulässig. Dies gilt auch und gerade für den Einsatz von Nudges zur Unterbindung irrationalen, aber selbstbestimmten Preisgabeverhaltens. IV. Stellungnahme 14 „Caring about not caring about privacy“ – diese eingangs zitierte Forderung erweist sich als treffend. Angesichts zahlreicher Gefahren informationeller Preisgabe im Internet sollte sowohl dem deutschen als auch dem US-amerikanischen Staat an der informationellen Privatheit seiner Bürger gelegen sein. 15 Ein nicht zu leugnendes Bedrohungspotenzial geht dabei von den selbstbestimmt Preisgebenden aus. Sollen die mit informationeller Preisgabe verbundenen Gefahren verhindert werden, ist es sachgerecht, den Bürgern in gewissen Situationen auch „Privatheit wider Willen“ aufzuerlegen. Ein solches Vorgehen stellt jedoch in beiden Rechtsordnungen einen Eingriff sowohl hinsichtlich der Nutzerrechte als auch hinsichtlich der Rechte der verantwortlichen Stellen dar. Verfassungsdogmatisch unrichtig und an der tatsächlichen Bedrohungslage vorbeigehend wäre es, informationelle Preisgabe nur um den Schutz der selbstbestimmt Preisgebenden willen zu verhindern. Damit würde Nutzern vielmehr um ihrer Privatheit und damit Autonomie willen die Autonomie genommen, eigene Entscheidungen zu treffen. Ein solches Vorgehen wäre widersprüchlich.
240
Privatheit wider Willen
Daraus folgt nicht, dass informationelle Preisgabe nie staatlicherseits 16 verhindert werden könne. Doch bedarf es einer feinen Ausdifferenzierung und der Heranziehung von Rechtfertigungsgründen, die über den Schutz selbstbestimmt Handelnder vor sich selbst hinausgehen. Hierfür bietet sich das Konzept des partiellen informationellen Selbstschutzes an. Dieser ermöglicht die Verhinderung von Preisgabe immer dann, wenn von ihr besonders gravierende Bedrohungen ausgehen. In allen anderen Fällen bedarf es keines Schutzes. Der freiheitlich-demokratische Staat muss vielmehr ein Grundvertrauen darein haben, dass selbstbestimmt handelnde Bürger ihre Freiheiten ohne staatliche Hilfe eigenverantwortlich nutzen können.
241
DGRI Jahreschronik 2015 Veronika Fischer* I. Jahrestagung der DGRI, Stuttgart, 19.-21.11.2015 II. 22. Drei-Länder-Treffen 2015, Basel, 25.-27.6.2015 III. DSRI-Herbstakademie, Göttingen, 9.-12.9.2015 IV. 1. 2. 3. 4. 5. 6. 7. 8.
9.
Aktivitäten der Fachausschüsse Fachausschuss Softwareschutz Fachausschuss Vertragsrecht Fachausschuss Firmenjuristen Fachausschuss Wirtschafts- und Steuerrecht Fachausschuss Outsourcing Fachausschuss Strafrecht Fachausschuss Datenschutz Gemeinsamer Arbeitskreis der Fachausschussleiterinnen und -leiter Personalia
V. Publikationen 1. Stellungnahmen der DGRI 2. Journal of Intellectual Property, Information Technology and E-Commerce Law (JIPITEC) VI. Schlichtungsstelle IT der DGRI VII. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt VIII. Sonstige Veranstaltungen IX. Preise und Auszeichnungen X. 1. 2. 3. 4.
Wissenswertes aus der DGRI Mitgliederentwicklung Vorstand Beirat Geschäftsstelle
I. Jahrestagung der DGRI, Stuttgart, 19.-21.11.2015 Die DGRI-Jahrestagung 2015 stand unter dem Oberthema „Smart aber 1 hart: Haftungsrisiken bei IT-Innovationen“. Tagungsort war das Steinbeis-Haus für Management und Technologie (SHMT) in Stuttgart. Die DGRI-Jahrestagung 2015 widmete sich den aktuellen Fragen rund um IT-Innovationen. An Beispielen wie Industrie 4.0, dem autonomen Fahren, dem Einsatz von Fitness-Trackern, BigData oder der digitalen Bildung wurden die rechtlichen Anforderungen an umwälzende technische Neuerungen diskutiert. Die normative Entwicklung (z. B. IT-Sicherheitsgesetz, Entwurf eines eHealth-Gesetzes) kam genauso zur Sprache wie Grundsatzfragen der Haftung. Ein Blick auf die Rechtslage in den USA, die ITForensik und den Wandel der Anwaltspraxis unter den Bedingungen des elektronischen Rechtsverkehrs rundeten das Tagungsprogramm ab. *
Veronika Fischer, Rechtsanwältin, Geschäftsführung der DGRI, Karlsruhe.
243
Veronika Fischer
2 Den Auftakt zur Jahrestagung bildete der Begrüßungsabend auf Einladung der baden-württembergischen IT-Rechts-Kanzleien in der Voir Sky Bar im Stuttgarter Bahnhofsturm. 3 Der erste Themenblock am Freitag war dem Spannungsfeld von IT-Innovationen zwischen Recht, Ökonomie und Technik gewidmet. Moderiert wurde der erste Block von Prof. Dr. Gerald Spindler, Universität Göttingen. Im Eröffnungsvortrag beschrieb Dr. Antje Bierwisch, Fraunhofer Institut für System- und Innovationsforschung ISI, Karlsruhe, die Potentiale der Innovations- und Zukunftsforschung. Prof. Dr. Georg Borges, Universität des Saarlandes, untersuchte die Grundfragen der Haftung im IT-Bereich. Prof. Dr. Dirk Heckmann, Universität Passau, beschloss den Themenblock mit einem Vortrag zu den ethischen Grenzen datenbasierter Geschäftsmodelle im Gesundheitswesen. 4 Im Anschluss zog Prof. Dr. Lothar Determann, Palo Alto, einen internationalen Vergleich und schilderte unter Moderation von RA Dr. Matthias Scholz, Frankfurt, die haftungsrechtliche Situation in den USA. 5 Es folgten drei parallele Sitzungen, in denen besondere Anwendungsfelder von IT-Innovationen untersucht wurden. Die Parallelsession I wurde moderiert von RA Dr. Axel Funk, Stuttgart, und widmete sich dem IT-Recht in der Anwaltspraxis. RA Prof. Dr. Peter Bräutigam, München, untersuchte die Sozialadäquanz anwaltlichen IT-Outsourcings und § 203 StGB. RA Dr. Thomas Lapp, Frankfurt, beschrieb die Neuerungen des elektronischen Rechtsverkehrs in der Anwaltspraxis und Prof. Dr. Stefan Ernst, Freiburg, lenkte den Blick auf das Fernabsatzrecht bei Mandatsverträgen außerhalb von Geschäftsräumen. 6 Die Parallelsession II wurde moderiert von Prof. Dr. Dirk Heckmann, Universität Passau und behandelte mit dem IT-Sicherheitsgesetz eine gesetzliche Neuerung. Dessen Schutzbereich, Haftungsregelungen und Defizite wurden untersucht von Prof. Dr. Gerrit Hornung, Universität Kassel. Dennis-Kenji Kipker und Jan Benedikt Brönneke, Universität Bremen, wandten sich den IT-Innovationen in der Medizintechnik zu und Jun.-Prof. Dr. Katharina de la Durantaye, Humboldt-Universität zu Berlin, zeigte die rechtlichen Grenzen der digitalen Bildung auf. 7 Die Parallelsession III, moderiert von Dr.-Ing. Peter J. Hoppen, IT-Sachverständiger, Brühl, befasste sich mit der Aussagekraft und dem Beweiswert von Daten. Dipl.-Inf. Dipl.-Jur. Agatha Królikowski, Erweiterter Vorstand und Präsidium der GI, schilderte die Chancen und Risiken der Umwandlung von Big Data in Smart Data. Den technischen Hintergrund zur Informationsgewinnung aus großen Datenmengen erläuterte Dr. Siegfried Streitz, IT-Sachverständige, Brühl, und RA Dr. Dennis Heinson, 244
DGRI Jahreschronik 2015
Hamburg, rundete den Themenblock zur Highlevel-Forensik mit der Perspektive des Beweisrechts ab. Im Anschluss an die Parallelsessions wurde die jährliche Mitglieder- 8 versammlung abgehalten. Der Festabend fand im Restaurant Cube im Kunstmuseum am Festplatz statt. Er bildete den Rahmen für die Verleihung des DSRI-Wissenschaftspreises durch Prof. Dr. Alfred Büllesbach, Vorsitzender des Stiftungsrates der DSRI. Der Preis wurde an Dr. Barbara Sandfuchs, Universität Passau, für ihre Dissertation zum Thema „Privatheit wider Willen?“ vergeben. Der Samstag war den autonomen Agenten gewidmet. Moderiert wurde 9 der Themenblock „IT in Gegenwart und Zukunft“ von RA Dr. Matthias Baumgärtel, Oldenburg. Er begann mit dem neuen Format „Bring your Paper – DGRI meets DSRI“. Im Rahmen dieses Formats wurde ein Referent der DSRI Herbstakademie eingeladen, sein Thema bei der Jahrestagung zu präsentieren. Vortragender war RA Dr. Claudio G. Chirco, Düsseldorf, mit einer Praxisperspektive zu Industrie 4.0 und den Auswirkungen von vernetzten Wertschöpfungsketten auf die anwaltliche Beratung. Es folgte eine Keynote zum hochautomatisierten Fahren von Dr. Joa- 10 chim Rieß, Konzernbeauftragter für den Datenschutz der Daimler AG, Stuttgart. Anschließend beleuchteten Dipl.-Ing. Dipl.-Jur. Lennart Lutz, Universität Würzburg, und RA Jan-Philipp Günther, München, die technischen und rechtlichen Aspekte autonom agierender Systeme. In einer ausführlichen Diskussion mit den Referenten wurden weitere Einzelheiten erörtert. Ihren Ausklang fand die Jahrestagung bei einer Führung durch das Merce- 11 des Benz-Museum Stuttgart auf Einladung der Daimler AG. II. 22. Drei-Länder-Treffen 2015, Basel, 25.-27.6.2015 Den Rahmen für das Drei-Länder-Treffen 2015 bildete die Alte Universi- 12 tät Basel mit Blick auf den Rhein. Das Programm gliederte sich in die beiden Themenblöcke „Informatik in 13 der Finanzbranche“ und „Informatik in der Anwaltskanzlei“. Der Freitag war der Finanzbranche gewidmet. Den Auftakt bildete ein Themenblock zu Cloud Computing und Cloud Services im Bankensektor. Gegenstand des von RA Martin Boos, Basel, moderierten Themenblocks waren der rechtliche Rahmen und Best Practices in DACH. Referenten waren RA
245
Veronika Fischer
Dr. Carsten Schulz, Hamburg, Dr. Stephan Winklbauer, LL.M., Wien, und RA Alexander Schmid, Zürich. 14 Im nächsten Themenblock, moderiert von Prof. Dr. Herbert Zech, Universität Basel, folgte ein Impulsreferat zur technischen Entwicklung und Integration von Handelsblattformen von Prof. Dr. Christof Weinhardt, Karlsruher Institut für Technologie. Thomas Uhlemann, Security Specialist, ESET Deutschland GmbH, Jena, sensibilisierte für die Herausforderungen der IT-Sicherheit, und RA Christian R. Kast, München, ging auf die Besonderheiten von Online-Banking-Apps unter Berücksichtigung der Zahlungsdienste-Richtlinie und des Entwurfs zu ihrer Neuregelung ein. Compliance-Untersuchungen in der Finanzbranche aus datenschutzrechtlicher Sicht von RA Dr. Kai-Uwe Plath, LL.M., Hamburg, und ein Vortrag zum Patentschutz in der Finanzbranche von PatA Markus Hössle, Stuttgart, rundeten den Themenblock ab. 15 Es folgten die traditionellen Länder-Updates. Unter Moderation von Prof. Dr. Dr. Walter Blocher, Universität Kassel, gaben RA Prof. Dr. Rupert Vogel, Karlsruhe, Assoz.-Prof. Dr. Manfred Büchele, Universität Innsbruck, und RA Dr. Christian Laux, LL.M., Zürich, einen Überblick über die aktuellen Entwicklungen in Gesetzgebung und Rechtsprechung in Deutschland, Österreich und der Schweiz. 16 Am Samstag stand die „Informatik in der Anwaltskanzlei“, moderiert von RA Dr. Robert G. Briner, Zürich, auf dem Programm. In einem Block zur elektronischen Kommunikation mit den Gerichten berichteten Vertreter aus den Ländern über die Erfahrungen und den jeweiligen Rechtsrahmen in Deutschland, Österreich und der Schweiz. Es referierten Jan Spoenle, Justizministerium Baden-Württemberg, Dr. Thomas Gottwald, Bundesministerium für Justiz, Österreich, und RA Adrian Rufener, St. Gallen. Einen Ausblick auf die künftigen technischen Anforderungen in der anwaltlichen Beratungspraxis gab Dominic Piernot, STP Karlsruhe. 17 Den Abschluss bildete ein offenes Forum, in dem drei Kurzvorträge zu IT-rechtlichen Themen gehalten wurden. Dr. Robert G. Briner, Zürich referierte zu dem Thema „Wie kommt die urheberrechtliche Beschränkung zum Schüler?“. Dr. Reinhard Oertli, Zürich, ging auf die aktuelle Rechtsprechung aus Schweiz, Deutschland und China zur Haftung von Internethandelsplattformen ein, und RRef Pia Seitter stellte die Besonderheiten der digitalisierten Personalakte dar. 18 Den kulturellen Höhepunkt bildete eine Architekturführung auf dem Novartis-Campus, der sich der Verwirklichung einer modernen Arbeitsumgebung verschrieben hat. Unter den Architekten der Büro- und Laborgebäude befinden sich zahlreiche Träger des Pritzker-Preises, u. a. 246
DGRI Jahreschronik 2015
SANAA, Frank O. Gehry, José Rafael Moneo Vallés, Eduardo Souto de Mouro oder Fumihiko Maki. Den Festabend beherbergte die Safranzunft, das Zunfthaus der Gewürzhändler. Der besondere Dank für die Organisation vor Ort gilt RA Marin Boos, 19 Basel. III. DSRI-Herbstakademie, Göttingen, 9.-12.9.2015 Die 16. Herbstakademie 2015 stand unter dem Motto „Internet der Dinge 20 – Digitalisierung von Wirtschaft und Gesellschaft“. Ausgerichtet wurde die Herbstakademie von der Deutschen Stiftung für Recht und Informatik (DSRI) in Kooperation mit der DGRI und dem Lehrstuhl von Prof. Dr. Andreas Wiebe an der Georg-August-Universität Göttingen. Die Herbstakademie richtet sich an den Nachwuchs in Wissenschaft und Praxis und gibt in Kurzvorträgen einen Überblick über die aktuellen Entwicklungen des Informationstechnologierechts. Vertieft werden die einzelnen Themenblöcke durch „Updates“ von Experten. Die Vorträge der Herbstakademie können in dem pünktlich zur Tagung 21 erschienen Tagungsband nachgelesen werden und sind auch über die Website der DSRI als Podcasts abrufbar (http://www.dsri.de/herbstakademie/herbstakademie_2015-vortraege.html). IV. Aktivitäten der Fachausschüsse In 2015 traten die Fachausschüsse der DGRI insgesamt neun Mal zu Sit- 22 zungen zusammen. 1. Fachausschuss Softwareschutz Am 25.2.2015 traf sich der FA Softwareschutz in Hamburg. Das Thema 23 der Sitzung lautete Software aus der Datendose – Cloud, SaaS und Co. – zur Einordnung von „Fernnutzungsrechten“ in das System der urheberrechtlichen Nutzungs- und Verwertungsrechte und wurde aus technischer und rechtlicher Perspektive untersucht von Dipl.-Ing. Wiegand Liesegang, IT-Sachverständiger, Brühl, und RA Dr. Malte Grützmacher, Hamburg. 2. Fachausschuss Vertragsrecht Am 27.3.2015 behandelte der FA Vertragsrecht in Frankfurt die „An- 24 forderungen an Vereinbarungen nach § 11 BDSG: Vertragliche Umset247
Veronika Fischer
zung der Verbraucherrechte-Richtlinie“. Es referierten Ministerialrat Dr. Stefan Brink, Leiter Privater Datenschutz beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, und RA Stephan Schmidt, Mainz. 25 In einer zweiten Sitzung am 23.10.2015 in München befasste sich der FA Vertragsrecht mit Lizenzaudits. Marco Widlok gab Tipps zur Auditabwehr in der Praxis, und RA Dr. Michael Karger berichtete über die rechtlichen Anforderungen an Lizenzklauseln. 3. Fachausschuss Firmenjuristen 26 Auch die Firmenjuristen kamen in 2015 zweimal zusammen, um sich über die aktuellen Fragen in der täglichen Arbeit eines Firmenjuristen auszutauschen. Das erste Treffen fand in der Konzernzentrale der E.ON SE, Düsseldorf, statt. Hierbei ging es unter anderem um die Kooperation von Rechtsabteilungen mit externen Kanzleien sowie den rechtlichen Status des Syndikusanwalts einschließlich der Konsequenzen der BSGUrteile vom 3.4.2014. Das zweite Treffen der Firmenjuristen fand am 13.11.2015 bei Océ Printing Systems GmbH & Co. KG, Poing (München), statt. Behandelt wurde u.a. die Automatisierung von Prozessen in der Rechtsabteilung sowie das Safe Habor-Urteil des EuGH vom 6.10.2015 und dessen Auswirkungen auf die Praxis. 4. Fachausschuss Wirtschafts- und Steuerrecht 27 Am 6.11.2015 standen beim FA Wirtschafts- und Steuerrecht in München aktuelle prozess- und kartellrechtliche Themen im Softwarerecht und eCommerce auf der Tagesordnung. RAin Susanne Klein, Hannover, setzte sich mit Auskunftsansprüchen bei Internetsachverhalten auseinander. Bei RA Dr. Michael Dorner, Stuttgart, ging es um die Beweisanforderungen bei Urheberrechtsverletzungen im Zusammenhang mit Softwareüberlassung B2B. RAin Isabell Conrad, und RA Dr. Reemt Matthiesen, München, behandelten die aktuellen Fragen des Onlinevertriebs und Kartellrechts unter Berücksichtigung der Rechtsprechung zu „Portalverboten“ und Bestpreis-Klauseln (HRS-Entscheidung). 5. Fachausschuss Outsourcing 28 Am 27.11.2015 hielt der FA Outsourcing in München eine sektorspezifische Sitzung zur Auslagerung im Banken- und Finanzsektor ab. Gegenstand der Sitzung waren aktuelle Trends und Beobachtungen. RA Dr. Lars Lensdorf, Frankfurt/M., stellte die rechtlichen Anforderungen dar.
248
DGRI Jahreschronik 2015
Thomas Grol, KPMG, Frankfurt/M., schilderte die Prüfung von Auslagerungen aus Wirtschaftsprüfersicht und RA Alexander Klaus, Deutsche Bank, die Auslagerungskontrolle aus Sicht der Bank. 6. Fachausschuss Strafrecht Am 3.12.2015 diskutierte der FA Strafrecht in Hannover die strafpro- 29 zessuale Überwachung des Internet- und Surf-Verhaltens. Dazu referierte Priv.-Doz. Dr. Lutz Eidam, LL.M., Universität Frankfurt, mit einem Kommentar von Prof. Dr. Carsten Momsen, Freie Universität Berlin. 7. Fachausschuss Datenschutz Den Abschluss bildete eine Sitzung des FA Datenschutz in Bonn zur 30 EU-Datenschutz-Grundverordnung. Einen Blick auf die (dann) aktuelle gesetzgeberische Situation gab Dr. Eugen Ehmann, Regierungsvizepräsident Regierung von Mittelfranken. Von den Erfahrungen mit der Art. 29-Gruppe zu Cloud Services und Datenschutz berichtete Alexandra Buchberger, Legal & Corporate Affairs, Microsoft Deutschland GmbH. RAin Zander-Hayat, Leiterin Marketing und Recht, Verbraucherzentrale NRW e. V., nahm den Daten- und Verbraucherschutz nach dem UKlaG in den Blick. 8. Gemeinsamer Arbeitskreis der Fachausschussleiterinnen und -leiter Am 19.11.2015 kamen alle Leiter der DGRI-Fachausschüsse in Stuttgart 31 zu einer gemeinsamen Sitzung zusammen. Ziel dieses gemeinsamen Arbeitskreises ist der Erfahrungsaustausch unter den Fachausschüssen und die Identifikation von Schnittstellen zur gemeinsamen Bearbeitung von Themen im Rahmen vom FA-Sitzungen oder bei Stellungnahmen der Gesellschaft. 9. Personalia Zur Arbeit der Fachausschüsse im Einzelnen wird auf die gesonderten 32 Beiträge in diesem Band verwiesen. Neu besetzt wurde der Fachausschuss Internet & eCommerce, dessen Leitung von Prof. Dr. Axel Metzger, LL.M., und RA Jörg Wimmers, LL.M., auf RA Dr. Holger Lutz, LL.M., Frankfurt/M., und Prof. Dr. Thomas Wilmer, Frankfurt/M., überging.
249
Veronika Fischer
V. Publikationen 1. Stellungnahmen der DGRI 33 Im Jahr 2015 wurden drei Stellungnahmen erarbeitet. –
–
–
Die DGRI nahm an der Verbändeanhörung zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (BT-Drucksache 18/4096) teil. Die Stellungnahme wurde vom Fachausschuss Datenschutz erarbeitet und nimmt Artikel 4 (Änderung des TMG-Gesetzes) und Artikel 5 (TKG-Änderung) des Regierungsentwurfs aus datenschutzrechtlicher Perspektive in den Blick. Die Stellungnahme konstatiert Begriffsungenauigkeiten und Widersprüche zu bestehenden Regelungen in TMG und BDSG und schlägt Ergänzungen zu Art. 5 des IT-SiG vor. Eine zweite Stellungnahme befasste sich mit dem Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei. Der Entwurf ist im April 2014 auf Initiative Hessens vom Bundesrat eingebracht worden (BTDrucksache 18/1288). Im Mai 2015 wurde ein Referentenentwurf zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten vorgelegt. Teil dessen war die Schaffung eines neuen § 202d StGB zur Datenhehlerei. Der Fachausschuss Strafrecht befasste sich mit der materiell- und prozessrechtlichen Seite des Referentenentwurfs und gelangte zu dem Ergebnis, dass die Schaffung eines neuen Paragraphen 202b StGB zur Datenhehlerei abzulehnen ist. In einer weiteren Stellungnahme vom 21.12.2015 hat sich die DGRI im Rahmen der Verbändeanhörung des Bundesministeriums der Justiz und für Verbraucherschutz zum Referentenentwurf eines Gesetzes zur verbesserten Durchsetzung des Anspruchs der Urheber und ausübenden Künstler auf angemessene Vergütung vom 5.10.2015 geäußert. Die Stellungnahme wurde in Zusammenarbeit der Fachausschüsse Softwareschutz und Vertragsrecht erarbeitet und nimmt das in § 40a UrhG-E enthaltene Rückrufrecht wegen anderweitiger Nutzung in den Blick. Sie gelangt zu dem Ergebnis, dass der Normvorschlag für den Bereich Computerprogramme und Datenbanken weder die Interessen der Urheber noch der Softwareindustrie angemessen berücksichtigt und daher abzulehnen ist.
34 Alle Stellungnahmen sind in diesem Band abgedruckt oder nachzulesen unter www.dgri.de, dort in der Rubrik „Stellungnahmen“.
250
DGRI Jahreschronik 2015
2. Journal of Intellectual Property, Information Technology and E-Commerce Law (JIPITEC) Nach Auslaufen der Anschubfinanzierung durch die Deutsche For- 35 schungsgemeinschaft (DFG) hat die Deutsche Gesellschaft für Recht und Informatik e. V. (DGRI) die Förderung der JIPITEC übernommen. Das Journal of Intellectual Property, Information Technology and E-Commerce Law (JIPITEC) ist ein peer-reviewtes (double blind) Open Access Journal. Herausgegeben von bislang sechs Herausgebern aus unterschiedlichen EU-Mitgliedstaaten bietet JIPITEC ein Forum für die tiefergehende Analyse aktueller Fragen des Rechts des geistigen Eigentums, der Informationstechnologie und des E-Commerce. Das Hauptaugenmerk liegt dabei auf dem Europäischen Recht. Ziel der Kooperation zwischen DGRI und JIPITEC ist es, die internatio- 36 nale Ausrichtung der Gesellschaft zu stärken. Über die Zeitschrift soll auch die Zusammenarbeit mit den IT-Rechtsgesellschaften der anderen EU-Mitgliedstaaten vertieft werden. Zum Journal of Intellectual Property, Information Technology and E- 37 Commerce Law (JIPITEC): www.jipitec.eu. VI. Schlichtungsstelle IT der DGRI Die Schlichtungsstelle IT ist seit 1.1.2015 unter neuer Leitung an der 38 Humboldt-Universität zu Berlin angesiedelt. Der Leiter der Schlichtungsstelle Prof. Dr. Axel Metzger betreut zusammen mit seinem Vorgänger, Prof. Dr. Jürgen W. Goebel, auch den Fachausschuss Schlichtung. VII. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt Die gemeinsame Veranstaltungsreihe mit dem Verlag Dr. Otto Schmidt 39 wurde 2015 mit folgenden Veranstaltungen fortgesetzt: –
Den Auftakt bildeten am 19./20.3.2015 die Kölner Tage zum ITRecht. Unter der Tagungsleitung von Prof. Dr. Axel Metzger und Prof. Dr. Fabian Schuster nahm die Tagung die IT-rechtlichen Risiken in Unternehmen in den Blick. Themen waren das „Recht auf Vergessen werden“, Leistungsbeschreibungen für Software, Wer trägt die „Einund Ausbaukosten“ beim Erwerb von IT?, Vor- und nachvertragliche Pflichten beim IT-Vertrag, Teilerfüllung von IT-Leistungen, Typische Rechtsmängel bei Open-Source-Komponenten, Rechtsdurchsetzung und Missbrauch sowie IT-Sicherheit als Compliance-Pflicht.
251
Veronika Fischer
– – –
–
Am 9.11.2015 referierte Dr. Till Kreutzer in Köln zu Open Source Compliance. Am 13.11.2015 ging es bei Dr. Marc Hilber, LL.M., in Köln um Rechtsfragen des Cloud Computing. Die technische Entwicklung und rechtlichen Rahmenbedingungen von mobilen Apps behandelten Constantin Ewald und Tobias Haar, LL.M., am 30.11.2015 in München. Neu im Programm sind Updates zum IT- und Softwarerecht. Das Update IT-Recht fand am 9.12.2015 in Köln mit Prof. Dr. Fabian Schuster und Dr. Michael Karger statt. Am 19.2.2016 folgte in Köln das Update Softwarerecht mit Michael Intveen und Prof. Dr. Jochen Schneider.
VIII. Sonstige Veranstaltungen 40 Am 8.6.2015 fand in Potsdam das internationale Symposium „Informationsfreiheit und die Wirtschaft – zwei Welten?“ statt, organisiert von der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg in Zusammenarbeit mit der DGRI. Das Symposium wurde in deutscher und in englischer Sprache mit Simultanübersetzung abgehalten. IX. Preise und Auszeichnungen 41 Den Wissenschaftspreis der Deutschen Stiftung für Recht und Informatik (DSRI) 2015 erhielt Dr. Barbara Sandfuchs, Universität Passau. Der Preis ist dotiert mit 2.000 Euro und wird für eine herausragende Dissertation oder Habilitationsschrift auf dem Gebiet des Informationsrechts oder der Rechtsinformatik vergeben. Das Preisgeld wird von der DGRI zur Verfügung gestellt. 42 Dr. Sandfuchs setzt sich in ihrer Arbeit mit der informationellen Preisgabe personenbezogener Daten auseinander. Sie beschäftigt sich nicht nur mit dem deutschen, sondern auch mit dem US-amerikanischen Verfassungsrecht und analysiert, wie die „informationelle Preisgabe“ zu verhindern ist. Eine Zusammenfassung ihrer Dissertation ist in diesem Band enthalten. X. Wissenswertes aus der DGRI 1. Mitgliederentwicklung 43 Per 31.12.2015 belief sich die Zahl der Mitglieder auf 719, davon 684 Einzelmitgliedschaften und 35 Firmenmitgliedschaften. 252
DGRI Jahreschronik 2015
2. Vorstand In der Mitgliederversammlung am 20.11.2015 in Stuttgart wurde Prof. 44 Dr. iur. Dipl.-Biol. Herbert Zech in den Vorstand gewählt. Prof. Zech hat an der Universität Basel die Professur für Life Sciences Recht und Immaterialgüterrecht inne. Er folgt auf Prof. Dr. Axel Metzger, Humboldt-Universität zu Berlin. Die DGRI dankt Prof. Metzger für seinen engagierten Einsatz im Vorstand und freut sich, dass Prof. Metzger sein Engagement als Leiter der Schlichtungsstelle IT fortsetzen wird. Auch dafür sei ihm ganz herzlich gedankt. Für eine weitere Amtsperiode wiedergewählt wurden die Vorstandsmit- 45 glieder Dr. Matthias Baumgärtel, Prof. Dr. Peter Bräutigam und RA Jörg Wimmers, LL.M. 3. Beirat Dr. Julia Beck wurde vom Vorstand für eine weitere Amtsperiode in den 46 Beirat berufen. 4. Geschäftsstelle Im Februar 2015 übernahm RAin Veronika Fischer, Karlsruhe, die Ge- 47 schäftsführung von Prof. Dr. Rupert Vogel, nachdem sie bereits seit Juli 2014 in der Geschäftsstelle als deren Leiterin mitgearbeitet hatte. Die Geschäftsstelle bleibt in den Kanzleiräumen von Vogel & Partner Rechtsanwälte mbB ansässig. Prof. Vogel gilt für seinen langjährigen engagierten Einsatz ein besonderer Dank. Die Geschäftsstelle war auch in 2015 Ansprechpartner in allen Organisa- 48 tionsfragen sowie für die Kooperationspartner und Sponsoren der DGRI. Sie organisiert federführend das Drei-Länder-Treffen und die Jahrestagung, kümmert sich um die Buchhaltung und die Mitgliederverwaltung sowie die Pflege und Aktualisierung der Website und informiert die Mitglieder per Rundschreiben über die aktuellen Veranstaltungen der DGRI und ihrer Kooperationspartner. Daneben wurde in 2015 das Lastschriftverfahren auf SEPA umgestellt 49 und die Mitgliedsbeiträge erstmalig per SEPA-Lastschriftmandat eingezogen. Eine Neuerung auf der Website der DGRI ist die Rubrik für Stellenausschreibungen der Mitglieder.
253
Herbert Fiedler bleibt unvergessen! Alfred Büllesbach* Herbert Fiedler, Dr. jur. Dr. rer.nat., emeritierter ordentlicher Professor 1 für Juristische Informatik, Allgemeine Rechtslehre und Strafrecht an der Rechts- und Staatswissenschaftlichen Fakultät der Rheinischen Friedrich-Wilhelms-Universität Bonn verstarb im Oktober 2015 im Alter von über 86 Jahren. Fiedler studierte Rechtswissenschaft, Mathematik, mathematische Lo- 2 gik und Physik. 1955 promovierte ihn die Universität Göttingen zum Dr. jur. und die Universität Münster 1962 zum Dr. rer.nat. 1969 legte er die Habilitationsschrift über „Die Bestimmtheit der gesetzlichen Straftatbestände als methodisches und verfassungsrechtliches Problem“ der rechtswissenschaftlichen Fakultät der Universität Köln vor. Seit 1970 übte er neben seiner Universitäts-Professur bis zu seiner Emeritierung 1994 verschiedene Leitungsfunktionen in der Gesellschaft für Mathematik und Datenverarbeitung (GMD), St. Augustin aus (seit März 2005: Forschungszentrum Informationstechnik GmbH; seit 2000/2001 in die Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e. V. integriert). Prof. Fiedler war seit 1972 Mitglied der Gesellschaft für Informatik e. V. (GI) und Sprecher verschiedener einschlägiger Fachgliederungen (Informatik/Recht/öffentliche Verwaltung), er wirkte durch seine Mitgliedschaften und Funktionen insbesondere in der International Federation for Information Processing (IFIP) und in der Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI) mit. Prof. Dr. Dr. Fiedler war ein aktiver Pionier, kreativer Gestalter und ideen- 3 reicher Innovator dem das Verdienst gebührt, als Strafrechtler (neben Ulrich Klug, Adalbert Podlech, Spiros Simitis und Wilhelm Steinmüller) Begründer der Rechtsinformatik zu sein. Seine frühen Veröffentlichungen (ab 1962) beschäftigten sich mit den 4 Themen Rechenautomaten als Hilfsmittel der Gesetzesanwendung (DRV 1962, 149 ff.), Probleme der elektronischen Datenverarbeitung in der öffentlichen Verwaltung (DRV 1964, 40 ff.), Juristische Logik in mathematischer Sicht, (ARSP 1966, 93 ff.), Forschungsaufgaben der Juristischen
*
Alfred Büllesbach, Prof. Dr. jur. Dipl. sc. pol.; Vorsitzender der DGRI von 1999 bis 2005; Vorsitzender des Stiftungsrates der Deutschen Stiftung für Recht und Informatik (DSRI).
255
Alfred Büllesbach
Informatik, (in: Kaufmann Arthur (Hrsg.) Münchner Ringvorlesung EDV und Recht – Möglichkeiten und Grenzen, Berlin 1973, 229 ff.) 5 Erste Konzepte zur Rechtsinformatik entstanden ab 1970 (Automatisierung im Recht und juristische Informatik, JuS 1970/71). In dieser Zeitepoche entstanden Gesetzgebungsvorhaben zum Datenschutz in Bund und Ländern sowie die sich expandierende Rechts- und Verwaltungsautomation (z. B. Automationsunterstützung der Justiz, u. a. des Grundbuches, des Einwohnerwesens, juristische Dokumentation, ADV-Gesetze und ADV-Ausschüsse). 6 1972 erschien der Bericht der Projektgruppe „Das Juristische Informationssystem – Analyse, Planung, Vorschläge“, hrsg. vom BMJ. Projektleitung hatten Dr. Josef Fabry (BMJ), Prof. Dr. Dr. Herbert Fiedler (GMD) und Dr. Friedrich Gebhardt (C-E-I-R). Fiedler hatte für die GMD dieses Projekt 1970 übernommen und legte ein Konzept für ein neuartiges Dokumentations- und Recherchesystem vor. Heute ist es als OnlineRechtsinformationssystem „juris“ mindestens jedem Juristen bekannt und wird umfangreich genutzt. 7 Herausragende wissenschaftliche Bedeutung erwarb sich Fiedler in dieser Zeit darüber hinaus auch durch seine fünfteilige Aufsatzreihe (Juristische Schulung 1970/71) „Automatisierung im Recht und juristische Informatik“. Sie befasste sich im 1. Teil mit „Grundbegriffe der elektronischen Informationsverarbeitung in ihrer juristischen Anwendung“ (JuS 1970, 432 ff.), im 2. Teil mit „Datenverarbeitung und Automatisierung in der öffentlichen Verwaltung“ (JuS 1970, 552 ff.), im 3. Teil mit „Elektronische Rechtsdokumentation und juristische Informationssysteme“ (JuS 1970, 603 ff.), im 4. Teil mit „Datenverarbeitung als Hilfsmittel für Gesetzgebung und Rechtspflege“ (JuS 1971, 67 ff.) und im 5. Teil mit „Perspektiven der Automatisierung im Recht und der juristischen Informatik“ (JuS 1971, 228 ff.). 8 Bis ins hohe Alter war Herbert Fiedler unermüdlich engagiert sowie wissenschaftlich und publizistisch tätig. Er nahm prononciert Stellung zu Datenschutz und Gesellschaft, automationsgerechte Rechtssetzung in der Gesetzgebungstheorie, zur Sprachverarbeitung in juristischen Dokumentationssystemen und zur Entwicklung von Datenschutz zum Informationsrecht. Die Darstellung ließ sich umfangreich fortführen bis hin zur Problemstellung der Dualität von Rechtsinformatik und Informationsrecht und aktuell zu Rechtsproblemen des Cyberspace. 9 Herbert Fiedler leitete seit der Annahme des Rufes als ordentlicher Professor an die Rechts- und Staatswissenschaftliche Fakultät der Rheinischen Friedrich-Wilhelms-Universität, Bonn auch die damals neu ge256
Herbert Fiedler bleibt unvergessen!
gründete Forschungsstelle für Juristische Informatik und Automation (FJI) der GMD. Durch diese Verbindung war es möglich, Forschungsvorhaben für juristische Informatik und Automation zwischen der Universität und der Großforschungseinrichtung fruchtbar zu bündeln. Neben seinen vielfältigen Publikationen und Forschungstätigkeiten war 10 Prof. Fiedler Herausgeber der Schriftenreihe EDV und Recht (EDVR), der Arbeitspapiere Rechtsinformatik (ARI) und Mitherausgeber von Datenverarbeitung im Recht – Beihefte (DVR-BH), alle im J. Schweitzer-Verlag, München. Durch sein hohes Engagement trug er mit dazu bei, dass 1976 in Deutsch- 11 land erstmalig eine Gesellschaft für Rechts- und Verwaltungsinformatik e. V. (GRVI) mit Herrn Prof. Dr. Wolfgang Kilian als 1. Vorsitzenden gegründet wurde. Aus der GRVI e. V. und der DGIR e. V. entstand im Jahr 1992 die DGRI e. V. Prof. Dr. Dr. Herbert Fiedler gehörte zu den ersten Mitgliedern des Beirates der DGRI. Er hat im Auftrag der DGRI in der Schriftenreihe „Informationstechnik und Recht“ 2 Bände herausgegeben, „Rechtsprobleme des elektronischen Publizierens“, Bd. 3, 1992 und zusammen mit Prof. Hanns Ullrich, „Information als Wirtschaftsgut – Management und Rechtsgestaltung“. Bd. 5, 1997. Herr Professor Dr. jur. Dr. rer. nat. Herbert Fiedler hat die Entwicklung 12 der Rechtsinformatik, des Informationsrechts sowie deren synergetische Vernetzung und Integration über fünf Jahrzehnte herausragend geprägt. Die DGRI ernannte Professor Fiedler 2008 durch die Mitgliederversammlung zum Ehrenmitglied (s. hierzu die Würdigung durch Prof. Dr. Dirk Heckmann, „Vermittler zwischen den Welten – Prof. Dr.jur. Dr. rer. nat. Herbert Fiedler im Porträt“ in: Brandi-Dohrn/Heckmann Hrsg. Jahrbuch 2008, Schriftenreihe der DGRI, Bd. 18, 2009, 159–166). Die Gesellschaft für Recht und Informatik trauert um ihr hoch ver- 13 dienstvolles Mitglied. Die DGRI wird Herrn Professor Dr. jur. Dr. rer. nat. Herbert Fiedler in 14 würdiger Erinnerung und als glaubwürdiges Vorbild für nachfolgende Juristengenerationen ehren.
257
Fachausschuss Arbeitsrecht: Jahresbericht 2015 Welche Auswirkungen haben EU-DS-GVO und Arbeit 4.0 auf die Arbeitspraxis? Britta Alexandra Mester* Im Jahr 2015 waren vor allem die EU-Datenschutz-Grundverordnung 1 und ihre Auswirkung auf die automatisierte Arbeitswelt bestimmend für die in der Öffentlichkeit wahrzunehmenden Auseinandersetzungen. Hintergrund ist die geplante Vereinheitlichung des Datenschutzrechts für alle Mitgliedstaaten der Europäischen Union (EU) mithilfe einer gemeinsamen europäischen Datenschutz-Grundverordnung (DS-GVO). In diesem Zusammenhang wurde wieder einmal die Frage aufgeworfen, welchen Einfluss ein geändertes Datenschutzrecht auf den Arbeitnehmerdatenschutz hat und inwieweit es eigener Regeln bedarf. Daneben traten die Diskussionen zur ständig fortschreitenden Digitalisierung von Arbeitsplätzen und deren Einfluss auf die Arbeitswelt fast ein wenig in den Hintergrund. Doch auch Fragen zu neuen Arbeitsformen (beispielsweise „Crowd- und Clickwork“, bei denen Beschäftigte unter Einsatz moderner Medien nur noch nach Stunden, Projekten und Ergebnissen bezahlt werden) müssen dringend näher betrachtet und die Möglichkeit einer rechtskonformen Umsetzung in den Unternehmen geprüft werden. Hinzu kommen die immer noch relevanten Themenbereiche der Kontrolle von Mitarbeiterinnen und Mitarbeitern im Betrieb sowie den vielfältigen Fragen zur Mitbestimmung vorhandener Interessenvertretungen bei Einführung neuer bzw. Änderung vorhandener elektronischer Hilfsmittel. Anliegen des Fachausschuss Arbeitsrecht ist es seit einigen Jahren sich 2 mit diesen sowie anderen aktuellen und für die Unternehmenspraxis relevanten Themen aus dem Arbeitsrecht auseinanderzusetzen. Der Einsatz hochentwickelter Technik im Unternehmen war daher wesentlicher Gegenstand bisheriger Ausschusstreffen. Die Möglichkeit der Mitglieder, sich mit den für ihren Bereich praktischen Problemen auseinanderzusetzen, war dabei ein wesentliches Anliegen der angebotenen Treffen, bei denen die Vorträge der eingeladenen Fachreferenten den Teilnehmerinnen bzw. Teilnehmern die Möglichkeit boten, sich mit der entsprechenden Thematik vertraut zu machen und sich das jeweilige Fachwissen
*
Dr. Britta Alexandra Mester, Universität Oldenburg.
259
Britta Alexandra Mester
anzueignen. Durch die sich anschließenden Diskussionen bestand die Möglichkeit das bereits vorhandene Wissen bzw. praxisrelevante Situationen mit anderen auszutauschen und die sich daraus ergebende Fragen mit dem Referenten oder den anderen Zuhörerinnen bzw. Zuhörern zu erörtern. 3 In diesem Zusammenhang zeigte sich, dass der Einsatz moderner Technik in allen Bereichen des Arbeitsalltags ein zunehmend rechtliches aber auch sicherheitstechnisches Problem der jeweiligen Unternehmen darstellt, für das der Einsatz eigener bzw. dienstlicher Smartphones, Laptops, Tablets nur als eine beispielhafte Aufzählung dienen kann. Aufgrund der zunehmenden Digitalisierung der Arbeitswelt gibt es eine Vielzahl an individual- und kollektivarbeitsrechtlichen sowie sicherheitstechnischen Fragen zu klären. Die technischen und rechtlichen Schwierigkeiten beim Einsatz der Technik werden daher auch weiterhin ein zu verfolgendes Thema des Fachausschusses Arbeitsrecht sein. 4 Ein diesjähriges Treffen des Fachausschusses Arbeitsrecht ist für die zweite Jahreshälfte 2016 geplant. Anregungen und Themenvorschläge werden gerne entgegengenommen und können zum Gegenstand von Treffen gemacht werden.
260
Fachausschuss Datenschutz: Jahresbericht 2015 Robert Selk*/Sibylle Gierschmann**
1. Stellungnahmen
3. Gesetzliche Entwicklungen
2. Arbeitssitzungen
4. Ausblick
1. Stellungnahmen Im Jahr 2015 verfasste der Fachausschuss eine Stellungnahme zum Ge- 1 setzesentwurf zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz; BT-Drucks. 18/4096) im Rahmen der Verbändeanhörung durch das Bundesministerium des Innern. Kern des Artikel-Gesetzes ist zum einen die Sicherstellung der Einhal- 2 tung von gewissen Standards im Rahmen der IT-Sicherheit bei Betreibern sog. kritischer Infrastrukturen. Zum anderen werden den Betreibern Meldepflichten bei Störungen ihrer informationstechnischen Systeme gegenüber dem Bundesamt für Informationssicherheit (BSI) auferlegt. Im Fokus der Stellungnahme standen die datenschutzrechtlichen Vorschriften im Telemediengesetz und Telekommunikationsgesetz. Kritisiert wurden in diesem Zusammenhang diverse Unstimmigkeiten und Begriffsungenauigkeiten. Inzwischen ist das IT-Sicherheitsgesetz verabschiedet und wird am 14.8.2016 in Kraft treten (BGBl. 2015 I, 1324). Nach wie vor haben aber wesentlichen Kritikpunkte Bestand, insbesondere: –
Es ist nicht sachgerecht, die Verpflichtungen des IT-Sicherheitsgesetzes über § 13 Abs. 7 TMG auf sämtliche Diensteanbieter auszudehnen.
–
Unklar ist, ob die Formulierung „technisch möglich und wirtschaftlich zumutbar“ eine subjektive Komponente beinhaltet. Ist also die von einem finanziell klammen Diensteanbieter verbreitete Schadsoftware „weniger schlimm“?
–
Es ist offen, was der Einschub „im Rahmen ihrer jeweiligen Verantwortlichkeit“ in Bezug auf die Diensteanbieter meint. Geht es hier um die Verantwortlichkeit einer „verantwortlichen Stelle“ im daten-
*
Dr. Robert Selk, LL.M., Rechtsanwalt, Fachanwalt für IT-Recht (Leiter des Fachausschusses). ** Dr. Sibylle Gierschmann, LL.M., Rechtsanwältin, Fachanwältin für Urheberrecht (Co-Leiterin des Fachausschusses).
261
Robert Selk/Sibylle Gierschmann
schutzrechtlichen Sinne oder um den für die Inhalte Verantwortlichen im Sinne der §§ 7 ff. TMG? –
Ein Angleich der Begrifflichkeiten an das Datenschutzrecht wäre wünschenswert gewesen, z. B. „technische und organisatorische Maßnahmen“ und nicht „technische und organisatorische Vorkehrungen“.
–
Der Begriff der Sicherung gegen „Störung“ ist unglücklich, da nicht jede Störung eines Telemediums negative Auswirkungen haben muss.
–
Insgesamt bleibt fraglich, ob es der Regelung des § 13 Abs. 7 TMG überhaupt bedarf, da § 9 BDSG bereits sämtliche Vorgaben enthält und dies sogar umfassender regelt.
–
Meldepflichten sind nur für Telekommunikationsunternehmen vorgesehen. Hier wäre wünschenswert gewesen, wenn quantifiziert worden wäre, wann eine kritische Einschränkung der Verfügbarkeit vorliegt.
3 Die Stellungnahme wurde in zusammengefasster Form zudem als Beitrag in der CR veröffentlicht. 2. Arbeitssitzungen 4 Am 4.12.2015 fand die jährliche Arbeitskreissitzung des Fachausschusses statt. Unter der Moderation von RA Dr. Robert Selk und RAin Dr. Sibylle Gierschmann hat zunächst Dr. Eugen Ehmann (Regierungsvizepräsident Regierung von Mittelfranken) zur „EU-Datenschutz-Grundverordnung: Ein Blick auf die (dann) aktuelle gesetzgeberische Situation“ vorgetragen und alle Anwesenden auf den neuesten Stand der Verhandlungen gebracht. Anschließend gab Frau Alexandra Buchberger (Legal & Corporate Affairs, Microsoft Deutschland GmbH) zum Thema „Cloud Services, Datenschutz und Erfahrungen mit der Art. 29 Gruppe“ wichtige Einblicke zur Zusammenarbeit mit der Artikel-29-Datenschutzgruppe im Bereich Cloud-Services und international Datentransfers. Abgerundet wurde die Veranstaltung durch einen sehr interessanten Vortrag von RAin Zander-Hayat (Leiterin Marketing und Recht, Verbraucherzentrale NRW e. V.) zum Thema „Datenschutz, Verbraucherschutz und UKlaG“, welcher einen Ausblick auf die mögliche Tätigkeit der Verbraucherzentralen im Datenschutzrecht gab.
262
Fachausschuss Datenschutz: Jahresbericht 2015
3. Gesetzliche Entwicklungen Das Jahr 2015 stand ganz im Zeichen der Trilog-Verhandlungen zur EU- 5 Datenschutz-Grundverordnung und dem Safe Harbor-Urteil des Europäischen Gerichtshofs vom 6.10.2015 (C-362/14). Das mit Spannung erwartete EuGH-Urteil hat – für viele überraschend – 6 nicht nur die Safe Harbor-Entscheidung der EU-Kommission 2000/520/ EG für nichtig erklärt, sondern weitgehende Ausführungen zu Anforderungen an ein angemessenes Datenschutzniveau in Drittländern gemacht. Hier geht es vor allem um die Randnummer 94 Urteils, in welcher der Gerichtshof – vor dem Hintergrund der sog. Snowden-Enthüllungen zu Datenzugriffen der NSA – ausführt, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der EU-GrundrechteCharta garantierten Grundrechts auf Achtung des Privatlebens eingreift. Ferner um Randnummer 95, in welcher der Gerichtshof feststellt, dass amerikanisches Recht keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken. Dies verletze den Wesensgehalt des in Art. 47 der EU-Grundrechte-Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Die Aufsichtsbehörden in Deutschland und Europa haben zu diesem 7 Urteil unverzüglich Stellung genommen und den Unternehmen eine Frist zur Umstellung der Datentransfers auf andere Instrumentarien (z. B. die sog. Standardvertragsklauseln) bis Ende Januar 2016 gesetzt. Gleichzeitig sind auf EU-Kommissions-Ebene die Verhandlungen mit den USA zur Erneuerung der Safe Harbor-Regeln mit Hochdruck vorangetrieben worden. In Bezug auf die EU-Datenschutz-Grundverordnung gab es am 15.12.2015 8 eine politische Einigung zwischen EU Parlament, Ministerrat und Europäischer Kommission. Dabei sind noch einige Änderungen in der Verordnung aufgenommen worden, insbesondere im Hinblick auf die Rechenschaftspflichten von Unternehmen, aber auch im Hinblick auf internationale Datentransfers. 4. Ausblick Am 1.8.2016 ist das neue EU-USA Privacy Shield, die Nachfolge-Rege- 9 lung zu Safe Harbor, in Kraft getreten. Die Verhandlungen waren alles andere als einfach, da sich die europäischen Datenschutzbehörden, trotz weit reichender Änderungen gegenüber Safe Habor, in einer Stellung263
Robert Selk/Sibylle Gierschmann
nahme der Artikel-29-Datenschutzgruppe sehr kritisch geäußert haben. Gleichzeitig haben die Aufsichtsbehörden angemerkt, dass auch die sog. Standardvertragsklauseln vor dem Hintergrund der Ausführungen des EuGH in Sachen „Safe Harbor“ auf den Prüfstand gestellt werden müssen. Die irische Aufsichtsbehörde, unter anderem zuständig für Facebook, hat sich bereits dahingehend geäußert, dass man den EuGH nunmehr mit den Standardvertragsklauseln befassen wolle. Es bleibt abzuwarten, wie sich dies politisch weiter entwickelt. 10 Die EU-Datenschutz-Grundverordnung ist ein Paradigmenwechsel im Datenschutzrecht. Sie wird den Datenschutz in Europa in weiten Teilen vereinheitlichen. Die Unternehmen sind nunmehr vor die Aufgabe gestellt die nach der Verordnung bestehenden Anforderungen bis 25.5.2018, wenn die Vorschriften direkte Anwendung finden, in die Tat umzusetzen. Insbesondere gilt es neue Konzepte, wie z. B. das Privacy by Design and Default oder das Privacy Impact Assessment, im Unternehmensalltag zu implementieren. Die hohen Bußgelder von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes, werden sicherlich den Druck erhöhen, den Datenschutz in das Risikomanagement des Unternehmens mit einzubeziehen und sich baldmöglichst mit den neuen Änderungen zu beschäftigen. Gleichzeitig stehen die nationalen Gesetzgeber vor der Aufgabe das nationale Datenschutzrecht anzupassen. Hier ist bereits in den nächsten Monaten mit einem ersten Referentenentwurf zu rechnen. Ferner müssen sich die Aufsichtsbehörden auf ihre neuen Aufgaben vorbereiten. In Bezug auf Deutschland bleibt insoweit spannend, wer die Bundesrepublik im Europäischen Datenschutzausschuss vertritt. 11 In Bezug auf das IT-Sicherheitsgesetz wird nunmehr zu evaluieren sein, ob weitere Anpassungen aufgrund der sog. NIS-Richtlinie erforderlich sind. 12 Der Fachausschuss wird diese spannenden Entwicklungen auch weiterhin im Rahmen von Stellungnahmen und Fach-Veranstaltungen begleiten.
264
Fachausschuss Firmenjuristen: Jahresbericht 2015 Roland Bömer* Mitglieder dieses Fachausschusses sind mehr als 130 Firmenjuristen, die 1 in Unternehmen der IT-, Telekommunikations- und Neue-Medien-Branche tätig sind. Der Fachausschuss beschäftigte sich im Jahre 2015 mit aktuellen recht- 2 lichen Fragen der IT-, Telekommunikations- und Neue-Medien-Branche sowie mit konkreten juristischen Fallgestaltungen, die insbesondere Firmenjuristen betreffen (wie z. B. E-Commerce, Gestaltung von elektronischen Vertriebswegen, Urheberrecht, Sicherheit der elektronischen Zahlung, moderne Gestaltung von flexiblen Arbeitszeitmodellen, Datenschutz, etc.). Darüber hinaus diskutierten die Mitglieder dieses Fachausschusses praktische und organisatorische Probleme, die sich in der täglichen Arbeit eines Firmenjuristen stellen (z. B. neues Syndikusanwalts-Gesetz, Einsatz technischer Hilfsmittel in der Rechtsabteilung, Outsourcing von Legal Services, Verbot privater Emails am Arbeitsplatz, Flexibles Büro und Home Office, etc.). Die Höhepunkte des Fachauschusses im Jahre 2015 waren die beiden 3 Arbeits-Treffen, die jeweils von ca. 30–40 Mitgliedern besucht wurden: 1. am 24.4.2015 bei der E.ON in Düsseldorf, mit folgenden Themen: –
Begrüßung der Teilnehmer & Vorstellung der Agenda, moderiert von Uwe Schmid, Center of Competence Legal, E.ON SE;
–
Center of Competence Legal. Kann Effizienz Spaß machen?, Referat von Tim Schwarting, Leiter des Center of Competence Legal, E.ON SE;
–
Kooperation der Rechtsabteilung mit externen Kanzleien: „Ziemlich beste Freunde und alles aus einer Hand oder lieber zum Spezialisten“, Referat von Thomas Müller, Director Legal Europe, SITA;
–
Getting to know E.ON Global Commodities and visit on the Trading floor, Besuch des E.On Dispatch Centers Besuch eines Energy Trading Arbeitsplatzes, moderiert von Damian Bunyan, Vorstand bei der E.ON Global Commodities SE;
*
Dr. Roland Bömer, Rechtsanwalt & Wirtschaftsmediator (IHK), EMEA General Counsel – Red Hat GmbH.
265
Roland Bömer
–
Rechtlicher Status – Syndikusanwalt: aktueller Stand und Perspektiven (Konsequenzen der BSG-Urteile vom 3.4.2014), Referat von Dr. Philipp Voet van Vormizeele, SVP – Head of Legal/General Counsel, Outokumpu;
–
Diskussion der Teilnehmer über andere aktuelle Themen.
–
Zusammenfassung & Ausblick, moderiert von RA Dr. Roland Bömer, EMEA General Counsel, Red Hat GmbH.
2. am 13.11.2015 bei der Océ Printing Systems GmbH & Co. KG in Poing (bei München), mit folgenden Themen: –
Einführung und Begrüßung der Teilnehmer, moderiert von RA Dr. Peter Köhler, Leiter der Rechtsabteilung der Océ Printing Systems GmbH & Co. KG;
–
Automatisierung von Prozessen in der Rechtsabteilung, Referat von RA Alexander Eichler, ex Legal, IBM & SalesForce;
–
Data Driven Business and Cloud Computing at Siemens, Referat von RA Tobias Lange, Legal and Compliance, Siemens AG;
–
Getting to know Océ/Canon“ – Besuch des Customer Experience Center geführt von RA Dr. Peter Köhler, Leiter der Rechtsabteilung der Océ Printing Systems GmbH & Co. KG;
–
Safe Harbor-Urteil des EuGH vom 6.10.2015 – was ist jetzt zu tun? Referat von RA Dr. Wulf Kamlah, Chefsyndikus SCHUFA Holding AG
–
Diskussion der Teilnehmer über andere aktuelle Themen.
–
Zusammenfassung & Ausblick, moderiert von RA Dr. Roland Bömer, EMEA General Counsel, Red Hat GmbH.
4 Neben den beiden genannten Arbeits-Treffen waren die Mitglieder dieses Fachausschuss in regelmäßigem Email-Kontakt zu aktuellen Themen. Insbesondere zum Gesetzgebungsprozesses zur Neuregelung des Rechts der Syndikusanwälte tauschten die Mitglieder intensiv ihre Meinung aus. 5 Die Mitglieder des Fachausschusses Firmenjuristen bedanken sich beim Vorstand der DGRI noch einmal dafür, dass Ihnen durch diesen Fachausschuss ein Forum exklusiv für Kolleg(inn)en mit nachgewiesener Tätigkeit in Unternehmen geboten wird.
266
Fachausschuss Internet und eCommerce: Jahresbericht 2015 Holger Lutz*/Thomas Wilmer**
1. Neue Leitung des Fachausschusses Im letzten Geschäftsjahr wurde die Leitung des Fachausschusses Inter- 1 net und eCommerce von Prof. Dr. Axel Metzger, LL.M. (Harvard) und Jörg Wimmers, LL.M. auf Dr. Holger Lutz, LL.M. und Prof. Dr. Thomas Wilmer übertragen, die den Fachausschuss unter gemeinsamer Leitung fortführen. 2. Sitzung des Fachausschusses am 29.6.2016 in Frankfurt/Main Für das Geschäftsjahr 2016 ist eine Sitzung des Fachausschusses zum 2 Thema „Auswirkungen der Datenschutz-Grundverordnung auf Internet & eCommerce“ geplant. Als Referenten werden Frau Rechtsanwältin Dr. Michaela Weigl, Baker & McKenzie, Frankfurt/Main und Herr Rechtsanwalt Dr. Carsten Ulbricht, M.C.L., Bartsch Rechtsanwälte, Stuttgart auftreten. Der Vortrag von Frau Dr. Weigl wird einleitend die neue Datenschutz- 3 Grundverordnung (2016/679) vorstellen und hierbei insbesondere auf die Auswirkungen der Datenschutz-Grundverordnung auf den Bereich Internet & eCommerce eingehen. Anhand konkreter Fallbeispiele werden vor allem Änderungen zur gegenwärtigen Rechtslage dargestellt, die von Unternehmen ab dem 25.5.2018 (an dem die Datenschutz-Grundverordnung Geltung erlangt) zu beachten sind. Herr Dr. Ulbricht wird auf die für Unternehmen im Zusammenhang mit 4 Internet & eCommerce besonders relevanten Themen Big Data, Customer Relationship Management & Co – heute und nach Einführung der Datenschutz-Grundverordnung eingehen. Auch im Rahmen dieses Vortrages werden die durch die Datenschutz-Grundverordnung zu erwartenden Änderungen der aktuellen Rechtslage an konkreten Fallbeispielen besonders hervorgehoben. * Dr. Holger Lutz, LL.M., Rechtsanwalt, Baker & McKenzie, Frankfurt/Main. ** Prof. Dr. Thomas Wilmer, Institut für Informationsrecht, Hochschule Darmstadt.
267
Fachausschuss Outsourcing: Jahresbericht 2015 Outsourcing bei Finanzinstituten Thomas Thalhofer* Im Jahre 2015 hat sich der Fachausschuss ganz besonders dem Spezial- 1 thema des Outsourcings bei Banken und Finanzinstituten gewidmet. Am 27.11.2015 fand in den Räumen der Kanzlei Heymann & Partner in 2 Frankfurt die Sitzung des Fachausschusses Outsourcing der Deutschen Gesellschaft für Recht und Informatik (DGRI) für das Jahr 2015 statt. Die Sitzung stand unter dem Thema „Auslagerungen im Banken- und Finanzsektor – aktuelle Trends und Beobachtungen“. Die Anforderungen an Auslagerungen und die zugrunde liegenden Ver- 3 träge sind – insbesondere durch die im Nachgang zur Finanzkrise deutlich intensivierte Prüfungspraxis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) – stetig gestiegen. Hinzu kommen strengere rechtliche Vorgaben, wie etwa durch die zum 1.1.2014 in Kraft getretenen Neuerungen im Kreditwesengesetz (KWG), das ab dem 1.1.2015 geltende Sanierungs- und Abwicklungsgesetz (SAG) und das neue IT-Sicherheitsgesetz (in Kraft seit dem 20.7.2015). Zudem steht eine Novellierung der Mindestanforderungen für das Risikomanagement (MaRisk) an, die ursprünglich bereits für 2015 vorgesehen war. Vor diesem Hintergrund stellt sich insbesondere für die der Regulierung unterliegenden Institute, aber auch für im Bankensektor tätige IT-Dienstleister die Frage, wie Outsourcings einerseits rechtskonform abgewickelt werden können und gleichzeitig die mit dem Outsourcing angestrebten Effizienzvorteile erhalten bleiben. Nach der Begrüßung der Teilnehmer durch RA Thomas Heymann be- 4 leuchteten die hochkarätigen Referenten das Thema dabei aus drei unterschiedlichen Blickwinkeln: Aus Sicht der anwaltlichen Beratung, aus Sicht der Abschlussprüfer für Banken und aus Sicht der Banken/Finanzinstitute selbst. RA Dr. Lars Lensdorf (Heymann & Partner) referierte zunächst zu den 5 aufsichtsrechtlichen Anforderungen an Auslagerungen im Bank- und Finanzsektor. Diese sind zunächst durch die insbesondere in den §§ 25a,
*
Dr. Thomas Thalhofer, Noerr LLP, München.
269
Thomas Thalhofer
25b KWG, § 33 WpHG sowie §§ 29, 36 KAGB niedergelegten rechtlichen Grundlagen geprägt. Von besonderer Bedeutung sind in diesem Bereich weiterhin die Rundschreiben der BaFin, namentlich das Rundschreiben 10/2012 zu den „Mindestanforderungen an das Risikomanagement“ (MaRisk). Obwohl es sich bei diesen rechtstechnisch nur um Verwaltungsanweisungen handelt, so sind deren Inhalt für das Banken-Outsourcing doch von zentraler Bedeutung, da sie die Prüfungspraxis der BaFin zu einzelnen Aspekten des Outsourcings festlegen. Darüber hinaus zeigte er die Bedeutung technischer und fachlicher Standards auf. 6 Lensdorf hob besonders auf das im Jahr 2007 von der BaFin verfolgte Ziel der Modernisierung der Outsourcing-Regelungen und der Entwicklung praxisnaher Anforderungen ab, die – so die damalige Ankündigung der BaFin – „den Instituten mehr Gestaltungsspielräume für primär betriebswirtschaftlich getriebene Umsetzungslösungen“ einräumen sollte. Er stellte die zentrale These auf, dass – entgegen dem von der BaFin im Jahr 2007 verfolgten Ziel – hinsichtlich der konkreten Anforderungen auf Seiten der Institute ganz erhebliche Rechtsunsicherheiten bestünden, die aufgrund der verstärkten Prüfungspraxis praktisch zu Einschränkungen der Gestaltungsspielräume auf Seiten der Institute führe. Schon der Auslagerungsbegriff in AT 9 Nr. 1 der MaRisk also solcher sei unter anderem wegen des Fehlens von Regelbeispielen nicht hinreichend klar. Problematisch sei insbesondere die Abgrenzung der nicht-wesentlichen Auslagerung zum einfachen Fremdbezug (z. B. beim Wachschutz, Wartung von EDV-Geräten). Ähnliches gelte für das Abschichten der nicht wesentlichen von wesentlichen Auslagerungen. Da für letztere strengere Anforderungen gelten, würden diese von den Instituten nach dem Prinzip „sicher ist sicher“ auch oft zur Anwendung gebracht, wo dies gar nicht nötig sei. Auch für Innovationen sei die derzeitige MaRisk ein Hindernis, wenn man etwa an die geforderten Weisungs- und Kontrollrechte (auch bezüglich Subunternehmern) und die derzeitige technische Realität, zum Beispiel bei standardisierten Cloud-Diensten denke. Auch auf IT-Sicherheitsanforderungen ging Lensdorf ein, und schlug damit die Brücke zum IT-Sicherheitsgesetz. Ein Ausblick auf die bevorstehende MaRisk-Novellierung rundeten den Vortrag ab. 7 Als zweiter Referent beleuchtete Thomas Grol, Partner bei der Wirtschaftsprüfungsgesellschaft KPMG die Anforderungen an Auslagerungen aus Sicht des Abschlussprüfers eines Kreditinstituts. Interessant waren dabei insbesondere die Einblicke in die Fragen, die Wirtschaftsprüfer gerade mit Blick auf die Auslagerungen der Kreditinstitute stellen und welche Schwerpunkte in die Prüfer der KPMG bei Abschlussprüfungen im Hinblick auf Auslagerungen setzen.
270
Fachausschuss Outsourcing: Jahresbericht 2015
RA Alexander Glaus, Leiter der Praxisgruppe IT der Rechtsabteilung der 8 Deutsche Bank AG thematisierte in seinem Beitrag die Auslagerungskontrolle aus Sicht der Banken näher. Als ersten Punkt ging er auf die Risikofaktoren im Zusammenhang mit Auslagerungen ein, die sich von rechtlichen Aspekten über Konzentrations- und IT-Sicherheitsrisiken bis zur Gestaltung von Prozessabläufen erstrecken. In diesem Zusammenhang stellte Glaus dann auch die rechtlichen Anforderungen an das Risikomanagement dar, insbesondere die §§ 25a Abs. 1, 25b Abs. 1-3 KWG sowie die entscheidenden Teile der MaRisk. Glaus zeigte auf, dass in der Praxis die Prozessherausforderungen, zum 9 Beispiel die Einbindung aller wichtigen Stakeholder, und die korrekte Zuordnung von Verantwortlichkeiten gerade in einer großen Organisation ein entscheidendes Spannungsfeld darstellen. Glaus verdeutlichte dies an einem plastischen Beispiel einer komplexen Kettenauslagerung und zeigte dabei insbesondere die einzelnen Schritte eines möglichen Risikomanagement-Prozesses auf. Auch die einzubindenden Kontrollfunktionen in der Organisation einer Bank fanden Beachtung. Nach einem Exkurs der sich durch das Sanierungs- und Abwicklungs- 10 gesetz ergebenden Neuerungen, etwa das Erfordernis vertraglicher Regelungen zur Unterstützung von Restrukturierungsmaßnahmen und Kündigungsbeschränkungen (siehe etwa § 80 Abs. 3 SAG), widmete sich Glaus noch der Darstellung der Risikobewertung einer Auslagerung und deren Folgen. Die abschließende Diskussion führte noch zu einem regen Gedanken- 11 austausch mit den Referenten und rundete die Veranstaltung ab. Zum Schluss dankten die Co-Leiter des Fachausschuss Outsourcing, Thomas Heymann, Dr. Thomas Thalhofer und Dr. Lars Lensdorf den hochkarätigen Referenten für ihre herausragenden Beiträge. Für 2016 plant der Fachausschuss, sich der Einführung von neuen Tech- 12 nologien im Outsourcing und deren rechtlicher Beurteilung zu widmen. Automatisierungssoftware, Robotics und andere Lösungen der „Industrie 4.0“ spielen immer öfter bei Outsourcings eine Rolle und verdienen, gerade aufgrund der spannenden damit verbundenen Fragen (zum Beispiel der Haftung für automatisierte Geräte) eine genauere Betrachtung. Vorläufig geplanter Termin für die Veranstaltung ist der 6.10.2016 ab 14 Uhr. Geplanter Veranstaltungsort ist das Konferenzzentrum der Noerr LLP, Brienner Str. 25 in 80333 München. Die Fachausschussleiter bitten Interessierte, sich den Termin schon jetzt vorzumerken. Eine verbindliche Terminbestätigung nach Abstimmung mit den angefragten Referenten und eine entsprechende Einladung über die DGRI folgen in Kürze. 271
Fachausschuss Softwareschutz: Jahresbericht 2015 Malte Grützmacher*/Jörg Schneider-Brodtmann**
1. Sitzung des Fachausschusses am 25.2.2015 in Hamburg In seiner Sitzung befasste sich der Fachausschuss Softwareschutz mit 1 dem Thema „Software aus der Datendose – Cloud, SAAS & Co. – Zur Einordnung von „Fernnutzungsrechten“ in das System der urheberrechtlichen Nutzungs- und Verwertungsrechte“. Entsprechend dem Ansatz des Fachausschusses, jeweils die juristische Bewertung mit einer technischen Analyse des betreffenden Sachverhalts zu kombinieren, waren als Referenten Herr Dipl.-Ing. Wiegand Liesegang, IT-Sachverständiger, Streitz Hoppen & Partner, Brühl sowie Herr Rechtsanwalt Dr. Malte Grützmacher, seit 2014 Co-Leiter des Fachausschusses Softwareschutz, eingeladen. In seinem einleitenden Vortrag befasste sich Liesegang mit technischen 2 Aspekten der Fernnutzung von Software im Kontext urheberrechtlicher Fragen. Dabei ging es ihm darum herauszuarbeiten, an welchen Stellen bei der (Fern-)Nutzung von Software aus technischer Sicht Vervielfältigungsvorgänge stattfinden, die Gegenstand urheberrechtlicher Betrachtungen sein können. Hierzu nahm Liesegang zunächst eine Analyse von Struktur und Architektur von Software im Hinblick auf deren Bereitstellung und Nutzung vor, um sodann zu betrachten, welchen Einfluss Aspekte der Virtualisierung und Fernnutzung in diesem Kontext haben. Unter Fernnutzung wird dabei die Ausführung von Programmen auf einem entfernten Computer verstanden, die von einem lokalen Computer gesteuert werden. Aus urheberrechtlicher Sicht ist dabei entscheidend, wo und in welcher Anzahl Programme gespeichert und ausgeführt werden und wem diese Handlungen zuzurechnen sind. Hierzu bedarf es nach Auffassung von Liesegang einer genauen technischen Analyse, die durch die Nutzung von Virtualisierungsmöglichkeiten, insbesondere beim Cloud Computing erheblich erschwert wird, da die feste Zuordnung der verwendeten Ressourcen, namentlich Prozessoren und Speicher, zu konkreten Nutzern weitgehend aufgelöst wird.
* Dr. Malte Grützmacher, CMS Hasche Sigle, Hamburg. ** Dr. Jörg Schneider-Brodtmann, Menold Bezler Rechtsanwälte, Stuttgart.
273
Malte Grützmacher/Jörg Schneider-Brodtmann
3 Daran anknüpfend befasste sich Dr. Grützmacher mit der Frage, wie die Fernnutzung von Software mit Blick auf die in § 69c UrhG geregelten Nutzungs- und Verwertungsrechte in den Fällen des IT-Outsourcing, Application Service Providing (ASP) und bei Cloud-Services (insbesondere SaaS) konkret einzuordnen ist. Ausgangspunkt seiner Betrachtung war die Analyse der (nur spärlich vorhandenen) einschlägigen Rechtsprechung, insbesondere der „Internet-Videorekorder“-Entscheidung des BGH aus dem Jahr 20091 und der (nach Auffassung von Grützmacher verfehlten) ASP-Entscheidung des OLG München aus dem Jahr 20082. Dabei untersuchte er für die verschiedenen Geschäfts- und Betriebsmodelle beim IT-Outsourcing, ASP und Cloud Computing jeweils, ob und durch wen eine Vervielfältigung i. S. v. § 69c Nr. 1 UrhG vorgenommen wird, ob ein öffentliches Zugänglichmachen i. S. v. § 69c Nr. 4 UrhG erfolgt und ob im Einzelfall der Anwender oder der Provider Berechtigter i. S. v. § 69d Abs. 1 UrhG ist. Entscheidend für den Vervielfältigungsvorgang ist nach Auffassung von Grützmacher, ob und durch wen die Software in den (Arbeits-)Speicher eines Computers (Client oder Server) übertragen wird, wohingegen die bloße Bildschirmdarstellung keinen Eingriff in die Rechte aus § 69c Nr. 1 UrhG darstellt3. Ebenso wie Liesegang betonte Grützmacher dabei das Erfordernis einer genauen technischen Analyse der Softwarenutzung im Einzelfall, die eine generalisierende Betrachtung verbietet. Im Ergebnis geht er davon aus, dass im Falle der Übertragung clientseitig ablaufender Computerprogramme bei der Fernnutzung Vervielfältigungsvorgänge jedenfalls auf den Clientrechnern stattfinden und dabei ggf. auch in das Recht der öffentlichen Zugänglichmachung eingegriffen wird. Eine erhebliche Rechtsunsicherheit sieht Grützmacher hingegen, wenn Software rein serverseitig betrieben wird. Hier verbietet sich nach seiner Auffassung im Hinblick auf die erwähnte Rechtsprechung des EuGH zu Bildschirmmasken jedenfalls ein pauschaler Rückgriff auf § 69c Nr. 4 UrhG. Im Hinblick auf das Vervielfältigungsrecht bieten die wenigen, nach Auffassung von Grützmacher in sich widersprüchlichen Entscheidungen wenig Hilfestellung, um die bestehenden schwierigen Wertungsfragen konsistent zu beantworten. 4 Beide Vorträge wurden in einer ergänzten Fassung in Heft 12/2015 der Zeitschrift Computer und Recht veröffentlicht4. 1 2 3 4
BGH, Urt. v. 22.4.2009 – I ZR 216/06, CR 2009, 598. OLG München, Urt. v. 7.2.2008 – 29 U 3520/07, CR 2009, 500. In Anlehnung an EuGH, Urt. v. 22.12.2010 – Rs. C-393-09, CR 2011, 221 – BSA/Kulturministerium. Liesegang, „Technische Aspekte der Fernnutzung von Software im Kontext urheberrechtlicher Fragen“, CR 2015, 776 ff.; Grützmacher, „Software aus der Datendose – Cloud, SAAS & Co. – zur Einordnung von „Fernnutzungsrech-
274
Fachausschuss Softwareschutz: Jahresbericht 2015
2. Stellungnahme der DGRI vom 21.12.2015 zum Referentenentwurf eines Gesetzes zur verbesserten Durchsetzung des Anspruchs der Urheber und der ausübenden Künstler auf angemessene Vergütung Das Bundesministerium der Justiz und für Verbraucherschutz hat am 5 5.10.2015 den Referentenentwurf eines Gesetzes zur verbesserten Durchsetzung des Anspruchs der Urheber und der ausübenden Künstler auf angemessene Vergütung vorgelegt. Im Rahmen der Verbändeanhörung haben sich die Fachausschüsse Softwareschutz und Vertragsrecht der DGRI in einer Stellungnahme mit dem Referentenentwurf befasst. Die Stellungnahme nimmt das in § 40a UrhG-E enthaltene Rückrufsrecht wegen anderweitiger Nutzung in den Blick und untersucht dessen Auswirkungen auf die Softwareindustrie und solche Industrien, die Software im Zuge der zunehmenden Digitalisierung zusehends in ihre Produkte integrieren (etwa den Maschinenbau oder die Elektroindustrie). Sie gelangt zu dem Ergebnis, dass der Normvorschlag für den Bereich Computerprogramme und Datenbanken weder die Interessen der Urheber noch der Softwareindustrie angemessen berücksichtigt und daher abzulehnen ist. Das Rückrufsrecht wurde in einer mittlerweile vorgelegten Neufassung revidiert. Die Stellungnahme ist in Heft 2/2016 der Zeitschrift Computer und 6 Recht5 sowie auf der Webseite der DGRI6 veröffentlicht.
5 6
ten“ in das System der urheberrechtlichen Nutzungs- und Verwertungsrechte“, CR 2015, 779 ff. CR 2016, 138 ff. http://www.dgri.de/68n348/Stellungnahmen.htm.
275
Fachausschuss Compliance und Strafrecht: Jahresbericht 2015 Susanne Beck*/Dirk Meinicke**
1. Fachausschuss Strafrecht wird Fachausschuss Compliance und Strafrecht Der Vorstand der DGRI hat auf seiner Sitzung am 19.11.2015 auf An- 1 regung der neuen Vorsitzenden des Fachausschusses Strafrecht, Prof. Dr. Susanne Beck und RA/FAStR Dirk Meinicke, LL.M., beschlossen, den Fachausschuss umzubenennen in Fachausschuss Compliance und Strafrecht. Hintergrund hierfür ist die Absicht und das Bestreben des Ausschusses, sich zukünftig vermehrt mit Themen und Fragestellungen aus dem Bereich Compliance zu befassen. Durch die Erweiterung des Themen- und Tätigkeitsspektrums sollen nunmehr vermehrt auch diejenigen Mitglieder angesprochen und zu einer Ausschussmitarbeit motiviert werden, die ansonsten mit strafrechtlichem Sachverhalt und Fragestellungen beruflich nur vereinzelt oder auch überhaupt nicht befasst sind. 2. Fachausschusssitzung 2015: Überwachung des Surfverhaltens Am 3.12.2015 fand auf dem Conti-Campus der Leibniz Universität Han- 2 nover die Wintersitzung des Fachausschusses Compliance und Strafrecht (damals noch Fachausschuss Strafrecht) statt. Die Sitzung stand unter dem Thema „Die strafprozessuale Überwachung des Internet- und Surfverhaltens“. Es referierte hierzu zunächst Priv.-Doz. Dr. Lutz Eidam, LL.M., z. Zt. Inhaber einer Vertretungsprofessur an der Goethe Universität Frankfurt am Main. Der Referent zeigte zunächst an einem praktischen Fall auf, dass einige 3 Ermittlungsbehörden – was bisher kaum bekannt sei – unter dem Deckmantel des § 100a StPO das gesamte Internet- und Surfverhalten eines Menschen überwachen, indem der Internetdatenstrom eines Nutzers vollständig ausgeleitet und auf staatlichem Server gespeichert und ausgewertet wird. So könnten die Ermittlungsbehörden praktisch jede Internetaktivität von Nutzern beobachten. Oder anders formuliert: Alles, was
* Prof. Dr. Susanne Beck, Universität Hannover. ** Dirk Meinicke, LL.M., Rechtsanwalt und Fachanwalt für Strafrecht.
277
Susanne Beck/Dirk Meinicke
der Nutzer auf seinem Bildschirm sieht, sehen die Ermittlungsbehörden auch. Wenn man so will, stelle sich diese Technik als eine Melange zwischen Online-Durchsuchung und Screenshots dar und es mutete nach der Auffassung des Referenten selbstverständlich an, dass eine solche Maßnahme selbstverständlich auf § 100a StPO gestützt werden kann. Es sei schon keine Kommunikation im Sinne dieser Vorschrift betroffen. Daneben sprechen aber vor allem die Ähnlichkeit zu einer Online-Durchsuchung und die gefährliche Nähe zu einer Totalüberwachung gegen die Zulässigkeit der Maßnahme. Im Schrifttum sei dies vereinzelt bereits anerkannt. Die Rechtsprechung werde deshalb auch nicht umhinkommen, dies (irgendwann) anzuerkennen. 4 Im Anschluss an das Referat entwickelte sich eine sehr lebhafte Diskussion, die bis weit in den Abend hinein andauerte. Dabei kristallisierten sich sehr schnell gleichsam zwei „Lager“ heraus. Während ein Teil der Zuhörer Praktikabilitätserwägungen und speziell die Funktionsfähigkeit der Verbrechensbekämpfung in den Vordergrund stellten, äußerte eine Vielzahl von Teilnehmern verfassungsrechtliche Bedenken an der gegenwärtige Praxis, insbesondere im Hinblick auf Art und Ausmaß der durch die Überwachung bewirkten Beeinträchtigung von Grundrechten, sowie auf einen Verstoß gegen den Grundsatz des Gesetzesvorbehalts. 5 Im Hinblick auf die unerwartet große Teilnehmeranzahl, die Qualität des Referats und insbesondere der lebhaften und engagierten Diskussionsrunde war die Fachausschusssitzung aus Sicht der Vorsitzenden ein voller Erfolg. Die „Wiederbelebung“ des Fachausschusses Strafrecht scheint insoweit geglückt. 3. Ausblick 2016 6 Für das Jahr 2016 sind Sitzungen in Hamburg und/oder in Hannover geplant. Aus organisatorischen Gründen sollen und werden die Sitzungen in der zweiten Jahreshälfte stattfinden und sich sodann erstmals mit Themen aus dem Bereich „Compliance“ sowie dem Thema „strafrechtliche Aspekte der Nutzung von Bit-Coins“ befassen.
278
Fachausschuss Vertragsrecht: Jahresbericht 2015 Thomas Stögmüller*/Mathias Lejeune** Der Fachausschuss Vertragsrecht tagte am 27.3.2015 in Frankfurt in den 1 Räumen der Kanzlei White & Case LLP zu zwei unterschiedlichen Themen: Der erste Vortrag befasste sich mit Anforderungen an Vereinbarungen 2 nach § 11 BDSG. Ministerialrat Dr. Stefan Brink, Leiter Privater Datenschutz beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, stellte dar, nach welchen Kriterien die Datenschutzbehörden Vereinbarungen nach § 11 BDSG beurteilen. Der zweite Teil der Sitzung befasste sich mit der vertraglichen Umset- 3 zung der Verbraucherrechte-Richtlinie. Rechtsanwalt Stephan Schmidt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtsanwälte in Mainz, berichtete über die rechtlichen Anforderungen der Verbraucherrechte-Richtlinie und über erste Erfahrungen damit. Die zweite Sitzung des Fachausschusses Vertragsrecht im Jahr 2015 fand 4 am 23.10.2015 in den Räumen der Kanzlei SKW Schwarz Rechtsanwälte zu „Lizenzaudits“ statt. Zunächst referierte Herr Marco Widlok, Jurist und Fachmann für Lizenz- 5 recht, Berater bei der ConSalt Unternehmensberatung GmbH in Düsseldorf zum Thema „Keine Panik – Auditabwehr in der Praxis“ und berichtete, wie sich Unternehmen, die Gegenstand eines Lizenzaudits sind, hierauf vorbereiten und damit umgehen können. Im Anschluss daran stellte Rechtsanwalt Dr. Michael Karger, Fachanwalt 6 für Informationstechnologierecht, Fachanwalt für Verwaltungsrecht und Partner von TCI Rechtsanwälte München die rechtlichen Anforderungen an Auditklauseln dar. Er ging hierbei auf AGB-rechtliche Fragen ein und stellte die typischen Regelungsinhalte von Auditklauseln dar. Dr. Karger erörterte u. a. den Scope des Überprüfungsverfahrens, abgestufte Auditmaßnahmen, die Zumutbarkeit der Maßnahmen, Geheimnisschutz, Datenschutz, Kostentragungspflicht und Nachkaufverpflichtung.
*
Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt und Fachanwalt für Informationstechnologierecht, München. ** Dr. Mathias Lejeune, Rechtsanwalt, München.
279
Thomas Stögmüller/Mathias Lejeune
7 Die Leitung des Fachausschusses Vertragsrecht in Person der Rechtsanwälte Dr. Mathias Lejeune und Dr. Thomas Stögmüller bedankt sich beim Vorstand der DGRI für die angenehme und konstruktive Zusammenarbeit sowie bei den Mitgliedern für das große Interesse, die intensive Mitarbeit und die zahlreiche Teilnahme, und nimmt gerne Themenvorschläge aus dem Mitgliederkreis für künftige Veranstaltungen auf.
280
Stellungnahme der DGRI zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Robert Selk/Sibylle Gierschmann* A. Stellungnahme zu Art. 4 des IT-SiG: Änderungen des TMG (Einfügung eines neuen Absatzes 7 bei § 13 TMG) 1. Vorab 2. Die Vorschläge/Formulierungen im neuen § 13 Abs. 7 TMG/Detailbewertung dazu a) „Diensteanbieter“ b) „... haben, sowie dies technisch möglich und wirtschaftlich zumutbar ist (...)“ c) „im Rahmen ihrer jeweiligen Verantwortlichkeit“ d) „sicherzustellen“ e) „für geschäftsmäßig angebotene Telemedien“ f) „technische und organisatorische Vorkehrungen“
g) „Kein unerlaubter Zugriff möglich“ auf die „genutzten technischen Einrichtungen“ h) „gegen Verletzungen des Schutzes personenbezogener Daten“ i) „gegen Störungen“ j) „Stand der Technik“ k) „als sicher anerkanntes Verschlüsselungsverfahren“ 3. Übergreifende Bewertung B. Stellungnahme zu Art. 5 des IT-SiG: Änderungen des TKG (Zur Einfügung von § 109 Abs. 2, § 109a Abs. 4, 5 und § 149 Nr. 21a TKG)
Die Bundesregierung hat den Entwurf eines Gesetzes zur Erhöhung der 1 Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vorgelegt (Drucks. 18/4096). Der „Fachausschuss Datenschutz“ der Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI) hat sich mit dessen Art. 4 (Änderung des TMG-Gesetzes) und Art. 5 (TKG-Änderung) aus datenschutzrechtlicher Perspektive befasst. Die DGRI hat die daraus gewonnenen Erkenntnisse im Rahmen der Verbändeanhörung zum Entwurf eines IT-Sicherheitsgesetzes in einer Stellungnahme vom 17.3.2015 dem Bundesministerium des Innern zugeleitet.
*
Dr. Robert Selk, LL.M., und Dr. Sibylle Gierschmann, LL.M., beide Leitende des Fachausschusses Datenschutz der DGRI. Stand: 17.3.2015.
281
Anhang
A. Stellungnahme zu Art. 4 des IT-SiG: Änderungen des TMG (Einfügung eines neuen Absatzes 7 bei § 13 TMG) 2 Bei dem im Rahmen des IT-SiG geplanten neuen Absatz 7 zu § 13 TMG fallen eine Reihe von Unstimmigkeiten und Begriffsungenauigkeiten auf, die zu einem Widerspruch zu den bestehenden Regelungen sowohl im TMG wie auch BDSG führen. Zudem beinhaltet die Regelung keinen Mehrwert im Verhältnis zur bestehenden Rechtslage, diese wird vielmehr durch die entstehenden Widersprüche verschlechtert, welche zu Rechtsunsicherheit führen. 1. Vorab 3 Folgt man der herrschenden Meinung, gilt das TMG für die Bestandsund Nutzungsdaten, das BDSG für die Inhaltsdaten. Zugleich soll das BDSG dann, wenn im TMG zu den Bestands- und Nutzungsdaten keine spezifischen Regelungen enthalten sind, ergänzend gelten. 4 Für den hier relevanten Bereich der Datensicherheit heißt dies, dass § 9 BDSG und dessen Anlagen auch für den Umgang mit personenbezogenen Bestands- und Nutzungsdaten gilt. 5 § 9 BDSG lautet wie folgt: „Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“ 6 Es ist also von „Maßnahmen“ die Rede, die „erforderlich“ sein müssen; Maßstab dabei sind die Vorgaben des BDSG, insbesondere die 8 Schutzziele in der Anlage zu § 9 BDSG. 7 Zugleich wird die Erforderlichkeit näher konkretisiert, nämlich dahingehend, dass der Aufwand der zu treffenden Schutzmaßnahmen im Verhältnis zum Schutzzweck steht. 8 Es handelt sich dabei im Ergebnis um ein in der Datensicherheit bewährtes Herangehen.
282
Stellungnahmen
2. Die Vorschläge/Formulierungen im neuen § 13 Abs. 7 TMG/Detailbewertung dazu a) „Diensteanbieter“ Es stellt sich die Frage, ob es sachgerecht ist, Vorschriften im Rahmen der 9 Umsetzung des IT-Sicherheitsgesetzes, welches sich auf kritische Infrastrukturen bezieht, generell auf sämtliche Diensteanbieter auszudehnen. b) „... haben, sowie dies technisch möglich und wirtschaftlich zumutbar ist (...)“ § 13 Abs. 7 TMG stellt also die zu treffenden Vorkehrungen unter den 10 Vorbehalt, dass sie „technisch möglich“ sowie „wirtschaftlich zumutbar“ sein sollen. Die Vorgabe, dass nur technisch mögliche Vorkehrungen zu treffen sind, 11 ist eine Selbstverständlichkeit, zumindest wenn man diese Formulierung absolut versteht. Soweit dagegen gemeint sein sollte (was unklar bleibt), dass nur die im 12 konkreten Einzelfall technisch möglichen Vorkehrungen zu treffen sind, würde eine solche Forderung die Schutzanforderungen sehr niedrig setzen: Denn was im Einzelfall bei einem Diensteanbieter noch technisch möglich ist oder nicht, hängt alleine von diesem ab: Bei Diensteanbietern, die mit einer modernen und erweiterbaren IT-Struktur und Software arbeiten, ist viel mehr technisch möglich als bei einem Diensteanbieter, der „Billigsoftware“ auf niedrigstem Schutzlevel betreibt. Derjenige Diensteanbieter, der also schon von sich aus versucht, durch 13 moderne Technik IT-Gefährdungen zu vermeiden, würde schlechter gestellt werden: Da bei ihm technisch deutlich mehr möglich als bei dem anderen Diensteanbieter ist, müsste er höheren Aufwand treiben. Ferner sollen nach S. 2 des neuen Abs. 7 die Vorkehrungen den Stand der 14 Technik berücksichtigen. Damit wird noch unklarer, was die Formulierung „technisch möglich“ bedeuten soll: Denn der Stand der Technik ist ein Stand, der möglich ist, sonst wäre er nicht Stand der Technik. Insofern ist dann aber ohnehin der Stand der Technik der Maßstab, nicht 15 der konkrete Einzelfall und die Frage, was in diesem möglich ist. Dann aber ist der Zusatz „technisch möglich“ unnötig und sollte gestri- 16 chen werden, um obige Unklarheiten und Unsicherheiten zu beseitigen.
283
Anhang
17 Gleiches gilt für die Frage der „wirtschaftlichen Zumutbarkeit“: Denn der Stand der Technik gibt das Schutzniveau vor und hat die Frage der wirtschaftlichen Zumutbarkeit nicht im Blick. Ganz im Gegenteil ist der Stand der Technik davon unabhängig, da eben eine technische Frage und Anforderung, keine wirtschaftliche. 18 Zudem kann die wirtschaftliche Zumutbarkeit kein Kriterium sein, da höchst subjektiv: 19 Denn ein Startup-Diensteanbieter, der sich z. B. gerade selbstständig macht und dem nur ein minimales Budget zur Verfügung steht, hat deutlich weniger finanzielle Mittel zur Verfügung als ein bereits etablierter oder großer Diensteanbieter, der Teil eines Konzerns ist. Warum aber sollen die Besucher des „kleinen“ Diensteanbieters mit einem schlechteren Schutzniveau konfrontiert sein als die eines großen Dienstleisters? 20 Wenn es um die in der Gesetzesbegründung angesprochene Gefahr der Verbreitung von Schadsoftware über Diensteanbieter geht, kann also die finanzielle Zumutbarkeit im Einzelfall kein Kriterium sein. Ansonsten wäre die Folge, dass ein über einen finanziell klammen Diensteanbieter verbreitete Schadsoftware „weniger schlimm“ ist als wenn genau dieselbe Schadsoftware von einem wirtschaftlich potenten Anbieter verbreitet würde. 21 Dem gesamten Ziel des Gesetzes käme man damit nicht nur nicht näher, es wäre konterkariert. 22 Das Schutzniveau kann und darf also nicht von der wirtschaftlichen Zumutbarkeit im Einzelfall anhängen. Zudem widerspricht es dem Maßstab des „Stands der Technik“. Es sollte gestrichen und vielmehr auf den Ansatz in § 9 BDSG abgestellt werden: einer Schutzbedarf-Ausrichtung. c) „im Rahmen ihrer jeweiligen Verantwortlichkeit“ 23 Auch diese Regelunge ist unklar und wenig hilfreich: Welche Verantwortlichkeit ist gemeint? Eine zivilrechtliche? Die Regelung des § 13 TMG befindet sich aber im Datenschutzteil des TMG. 24 Zudem stellt das Datenschutzrecht generell auf die verantwortliche Stelle ab und zwar auf die für die Datenverarbeitung verantwortliche Stelle. Es handelt sich dabei eher um eine faktische Verantwortlichkeit. Es sollte daher auch im TMG bei diesem Ansatz bleiben (was umso mehr gilt, dass das der EU-Datenschutz diese sehr deutsche Unterteilung in BDSG und TMG nicht kennt):
284
Stellungnahmen
Für diejenige Datenverarbeitung, für die der Diensteanbieter im Sinne 25 des BDSG die „verantwortliche Stelle“ ist, hat er für ausreichende Vorkehrungen zu sorgen. Es ist also auf die Datenverarbeitung als Maßstab abzustellen, wer wofür 26 noch verantwortlich ist. Da dies im Datenschutzrecht ohnehin gilt, kann also auch dieser Passus ersatzlos gestrichen werden. d) „sicherzustellen“ Das BDSG formuliert, dass erforderliche Maßnahmen „zu gewährleis- 27 ten“ sind. Der Begriff „sicherstellen“, klingt nach einer verschuldensunabhängigen Garantiehaftung und sollte daher vermieden werden. e) „für geschäftsmäßig angebotene Telemedien“ Hier stellt sich die Frage, was mit geschäftsmäßig gemeint ist und war- 28 um darauf eine Beschränkung erfolgt. Jeder Diensteanbieter muss schon jetzt über § 9 BDSG technische und 29 organisatorische Maßnahmen treffen, unabhängig, ob „geschäftsmäßig“ oder nicht. Die Neuregelung führt also zu einer Absenkung des Schutzniveaus. Zudem: Wäre die Webseite eines gemeinnützigen Vereins noch „ge- 30 schäftsmäßig“? Die Gesetzesbegründung lehnt dies ab. Einer politischen Partei? Der Kirche? In allen Fällen muss sich ein Diensteanbieter aber um IT-Sicherheit 31 kümmern, die vor allem für die Besucher der Webseite relevant ist: Für diese kann und darf es aber keinen Unterschied machen, ob der Diensteanbieter (noch) geschäftsmäßig handelt oder nicht. Mit anderen Worten: Warum ist die Gefahr, dass ein „Idealverein“ (so 32 die Gesetzesbegründung als Beispiel) Schadsoftware über seine Webseite verbreitet, geringer? Warum sollen dessen Webseitenbesucher weniger geschützt werden? 33
Diese Beschränkung sollte gestrichen werden. f) „technische und organisatorische Vorkehrungen“
Hier stellt sich die Frage, warum nicht der in § 9 BDSG verwendete Be- 34 griff der „Maßnahmen“ übernommen wurde. Wo soll der Unterschied liegen? Wenn es keinen Unterschied gibt, wäre auf den Begriff der „Maßnahmen“ abzustellen. 285
Anhang
35 Vorkehrungen geht zudem in Richtung fester technischer Apparaturen, Maßnahmen kann viel mehr auch noch organisatorische Maßnahmen meinen, denen eine gleichrangige Bedeutung zukommt. g) „Kein unerlaubter Zugriff möglich“ auf die „genutzten technischen Einrichtungen“ 36 Zunächst ist zu betonen, dass die Zugriffskontrolle schon fester Bestandteil der Anlage zu § 9 BDSG, dort Nr. 3 ist. Die Formulierung dort ist aber eine etwas andere: „zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können,“ 37 Es sind aber bei genauer Betrachtung zwei unterschiedliche Aspekte und Schutzziele geregelt, die sich ergänzen, was zu begrüßen ist: –
Die Nr. 3 der Anlage zu § 9 BDSG stellt auf die betriebsinternen Mitarbeiter ab („die zur Benutzung eines Datenverarbeitungssystems Berechtigten“), die nicht über ihre Berechtigungen hinaus auf Daten zugreifen dürfen.
–
Die Neuregelung in Abs. 7 dagegen ist allgemeiner formuliert und erfasst jeden, der keine Erlaubnis zum Zugriff hat.
38 Unklar ist aber, was mit „technischer Einrichtung“ gemeint ist. Der Begriff findet sich etwa in § 87 Abs. 1 Nr. 6 BetrVG und ist dort sehr weit gefasst. Das Datenschutzrecht dagegen kennt ihn nicht. Es bezieht sich vielmehr auf die „Datenverarbeitungssysteme“, etc. Insofern sollten die Begriffe konsistent verwendet werden. h) „gegen Verletzungen des Schutzes personenbezogener Daten“ 39 Die Formulierung „Verletzung des Schutzes“ ist unklar. Zudem muss eine Verletzung nicht zwingend rechtswidrig sein. 40 Es erscheint besser, auf die Rechtswidrigkeit abzustellen, die sich immerhin aus den Datenschutzgesetzen ergibt, also etwa in die Richtung „gegen rechtswidrige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten“ i) „gegen Störungen“ 41 Dem Datenschutzrecht ist es fremd, sich gegen Störungen abzusichern, soweit diese keinen Einfluss auf die Verarbeitung personenbezogener 286
Stellungnahmen
Daten haben. Aber auch dann ist die Regelungsmechanik eine andere (nämlich etwa dahingehend, dass Daten nicht unrichtig sein dürfen). Es handelt sich zudem weniger um eine datenschutzrechtliche Pflicht, 42 da Störungen bei Telemedien nicht zwingend etwas mit personenbezogenen Daten zu tun haben oder haben müssen. Zudem müsste man diese Formulierung im Gesetzesvorschlag aufgrund 43 ihres Orts im Datenschutzkapitel so auslegen, dass nur Störungen gemeint sein können, die sich auf die Erhebung oder Verwendung von personenbezogenen Daten beziehen. Dann stellt sich aber die Frage, warum eine solche Beschränkung erfolgt, da auch andere Bereiche eines Telemediendienstes ein IT-Sicherheitsrisiko darstellen können und gegen Störungen zu schützen sind. Der Begriff „Störung“ ist zudem unglücklich, da nicht jede Störung nega- 44 tive Auswirkungen haben muss. So ist etwa ein langsamer Server beim Diensteanbieter, der Bestellungen in einem Webshop langsamer abarbeitet, eine „Störung“, wo aber soll die Gefahr für die IT-Sicherheit liegen? Der Begriff Störungen ist also zu definieren und muss sich auf solche 45 Einwirkungen auf die Systeme beziehen, die Auswirkungen auf die Erhebung oder Verwendung personenbezogener Daten (oder besser: aller Daten) haben. Zudem sollte die Absicherung vor Störungen nicht auf personenbezogene Daten beschränkt sein. j) „Stand der Technik“ Diese Formulierung ist positiv und hat sich seit ihrer Einführung zum 46 1.9.2009 im Rahmen der Anlage zu § 9 BDSG bewährt. Damalige Befürchtungen, dass zu hohe Anforderungen die Folge seien, haben sich nicht bewahrheitet. Vielmehr stellt diese Formulierung im ohnehin schon sehr umfänglich mit unbestimmten Rechtsbegriffen arbeitenden Datenschutzrecht einen guten Kompromiss dar. k) „als sicher anerkanntes Verschlüsselungsverfahren“ Es handelt sich nur um ein Beispiel, das durchaus hilfreich ist, aber zu- 47 gleich etwa bei den „Störungen“ an der Sache vorbei geht: Wie soll eine Verschlüsselung etwa gegen Stromausfall helfen? Als bloße Beispielsformulierung schadet sie aber nicht.
287
Anhang
3. Übergreifende Bewertung 48 Bei genauer Betrachtung bedarf es der Neuregelung in Abs. 7 nicht, da § 9 BDSG samt Anlage bereits die gleichen Vorgaben gibt und zwar umfassender. Würde man im TMG den Abs. 7 aufnehmen, im BDSG aber keine Anpassungen vornehmen, wäre die Folge, dass bei Bestandsdaten vorrangig nur dieser neue Abs. 7 in § 13 TMG gilt, § 9 BDSG aber verdrängt wird. Im Ergebnis wären Daten nach dem TMG damit weniger technisch und organisatorisch geschützt als Inhaltsdaten nach dem BDSG, was nicht der Fall sein darf: Denn der Schutzbedarf ist kein anderer, zudem ist die Abgrenzung ohnehin oft unklar. 49 Soweit man aber dennoch unbedingt eine Regelung im TMG wünscht, sollte diese begrifflich sehr eng an die Regelungen im BDSG zur Datensicherheit, aber auch allgemein an die Formulierungen im Datenschutzrecht angelehnt werden, um nicht Rechtsunsicherheit entstehen zu lassen. Jedenfalls ist klarzustellen, wie das Verhältnis zu § 9 BDSG und Anlage ist. B. Stellungnahme zu Art. 5 des IT-SiG: Änderungen des TKG (Zur Einfügung von § 109 Abs. 2, § 109a Abs. 4, 5 und § 149 Nr. 21a TKG) § 109 Abs. 2 TKG 50 Wie bereits oben zum TMG ausgeführt, stellt sich die Frage, ob Begrifflichkeiten wie „technische Vorkehrungen und sonstige Schutzmaßnahmen“ sowie „erforderlicher technischer und wirtschaftlicher Aufwand“ nicht an die Begrifflichkeiten des § 9 BDSG angepasst werden sollten („technische und organisatorische Maßnahmen“ und „Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck“), wobei der „Schutzzweck“ noch den Umstand der kritischen Infrastruktur berücksichtigen müsste. § 109 Abs. 5 TKG, § 149 Nr. 21a TKG 51 Wünschenswert wäre eine Kategorisierung von meldepflichtigen Vorfällen, zum einen um unnötigen Melde-/Dokumentationsaufwand zu vermeiden, zum anderen um Rechtssicherheit zu gewährleisten, da bei Nichtmeldung ein Bußgeld drohen kann. 52 Bedenklich ist insoweit, dass nach Abs. 5 Satz 2 generalisierend Störungen eingeschlossen werden, welche die „Verfügbarkeit“ der Dienste beeinträchtigen können, ohne dass quantifiziert wird, ab wann eine kritische Einschränkung der Verfügbarkeit vorliegt.
288
Stellungnahmen
Ferner soll eine Meldepflicht bereits dann bestehen, wenn Störungen zur 53 beträchtlichen Sicherheitsverletzungen „führen können“. Dies wird zur Folge haben, dass Unternehmen vorsorglich jegliche Störung melden, was kontraproduktiv sein kann und für die Zielerreichung nicht erforderlich ist. Ziel des Gesetzes ist es in erster Linie, dem BSI einen Überblick über Vorfälle zu liefern, um diese auszuwerten und Erkenntnisse daraus anderen Betreibern zur Verfügung zu stellen. Dies ist im Zeitpunkt, in dem nur der Verdachtsmoment besteht, noch nicht möglich. Um dennoch eine Gefahrenabwehr zu ermöglichen, könnte man eine Meldung von Verdachtsfällen auf „offensichtlich zu beeinträchtigenden Sicherheitsverletzungen führen können“ begrenzen, um die Norm auf ein allenfalls angemessenes Maß zu reduzieren. 54
Ergänzungsvorschlag zu § 109 Abs. Abs. 5 TKG: nach Satz 7: „Im Übrigen gilt § 42a Satz 6 des Bundesdatenschutzgesetzes entsprechend.“
Entsprechend § 109a Abs. 1 S. 5 TKG sollte ein Verweis auf § 42a BDSG 55 Satz 6 BDSG erfolgen, um sicherzustellen, dass Erkenntnisse aus den Meldungen nicht im Rahmen von Straf- oder Ordnungswidrigkeitenverfahren gegen den Dienstebetreiber oder seine Mitarbeiter verwendet werden. Andernfalls steht zu befürchten, dass bei der Meldung Zurückhaltung ausgeübt wird. § 109a TKG § 109a TKG führt eine Mitteilungspflicht gegenüber Nutzern ein, sofern 56 Störungen von einem Datenverarbeitungssystem des Nutzers ausgehen und der Nutzer dem Diensteanbieter bereits bekannt ist. Auch hier sollte die Meldepflicht entsprechend dem Schutzzweck und dessen, was angemessen ist, eingeschränkt werden. Zum einen wäre klarzustellen, dass eine solche Meldung nicht zu erfolgen hat, wenn dies laufende Ermittlungen gefährdet. Zum anderen stellt sich die Frage, ob dem Diensteanbieter Kosten da- 57 für aufgebürdet werden können, dass er die Nutzer in der Nutzung ihrer IT-Systeme unterweist. Angemessen erscheint eine solche Benachrichtigung nur dann, wenn dies zur Beseitigung der Störung im Interesse der Allgemeinheit erforderlich ist.
289
Stellungnahme der DGRI zum Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei (Drucks. 18/1288) (RefE) Susanne Beck/Dirk Meinicke* I. Anmerkungen zum materiellen Recht 1. Reichweite bestehender Regelungen 2. Voraussetzungen für den Erlass eines Strafgesetzes a) Aktueller Gesetzesentwurf b) Parallelität zu § 259 StGB c) Gesetzeszweck: Unattraktivität der Ersttat d) Strafwürdigkeit e) Geeignetheit und Erforderlichkeit des Verbots
f) Verhältnismäßigkeit im engeren Sinne und Bestimmtheit g) Ergebnis zum materiellen Recht II. Anmerkungen zum Prozessrecht 1. Defizite strafprozessualer Eingriffsnormen 2. Vorrang strafprozessualer Anpassung III. Zusammenfassende Stellungnahme
Auf Initiative Hessens hat der Bundesrat im April 2014 den Entwurf 1 eines Gesetzes zur Bestrafung der Datenhehlerei in den Bundestag eingebracht (BT-Drucks. 18/1288). Inzwischen liegt auch ein Referentenentwurf vor, als Teil des Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten (Entwurf vom 15.5.2015). Der „Fachausschuss Strafrecht“ der Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI) hat sich mit der materiell-rechtlichen und prozess-rechtlichen Seite des Gesetzesentwurfs mit Blick auf die Datenhehlerei befasst. Dieser Straftatbestand hängt inhaltlich nicht zwingend mit der Einführung der Vorratsdatenspeicherung zusammen, wird von den Autoren als nicht unproblematisch angesehen und hier deshalb gesondert analysiert. Illegal erlangte Daten werden häufig nicht direkt von demjenigen, der 2 sie beschafft hat, zur Begehung von Straftaten verwendet. Vielmehr sind diejenigen, die die Begehung von Straftaten mit fremden Daten planen, oft gar nicht selbst in der Lage, sich diese Daten – z. B. durch Hacking oder Phishing – zu besorgen. Aus diesem Grund wird von einigen Insti-
*
Prof. Dr. Susanne Beck, LL.M. (LSE), Leibniz Universität Hannover, und RA und FA für StR Dirk Meinicke, LL.M. (Oldenburg), Hamburg.
291
Anhang
tutionen – z. B. dem Justizministerium – an dieser Stelle eine zu schließende Strafbarkeitslücke vermutet. Diskutiert wird deshalb, die (Weiter) Verarbeitung von Daten und deren Weitergabe (etwa gegen Entgelt) gesondert unter Strafe zu stellen.1 Der entsprechende, auf eine Initiative Hessens zurückgehende Gesetzesentwurf vom 30.4.20142 wurde dem Bundestag zugeleitet und dort, nun in Verbindung mit den Regelungen zur Verkehrsdatenspeicherung – am 12.6.2015 in erster Lesung diskutiert, wobei der Straftatbestand im Vergleich zur intensiven Diskussion über die Vorratsdatenspeicherung in den Hintergrund getreten ist.3 Sowohl materiell- als auch prozessrechtlich finden sich plausible Argumente gegen diesen Vorschlag, weshalb das Gesetzesvorhaben bezüglich des neuen Straftatbestands im Ergebnis nicht zu begrüßen ist. I. Anmerkungen zum materiellen Recht 3 Es kann nämlich bereits bezweifelt werden, ob überhaupt eine Strafbarkeitslücke vorliegt, da die bestehenden Regelungen den relevanten Bereich recht weitgehend abdecken und viele der problematischen bzw. das Rechtsgut gefährdenden Handlungen bereits erfassen: 1. Reichweite bestehender Regelungen 4 Nach den §§ 202a ff. StGB macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft (§ 202a Abs. 1 StGB), unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung oder aus elektromagnetischer Abstrahlung einer Datenverarbeitungsanlage verschafft (§ 202b StGB) oder eine derartige Straftat vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht (§ 202c StGB).
1
2 3
BT-Drucks. 18/1288, 2 f., 9–11; RefE., 2, 26-29; Justizminister Heiko Maas gegenüber Neue Presse am 8.8.2014, abrufbar unter: http://www.presseportal. de/pm/66865/2802923. BT-Drucks. 18/1288; vgl. auch Bundestag, ID: 18-57888. Zum aktuellen Stand des Gesetzgebungsverfahrens s. im CRonline Gesetzgebungsreport unter http://www.cr-online.de/24813.htm.
292
Stellungnahmen
Nach § 303a StGB wird mit Freiheitsstrafe bis zu zwei Jahren oder mit 5 Geldstrafe bestraft, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Für die Vorbereitung gilt § 202c StGB entsprechend, vgl. § 303a Abs. 3 StGB. § 303b StGB sanktioniert bestimmte erhebliche Störungen einer Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, durch jeweils spezifisch beschriebene Handlungen. §§ 106 ff. UrhG erklären u. a. denjenigen für strafbar, der in anderen als 6 den gesetzlich zugelassenen Fällen ohne Einwilligung des Berechtigten ein Werk oder eine Bearbeitung oder Umgestaltung eines Werkes vervielfältigt, verbreitet oder öffentlich wiedergibt (§ 106 UrhG), nach § 107 UrhG die Urheberbezeichnung unzulässig anbringt oder die Verwertungsbefugnisse der Inhaber verwandter Schutzrechte verletzt, § 108 UrhG. Wer diesbezüglich gewerblich handelt, erfüllt die Qualifikation des § 108a UrhG. Überdies sind die Umgehung technischer Schutzmaßnahmen und der Eingriff in zur Rechtewahrnehmung erforderliche Information strafbar, § 108b UrhG. Schließlich ist gem. §§ 44 BDSG strafbar, wer eine in § 43 Abs. 2 BDSG 7 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht. Das heißt konkret, wer –
unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
–
unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
–
unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,
–
die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht, oder
–
übermittelte Daten für andere als vorher bestimmte Zwecke nutzt, entgegen § 28 Abs. 3b BDSG den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht, entgegen § 28 Abs. 4 Satz 1 BDSG Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt,
–
bestimmte Merkmale mit einer Einzelangabe zusammenführt oder bestimmte Mitteilungen über unrechtmäßige Übermittlungen oder Kenntnisnahmen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
293
Anhang
8 Diese Darstellung der bereits existierenden, die Problematik doch recht weitgehend erfassenden Straftatbestände ist zudem im Zusammenhang mit den Beteiligungsregelungen (§§ 26 f. StGB) zu betrachten. In vielen Fällen werden Verhaltensweisen des späteren Datenverwenders als Anstiftung und Beihilfe zur illegalen Beschaffung von Daten also bereits heute strafrechtlich erfasst sein.4 9 Zwar gibt es wohl weiterhin einige wenige straflose Handlungen, die mit illegaler Datenbeschaffung in Verbindung stehen, etwa wenn tatsächlich jede Beteiligung an der Vortat fehlt und die Daten nicht unter das BDSG oder das UrhG fallen – an diesen Daten dürfte allerdings das Interesse gering sein. Zudem wird zugegebenermaßen die Verbindung zwischen Datenverwerter und Datenbeschaffer (also z. B. die Anstiftung) nicht in allen Fällen beweisbar sein.5 Diese Aspekte bedeuten aber gerade nicht, dass diese Lücke strafrechtlich geschlossen werden müsse. Die Feststellung einer Lücke in der strafrechtlichen Erfassung denkbarer Handlungen ist nur notwendig, aber keineswegs hinreichend für den Erlass eines neuen Straftatbestands. 2. Voraussetzungen für den Erlass eines Strafgesetzes 10 Selbst wenn feststehen sollte, dass der Gesetzgeber an die nicht erfassten Handlungen bei Erlass des Gesetzes nicht gedacht hatte, heißt auch das nicht, dass andernfalls ein Strafgesetz erlassen worden wäre. Für den Erlass eines Strafgesetzes ist vielmehr erforderlich, dass das jeweilige Handeln konkret strafwürdig ist, dass eine hinreichend bestimmte und funktionale Strafnorm erlassen werden kann und es überdies plausibel ist, dass das Gesetz den sozialen Konflikt überhaupt nachhaltig auflösen kann. Das ist für die geplante Norm zu überprüfen. a) Aktueller Gesetzesentwurf 11 Im Kontext mit illegal beschafften Daten gibt es, so der Gesetzgeber, „nach Angaben von Fachleuten [..] einen millionenschweren Schwarzmarkt, auf dem beispielsweise gestohlene Konto- und Kreditkarteninfos verkauft werden.“6 Die Zwischenhändler können derzeit nur nach nebenstrafrechtlichen Normen (§§ 43, 44 BDSG) belangt werden. Diese Normen erfassen nur ganz spezifische Fälle, ihre Strafdrohung ist ver4 5 6
Vgl. für den Ankauf von Steuerdaten Benkert in Lüderssen/Volk/Wahle, FS für Wolf Schiller, 2014, S. 33 f. BT-Drucks. 18/1288, 11; RefE, 27. http://www.fnp.de/nachrichten/transfer_alt/Datenhehlerei-soll-strafbar-werden;art1463,326277.
294
Stellungnahmen
gleichsweise niedrig. Das spricht aus Sicht des Gesetzgebers dafür, die Datenhehlerei unter Strafe zu stellen, um den Handel mit Daten – und damit die illegale Beschaffung – weniger attraktiv erscheinen zu lassen. Dabei sei aber ebenfalls erforderlich, dass diese Norm gleichzeitig die Entlastung staatlicher Behörden garantiere; so soll der Ankauf illegal erworbener Steuerdaten weiterhin möglich sein. Als Vorschlag eines entsprechenden Gesetzes wird derzeit diskutiert7: § 202d StGB „Datenhehlerei“ (1) Wer Daten i. S. v. § 202a Abs. 2, die nicht allgemein zugänglich sind 12 und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. [..] (3) Abs. 1 gilt nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere 1. solche Handlungen von Amtsträgern oder deren Beauftragten, mit denen Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen, sowie 2. solche beruflichen Handlungen der in § 53 Abs. 1 Satz 1 Nr. 5 der Strafprozessordnung genannten Personen, mit denen Daten entgegengenommen, ausgewertet oder veröffentlicht werden. b) Parallelität zu § 259 StGB Wie erwähnt führt der Gesetzgeber für die Notwendigkeit des Tatbe- 13 stands der Datenhehlerei das Schutzbedürfnis des Dateninhabers an, da seiner Ansicht nach durch die Norm die Attraktivität der illegalen Beschaffung verringert wird. Auch stünde eine Straflosigkeit derartigen Verhaltens in Widerspruch mit der Strafbarkeit der Hehlerei nach § 259 StGB. Das letztere Argument ist jedoch bereits insofern unplausibel, als die klassische Hehlerei von Sachen die Perpetuierung des Eigentumsverlusts bedeutet – bei Daten, die gerade nicht materialisiert sind und nicht nur einmal in der Wirklichkeit existieren und nur vom Gewahrsamsinhaber verwendbar sind, ist der Weiterverkauf dagegen nicht im
7
BT-Drucks. 18/1288, 7 f., hier aktualisiert entsprechend der Fassung im Referentenentwurf (S. 20).
295
Anhang
selben Maß rechtsgutsverletzend wie bei Sachen (auch wenn das generelle Interesse des Verfügungsberechtigten daran, dass seine Daten nicht weiterverbreitet werden, nicht zu bestreiten ist, wird es eben nicht auf dieselbe Weise verletzt wie das Eigentum durch Hehlereitaten). Deshalb lässt sich die Notwendigkeit der Norm jedenfalls nicht mit einer Parallelität zu § 259 StGB begründen. Eine Vertiefung der Rechtsgutsverletzung kann zwar in der weiteren Kenntnisnahme durch Dritte – also den Täter der Datenhehlerei – liegen, wobei aber zu beachten ist, dass der sich die Daten Verschaffende nicht unter Umgehung besonderer Sicherungsvorkehrungen o.Ä. handelt, was daran zweifeln lässt, dass seine Tat mit Blick auf die Verwerflichkeit der ersten Tat entspricht und tatsächlich einer eigenständigen Regelung im StGB – über die Regelungen des BDSG und UrhG hinaus – bedarf. c) Gesetzeszweck: Unattraktivität der Ersttat 14 Fraglich ist, ob das Argument der Attraktivitätsmilderung des Datenerwerbs valide ist. Die Verschaffung der Daten ist ja an sich bereits strafbar, der Ersttäter begeht also bereits eine illegale Handlung und geht dabei davon aus, dass er dafür nicht belangt wird – sonst würde er schon von dieser Ersttat Abstand nehmen. Diese Handlung ist eigentlich selbst schon durch einen entsprechenden Straftatbestand „unattraktiv“, wird aber in diesen Fällen trotzdem vorgenommen. Es ist nicht davon auszugehen, dass die Möglichkeit der Weiterverwertung der Daten – sei es durch eigenes, weiteres illegales Handeln oder durch Verkauf – durch das Gesetz derart eingeschränkt wird, dass die Unattraktivität der Ersttat im Vergleich zu der ohnehin schon bestehenden Gefahr der Strafverfolgung so ansteigt, dass der Ersttäter nun gerade deshalb sein Handeln überdenkt. Auch begeht er von den von der Norm erfassten Taten die Ersttat ja ohne vorherige Kontaktaufnahme mit einem möglichen Abnehmer (da sonst Anstiftung oder Beihilfe vorläge); er handelt also jedenfalls nicht aufgrund der Aussicht auf einen gesicherten Gewinn durch den Weiterverkauf der Daten, sondern – wenn materiell motiviert – auf Basis einer vagen Hoffnung, einen solchen Gewinn erreichen zu können. Dass sich diese verringert, ist zu bezweifeln. Das Argument ist also jedenfalls nicht so überzeugend, dass es als einzige Begründung die Einführung eines neuen Straftatbestands rechtfertigen könnte. d) Strafwürdigkeit 15 Nicht nur, dass die Argumente für den neuen Tatbestand nicht weit tragen – es finden sich zudem auch einige Argumente, die gegen seine
296
Stellungnahmen
Einführung sprechen:8 Zum einen ist die Handlung selbst – mangels konkreter weiterer Gefährdung der Verfügungsmacht über die Daten (diese bleibt vom Weiterverkauf unbeeinträchtigt, da Daten kein nur ein einziges Mal tatsächlich existierendes Gut sind) – nicht derart verwerflich, dass sie eine Bestrafung erfordert. Auch die bloße Überwindung von Beweisschwierigkeiten reicht jedenfalls nicht als Begründung für die Strafwürdigkeit der Datenhehlerei; es wäre höchst problematisch, eine Ausweitung der Strafbarkeit nur deshalb vorzunehmen, weil man bereits bestehende Strafbarkeiten in der Praxis nicht nachweisen oder angemessen verfolgen kann. Zudem wäre auch die Datenhehlerei selbst wahrscheinlich häufig schwer beweisbar, vor allem die zusätzliche Bereicherungs- oder Schädigungsabsicht. e) Geeignetheit und Erforderlichkeit des Verbots Das Verbot erscheint zudem nicht geeignet und erforderlich, um das Pro- 16 blem des Handels mit Daten zu lösen – so ist insgesamt das Strafrecht im Internet wenig erfolgversprechend, da die Akteure nur wenig Angst vor Strafverfolgung haben, die Strafnormen also kaum Abschreckungswirkung erzielen; das gilt gerade in Kontexten, in denen die konkrete Handlung für den Dateninhaber nicht erkennbar ist und deshalb nur die Taten zur Verfolgung gelangen, die vom Staat selbst ermittelt werden. Auch liegt die geringe Hemmschwelle vor der Begehung einer Straftat an der fehlenden Sozialkontrolle – der Täter agiert hier meist zumindest real alleine und unbeobachtet. Diese Überlegungen lassen sich nur entkräften, wenn im Einzelfall gute Gründe dafür erkennbar sind, dass eine Strafnorm tatsächlich geeignet ist, das Verhalten des Akteurs zu beeinflussen. Das ist hier nicht der Fall: Da sowohl Erwerb als auch Bezahlung der Daten ausschließlich online möglich sein werden, spricht mehr für eine schwache Resonanz auf strafrechtliche Verbote – auch, da sich wie in den meisten Fällen derartiger Taten die Problematik der Anwendbarkeit deutschen Strafrechts bzw. der Verfolgbarkeit der nicht auf deutschem Boden begangenen Straftaten stellt. Nicht zuletzt würden sich viele derzeitige Beweisprobleme wohl auch bei der Verfolgung dieses Straftatbestands ergeben. f) Verhältnismäßigkeit im engeren Sinne und Bestimmtheit Neben den durch den Gesetzgeber nicht ausgeräumten Zweifeln an der 17 Eignung ist auch nicht erkennbar, warum gerade Strafrecht das mildeste Mittel zur Bewältigung dieses Sozialkonflikts sein sollte – da es sich 8
Vgl. Golla/von zur Mühlen, JZ 2014, 668 ff.
297
Anhang
um die ultima ratio des Staates handelt, muss dies jeweils besonders begründet werden. Des Weiteren lässt sich ein solches Verbot kaum hinreichend genau beschreiben – weshalb auch auf die eher vage Formulierung „sonst zugänglich macht“ zurückgegriffen wird, dies ist jedoch mit Blick auf das Bestimmtheitsgebot problematisch. Schließlich wird die Entlastung staatlicher Behörden nach Abs. 2 kritisiert. So ist fraglich, warum Journalisten oder auch andere bestimmte Interna Veröffentlichende (Blogger, Whistle-Blower) vom Gesetzgeber nicht in derselben Weise privilegiert werden sollen, gibt es doch insofern verfassungsrechtlich geschützte Interessen (Informationsfreiheit), die zumindest die Begründung der Schlechterstellung erschweren.9 Das Problem wurde zwar durch die aktuelle Fassung etwas entschärft, aber wiederum zumindest nicht eindeutig mit Blick auf Blogger oder Whistle-Blower – die Ungleichbehandlung der staatlichen Institutionen ist jedenfalls weiterhin nicht ohne weiteres begründbar. g) Ergebnis zum materiellen Recht 18 Es ist deshalb festzustellen: Auch wenn grundsätzlich nachvollziehbar ist, dass es an der Einschränkung des von der geplanten Norm umschriebenen Verhaltens ein gewisses Interesse gibt, sprechen doch bessere Argumente für den Verzicht auf den Straftatbestand der „Datenhehlerei“, da er inhaltlich nicht geeignet und überdies nicht erforderlich ist, dieses Verhalten einzuschränken, problematische prozessuale Folgen hätte (dazu sogleich) und durch diese Mängel das Strafrecht insgesamt geschwächt wird: Jede neue symbolische Strafnorm stellt eine Schwächung des Kernstrafrechts dar! II. Anmerkungen zum Prozessrecht 19 Auch aus strafprozessualer Sicht begegnet die beabsichtigte Neuregelung durchgreifenden Bedenken. Insbesondere fehlt es nach wie vor an geeigneten Ermittlungsbefugnissen, um – vor allem in transnationalen Sachverhalten – im Bereich von Datennetzen den rechtsstaats- und gesetzeskonformen Zugriff auf potentiell beweiserhebliche Informationen zu gewährleisten. Mit diesen Problemen wären auch Ermittlungen wegen Verstößen gegen die beabsichtigte Neuregelung des § 202d StGB konfrontiert. Denn die derzeit geltende Strafprozessordnung ist nicht
9
Beck-Newsdienst, ZD-Aktuell 2012, 03007; Beck Fachdienst Strafrecht, FDStrafR 2014, 357851.
298
Stellungnahmen
geeignet, den Anforderungen an Ermittlungen im IT-Bereich in grundrechtskonformer Weise Rechnung zu tragen.10 1. Defizite strafprozessualer Eingriffsnormen Unproblematisch ist der Zugriff allein dann, wenn die Ermittlungsbe- 20 hörden Hardware in etwaig zu durchsuchenden Räumlichkeiten vorfinden, die dann ohne Frage Gegenstand einer Beschlagnahme nach den §§ 94 ff. StPO sein kann. Diese Ausgangslage entspricht jedoch nur selten der Realität. Denn potentiell inkriminierte bzw. beweiserhebliche Daten finden sich nicht selten auf externen Speichermedien. Das gilt vor allem in Zeiten der zunehmenden Nutzung von „Cloud Computing“, also der dezentralen Speicherung im Wege einer bedarfsorientierten und online verfügbaren Nutzung von Soft- und Hardwarekapazitäten. Die Beschuldigten benötigen in solchen Fällen nicht einmal zwingend eigene Hardware, sondern benutzen nicht selten öffentlich zugängliche Rechner in Internetcafés oder Call-Shops. Die in der Strafprozessordnung vorgesehenen Ermittlungsmaßnahmen geraten in diesen Fällen oft an ihre Grenzen – daran ändert auch die geplante Pflicht zur Vorratsdatenspeicherung nichts. Das gilt insbesondere dann, wenn es sich um Sachverhalte mit transnationalem Bezug handelt.11 2. Vorrang strafprozessualer Anpassung Der Gesetzgeber betont selbst, dass die vermeintlichen Täter einer 21 „Datenhehlerei“ oft vom Ausland aus agieren.12 Der Gesetzgeber würde hier demnach eine Strafnorm schaffen, zu deren effektiver (und zugleich rechtsstaatskonformer!) Durchsetzung ihm die Mittel bislang fehlen. Er ist demnach gehalten, zunächst die strafprozessualen Eingriffsnornen in grundrechts- und verfassungskonformer Weise an die Umstände moderner Telekommunikations- und IT-Nutzung anzupassen, bevor er – ohnehin nur vermeintliche – Strafbarkeitslücken materiell zu schließen versucht. III. Zusammenfassende Stellungnahme Sowohl in materieller als auch in prozessualer Hinsicht sprechen die 22 besseren Argumente gegen den Erlass des neuen Strafgesetzes zur Datenhehlerei. So existiert schon keine zu schließende Strafbarkeitslücke bzw. 10 Vgl. zu einer Beschreibung und Kritik einzelner Problemfelder Meinicke, DSRITB 2012, 773 ff. 11 Überblick zu den dabei aufkommenden Fragen bei Bär, ZIS 2011, 53 ff. 12 BT-Drucks. 18/1288, 1; RefE, 28.
299
Anhang
kein Strafbedürfnis. Die Norm hätte überdies aufgrund der Probleme, die subjektiven Elemente (Bereicherungs- oder Schädigungsabsicht) nachzuweisen, wohl primär symbolischen Gehalt bzw. würde der Eröffnung strafprozessualer Maßnahmen zur Verfolgung eigentlich anderer Taten dienen – das darf aber gerade keine Begründung für die doch stark freiheitseinschränkende Ausweitung materiellen Strafrechts sein. Überdies fehlen bisher die Mittel zur effektiven Durchsetzung dieser (und anderer in diesem Kontext bereits existierender) Straftatbestände. Insgesamt ist deshalb die geplante Schaffung eines neuen § 202d StGB abzulehnen.
300
Stellungnahme der DGRI zum Referentenentwurf eines Gesetzes zur verbesserten Durchsetzung des Anspruchs der Urheber und der ausübenden Künstler auf angemessene Vergütung Für Softwareindustrie weder Problemanalyse noch Zielsetzung überzeugend Malte Grützmacher/Mathias Lejeune/ Jörg Schneider-Brodtmann/Thomas Stögmüller* Das Bundesministerium der Justiz und für Verbraucherschutz hat den Referentenentwurf eines Gesetzes zur verbesserten Durchsetzung des Anspruchs der Urheber und der ausübenden Künstler auf angemessene Vergütung vorgelegt. Im Rahmen der Verbändeanhörung haben sich die Fachausschüsse Softwareschutz und Vertragsrecht der Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI) mit dem Referentenentwurf vom 5.10.2015 in einer Stellungnahme befasst. Die Stellungnahme der DGRI v. 21.12.2015 nimmt das in § 40a UrhG-E enthaltene Rückrufsrecht wegen anderweitiger Nutzung in den Blick und untersucht dessen Auswirkungen auf die Softwareindustrie und solcher Industrien, die Software im Zuge der zunehmenden Digitalisierung zusehends in ihren Produkten integrieren (etwa den Maschinenbau oder die Elektroindustrie). Sie gelangt zu dem Ergebnis, dass der Normvorschlag für den Bereich Computerprogramme und Datenbanken weder die Interessen der Urheber noch der Softwareindustrie angemessen berücksichtigt und daher abzulehnen ist. Im Einzelnen nimmt die DGRI wie folgt Stellung: 1. Der Referentenentwurf hat das Ziel, eine gestörte Vertragsparität zu beheben, der sich laut Referentenentwurf Kreative in vielen Fällen ausgesetzt sehen. Er soll insbesondere gegen eine dauerhafte Einräumung ausschließlicher Nutzungsrechte gegen unangemessene Einmalzahlung im Falle von sog. „Total Buy-Outs“ wirken.
*
RA Dr. Malte Grützmacher, LL.M., Hamburg; Dr. Mathias Lejeune, München; RA Dr. Jörg Schneider-Brodtmann, Stuttgart, RA Dr. Thomas Stögmüller, LL.M., München.
301
Anhang
Vorgeschlagen wird insofern eine Regelung, die im Kern vor allem auch ein weitergehendes Rückrufsrecht wegen anderweitiger Nutzung (§ 40a UrhG-E) vorsieht und welche im Falle der Einräumung ausschließlicher Nutzungsrechte für sämtliche Urheberrechtswerke ohne Einschränkung zur Anwendung kommen würde. Der Entwurf ist schon im Ansatz kritisch zu sehen, weil er – und zwar auch in den Details der Regelungen – gar nicht danach fragt, –
ob ein „Total Buy-Out“ wirklich in allen Segmenten der Urheberrechtsindustrie in gleichem Maße schädlich bzw. ob er nicht sogar in einigen Bereichen zwingend erforderlich ist und
–
ob wirklich in allen betroffenen Bereichen eine gestörte Vertragsparität vorliegt.
Der Entwurf arbeitet vielmehr nach dem „Gießkannenprinzip“. Der Entwurf greift damit – anders als die Regelungen der §§ 32, 32a-c UrhG, die tatbestandsmäßig nach der Angemessenheit der Vergütung bzw. einem auffälligen Missverhältnis fragen – im Übermaß in die Vertragsfreiheit ein. Der Referentenentwurf übersieht, dass das Urheberrechtsgesetz heute auf eine Vielzahl von Werken anwendbar ist, die nicht auf dem höchstpersönlichen, individuellen Schaffen von – sich zugegeben oft in einer schwachen Verhandlungsposition befindenden – Künstlern und sonstigen Kreativen beruhen, sondern auch auf solche Werke, die auf einem ingenieurmäßigen Vorgehen von Gruppen gut bezahlter Techniker basieren. Diese sind aber keinesfalls übermächtigen Verwertern ausgesetzt und in aller Regel auch auskömmlich bzw. in Ansehung der Marktnachfrage im Bevölkerungsschnitt überdurchschnittlich bezahlt. Es ist insofern insbesondere für Softwareentwickler in der Regel keine fehlende oder schwache Verhandlungsmacht zu attestieren, sondern teils sogar eine starke. Denn anders als bei herkömmlichen Urheberrechtswerken, zeichnet sich insbesondere Software dadurch aus, dass es hier regelmäßig aufgrund deren technischen Charakters und der damit verbundenen technischen Abhängigkeiten zu sog. Lock-in-Effekten kommen kann, zum anderen dadurch, dass in der Regel eine große Anzahl von Urhebern an einem Werk mitwirkt. Softwareentwicklung ist in diesem Sinne eher Industrieproduktion als individuelles künstlerisches Schaffen und kann daher mit diesem nicht in jeder Hinsicht gleichgesetzt werden. Eine unangemessene Bezahlung kann in diesem Markt bis dato nur äußerst selten attestiert werden. Aber auch in anderer Hinsicht geht der Referentenentwurf offenbar von falschen Voraussetzungen aus. So wird in der Begründung in Abschnitt 302
Stellungnahmen
A.II.1.b) im Hinblick auf § 40a UrhG-E ausgeführt, dass dies der „Kreativwirtschaft“ Anlass gebe, „bei Leistungen, die typischerweise nur über wenige Tage, Wochen oder Monate genutzt werden“ kürzere Laufzeiten für die Rechtseinräumung zu vereinbaren. Jedenfalls im Bereich der Softwareentwicklung gibt es keine solchen „kurzlebigen“ Leistungen. Vielmehr ist die Softwareindustrie angesichts der langen Entwicklungszyklen von oftmals mehreren Jahren und den hohen damit verbundenen Investitionen auf einen möglichst langen Verwertungszeitraum angewiesen. Wenn diese Investitionen schon nach Ablauf von fünf Jahren auf der Grundlage des Rückrufsrechts wegen anderweitiger Nutzung durch relativ einfache Gestaltungen zunichte gemacht werden könnten, würde das die (deutsche) Softwareindustrie nachhaltig schädigen. Insbesondere Start-Up-Unternehmen im Bereich der Softwareentwicklung hätten keinerlei Investitionssicherheit, denn zumeist arbeiten sie mit freien Softwareprogrammierern, auf die die Regelung des § 69b UrhG keine Anwendung findet. Sie müssten befürchten, dass im Falle einer erfolgreichen Markteinführung ein Programmierer sein Rückrufsrecht nach § 40a UrhG-E ausüben und seine Rechte an der sich dann bewährten Softwareentwicklung an ein zahlungskräftigeres Unternehmen veräußern würde, mit dessen Angebot das Start-Up-Unternehmen nicht mithalten kann, so dass das Vorkaufsrecht des § 40b UrhG-E leerläuft. Insofern überzeugt der breitflächige Entwurf schon hinsichtlich seiner Problemanalyse und Zielsetzung nicht, jedenfalls nicht in Bezug auf die Softwareindustrie. 2. Im Kern konzentriert sich die Kritik der DGRI vor diesem Hintergrund auf die Auswirkung des § 40a UrhG-E im Bereich der Softwareindustrie und solcher Industrien, die Software im Zuge der zunehmenden Digitalisierung zusehends in ihren Produkten integrieren (etwa den Maschinenbau oder die Elektroindustrie). Der Normvorschlag begegnet insofern insbesondere folgenden Bedenken: a) Soweit in § 40a UrhG-E auf den einzelnen Urheber abgestellt wird, fragt sich, ob dieses im Softwarebereich zielführend ist. Denn einerseits könnten insofern einzelne Miturheber – es sei denn, dass dem durch § 40a Abs. 3 UrhG-E entgegen gewirkt werden soll (dazu in der Folge unter f)) – nach Ablauf von fünf Jahren die weitere Verwertung durch den Rechteinhaber (Softwareanbieter) verhindern bzw. mehr oder minder unmöglich machen. Die Besonderheit liegt bei Computerprogrammen insofern im Vergleich zum solitären künstlerischen Werk darin, dass der Beitrag des einzelnen Programmierers häufig so in das „Gesamtwerk“ verwoben ist, dass er sich technisch nicht ohne weiteres trennen oder gar 303
Anhang
austauschen lässt. Dies gilt umso mehr, wenn ein Computerprogramm seinerseits mit anderen Programmen verbunden und/oder in Hardware integriert wird (sog. embedded Software). Mithin würde über das Rückrufsrecht zugunsten der einzelnen Urheber nicht etwa nur eine angemessene Vergütung abgesichert, sondern diese würden vielmehr mit einem erheblichen Erpressungspotential ausgestattet werden, wenn sie ohne nennenswerte weitere Anforderungen (dazu unten unter c)) die gesamte Verwertungskette zusammenbrechen lassen könnten. Das kann zu einer viel größeren Störung der Vertragsparität führen, als sie derzeit im Softwaremarkt – im Verhältnis zwischen Urheber und Verwerter – anzutreffen ist. Dies gilt insbesondere dann, wenn ein Computerprogramm von einem Unternehmen in die Wertschöpfungskette einbezogen und als Teil eines Kundenproduktes (z. B. embedded in eine Hardware) veräußert wurde. Sofern es nämlich zwischen dem Urheber und dem Unternehmen (ausschließlichen Lizenznehmer) zu keiner Einigung über die Vergütung kommen sollte, gerät das Unternehmen durch den Wegfall des Nutzungsrechts automatisch in eine Rechtsmängelhaftung gegenüber seinen Kunden. b) Es kommt hinzu, dass die Rechtsprechung im Softwareurheberrecht regelmäßig dazu neigt, trotz des klaren Wortlauts der Regelungen den „Urheber“ dem Rechteinhaber gleichzustellen (so etwa zu § 34 Abs. 1 UrhG: OLG Karlsruhe v. 27.7.2011 – 6 U 18/10, CR 2011, 641 = GRURRR 2012, 98 [101]; OLG München v. 3.7.2008 – 6 U 2759/07, CR 2008, 551; OLG Düsseldorf v. 1.9.2009 – 20 U 89/09, K&R 2009, 730 [731]; OLG Frankfurt v. 12.5.2009 – 11 W 15/09, CR 2009, 423; LG Mannheim v. 22.12.2009 – 2 O 37/09, CR 2010, 159 [161]; LG Frankfurt MMR 2011, 683 [684]; LG München v. 15.3.2007 – 7 O 7061/06, CR 2007, 356 [358 ff.]). Es sollte insofern in der Gesetzesbegründung klargestellt werden, dass hier der Urheber im eigentlichen Sinne gemeint ist und gerade nicht der exklusive Rechteinhaber. Dieses ist auch deshalb wichtig, weil sonst Verwertungsketten ganz erheblich und empfindlich gestört werden könnten. c) Die Voraussetzungen für die Ausübung des Rückrufsrechts wegen anderweitiger Nutzung gem. § 40a Abs. 1 UrhG-E sind völlig unklar. Geregelt ist lediglich, dass sich „ein anderer Vertragspartner zur Nutzung nach dem Rückruf verpflichtet“ haben muss. Nicht geregelt ist, ob es sich bei dem Recht des „Zweiterwerbers“ um ein einfaches oder ausschließliches Nutzungsrecht handeln muss, ob dieses entgeltlich oder auch unentgeltlich eingeräumt werden kann und für welche Dauer es eingeräumt wird. Das „Vorkaufsrecht“ nach § 40b UrhG-E hilft dem bis304
Stellungnahmen
herigen Rechteinhaber hier nicht weiter. Hat er beispielweise ein dauerhaftes ausschließliches Nutzungsrecht erworben und der „Zweiterwerber“ nur ein einfaches Nutzungsrecht für ein Jahr, könnte der bisherige Rechteinhaber aufgrund des „Vorkaufsrechts“ nur dieses eingeschränkte Nutzungsrecht erwerben, um den völligen Rechteverlust zu vermeiden. Damit würde missbräuchlichen Gestaltungen, die allein dem Zweck dienen, dass sich der Urheber von einer früher erfolgten Rechteeinräumung lösen bzw. nachverhandeln kann, Tür und Tor geöffnet. Die Vertragsparität würde dadurch nicht befördert, sondern, wie oben ausgeführt, nachhaltig gestört. d) Schon der mögliche Entzug ausschließlicher Nutzungsrechte führt insofern bereits zu einer ganz erheblichen Schwächung der Marktposition einzelner Softwareanbieter, und es ist in Ansehung der teils monopolistischen, zumindest aber oft oligopolistischen Marktsituation sogar zu befürchten, dass entsprechend marktmächtige Unternehmen aufstrebende KMU‘s der deutschen Wirtschaft durch entsprechend „erkaufte“ Rückrufe gezielt schwächen könnten. Denn die Teile der Software, für die ein Rückruf erfolgte, können in der Regel nicht ohne weiteres wieder durch „Zukauf“ von dritter Seite ersetzt werden. e) Hinzu kommt, dass entsprechende Softwareanbieter auf die technische Funktionalität der lizenzierten Software im Zweifel angewiesen sein werden. Es fragt sich daher auch, warum denn nicht zumindest einfache Nutzungsrechte – und entsprechende Tochterrechte (dazu unten unter j)) – weiterhin bestehen könnten, auch wenn schon diese mit einer erheblichen Schwächung des Softwareanbieters einhergehen würden. f) Es ist unklar, wie § 40a Abs. 3 UrhG-E zu lesen ist, insbesondere ob Nutzungsrechte bei Gemeinschaftswerken wie Software nur von sämtlichen Miturhebern bzw. allen Urhebern verbundener Werke zurückgerufen werden können, was nach Auffassung der DGRI zu fordern wäre, oder gar nur von einem einzigen Miturheber, der die Gesamtsoftware dadurch praktisch unverwertbar machen könnte. Dass der Verweis auf die §§ 8 und 9 UrhG allein nicht für Klarheit sorgt, zeigen schon die bisherigen Kommentierungen zu § 8 UrhG (etwa Dreier/Schulze, UrhG, 5. Aufl., § 8 Rz. 13), nach denen keinesfalls klar ist, ob schon einzelne Miturheber Rückrufsrechte ausüben können oder nur alle Miturheber gemeinsam oder ob es gar auf den Einzelfall ankommt. Es schließen sich ggf. Folgefragen an (nachfolgend g) und h)). g) Sollte die Ausübung durch den einzelnen Miturheber gemeint sein, fragt sich, ob ein solcher Rückruf dann ggf. auch nur durch einen (ggf. auch ehemaligen) Arbeitnehmer erfolgen könnte. Hiergegen spricht, dass 305
Anhang
für diesen ein entsprechendes Rückrufsrecht gegen Art. 3 der Computerprogrammrichtlinie verstoßen dürfte. Ist der Arbeitnehmer als Miturheber bzw. als Urheber eines verbundenen Werkes aber ausgeschlossen, so greift ggf. § 40a UrhG-E für Computerprogramme in der Regel überhaupt nicht mehr. Sieht man dieses anders, würden wiederum einzelne Miturheber ein extrem ausgeprägtes Erpressungspotential erlangen. Sie könnten die Verwertung von über Jahre oder gar Jahrzehnte entwickelter Software blockieren, und zwar insbesondere, wenn sie an der Entwicklung des ursprünglichen Software-„Nukleus“ einer solchen Softwareentwicklung beteiligt waren. h) Kann ein ausschließliches Nutzungsrecht von einem einzelnen Miturheber allein zurückgerufen werden, so wird dieses im Zweifel weiter dazu führen, dass der Softwareanbieter seine wirtschaftlichen Interessen (Exklusivrechte an seinem eigenen Produkt) auch dann nicht mehr durchsetzen kann, wenn er die Software im Übrigen mit Hilfe seiner Arbeitnehmer entwickelt hat. Denn er kann nicht mehr gegen Dritte vorgehen, wenn die Software auf diesem Wege durch Miturheber – sprich gemeinsam – geschaffen wurde. Dieses ergibt sich zumindest nach der Rechtsprechung des OLG Frankfurt (OLG Frankfurt v. 17.9.2002 – 11 U 67/00, CR 2003, 50 = MMR 2003, 45 [47] – IMS Health; OLG Frankfurt v. 12.11.2013 – 11 U 48/08, GRUR 2014, 991 [992] – Segmentstruktur), der die Literatur weitestgehend gefolgt ist (etwa Dreier/Schulze, UrhG, 5. Aufl., § 8 Rz. 20: „Wer jedoch nicht selbst Miturheber ist, sondern nur abgeleitete Rechte besitzt, muss sich die Rechte von allen Miturhebern beschaffen, wenn er gegen Rechtsverletzer vorgehen will.“). So ist nach dieser Rechtsprechung lediglich der Miturheber zur Geltendmachung von Unterlassungsansprüchen berechtigt. Der exklusive Rechtsinhaber hingegen kann sich nicht ohne weiteres auf die gesetzliche Prozessstandschaft gem. § 8 UrhG berufen, sondern nur vorgehen, wenn er sämtliche exklusiven Nutzungsrechte innehat. Diese Möglichkeit, Unterlassungsansprüche geltend zu machen, würde gefährdet, wenn ein Miturheber seine Rechte für sich allein zurückrufen könnte. i) Man kann weiter die Frage stellen, ob nicht zumindest Computerprogramme aus dem Bereich des § 40a UrhG-E ausgenommen sein sollten. Dieses schon vor dem Hintergrund der zwingenden Regelung zum Arbeitnehmerurheberrecht der Computerprogramm-Richtlinie. Gleichzeitig enthält Software häufig aber auch andere Werke, insbesondere Datenbankwerke, für die Ähnliches gilt. Und auch Datenbankenwerke lassen sich, zumindest was ihren strukturellen Schutz anbelangt, oftmals nicht von heute auf morgen bzw. ohne unverhältnismäßig hohe Kosten aus Softwareprodukten entfernen. Auch 306
Stellungnahmen
hier besteht im Zweifel – betroffen sind i. d. R. wieder Softwareentwickler – kein Bedürfnis für einen Schutz gegen eine unausgewogene Vertragsparität in Ansehung eines unangemessenen Vergütungsniveaus. Weiter sind in vielen modernen Computerprogrammen auch zahlreiche sonstige Werke fest integriert, und zwar in einer Art und Weise, dass beim Wegfall einer entsprechenden Lizenz nach fünf Jahren das gesamte Computerprogramm umfassend neu gestaltet werden müsste. Zu denken ist hier etwa an Filmwerke im Rahmen von Computerspielen. j) Inakzeptabel ist jedenfalls für technische Werke wie Software auch die Regelung unter § 40a Abs. 5 UrhG-E, mit der das sofortige Erlöschen der Nutzungsrechte angeordnet wird, zumal dieses auch mit Blick auf Tochter- und Enkelrechte gelten soll. Diese Regelung widerspricht der ständigen Rechtsprechung des BGH, der bei Wegfall der Hauptlizenz zu einem Überleben der Unterlizenzen gelangt (BGH GRUR 2009, 956 – Reifen Progressiv, BGH v. 19.7.2012 – I ZR 24/11, CR 2012, 575 = GRUR 2012, 914 – M2Trade und BGH GRUR 2012, 915 – Take Five). Dies kann für den ausschließlichen Rechteinhaber zu einer Rechtsmängelhaftung gegenüber seinen Lizenznehmern führen. k) Nicht ausreichend und nicht akzeptabel ist auch die Ausnahmeregelung in § 40a Abs. 6 UrhG-E. Danach kann von den Abs. 1 bis 5 nur durch eine Vereinbarung abgewichen werden, die auf einer gemeinsamen Vergütungsregel oder einem Tarifvertrag beruht. Für kommerzielle, in der produzierenden Industrie einzusetzende Computerprogramme existieren aber weder Vereinigungen von Werknutzern noch Vereinigungen von Urhebern, die entsprechende gemeinsame Vergütungsregelungen nach § 36 UrhG abschließen könnten. Für derartige Computerprogramme läuft die als Ausnahmevorschrift gedachte Regelung deshalb weitgehend leer, zumal dem Arbeitgeber bei Computerprogrammen, die die Mitarbeiter im Rahmen ihres Arbeits- oder Dienstverhältnisses erstellen, die Nutzungsrechte gemäß gesetzlicher Fiktion zustehen (§ 69b UrhG), weil insoweit nach der ratio legis der Arbeitslohn bzw. die Vergütung als ausreichende Entlohnung angesehen werden. l) Wie oben unter c) ausgeführt, ist zu bezweifeln, dass § 40b UrhG-E dem ausschließlichen Rechteinhaber einen angemessenen Ausgleich für die Nachteile des Rückrufs der Nutzungsrechte mit sich bringt. Außerdem ist es wie gesagt nicht auszuschließen, dass marktstarke in- und vor allem ausländische Wettbewerber die Regelung des § 40a UrhG gerade zu Lasten kleiner und mittelständischer Softwareunternehmen missbrauchen.
307
Anhang
3. Auch § 41 UrhG-E ist mit Blick auf Computerprogramme nicht akzeptabel. Ein Zeitraum von zwei Jahren erscheint viel zu kurz. Die DGRI kommt daher zu dem Ergebnis, dass der Referentenentwurf eines Gesetzes zur verbesserten Durchsetzung des Anspruchs der Urheber und Künstler auf angemessene Vergütung vom 5.10.2015 hinsichtlich §§ 40a und 40b UrhG-E sowie der Änderungen des § 41 UrhG für den Bereich der Computerprogramme und Datenbanken weder die Interessen der Urheber noch der Softwareindustrie angemessen berücksichtigt und daher abzulehnen ist. Sofern der Gesetzgeber Handlungsbedarf zur Sicherstellung einer angemessenen Vergütung von Softwareprogrammierern oder der Kreativwirtschaft erkennt, wären aus Sicht der DGRI die geeigneten Maßnahmen eine etwaige Nachbesserung der §§ 32a – 32c UrhG.
308