TMT Newsletter | Dezember 2023
Ausblick
Der BGH entscheidet am 21.12.23 in der Sache USM Haller über die urheberrechtliche Schutzfähigkeit eines Möbelbausystems. Der EuGH entscheidet am selben Tag zur Verarbeitung von Gesundheitsdaten sowie erneut zu Zweck und Umfang des immateriellen Schadensersatzes (GA Sánchez-Bordona: Verschulden bei Umfang des Schadensersatzes irrelevant). Am 09.01.24 verhandelt der EuGH über die Klagebefugnis von Mitbewerbern bei Datenschutzverstößen sowie die Frage, ob Bestelldaten bzgl. nicht-verschreibungspflichtiger Medikamente Gesundheitsdaten i.S.d. Art. 9 Abs. 1 DSGVO sind. Am 11.01.24 entscheidet der EuGH über die Frage, wie weit die markenrechtliche Ausnahme "zum Verweis auf Waren oder Dienstleistungen" Benutzungen zulässt. Außerdem entscheidet der EuGH am selben Tag, ob eine verschuldensunabhängige Haftung bei später aufgehobenen einstweiligen Verfügungen im geistigen Eigentum zulässig ist (GA Szpunar: Nein ).
EuGH –Bußgeld setzt vorsätzlichen oder fahrlässigen DSGVO-Verstoß voraus
Dies folgert der EuGH aus einer Zusammenschau der Absätze 2 und 3 von Art. 83 DSGVO. Da diese Vorschrift, anders als andere DSGVO-Normen, keine Öffnungsklausel zugunsten der Mitgliedstaaten enthält, können diese keine strengere, i.e. verschuldensunabhängige DSGVO-Haftung normieren (EuGH PM, Urteil C-683/21).
EuGH – DSGVO-Bußgeld gegen Unternehmen auch ohne Verstoß eines Leitungsorgans möglich
Danach ist § 30 OWiG, der ein Bußgeld zulasten einer juristischen Person an die Zurechnung des Verstoßes zu einer bestimmten natürlichen Person knüpft, für DSGVO-Verstöße nicht anwendbar. Dies folgt aus dem weiten Verständnis des "Verantwortlichen" i.S.d. DSGVO, der natürliche und juristische Personen umfasst. Bei der Berechnung der Geldbuße ist auf den wettbewerbsrechtlichen Begriff des "Unternehmens" abzustellen, sodass der weltweite gesamte Jahresumsatzes als Grundlage dient (EuGH PM, Urteil C-807/21).
EuGH – Speicherdauer privater Datenbanken hat sich an öffentlichen Registern zu orientieren
Die SCHUFA speichert die Restschuldbefreiung für drei Jahre, während diese im öffentlichen Insolvenzregister nur für sechs Monaten gespeichert ist, § 3 Abs. 1 S. 1 InsBekV. Dieser zeitlichen Diskrepanz ist i.R.d. Abwägung nach Art. 6 Abs. 1 lit. f) DSGVO Rechnung zu tragen: Eine über die gesetzliche Dauer hinausgehende Speicherung ist grds. nicht erforderlich; vielmehr gefährdet sie den Zweck der Wiederteilnahme am wirtschaftlichen Leben und ist somit unzulässig (EuGH PM, Urteil C-26/22, C-64/22).
EuGH – SCHUFA-Scoring ist grundsätzlich unzulässiges Profiling
Hierbei berechnet die SCHUFA durch ein mathematisch-statistisches Verfahren anhand personenbezogener Merkmale die Wahrscheinlichkeit eines bestimmten künftigen Verhaltens. Ist der errechnete Score-Wert einer Person entscheidend für den Kunden der SCHUFA, sieht der EuGH hierin eine "automatisierte Entscheidung im Einzelfall" i.S.d Art. 22 DSGVO. Das VG Wiesbaden hat nun zu prüfen, ob das Scoring ausnahmsweise auf eine nationale Vorschrift (hier: § 31 BDSG) gestützt werden kann (EuGH PM, Urteil C-634/21).
EuGH – Verantwortlicher kann auch bei Hackerangriff haften
Die Erbeutung personenbezogener Daten allein zeigt dabei aber noch nicht, dass die technischen Schutzmaßnahmen (vgl. Art. 24, 32 DSGVO) ungeeignet waren. Die Beweislast, dass die konkreten Maßnahmen geeignet waren, liegt beim Verantwortlichen. Die aus dem Datendiebstahl folgende Befürchtung eines möglichen Missbrauchs der Daten sowie der "Verlust der Kontrolle" über die Daten als solcher kann bereits einen immateriellen Schaden darstellen, sofern der Betroffene dies nachweisen kann (EuGH PM, Urteil C-340/21).
EuGH – Auch Bagatellschäden nach DSGVO-Verstoß grundsätzlich ersatzfähig
Der Betroffene hat den Schaden, so geringfügig er auch sein mag, konkret nachzuweisen. Außerdem muss sich der Schaden von der bloßen Verletzung der DSGVO-Vorschrift unterscheiden (EuGH Urteil C-456/22).
EP – Trilog-Einigung zur KI-Regulierung mit Bußgeldern i.H.v. bis zu 7 % des Jahresumsatzes
Die grundlegende Ausrichtung des EUKOM-Vorschlags, KI-Anwendungen abgestuft nach ihrem Risikopotential zu regulieren, wurde beibehalten. Basismodelle (sog. foundation models) müssen Transparenz- und Dokumentationspflichten u.a. mit urheberrechtlichem Bezug erfüllen. Die politische Einigung muss noch schriftlich fixiert werden, bevor sie im Parlament und Rat zur Abstimmung steht (EP PM v. 09.12.23).
EP – Trilog-Einigung zum Medienfreiheitsgesetz
Der VO-Vorschlag der EUKOM aus dem Herbst 2022 sah u.a. vor, dass Inhalte von Mediendiensteanbieter auf sehr großen Online-Plattformen i.S.d. DSA nur unter erhöhten Voraussetzungen gelöscht werden können. Im Trilog-Verfahren hat das Europäische Parlament dies weiter konkretisiert, so müssen Mediendiensteanbieter grds. 24 Stunden haben, um auf eine Löschungsaufforderung eines VLOPs zu reagieren. Dem noch unveröffentlichten finalen Text müssen Parlament und Rat noch zustimmen (EUKOM PM v. 18.12.23).
EUKOM – DSA-Untersuchung gegen X (früher Twitter) eröffnet
Die EUKOM hatte X als sehr große Online-Plattform designiert. Die Untersuchung betrifft Pflichten wie das Risikomanagement, Art. 34, 35 DSA, Transparenz der Online-Werbung durch ein Archiv, Art. 39 DSA, und den Datenzugang für Forscher, Art. 40 DSA. Auch die Einhaltung allgemeiner Pflichten für Online-Plattformen wie Benachrichtigungen der Nutzer bei der Content Moderation, Art. 16 DSA, und das Verbot von Dark Patterns, Art. 25 DSA, sind Gegenstand der Untersuchung (EUKOM PM v. 18.12.23).
LAG Düsseldorf – Kein Schadensersatz bei bloßem Verstoß gegen Auskunftspflicht
Der ehemalige Arbeitgeber hatte dem Betroffenen nur eine unvollständige und verspätete Auskunft erteilt. Dies stelle zwar einen Verstoß gegen Art. 12 Abs. 3, 15 DSGVO dar; die Vorinstanz hatte hierfür noch einen Schadensersatz i.H.v. EUR 10.000 zugesprochen. Das LAG sah jedoch bereits den Anwendungsbereich des Art. 82 DSGVO nicht eröffnet, da hierfür ein Verstoß bei der Datenverarbeitung vorliegen müsse. Außerdem sei ein Verstoß gegen die DSGVO an sich noch kein Schaden (LAG Düsseldorf PM v. 28.11.2023).
