TMT Newsletter | November 2023
Ausblick
Am 23.11.23 entscheidet der EuGH über die Auswirkungen der Durchsetzungs-RL 2004/48/EG auf die gerichtliche Durchsetzung erweiterter kollektiver Lizenzen durch Verwertungsgesellschaften. Am selben Tag verhandelt der EuGH (erneute BGH-Vorlage) über die Auslegung von Art. 80 Abs. 2 DSGVO, ob im Zusammenhang mit der Frage, ob Verbraucherverbände auch bei etwaigen Informationspflichtverletzungen (Art. 12 Abs. 1, Art. 13 Abs. 1 DSGVO) klagebefugt sind. Der BGH verhandelt am 23.11.23 darüber, ob modulare Möbelbausysteme urheberrechtlich schutzfähig sind (Vorinstanz OLG Düsseldorf: nein, aber wettbewerbsrechtlicher Leistungsschutz, § 4 Nr. 3 lit. b) UWG). Am 05.12.23 entscheidet der EuGH u.a. darüber, ob Art. 83 DSGVO auch eine verschuldensunabhängige Haftung des Verantwortlichen umfasst (GA Emiliou: nein) und ob sich der Verantwortliche das Verschulden eines Auftragsverarbeiters zurechnen lassen muss (GA Emiliou: grundsätzlich ja). Der EuGH entscheidet am selben Tag (Vorlage des KG Berlin) ferner darüber, ob ein DSGVO-Bußgeld gegenüber einer juristischen Person die Feststellung eines DSGVO-Verstoßes einer natürlichen Person voraussetzt, die "im Dienst dieser juristischen Person" steht (GA Sánchez-Bordona: nein). Am 07.12.23 entscheidet der EuGH in zwei Verfahren mit Schufa-Beteiligung: Zum einen, ob das Schufa-Scoring Profiling darstellt (GA Pikamäe: Ja); zum anderen, ob die dreijährige Speicherung der Restschuldbefreiung rechtmäßig ist (GA Pikamäe: Nein).
EuGH – Österreichisches KoPl-G verstößt gegen Herkunftslandprinzip
Das dem NetzDG ähnliche KoPl-G macht Anbietern von Kommunikationsplattformen prozedurale Vorgaben im Umgang mit rechtswidrigen Inhalte vorzuhalten. Solche abstrakt-generellen Pflichten verstoßen gegen das Herkunftslandprinzip der E-Commerce-RL, nach dem Dienste der Informationsgesellschaft grds. nur der Aufsicht im Herkunftsmitgliedstaat unterliegen. (EuGH PM, Urteil C-376/22).
EuGH – Kopienanspruch auch bei Verfolgung datenschutzfremder Zwecke
Auch ein Patient, der mit Einblick in die Kopie seiner Patientenakte Arzthaftungsanspruch Vorbereitet, hat – entgegen § 630g Abs. 2 S. 2 BGB – einen unentgeltlichen und nicht begründungsbedürftigen Anspruch auf eine vollständige Erstkopie (EuGH PM, Urteil C-307/22).
EuGH-GA – Beweiserleichterung bei Diebstahl personenbezogener Daten
Der Diebstahl selbst ist zwar noch kein Identitätsdiebstahl oder -betrug (vgl. Erwgr. 75 DSGVO). Wird der Betroffene allerdings infolge des Diebstahls zum Opfer eines Identitätsdiebstahls (ggf. durch einen Dritten), kann dies den Nachweis eines immateriellen Schadens erleichtern. GA Collins reiht sich damit ein in diesjährige Schlussanträge (EuGH-GA Sánchez-Bordona C-667/21: verschuldensunabhängige Haftung) und Urteile (EuGH C-300/21: DSGVO-Verstoß allein nicht ausreichend) zu Art. 82 DSGVO (EuGH-GA Anträge C-182/22, C-189/22).
EP – Ausschussposition gegen anlasslose "Chatkontrolle"
Diese ist ein – umstrittener – Bestandteil des EUKOM-Vorschlags zur Bekämpfung sexuellen Missbrauchs an Kindern im Internet. Nach ihr müssen Hosting- und Chatdiensteanbieter auf Grund von "Aufdeckungsanordnungen" Inhalte ihrer Nutzer mittels einer Software automatisch auf bekanntes sowie neues Missbrauchsmaterial und verdächtige Kontaktaufnahmen mit Kindern ("Grooming") durchsuchen. Die Ausschussfassung begrenzt diese Inhaltssuche auf verdächtige Einzelpersonen sowie Gruppen und führt einen Richtervorbehalt ein (EP PM v. 14.11.23).
EP – Data Act (DA) für innovative Datenwirtschaft angenommen
Das EP konnte dabei seine Änderungen für einen besseren Geschäftsgeheimnisschutz durchbringen, Art. 5 Abs. 9 DA. Der angenommene Text enthält auch die vom EP vorgeschlagenen weitergehenden Regeln zum einfachen Wechsel von Datenverarbeitungsdiensten, Art. 23 ff. DA. Nach Zustimmung des Rats und 20 Tage nach Veröffentlichung im Amtsblatt tritt die Verordnung in Kraft, 20 Monate später ist sie anwendbar (EP PM v. 09.11.23).
BKartA – Kooperation von Microsoft und OpenAI unterfällt nicht der Fusionskontrolle
Zwar erfülle die Kooperation die Voraussetzungen des Zusammenschlusstatbestands, da Microsoft einen "wettbewerblich erheblichen Einfluss" auf OpenAI habe. Mit ChatGPT sei OpenAI aber erst seit 2023 in Deutschland aktiv, sodass noch keine Tätigkeit von "erheblichem Umfang" vorliege, § 35 Abs. 1a GWB. Das BKartA beobachtet aber die weitere Entwicklung von OpenAI wie auch die weitere Zusammenarbeit von Microsoft und OpenAI (BKartA v. 15.11.23).
LDS-HH – Generative KI in Unternehmen ohne personenbezogene oder -beziehbare Daten
Eine Checkliste mit 15 Punkten soll Unternehmen und Behörden einen rechtmäßigen Einsatz von Chatbots erleichtern. Auch das Verwenden von Opt-Out-Möglichkeiten bzgl. der Verwendung eingegebener Daten zu Trainingszwecken oder der Speicherung des Chatverlaufs dient einer datenschutzkonformen Nutzung. Weitere möglicherweise einschlägige Gesetze, wie das UrhG oder das GeschGehG, sind ebenfalls zu berücksichtigen; Schulungen können Mitarbeiter hierfür sensibilisieren (LDS-HH PM v. 13.11.23).
EUKOM/G7 – Grundsätze für "vertrauenswürdige" KI festgelegt
Insgesamt elf "Internationale Grundsätze für die Entwicklung fortgeschrittener KI-Systeme" sollen dabei KI-Entwicklern als Handreichung dienen. Zur Stärkung der Sicherheit der KI-Systeme sowie des Vertrauens in diese Systeme sollen sie etwa internationale Standards entwickeln und verantwortungsvoll Informationen teilen. Ein Kennzeichnungssystem soll KI-generierte Inhalte etwa durch Wasserzeichen erkenntlich machen. Ein (ebenso freiwilliger) Code of Conduct konkretisiert die Grundsätze (EUKOM PM v. 30.10.23).
EDRi et al. – Klage gegen VO zur Bekämpfung der Verbreitung terroristischer Online Inhalte
Die VO (EU) 2021/784 sieht u.a. vor, dass Hosting-Anbieter gemeldete terroristische Inhalte innerhalb von einer Stunde entfernen müssen, Art. 3 Abs. 3 TCOR. European Digital Rights hat zusammen mit La Quadrature du Net und weiteren Bürgerrechtsorganisationen hiergegen eine Klage beim Conseil d'État eingereicht. Vorgeschlagene Fragen für ein Vorlageverfahren an den EuGH behandeln die Vereinbarkeit der VO mit dem Schutz der Privatsphäre und Meinungsfreiheit, Art. 7, 8, 11 GRCh (PM EDRi v. 09.11.23).