TMT Newsletter | September 2023

Ausblick:
Morgen verhandelt der EuGH verschiedene datenschutzrechtliche Vorlagefragen im Zusammenhang mit dem automatisierten und maschinenlesbaren Einwilligungsmanagement bei der Echtzeitversteigerung von Online-Werbeplätzen. GAin Medina veröffentlicht ebenfalls morgen ihre Schlussanträge zur "Benutzung" einer Marke bei der Anbringung von Zeichen auf Autoersatzteilen. Das BVerfG verhandelt am 26.09.2023 über die Verfassungsmäßigkeit verschiedener Ermächtigungsgrundlagen im Bundeskriminalamtsgesetz (BKAG) u.a. zur heimlichen Überwachung von Kontaktpersonen zum Zweck der Terrorismusabwehr. Am 28.09.23 veröffentlicht GA Szpunar erneute Schlussanträge zur Frage der Zulässigkeit der Vorratsdatenspeicherung zur Verfolgung von Urheberrechtsverstößen (Schlussanträge v. 27.10.22: Vorratsdatenspeicherung unter strengen Voraussetzungen in begrenztem Umfang zulässig), nachdem der EuGH zuvor die mündliche Verhandlung wiedereröffnet hat.

EuGH – Zweckbindung der bei Vorratsdatenspeicherung erhobenen Daten
Die Vorratsdatenspeicherung kann in begrenztem Umfang u.a. zur Bekämpfung schwerer Kriminalität rechtmäßig sein, Art. 15 RL 2002/58/EG (e-Privacy RL; vgl. hierzu vor allem EuGH C-793/19 und C-140/20). Die ursprünglich zu diesem Zweck verarbeiteten Daten dürfen indes nicht auch für weniger gewichtige Ziele, etwa für Verwaltungsuntersuchungen wegen möglicher Korruption, genutzt werden (EuGH PM v. 07.09.23, Urteil C-162/22).

EuGH-GA – DSGVO auf Veröffentlichung von Dopingdaten durch nationale Anti-Doping-Behörden unanwendbar
Zwar sei etwa die österreichische Unabhängige Schiedskommission nach Ansicht von GAin Ćapeta ein vorlageverpflichtetes "Gericht" i.S.d. Art. 267 Abs. 4 AEUV. Allerdings falle die Anti-Doping-Politik aufgrund ihres primären Sportbezugs nicht in den "Anwendungsbereich des Unionsrechts", Art. 16 Abs. 2 AEUV. Sollte die DSGVO doch anwendbar sein, sei der Eingriff in die Rechte der Sportler durch das Präventionsziel gerechtfertigt (EuGH-GA PM v. 14.09.23, Anträge C-115/22).

EUKOM – DSA- und DMA-Benennungen
Nach der Benennung 17 sehr großer Online-Plattformen (VLOPs) und zwei sehr großer Online-Suchmaschinen (VLOSEs), für die seit dem 25.08.23 der DSA gilt (Art. 92 DSA), hat die EUKOM nun auch sechs "Gatekeeper" benannt. Diese müssen ihre vom DMA erfassten zentralen Plattformdienste innerhalb von sechs Monaten mit den DMA-Vorgaben, insbesondere Artt. 5 ff. DMA, in Einklang bringen. Marktuntersuchungen sollen zeigen, ob andere Plattformdienste der Gatekeeper trotz Unter- bzw. Überschreitung der Schwellenwerte doch bzw. nicht dem DMA unterfallen sollten (EUKOM PM v. 06.09.23).

BMDV – Entwurf zum Digitalen Dienste Gesetz mit BNetzA als DSA-Aufsichtsstelle
Dadurch ergänzt die BNetzA die Aufsicht der EUKOM, welche sich auf VLOPs und VLOSEs beschränkt. Außerdem soll die BNetzA als Koordinierungsstelle für Digitale Dienste (KDD) die Zusammenarbeit mit anderen zuständigen Behörden wie der BZKJ und dem BfDI organisieren. Mit In-Kraft-Treten des DDG entfallen TMG und NetzDG (s. u. zur aktuellen Zuständigkeit iRd NetzDG); unberührt bleiben hingegen die medienrechtlichen Landesbestimmungen aus MStV und JMStV (BMDV PM v. 04.08.23, DDG-Ref-E v. 01.08.23).

BfJ – Beschwerden zu rechtswidrigen Inhalten gegenüber VLOPs an EUKOM
Die nun mehr als sehr große Online-Plattformen bestimmten Dienste (s.o.) unterfallen nicht mehr dem NetzDG, sondern der Aufsicht der EUKOM, Art. 56 Abs. 3 DSA. Einzig die Pflicht gem. § 5 NetzDG eine zustellungsbevollmächtigte Person zu benennen bleibt auch für VLOPs bestehen. Nicht als VLOP designierte Plattformen unterfallen noch bis zum 17.02.24 dem NetzDG und der Aufsicht des BfJ; danach richtet sich der Beschwerdeprozess nach dem DSA und die Zuständigkeit nach dem DDG (s.o.) (BfJ PM v. 25.08.23).

BGH – EuGH-Vorlage zum Begriff des Pastiche (Metall-auf-Metall V)
Diese Schranke ist zwar grds. bereits seit der InfoSoc-RL Teil des europäischen Rechts (Art. 5 Abs. 3 lit. k), wurde aber erst im Juni 2021 in Umsetzung der DSM-RL im deutschen Urheberrecht umgesetzt (§ 51a UrhG). Der BGH legt dem EuGH nun verschiedene Fragen zur Auslegung der Pastiche-Schranke vor, um zu entscheiden, ob sich – so das OLG Hamburg – Moses Pelham zumindest ab Juni 2021 auf diese Schranke berufen kann (BGH PM v. 14.09.23).

OLG Hamm – Kein DSGVO-Schadensersatz ohne konkreten immateriellen Schaden
Durch sog. "Scraping" hatten Unbekannte personenbezogene Daten (u.a Telefonnummern) von ca. 500 Mio. Nutzern eines sozialen Netzwerks erlangt und im Darknet veröffentlicht. Die betroffenen Nutzer können hierfür keinen immateriellen Schadensersatz verlangen, sofern sie nicht konkret darlegen, dass es bei ihnen in der Folge zu persönlichen bzw. psychologischen Beeinträchtigungen gekommen ist Pauschaler Vortrag zu einem gefühlten "Kontrollverlust" genügt nicht (OLG Hamm PM, Urteil v. 15.08.23).

Österreich – Netzagentur erlaubt fortan nur noch DNS- statt IP-Sperren
Letztere seien zur Bekämpfung von Rechtsverletzungen im Internet unverhältnismäßig, da bei "Shared IPs" auch unbeteiligte Webseiten betroffen sein können. DSN-Sperren, welche den Besuch der Webseite über ihren Domain-Namen unterbinden, seien hingegen vereinbar mit der Netzneutralität, Art. 3 Abs. 3 VO 2015/2120/EU: Trotz Umgehungsmöglichkeiten sind sie doch geeignet und ausreichend, um etwa gegen "strukturell urheberrechtwidrige 'Piratenseiten'" vorzugehen (RTR PM, Beschlüsse v. 07.08.23; aktive Netzsperren).

Irland – Verwarnung und Bußgeld gegen TikTok für mangelnden Jugendschutz
Die chinesische Videoplattform habe u.a. gegen den Grundsatz der datenschutzfreundlichen Vorsteinstellung verstoßen. So waren die Nutzerkonten Minderjähriger primär als öffentlich eingestellt, sodass sowohl TikTok Nutzer als auch Externe die Inhalte der Minderjährigen sehen konnten. Die Verwendung von "dark patterns" verletze außerdem das Fairnessprinzip, Art. 5 Abs. 1 lit. a) DSGVO. Auf Grund dieser und weiterer Verstöße verhängte die irische DSB ein Bußgeld iHv EUR 345 Mio. (DSB-IRE PM v. 15.09.23, Beschluss v. 01.09.23).

Frankreich – Klage gegen neuen EU-US-Angemessenheitsbeschluss
Der EU-US-Data Privacy-Framework soll durch die Feststellung eines angemessenen Datenschutzniveaus in den USA den Datentransfer zwischen EU und USA erleichtern. Der EuGH hatte bereits die Vorgänger-Beschlüsse Safe Harbor 2015 und Privacy Shield 2020 im Rahmen von Vorlageverfahren für nichtig erklärt. Nun wendet sich ein Abgeordnete der französischen Nationalversammlung, Philippe Latombe, unmittelbar gegen den Angemessenheitsbeschluss, Art. 263 Abs. 4 AEUV (PM Latombe v. 07.09.23).

USA – Kein Urheberrechtsschutz für von KI erstellte Werke
Der KI-Entwickler Stephen Thaler hatte bereits (erfolglos) versucht, Ausgaben seiner KI-Erfindungsmaschine DABUS patentieren zu lassen. Auch die Ausgaben seiner "Creativity Machine" kann er nicht in das Register des US Copyright Office eintragen lassen, da es an einer menschlichen Schöpfung fehle. Dies sei conditio sine qua non für den Urheberrechtschutz, sodass auch ein späterer Rechtsübergang, etwa durch die work-made-for-hire-Doktrin, von vornherein ausgeschlossen war (Urteil District Court of Columbia v. 18.08.23).