Der Inhalt im Überblick
Poesie und aktuelle Trends im IT-Recht
„Code locked away, in escrow we trust
Protected by contracts, sealed and just …
A peace of mind, for all to share
Knowing the code, is always there…”
Dieses Gedicht war Auftakt und Paradebeispiel für das Thema der Konferenz „Digitalisierung – Next Level“. Es wurde nämlich von der KI ChatGPT zum Stichwort Software Escrow erstellt. Die Konferenz fand am 27.01.2023 als Hybrid-Veranstaltung sowohl Online als auch Vor-Ort mit knapp über 100 Teilnehmern statt.
Nach der poetischen gab die Tagungsleiterin Isabell Conrad die fachliche Einführung mit einem Parforceritt durch aktuelle Rechtsprechung mit vielen spannende Entscheidungen. Lesenswert ist bspw. das Urteil des LG Bonn (Urt. v. 12.11.2021 – 10 O 296/19) im Hinblick auf Regelungsbeispiele für einen EVB-IT-Vertrag zu agilen IT-Projekten nach SCRUM.
Es folgte eine Keynote von Ulf Heyden von BurdaForward, der Onlinesparte des Burda Verlags. Er sprach zu den Herausforderungen für Pay-Free Geschäftsmodelle im Internet. Kometeneinschlägen, die werbefinanzierte Geschäftsmodelle immer weiter gefährden, sind nicht nur DSGVO und TTDSG, sondern auch die für 2024 geplante Sperrung von Third Party Cookies in Google Chrome. Es drohe endgültig die „Cookiekalypse“. Man wolle sich aber auch nicht hinter einer Paywall verschanzen und setze daher auf eine eigene Werbeplattform, über die Werbetreibende direkt Werbung für die Webseiten von Burda buchen können. Interessant waren die Innenansichten eines Onlineverlages. So erreichen nur 51 % der Werbeausgaben den Publisher selbst, ca. 30% der Besucher nutzen aktuell entweder einen Adblocker oder lehnen Tracking im Cookie Consent Banner ab, bei einer Ablehnungsmöglichkeit auf der ersten Ebene, wie u.a. vom BayLDA gefordert, rechnet man mit 60 -70 %.
„The bigger picture”
Im ersten Themenblock „Wege zum EU-Datenrecht“ sprach Witte Wijsmuller, der als Policy Officer in der EU-Kommission für Cloud spezifische Fragestellungen im neuen EU Data Act zuständig ist. Der Data Act werde aus Sicht der EU-Kommission vorerst der Abschluss im „Wasserfall“ der EU-Gesetzgebung zur Datenwirtschaft sein. Mit der DSGVO sei als vertrauensbildende Maßnahme das Fundament gelegt worden. Der EU Data Act soll faire Bedingungen für alle Player schaffen. Bisher sei der Zugang zu Daten faktisch durch die Machtverhältnisse auf dem Markt geregelt, sodass Big Player wie AWS oder Microsoft KMUs und sogar ganze Mitgliedsstaaten nach ihrer Pfeife tanzen lassen können.
Der Data Act ist nutzerzentriert, d.h. die Nutzer können entscheiden, ob Daten verarbeitet werden dürfen. Das hat zur Folge, dass ein Unternehmen Daten nicht verarbeiten darf, wenn es keinen Lizenznutzungsvertrag mit den betroffenen Nutzern geschlossen hat, unabhängig davon, ob diese personenbezogen sind oder nicht. Vertragliche Gestaltungen stehen daher im Fokus des Gesetzes.
Bei Cloud Services werden drei Hauptziele verfolgt. Es sollen Lock-in-Effekte beseitigt, Datensouveränität ermöglicht und Interoperabilität sichergestellt werden. Unter dem Stichpunkt Interoperabilität soll nach den Art. 23-26 ein Wechsel zwischen Cloud Anbietern höchstens 30 Tage dauern, kostenfrei sein und eine funktionelle Äquivalenz gewähren, d.h. es dürfen durch den Wechsel keine wesentlichen Funktionen verloren gehen. Unter dem Stichpunkt Datensouveränität müssen Dateninhaber nach Art. 27 strenge Anforderungen erfüllen, wenn Gerichte oder Behörden von Drittstaaten Zugriff auf in der EU gespeicherte Daten verlangen (z.B. bei Herausgabeverlangen nach dem US-Cloud Act).
Im Anschluss präsentierte Prof. Dr. Boris Paal mit kritischer Sicht die Regelungsmechanismen des Data Act. Er begrüßt den Data Act als Herzstück eines neuen Datenrechts, der das Machtgefälle adressiere und die effiziente Verteilung von personen- und nicht personenbezogenen Daten sicherstellen soll. Zudem schaffe er Anreize für Dateninhaber, Daten mit anderen Unternehmen zu teilen.
Als problematisch könne sich hingegen herausstellen, dass durch den Data Act die Komplexität zunimmt, z.B. welches nationale Recht gilt, wenn das Unternehmen, der Nutzer und Dritte, die auf Daten zugreifen wollen, in unterschiedlichen Mitgliedsstaaten ansässig sind. Außerdem sei noch völlig unklar, ob die Nutzer ihre Rechte nutzen werden, weil sie die Daten ggf. überhaupt nicht verstehen werden, z.B. wenn ein Autohersteller technische Analysedaten des Fahrzeugs zur Verfügung stellt. Das Gesetz gebe kaum Hilfestellung zu technischer Umsetzung. Schon die vorgelagerte technische Ebene, welcher Person Daten zuzuordnen seien, sei bisher unterkomplex betrachtet worden, z.B. wem bei Smart Home Produkten, die erhobenen Daten in einem Mehrpersonenhaushalt zuzuordnen sind.
„Know your Processing“
Michael Will (Präsident des BayLDA) hielt zum Auftakt im zweiten Themenblock „Entwicklungen im Datenschutz“ einen Vortrag zu aktuellen Fragestellungen der Auftragsverarbeitung. Aufhänger des Vortrags war der DSK-Beschluss zu Microsoft 365 vom 24.11.2022. Herr Will betonte, dass die DSK keine Produktwarnung ausgesprochen habe. Die deutschen Datenschutzaufsichtsbehörden hatten dort festgestellt, dass u.a. wegen mangelnder Transparenz über die konkreten Auftragsverarbeitungsleistungen hinsichtlich der Betroffenen und Datenarten sowie über die Verarbeitung zu eigenen Zwecken Microsofts DPA (Stand 15.09.2022) eher ausfüllungsbedürftig und nicht geeignet sei, um einen datenschutzkonformen Einsatz von MS 365 nachzuweisen. Auch die Abgrenzung zur gemeinsamen Verantwortlichkeit sei kaum möglich. Da die Verarbeitung für eigene Zwecke eine Zweckänderung sei, stelle sich die Frage, ob es für die Zweckänderung eine separate Rechtsgrundlage braucht. Herr Will betonte, dass man an dieser Stelle genau sein müsse, weil der AVV schließlich der Ersatz für die fehlende Rechtsgrundlage der Verarbeitung durch den Auftragsverarbeiter sei. Die französische Datenschutzbehörde CNIL verlange nur eine Prüfung des Art. 6 Abs. 4 DSGVO, aber nicht eine gesonderte Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (vgl. „Sous-traitants: la réutilisation de données confiées par un responsable de traitement” 12. Januar 2022; cnil.fr).
Ein weiteres Problem sind extraterritoriale Zugriffsrechte. Diese Gefahr sei im Rahmen der Zuverlässigkeitsprüfung des Auftragsverarbeiters gemäß Art. 28 Abs. 1 DSGVO als Prognoseentscheidung zu betrachten. Das bekannte und in den EDSA-Guidelines vom 05/2022 diskutierte KO-Kriterium, dass die EU-Standardvertragsklauseln für Drittlandübermittlung vom 04.06.2021 an sich keine Transfermechanismen nach Art. 46 Abs. 2 lit. c DSGVO sein können, wenn auf den Datenimporteur die DSGVO nach Art. 3 DSGVO Anwendung findet, hat die DSK bewusst nicht problematisiert, weil weder für Microsoft noch für die Kunden eine Lösung möglich ist. Herr Will regte an, in den am 07.12.2022 veröffentlichten DSK-Bericht zum DPA „Microsoft-Onlinedienste“ zu schauen, und stellte die Frage wie eine negative Prognoseentscheidung kompensiert werden könne.
Aus dem Publikum kam die kritische Frage, ob es nicht schon vielsagend sei, dass Herr Will den Bericht vor den anwesenden Fachleuten erklären muss. Herr Will forderte die Kunden von Microsoft auf, präzisere begleitende Dokumentationen zum Vertrag anzufordern, bspw. zu den erhobenen Datenkategorien, oder diese selbst zu erstellen, etwa durch Verlinkung mit einem hinreichend konkreten Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO.
Einigkeit bestand darin, dass mit Microsoft individuelle Vereinbarung zur Auftragsverarbeitung häufig nur schwer verhandelbar seien. In der abschließenden Podiumsdiskussion wies Herr Prof. Bräutigam darauf hin, dass Beschlüsse der Aufsichtsbehörden eine faktische Wirkung hätten und man deren Aussagen bei der Beratung nicht ignorieren könne. Herr Will entgegnete, dass der Beschluss eine Meinungsäußerung und Momentaufnahme eines Zusammenschlusses der deutschen Datenschutzbehörden im Rahmen einer hochdynamischen Entwicklung sei. Formal hat die DSK keine Anordnungsbefugnis.
Friederike Wilde-Detmering erörterte anschließend, ob man sich mit dem Trans-Atlantic Data Privacy Framework auf dem Weg zu einem ausreichenden Schutzniveau in den USA bewegt oder vielmehr zur Schrems III Entscheidung des EuGH. Max Schrems hat immerhin schon angekündigt, dass er die neue Executive Order (EO) von Präsident Biden zur Stärkung der Rechte von EU-Bürgern nicht für ausreichend halte, weil die Überprüfung von Beschwerden weiterhin bei der Exekutive läge und man die Verhältnismäßigkeit in den USA immer noch so auslegt, dass eine Massenüberwachung zulässig ist, obwohl der EuGH diese schon mehrmals für unzulässig erklärt hat.
Wegen dieser Unwägbarkeiten sollten Unternehmen in der EU auch bei Vorliegen eines Angemessenheitsbeschlusses weiterhin Standardvertragsklauseln abschließen und ein Transfer Impact Assessment „light“ mit Verweis auf die neue EO für die USA durchzuführen. Der Präsident des BayLDA betonte, dass „Know your processing“ der oberste Grundsatz für die Datenverarbeitung sei und ein Transfer Impact Assessment dabei helfen könne. Außerdem wünschte er sich, dass Praktiker nicht so viel über die TIAs quengeln würden. Herr Prof. Bräutigam wollte wissen, ob nicht eine Standardisierung für die TIAs möglich wäre. Herr Will räumte ein, dass die Shrems II Entscheidung für die Verantwortlichen herausfordernd sei, weil sie mit der Einschätzung der Rechtslage in Drittländern allein gelassen werden. Eine Wissensbündelung wäre sehr hilfreich. Von offizieller Seite habe man schon Grundlagenarbeit geleistet mit der Stellungnahme des European Data Protection Supervisor (EDPS) zur Rechtslage in China, Indien und Russland.
Unliebsame Zwangsehe? – Software Escrow und Datenschutz
Guido Aßhoff nahm die Querbeziehungen zwischen Datenschutz und Escrow unter die Lupe. Unter dem Titel „Auftragsverarbeitung im Fokus von Escrow“ ging er auf die Diskrepanzen zwischen dem Escrow Agreement und datenschutzrechtlichen Vorschriften ein, z.B. kann ein Löschungs- oder Berichtigungsbegehren zur Veränderung der Datensätze führen und den Sicherungszweck der Hinterlegung vereiteln. Ein besonderes Problemfeld ist das Testen der Datenbanken mit Echtdaten. Das gilt gerade im Lichte des EuGH-Urteils vom 20. Oktober 2022, Az.: C-77/21, wonach bei Testdatenbanken mit personenbezogenen Daten die Grundsätze der Zweckbindung und Speicherbegrenzung beachten werden müssen und der Test eine zu dokumentierende Zweckänderung ist. Angesichts der vielen Fallstricke sei jedem Escrow Agent zu empfehlen – zumindest im klassischen Escrow – möglichst keine personenbezogenen Daten zu erhalten.
Herr RA Dr. Axel Czarnetzki ging auf „Escrow als Compliance-Maßnahme im Risikomanagement“ ein. Von unternehmenskritischer Software kann das Überleben des Unternehmens abhängen. Entscheidend ist, die Funktionstüchtigkeit der Software schnell wiederherstellen zu können. Auch das BSI empfiehlt daher Software Escrow zum Risikomanagement. Problematisch sei jedoch, dass sich die Softwarebranche bisweilen schizophren verhalte, weil Anbieter einerseits überzeugt seien, dass ohne jahrelange Arbeit niemand ihren Quellcode verstehen könnte, aber andererseits ihren Quellcode nicht für die Hinterlegung zur Verfügung stellen möchten.
Die Welt steht Kopf – die neuen §§ 327 ff. BGB
Prof. Dr. Jochen Schneider untersuchte die §§ 327 ff. BGB, vor allem aus urheberrechtlicher Sicht. Zwar sei die h.M. der Auffassung, dass sich durch die §§ 327 ff. BGB nichts Wesentliches geändert hat. Das mag aber daran liegen, dass die grundlegenden Veränderungen noch nicht Gegenstand von Urteilen sind. Er legte dar, dass Friktionen zwischen der Leistungskette und dem letzten Glied der Kette – dem B2C Vertrag – entstehen. Die Leistungskette ist darauf ausgerichtet ein statisches Endprodukt zu verkaufen, wohingegen der Vertrag mit dem Endkunden durch §§ 327 ff. BGB stets dynamisch bleibe, z.B. durch die Aktualisierungspflicht. Es finde außerdem eine Abkehr vom Kaufvertrag und eine Hinwendung zum Miet- bzw. Dienstvertrag statt. Urheberrechtlich hat das zur Konsequenz, dass mangels Veräußerung keine Erschöpfung des Verbreitungsrechts hinsichtlich der Software eintritt. Es wird in der Regel eine öffentliche Zugänglichmachung vorliegen. Indem digitale Inhalte und Dienstleistungen in § 327 Abs. 2 BGB gleichgesetzt als digitales Produkt behandelt werden, würden die wesentlichen Merkmale verwischt, anhand derer man bisher urheberrechtlich differenzierend anknüpfen konnte. Das könnte sich als Killer für die Erschöpfung bei Software erweisen.
Für eine AGB-rechtliche Beurteilung kann es sich außerdem als ein großer Verlust darstellen, dass die Regelungen des Besonderen Teils im BGB Schuldrecht zu einzelnen Vertragstypen zum großen Teil bei Verbraucherverträgen zu digitalen Produkten irrelevant sein werden.
Obwohl ein wesentlicher Teil des Verbrauchervertrags bei Softwareüberlassung ggf. Kauf sein könnte, könne man die §§ 327 ff. BGB nicht im Lichte des Kaufvertragsrechts auslegen. Das BGB werde durchlöchert, da immer größere Teile „herausgeschossen“ würden, wie das Gewährleistungsrecht, und ein europäisches Privatrecht durch die Hintertür drohe. Überspitzt könnte man sagen: „Der Kauf ist tot.“
Dr. Alin Seegel berichtete über zwei Updates zur Thematik „Insolvenzfestigkeit von Softwarelizenzverträgen“. Als 1. Update stellte sie die Konsequenzen des BGH-Urteils vom 16.5.2019 (IX ZR 44/18) dar. Hier stellte der BGH – entgegen der h.M. – fest, dass das Verwalterwahlrecht voraussetzt, dass im Zeitpunkt der Eröffnung des Insolvenzverfahrens synallagmatische Hauptleistungspflichten beidseitig noch nicht vollständig erfüllt sind. Noch ausstehende nicht synallagmatische Nebenpflichten sind nicht ausreichend. Für den Softwarekaufvertrag bringt die Entscheidung Rechtssicherheit für die Praxis. Es kann jetzt rechtssicher angenommen werden, dass er insolvenzfest ist, soweit die Lizenz erteilt und Kaufpreis bezahlt ist, auch wenn noch Nebenpflichten wie z. B. Geheimhaltungs- oder Informationspflichten offen sind.
Als 2. Updates stellte Dr. Alin Seegel mögliche Auswirkungen der neuen §§ 327 ff. BGB auf die Insolvenzfestigkeit von Softwarelizenzverträgen dar. Insbesondere die Aktualisierungspflicht gem. § 327f BGB, die den Softwarekaufvertrag um eine Dauerschuldkomponente erweitert, könnte dazu führen, dass der Softwareverkäufer seine Pflichten trotz Einräumung der Lizenz noch nicht vollständig erfüllt hat. Es folgte sodann die dogmatische Einordnung der Aktualisierungspflicht mit dem Ergebnis, dass es sich nicht um eine synallagmatische Hauptleistungspflicht handelt; ihre Schlecht- oder Nichterfüllung löst zugunsten des Verbrauchers (nur) den gewährleistungsrechtlichen Nacherfüllungsanspruch aus, der die Anwendbarkeit des § 103 InsO begründen kann, soweit er zum Zeitpunkt der Eröffnung des Insolvenzverfahrens besteht.
In der anschließenden Diskussion wurden weitere Unklarheiten erörtert, bspw. das Verhältnis von § 327f und bei Änderungen nach § 327r BGB Informationspflichten zu § 25 TTDSG. Updates und Änderungen an digitalen Produkten erfordern ggf. einen Zugriff auf das Gerät des Nutzers, der aber eigentlich einwilligungsbedürftig ist.
Risiken und Chancen von künstlicher Intelligenz
Zum Abschluss zeigte Kirstin Benedikt (Richterin am Verwaltungsgericht Regensburg) die Chancen und Risiken von KI am Beispiel der Gesichtserkennung. Unternehmen wie Clearview AI hätten durch eine massive Datenverarbeitung schon Fakten geschaffen, sodass sich die Gesellschaft dem Problem nicht mehr entziehen, sondern es nur noch regulieren könne. Bei der biometrischen Altersverifikation wird über die Kamera des Endgeräts ein Foto gemacht, von dem ein sogenanntes Template erstellt und anhand dessen das Alter bestimmt werde, z.B. um den Zugang zu jugendschutzrelevanten Websites zu kontrollieren. Fraglich sei der Umgang mit den Betroffenenrechten und die Einhaltung des § 25 TTDSG. Sie stellte aber klar, dass man nicht nur Bedenken haben sollte, da KI auch eine große Chance sei, bspw. um Entscheidungsträger vor Fehlentscheidungen zu warnen, wenn sie subjektiv voreingenommen an eine Problematik herangehen.
