Das Europäische Parlament hat am 13. März 2024 die „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ (KI-VO) verabschiedet. Nach Feinschliff durch den juristischen Dienst ist der Gesetzgebungsprozess im Europäischen Parlament mit Annahme des sog. „Korrigendums“ am 23. April 2024 abgeschlossen worden. Als letzter formeller Schritt muss nun noch der Rat der Europäischen Union zustimmen, da aber eine politische Einigung bereits seit dem Dezember 2023 vorliegt, ist davon auszugehen, dass die KI-VO in der nun vorliegenden Form im Laufe des Frühsommers 2024 in Kraft treten wird.

Die KI-VO wird als europäische Verordnung unmittelbar in allen 27 Mitgliedstaaten gelten und soll einen wesentlichen Beitrag zur Erreichung der europäischen Digitalstrategie (A Europe fit for the digital age) leisten. 

Bereits am 24. Januar 2024 – also noch vor der Verabschiedung der KI-VO durch das Europäischen Parlament – wurde das Europäische Amt für Künstliche Intelligenz (EU AI Office) durch Beschluss der Kommission(Gründungsbeschluss) gegründet. 

Das EU AI Office wird eine Reihe von zentralen Aufgaben im Rahmen der KI-Strategie der EU wahrnehmen und soll Zentrum der KI-Expertise der EU werden. Von besonderer Bedeutung ist dabei die Zuständigkeit des EU AI Office für die Regulierung von KI-Modellen mit allgemeinem Verwendungszweck (GPAI-Modelle) und KI-Systemen, die auf einem GPAI-Modell basieren und von demselben Anbieter entwickelt wurden. Darüber hinaus wird das EU AI Office eine wichtige Rolle beim Erlass von KI-Verhaltenskodizes, technischen Vorschriften und Standards spielen. 

EU AI Office als Teil der EU-Kommission 

Organisatorisch ist das EU AI Office Teil der Verwaltungsstruktur der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) der Europäischen Kommission, wobei die Finanzierung des EU AI Office aus dem Förderprogramm „Digitales Europa“ erfolgen wird. Das EU AI Office soll mit zunächst bis zu 100 Mitarbeitern* ausgestattet werden. Hierfür werden derzeit intern wie extern neben Juristen* und Experten* für Digitalpolitik auch explizit KI-Ingenieure* gesucht.

EU AI Office ist zuständig für die Durchsetzung der GPAI-Vorschriften 

Die endgültige KI-VO enthält Regelungen, die im ursprünglichen Vorschlag der Europäischen Kommission vom April 2021 nicht enthalten waren. Dazu gehören Vorschriften für GPAI-Modelle und KI-Systeme, die auf einem GPAI-Modell basieren, sowie eine Governance-Struktur zur Überwachung dieser Vorschriften. 

Zentrales Element dieser Governance-Struktur ist das EU AI Office, das als Marktüberwachungsbehörde für GPAI-Modelle und KI-Systeme, die auf einem GPAI-Modell basieren und von demselben Anbieter entwickelt wurden, fungiert. Die Überwachung der übrigen nach der KI-VO regulierten KI-Systeme obliegt dagegen den nationalen Marktüberwachungsbehörden. 

Bei der Durchsetzung der Vorschriften über GPAI-Modelle ist das EU AI Office – im Unterschied zu den für die Marktüberwachung und Kontrolle von KI-Systemen auf dem Unionsmarkt zuständigen nationalen Behörden – nicht auf die in der Verordnung (EU) 2019/1020 („EU-Marküberwachungsverordnung“) vorgesehenen Maßnahmen beschränkt. Vielmehr stellt Artikel 89 Abs. 1 KI-VO klar, dass das EU AI Office zur Durchsetzung der GPAI-Model Vorschriften „die erforderlichen Maßnahmen“ treffen kann. 

Es ist deshalb auch möglich dass das EU AI Office über die Marktüberwachung hinaus Maßnahmen wie z.B. kartellrechtliche Untersuchungen durchführt und hierbei nach Artikel 5 des Gründungsbeschlusses mit der Generaldirektion Wettbewerb zusammenarbeitet. 

Hinsichtlich der Durchsetzung von Vorschriften für KI-Systeme, die auf einem GPAI-Modell basieren, ist das EU AI Office hingegen nach Art. 75 Abs. 1 KI-VO auf die Befugnisse einer Marktüberwachungsbehörde im Sinne der EU-Marküberwachungsverordnung beschränkt. 

Die Verhängung von Geldbußen (bei Verstößen gegen die GPAI-Vorschriften der KI-VO bis zu 3% des weltweiten Vorjahresumsatzes oder 15 Mio. EUR) erfolgt zwar nach Art. 101 Abs. 1 KI-VO durch „die Kommission“ und das genaue Verfahren ist noch durch einen Durchführungsrechtsakt näher auszugestalten. Naheliegend ist es aber, dass dem EU AI Office hier eine besondere Rolle im Sinne einer Vollzugsbehörde zukommen wird. Dies entspricht organisatorisch einer Ausgestaltet wie sie bereits heute, etwa in der Generaldirektion Wettbewerb oder der Generaldirektion Handel vorhanden ist. 

Die Prioritäten des EU AI Office werden durch in den ersten Monaten nach Inkrafttreten der KI-VO durch deren ambitionierten Zeitplan bestimmt sein. Der Schwerpunkt wird daher zunächst auf der Unterstützung der Europäischen Kommission bei der Erarbeitung der insgesamt 84 Begleitmaßnahmen zur KI-Verordnung (wie etwa Leitlinien, Verhaltenskodizes und Durchführungsrechtsakte) liegen. 

Abgrenzung der Zuständigkeit von nationalen Behörden 

Für Durchsetzungsmaßnahmen in Bezug auf KI-Systeme, bei denen es sich nicht um GPAI-Modelle handelt oder die nicht unmittelbar vom Anbieter selbst aus GPAI-Modellen entwickelt wurden, sind die nationalen Behörden der Mitgliedstaaten zuständig. Wie aus Erwägungsgrund 7 des Gründungsbeschlusses hervorgeht, werden diese Zuständigkeiten durch die Errichtung des EU AI Office nicht berührt.

Die für die Durchsetzung der KI-VO zuständigen nationalen Behörden müssen innerhalb von zwölf Monaten ab Inkrafttreten der KI-VO benannt werden. Art und Umfang der Durchsetzungsmaßnahmen bestimmen sich hierbei gemäß Artikel 74 Abs. 1 KI-VO im Wesentlichen nach der Verordnung EU-Marküberwachungsverordnung.

Wie die Durchsetzung der KI-VO auf Ebene der Mitgliedstaaten administrativ organisiert wird, bleibt den Mitgliedstaaten überlassen. So können diese hierfür eine neue Behörde einrichten oder eine bestehende Behörde um eine KI-Amt erweitern. Während Spanien beispielsweise mit der Agencia Española de Supervisión de la Inteligencia Artificial eine eigenständige Behörde ins Leben gerufen hat, setzt Österreich mit der KI-Servicestelle auf eine der Rundfunk- und Telekom Regulierungs-GmbH nachgeordnete Stelle. 

Deutschland hat – wie viele andere Mitgliedstaaten – bisher noch keine Behörde benannt. Allerdings hat die Bundesregierung in einer Antwort auf eine kleine Anfrage. angekündigt, zu diesem Zweck einen Entwurf für ein Durchführungsgesetz zur KI-VO in den Bundestag einzubringen.

Mitwirkung bei der Standardisierung und dem Erlass technischer Vorschriften 

Gemäß dem Gründungsbeschluss hat das EU AI Office eine unterstützende Funktion bei der Entwicklung technischer Normen und Standards für KI-Systeme. Im Wesentlichen soll es die Europäische Kommission bei der Ausarbeitung von Normungsaufträgen, der Überprüfung bestehender Normen und der Entwicklung gemeinsamer Spezifikationen unterstützen, die für die Umsetzung der KI-VO erforderlich sind. 

Ferner ist das EU AI Office befugt, auf Anfrage der Europäischen Kommission oder auf eigene Initiative Empfehlungen und schriftliche Stellungnahmen zu allen relevanten Aspekten im Zusammenhang mit der Umsetzung der KI-VO und ihrer kohärenten und effektiven Anwendung abzugeben. Dies umfasst technische Spezifikationen und die Überprüfung bestehender Normen im Hinblick auf die Anforderungen der KI-VO sowie die Verwendung harmonisierter Normen oder gemeinsamer Spezifikationen im Rahmen des Normungsmandats der Standardisierungsorganisationen CEN und CENELEC.

Weitere Aufgaben des EU AI Office 

Neben der oben geschilderten Funktion als Marktüberwachungsbehörde mit weitreichenden Durchsetzungskompetenz, kommen dem EU AI Office auch Aufgaben im Bereich der Innovationsförderung zu. So soll das EU AI Office als „Zentrum der KI-Expertise in der gesamten EU“ fungieren und hierfür unter anderem mit nationalen, europäischen und internationalen Organisationen zusammenarbeiten. 

Zudem überwacht des EU AI Office den KI-Pakt, eine Initiative, die es Unternehmen ermöglicht, mit der Kommission und anderen Interessengruppen zusammenzuarbeiten, bevor die KI-VO in Kraft tritt. 

Weiteren Aufgaben des EU AI Office umfassen die Entwicklung von „Verhaltenskodizes“ und die Unterstützung der Europäischen Kommission bei der Ausarbeitung von Durchführungsrechtsakten und delegierten Rechtsakten zur Umsetzung der KI-VO.

EU AI Office hat weitreichende Kompetenzen bei der Durchsetzung der KI-VO 

Mit der Einrichtung des EU AI Office hat die Kommission eine Behörde mit weitreichenden Kompetenzen zur Durchsetzung der GPAI-Bestimmungen nach der KI-VO geschaffen. Durch die Zuweisung der Durchsetzung der Vorschriften für andere KI-Systeme an nationale Behörden, entwickelt die EU eine duale Struktur für die Durchsetzung der KI-VO. 

Mit der Durchsetzung der GPAI-Bestimmungen durch das EU AI Office obliegt der Europäischen Kommission hierbei die Durchsetzung des „regulatorischen Herzstücks“ der KI-VO. Durch die Vielzahl weiterer Aufgaben des EU AI Office – sei es im Rahmen der KI-Innovationsförderung oder der Ausgestaltung der in der KI-VO Verhaltenskodizes- behält sich die EU-Kommission zudem die weitere Steuerung der europäischen KI-Kompetenz vor. 

In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: EU-Parlament: Grünes Licht für die KI-VO; Mithilfe Künstlicher Intelligenz plötzlich Urheber?; Robo Advisor als Zukunft der Geldanlage; Künstliche Intelligenz und der Journalismus der Zukunft; Wettbewerbsrechtliche Zulässigkeit von KI-gestützter Werbung. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Unseren englischsprachigen Ausblick auf die KI-VO finden Sie hier: Looking ahead to the EU AI Act (cms.law).

Jetzt registrieren und teilnehmen: AI Regulations in the EU, UK, and Asia: Essential Insights for HR and Employers

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Durchsetzung der KI-VO auf europäischer Ebene: Das EU AI Office erschien zuerst auf CMS Blog.

Eine Auseinandersetzung mit Compliance gehört für große und mittelständische Unternehmen schon seit einigen Jahren zur Tagesordnung. Die zu Anfang etwas unscharf erscheinende Begrifflichkeit (aus dem Englischen „to comply with“ – etwas einhalten) hat mittlerweile sowohl einen fortschreitenden rechtlichen Rahmen bekommen als auch ihren Weg in die öffentliche Aufmerksamkeit gefunden, wo sie firmierend als soziale Verantwortung von Unternehmen (Corporate Social Responsibility) als mitunter scharfes Schwert in Reputations- und Haftungsfragen ihre Auswirkungen zeigt. Die in der Compliance verankerten Legalitäts- (Einhaltung der geltenden Normen) und Legalitätskontrollpflichten (Überprüfung der Einhaltung der geltenden Normen) beabsichtigen zuvorderst, wirtschaftskriminelle Handlungen zu verhindern und Gesellschaft sowie Umwelt zu schützen, gleichsam jedoch auch die Haftung von Unternehmen und ihren Leitungspersönlichkeiten zu minimieren.

Compliance-Themen haben durch zunehmende nationale sowie internationale Regulierung an Fahrt aufgenommen. Zu nennen sind hier jüngste Entwicklungen wie das Hinweisgeberschutzgesetz, das Lieferkettensorgfaltspflichtengesetz, die Corporate Sustainability Reporting Directive (Richtlinie (EU) 2022/2464) und der neue Kompromissvorschlag einer Geldwäscheverordnung und sechsten Geldwäscherichtlinie der EU. Gleichzeitig häufen sich Berichterstattungen über rufschädigende und kostspielige Skandale im Sportbereich, so etwa bezüglich Korruption (jüngst um den Ex-Fußballboss Luis Rubiales), Doping (Eiskunstlauf bei Olympia), Wettbetrug und Spielmanipulation (Sportwetten in Griechenland), Vergabe von Sportereignissen (Austragung der Fußball-WM in Katar) und unethischem Verhalten von Trainer:innen und Fans (Rassismus- und Sexismusvorwürfe im spanischen Fußball). Bei einem Compliance-Verstoß drohen nicht nur zivil- und strafrechtliche Konsequenzen, sondern insbesondere auch massive Reputationsschäden durch Negativschlagzeilen in der Presse, die sich auf die wirtschaftliche Lage des Sportclubs auswirken.

Anlässlich der im Juni beginnenden Fußball-Europameisterschaft EURO 2024 lohnt sich daher der Blick auf den Profisport und die Frage, inwieweit auch die Sportwelt die Compliance als feste Mitspielerin für unternehmerische Erfolge und ein gelebtes Fair Play außerhalb des eigentlichen Spielfeldes aufstellen sollte.

Compliance relevante Risikofelder im Profisport

Als Startpunkt jeder Compliance-Überlegung steht die Identifizierung mitunter einer Bandbreite an Gesetzen, Richtlinien und sonstigen regulatorischen Normen, die eine Regeltreue verlangen. Neben den allgemeinen Gesetzen des Straf-, Steuer- oder Gesellschaftsrechtes existieren spezifische Sportregulierungen wie die DFL-, UEFA- oder FIFA-Vorgaben. Aus diesen und vielen weiteren Regulatorien ergeben sich im Profisport zahlreiche Legalitäts- und insbesondere Legalitätskontrollpflichten für die Unternehmen als solche, aber auch für ihre Funktionär:innen, Sportler:innen, Aktionär:innen, Agent:innen, Mitarbeiter:innen, Sponsor:innen und auch die Fans.

Das Herzstück der Compliance bildet die Feststellung von bestehenden individuellen Risikosphären der jeweiligen Branche. Im Profisport zählen zu Risikoclustern mit Compliance-Relevanz unter anderem:

• Geldwäsche durch Investitionen in Vereine und Sportler:innen
• Sponsoring und Hospitality
• Intransparente Vergabe von Sportereignissen und Tickets
• Korruption von Sportfunktionär:innen
• Wettbetrug und Spielmanipulation
• Doping und Gesundheitsschutz
• Kartellrechtliche Vorschriften und die 50+1-Regel
• Ausstrahlwirkung durch unethisches (Dritt-)Verhalten

Als besonders sensitiven Aspekt dieser Aufzählung verhält sich unter anderem das Geldwäscherisiko für Profisportunternehmen. Schon 2007 wurde im „Weißbuch Sport“ der EU-Kommission auf das Geldwäscherisiko im Sportsektor hingewiesen. Während auf deutscher Ebene noch über eine Aufnahme von Profisportvereinen in den Kreis der Verpflichteten nach dem Geldwäschegesetz diskutiert wird (siehe BT-Drcks. 32/22), erkennt das in diesem Jahr vorgestellte geplante Anti-Geldwäsche-Paket der EU ein hohes Risiko insbesondere im Fußball und erweitert die Liste der Verpflichteten um Profifußballvereine und ihre Agent:innen. Als Folge einer solchen Verpflichtung ergeben sich konkrete Compliance-Pflichten zur Etablierung einer Geldwäscheprävention. Dies gilt insbesondere bei Beteiligungen und Investitionen in die Vereine selbst als auch bei dem Transfermarkt von Spieler:innen, die häufig von Intransparenz in Bezug auf Zahlungsströme und Finanzierungsquellen geprägt sind. Weitere Geldwäscheprobleme bergen etwa auch das Sponsoring, der Ticketverkauf und die fortschreitende Kommerzialisierung des Profisports.

Neben dem Geldwäscherisiko stellen etwa auch Korruption und Schmiergeldzahlungen im Profisport, etwa bei der Vergabe von großen Sportevents, beim Sponsoring oder Ticketverkauf, wichtige Compliance-Risikofelder dar. Mit Blick auf die 2017 in Kraft getretenen strafrechtlichen Regelungen zu Sportwetten und Spielmanipulation in §§ 265c, 265d StGB wird, neben den klassischen Korruptionstatbeständen wie §§ 299, 331 ff. StGB, zudem sowohl korruptes Verhalten von Sportler:innen und Trainer:innen kriminalisiert, als auch durch §§ 30, 130 OWiG ein weiteres erhebliches Haftungsrisiko (Geldbuße von bis zu EUR 10 Mio.) für Profisportclubs geschaffen.

Etablierung von Compliance-Management-Systemen in Profisportclubs

Die Sportclubs nehmen typischerweise als Vereine, Dachverbände aber auch zunehmend als gewinnorientierte Kapitalgesellschaften am wirtschaftlichen Wettbewerb teil. Durch die fortschreitende Kommerzialisierung der Sportclubs werden im Profisport mittlerweile Millionenumsätze erwirtschaftet und Strukturen geschaffen, welche mit Großkonzernen und mittelständischen Unternehmen ohne Weiteres vergleichbar sind. Gleichzeitig existieren, wie soeben gezeigt, einige massive Risikocluster und Compliance sensitive Vorgänge im Profisport. Ebenso wie die übrigen Großkonzerne und mittelständischen Unternehmen wären die Profisportunternehmen – wie der FC St. Pauli bereits erkannt hat – daher gut beraten, ein funktionsfähiges Compliance-Management-System (CMS) aufzubauen.

Zwar existiert bislang im deutschen Recht keine flächendeckende explizite Pflicht zur Einrichtung eines solchen CMS in Sportclubs. Unumstritten besteht jedoch eine Organhaftung für Compliance-Verstöße, wobei die genauen Haftungsketten in Abhängigkeit zu der jeweiligen Rechtsform des Unternehmens stehen. In jedem Fall sind die jeweiligen Leitungspersonen aufgrund ihrer allgemeinen Pflicht zur ordnungsgemäßen Geschäftsführung de facto dazu angehalten, die Legalitäts- und insbesondere auch die Legalitätskontrollpflichten einzuhalten. Eine unterlassene Implementierung eines CMS kann dabei auch zu einer persönlichen Haftung der Leitungspersonen führen.

Ziel eines CMS ist primär präventiver Natur, da es als Abwehr drohender Haftungs- und Sanktionierungsrisiken sowie Reputationsschäden fungiert. Zugleich kann ein etabliertes CMS durch eine effektive Risikoanalyse Compliance-Verstößen zuvorkommen. Der wirtschaftlichen Ansehnlichkeit und dem Profit eines Unternehmens dient es zunehmend auch, soziale und ökologische Wertvorstellungen im Geiste einer Good Governance und Corporate Social Responsibility zu implementieren, welche an positivem politischen und gesellschaftlichen Einfluss, Gesundheit, ethischem Verhalten, Transparenz und Nachhaltigkeit (ESG) interessiert sind.

Während, wie eben gesehen, regelmäßig eine Pflicht für das „Ob“ der Etablierung eines CMS, besteht, ermöglicht das „Wie“ eine breitere Diskussionsfläche. Die Ausgestaltung eines CMS ist regelmäßig abhängig von der genauen Tätigkeit des Unternehmens, den Risikofeldern, seiner Rechtsform und seiner Größe. Grundsätzlich wird ein CMS in vier Bestandteile eines zusammenhängenden Prozesses gegliedert. Im ersten Schritt werden die vorhandenen Organisationsstrukturen des Sportunternehmens, im zweiten Schritt die individuellen Risikocluster analysiert. Auf Grundlage dessen können konkrete Präventionsmaßnahmen, beispielsweise in Gestalt von selbstgesetzten Compliance-Richtlinien und Verhaltenskodizes (Code of Conducts) – wie etwa das Compliance-Handbuch der FIFA oder der Ethik-Kodex des DFB – entwickelt werden. An dritter Stelle werden klare Verantwortlichkeiten für die herausgearbeiteten Risikobereiche geschaffen und die Durchführung des CMS an verantwortliche Personen (Compliance Officer oder Compliance-Beauftragte) delegiert. Zuletzt müssen sämtliche Maßnahmen durch die zuständigen Leitungspersonen dokumentiert, kontrolliert und stetig verbessert werden.

Weitere sinnvolle konkrete Compliance-Maßnahmen im Profisport

Allein die Implementierung von Richtlinien und Kodizes wird nicht genügen, um Compliance-Verstöße im Profisport vorzubeugen. Mitarbeiter:innen, Sportler:innen, Funktionär:innen und sonstige Verpflichtete sind regelmäßig über ihre Pflichten etwa im Bereich der Annahme von Geschenken, den Konsequenzen von Doping-Verstößen und unethischem Verhalten zu schulen.

Zudem sind Sportunternehmen mit mindestens 50 Mitarbeitenden durch das neue Hinweisgeberschutzgesetz seit dem 17. Dezember 2023 u.a. dazu verpflichtet, Hinweisgebersysteme zu installieren, die eine anonyme, niedrigschwellige und vertrauliche Meldung von bestimmten Compliance-Verstößen gewährleistet. Anderenfalls droht ein Bußgeld von bis zu EUR 50.000.

Soweit Sportunternehmen zukünftig als Verpflichtete nach dem Geldwäschegesetz eingestuft werden, müssen sie geldwäscherechtliche Sorgfaltspflichten erfüllen und Meldepflichten bei Verdachtsfällen beachten.

Maßgeblich sollte sich der Profisport eine zunehmende Transparenzschaffung auf die Fahne schreiben. Gerüchte über „Klüngelei“, Abhängigkeiten, Stimmenkäufe oder anderweitige Bestechungshandlungen stehen im Profisport seit Jahren im Raum. Ein konkretes Positivbeispiel bildet hingegen die DFB-Vergabe der Spielorte für die EURO 2024, bei welcher der Auswahlprozess durch den Aufbau eines Compliance-Programms von Transparency International begleitet wurde.

Auch bei der Ticketvergabe vor allem von Großevents sollten klare Maßgaben festgelegt und nach außen hin kommuniziert werden. Profisportunternehmen sind zudem gut beraten, ihre Geschäftspartner einem Business-Partner-Check zu unterziehen und vorab die Konformität mit dem eigenen CMS zu überprüfen.

Im Hinblick auf die sportspezifischen Risiken von Wettbetrug, Spielmanipulation und Doping müssen die Sportclubs darüber hinaus eine klare Zero Tolerance-Haltung kommunizieren und vor allem aktiv betreiben.

Compliance als Teamplayerin: Fazit und Ausblick

Der Fair Play-Gedanke ist schon auf dem Spielfeld konstituierend für den Profisport. Der Sport lebt von einem von Fairness, Regelkonformität und Integrität geprägtem Verhalten aller Beteiligten. Nichts anderes kann außerhalb des Spielfeldes für die großen Vereine, Verbände und Kapitalgesellschaften des Profisports gelten. Diese müssen sich – wie ihre Sportler:innen untereinander – mit ihrem eigenen wirtschaftlichen Wettbewerb, den Großkonzernen und mittelständischen Unternehmen, gleich welcher Branche, messen lassen. Gewinnen kann auch hier – wie die oben angeschnittenen Nachteile bei unlauteren Geschäftspraktiken gezeigt haben – nur ein ganzheitliches Fair Play.

Unsere Gesellschaft und unser Rechtssystem fordern mittlerweile zurecht von den millionenschweren Wirtschaftsunternehmen, Good Governance nicht nur zu behaupten (siehe Green-, Pink- und Bluewashing-Fragen), sondern dies auch konsequent zu leben, hierfür einzustehen und proaktiv durchzusetzen. Dazu zählt fraglos auch die Beschäftigung mit Compliance und eine Implementierung von konkreten Compliance-Maßnahmen im Unternehmen. Profitieren können hierdurch nicht nur die Gesellschaft und unsere Umwelt, sondern auch die Unternehmen durch ersparte Kosten, die Aktionär:innen durch ersparte Verluste, die Leitungspersönlichkeiten durch minimierte Haftung und die Fans durch gesteigerte Identifizierungsmöglichkeiten mit ihrem Verein.

Perspektivisch wird dieser „Trend“ zu nachhaltiger, integrer und ethischer Unternehmensführung auch in der Profisportwelt durch fortschreitende Regulierungen, weitere höchstgerichtliche Entscheidungen und zunehmenden gesellschaftlichen Fokus weiter an Relevanz gewinnen. Aus diesem Grund widmet sich die diesem Beitrag folgende Blog-Serie „Fußball-EM & Recht“ vertieft diversen, konkreten Compliance-Themen rund um den Profisport im Allgemeinen und die Fußball-EM im Speziellen. Bleiben Sie am Ball!

Der Beitrag Fair Play gewinnt – Compliance im Profisport erschien zuerst auf CMS Blog.

Mit dem neuen Datenrecht möchte die Europäische Union (EU) einen europäischen Binnenmarkt für Daten schaffen, den Wettbewerb rund um datengetriebene Geschäftsmodelle öffnen und in dem Zuge Anbieterwechsel für Kunden* erleichtern, nachdem Versuche der Selbstregulierung durch die Industrie nicht zum gewünschten Erfolg geführt haben. Zu der Digitalisierungs- und der Datenstrategie der EU gehören daher auch die Erleichterung des Wechsels eines Cloud-Service-Providers (CSP), die Verbesserung der Markteintrittschancen für neue Anbieter sowie die schrittweise Abschaffung von Datenübertragungskosten. Am 11. Januar 2024 ist als wichtige Säule der Digitalisierungs- und der Datenstrategie der Data Act (Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung, DA) in Kraft getreten. Der DA wird nach einer Übergangsfrist von 20 Monaten ab dem 12. September 2025 unionsweit anwendbar sein. 

Neben neuen Datenzugangsansprüchen und einem eigenständigen Vertragsrecht stellt der DA neue Anforderungen an CSP u.a. hinsichtlich Informationspflichten und Vertragsgestaltung, die wir in diesem Beitrag unserer CMS Blog-Serie „#CMSdatalaw“ beleuchten wollen. 

Kapitel VI des DA: Erleichterung des CSP-Wechsels und der Parallelnutzung

Der DA soll mit seinen Regelungen insb. in Kapitel VI („Wechsel zwischen Datenverarbeitungsdiensten“, Art. 23 bis 31 DA) zum Abbau von Hindernissen beitragen, denen sich Kunden, die den Anbieter wechseln möchten, ausgesetzt sehen, und einen Übergang von einem Datenverarbeitungsdienst auf den anderen erleichtern (vgl. EG 79 des DA). Solche Hindernisse können z.B. aufgrund fehlender offener Schnittstellen, unzureichender Interoperabilität und fehlender technischer Standards bestehen. Mit dem Wechsel gehen oftmals hohe Kosten für Datenmigration, Formatanpassungen oder Neuentwicklungen einher, insb. wenn bereits im Vorfeld Abhängigkeiten geschaffen wurden, die den Wechsel erschweren. Aufgrund der hohen Hürden kann ein Wechsel unterbleiben oder verzögert werden, obwohl dieser sinnvoll wäre. 

Dem soll u.a. mit Art. 23 DA entgegengewirkt werden, der festlegt: Die Regelungen des Kapitels VI sollen Kunden den Wechsel zwischen CSP ermöglichen und diese zur gleichzeitigen Nutzung mehrerer CSP befähigen. Hierfür sind Art. 23 DA zufolge „vorkommerzielle, gewerbliche, technische, vertragliche und organisatorische“ Hindernisse für einen Wechsel und die damit zusammenhängenden Handlungen zu beseitigen und das Erreichen der sog. „Funktionsäquivalenz“ nicht zu verhindern. Außerdem sollten Infastructure-as-a-Service (IaaS) Anbieter gemäß Art. 23 lit. e) DA im Rahmen des technisch Möglichen für eine Entkoppelung der von ihnen auf Basis der IaaS Dienste erbrachten weiteren Services sorgen.

Detaillierte Vorgaben für die Vertragsgestaltung enthält Art. 25 DA, der CSP dazu verpflichtet, ihre Kundenverträge anzupassen, während die Art. 26 und Art. 28 DA neue Informationspflichten schaffen, welche CSP gegenüber Kunden zukünftig einhalten müssen. Eine an Treu und Glauben orientierte und übergreifende Zusammenarbeitspflicht der Beteiligten sieht der DA in Art. 27 vor, die im Falle eines Anbieterwechsels gewährleisten soll, dass die Datenübertragung in einem verbindlichen Zeitrahmen erfolgt und die Fortführung des Dienstes während eines Wechsels sichergestellt ist. Sofern Entgelte für einen CSP-Wechsel vorgesehen sind, werden diese gemäß Art. 29 DA Schritt für Schritt aufgehoben und dürfen ab dem 12. September 2027 gar nicht mehr verlangt werden.

Art. 30 DA differenziert zwischen Anbietern von IaaS, Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) und gibt für diese technische Anforderungen an die Durchführung eines Anbieterwechsels vor: IaaS Anbieter sollen gemäß Art. 30 Abs. 1 S. 2 DA „die erforderlichen Instrumente“ bereitstellen, um einen Anbieterwechsel zu ermöglichen, PaaS und SaaS Anbieter sollen gemäß Art. 30 Abs. 1 S. 2 DA „unentgeltlich offene Schnittstellen“ zur Durchführung des Umzugs bereithalten.

Doch wen treffen die neuen Pflichten?

Die neuen Regelungen des DA: Datenverarbeitungsdienste als Verpflichtete, Kunden als Berechtigte 

Die Adressaten der neuen Pflichten der Art. 23 ff. DA sind Anbieter von Datenverarbeitungsdiensten, also gemäß Art. 2 Nr. 8 DA diejenigen, die Kunden eine „digitale Dienstleistung“ bereitstellen. Die umfassten Dienstleistungen zielen laut Erwägungsgrund 80 DA technologieoffen darauf ab, insb. (aber nicht ausschließlich) CSP zu umfassen, die IaaS, PaaS und SaaS Dienste anbieten. Nach der Definition müssen die Dienste „einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen“ gewährleisten, der „zentralisierter, verteilter oder hochgradig verteilter Art“ ist und mit „minimalem Verwaltungsaufwand oder minimaler Interaktion“ mit dem Anbieter „rasch bereitgestellt“ werden kann. Zwar bietet Erwägungsgrund 80 des DA einige Anhaltspunkte zur Auslegung all dieser unbestimmten Rechtsbegriffe, allerdings dürfte absehbar sein, dass es letztlich Gerichten obliegt, in streitigen Fällen zu entscheiden, ob ein Angebot als „digitale Dienstleistung“ und „Datenverarbeitungsdienst“ im Sinne des DA mit all seinen Pflichten einzustufen ist.

Demgegenüber werden die Kunden durch den DA mit einer Reihe neuer Rechte ausgestattet. Kunde ist gemäß Art. 2 Nr. 30 DA jede „natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere Datenverarbeitungsdienste in Anspruch zu nehmen“. Die Pflichten des DA für CSP gelten demnach nicht nur im B2C-, sondern auch im B2B-Bereich. Im Folgenden geben wir einen Überblick über diese neuen Pflichten.

Die Informationspflichten für CSP nach dem DA im Überblick

CSP haben zukünftig eine Reihe neuer Informationspflichten gegenüber Kunden oder gegenüber der Allgemeinheit bzw. Öffentlichkeit zu erfüllen, dazu zählen Informationen zum Anbieterwechsel, zu internationalen Datentransfers, zu Entgelten sowie zu Ausnahmen von gesetzlichen Pflichten.

Welche Inhalte sollen auf einen neuen Dienst übertragen werden? Welche Datenformate unterstützt der Anbieter? Auf welche Weise soll die Datenübermittlung erfolgen? Damit Kunden hierzu eine fundierte Entscheidung treffen und ihren Anbieterwechsel planen können, sieht der DA diverse Informationspflichten des Anbieters gegenüber den Kunden vor (Art. 26 DA, Erwägungsgrund 95 des DA). 

Der CSP ist entsprechend Art. 26 DA zunächst dazu verpflichtet, detaillierte Informationen über die verfügbaren Wechselverfahren und die Übertragung von Inhalten für den Kunden bereitzustellen. Hiervon umfasst sind sowohl Angaben zu den verfügbaren Methoden und Formaten des Wechselvorgangs und der Datenübermittlung als auch Angaben zu den dem Anbieter bekannten (technischen) Einschränkungen (vgl. Art. 26 lit. a) DA). Außerdem muss der Anbieter den Kunden gemäß Art. 26 lit. a) und lit. b) DA auf ein aktuelles „Online-Register“ hinweisen, in dem Einzelheiten zu sämtlichen Datenstrukturen und -formaten sowie zu den einschlägigen Normen und offenen Interoperabilitätsspezifikationen beschrieben sind, in denen die exportierbaren Daten gemäß Art. 25 Abs. 2 lit. e) DA verfügbar sind. Dieses Register muss nicht für die Allgemeinheit zugänglich im Internet verfügbar sein; ausreichend kann auch ein ausschließlich für Kunden zugängliches Portal sein. Nicht ausdrücklich bestimmt der DA, ab welchem Zeitpunkt diese Informationspflichten greifen sollen.

Gegenüber der Öffentlichkeit besteht außerdem eine Informationspflicht aus Art. 28 DA, die CSP auferlegt, auf ihren Websites stets aktualisierte Informationen bereitzustellen hinsichtlich der Gerichtsbarkeit, der die für die Bereitstellung der Dienste genutzte IKT-Infrastruktur unterliegt (Art. 28 Abs. 1 lit. a) DA), inkl. einer Beschreibung der technischen, organisatorischen und vertraglichen Vorkehrungen, welche der Anbieter zur Verhinderung möglicher internationaler staatlicher Zugriffe oder staatlicher Weitergaben von in der EU gespeicherten nicht-personenbezogenen Daten ergriffen hat (Art. 28 Abs. 1 lit. b) DA). Mit diesen Informationspflichten einher geht die Verpflichtung des Anbieters aus Art. 32 Abs. 1 DA, angemessene technische und organisatorische Maßnahmen zu ergreifen, um den Zugriff von staatlichen Stellen aus Drittländern zu verhindern, soweit die Zugriffsbefugnis im Widerspruch zum Unionsrecht oder dem Recht eines EU-Mitgliedsstaates steht. 

Art. 29 Abs. 4 und Abs. 5 DA enthalten darüber hinaus vorvertragliche Informationspflichten des Anbieters, wonach dieser etwaige Kunden vor Vertragsschluss in leicht abrufbarer Form und öffentlich verfügbar hinsichtlich der erhobenen Entgelte für den Dienst, der bei vorzeitiger Vertragsbeendigung berechneten Gebühren sowie mögliche Wechselentgelte (Abs. 4) und – soweit ein Wechsel des Dienstes zu einem anderen Provider hochgradig komplex oder kostspielig ist – über diesen Umstand (Abs. 5) unterrichten muss. 

Soweit der Anbieter partiell von den gesetzlichen Pflichten nach dem DA befreit ist, hat dieser gemäß Art. 31 Abs. 3 DA potentielle Kunden auch hierüber vor Vertragsschluss zu unterrichten. 

Der DA enthält außerdem Vorgaben für die Vertragsgestaltung

Art. 25 DA legt für den Vertrag zwischen Anbieter und Kunden die Pflicht zum Abschluss eines „schriftlichen Vertrages“  fest. Außerdem muss der Vertrag dem Kunden vor der Unterzeichnung so bereitgestellt werden, dass dieser ihn dauerhaft speichern kann. Weiterhin hält Art. 25 DA CSP dazu an, Verträge unter Berücksichtigung der teilweise sehr detailreichen gesetzlichen Anforderungen des DA zu überarbeiten. Hierdurch kann die Überarbeitung bestehender Cloud-AGB von Anbietern notwendig werden.

Zwingend in dem Vertrag geregelt bzw. vorgesehen werden müssen gemäß Art. 25 Abs. 2, Abs. 3 und Abs. 5 DA u.a. das Recht des Kunden zum Anbieterwechsel oder zur Übertragung aller Daten in eine kundeneigene Umgebung (Art. 25 Abs. 2 lit. a) DA), die Pflicht des Anbieters, bei einem Wechsel „für ein hohes Maß an Sicherheit“ insb. während der Datenübertragung zu sorgen (Art. 25 Abs. 2 lit. a) iv) DA), eine „maximale Kündigungsfrist für die Einleitung des Wechsels, die zwei Monate nicht überschreiten darf“ (Art. 25 Abs. 2 lit. d) DA), eine konkrete und abschließende Liste aller Datenkategorien, die während eines Anbieterwechsels übertragen werden, konkrete und abschließende Angaben, welche Daten „für die interne Funktionsweise des Datenverarbeitungsdienstes spezifisch sind“ und bei der „Gefahr einer Verletzung von Geschäftsgeheimnissen“ nicht übertragen werden (Art. 25 Abs. 2 lit. e) und f) DA), zum Recht des Kunden, von dem Anbieter („nach Ablauf der maximalen Kündigungsfrist“ von zwei Monaten) den Wechsel zu einem anderen Anbieter, den Umzug in eigene Räumlichkeiten oder die Löschung seiner Daten zu verlangen (Art. 25 Abs. 3 DA), sowie zum Recht des Kunden zur einmaligen angemessenen Verlängerung des Übergangszeitraums (Art. 25 Abs. 5 DA). 

Bei Verstoß gegen die neuen Regelungen durch einen Anbieter können Bußgelder und zivilrechtliche Folgen drohen. Neben der Nichtigkeit von Regelungen sind zudem Ansprüche betroffener Kunden oder wettbewerbsrechtliche Ansprüche von Mitbewerbern des Anbieters denkbar.

In unserem nächsten Beitrag beschäftigten wir uns mit den neuen Pflichten für CSP im Rahmen eines Wechselprozesses nach dem Data Act. Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“. 

Die Gesetzestexte und Erwägungsgründe zum Digital Services Act (DSA) und dem Data Governance Act (DGA) finden Sie für die Praxis kompakt aufbereitet bei CMS DigitalLaws.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Data Act und Cloud Service Provider (Teil 1): Vertragsgestaltung und Informationspflichten  erschien zuerst auf CMS Blog.

In seiner Entscheidung vom 10. April 2024 (UPC_CoA_404/2023, ORD_19369/2024) hat das Berufungsgericht des Einheitlichen Patentgerichts (UPC) über die Voraussetzungen des öffentlichen Zugangs zu Schriftsätzen und Beweismitteln entschieden.

Auf Grundlage der Verfahrensordnung (VerfO) des UPC sind Entscheidungen und Anordnungen des UPC – vorbehaltlich etwaig erforderlicher Schwärzungen, etwa betreffend personenbezogene Daten – stets zu veröffentlichen, vgl. Regel 262.1 (a) VerfO. Das UPC hat für die Veröffentlichung von Entscheidungen und Anordnungen eine eigene Seite auf seiner Website eingerichtet. Schwieriger zu beurteilen ist die Frage, wann die am jeweiligen Verfahren nicht beteiligte Öffentlichkeit Zugang zu Verfahrensdokumenten in Form von Schriftsätzen und Beweismitteln erhält. Regel 262.1 (b) VerfO sieht insoweit vor, dass Schriftsätze und Beweismittel, die beim UPC eingereicht und von der Kanzlei des UPC aufgenommen worden sind, der Öffentlichkeit auf einen an die Kanzlei zu richtenden, begründeten Antrag hin zugänglich zu machen sind. Die Entscheidung der Zugänglichmachung wird dabei vom Berichterstatter* des jeweiligen Spruchkörpers des UPC nach Anhörung der Parteien getroffen. Zu den konkreten Voraussetzungen einer solchen Offenlegung hat sich das Berufungsgericht des UPC nun erstmals geäußert.

Antrag nach Regel 262.1 (b) VerfO bei der nordisch-baltischen Regionalkammer, Begründung und Anträge der Parteien des Verfahrens

In Bezug auf ein Patentverletzungsverfahren vor der nordisch-baltischen Regionalkammer (Überblick über die Standorte des UPC) hatte die Kanzlei des UPC einen Antrag nach Regel 262.1 (b) VerfO erhalten, mit dem der nicht namentlich benannte Antragsteller Zugang zur Klageschrift und allen Entscheidungen der nordisch-baltischen Regionalkammer in diesem Verletzungsverfahren sowie zu den Entscheidungen in den Parallelverfahren vor der Lokalkammer Düsseldorf und der Lokalkammer Mailand begehrte.

Zur Begründung seines Antrags führte der Antragsteller u.a. aus, dass er an der Formulierung der bei der nordisch-baltischen Regionalkammer eingereichten Klage interessiert sei, da sie parallel in Verfahren bei anderen Lokalkammern eingereicht worden sei, und dass er der Ansicht ist, dass ein allgemeines öffentliches Interesse daran bestehe, dass diese Informationen im Zuge der Einführung und Entwicklung des neuen Gerichtssystems der Öffentlichkeit zugänglich gemacht werden und zur Diskussion stehen. 

Die Parteien des Verfahrens erhielten, wie von Regel 262.1 (b) VerfO vorgesehen, Gelegenheit zur Stellungnahme zum Antrag, einschließlich eines möglichen Antrags nach Regel 262.2 VerfO, nach dem eine Partei beantragen kann, dass bestimmte in Schriftsätzen oder Beweismitteln enthaltene Informationen vertraulich zu behandeln sind. Die Klägerin des Verletzungsverfahrens widersprach dem Antrag auf Zugänglichmachung der Klageschrift bzw. der Entscheidungen und beantragte, den Antrag zurückweisen. Zur Begründung führte sie aus, dass sich Regel 262.1 (b) VerfO nur auf „Schriftsätze und Beweismittel“ beziehe. Die Regel beziehe sich gerade nicht auf die Zugänglichmachung von Entscheidungen und Anordnungen. Der Antragsteller müsse wie jeder andere auch auf die Veröffentlichung der Entscheidungen auf der Website warten. Bei Schriftsätzen und Beweismitteln verlange Regel 262.1 (b) VerfO einen „begründeten Antrag“, d.h. es müsse ein konkreter, überprüfbarer und legitimer Grund vorliegen, um die Dokumente einem Mitglied der Öffentlichkeit zugänglich zu machen. Einem Dritten solle es nicht gestattet werden, die sorgfältig und mit nicht unerheblichem Aufwand erstellten Schriftsätze zur Durchsetzung eigener wirtschaftlicher Interessen zu verwenden, und die Klägerin habe keine Möglichkeit zu überprüfen, wie die aus der Überprüfung ihrer Klageschrift gewonnenen Erkenntnisse in der Praxis angewendet werden.

Für den Fall, dass dem Antrag auf Zugang u.a. zur Klageschrift stattgegeben wird, beantragte die Klägerin, dass die Zugänglichmachung der Dokumente an den Antragsteller bis zum Abschluss eines etwaigen Rechtsmittelverfahrens ausgesetzt wird, oder hilfsweise, dass die Dokumente dem Antragsteller erst 21 Tage nach dem Erlass einer Entscheidung bereitgestellt werden, um sicherzustellen, dass die Klägerin genügend Zeit hat, um beim Berufungsgericht die aufschiebende Wirkung gemäß Regel 223 VerfO zu beantragen. Die Beklagten des Verletzungsverfahrens äußerten sich zum Antrag auf Zugänglichmachung nicht. Keine der Parteien stellte einen Geheimnisschutzantrag nach Regel 262.2 VerfO.

Auslegung der Regel 262.1 (b) VerfO durch die nordisch-baltische Regionalkammer

In ihrer Entscheidung vom 17. Oktober 2023 (UPC_CFI_11/2023, ORD_543819/2023) stellt die nordisch-baltische Regionalkammer nach dem Tatbestand zunächst ausführlich den für die Entscheidung relevanten rechtlichen Rahmen dar. Dabei stellt sie zunächst klar, dass nach Art. 10 Abs. 1 S. 3 des Übereinkommens über ein Einheitliches Patentgericht (EPGÜ) das von der Kanzlei geführte Register vorbehaltlich der im EPGÜ festgelegten Bedingungen und der Verfahrensordnung öffentlich ist.

Die nordisch-baltische Regionalkammer wirft sodann die Frage auf, ob sich Art. 10 EPGÜ auch auf den Inhalt des Registers bezieht. Zur Beantwortung dieser Frage zieht die Regionalkammer Art. 45 EPGÜ heran, nach dem die Verhandlungen öffentlich sind, es sei denn, das UPC beschließt, sie – soweit erforderlich – im Interesse einer der Parteien oder sonstiger Betroffener oder im allgemeinen Interesse der Justiz oder der öffentlichen Ordnung unter Ausschluss der Öffentlichkeit zu führen. Der Anwendungsbereich des Art. 45 EPGÜ sei nicht auf Entscheidungen, Anordnungen oder mündliche Verhandlungen beschränkt, sondern beziehe sich allgemein auf das Verfahren als solches. Daraus folgert die Regionalkammer, dass u.a. auch das schriftliche Verfahren (zu den einzelnen Verfahrensabschnitten s. Art. 52 Abs. 1 EPGÜ) grundsätzlich öffentlich sei, vorbehaltlich etwaiger Einschränkungen im Sinne des Art. 45 EPGÜ. Dieses grundlegende Verständnis sei bei den Anforderungen an den „begründeten Antrag“ nach Regel 262.1 (b) VerfO zu berücksichtigen. Der Begriff sei auch in weiteren Regeln der Verfahrensordnung zu finden, etwa in Regel 9 VerfO, nach der das UPC auf einen begründeten Antrag hin Fristen verkürzen oder verlängern kann. Im Rahmen der Regel 262.1 (b) VerfO sei „begründeter Antrag“ dahin zu verstehen, dass der Antragsteller eine glaubhafte bzw. plausible Erklärung dafür beibringen müsse, weshalb er Zugang zu Schriftsätzen und/oder Beweismitteln begehrt. Diese Auslegung stütze sich auf Art. 45 EPGÜ und stehe im Einklang mit Regel 262.6 VerfO, welche klarstellt, dass das UPC ungeachtet eines möglichen Geheimnisschutzantrags nach Regel 262.2 VerfO dem Antrag auf Zugang zu Schriftsätzen/Beweismitteln grundsätzlich stattgibt, es sei denn, von der betreffenden Partei angeführte berechtigte Gründe für die Vertraulichkeit der Informationen überwiegen das Interesse des Antragstellers am Zugang zu diesen Informationen.

Auf Grundlage dieser Auslegung gewährte die Regionalkammer dem Antragsteller Zugang zur Klageschrift. Ebenso wies die Regionalkammer den Antrag auf Zugang zu Entscheidungen/Anordnungen in den Parallelverfahren mangels Zuständigkeit zurück. Offen lässt die Regionalkammer, ob es grundsätzlich möglich ist, über einen Antrag nach Regel 262.1 (b) VerfO Zugang zu bislang noch nicht veröffentlichten Entscheidungen/Anordnungen des UPC zu erlangen.

Da die Frage des öffentlichen Zugangs zu Dokumenten nach Regel 262.1 (b) VerfO umstritten ist, ordnete die die Regionalkammer an, dass die Klageschrift dem Antragsteller – nach Schwärzung von personenbezogenen Daten im Sinne der DSGVO – erst am 7. November 2023 zur Verfügung gestellt werden solle, um der Klägerin des Verletzungsverfahrens Gelegenheit zur Einlegung der Berufung und zur Beantragung der aufschiebenden Wirkung der Berufung zu geben.

Anwaltliche Vertretung bei einem Antrag nach Regel 262.1 (b) VerfO erforderlich

Die Klägerin des Verletzungsverfahrens legte gegen die Entscheidung der Regionalkammer Berufung ein. Bevor das Berufungsgericht in der Sache (dazu unten) entschied, verhielt es sich in seiner Entscheidung vom 8. Februar 2024 (UPC_CoA_404/2023, App_584498/2023) dazu, ob Antragsteller bei einem Antrag nach Regel 262.1 (b) VerfO (anwaltlich) vertreten sein müssen. Sowohl die Klägerin des Verletzungsverfahrens als auch der Antragsteller argumentierten, dass eine Vertretung nicht erforderlich sei, da der Antragsteller keine „Partei“ des Verfahrens im Sinne des Art. 48 Abs. 1, Abs. 2 EPGÜ bzw. Regel 8.1 VerfO sei. Das Berufungsgericht hingegen ist der Ansicht, dass auch der Antragsteller eines Antrags nach Regel 262.1 (b) VerfO „Partei“ im Sinne der Regel 8.1 VerfO sei. Dies ergebe sich u.a. daraus, dass Regel 8.1 VerfO nur Antragsteller von Opt-Out-Anträgen, von Anträgen auf Aufhebung oder Abänderung einer Entscheidung des Europäischen Patentamts (EPA) und von Anträgen auf Prozesskostenhilfe explizit und abschließend vom Vertretungserfordernis ausnehme, woraus im Umkehrschluss folge, dass für Antragsteller in allen anderen Verfahren das Vertretungserfordernis gelte. Das Vertretungserfordernis stelle für den Antragsteller auch keine unbillige Härte dar, da es nur im Eigeninteresse des Antragstellers liege, sich mit Hilfe eines Vertreters vor möglichen Konsequenzen von Prozesshandlungen zu schützen. Dementsprechend gab das Berufungsgericht dem Antragsteller auf, binnen 14 Tagen einen Vertreter zu benennen bzw. zu bestellen und im selben Zeitraum eine Berufungserwiderung einzureichen.

Auslegung der Regel 262.1 (b) VerfO durch das Berufungsgericht

In seiner Entscheidung vom 10. April 2024 weist das Berufungsgericht die Berufung zurück. Zunächst stellt das Berufungsgericht fest, dass es in Fragen nicht-technischer Natur – wie hier – in einer Besetzung von drei rechtlich qualifizierten Richtern ohne die Mitwirkung von technisch qualifizierten Richtern entscheiden kann. Hinsichtlich des Zugangs zu Dokumenten stellt das Berufungsgericht fest, dass aus Art. 10 und Art. 45 EPGÜ der allgemeine Grundsatz folge, dass sowohl das Register als auch die Verfahren öffentlich sind, es sei denn, die Abwägung der betroffenen Interessen ergibt, dass die in das Verfahren eingeführten Informationen vertraulich zu behandeln sind. Abzuwägen seien bei einem Antrag nach Regel 262.1 (b) VerfO das Interesse des Antragstellers auf Zugang zu den beantragten Dokumenten auf der einen Seite und das Interesse der Partei(en) des Verfahrens auf Schutz von vertraulichen Informationen und personenbezogenen Daten auf der anderen Seite. Auch das allgemeine Interesse der Justiz und der öffentlichen Ordnung müsse berücksichtigt werden. Zum allgemeinen Interesse der Justiz gehöre der Schutz der Integrität der Verfahren. Die öffentliche Ordnung sei etwa dann betroffen, wenn ein Antrag nach Regel 262.1 (b) VerfO missbräuchlich ist oder Sicherheitsinteressen auf dem Spiel stehen. Um dem über den Antrag entscheidenden Berichterstatter eine Interessenabwägung zu ermöglichen, müsse der Antrag nach Regel 262.1 (b) VerfO begründet werden. Nach dem Berufungsgericht ermögliche der öffentliche Zugang zu Dokumenten u.a. die Kontrolle des UPC durch die Öffentlichkeit, was wichtig sei für die Vertrauensbildung in das UPC. Dieses allgemeine Interesse der Öffentlichkeit bestehe regelmäßig insbesondere, nachdem eine Entscheidung durch das UPC erlassen wurde, da die Vorgehensweise und der Entscheidungsfindungsprozess des UPC anhand der getroffenen Entscheidung nachvollzogen werden könne. Der Schutz der Integrität des Verfahrens spiele regelmäßig nur so lange eine Rolle, bis das Verfahren abgeschlossen ist, sei es durch eine Entscheidung des UPC oder durch anderweitige Beendigung, z.B. durch Rücknahme der Klage. Sofern der Schutz der Integrität des Verfahrens keine Rolle mehr spielt, sei der Zugang zu Verfahrensdokumenten – vorbehaltlich etwaiger Schwärzungen – regelmäßig zu gewähren.

Ungeachtet der Situation der Verfahrensbeendigung kann ein Antragsteller nach dem Berufungsgericht auch ein spezifisches Interesse am Zugang zu den Schriftsätzen und Beweismitteln eines bestimmten Verfahrens haben. Dies sei insbesondere dann der Fall, wenn er ein unmittelbares Interesse am Streitgegenstand hat, wie z.B. am Rechtsbestand eines Patents, von dem er auch als Wettbewerber oder Lizenznehmer betroffen ist, oder wenn der Antragsteller ein ähnliches oder identisches (vermeintliches) Verletzungsprodukt benutzt oder zu benutzen beabsichtigt wie die beklagte Partei eines Patentverletzungsverfahrens vor dem UPC. Wenn ein Mitglied der Öffentlichkeit ein solches unmittelbares berechtigtes Interesse an dem Gegenstand eines bestimmten Verfahrens hat, entstehe dieses Interesse nicht erst nach Abschluss des Verfahrens, sondern könne auch während des laufenden Verfahrens gegeben sein.

Schließlich stellt das Berufungsgericht klar, dass auch bei Gewährung des Zugangs zu Schriftsätzen/Beweismitteln das UPC zum Zweck eines angemessenen Schutzes der Integrität des Verfahrens die Gewährung des Zugangs von bestimmten Bedingungen abhängig machen kann, wie etwa der Verpflichtung des Antragstellers, die Schriftsätze und Beweismittel, zu denen ihm Zugang gewährt wurde, vertraulich zu behandeln, solange das Verfahren nicht abgeschlossen ist.

Auslegung der Regel 262.1 (b) VerfO durch die Zentralkammer des UPC

Vor der Entscheidung des Berufungsgerichts hatte im März 2024 bereits die Zentralkammer (Paris) des Gerichts erster Instanz entschieden (UPC_CFI_262/2023, ORD_7460/2024), dass nach Regel 262.1 (b) VerfO Einsicht nur in Schriftsätze und Beweismittel gewährt werden könne, nicht auch in andere Verfahrensdokumente, die etwa die Kommunikation zwischen der Kanzlei und den Verfahrensparteien betreffen. Ebenso hatte bereits im September 2023 die Zentralkammer (Abteilung München) entschieden (UPC_CFI_75/2023, ORD_552745/2023) und sich in dieser Entscheidung auch zur Auslegung des „begründeten Antrags“ geäußert.

Zunahme von Geheimnisschutzanträgen nach der Entscheidung des Berufungsgerichts zu erwarten

Durch seine Entscheidung hat das Berufungsgericht die Position der Öffentlichkeit auf Zugang zu Schriftsätzen und Beweismitteln auch im Rahmen von noch nicht abgeschlossenen Verfahren gestärkt. Parteien der Verfahren und ihre Vertreter sind daher gut beraten, spätestens beim Eingang eines Antrags nach Regel 262.1 (b) VerfO geheimhaltungsbedürftige Informationen in Schriftsätzen und/oder Beweismitteln durch entsprechende Anträge vor dem (ggf. unerwünschten) Zugriff der Öffentlichkeit zu schützen. Es bleibt abzuwarten, wie das UPC konkret mit Anträgen auf Zugang zu Schriftsätzen/Beweismitteln in noch laufenden Verfahren umgehen bzw. diese bescheiden wird. Hier dürfte die Darlegung eines bloß allgemeinen Interesses auf Zugang voraussichtlich nicht ausreichen. Es ist ein spezifisches bzw. besonderes Interesse darzulegen, wie beispielsweise die eigene Betroffenheit im Hinblick auf das streitgegenständliche Patent.

This article is also available in English.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag UPC: Berufungsgericht klärt Fragen des Zugangs der Öffentlichkeit zu bestimmten Verfahrensdokumenten erschien zuerst auf CMS Blog.

Die Immobilienkrise in China sorgte in den vergangenen Jahren regelmäßig für Schlagzeilen. Aufgrund der Größe der chinesischen Volkswirtschaft und ihrer internationalen Verflechtungen liegt es nahe, dass eine Eskalation dieser Krise auch für Deutschlands Immobilienmarkt und die Wirtschaft im weiteren Sinne Konsequenzen haben könnte. In diesem Beitrag sollen die Ursachen, Entwicklungen sowie Auswirkungen der chinesischen Immobilienkrise beleuchtet sowie Zukunftsaussichten dargestellt werden.

Ursachen der Immobilienkrise in China

In das Bewusstsein der meisten westlichen Beobachter* rückten die Probleme am chinesischen Immobilienmarkt im Sommer 2021. Liquiditätsprobleme bei dem wohl bekanntesten Protagonisten der Krise, der China Evergrande Group, führten dazu, dass Ratingagenturen ihre Kreditratings für das Unternehmen herabsetzten. Evergrande konnte im Herbst 2021 fällige Zinszahlungen nicht leisten und nach jahrelangen Versuchen der Sanierung wurde nun am 29. Januar 2024 durch ein Hongkonger Gericht die Liquidation des Unternehmens angeordnet. Dies sind jedoch nur die Symptome einer Krise, deren Ursprung weiter zurückliegt und mehrere Ursachen hat:

Überhitzung des Immobilienmarktes

Aufgrund des rasanten wirtschaftlichen Aufschwungs Chinas in den 2000er und 2010er Jahren explodierte die Nachfrage nach Immobilien, da große Teile der Landbevölkerung in die Städte zogen, um von der dortigen ökonomischen Entwicklung zu profitieren. Die Verstädterungsrate in China stieg von 19 % im Jahr 1980 auf ca. 64 % im Jahr 2022 an. Im Zuge dieser Urbanisierung wuchsen die Städte rasant, immer mehr Wohnraum wurde benötigt.

In der chinesischen Gesellschaft gilt Immobilieneigentum oftmals als im Vergleich zu Aktien oder Fonds sicherere Anlagemöglichkeit. Ferner sehen viele Chinesen in Zeiten des Junggesellenüberschusses als Auswirkung der Ein-Kind-Politik ein eigenes Heim als notwendige Voraussetzung für eine Ehe.  Die übermäßige Nachfrage an Wohnraum konnte kaum gesättigt werden, sodass ein Bauboom zu überhöhten Immobilienpreisen ausbrach.

Der Immobiliensektor gewann durch diese Entwicklung enorm an Bedeutung und macht heute gemeinsam mit dem Bausektor ungefähr ein Viertel des chinesischen Bruttoinlandsproduktes aus.

Zurückhaltende Regulierung

Begünstigt wurden die aktuellen Entwicklungen durch ein geringes Maß an Regulierung und gleichzeitig hohe Erwartungen an den Beitrag des Immobiliensektors zu den Staatszielen. 

Zum einen benötigen die regionalen Regierungen in China Erlöse aus Grundstücksverkäufen an private Investoren, um lokale Projekte zu finanzieren und beschlossene Wachstumsziele zu erreichen. Durch die restriktive Freigabe von Bauflächen bei einer hohen Nachfrage konnten die Kaufpreise für Grundstücksflächen hochgehalten werden.

Zum anderen wurden großen Immobilienentwicklern und auch deren Investoren lange Zeit weite Handlungsspielräume gelassen. Die Branche wurde kaum reguliert, um das Wachstum nicht zu gefährden.

Die zurückhaltende Regulierung wurde durch Investment- und Treuhandfonds gewinnbringend genutzt. So unterstützten insbesondere Finanzunternehmen, die keine Banklizenz haben, aber im Auftrag von Investoren Geld anlegen und Vermögensverwaltungsprodukte an Kleinanleger verkaufen den Bausektor. Jahrelang wurden bevorzugt regionale und lokale Kredite vergeben, die durch Investoren und Konzerne angenommen wurden, wenn die Staatsbanken ablehnten. Auch öffentliche Stakeholder nutzten diese Vehikel, um bei drohenden Kreditausfällen gegenüber Staatsbanken die städtische Entwicklung voranzutreiben.

Diese Umstände führten dazu, dass Immobilienkonzerne während des Baubooms aggressiv expandierten und diese Expansion über Anleihen und Kredite finanzierten. Die Immobilienentwickler verschuldeten sich zunehmend, allein Evergrande hatte im September 2021 Schulden in Höhe von 2 Billionen RMB (umgerechnet zu dem Zeitpunkt ca. USD 300 Mrd.). Viele Unternehmen verkauften zur Finanzierung ihrer Expansion die Wohnungen schon vor deren Fertigstellung, um die Erlöse in neue Projekte investieren zu können.

Marktentwicklungen der letzten Jahre: Sinkende Nachfrage und Preise

Die Blase des überhitzten Immobilienmarktes drohte bereits im Zuge der Coronakrise erstmals zu platzen. Die wirtschaftliche Verunsicherung der Konsumenten und das rückläufige Bevölkerungswachstum (damit einhergehend der Urbanisierungsrate) führten zu einem Rückgang der Binnennachfrage für Immobilien.

Konsequenz der sinkenden Nachfrage bei weiterhin großem Angebot war, dass auch die Preise für Immobilien sanken. Die Deflation verstärkte die bereits vorhandene Investitionsaversion. Die von vielen großen Immobilienentwicklern verfolgte Strategie funktionierte nur so lange, wie auch die Preise stiegen und die Schulden durch frischen Cashflow bedient werden konnten. Durch den ausbleibenden Geldfluss kamen die großen Immobilienunternehmen in Liquiditätsprobleme und gerieten in wirtschaftliche Schieflage. 

Auch Investmentfonds sahen angesichts der Krise von weiteren Investitionen in die großen chinesischen Bauunternehmen ab, was deren Liquiditätsprobleme vergrößerte. 

Anpassung der Kreditbedingungen

Inmitten des ersten Corona-Lockdowns im August 2020 wurde die Regulierung bezüglich der Verschuldung der großen Immobilienkonzerne verschärft. Die Regulierung sieht die Implementierung von sog. „drei roten Linien“ vor, die die Verhältnisse von Schulden zu Eigenkapital, Barmitteln und Aktiva vorschreiben. Ziel der Regulierung ist es, die aggressive Schuldenfinanzierung der Immobilienkonzerne zu unterbinden und hierdurch den Markt zu stabilisieren. Ein erkennbarer Erfolg dieser Regulierung ist jedoch (bisher) ausgeblieben. Die notleidenden Kredite bei den vier großen chinesischen Banken stiegen im Jahr 2023 um 10,4 % von CNY 1,117 Billionen, etwa USD 155 Milliarden, im Jahr 2022 auf CNY 1,23 Billionen.

Gleichzeitig drängt Peking Medienberichten zufolge die Kreditinstitute, die Finanzierung für Bauträger zu verbessern. Am 26. Januar 2024 wurde das „Project Whitelist″ gestartet, in dessen Rahmen die Behörden von 35 Städten den Banken Wohnbauprojekte, die finanzielle Unterstützung benötigen, empfehlen. 

Zusammenbruch der Immobilienentwickler und Auswirkungen in China

Die genannten Marktentwicklungen führten dazu, dass inzwischen ca. 75 % der größten Bauträger Chinas des Jahres 2020 zahlungsunfähig geworden sind. Symptomatisch steht hierfür Evergrande: nach den bekannt gewordenen Finanzproblemen im Jahr 2021 wurde der Handel mit der Evergrande Aktie mehrfach ausgesetzt, im August 2023 beantragte das Unternehmen in den USA Gläubigerschutz nach Chapter 15 des US Bankruptcy Code. Die Folgen des Urteils vom 29. Januar 2024 sind noch abzuwarten, gerade da die Gefahr besteht, dass die Volksrepublik China das Urteil aus Hongkong nicht anerkennt.

Die finanziellen Probleme bei den Immobilienunternehmen führten zu Baustopps bei Wohnungsbauprojekten, die nach der gängigen Praxis bereits verkauft waren. Die Investmentbank Nomura schätzte im November 2023, dass es in ganz China rund 20 Millionen unfertige Wohnungen gibt. Die gesamte Finanzierungslücke für die Fertigstellung dieser Projekte belief sich Nomura zufolge auf rund USD 446 Mrd. Wütende Käufer stellten Zahlungen auf ihre Immobilienfinanzierungen ein, was die Liquiditätsprobleme der Unternehmen weiter verstärkte. Die kritische Situation der Immobilienentwickler bedroht nun auch abhängige Industrien wie die Bau- und Zulieferindustrie und dadurch auch die Arbeitnehmer dieser Branchen. Ebenso sind die finanzierenden Institutionen mittelbar durch Kreditausfall bedroht.

Auswirkungen auf die internationalen Märkte und die Baubranche: Investitionen in den deutschen Immobilienmarkt

Chinesische Firmen und, soweit möglich, Staatsbürger investierten in den Jahren vor der Corona-Pandemie in erheblichem Maße in ausländische Immobilien, darunter auch in Deutschland. Nachdem der nationale Markt immer unattraktiver wird, suchen wohlhabende Chinesen und chinesische Unternehmen nach Möglichkeiten ihr Vermögen international anzulegen. Beispielhaft wird hier die Beteiligung des chinesischen Staatskonzerns Cosco am Hamburger Hafen genannt. Als Reaktion auf das gesteigerte Interesse aus Fernost plant das deutsche Wirtschaftsministerium ein neues Investitionsprüfgesetz. Die EU-Kommission stellte vergangenes Jahr ihre Economic Security Strategy vor, mit welcher u.a. wirtschaftliche Abhängigkeiten von China verringert werden sollen.

Auswirkungen auf die deutsche Baubranche

Auch die deutsche Baubranche steckt in der Krise, da die Baupreise steigen und die Zahl der Bauaufträge sinkt. Allerdings sehen die meisten Experten die Gründe hierfür nicht mit dem chinesischen Markt verbunden. Vielmehr werden als Gründe hohe Baukosten, steigende Zinsen und die Stornierung von nicht mehr durchzuführenden Projekten angeführt. Gerade in Kommunen fehlt laut des Präsidenten des Zentralverbands Deutsches Baugewerbe oft das Geld für öffentliche Bauaufträge.

Die chinesische Immobilienkrise könnte jedoch in der Zukunft einen positiven Effekt für deutsche Bauunternehmen haben: durch die niedrige Nachfrage nach Baurohstoffen in China könnten sich die hohen Materialpreise entspannen, die der Branche in Deutschland aktuell zu schaffen machen.

Effekte auf den deutschen Exportmarkt

Das schwächere Wachstum der Unternehmen und der Konsumrückgang treffen auch die Exporteure nach China. Besonders belastend ist hier, dass China trotz der Abwertung seiner Währung eine Deflation erlebt. Somit müssen sich deutsche Firmen mit den niedrigen Preisen der chinesischen Konkurrenz messen. Darüber hinaus sind viele internationale Unternehmen direkt im chinesischen Immobilienmarkt tätig oder von ihm abhängig und sind von einem weiteren Abschwung ebenfalls betroffen.

Deutsche Unternehmen und Investoren, die auf dem chinesischen Markt agieren, können ausstehende Forderungen mit einem entsprechenden Titel eines chinesischen Gerichts mittels Zwangsvollstreckung eintreiben. Die Zwangsvollstreckung ist jedoch nur möglich, solange noch kein Insolvenzantrag gegen das chinesische Unternehmen gestellt wurde. 

Einen Antrag auf Eröffnung des Insolvenzverfahrens in China selbst zu stellen ist umständlich und teuer. Gläubiger chinesischer Firmen sollten die finanzielle Situation ihrer Vertragspartner genauestens beobachten. 

Globale wirtschaftliche Verunsicherung

Die Krise auf dem chinesischen Immobilienmarkt könnte ferner globale Auswirkungen haben. Für das Jahr 2023 wird der Anteil am kaufkraftbereinigten globalen BIP von China durch den Internationalen Währungsfonds auf rund 18,82 % prognostiziert. Der IMF prognostiziert China für das Jahr 2024 ein BIP-Zuwachs in Höhe von 4,6 %, im Jahr 2023 waren es noch 5,2 %. Mit Investitionsimpulsen wie in der Finanzkrise 2018, als die chinesische Wirtschaft den weltweiten Turnaround stimulierte, ist zumindest aus der Immobilienbranche nicht zu rechnen.

Ferner besteht die Gefahr des sog. Spillover-Effekts, bei dem finanzielle Instabilitäten in einem Land oder Sektor auf andere übergreifen. Ein erheblicher Teil der Schulden von Unternehmen wie Evergrande und Country Garden Holdings besteht aus international gehandelten Anleihen. Der Handel mit Papieren von Country Garden an der Hongkonger Börse wurde bereits eingestellt, da diese ihre Bilanz für 2023 nicht fristgerecht vorlegen konnte. Durch die Unsicherheiten auf dem chinesischen Markt und die Gefahr der eigenen Verlustgeschäfte könnte das globale Investitionsinteresse zurückgehen.

Ausblick – Wie reagiert die Volkrepublik?

Chinas Zentralbank und deren Finanzaufsichtsbehörde haben bekannt gegeben, dass sie Regeln für die Kreditaufnahme lockern wollen, um mögliche Hauskäufer zu unterstützen. Die Regierung erwägt, den schwächelnden Markt mit einem Maßnahmenpaket von ca. USD 300 Mrd. zu unterstützen. Diese Maßnahmen wären die bisher größten, um die Finanzierungslücke für die Fertigstellung von rund 20 Millionen unvollständigen, bereits verkauften Einheiten in ganz China zu schließen. Großstädte wollen zudem den Menschen Vorzugskredite zum Kauf eines Eigenheims gewähren.

Das „Projekt Whitelist″ soll die zögernden Kreditinstitute dazu bewegen, Kredite zur Fertigstellung der Bauprojekte zur Verfügung zu stellen. Mutmaßlich werden die Kreditinstitute jedoch eher größere, staatliche Bauträger bevorzugen als ihre kapitalschwachen, privaten Konkurrenten. 

Ob diese Maßnahmen den angeschlagenen Markt stabilisieren können, bleibt abzuwarten. Die letzten Zahlen des auf Immobilien spezialisierten Forschungsinstituts China Index Academy verzeichneten einen Anstieg des durchschnittlichen Wohnungspreises in 100 ausgewählten Städten im Vergleich zum Vormonat um 0,27 Prozent. Für ausländische Investoren und den deutschen Markt bleibt dennoch weiterhin unklar, in welchem Maße sich die instabile Marktlage auswirkt. Die Hoffnung ist, dass China die Krise selbst auffangen kann. Ansonsten könnte die Liquidation von Evergrande für die globale Wirtschaft der erste Meilenstein eines massiven Abschwungs darstellen.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Die chinesische Immobilienkrise und deren Auswirkungen auf den deutschen Markt erschien zuerst auf CMS Blog.

KI ist aus der modernen Arbeitswelt nicht mehr wegzudenken und beeinflusst viele Bereiche, von der Automatisierung in der Fertigung bis zur Datenanalyse im Marketing. Sie steigert die Effizienz, verbessert die Entscheidungsfindung und ermöglicht neue Wege der Problemlösung.

Im Arbeitsschutz bietet KI Potenzial, Arbeitsplätze sicherer zu machen und Unfälle zu vermeiden. Jedoch bringt die Integration von KI auch Herausforderungen mit sich, darunter physische Risiken und psychosoziale Belastungen wie Überwachungsdruck und Jobverlustängste durch Automatisierung. 

Dieser Artikel betrachtet sowohl die Chancen als auch die Risiken des Einsatzes von KI in Bezug auf Arbeitsschutz.

Einsatzmöglichkeiten von KI im Arbeitsschutz

KI-Systeme reichen von einfachen Lernalgorithmen bis hin zu fortschrittlichen Technologien und verbessern die Arbeitssicherheit durch effektivere Überwachung, proaktive Gefahrenerkennung und präventive Maßnahmen. Beispiele umfassen die Müdigkeitserkennung bei Arbeitnehmern*, automatisierte Risikobewertungen und Wearables zur Gesundheitsüberwachung.

Die European Agency for Safety and Health at Work hebt hervor, dass KI-basierte Systeme Arbeitsunfälle und Berufskrankheiten reduzieren können, indem sie Gefährdungen besser erkennen und beurteilen. KI ermöglicht zudem detaillierte Gefährdungsbeurteilungen durch die Analyse und Übertragung existierender Daten auf neue Bewertungen, wodurch Risikofaktoren identifiziert und präventive Sicherheitsmaßnahmen eingeleitet werden. Darüber hinaus unterstützen KI-Systeme die psychische Gesundheit durch Erkennung von Überarbeitungszeichen und ermöglichen adaptives E-Learning. Kollaborative Roboter (Cobots) und persönliche Schutzausrüstungen (PSA), die mit KI ausgestattet sind, können gefährliche Aufgaben übernehmen und kontinuierlich Gesundheitsrisiken überwachen, was die Arbeitssicherheit weiter verbessert.

Psychische Gefahren

Der Einsatz von KI im Unternehmen bringt sowohl psychische als auch physische Herausforderungen mit sich. Die ständige Überwachung durch KI kann dazu führen, dass sich Mitarbeiter kontinuierlich beobachtet und bewertet fühlen, was zu hohem Leistungsdruck, Angstzuständen und Burnout führen kann. Zudem weckt die Automatisierung durch fortschrittliche KI-Systeme bei vielen die Furcht, durch Maschinen ersetzt zu werden, was psychischen Stress und eine Verringerung der Produktivität zur Folge haben kann. Weiterhin erfordert die fortwährende Anpassung an neue Technologien und Arbeitsweisen eine hohe geistige Flexibilität und Lernbereitschaft, was überwältigend sein und zu Überforderung und Stresssymptomen führen kann. 

Physische Gefahren

KI-gesteuerte Maschinen führen neben traditionellen Risiken zu neuen physischen Gefahren durch ihre Fähigkeit, autonom zu agieren, was bei unzureichender Überwachung und fehlerhaften Algorithmen zu unvorhersehbaren Aktionen führen kann. Dies kann die physische Sicherheit von Mitarbeitern gefährden, beispielsweise durch fehlerhafte Maschinenbedienung oder unkontrollierte Interaktionen mit Robotern. Zudem bergen Zuverlässigkeitsprobleme von KI-Systemen das Risiko von Ausfällen und Fehlfunktionen, die zu Betriebsunterbrechungen und physischen Gefahren führen können, besonders in hochautomatisierten Umgebungen. Psychische Belastungen durch KI können sich zudem körperlich manifestieren, was zu Symptomen wie Kopfschmerzen, Herz-Kreislauf-Problemen und anderen stressbedingten Erkrankungen führt, die die Lebensqualität und psychische Gesundheit weiter beeinträchtigen

Maßnahmen zur Reduzierung der psychischen und physischen Gefahren

Um psychologische Auswirkungen zu mindern, sind transparente Kommunikation, Weiterbildung und Umschulung sowie Maßnahmen gegen Anpassungsstress wichtig. Transparente Kommunikation hilft, die Sorgen der Mitarbeiter bezüglich KI-Einführung zu adressieren und eine Kultur des Vertrauens zu fördern. Weiterbildungs- und Umschulungsangebote sind entscheidend, um die Mitarbeiter auf die Veränderungen durch KI vorzubereiten und deren Ängste vor Jobverlust zu mindern. Strategien gegen Anpassungsstress, wie ausreichende Fortbildungsangebote und die Förderung einer gesunden Work-Life-Balance, sind ebenfalls essentiell, um den Anforderungen des modernen Arbeitslebens gerecht zu werden und eine gesunde Arbeitsumgebung zu schaffen.

Die Bewältigung der physischen Herausforderungen, die der Einsatz von KI mit sich bringt, erfordert eine umfassende Risikoanalyse und die Entwicklung von Risikominderungsstrategien. Die physische Sicherheit wird durch die Entwicklung spezifischer Sicherheitsstandards, regelmäßige Wartung und technische Überwachung der KI-Systeme sichergestellt. Dies umfasst Risikoanalysen, Echtzeit-Überwachungs- und Alarmierungssysteme, regelmäßige Sicherheitsschulungen und einen kontinuierlichen Verbesserungsprozess. Die Wartung beinhaltet die Überprüfung von Hardware und Software, Updates, Optimierung der Systeme und die Implementierung von Früherkennungssystemen für Fehlfunktionen.

Chancen nutzen, Risiken minimieren

Die fortschreitende Integration von KI in den Arbeitsalltag birgt sowohl revolutionäre Chancen als auch signifikante Risiken. KI hat das Potenzial, die Arbeitssicherheit durch innovative Technologien und verbesserte Gefahrenerkennung maßgeblich zu erhöhen, doch gleichzeitig stellt sie neue Anforderungen an die psychische und physische Resilienz der Belegschaft. Die erfolgreiche Implementierung von KI im Arbeitsschutz erfordert daher nicht nur technische Anpassungen, sondern auch eine umfassende Betrachtung der menschlichen Faktoren. Es gilt, durch proaktive Schulungen, klare Kommunikation und umsichtige Führungspraktiken eine Kultur zu schaffen, die sowohl die technologischen als auch die menschlichen Aspekte berücksichtigt. Nur durch das Gleichgewicht zwischen Mensch und Maschine können wir sicherstellen, dass die Vorteile der KI vollständig genutzt werden, ohne die Sicherheit und das Wohlbefinden der Mitarbeiter zu kompromittieren.

This article is also available in English.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Künstliche Intelligenz und Arbeitsschutz – Chancen und Risiken erschien zuerst auf CMS Blog.

Zu Beginn dieses Jahres und zum Ende des Jahres 2023 hat der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen zu der maßgeblichen datenschutzrechtlichen Schadensersatznorm Art. 82 der Europäischen Datenschutz-Grundverordnung (DSGVO) veröffentlicht, in denen der EuGH die Voraussetzungen des Art. 82 DSGVO in wichtigen und bis dahin umstrittenen Punkten konkretisiert. Damit setzt der EuGH auf sein Urteil vom 4. Mai 2023 (C-300/21) auf und führt die dort begonnene Auslegung von Art. 82 DSGVO fort, die wir in diesem Beitrag beleuchten wollen.

Die laut EuGH wesentlichen Aspekte zum Anspruch aus Art. 82 DSGVO lassen sich wie folgt zusammenfassen:

• Nicht jeder Verstoß gegen die Vorschriften der DSGVO löst automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO aus. Der betroffenen Person muss ein materieller oder immaterieller Schaden entstanden sein, den diese nachzuweisen hat.
• Der Begriff des Schadens ist weit auszulegen. Der Anspruch auf Ersatz immaterieller Schäden setzt keinen spürbaren Nachteil voraus. 
• Art. 82 DSGVO weist keine Erheblichkeitsschwelle oder Bagatellgrenze auf, die durch den Schaden überschritten sein müsste.
• Die Befürchtung des Missbrauchs personenbezogener Daten kann ein ersatzfähiger immaterieller Schaden sein. Im Falle der Befürchtung des Datenmissbrauchs durch Dritte als Schaden, muss die betroffene Person nachweisen, dass diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die eigene Person als begründet angesehen werden kann. 
• Eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ist nur in engen Grenzen möglich.
• Die DSGVO enthält keine Regelungen zur Bemessung der Höhe des als Schadensersatz zu leistenden Betrags, sodass die nationalen Gerichte unter Beachtung der unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten anwenden. Zur Bemessung der Höhe einer zu leistenden Entschädigung verlangt Art. 82 DSGVO nicht, dass dabei der Grad des Verschuldens oder die Anzahl der DSGVO-Verstöße des Verantwortlichen gegenüber dem Betroffenen berücksichtigt werden.
• Art. 82 DSGVO kommt eine Ausgleichs- und keine Abschreckungs- oder Straffunktion zu.

Aufgrund der hohen Praxisrelevanz wollen wir in diesem Beitrag einen genaueren Blick auf jedes einzelne der EuGH-Urteile werfen. Die letzte Aktualisierung erfolgte am 17. April 2024.

Urteil vom 11. April 2024 (C‑741/21): Immaterieller Schaden aufgrund von Werbung ohne Einwilligung?

In einem der Verfahren ging es um die Übersendung von drei Werbeschreiben an den Betroffenen ohne dessen Einwilligung. Dieser gab außerdem einen sich auf der Werbung befindlichen Code in dem Online-Shop der Beklagten ein, woraufhin eine Bestellmaske mit voreingetragenen personenbezogenen Daten des Betroffenen erschien, und verlangte Ersatz eines materiellen Schadens wegen entstandener Gerichtsvollzieher- und Notarkosten sowie eines immateriellen Schadens. Aufgrund der Vorlage des LG Saarbrücken (Beschluss v. 22. November 2021 – 5 O 151/19) hat der EuGH mit Urteil vom 11. April 2024 (C‑741/21) zunächst im Wesentlichen seine vorhergegangene Rechtsprechung dahingehend bestätigt, dass nicht jeder DSGVO-Verstoß automatisch einen immateriellen Schaden darstellt und dass der für Bußgelder geltende Art. 83 DSGVO nicht für die Bemessung des Schadensersatzanspruchs nach Art. 82 DSGVO herangezogen werden kann. 

EuGH: Haftungsbefreiung nur in sehr engen Grenzen möglich

Interessant sind die Ausführungen des EuGH zu Art. 82 Abs. 3 DSGVO und der Haftungsbefreiung des Verantwortlichen. Hierzu hat der Gerichtshof entschieden, dass es für eine Befreiung nicht ausreiche, wenn der Verantwortliche geltend macht, ein Schaden sei durch das Fehlverhalten einer dem Verantwortlichen gemäß Art. 29 DSGVO unterstellten Person, z.B. eines Arbeitnehmers*, verursacht worden. In dem Weisungsverhältnis habe sich der Verantwortliche hinsichtlich der korrekten Befolgung der Weisungen durch die Mitarbeiter zu vergewissern, sodass sich der Verantwortliche nicht durch ein Berufen auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person gemäß Art. 82 Abs. 3 DSGVO von der Haftung befreien könne. Eine andere Auslegung unterliefe dem Gericht zufolge die praktische Wirksamkeit des Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO.

Anzahl von DSGVO-Verstößen kein relevantes Kriterium bei der Bemessung des Schadensersatzes

Eine weitere Vorlagefrage des Saarbrückener Gerichts an den EuGH bezieht sich auf die Höhe eines zu leistenden Schadensersatzes. Da dem DSGVO-Schadensersatz keine Straf- oder Abschreckungsfunktion zukomme, sondern entsprechend des Erwägungsgrundes 146 DSGVO ein vollständiger und wirksamer Schadensersatz als Ausgleich für den erlittenen Schaden sichergestellt werden soll, dürfe die Anzahl von DSGVO-Verstößen des Verantwortlichen gegenüber dem Betroffenen kein relevantes Kriterium bei der Bemessung der Höhe des Schadensersatzes darstellen. Zu ersetzen sei allein der dem Betroffenen konkret entstandene oder von diesem erlittene Schaden, wobei es Aufgabe der nationalen Gerichte sei, hierfür Kriterien zu entwickeln. Ob und in welcher Höhe das LG Saarbrücken dem Kläger nun einen Schadensersatzanspruch zusprechen wird, hängt auch von dessen Darlegung hinsichtlich des erlittenen immateriellen Schadens ab.

Urteil vom 25. Januar 2024 (C-687/21): Kein Schadensersatz bei rein hypothetischem Risiko des Datenmissbrauchs und nachweislich nicht erfolgter Kenntnisnahme durch unbefugten Dritten

Mit dem Urteil vom 25. Januar 2024 (C-687/21) hat der EuGH auf Vorlage des Amtsgerichts (AG) Hagen aus dem Herbst 2021 Auslegungsfragen zu Art. 82 DSGVO geklärt und die Rechtssicherheit für Unternehmen erhöht. In dem Sachverhalt, der den durch den EuGH zu entscheidenden Vorlagefragen zugrunde lag, wurden bei einer Warenausgabe nach dem Kauf eines Elektrogeräts versehentlich personenbezogene Daten des Käufers auf einem Ausdruck (Name, Anschrift, Wohnort, Arbeitgeber, Einkünfte und Bankdaten) durch einen Mitarbeiter des Unternehmers an einen Dritten herausgegeben, der sich unbemerkt vorgedrängelt hatte und deswegen fälschlicherweise die ausgedruckten Unterlagen sowie das an den Betroffenen verkaufte Gerät erhielt. Schon innerhalb der darauffolgenden halben Stunde wurde der Irrtum bemerkt und sowohl die Unterlagen als auch das Elektrogerät fanden ihren Weg zurück und konnten dem eigentlichen Käufer ausgehändigt werden.

Der Käufer verlangte sodann gemäß Art. 82 DSGVO Ersatz eines immateriellen Schadens, den er in dem Risiko des Kontrollverlusts hinsichtlich der seine Person betreffenden Daten sah. Das Angebot der kostenlosen Lieferung des erworbenen Elektrogeräts an seine Adresse als Wiedergutmachung schlug er aus. Das Unternehmen verneinte bereits das Vorliegen eines DSGVO-Verstoßes und sah keinen ersatzfähigen Schaden aufgrund fehlender Erheblichkeit und weil der Dritte die erhaltenen Daten nicht missbräuchlich verwendet habe. Der EuGH hatte bereits mehrfach entschieden, dass ein Schaden keine Erheblichkeitsschwelle voraussetzt (erstmals mit Urteil v. 4. Mai 2023 (C-300/21)). Zu den weiteren vom AG Hagen vorgelegten Fragen möchten wir die folgenden Aspekte hervorheben.

Datenweitergabe an unbefugten Dritten bedeutet nicht automatisch Ungeeignetheit der getroffenen TOM

Das AG Hagen wollte wissen, ob ein DSGVO-Verstoß vorliegt, wenn Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergeben. In Betracht kommt insoweit ein Verstoß aufgrund ungeeigneter technischer und organisatorischer Maßnahmen (TOM) nach Art. 24 und Art. 32 DSGVO. Der EuGH verneinte, dass allein aufgrund der unberechtigten Weitergabe ein Verstoß gegen Art. 5, Art. 24, Art. 32 DSGVO vorliege. Unter Bezugnahme auf ein kurz zuvor ergangenes Urteil des EuGH vom 14. Dezember 2023 (C‑340/21, mehr dazu unten) verwies der Gerichtshof darauf, dass die genannten Normen keine absolute Sicherheit gegen Verstöße erforderten, sondern angemessene Maßnahmen, um die Sicherheit zu gewährleisten. Erst wenn ein Organisationsversagen vorliege und die irrtümliche Weitergabe von Dokumenten deren Folge sei, könne ein Verstoß gegen Art. 24 und Art. 32 DSGVO bejaht werden. 

Kurzum: Es kommt wie so oft auf die Umstände des Einzelfalls an. Die Beweislast dafür, dass geeignete TOM getroffen wurden, trage dem EuGH zufolge im Rahmen von Schadensersatzprozessen weiterhin der beklagte Verantwortliche. Das entscheidende nationale Gericht dürfe sich bei der Feststellung eines DSGVO-Verstoßes nicht allein darauf konzentrieren, dass es zu einer Weitergabe von Daten an eine unbefugte dritte Person kam, sondern müsse sämtliche Beweise beachten, die der Verantwortliche zum Nachweis der Geeignetheit seiner TOM vorgelegt hat.

Kein immaterieller Schaden bei erwiesenermaßen nicht erfolgter Kenntnisnahme der Daten durch unbefugte Dritte

Besonders praxisrelevant sind zudem die Ausführungen des EuGH zum Vorliegen eines Schadens. Der Gerichtshof stellt in diesem Urteil erneut fest, dass auch ein kurzzeitiger Kontrollverlust einen immateriellen Schaden auslösen könne, der unabhängig von seiner Geringfügigkeit dann auszugleichen sei, wenn der Kläger den kausal entstandenen Schaden nachweise. Der EuGH wiederholt zwar nicht die Formulierung aus dem Urteil vom 14. Dezember 2023 (C-340/21, mehr dazu unten) aus der dortigen Randnummer 85, dass wenn der Schaden in der Befürchtung des Missbrauchs durch Dritte liegen soll, der Kläger nachweisen müsse, dass diese Befürchtung unter den 

gegebenen besonderen Umständen und im Hinblick auf die betroffene Person

als begründet angesehen werden kann (spätestens an diesem Punkt scheitern eine Menge der Schadensersatzansprüche in den sog. Scraping-Fällen; insbesondere in mehreren ähnlichen Verfahren wiederkehrende Textbausteine reichen vielen Gerichten als Nachweis der individuellen Betroffenheit nicht aus). Im Ergebnis legt er diese Maßstäbe aber auch in diesem Fall aus Hagen an, denn das vorlegende Gericht hatte festgestellt, dass der Dritte die Daten zum einen lediglich für einen Zeitraum von weniger als einer halben Stunde nicht in digitalisierter, sondern in ausgedruckter Form in der Hand hielt und dass zum anderen erwiesenermaßen keine Kenntnisnahme der Inhalte der Daten durch unbefugte Dritte erfolgte. Die Sorge um Datenmissbrauch stuft der EuGH deswegen als ein bloß rein hypothetisches Risiko ein, das für die Bejahung eines Schadens nicht ausreiche. 

Aufgrund der genannten Besonderheiten des Sachverhalts aus Hagen lassen sich zwar keine pauschalen Rückschlüsse auf sich hiervon unterscheidende Fälle von Datenabflüssen ziehen, die z.B. in digitaler und damit weniger kontrollierbarer sowie rückgängig zu machender Form oder für einen längeren Zeitraum erfolgen. Aus dem Urteil kann deutlich geschlossen werden, dass ein pauschaler Vortrag zum Schaden widerlegt werden kann bzw. als Nachweis für den Schaden nicht ausreicht. Die Entscheidung zeigt, dass es weiterhin auf die Umstände des Einzelfalls ankommt, was auch das folgende EuGH-Urteil auf Vorlage aus Bulgarien unterstreicht. 

Urteil vom 14. Dezember 2023 (C-340/21) auf Vorlage aus Bulgarien: Angst vor Datenmissbrauch nach Cyberattacke als immaterieller Schaden?

In der Rechtssache C-340/21 mit Vorlagefragen aus Bulgarien hatte sich der EuGH u.a. zu der Frage zu äußern, ob bei einem Angriff auf den für die Datenverarbeitung Verantwortlichen durch Hacker die Befürchtung der Betroffenen, ihre personenbezogenen Daten könnten in Folge dieses unbefugten Zugangs missbraucht werden, für die Annahme eines immateriellen Schadens im Sinne des Art. 82 DSGVO ausreicht, wenn ein solcher Missbrauch nicht festgestellt wurde. 

Dem Vorlageverfahren lagen Medienberichte aus dem Jahr 2019 zu einem Cyberangriff auf eine bulgarische Behörde, die personenbezogene Daten von ca. 6 Mio. Personen verarbeitete, zugrunde. In diesen wurde berichtet, dass Daten infolge des unberechtigten Zugangs im Internet veröffentlicht worden seien, woraufhin einige der Betroffenen immateriellen Schadensersatz forderten. Zu diesen zählte auch die Klägerin in dem Rechtsstreit, den ein bulgarisches Gericht zur Vorlage an den EuGH nutzte. Die Betroffene machte gerichtlich einen Schadensersatzanspruch gemäß Art. 82 DSGVO in Höhe von ca. EUR 510 gegen die Verantwortliche geltend. 

Zum immateriellen Schaden trug die Betroffene vor, dass die ohne ihre Einwilligung veröffentlichten personenbezogenen Daten künftig missbräuchlich verwendet werden könnten oder dass sie selbst erpresst, angegriffen oder entführt werden könnte. Die für die Datenverarbeitung verantwortliche Behörde hielt dem u.a. entgegen, dass kein Kausalzusammenhang bestehe und dass alle erforderlichen Maßnahmen zum Schutze der IT-Systeme sowie der darauf befindlichen Daten im Vorfeld und im Nachgang der Cyberattacke, die von nicht aus den Kreisen der Bediensteten der Behörde stammenden Personen verübt wurde, getroffen worden seien. 

In dem Verfahren lagen seit April 2023 die Schlussanträge des Generalanwalts vor. Dieser sah die Betroffene zum Nachweis verpflichtet, dass individuell ein realer und sicherer emotionaler Schaden erlitten wurde. Dies sei ein Umstand, den nationale Gerichte in jedem Einzelfall zu prüfen haben.

EuGH: Befürchtung des Missbrauchs personenbezogener Daten in Folge eines Cyberangriffs kann ersatzfähiger immaterieller Schaden sein

In dem Vorlageverfahren hat der EuGH nun mit Urteil vom 14. Dezember 2023 (C-340/21) entschieden, dass die Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einer Cyberattacke für sich genommen einen immateriellen Schaden einer betroffenen Person im Sinne von Art. 82 DSGVO darstellen könne (anders hatte dies übrigens noch kurz zuvor das OLG Karlsruhe mit Urteil vom 7. November 2023 (19 U 23/23) zu einem Cyberangriff gesehen:

Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO nicht aus.

Der EuGH betont, dass es für Art. 82 Abs. 1 DSGVO nicht relevant sei, ob ein immaterieller Schaden mit einer bereits erfolgten missbräuchlichen Verwendung der personenbezogenen Daten durch Dritte einherginge oder ob die Angst bestehe, dass eine solche Verwendung in Zukunft erfolgen könnte: 

Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.

Dies untermauert der EuGH mit einem Verweis auf die vom Gesetzgeber gewollte weite Auslegung des Schadensbegriffs, die sich aus den 85. und 146. Erwägungsgründen der DSGVO erkennen lasse.

Der Nachweis des Schadens obliegt der betroffenen Person

Der EuGH stimmt mit dem Generalanwalt überein, dass der Nachweis der negativen Folgen und deren Eigenschaft als ersatzfähiger immaterieller Schaden der betroffenen Person obliege. Wenn sich diese auf die Angst vor dem Missbrauch personenbezogener Daten infolge einer Cyberattacke berufe, dann müsse das nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet einzuordnen seien. Die Behauptung von Ängsten bedeutet also nicht automatisch, dass ein Schaden nachgewiesen wurde: Es ist immer noch eine Prüfung des Einzelfalls erforderlich. 

Haftungsbefreiung nur in engen Grenzen möglich

In diesem Zuge betont der EuGH zudem, dass der für die Verarbeitung Verantwortliche einen Schaden ersetzen müsse, der durch einen mit der Verarbeitung im Zusammenhang stehenden DSGVO-Verstoß, insbesondere gegen Art. 5 Abs. 1 lit. f), Art. 24 und Art. 32 DSGVO, ermöglicht wurde. Das Handeln von Cyberkriminellen könne dem Verantwortlichen daher nur zugerechnet werden, wenn dieser das kriminelle Handeln durch Missachtung der Regeln der DSGVO ermöglicht habe. Eine Haftungsbefreiung des Verantwortlichen nach Art. 82 Abs. 3 DSGVO komme nur in Frage, wenn dieser den Nachweis erbringe, dass es an einem Kausalzusammenhang zwischen der Verletzung seiner datenschutzrechtlichen Pflichten und dem Schaden der betroffenen Person fehle, er also in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, die Verantwortung trägt. An demselben Datum hat er EuGH ein weiteres Urteil zu Art. 82 DSGVO getroffen und dessen umfassenden Anwendungsbereich gestärkt.

Urteil vom 14. Dezember 2023 (C 456/22): Anspruch auf Ersatz immaterieller Schäden setzt keinen spürbaren Nachteil voraus

Am 14. Dezember 2023 hat der EuGH zudem in der Rechtssache C‑456/22 auf eine Vorlagefrage aus Deutschland zu Art. 82 DSGVO entschieden und unter Verweis auf sein Eingangs genanntes Urteil aus dem Mai 2023 der Annahme einer sog. Erheblichkeitsschwelle oder Bagatellgrenze erneut eine deutliche Absage erteilt. Der Gerichtshof betonte zudem nochmals, dass ein Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO auslöse. 

Mit diesem zweiten Urteil vom 14. Dezember 2023 hat der EuGH dem Begriff des immateriellen Schadens im Sinne des Art. 82 DSGVO aber weitere Konturen gegeben. Die Vorlage betraf u.a. die Frage, ob der immaterielle Schaden einen spürbaren Nachteil sowie eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange voraussetzt oder ob ein bloß kurzfristiger (wenige Tage andauernder) Verlust des Betroffenen über seine Daten durch deren Veröffentlichung im Internet, die ohne spürbare oder nachteilige Konsequenzen blieb, ausreicht. Der Anspruch auf Ersatz immaterieller Schäden setzt dem EuGH zufolge keinen spürbaren Nachteil voraus. Allerdings – so betont der Gerichtshof in Übereinstimmung mit dem anderen o.g. Urteil vom 14. Dezember 2023 – habe der Betroffene das Vorliegen nachteiliger Folgen des DSGVO-Verstoßes, die zu einem immateriellen Schaden führen, nachzuweisen.

Urteil vom 21. Dezember 2023 (C-667/21): Zur Ausgleichsfunktion des Art. 82 DSGVO für konkret erlittene Schäden infolge von DSGVO-Verstößen

Betreffend der Rechtssache (C-667/21), in der es um die Verarbeitung von Gesundheitsdaten und eine Entschädigung in Höhe von EUR 20.000 geht, beantwortete der EuGH mit Urteil vom 21. Dezember 2023 weitere Vorlagefragen aus Deutschland zu Art. 82 DSGVO. Die Vorlage betraf u.a. die Fragen, ob es bei der Höhe des immateriellen Schadensersatzes auf den Verschuldensgrad des Verantwortlichen (oder Auftragsverarbeiters) ankommt und ob insbesondere dessen fehlendes oder geringes Verschulden zu seinen Gunsten berücksichtigt werden darf. Im Mai 2023 hatte hierzu der Generalanwalt seine Schlussanträge vorgelegt und sich dafür ausgesprochen, dass der Grad des Verschuldens weder für die Haftung noch die Bemessung der Höhe des zu ersetzenden immateriellen Schadens von Bedeutung sei.

Der EuGH verwies zum Sinn und Zweck des Art. 82 DSGVO auf dessen Ausgleichsfunktion: Die Norm solle eine Entschädigung in Geld ermöglichen, um den aufgrund eines DSGVO-Verstoßes konkret erlittenen Schaden zu ersetzen. Dabei komme ihr keine Abschreckungs- oder Straffunktion zu. In Übereinstimmung mit dem o.g. Urteil legt der EuGH Art. 82 DSGVO auch auf diese Vorlagefragen dahingehend aus, dass das Verschulden des Verantwortlichen vermutet werde, sofern dieser nicht nachweist, dass ihm die schadensverursachende Handlung nicht zuzurechnen ist. Zur Bemessung der Höhe einer zu leistenden Entschädigung für einen immateriellen Schaden führte der EuGH aus, dass Art. 82 DSGVO nicht verlange, dass der Grad des Verschuldens dabei berücksichtigt werde. 

Da sich der EuGH bisher nicht weiter zu einer konkreten Höhe eines zu leistenden Schadensersatzes geäußert hat, verdient auch die folgende Entscheidung Beachtung, obwohl sie sich gar nicht auf die DSGVO bezieht.

Urteil vom 5. März 2024 (C-755/21 P): Schadensersatzanspruch nach der Europol-Verordnung – Beweiserleichterung für den Betroffenen 

Obwohl die durch den EuGH mit Urteil vom 5. März 2024 entschiedene Rechtssache C-755/21 P nicht direkt Art. 82 DSGVO betraf, drehte sie sich u.a. doch um einen Schadensersatzanspruch im Zusammenhang mit der Weitergabe personenbezogener Daten. In dem zugrundeliegenden Sachverhalt ermittelten slowakische Behörden und die Agentur der EU für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) in einem Fall eines ermordeten Journalisten und dessen Verlobter, wobei Europol dabei Daten auf zwei Mobiltelefonen des Klägers in dem EuGH-Verfahren extrahierte und die Daten an die Ermittlungsbehörden übermittelte. Ein Jahr später landeten aus diesen Daten u.a. Mitschriften intimer Kommunikation zwischen dem Kläger und dessen Partnerin aus einem verschlüsselten Messenger-Dienst sowie Hinweise von Europol, der Kläger sei wegen des Verdachts einer Finanzstraftat inhaftiert und stehe im Zusammenhang mit sog. „Mafia-Listen“ und den „Panama Papers“ in der slowakischen Presse. Der Kläger verlangte vor dem Gericht der EU (EuG) sodann immateriellen Schadensersatz in Höhe von EUR 50.000 für die Weitergabe der Kommunikation sowie in Höhe von weiteren EUR 50.000 für die Aufnahme seines Namens auf die sog. „Mafia-Listen“ – mithin insgesamt EUR 100.000. Das EuG wies die Klage im Jahr 2021 allerdings ab (Urteil v. 29. September 2021 – T-528/20 [Kočner/Europol]), wogegen der Kläger Rechtsmittel zum EuGH einlegte.

Der EuGH stellte sich der Einschätzung der 1. Instanz sodann entgegen. Diese hatte den Anspruch des Klägers verneint, weil dieser nicht nachgewiesen habe, dass Europol die besagten „Mafia-Listen“ geführt hätte und dass ein von ihm erlittener Schaden kausal von Europol verursacht worden sei. Doch der EuGH betont, dass eine betroffene natürliche Person zur Geltendmachung einer wie hier vorliegenden gesamtschuldnerischen Haftung auf erster Stufe lediglich nachweisen müsse, dass es anlässlich der Zusammenarbeit zwischen Europol und der Behörden des betreffenden Mitgliedstaats zu einer widerrechtlichen Datenverarbeitung gekommen sei, durch die der geltend gemachte Schaden entstanden ist. Der Betroffene müsse dem EuGH zufolge aber nicht nachweisen, welcher dieser beiden Stellen die widerrechtliche Verarbeitung zuzurechnen ist.

EuGH: Schadensersatzanspruch in Höhe von EUR 2.000 nach der Europol-Verordnung

Das Urteil des EuG wurde durch die neue Entscheidung des EuGH aufgehoben und dieser hat zudem in der Sache sogleich selbst entschieden. Als zulässig und begründet sah der EuGH lediglich die Rechtsmittel zu dem Antrag hinsichtlich der intimen Kommunikationsdaten an und urteilte, dass dem Kläger ein Anspruch auf Ersatz des immateriellen Schadens in Höhe von EUR 2.000 gegen beide Behörden als Gesamtschuldner zustehe. Die ihn betreffenden Daten seien unbefugt weitergegeben worden und an die Öffentlichkeit gelangt (das Urteil spricht von Presseartikeln und Webseiten, u.a. eines internationalen Netzwerks investigativer Journalisten), wodurch der Kläger in seinem Recht auf Achtung seines Privat- und Familienlebens sowie seiner Kommunikation (Art. 7 Grundrechte-Charta) verletzt und dessen Ehre und Ansehen beeinträchtigt worden seien. 

Das Verfahren drehte sich allerdings nicht um Schadensersatz nach der DSGVO, sondern nach der sog. Europol-Verordnung (Verordnung (EU) 2016/794) und ihren Art. 49 Abs. 3 und Art. 50 Abs. 1, welche Regelungen für den Schadensersatz bei widerrechtlicher Datenverarbeitung vorsehen. Die Europol-Verordnung erkennt schon in Erwägungsgrund Nr. 57 die Beweisschwierigkeiten, die sich für einen Betroffenen bei der unrechtmäßigen Datenverarbeitung durch Europol und die EU-Mitgliedstaaten ergeben: 

Für eine betroffene Einzelperson kann es unklar sein, ob der infolge einer unrechtmäßigen Datenverarbeitung erlittene Schaden aus einer Maßnahme Europols oder aber eines Mitgliedstaats resultiert. Daher sollten Europol und der Mitgliedstaat, in dem die Maßnahme, die den Schaden ausgelöst hat, erfolgt ist, gesamtschuldnerisch für den Schaden haften.

Der EuGH betont aber auch die Möglichkeit der beklagten Stelle, den Nachweis zu erbringen, dass ausgeschlossen ist, dass der geltend gemachte Schaden mit einer im Rahmen einer Zusammenarbeit zwischen Europol und einem Mitgliedstaaten erfolgten widerrechtlichen Datenverarbeitung in Zusammenhang steht. 

Zur Höhe des zugesprochenen Schadensersatzes und zum erheblichen Abweichen des zu leistenden Betrages (EUR 2.000) von der durch den Kläger beantragten Summe (EUR 50.000) nimmt der EuGH kaum Stellung. Verglichen mit den Fällen, in denen deutsche Gerichte einen Schadensersatz in derselben Höhe zugesprochen haben, erscheint der Betrag aus dem EuGH-Verfahren aufgrund der Erheblichkeit des Verstoßes und der Intimität der weitergegebenen Daten sowie der erfolgten Veröffentlichung in der Presse gering: So hat z.B. das LAG Hamm einen Schadensersatz in Höhe von EUR 2.000 bei einer Übermittlung personenbezogener Daten eines Arbeitnehmers innerhalb eines Klinikverbunds zugesprochen (Urteil v. 14. Dezember 2021 – 17 Sa 1185/20), das LAG Berlin-Brandenburg sprach dieselbe Summe allein für einen Verstoß gegen Auskunftspflichten des Art. 15 DSGVO zu (Urteil v. 18. November 2021 – 10 Sa 443/21) und das OLG Düsseldorf für die Übersendung der Gesundheitsakte eines Klägers durch die beklagte gesetzliche Krankenversicherung an eine falsche E-Mail-Adresse (Urteil v. 28. Oktober 2021 – 16 U 275/20). Der Gerichtshof verweist in dem vorliegenden Fall lediglich darauf, dass nicht festzustellen sei, dass wie von dem Kläger behauptet auch Fotografien an unbefugte Dritte gelangt seien, sondern dass sich die unbefugte Weitergabe auf die transkribierten Gespräche zwischen dem Kläger und dessen Partnerin beschränke. Daher halte der EuGH nach billigem Ermessen einen Schadensersatz in Höhe von EUR 2.000 für einen angemessenen Ausgleich. Ob nationale Gerichte diese EuGH-Entscheidung, die bei einem gravierenden Sachverhalt eine vergleichsweise geringe Summe zuspricht, zum Anlass nehmen, auch die in der ordentlichen Gerichtsbarkeit zugesprochenen Schadensersatzbeträge zu verringern, bleibt spannend.

Auch im Jahr 2024 bleibt es zum DSGVO-Schadensersatz spannend: Weitere Vorlagefragen zu Art. 82 DSGVO vor dem EuGH

Insgesamt hat der EuGH die Voraussetzungen und Rechtsfolgen des datenschutzrechtlichen Schadensersatzanspruchs insb. hinsichtlich immaterieller Schäden mit den genannten Urteilen weiter konkretisiert. Es bleibt abzuwarten, wie die nationalen Gerichte mit den Vorgaben des Gerichtshofs umgehen werden. Zudem laufen weitere Vorlageverfahren vor dem EuGH zu Art. 82 DSGVO. Erst im September 2023 hat beispielsweise der BGH ein Verfahren ausgesetzt und dem EuGH Fragen zum DSGVO-Schadensersatz vorgelegt, u.a. ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen sei, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle (z.B. Ärger, Unmut, Unzufriedenheit, Sorge, Angst) genügen, obwohl diese Teil des allgemeinen Lebensrisikos und des täglichen Erlebens seien, oder ob ein über diese Gefühle hinausgehender Nachteil erforderlich ist. 

EuGH: Schlussanträge des Generalanwalts im Scalable Capital-Vorlageverfahren

In den verbundenen Rechtssachen C-182/22 und C-189/22 mit Vorlagefragen aus Deutschland (C-182/22, C-189/22) zu den Scalable Capital-Vorlageverfahren liegen seit Oktober 2023 die auf die fünfte Vorlagefrage beschränkten Schlussanträge des Generalanwalts vor. Die vorlegenden Gerichte möchten vom EuGH u.a. Antworten auf die Fragen, ob für die Geltendmachung des immateriellen Schadensersatzes nach Art. 82 DSGVO ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der DSGVO erst dann zu bejahen sei, wenn die Identität des Betroffenen angenommen wurde, oder ob der Umstand, dass Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, zur Bejahung eines Identitätsdiebstahls ausreicht. 

Der Generalanwalt kommt in diesem Verfahren zu der Empfehlung, dass der Diebstahl sensibler personenbezogener Daten eines Betroffenen durch unbekannte Straftäter zu einem Anspruch auf immateriellen Schadensersatz führen könne, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines konkreten erlittenen Schadens und des Kausalzusammenhangs zwischen Schaden und DSGVO-Verstoß erbracht werde. Als nicht erforderlich sieht es der Generalanwalt an, dass Straftäter die Identität des Betroffenen angenommen haben. Der Besitz von Daten, die zur Identifizierbarkeit des Betroffenen genügen, stelle dem Generalanwalt zufolge für sich genommen keinen Identitätsdiebstahl dar. Da hierzu Verfahren bereits die Schlussanträge des Generalanwalts vorliegen, kann mit einer baldigen Entscheidung durch den EuGH gerechnet werden. Angesichts der o.g. EuGH-Entscheidung vom 14. Dezember 2023 zu der Vorlage aus Bulgarien dürfte sich die Spannung, wie der EuGH in diesen Rechtssachen urteilen wird, in Grenzen halten.

Überblick zu weiteren EuGH-Vorlageverfahren betreffend Art. 82 DSGVO

Vor dem EuGH laufen weitere Vorlageverfahren, von denen einige Parallelen zu den oben dargestellten Fragen zu Art. 82 DSGVO aufweisen; diese sind beispielsweise:

• Die Rechtssache C-507/23 mit Vorlagefragen aus Lettland, u.a. ob Art. 82 Abs. 1 DSGVO die Verpflichtung zur Entschuldigung als einzigen Ersatz für einen immateriellen Schaden gestattet, wenn keine Möglichkeit zur Wiederherstellung des ursprünglichen Zustands besteht, und ob die Motivation des Verantwortlichen (z.B. Erfüllung eines im öffentlichen Interesse liegenden Auftrags, Fehlen einer Schädigungsabsicht oder Verständnisprobleme hinsichtlich des geltenden Rechts) anspruchsmindernd berücksichtigt werden kann.
• Die Rechtssache C-590/22 mit Vorlagefragen aus Deutschland, u.a. ob allein die Befürchtung ohne positiven Nachweis, dass personenbezogene Daten unberechtigt in fremde Hände gelangten, für einen Anspruch aus Art. 82 DSGVO ausreicht und ob für die Bemessung des Schadensersatzes eine abschreckende Wirkung erforderlich ist.

Diese nicht abschließende Auflistung zeigt, dass es zu Art. 82 DSGVO und dem datenschutzrechtlichen Schadensersatz auch im weiteren Verlauf des Jahres spannend bleibt.

Art. 82 DSGVO nimmt durch die neueste EuGH-Rechtsprechung weitere Konturen an

Durch die Entscheidungen der letzten Monate hat der EuGH ungeklärte Fragen zu Art. 82 DSGVO beantwortet und der Norm präzisere Konturen gegeben.

Mit unserer filter- und sortierbaren Datenbank können Sie sich einen Überblick zur Rechtsprechung zu Art. 82 DSGVO verschaffen: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de). Eine ständig aktualisierte Übersicht über DSGVO-Bußgelder in Deutschland und anderen EU-Ländern finden Sie über unseren Enforcement Tracker. Bleiben Sie zudem gern mit unserem Blog und unserem Newsletter auf dem Laufenden.

This article is also available in English.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Update: Neues vom EuGH zum DSGVO-Schadensersatz erschien zuerst auf CMS Blog.

Während der risikobasierte Ansatz des Entwurfs des Gesetzes über Künstliche Intelligenz (KI-Verordnung, AI Act) auch in der finalen Fassung der KI-Verordnung beibehalten wird, versucht diese insbesondere bei Hochrisiko-KI-Systemen durch das Merkmal eines bedeutenden Risikos (significant risk) mehr Klarheit im Hinblick auf die Klassifizierung von KI-Systemen zu schaffen.

Unannehmbares Risiko – Einstufung generativer KI als verbotene Praktiken

Die KI-Verordnung verbietet das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen, die als unvereinbar mit den Grundrechten der Europäischen Union (EU) angesehen werden (Art. 5):

• Manipulation von Verhalten und Ausnutzung von Schwächen: KI-Systeme, die darauf abzielen, das Verhalten von Menschen zu manipulieren oder zu beeinflussen, um ihre Entscheidungen zu steuern, und auch KI-Systeme, die gezielt die menschliche Schwächen ausnutzen (z.B. Alter, Behinderung, bestimmte soziale oder wirtschaftliche Situation) mit dem Ziel oder der Bewirkung einer Verhaltensänderung, jeweils in einer Weise, die einen bedeutenden Schaden verursacht oder zu verursachen geeignet ist, sind verboten. Dies umfasst beispielsweise die gezielte Manipulation von Inhalten in sozialen Medien oder anderen Plattformen, um politische oder kommerzielle Ziele zu verfolgen.
• Soziale Bewertungssysteme: KI-Systeme, die Menschen anhand von persönlichen Merkmalen wie Rasse, Geschlecht, Religion oder politischer Überzeugung bewerten (Social Scoring), können zu Diskriminierung, Stigmatisierung und Ungerechtigkeit führen.
• Risikobewertung und Profiling im Hinblick auf Straffälligkeit: KI-Systeme, die natürliche Personen oder Gruppen hinsichtlich des Risikos von Straffälligkeiten beurteilen oder das Auftreten oder die Wiederholung einer Straftat oder Ordnungswidrigkeit auf der Grundlage der Erstellung eines Profils einer natürlichen Person oder der Bewertung von Persönlichkeitsmerkmalen und Eigenschaften, einschließlich des Standorts einer Person, oder des früheren kriminellen Verhaltens natürlicher Personen oder Gruppen natürlicher Personen vorhersagen, sind verboten.
• Datenbankerstellung oder -erweiterung zur Gesichtserkennung: Ein weiteres Verbot gilt für KI-Systeme, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsaufnahmen erstellen oder erweitern (Scraping).
• Ableitung von Emotionen: Auch KI-Systeme, die Emotionen einer natürlichen Person am Arbeitsplatz und in Bildungseinrichtungen ableiten, gelten als unannehmbares Risiko und sind verboten.
• Biometrische Kategorisierungssysteme: Ein weiteres unannehmbares Risiko besteht im Hinblick auf KI-Systeme, die dazu dienen sollen, einzelne natürliche Personen anhand ihrer biometrischen Daten kategorisieren, um daraus ihre Rasse, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugungen Sexualleben oder sexuelle Orientierung abzuleiten oder abzuleiten; ausgenommen sind jedoch rechtmäßig erfasste biometrische Datensätze im Bereich der Strafverfolgung.
• Echtzeit- Fernidentifizierungssysteme in öffentlichen Räumen: Der Einsatz von Fernidentifizierungssysteme in „Echtzeit″ („real-time″ remote biometric identification) in öffentlichen Räumen zur Strafverfolgung ist nur unter strengen Voraussetzungen und für bestimmte Katalogstraftaten zulässig. zulässig. 

Generative KI-Systeme müssen daher mit Vorsicht entwickelt und eingesetzt werden, da sie sich grundsätzlich auch für den Einsatz als verbotenen Praktiken eignen. Entscheidend ist der Kontext, in dem das generative KI-System betrieben und entwickelt wird. Wenn es kritische Entscheidungen beeinflusst (z.B. Einstellung, Strafaussetzung zur Bewährung) besteht das Risiko, dass es als verbotene Praktik eingestuft wird.

Wird gegen das Verbot von Praktiken der KI des Art. 5 verstoßen, sieht die KI-Verordnung Geldbußen von bis zu EUR 35 Mio. oder 7 % des gesamten weltweiten Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr vor (Art. 71). Die durch die KI-Verordnung vorgesehen Bußgelder können damit potenziell weit höher sein als unter der Europäischen Datenschutz-Grundverordnung (DSGVO), die maximal bis zu EUR 20 Mio. oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht.

Hochrisiko-KI-Systeme – Generative KI wird je nach Zweckbestimmung und Anwendungsmodalitäten erfasst

Sog. Hochrisiko-KI-Systeme (high risk AI systems) unterliegen strengeren Vorschriften in Bezug auf Daten, Daten-Governance, Dokumentation und das Führen von Aufzeichnungen, Transparenz und Bereitstellung von Informationen für die Betreiber, menschliche Aufsicht, Robustheit, Genauigkeit und Sicherheit. 

Die KI-Verordnung unterscheidet weiterhin zwischen zwei Kategorien von Hockrisiko-KI-Systemen. 

Unter eine Kategorie fallen KI-Systeme, die selbst Produkte oder Sicherheitskomponenten von Produkten sind, die unter die in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der EU fallen und als Produkte oder Sicherheitskomponenten eines Produkts im Hinblick auf das Inverkehrbringen oder Inbetriebnehmen nach den Harmonisierungsvorschriften des Anhangs II einer Konformitätsbewertung im Hinblick auf Gesundheit und Sicherheit durch Dritte unterzogen werden müssen. Grundsätzliche Beispiele sind etwa Spielzeuge, Flugzeuge, zwei- oder dreirädrige Fahrzeuge, Autos, medizinische Geräte, Eisenbahnsysteme und Aufzüge. Im Bereich generativer KI-Modelle kommen hier etwa virtuelle Assistenten oder personalisierte Empfehlungen als Teile solcher Produkte in Betracht.

Zusätzlich gelten KI-Systeme, die unter einen oder mehrere der in Anhang III der KI-Verordnung aufgeführten Bereiche fallen, als Hochrisiko-KI-Systeme (Art. 6 Abs. 2). Beispiele sind etwa:

• Biometrische Identifizierungs- oder Kategorisierungssysteme: Bei KI-Systemen, die biometrische Daten wie Gesichtserkennung, Stimmerkennung, Emotionserkennung oder Verhaltensanalyse verwenden, liegt das hohe Risiko in den schwerwiegenden Auswirkungen eines Missbrauchs solcher Systeme auf Datenschutz und Privatsphäre. Bei biometrischen Identifizierungssystemen dürften allerdings meist keine Komponenten generativer KI eingesetzt werden. 
• KI-Systeme in sicherheitskritischen Bereichen: Fehler oder Fehlfunktionen in Systemen, die in sicherheitskritischen Bereichen wie digitaler Infrastruktur, dem Verkehrssektor oder der Energiewirtschaft (z.B. Wasser-, Gas- Wärme- und Stromversorgung) eingesetzt werden, können zu schwerwiegenden Schäden oder Verletzungen von Personen führen und gelten deshalb als Hockrisiko-KI-Systeme.
• Bewertende KI-Systeme in bestimmten Bereichen: Werden KI-Systeme zur Bewertung von Leistungen, Einstufung einer Person oder Zugang zu und Nutzung von bestimmten grundlegenden privaten und öffentlichen Diensten und Leistungen eingesetzt, kann eine fehlerhafte oder voreingenommene Bewertung erhebliche Auswirkungen auf die Karriereaussichten, Teilhabe an der Gesellschaft, Lebensstandard und Lebensgrundlagen der betroffenen Personen haben. Insbesondere die folgenden Bereiche werden deshalb als hochriskant angesehen:
  • Bildungsbereich (z.B. Bewertung von Schülerleistungen),
  • automatisierte Einstufung von Bewerbern bei Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit,
  • Kreditpunktebewertung oder zur Bewertung der Kreditwürdigkeit natürlicher Personen (Ausnahme: Inbetriebnahme durch kleine Anbieter für den Eigenbedarf in Betrieb),
  • Bewertung von natürlichen Personen für den Abschluss von Kranken- und Lebensversicherungen.

Bei solchen bewertenden Hochrisiko-KI-Systemen wird es sich in aller Regel um generative KI-Systeme handeln, die etwa Daten wie Einkommen, Beschäftigungsverlauf und Bonität, durch die Kreditwürdigkeit eines Unternehmens oder einer Person vorhergesagt werden können, analysieren, oder Lebensläufe und berufliche Qualifikationen von Bewerbern auf ihre Eignung für ein bestimmtes Beschäftigungsverhältnis überprüfen und unter Umständen bereits eine Vorauswahl qualifizierter Bewerber treffen. Ein weiteres Beispiel sind Klassifikation und Evaluation von Arbeitskräften für Beförderungen oder Kündigungen.

• KI-Systeme im Strafverfolgungs- und Justizbereich: KI-Anwendungen, die im Auftrag von oder durch Strafverfolgungsbehörden oder EU-Behörden Gerichten eingesetzt werden (z.B. als Lügendetektoren oder zur Bewertung der Verlässlichkeit von Beweisen im Strafverfahren), gelten als hochriskant.
• KI-Systeme im Zusammenhang mit Migration, Asyl und Grenzkontrolle: KI-Systeme, die bei der Einreise oder in Asylverfahren eingesetzt werden (z.B. Vorhersage von Sicherheits- oder Gesundheitsrisiken einer einreisenden Person, Überprüfung von Reisedokumenten) sollen Hochrisiko-KI-Systeme sein.
• KI-Systeme im Zusammenhang mit Wahlen: Werden KI-Systeme eingesetzt, um Wahlergebnisse oder das Wahlverhalten natürlicher Personen zu beeinflussen, beeinträchtigen sie die Wahlfreiheit und stellen daher ein hohes Risiko dar. 

Keine Hockrisiko-KI-Systeme sind dabei solche KI-Systeme, die kein bedeutendes Risiko (significant risk) für Gesundheit, Sicherheit oder Grundrechte natürlicher Personen oder Umweltbeeinträchtigungen darstelle (Art. 6 Abs. 3), was etwa der Fall sein, soll, wenn die KI-Systeme nur eingeschränkte, prozessuale Aufgaben erledigen, das Ergebnis von zuvor abgeschlossenen menschlichen Tätigkeiten verbessern, Entscheidungsmuster oder Abweichungen davon erkennen soll, ohne eine zuvor durchgeführte menschliche Beurteilung zu ersetzen oder zu beeinflussen, ohne dass zuvor eine ordnungsgemäße menschliche Überprüfung erfolgt ist, und die nur vorbereitende Aufgaben für eine in Annex III genannte Bewertung erfüllen.

Anbieter und Betreiber sollten sich frühzeitig mit den Anforderungen und Pflichten für Hochrisiko-KI-Systeme auseinandersetzen

KI-Systeme, die ein unannehmbares Risiko darstellen, werden als Verbotene Praktiken ganz untersagt. Für Hochrisiko-KI-Systeme legt die KI-Verordnung Anforderungen und Pflichten für ihre Anbieter, Betreiber, Händler und Einführer sowie andere Beteiligte entlang der KI-Wertschöpfungskette fest, sodass es sich lohnt, sich frühzeitig mit den Anforderungen der KI-Verordnung auseinander zu setzen.

Auch vor der Rechtsberatung macht KI keinen Halt. Dies hat CMS bereits früh erkannt: Wie künstliche Intelligenz die Arbeit in Kanzleien verändert (cmshs-bloggt.de). Auf unserer Innovationen-Homepage und in unserem CMS To Go Podcast „KI für die Rechtsabteilung“ erhalten Sie weitere Informationen. 

In unserem CMS-Blog halten wir Sie in unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend mit aktuellen Beiträgen zu diesen Themen auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: Künstliche Intelligenz und der Journalismus der Zukunft; Endspurt für die Regulierung von KI; Verbotene Praktiken und Hochrisiko-KI-Systeme; Hochrisiko-KI-Systeme als regulatorischer Schwerpunkt; Pflichten entlang der Wertschöpfungskette und für Anbieter von Basismodellen; Transparenzpflichten, Rechte für Betroffene, AI Office und Sanktionen sowie Robo Adviser. Weitere Informationen finden Sie zudem auf unserer Insight-Seite: Implikationen für Künstliche Intelligenz und Recht | CMS Deutschland.

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag KI-Verordnung – Verbotene Praktiken und Hochrisiko-KI-Systeme erschien zuerst auf CMS Blog.

Medial ist die #MeToo-Bewegung, die 2017 mit dem Weinstein-Skandal startete, deutlich leiser geworden. Im Arbeitsrecht zeigen jedoch Entscheidungen wie die des LAG Köln (Urteil v. 3. März 2023 – 6 Sa 385/21), dass der Umgang mit sexuellen Belästigungen am Arbeitsplatz ein Thema ist, das nach wie vor nicht an Aktualität verloren hat. 

In der genannten Entscheidung urteilte das Gericht, dass eine außerordentliche fristlose Kündigung bei sexueller Belästigung ohne vorherige einschlägige Abmahnung nicht nur bei körperlichen und verbalen Übergriffen möglich sei. Sie solle auch dann möglich sein, wenn durch sexuelle Belästigungen eine Gesamtsituation am Arbeitsplatz aufgebaut und aufrechterhalten werde, die von sexualisierter hierarchischer Einflussnahme geprägt sei. Ein Arbeitnehmer*, der als stellvertretender Fachbereichsleiter in einer Behörde tätig war, hatte sich über mehrere Jahre hinweg körperlich und verbal übergriffig seinen Kolleginnen gegenüber verhalten. Er kommentierte regelmäßig Gewicht, Kleidung, Figur und Frisur von Kolleginnen in abfälliger Weise. Zudem kniff er diese teilweise in den Bauch und tätigte Aussagen wie „Geh‘ mal Kaffeekochen“. Das Gericht stellte fest, dass er dadurch eine 

Grundsituation […] von sexualisierter hierarchischer Einflussnahme […]

geschaffen und aufrechterhalten hatte.

Arbeitgeber*innen müssen in solchen Situationen nicht nur reaktiv tätig werden und eingreifen, sondern auch dafür Sorge tragen, dass sexuelle Belästigungen am Arbeitsplatz möglichst gar nicht erst passieren. Der Gesetzgeber hat insbesondere im Allgemeinen Gleichbehandlungsgesetz (AGG) die Anforderungen festgelegt, denen Arbeitgeber*innen gerecht werden müssen.

Sexuelle Belästigung am Arbeitsplatz – Was ist das eigentlich?

Das AGG verbietet ausdrücklich Beschäftigte am Arbeitsplatz sexuell zu belästigen. Die sexuelle Belästigung stellt eine Verletzung vertraglicher Pflichten dar (§ 7 Abs. 3 AGG) und eignet sich „an sich“ als wichtiger Grund für eine außerordentliche Kündigung (BAG, Urteil v. 20. Mai 2021- 2 AZR 596/20).

Definiert wird die sexuelle Belästigung in § 3 Abs. 4 AGG als

[…] ein unerwünschtes, sexuell bestimmtes Verhalten, wozu auch unerwünschte sexuelle Handlungen und Aufforderungen zu diesen, sexuell bestimmte körperliche Berührungen, Bemerkungen sexuellen Inhalts sowie unerwünschtes Zeigen und sichtbares Anbringen von pornographischen Darstellungen gehören, bezweckt oder bewirkt, dass die Würde der betreffenden Person verletzt wird, insbesondere wenn ein von Einschüchterungen, Anfeindungen, Erniedrigungen, Entwürdigungen oder Beleidigungen gekennzeichnetes Umfeld geschaffen wird.

Kurzgefasst: Hierunter fällt demnach jedes unerwünschte sexuell bestimmte Verhalten, das die Würde von Arbeitnehmer*innen am Arbeitsplatz verletzt. 

Täter*innen müssen nicht einmal die Intention haben, Kolleg*innen sexuell zu belästigen

Ein Vorsatz zur Belästigung ist nicht zwingend erforderlich. Auch auf eine bestimmte Motivation kommt es nicht an, sondern darauf wie ein objektiver Dritter ein Verhalten verstehen durfte. Schon einmalige, sexuell bestimmte Handlungen sind ausreichend eine Würdeverletzung herbeizuführen. Das ist etwa bei einer absichtlichen Berührung primärer oder sekundärer Geschlechtsmerkmale der Fall (vgl. BAG, Urteil v. 29. Juni 2017 – 2 AZR 302/16). Auch ist nicht erforderlich, dass die betroffene Person das Verhalten der schädigenden Person explizit ablehnt, also ausspricht, dass ein bestimmtes Handeln des Gegenübers nicht akzeptiert wird. Es ist ausreichend, wenn sich die Unerwünschtheit des Verhaltens aus der jeweiligen Situation ergibt. Ein Irrtum über die Unerwünschtheit ist insofern unerheblich (vgl. BAG, Urteil v. 20. November 2014 – 2 AZR 651/13).

Vor dem Hintergrund des sehr weiten Schutzes des AGG entstehen in der Praxis oftmals Abgrenzungsfragen. Gerade bei Witzen und „Komplimenten“ ist nicht immer eindeutig, ob das Verhalten eine sexuelle Belästigung darstellt. Vor diesem Hintergrund ist es erforderlich, dass Arbeitgeber*innen  ihre Beschäftigten sensibilisieren. 

Welche präventiven Pflichten treffen Arbeitgeber*innen in diesem Zusammenhang?

Das AGG verpflichtet Arbeitgeber*innen ausdrücklich ihre Beschäftigten vor Benachteiligungen und damit auch vor sexuellen Belästigungen zu schützen, vgl. § 12 Abs. 1 AGG. Sie müssen also bereits vorbeugend tätig werden. Welche Maßnahmen in diesem Rahmen konkret zu treffen sind, kann je nach Größe des Betriebs variieren.

Arbeitgeber*innen sollen nämlich in geeigneter Art und Weise, insbesondere im Rahmen der beruflichen Aus- und Fortbildung, auf die Unzulässigkeit von Benachteiligungen nach dem AGG hinweisen und darauf hinwirken, dass diese unterbleiben – so § 12 Abs. 2 S. 1 AGG. Schulungen in geeigneter Weise zum Zwecke der Verhinderung von Benachteiligung erfüllen die Schutzpflicht des § 12 Abs. 1 AGG. 

In der Praxis wird der vorgenannten Schutzpflicht oftmals durch die Einführung von Verhaltensrichtlinien begegnet, die über die Unzulässigkeit von Benachteiligungen und (sexuellen) Belästigungen informieren und klarstellen, dass solche arbeitgeberseitig nicht akzeptiert und entsprechend sanktioniert werden. 

Sinnvoll sind auch verpflichtende E-Learnings zu Benachteiligungen und Belästigungen. Damit solche als geeignet i.S.d. AGG angesehen werden, müssen Arbeitgeber*innen darauf achten, dass die Schulungen auf den jeweiligen Adressat*innenkreis zugeschnitten sind. Es muss auch die Möglichkeit bestehen Rückfragen zu stellen. Arbeitgeber*innen sind gut beraten, wenn sämtliche neu beginnende Beschäftigte zeitnah nach Beschäftigungsbeginn geschult und die Schulungen in regelmäßigen Abständen wiederholt werden.

Weitere Maßnahmen, die in Betracht kommen können, sind:

• Zurverfügungstellung von Informationsschreiben und Informationsmaterial (auch zu Beratungsstellen)
• Fortbildungen für Führungskräfte mit Personalverantwortung
• Teamsitzungen der Führungskräfte mit den Beschäftigten
• Umfragen

Einrichtung einer Beschwerdestelle

Arbeitgeber*innen sind außerdem verpflichtet eine Beschwerdestelle zu benennen. Denn gem. § 13 Abs. 1 AGG haben Beschäftigte das Recht, sich bei den „zuständigen Stellen“ zu beschweren, wenn sie im Zusammenhang mit ihrem Beschäftigungsverhältnis sexuell belästigt werden. Vorgaben dazu, wer bzw. was die „zuständige Stelle“ sein soll, macht das Gesetz nicht. Es obliegt damit den Arbeitgeber*innen, diese zu bestimmen, wobei ein weiter Ermessensspielraum besteht.

Geeignete und in der Praxis häufig genutzte Beschwerdestellen sind Vorgesetzte, Gleichstellungs- oder Behindertenbeauftragte oder auch die Personalabteilung. Idealerweise sollte darauf geachtet werden, dass bei sexueller Belästigung die Beschwerde an eine Person des eigenen Geschlechts angetragen werden kann (vgl. S. 19 Leitfaden für Beschäftigte, Arbeitgeber*innen und Betriebsräte / Betriebsrätinnen der Antidiskriminierungsstelle des Bundes, Stand Oktober 2023). Zudem empfiehlt sich eine detaillierte Regelung des Beschwerdeverfahrens, die z.B. auf Themen wie Anonymität und Vertrauensschutz eingeht. 

Die Einrichtung der Beschwerdestelle muss im Betrieb, z.B. im Intranet oder per Aushang, bekannt gemacht werden, § 12 Abs. 5 S. 1 AGG. Straf- oder Bußgeldandrohungen für Verstöße gegen die Einrichtungspflicht einer Beschwerdestelle und/oder die vorgenannten Bekanntmachungspflichten gibt es im AGG aber nicht.

Welche repressiven Pflichten treffen Arbeitgeber*innen in diesem Zusammenhang?

Wird beschäftigtenseitig ein Vorwurf der sexuellen Belästigung laut, so ist der*die Arbeitgeber*in dazu verpflichtet, diesem nachzugehen und Ermittlungen anzustellen. Stellt sich der Vorwurf der sexuellen Belästigung als erwiesen heraus, greift § 12 Abs. 3 AGG: Der*Die Arbeitgeber*in hat 

die im Einzelfall geeigneten, erforderlichen und angemessenen Maßnahmen zur Unterbindung der Benachteiligung wie Abmahnung, Umsetzung, Versetzung oder Kündigung zu ergreifen. 

Rechtsfolgen und Sanktionsmöglichkeiten bei Verstößen gegen die Schutzpflichten des AGG

Eine direkte Sanktion nach § 15 AGG (Entschädigung, Schadensersatz) für einen Verstoß gegen die Pflicht aus § 12 AGG, die erforderlichen Maßnahmen zum Schutz vor Benachteiligungen zu treffen, kommt nicht in Betracht. Vielmehr steht den Beschäftigten ein Leistungsverweigerungsrecht nach § 14 AGG zu, wenn der*die Arbeitgeber*in 

keine oder offensichtlich ungeeignete Maßnahmen zur Unterbindung einer sexuellen Belästigung am Arbeitsplatz

ergreift. In diesem Fall sind die Beschäftigten berechtigt, ihre Tätigkeit ohne Verlust ihres Arbeitsentgelts einzustellen, soweit das zu ihrem Schutz erforderlich ist.

Wenn hingegen Arbeitgeber*innen selbst oder ihnen zurechenbare Personen – wie etwa Beschäftigte mit Vorgesetztenfunktion/Personalverantwortliche – Verursacher einer sexuellen Belästigung sind, kommt ein Schadensersatz- bzw. ein Entschädigungsanspruch durchaus in Betracht. Solche Verstöße sollten (durch präventive Maßnahmen) dringend vermieden werden. Der Eintritt eines immateriellen Schadens für den dann Schmerzensgeld zu zahlen wäre wird nämlich bei einer AGG-relevanten Rechtsverletzung vermutet (BAG, Urteil v. 19. August 2010 – 8 AZR 530/09).

In unserer CMS-Blogserie informieren wir Sie mit Beiträgen über das Phänomen #MeToo im Kontext der Compliance-Beratung.

Der Beitrag #MeToo: Aus der Brille des Arbeitsrechts – Wie schützen Arbeitgeber*innen  ihre Arbeitnehmer*innen? erschien zuerst auf CMS Blog.

Die KI-Verordnung legt den regulatorischen Schwerpunkt auf Anforderungen an Hochrisiko-KI-Systeme und Pflichten für deren Anbieter*, Betreiber, Händler und Einführer sowie andere Beteiligte entlang der KI-Wertschöpfungskette.

Pflichten für Anbieter von Hochrisiko-KI-Systemen

Wird ein generatives KI-System als Hochrisiko-KI-System eingestuft, treffen seinen Anbieter umfangreiche und komplexe Pflichten, die in der praktischen Umsetzung einigen Verwaltungsaufwand und finanzielle Ressourcen erfordern werden. Als Anbieter (provider) gilt jede natürliche oder juristische Person, oder Behörde, Einrichtung oder sonstige Stelle, die ein Hochrisiko-KI-System entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich (Art. 3 Nr. 3).

Anbieter von Hochrisiko-KI-Systemen sind vor allem dazu verpflichtet, sicherzustellen, dass die nachfolgenden Anforderungen an Hochrisiko-KI-Systeme (Art. 8 ff.) während des gesamten Lebenszyklus eines KI-Systems eingehalten werden (Art. 16), was durch ein geeignetes Risikomanagementsystem (Art. 9) gewährleistet werden soll:

• Datenqualität (Art. 10): Für den Einsatz und die Entwicklung generativer KI-Systeme sind vor allem die Anforderungen an die Qualität der Datensätze, mit denen ein Hochrisiko-KI-System trainiert wird, relevant. Durch Daten-Governance- und Datenverwaltungsverfahren soll gewährleistet werden, dass Trainings-, Validierungs- und Testdatensätze im Hinblick auf die Zweckbestimmung des Systems hinreichend relevant, repräsentativ, fehlerfrei und vollständig sind, geeignete statistische Merkmale haben, auch bezüglich der Personen oder Personengruppen, auf die das Hochrisiko-KI-System bestimmungsgemäß angewandt werden soll und gegebenenfalls, den Eigenschaften, Merkmalen oder Elementen entsprechen, die für die besonderen geografischen, verhaltensbezogenen oder funktionalen Rahmenbedingungen oder den Zusammenhängen, in denen das KI-System bestimmungsgemäß verwendet werden soll, typisch sind. Außerdem sollen Überprüfungen auf und geeignete Maßnahmen zur Aufdeckung, Vorbeugung und Minderung möglicher Voreingenommenheit vorgenommen werden. Soweit zu diesem Zweck ausnahmsweise personenbezogene Daten verarbeitet werden müssen, stellt Art. 10 Anforderungen an Pseudonymisierung, Vertraulichkeit und die Datenverarbeitung auf. 
• Dokumentation und Aufzeichnungspflichten (Art. 11, 12): Im Hinblick auf Entwicklung und Funktionsweise von Hochrisiko-KI-Systemen müssen Aufzeichnungen und aktuelle technische Dokumentationen geführt werden, die Informationen zu allgemeinen Merkmalen, Fähigkeiten und Grenzen des Systems, verwendeten Algorithmen, Daten, Trainings-, Test- und Validierungsverfahren sowie die Dokumentation des einschlägigen Risikomanagementsystems enthalten.
• Transparenz und Bereitstellung von Informationen Für Betreiber (Art. 13): Betreiber sollen durch Bereitstellung einer Dokumentation und Gebrauchsanweisung in die Lage versetzt werden, die Ergebnisse der KI-Systeme zu interpretieren und angemessen zu verwenden.
• Menschliche Aufsicht (Art. 14): Vor dem Inverkehrbringen oder Inbetriebnehmen eines Hochrisiko-KI-Systemen müssen während der Konzeption und Entwicklung von dem Anbieter geeignete Maßnahmen zur Gewährleistung menschlicher Aufsicht mit hinreichender KI-Kompetenz festgelegt werden (z.B. integrierte Betriebseinschränkungen, Stopptaste). 
• Genauigkeit, Robustheit und Cybersicherheit (Art. 15): Genauigkeit, Robustheit und Cybersicherheit sollen dem allgemein anerkannten Stand der Technik entsprechen. 

Weitere Pflichten eines Anbieters von Hochrisiko-KI-Systemen sind insbesondere: 

• Angabe von eingetragenen Handelsnamen oder eingetragener Handelsmarke und Kontaktanschrift auf dem Hochrisiko-KI-System selbst oder auf der Verpackung oder in der beigefügten Dokumentation angeben (Art. 16 b),
• Einrichtung eines Qualitätsmanagementsystems (Art. 17),
• Aufbewahrung von Dokumentation (Art. 18)
• Durchführung und Sicherstellen vorgeschriebener Konformitätsbewertungen (Art. 16 Abs. f, Art. 43),
• Aufbewahrung von Log-Daten (Art. 19),
• Korrekturmaßnahmen und Bereitstellung relevanter Informationen an Händler, Einführer, zuständige Behörden und, soweit möglich, Betreiber (Art. 20),
• Informations- und Kooperationspflichten (Art. 21),
• Erstellung und Bereithalten einer EU-Konformitätserklärung (Art. 47),
• Kennzeichnungspflichten (z.B. CE-Konformitätskennzeichnung, Art. 48),
• Registrierungspflicht (Art. 49),

Anbieter, die außerhalb der Union niedergelassen sind, müssen vor der Bereitstellung ihrer KI-Systeme in der Union schriftlich einen in der Europäischen Union (EU) niedergelassenen Bevollmächtigten (authorised representative) benennen und diesen mit hinreichenden Befugnissen und Ressourcen ausstatten, damit dieser seine Pflichten unter der KI-Verordnung erfüllen kann, insbesondere das Bereitstellen von Informationen an die zuständigen Behörden (Art. 22). 

Den Anbieterpflichten unterliegt auch ein Produkthersteller (product manufacturer), wenn er Hochrisiko-KI-Systeme im Zusammenhang mit Produkten unter seinem Namen in Verkehr bringt oder in Betrieb nimmt (Art. 25).

Pflichten für Betreiber, Händler und Einführer von Hochrisiko-KI-Systemen

Neben den Pflichten für Anbieter legt die KI-Verordnung weitere Pflichten für andere Beteiligte entlang einer KI-Wertschöpfungskette fest.

Einführer (importer), in der Union befindliche oder niedergelassene natürliche oder juristische Personen, die ein KI-System, das den Namen oder die Marke einer in einem Drittland niedergelassenen natürlichen oder juristischen Person trägt, in der EU in Verkehr bringen oder in Betrieb nehmen (Art. 3 Nr. 6) müssen (Art. 23):

• sicherstellen, dass Hochrisiko-KI-Systeme die Vorschriften der KI-Verordnung einhalten, insbesondere, dass seitens des Anbieters des KI-Systems das betreffende Konformitätsbewertungsverfahren durchgeführt wurde, die technische Dokumentation erstellt wurde, dass das System mit der erforderlichen Konformitätskennzeichnung versehen ist und ihm die erforderlichen Unterlagen und Gebrauchsanweisungen beigefügt sind, gegebenenfalls ein Bevollmächtigter benannt wurde; bei einem Verdacht auf einen Verstoß gegen die Anforderungen der KI-Verordnung darf der Einführer das Hochrisiko-KI-System nicht auf den Markt bringen und muss gegebenenfalls die zuständige Behörde informieren,
• ihren eingetragenen Handelsnamen oder eingetragener Handelsmarke und Kontaktanschrift auf dem Hochrisiko-KI-System selbst oder auf der Verpackung oder in der beigefügten Dokumentation angeben,
• sicherstellen, dass Lagerungs- oder Transportbedingungen die Konformität mit den Anforderungen an Hochrisiko-KI-Systeme nicht beeinträchtigen,
• für einen Zeitraum von 10 Jahren ab dem ab dem Inverkehrbringen oder der Inbetriebnahme des Hochrisiko-KI-Systems ein Exemplar der von der notifizierten Stelle ausgestellten Bescheinigung sowie gegebenenfalls die Gebrauchsanweisungen und die EU-Konformitätserklärunen bereithalten,
• mit den zuständigen Behörden kooperieren.

Händler (distributor) als natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt, mit Ausnahme des Herstellers oder des Einführers (Art. 3 Nr. 7, Art. 24):

• müssen Hochrisiko-KI-Systeme auf erforderliche CE-Konformitätskennzeichnung, erforderliche Dokumentation und Gebrauchsanweisung sowie Einhaltung der Pflichten unter der KI-Verordnung durch Anbieter bzw. gegebenenfalls der Einführer überprüfen,
• dürfen diese bei einem Verdacht eines Verstoßes gegen die Anforderungen an Hochrisiko-KI-Systeme nicht auf den Markt bringen und sollen gegebenenfalls Anbieter oder Einführer oder die zuständige Behörde über ein Risiko informieren,
• müssen im Hinblick auf bereits auf den Markt gebrachte KI-Systeme, bei denen sie sie den Verdacht eines Verstoßes gegen die Anforderungen an Hochrisiko-KI-Systeme haben, notwendige Korrekturmaßnahmen vornehmen und gegebenenfalls Anbieter oder Einführer oder die zuständige Behörde über ein Risiko informieren,
• mit den zuständigen Behörden kooperieren.

Betreiber (deployer), natürliche oder juristische Personen oder Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System in eigener Verantwortung verwenden, es sei denn, das KI-System wird im Rahmen einer persönlichen nicht beruflichen Tätigkeit verwendet (Art. 3 Nr. 4, Art. 26) müssen unter anderem:

• KI-Systeme, insbesondere von Hochrisiko-KI-Systemen, gemäß der Gebrauchsanweisung nutzen, 
• die Funktionsweise überwachen,
• gegebenenfalls Aufzeichnungspflichten erfüllen,
• abhängig von ihrer Kontrolle über das Hochrisiko-KI-System menschliche Aufsicht umsetzen, sicherstellen, dass mit dieser betraute natürliche Personen kompetent, ausreichend qualifiziert ,
• sich vor einer Inbetriebnahme oder Nutzung am Arbeitsplatz mit Arbeitnehmervertreter einigen und die betroffenen Arbeitnehmer informieren,
• unabhängig von Transparenzpflichten (Art. 50), betroffene natürliche Personen informieren, wenn es sich um ein Hochrisiko-KI-System handelt, dass Entscheidungen über natürliche Personen trifft oder dabei unterstützt,
• mit den zuständigen Behörden kooperieren,
• wenn es sich um eine Einrichtung des öffentlichen Rechts oder private Einrichtung, die öffentliche Dienste erbringt, handelt, eine Überprüfung im Hinblick auf Auswirkungen des Hochrisiko-KI-Systems auf Grundrechte durchführen (Art. 27).

Pflichten treffen nicht nur Anbieter, Händler, Einführer und Betreiber von Hochrisiko-KI-Systemen

Die Anforderungen und Pflichten im Zusammenhang mit dem Einsatz und der Entwicklung von Hockrisiko-KI-Systemen sind komplex und umfangreich. Neben den Anforderungen an Hochrisiko-KI-Systeme und Pflichten für Anbieter, Händler, Einführer und Betreiber werden weitere Pflichten und Verantwortlichkeiten entlang der Wertschöpfungskette von Hochrisiko-KI-Systemen geregelt und Anforderungen an GPAI sowie Pflichten für deren Anbieter festgelegt.

Auch vor der Rechtsberatung macht KI keinen Halt. Dies hat CMS bereits früh erkannt: Wie künstliche Intelligenz die Arbeit in Kanzleien verändert (cmshs-bloggt.de). Auf unserer Innovationen-Homepage und in unserem CMS-to-go-Podcast „KI für die Rechtsabteilung“ erhalten Sie weitere Informationen.

In unserem CMS-Blog informieren wir Sie in unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend mit aktuellen Beiträgen zu diesen Themen. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert. Weitere Informationen finden Sie zudem auf unserer Insight-Seite: Implikationen für Künstliche Intelligenz und Recht | CMS Deutschland.

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag KI-Verordnung – Hochrisiko-KI-Systeme als regulatorischer Schwerpunkt erschien zuerst auf CMS Blog.

Unternehmen müssen vor allem bei Exportgeschäften auch die Russland-Sanktionen im Blick haben und etwaige Umgehungsversuche ihrer Kunden möglichst unterbinden. Das ist seit längerem bekannt. Neu ist aber, dass seit dem 20. März 2024 Unternehmen bei Verkauf, Ausfuhr und Verbringung bestimmter Güter gesetzlich dazu verpflichtet sind, in ihren Verträgen Re-Exporte nach Russland oder zur Verwendung in Russland explizit zu verbieten (siehe Art. 12g Verordnung (EU) 833/2014, „Russland-Embargo-VO“).

Ziel der Regelung ist es, Umgehungslieferungen bestimmter gelisteter Güter nach Russland zu vermeiden. Ausführer sollen demnach die betroffenen Güter auch nicht mehr an nicht-EU-Personen, die nicht bereit sind, das vorgesehene vertragliche Wiederausfuhrverbot zu akzeptieren, verkaufen.

Welche Lieferbeziehungen sind betroffen? 

Die Verpflichtung betrifft Verträge zwischen Ausführern aus der EU und Vertragspartnern in Drittländern, mit Ausnahme der in Anhang VIII der vorliegenden Verordnung aufgeführten Partnerländer USA, Japan, UK, Südkorea, Australien, Kanada, Neuseeland, Norwegen, Schweiz (Stand April 2024).

Ausgenommen ist auch die Erfüllung von vor dem 19. Dezember 2023 abgeschlossenen Verträgen bis zum 20. Dezember 2024 oder bis zu ihrem Ablaufdatum, je nachdem, welcher Zeitpunkt früher liegt. Für Verträge mit Erfüllungsdatum nach dem 20. Dezember 2024 kann also auch eine nachträgliche Vereinbarung erforderlich werden!

Welche Leistungen/Güter sind betroffen?

Die Pflicht zur Aufnahme der „No re-export to Russia clause“ bzw. „No Russia clause“ gilt für Verkauf, Lieferung, Verbringung oder Ausfuhr von Gütern oder Technologien, die wie folgt aufgeführt sind:

• In der Russland-Embargo-VO in
  • Anhang XI – Flugzeugteile, Komponenten für die Luftfahrt, Propeller und Jets
  • Anhang XX – Flugzeugtreibstoffe und -additive
  • Anhang XXXV – Feuerwaffen und andere Waffen
  • Anhang XL – Militärisch relevante Elektronik- und Komponenten und andere Güter, die auf dem Schlachtfeld geborgen wurden, sowie Güter für deren Herstellung für die jeweils ein hohes Wiederausfuhrrisiko nach Russland besteht
• Feuerwaffen und Munition gemäß der Liste in Anhang I der Verordnung (EU) Nr. 258/2012.

Da (i) bestimmte Drittländer mit großem Anteil am EU-Außenwirtschaftsverkehr ausgenommen sind und (ii) nur bestimmte gelistete Güter betroffen sind, lässt sich eine Anwendung des 12g Russland-Embargo-VO, in vielen Fällen vermutlich früh ausschließen, auch wenn sich eine durchaus weitere Verbreitung entsprechender Klauseln im Markt beobachten lässt.

Was sind die konkreten Verpflichtungen?

Ist der Vertrag erfasst, müssen Ausführer nach Art. 12g Abs. 1, 3 und 4 Russland-Embargo-VO

1. in Bezug auf die betroffenen Güter die Wiederausfuhr nach Russland und die Wiederausfuhr zur Verwendung in Russland vertraglich untersagen,
2. im Vertrag für den Fall eines Verstoßes gegen das vertragliche Wiederausfuhrverbot angemessene Abhilfemaßnahmen vorsehen, und
3. Verstöße des Vertragspartners gegen das vertragliche Wiederausfuhrverbot an die zuständige Behörde ihres Mitgliedsstaates melden (Ort der Niederlassung/Wohnsitz), sobald ihnen dieser bekannt wird.

Die EU-Kommission hat in ihren FAQ (Stand April 2024) hierzu eine Musterklausel zur Verfügung gestellt, die mit entsprechenden Anpassungen verwendet werden kann:

(1) The [Importer/Buyer] shall not sell, export or re-export, directly or indirectly, to the Russian Federation or for use in the Russian Federation any goods supplied under or in connection with this Agreement that fall under the scope of Article 12g of Council Regulation (EU) No 833/2014.

(2) The [Importer/Buyer] shall undertake its best efforts to ensure that the purpose of paragraph (1) is not frustrated by any third parties further down the commercial chain, including by possible resellers.

(3) The [Importer/Buyer] shall set up and maintain an adequate monitoring mechanism to detect conduct by any third parties further down the commercial chain, including by possible resellers, that would frustrate the purpose of paragraph (1).

(4) Any violation of paragraphs (1), (2) or (3) shall constitute a material breach of an essential element of this Agreement, and the [Exporter/Seller] shall be entitled to seek appropriate remedies, including, but not limited to:

(i) termination of this Agreement; and
(ii) a penalty of [XX]% of the total value of this Agreement or price of the goods exported, whichever is higher.

(5) The [Importer/Buyer] shall immediately inform the [Exporter/Seller] about any problems in applying paragraphs (1), (2) or (3), including any relevant activities by third parties that could frustrate the purpose of paragraph (1). The [Importer/Buyer] shall make available to the [Exporter/Seller] information concerning compliance with the obligations under paragraph (1), (2) and (3) within two weeks of the simple request of such information.

Das strenge deutsche AGB-Recht zwingt zu Anpassungen!

Die Klausel wurde von der EU-Kommission für Ausführer aus allen EU-Staaten einheitlich vorgeschlagen und kann damit zwangsläufig nicht alle Besonderheiten der jeweiligen Rechtsordnung beachten. 

Für das deutsche Recht gilt dies in besonderem Maße, da die Klausel als vorformulierte Vertragsbedingung dem strengen deutschen AGB-Recht standhalten muss (§ 307 Abs. 1 BGB). An diesem strengen Maßstab droht insbesondere die vorgeschlagene verschuldensunabhängige Vertragsstrafe zu scheitern. Denn Vertragsstrafeklauseln ohne Verschuldenserfordernis sind im deutschen AGB-Recht auch im B2B-Verkehr in aller Regel unwirksam (vgl. BGH, NJW-RR 1991, 1013). Es bietet sich deswegen bei der Geltung deutschen Rechts an, ein solches Verschuldenserfordernis in die Klausel aufzunehmen.

Bestimmung der angemessenen Höhe außerordentlich komplex

Vergleichbare Schwierigkeiten bereitet die Bestimmung der zulässigen Höhe der Vertragsstrafe, die in der Musterklausel der EU-Kommission nicht vorgegeben wurde. Denn nach gefestigter Rechtsprechung des BGH ist eine Vertragsstrafe immer dann unwirksam, wenn sie außer Verhältnis zum Gewicht und der Zahl der Pflichtverletzung und den entsprechenden Folgen für die Parteien steht (BGH NJW 2016, 1230, Rn. 34). Zwar hat die Vertragsstrafe ihren Grund vor allem darin, Druck auf die andere Partei auszuüben. Deswegen darf grundsätzlich auch der durchschnittlich zu erwartende Schaden durchaus überschritten werden. Gleichzeitig muss die Höhe der Vertragsstrafe aber auch für die geringste denkbare Pflichtverletzung noch angemessen sein. Zudem darf eine Vertragsstrafe nie einen vorwiegend bestrafenden Charakter annehmen, da ein solcher dem deutschen Zivilrecht fremd ist.

Die Vertragsstrafe soll nicht strafen, sondern nur Druck ausüben

Diese „Quadratur des Kreises“ gelingt nur selten und die Vorgaben des deutschen AGB-Rechts beißen sich hier eindeutig mit dem primären Ziel des Art. 12g Russland-Embargo VO, das in der Musterklausel seinen Ausdruck findet: Die Vermeidung von Umgehungslieferungen über Drittländer. Denn dieses Ziel liegt weniger im originären Interesse des Ausführers, als vielmehr im öffentlichen Interesse. Auf dieser Grundlage wird deutlich, dass der strafende Charakter gerade im Vordergrund steht: Der Ausführer soll „als verlängerter Arm“ des Staates das Sanktionsrecht (mittelbar) durchsetzen und – entsprechend des Vorschlags in der Musterklausel – den Käufer bei Verstößen entsprechend „bestrafen“.  Doch auch wenn dies in zahlreichen anderen Rechtsordnungen möglich sein dürfte, ist ein solcher Mechanismus im deutschen Zivilrecht gerade nicht vorgesehen, weswegen die Ziele der EU auf diese Weise nur schwer umsetzbar sind.

(Unvollkommene) Lösung: Vertragsstrafe nach dem „Hamburger Brauch“ 

Was also kann man tun? Man könnte sich bei der Höhe der Vertragsstrafe an den mittlerweile im sonstigen Handelsverkehr üblichen 5% der Netto-Auftragssumme orientieren. Der BGH hat erst kürzlich noch einmal klargestellt, dass dies bei der Erbringung von Bauleistungen die höchste zulässige Summe ist (BGH, Urteil v. 15. Februar 2024 – VII ZR 42/22). Dagegen spricht allerdings, dass der Verzug einer Leistung im Bauvertrag kaum mit der Sanktion eines Verstoßes gegen ein Weiterlieferungsverbot nach Russland vergleichbar ist. Deswegen erscheint der Rückgriff auf die 5%-Rechtsprechung hier weitgehend willkürlich und inhaltlich nicht wirklich gut begründbar. Es bleibt daher meist nichts anderes übrig, als die Höhe der Vertragsstrafe – soweit möglich – im Einzelfall branchenspezifisch anzupassen.

Daneben kommt auch ein Rückgriff auf den sog. „Hamburger Brauch“ Betracht. Bei einer solchen Klausel wird die Höhe der Vertragsstrafe nicht in der Klausel selbst festgelegt. Sie wird vielmehr erst nach dem Verstoß von der anderen Partei (also von der „nicht verstoßenden“ Partei) mit Blick auf die Schwere der Pflichtverletzung „angemessen“ festgesetzt. Sofern die verstoßende Partei die Höhe nicht als angemessen empfindet, kann sie die Höhe von dem zuständigen Gericht (oder Schiedsgericht) überprüfen lassen. Mit einer solchen Klausel umschifft man zwar die hohen Hürden an die Wirksamkeit einer Vertragsstrafe durch die deutsche Rechtsprechung. International ist diese Art von Klausel (deren hohe Komplexität allein aus der recht lebensfernen Strenge der BGH-Rechtsprechung folgt) aber häufig unbekannt und oftmals nicht vermittelbar.

Achtung: Die bloße Anpassung der AGB reicht nicht aus

Es ist eher selten, dass die EU-Kommission dem grenzüberschreitenden Handel konkrete Vertragsklauseln. Die Musterklausel der EU-Kommission sieht dabei ausdrücklich vor, dass die Regelung als ein „essential element“ des geschlossenen Vertrags identifiziert wird. Dazu ist es zunächst einmal notwendig, dass die Klausel überhaupt Bestandteil des Vertrags wird. Dies ist bei der bloßen Aufnahme in die eigenen Verkaufsbedingungen nur selten der Fall, da die AGB der Parteien bei einer – regelmäßig vorliegenden – Kollision von Verkaufs- und Einkaufsbedingungen (Battle of Forms) bekanntermaßen nicht Vertragsbestandteil werden. Die bloße Anpassung der eigenen AGB ist deswegen oft nicht ausreichend, um die Klausel auch tatsächlich zu einem Vertragsbestandteil werden zu lassen.

Bei noch nicht geschlossenen Verträgen ist es deshalb erforderlich, die Klausel in den eigentlichen Vertragstext selbst aufzunehmen. Die Identifizierung als „essential element“ spricht hier sogar dafür, die Klausel entsprechend optisch – etwa durch Fettdruck – hervorzuheben. Bei einem Vertragsschluss über Bestellungen und Bestellbestätigungen sollte hingegen eine Nebenvereinbarung (Side Letter) zu diesem Aspekt getroffen werden. Gleiches gilt, wenn der Vertrag bereits geschlossen wurde und Art. 12g der Russland-Embargo-VO nun eine nachträgliche Anpassung verlangt.

This article is also available in English.

Der Beitrag Verpflichtung zu „No Russia“-Klausel in Lieferverträgen erschien zuerst auf CMS Blog.

Künstliche Intelligenz (KI) und maschinelles Lernen haben sich in den letzten Jahren rasant entwickelt. Generative KI-Modelle können Konversationen simulieren, Fragen beantworten und eigenständig neue Inhalte generieren und haben das Potenzial, den beruflichen Alltag von Bereichen wie Journalismus bis hin zu Rechtsberatung zu revolutionieren. Einsatz und Entwicklung generativer KI werden zukünftig durch die KI-Verordnung reguliert.

Die Auswirkungen der KI-Verordnung insbesondere auf generative KI sollen mit diesem und dem in unserer CMS Blog-Serie „Künstliche Intelligenz“ folgenden Beitrag näher untersucht werden. 

Chancen und Herausforderungen generativer KI

Generative KI (Generative Artificial Intelligence) ist der Oberbegriff für eine Form der KI, die mit statistischen Methoden neue Inhalte wie digitale Bilder, Videos, Audios, Texte oder auch Softwarecodes auf Basis von Wahrscheinlichkeiten erzeugt. Basierend auf Techniken des maschinellen Lernens (Machine Learning) wird ein solches KI-System durch Algorithmen trainiert, die einen vorhandenen Datensatz analysieren und darin Verbindungen und Zusammenhänge identifizieren und das daraus resultierende sogenannte „Modell“ schließlich nutzen, um Entscheidungen oder Vorhersagen für die Produktion neuer Inhalte zu treffen. Neben der Text- und Inhaltserstellung haben generative KI-Systeme ein weites Anwendungspotenzial, das von Kundenservice, Portfoliomanagement, Musikkomposition, Schaffung von Kunstwerken, Bildbearbeitung, Forschung, Programmierung bis hin zu virtuellen Assistenten reicht.

Wie bei jeder neuen Technologie gibt es bei der Entwicklung und dem Einsatz von generativer KI aber auch Risiken. Die Qualität der von einer generativen KI erzeugten Inhalte und Ergebnisse hängt von der Qualität, dem Inhalt und der Menge der Datengrundlage ab, mit denen das KI-System trainiert wird. Deswegen verwundert es nicht, dass KI-Modelle zwar auf den ersten Blick richtig gute Ergebnisse etwa auf juristische Fragen liefern können, diese Antworten bei genauerer Hinsicht aber nichts mit dem deutschen Recht zu tun haben, falls der Trainingsdatensatz dieses nicht umfasst. Die produktive Nutzung von generativer KI setzt (abgesehen von einem genauen Prompt) also voraus, dass sie mit den richtigen und passenden Daten trainiert worden ist.

Die Verwendung von Datenmengen für das Training einer KI kann je nach Art und Herkunft der Daten grundrechtsrelevante Auswirkungen auf den Schutz von geistigem Eigentum, die Privatsphäre und den Schutz von persönlichen oder sensiblen Daten haben. Wird ein KI-Modell mit ungefilterten, frei aus dem Internet abrufbaren Daten trainiert, spiegeln sich in den von der generativen KI produzierten Inhalten auch die in den Datenmengen angelegten gesellschaftlichen Vorurteile wider – die von einer KI produzierten Inhalte können diskriminierend und rassistisch sein, wenn sie nicht gefiltert werden oder bei dem Training der KI nicht eingegriffen wird. 

Regulierung in der EU durch die KI-Verordnung

Ethische und rechtliche Rahmenbedingungen für die Entwicklung und den Einsatz von KI soll innerhalb der Europäischen Union (EU) neben der Richtlinie über KI-Haftung die KI-Verordnung schaffen. Nach der Veröffentlichung des Vorschlags für eine KI-Verordnung (Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für KI (Gesetz über KI, COM(2021) 206 final, 2021/0106(COD)) durch die Kommission am 21. April 2021 wurde die KI-Verordnung im Gesetzgebungsprozess von den verschiedenen EU-Institutionen geprüft und diskutiert. Nachdem das Parlament und der Rat im Dezember 2023 eine politische Einigung erzielen konnten und am 13. März 2024 der finale Text durch das Parlament gebilligt wurde, wird erwartet, dass die endgültige Fassung Ende April/Anfang Mai 2024 durch das EU-Parlament angenommen wird.

Das Ziel der KI-Verordnung ist es, zum einen klare Regeln für den Umgang mit KI-gesteuerten Systemen aufzustellen, um Diskriminierung, Überwachung und andere potenziell schädliche Auswirkungen zu vermeiden, insbesondere im grundrechterelevanten Bereich. Gleichzeitig sollen zum anderen der Wettbewerb in der EU gefördert und die Position Europas im globalen KI-Wettbewerb gestärkt werden.

Anwendungsbereich der KI-Verordnung: Generative KI wird grundsätzlich erfasst

Der Anwendungsbereich der KI-Verordnung ist sowohl in sachlicher als auch personeller Hinsicht denkbar weit. Definiert und erfasst werden in der aktuellen Fassung KI-Systeme als maschinenbasierte Systeme, die so konzipiert sind, dass sie mit unterschiedlichen Graden an Autonomie operieren und für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen können, die die physische oder virtuelle Umgebung beeinflussen können (Art. 3 Nr. 1). Der personelle Anwendungsbereich der KI-Verordnung erstreckt sich nach Art. 2 auf:

• jegliche Anbieter (provider), die innerhalb der EU KI-Systeme in den Verkehr bringen oder in Betrieb nehmen oder die GPAI in Verkehr bringen – unabhängig davon, ob sie in der EU oder in einem Drittland niedergelassen sind
• alle in der EU niedergelassenen oder ansässigen Betreiber (deployer)
• Anbieter und Betreiber, die in einem Drittland niedergelassen oder ansässig sind, wenn das von dem KI-System hervorgebrachte Ergebnis (Output) innerhalb der EU genutzt wird
• Händler (distributor) und Einführer (importer) von KI-Systemen
• von außerhalb der EU niedergelassenen Anbietern Bevollmächtigte (authorised representatives)
• Hersteller von Produkten (product manufacturers), die KI-Systeme unter ihrem eigenen Namen oder ihrer eigenen Marke gemeinsam mit ihrem Produkt in Verkehr bringen oder in Betrieb nehmen
• in der EU ansässige Betroffene (affected persons), deren Gesundheit, Sicherheit oder Grundrechte durch die Nutzung eines KI-Systems erheblich beeinträchtigt werden

Die KI-Verordnung sieht Bereichsausnahmen für bestimmte KI-Systeme vor, die für das Militär, die Verteidigung oder für nationale Sicherheitszwecke eingesetzt werden.  Ausgenommen sind auch KI-Systeme, die ausschließlich für wissenschaftliche Forschung oder Weiterentwicklung entwickelt und in Betrieb genommen werden. Auch Aktivitäten, die allein der Forschung, Tests oder der Entwicklung von KI-Systemen vor ihrem Angebot auf dem Markt oder ihrer Inbetriebnahme dienen, sollen ebenfalls nicht von der KI-Verordnung reguliert werden.

Generative KI-Systeme sowie ihre Anbieter, Betreiber, Händler, Einführer und Produkthersteller fallen daher grundsätzlich in den Anwendungsbereich der KI-Verordnung.

KI-Systeme und ihr Risikopotenzial: Der risikobasierte Ansatz der KI-Verordnung

Die KI-Verordnung kategorisiert KI-Systeme grundsätzlich nach ihrem Risikopotenzial für die Gesundheit, die Sicherheit und die Grundrechte natürlicher Personen: 

• unannehmbares Risiko (verbotene Praktiken)
• hohes Risiko (Anforderungen für Hochrisiko-KI-Systeme und Pflichten für ihre Anbieter und andere Akteure)
• näher bestimmte KI-Systeme (Transparenzbestimmungen)
• ein geringes oder minimales Risiko (KI-Kompetenz, freiwillige Verhaltenskodizes)

Der aus dem Entwurf der Kommission in die finale Fassung übernommene risikobasierte Ansatz gilt unabhängig von bestimmten Charakteristiken von KI-Systemen, entscheidend ist ihre beabsichtigte Verwendung. Eine Einstufung generativer KI in eine der Risikokategorien kann nicht pauschal oder anhand der Funktionsweise vorgenommen werden. Vielmehr kommt es maßgeblich auf die konkrete Zweckbestimmung und auf die konkreten Anwendungsmodalitäten der Entwicklung oder des Einsatzes des generativen KI-Systems an. 

Im Gesetzgebungsprozess kam jedoch aufgrund der rasanten Entwicklung und breiten Anwendung von generativer KI das Konzept der „foundation models″ hinzu, das in der finalen Fassung als „general-pupose AI″ (GPAI) bzw. KI-Modelle mit allgemeinem Verwendungszweck Niederschlag gefunden hat. 

Definiert werden GPAI als KI-Systeme, die eine erhebliche Allgemeingültigkeit aufweisen und in der Lage sind, ein breites Spektrum unterschiedlicher Aufgaben kompetent auszuführen. einschließlich solcher Modelle, die unter Selbstüberwachung mit einer großen Datenmenge trainiert werden, unabhängig von der Art und Weise, wie die Modelle Inverkehr gebracht werden, und die in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden können. Ausgenommen sind Systeme, die für Forschungs-, Entwicklungs- oder Prototyping-Aktivitäten verwendet werden, bevor sie auf den Markt gebracht werden (Art. 3 Nr. 63). Als Beispiel werden große generative KI-Systeme genannt (Erwägungsgrund 99), wie etwa große Sprachmodelle. Für Anbieter von GPAI gelten bestimmte Pflichten, die, je nachdem, ob GPAI ein systemisches Risiko beinhaltet, umfangreicher werden.

Anbieter und Betreiber aller KI-Systeme sollen generell geeignete Maßnahmen treffen, um ausreichende KI-Kompetenz (AI literacy) im Hinblick auf ihre Arbeitnehmer und andere mit dem Betrieb und der Nutzung der KI-Systeme betraute Personen sicherzustellen (Art. 4). Dafür sind insbesondere technische Kenntnisse, Erfahrung, Ausbildung und die konkreten Anwendungsmodalitäten des KI-Systems relevant. Solche geeigneten Maßnahmen sind etwa die Unterweisung in grundlegenden Begriffen und Kenntnissen über KI-Systeme und ihre Funktionsweise, einschließlich der verschiedenen Arten von Produkten und Verwendungen sowie ihrer Risiken und Vorteile.

Die KI-Verordnung reguliert künftig auch generative KI 

Generative KI wird grundsätzlich vom Anwendungsbereich der KI-Verordnung erfasst und bei ihrem Einsatz und ihrer Entwicklung müssen die allgemeinen Prinzipien der KI-Verordnung beachtet werden. Welche KI-Systeme als Verbotene Praktiken gar nicht zugelassen sind, welche Anforderungen außerhalb der Verbotenen Praktiken an KI-Systeme gestellt werden und welche Pflichten ihre Anbieter, Betreiber oder sonstige Beteiligte in der KI-Wertschöpfungskette treffen, hängt von der Klassifizierung der jeweiligen generativen KI anhand ihrer Zweckbestimmung und ihrer konkreten Anwendungsbereiche ab. Während KI-Systeme mit unannehmbarem Risiko ganz verboten werden, liegt der Fokus der Regulierung durch die KI-Verordnung auf Hochrisiko-KI-Systemen, deren Anbieter, Betreiber, Einführer und Händler umfangreiche Pflichten erfüllen müssen. 

Auch vor der Rechtsberatung macht KI keinen Halt. Dies hat CMS bereits früh erkannt: Wie künstliche Intelligenz die Arbeit in Kanzleien verändert (cmshs-bloggt.de). Auf unserer Innovationen-Homepage und in unserem CMS-to-go-Podcast „KI für die Rechtsabteilung“ erhalten Sie weitere Informationen.

In unserem CMS-Blog halten wir Sie in unserer Blog-Serie „Künstliche Intelligenz“  fortlaufend mit aktuellen Beiträgen zu diesen Themen auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: Künstliche Intelligenz und der Journalismus der Zukunft; Endspurt für die Regulierung von KI; Verbotene Praktiken und Hochrisiko-KI-Systeme; Hochrisiko-KI-Systeme als regulatorischer Schwerpunkt; Pflichten entlang der Wertschöpfungskette und für Anbieter von Basismodellen; Transparenzpflichten, Rechte für Betroffene, AI Office und Sanktionen sowie Robo Adviser. Weitere Informationen finden Sie zudem auf unserer Insight-Seite: Implikationen für Künstliche Intelligenz und Recht | CMS Deutschland.

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag KI-Verordnung – die Regulierung generativer KI erschien zuerst auf CMS Blog.

Arbeitnehmer* gegen ehemalige Arbeitgeber, Verbraucher gegen Versicherungen, Banken und andere Unternehmen: Die Rechtsverhältnisse, in denen es zu Schadensersatzforderungen wegen Verstößen gegen die Vorschriften der Europäischen Datenschutz-Grundverordnung (DSGVO) kommen kann, sind weit gestreut. Art. 82 Abs. 1 DSGVO spricht jeder Person, der wegen eines DSGVO-Verstoßes ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter zu. Außerdem können bei Verstößen gegen die DSGVO durch die Datenschutzbehörden Bußgelder in erheblichen Höhen verhängt werden. 

Eine der maßgeblichen Vorschriften der DSGVO, auf die bei unzureichender Erfüllung zahlreiche Kläger ihre Forderungen nach Schadensersatz gemäß Art. 82 DSGVO und Behörden Bußgelder gemäß Art. 83 DSGVO stützen, ist Art. 15 DSGVO. Nach Art. 15 DSGVO stehen betroffenen Personen gegenüber den Verantwortlichen Auskunftsrechte zu. Bereits zu der Frage, ob überhaupt Daten der betroffenen Person verarbeitet werden, kann von dem Verantwortlichen eine Bestätigung verlangt werden (sog. Negativauskunft). Sofern Daten vorliegen, steht dem Betroffenen darüber hinaus ein Recht auf Auskunft über diese personenbezogenen Daten zu. Art. 15 Abs. 1 DSGVO listet die Informationen auf, über die Auskunft zu erteilen ist; hierzu zählen u.a. die Kategorien der verarbeiteten personenbezogenen Daten, der Verarbeitungszweck und die Empfänger, denen diese Daten offengelegt wurden.

Die Bedeutung dieser Vorschrift ist nicht zu unterschätzen. Dies zeigt auch die koordinierte Aktion der Datenschutzbehörden für das Jahr 2024.

Coordinated Enforcement Framework: In diesem Jahr geht es um Art. 15 DSGVO

Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat das Auskunftsrecht nach Art. 15 DSGVO als Schwerpunkt der dritten koordinierten Aktion (Coordinated Enforcement Framework [CEF]) der nationalen Datenschutzbehörden ausgewählt. Diese koordinierte Aktion hat bereits begonnen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) teilte in einer Pressemitteilung vom 28. Februar 2024 mit, dass sich in Deutschland verschiedene nationale Datenschutzbehörden an der Aktion beteiligen, wie z.B. aus Niedersachsen oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (wir berichteten in unserem Blog). Auch andere europäische Länder nehmen über ihre Datenschutzbehörden an der Aktion teil, u.a. Österreich, die Niederlande und die CNIL aus Frankreich. Mit der Aktion möchten die Behörden herausfinden, wie das Auskunftsrecht in der Praxis umgesetzt wird und ob Anpassungs- oder Klarstellungsbedarf in den Leitlinien des EDPB zum Auskunftsrecht besteht. Die Behörden werden zwar unterschiedlich vorgehen, aber ihre Ergebnisse gemeinsam auswerten, in einem Bericht veröffentlichen und u.a. über mögliche Durchsetzungsmaßnahmen entscheiden.

Doch nicht nur im Jahr 2024 und aufgrund dieser koordinierten Aktion der europäischen Datenschutzbehörden, sondern hiervon unabhängig, sollten datenverarbeitende Unternehmen die Anforderungen erfüllen, die Art. 15 DSGVO an sie stellt, um Schadensersatzforderungen zu vermeiden.

Fehlerhafte oder verspätete Auskünfte können Schadensersatzansprüche in empfindlichen Höhen zur Folge haben 

Hat der Betroffene einen Anspruch auf Auskunft, so ist der Verantwortliche verpflichtet, diese gemäß Art. 15 Abs. 3 DSGVO in Form einer Datenkopie zu erteilen. Bei der Erfüllung dieses Auskunftsanspruchs lauern Fehlerquellen, die dazu führen können, dass der Anspruch nicht hinreichend erfüllt wird. Je komplexer, umfangreicher und unübersichtlicher die Datenverarbeitung gestaltet ist, umso größer kann das Risiko fehlerhaft erteilter Auskünfte über den Datenbestand werden. So könnten die erteilten Informationen unvollständig, verspätet, gar nicht oder in nicht ausreichender Form erteilt werden – und schon ist ein Verstoß gegen Art. 15 DSGVO zu bejahen, der einen Schadensersatzanspruch nach Art. 82 DSGVO auslösen kann.

Die Spanne des zugesprochenen Schadensersatzes lag in den (bisher) öffentlich bekannten Verfahren, in denen der Anspruch auf einen Verstoß gegen Art. 15 DSGVO gestützt wurde, zwischen EUR 500 und EUR 10.000. Die große Spanne hängt nicht nur mit unterschiedlich gelagerten Sachverhaltskonstellationen, sondern auch einer fehlenden einheitlichen gerichtlichen Anwendung bei ähnlich gelagerten Fällen zusammen. Die neue Abhilfeklage kann zudem dazu führen, dass Schadensersatzansprüche in ähnlich gelagerten Fällen kollektiv geltend gemacht werden und sich so für den Verantwortlichen zu relevanten Summen aufaddieren könnten. Insbesondere deutsche Arbeits- und Landesarbeitsgerichte hatten sich bisher mit auf Verstöße gegen Art. 15 DSGVO gestützten Schadensersatzklagen nach Art. 82 DSGVO zu beschäftigen. Einige Verfahren sind oder waren zwischenzeitlich sogar beim Bundesarbeitsgericht (BAG) anhängig. 

Schadensersatzansprüche wegen Verstoßes gegen Art. 15 DSGVO: Ein Dauerbrenner vor den Arbeitsgerichten

Mit EUR 10.000 haben die Arbeitsgerichte (ArbG) in Duisburg und Oldenburg die höchsten Beträge im Rahmen eines Anspruchs aus Art. 82 und Art. 15 DSGVO bejaht. In dem Verfahren vor dem ArbG Oldenburg (Urteil v. 23. März 2023 – 3 Ca 44/23) ging es um eine verspätet und unvollständig erteilte Auskunft an einen Arbeitnehmer durch den Arbeitgeber in einem ehemaligen Arbeitsverhältnis nach Art. 15 DSGVO. Das ArbG zog zur Ermittlung der Höhe des zu leistenden Schadensersatzes Art. 83 Abs. 2 DSGVO heran und setzte den Betrag aus EUR 2.500 für jeweils zwei inhaltliche Verstöße gegen Art. 15 Abs. 1 DSGVO sowie aus EUR 5.000 für die vorsätzlich verspätete Auskunft zusammen und kam so zu der Summe von EUR 10.000. Als nachfolgende Instanz hob das LAG Düsseldorf (Urteil v. 28. November 2023 – 3 Sa 285/23) die Duisburger Entscheidung allerdings auf und wies die Klage ab, sodass dem ehemaligen Arbeitnehmer nunmehr kein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO, den die vorherige Instanz in dieser ungewöhnlicher Höhe bejaht hatte, zusteht. Das LAG Düsseldorf griff zur Verneinung des Anspruchs auf eine verbreitete Argumentation zurück (mehr dazu unten).

Das ArbG Oldenburg bejahte in einem anderen Verfahren bzgl. einer um 20 Monate verspätet erteilten Auskunft nach Art. 15 DSGVO an einen ehemaligen Arbeitnehmer dessen Schadensersatzanspruch gegen den ehemaligen Arbeitgeber ebenfalls in Höhe von EUR 10.000 (Urteil v. 9. Februar 2023 – 3 Ca 150/21). Auf diese hohe Summe kam das ArbG nachdem es einen Betrag von EUR 500 Schadensersatz für jeden Monat, in dem die Auskunftspflicht nicht erfüllt wurde, annahm und diesen bei einer Verspätung von 20 Monaten zu EUR 10.000 aufaddierte (ähnlich das ArbG Neumünster, aber wegen einer dreimonatigen Verspätung der Auskunft EUR 1.500 zusprechend [Urteil v. 11. August 2020 – 1 Ca 247 c/20]). Auch das Oldenburger Verfahren ging in die nächste Instanz und ist nun beim LAG Niedersachsen (12 Sa 219/23) anhängig. 

Üblich sind bei Verstößen gegen Art. 15 DSGVO allerdings geringere Beiträge als Schadensersatz. So ließ beispielsweise das LG Bonn (Urteil v. 1. Juli 2021 – 15 O 356/20) eine Dauer des Wartens von acht Monaten auf eine Auskunft nicht für einen Schadensersatzanspruch ausreichen, was das OLG Köln (Urteil v. 14. Juli 2022 – 15 U 137/21) als nachfolgende Instanz auf einen Schadensersatzanspruch in Höhe von EUR 500 abänderte. Das ArbG Düsseldorf (Urteil v. 5. März 2020 – 9 Ca 6557/18) berücksichtigte bei der Bemessung der Höhe des zu leistenden Schadensersatzes auch die Finanzkraft des Unternehmens, das gegen Art. 15 DSGVO verstoßen hatte, und sprach dem Betroffenen einen Anspruch in Höhe von EUR 5.000 zu (das Verfahren ist mittlerweile anhängig beim LAG Düsseldorf (14 Sa 294/20). Das LAG Berlin-Brandenburg (Urteil v. 18. November 2021 – 10 Sa 443/21) hielt im Falle einer unvollständigen Auskunft eines Arbeitgebers einen Betrag von EUR 2.000 für angemessen. Auch dieses Verfahren ist mittlerweile beim BAG anhängig (8 AZR 91/22), die mündliche Verhandlung in dieser Sache ist für den 20. Juni 2024 terminiert. 

Bejaht wurden Schadensersatzansprüche wegen Verstößen gegen Art. 15 DSGVO in der Arbeitsgerichtsbarkeit zudem u.a. durch: 

• das ArbG Berlin in Höhe von EUR 5.000 (Teilurteil v. 15. Juni 2022 – 55 Ca 456/21), 
• das ArbG Bamberg in Höhe von EUR 4.000 (Urteil v. 11. Mai 2022 – 2 Ca 942/20) – inzwischen durch die nachfolgende Instanz unter Ablehnung des Schadensersatzanspruchs wieder aufgehoben (LAG Nürnberg, Urteil v. 25. Januar 2023 – 4 Sa 201/22) und anhängig beim BAG (die mündliche Verhandlung in dem Verfahren 8 AZR 124/23 ist terminiert für den 20. Juni 2024), 
• das ArbG Dresden in Höhe von EUR 2.500 (Urteil v. 11. Januar 2023 – 4 Ca 688/22), 
• das ArbG Duisburg in Höhe von EUR 750 (Urteil v. 3. November 2023 – 5 Ca 877/23),
• das LAG Baden-Württemberg ebenfalls in Höhe von EUR 2.500 (Urteil v. 28. Juli 2023 – 9 Sa 73/21; Berichtigungsbeschluss v. 21. August 2023 – 9 Sa 73/21) – das Verfahren ist angängig beim BAG (8 AZR 215/23),
• das LAG Hannover in Höhe von EUR 1.250 (Urteil v. 22. Oktober 2021 – 16 Sa 761/20) – inzwischen hat das BAG die Berufung gegen das Urteil zurückgewiesen (Beschluss v. 3. März 2022 – 8 AZN 763/21; Beschluss v. 6. Januar 2022 – 2 AZN 765/21),
• das LAG Hamm in Höhe von EUR 1.000 (Urteil v. 11. Mai 2021 – 6 Sa 1260/20) – inzwischen hat das BAG die Berufung auch gegen dieses Urteil zurückgewiesen (Urteil v. 5. Mai 2022 – 2 AZR 363/21)
• oder das LAG Hessen in Höhe von EUR 1.000 (Urteil v. 27. Januar 2023 – 14 Sa 359/22). 

Doch nicht nur deutsche (Arbeits-)Gerichte beschäftigen sich mit Art. 15 DSGVO und Schadensersatzforderungen. Besonders bemerkenswert ist noch eine Entscheidung des AG Düsseldorf (Urteil v. 24. August 2023 – 51 C 206/23): In dem diesen Verfahren zugrunde liegenden Fall hatte der Betroffene einen Einkauf in einem Online-Shop getätigt, aber statt die Rechnung zu begleichen, Auskunft nach Art. 15 DSGVO gefordert. Nachdem das Unternehmen diese unzureichend erfüllt hatte, rechnete der Betroffene den Kaufpreis mit dem Schadensersatz nach Art. 82 DSGVO, den das AG Düsseldorf ihm in Höhe von EUR 500 zusprach, auf. In Österreich hat der Datenschutzaktivist Maximilian Schrems z.B. ein Urteil gegen ein soziales Netzwerk erwirkt, das ihm unvollständige und verspätete Auskunft über die ihn betreffenden gespeicherten Informationen erteilt hatte. Der Oberste Gerichtshof der Republik Österreich (OGH, Teilurteil v. 23. Juni 2021 – 6 Ob 56/21k) sprach einen eher symbolischen Betrag in Höhe von EUR 500 zu. 

Uneinheitlichkeit in der Rechtsprechung bei Verstößen gegen Art. 15 DSGVO: Klärung durch den EuGH

Einige Rechtsfragen zu Art. 82 DSGVO, die auch in Verfahren relevant werden, in denen Kläger Schadensersatz wegen eines Verstoßes gegen Art. 15 DSGVO verlangen, warteten lange Zeit oder warten immer noch auf obergerichtliche Klärung. Dies betraf zum einen die Frage, ob ein Schadensersatzanspruch nach Art. 82 DSGVO auszuschließen sei, wenn eine etwaige Erheblichkeitsschwelle oder Bagatellgrenze unterschritten werde. Zum anderen stellen einige Gerichte in Frage, ob ein Verstoß gegen die Pflichten aus Art. 15 DSGVO überhaupt Schadensersatzansprüche nach Art. 82 DSGVO auslösen kann.

EuGH stellt klar: Keine Erheblichkeitsschwelle oder Bagatellgrenze bei Art. 82 DSGVO

Erfolglos verliefen Schadensersatzklagen in der Vergangenheit insbesondere dann, wenn Gerichte für einen Anspruch gemäß Art. 82 DSGVO eine Erheblichkeitsschwelle oder Bagatellgrenze annahmen, die der kausal auf dem DSGVO-Verstoße beruhende und erlittene Schaden überschreiten müsse. Diese (vermeintliche) Voraussetzung wurde auch in Verfahren herangezogen, in denen über Schadensersatzansprüche wegen Verstoßes gegen Art. 15 DSGVO zu entscheiden war: So verlangte das z.B. LG Leipzig eine „Beeinträchtigung von einer gewissen Erheblichkeit“ und orientierte sich dafür u.a. an den Beispielen der Erwägungsgründe 75 und 85 der DSGVO. Das bloße Warten auf die Auskunft genüge dem Gericht zufolge nicht und so lehnte es den Schadensersatzanspruch ab (Urteil v. 23. Dezember 2021 – 03 O 1268/21). 

Ob eine solche Erheblichkeitsschwelle erreicht werden muss, war in der juristischen Fachliteratur und Rechtsprechung umstritten und wurde dem Europäischen Gerichtshof (EuGH) durch den OGH zur Klärung vorgelegt (Beschluss v. 15. April 2021 – 6 Ob 35/21x). Mit Urteil v. 4. Mai 2023 (C-300/21) hat der EuGH der Annahme einer solchen Erheblichkeitsschwelle oder Bagatellgrenze für Ansprüche aus Art. 82 DSGVO eine deutliche Absage erteilt und seine Rechtsprechung hierzu in weiteren folgenden Urteilen bestätigt. Auf einen Verstoß gegen die Auskunftspflicht des Art. 15 DSGVO gestützte Schadensersatzklagen können demzufolge nicht mehr unter Verweis auf das Nicht-Erreichen einer gewissen Erheblichkeit des erlittenen Schadens abgewiesen werden. Vielmehr kommt es darauf an, ob der Kläger im jeweiligen Einzelfall nachweisen kann, ob und inwieweit ein materieller oder immaterieller Schaden konkret erlitten wurde.

Umstritten: Stellt eine nicht erteilte Auskunft eine Datenverarbeitung dar?

Einen weiteren Grund für die Zurückweisung von Schadensersatzforderungen, die sich auf einen Verstoß gegen Art. 15 DSGVO stützen, sehen einige Gerichte in dem Wortlaut von Art. 82 Abs. 2 DSGVO sowie von Erwägungsgrund 146 der DSGVO und fordern für den Schadensersatzanspruch, dass der auszugleichende Schaden durch eine „Verarbeitung“ personenbezogener Daten verursacht wurde, sodass das bloße Warten auf Erfüllung des Auskunftsanspruchs keinen Schaden darstelle. Mit diesem Argument lehnte z.B. das LAG Nürnberg mit Urteil v. 25. Januar 2023 (4 Sa 201/22) einen Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO eines Arbeitnehmers gegen dessen ehemaligen Arbeitgeber ab, nachdem die Vorinstanz dem Kläger noch einen Betrag in Höhe von EUR 4.000 für einen Verstoß gegen Art. 15 DSGVO zugesprochen hatte (ArbG Bamberg, Urteil v. 11. Mai 2022 – 2 Ca 942/20). Ähnlich argumentierte auch das LAG Düsseldorf, das mit Urteil v. 28. November 2023 (3 Sa 285/23) die o.g. Entscheidung des ArbG Duisburg (Urteil v. 23. März 2023 – 3 Ca 44/23) aufhob, in der dem Kläger wegen Verstoßes gegen Art. 15 DSGVO ein Schadensersatzanspruch in Höhe von EUR 10.000 zugesprochen wurde. Das LAG Düsseldorf schreibt hierzu in seiner Pressemitteilung, dass es bei einer „bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO“ an einer Datenverarbeitung fehle und dass der vom Kläger behauptete „Kontrollverlust“ über seine personenbezogenen Daten nicht ausreiche.

Mit ähnlichen Ausführungen nahmen auch das LG Düsseldorf mit Urteil v. 28. Oktober 2021 (16 O 128/20) und das LG Bonn mit Urteil v. 1. Juli 2021 (15 O 356/20; und ähnlich mit Urteil v. 1. Juli 2021 – 15 O 372/20) an, dass ein Verstoß gegen Art. 15 DSGVO nicht zu einem Anspruch nach Art. 82 DSGVO führe, da es sich bei einer verspätetet erteilten Auskunft nun einmal nicht um eine „Verarbeitung“ personenbezogener Daten handele und somit in diesen Fällen des Wartens auf Auskunft kein Schaden durch eine Datenverarbeitung entstanden sei. Dieser Auslegung durch das LG Bonn hat sich das OLG Köln (Urteil v. 14. Juli 2022 – 15 U 137/21) entgegengestellt und auf den Wortlaut des Art. 82 DSGVO verwiesen, der einen „Verstoß gegen diese Verordnung“ fordert. Das OLG kam daher zu dem Ergebnis, dass Verstöße gegen die Auskunftspflicht aus Art. 15 DSGVO sehr wohl Schadensersatzansprüche auslösen und bejahte einen Anspruch in Höhe von EUR 500 (ähnlich: ArbG Hannover, Urteil v. 23. Januar 2024 – 1 Ca 121/23).

Der EuGH führte in seinem wegweisenden Urteil v. 4. Mai 2023 (C-300/21) zu Art. 82 Abs 2. DSGVO aus:

Art. 82 Abs. 2 DSGVO […] übernimmt […] die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO […] in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken […] aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem […] Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten […] einen […] Schaden […] nach sich ziehen [kann]“ […].

Dieses EuGH-Urteil zog beispielsweise jüngst das OLG Dresden (Urteil v. 30. Januar 2024 – 4 U 1168/23) zur Untermauerung seiner Ansicht heran, dass eine Verletzung der Auskunftspflichten gemäß Art. 15 DSGVO keine „Verarbeitung“ personenbezogener Daten darstelle und daher keinen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auslösen könne.

Klargestellt hat der EuGH jedenfalls, dass nicht jeder DSGVO-Verstoß automatisch bedeutet, dass dem Betroffenen ein Schaden materieller oder immaterieller Art entstanden ist. 

Welchen Schaden ziehen nicht erfüllte Auskunftsverlangen nach sich?

Für einen Schadensersatzanspruch gemäß Art. 82 DSGVO muss ein ersetzbarer Schaden vorliegen. Soweit so gut – doch was ist der Schaden in den Fällen, in denen ein Auskunftsverlangen nach Art. 15 DSGVO fehlerhaft, verspätet oder gar nicht erfüllt wird? Für Betroffene entsteht in diesen Fällen eine Ungewissheit darüber, ob und welche personenbezogenen Daten von wem und wo zu welchen Zwecken verarbeitet worden sind und was mit diesen geschehen ist. Der verursachte Schaden kann also in einem Kontrollverlust über die eigenen personenbezogenen Daten liegen, wobei das bloße Behaupten eines solchen Kontrollverlustes dem LG München I schon im Jahr 2021 nicht ausreichte, um einen Schadensersatzanspruch gerichtlich geltend machen zu können ([Endurteil v. 2. September 2021 – 23 O 10931/20]; dies zeigen auch die vielen abweisenden Urteile in den sog. Scraping-Fällen in jüngster Zeit).

Das LG Berlin (Urteil v. 21. Dezember 2021 – 4 O 381/20) benennt in einem Verfahren, in dem allerdings kein Anspruch auf Schadensersatz geltend gemacht wurde, die Folgen eines Kontrollverlustes über die eigenen Daten: Durch die Unwissenheit darüber, was mit welchen Daten geschehen sein könnte, ist es dem Betroffenen nicht möglich, seine weiteren Rechte aus der DSGVO in vollem Umfang wahrzunehmen. Ohne Auskunft nach Art. 15 DSGVO könne der Betroffene insbesondere nicht auf eine Berichtigung gemäß Art. 16 DSGVO, eine Löschung nach Art. 17 DSGVO oder eine Einschränkung der Verarbeitung nach Art. 18 DSGVO hinwirken. Ein Hinweis auf das Bestehen genau dieser Rechte ist wiederum gemäß Art. 15 Abs. 1 Hs. 2 lit. e) DSGVO ausdrücklich von der Auskunftspflicht umfasst. Das OLG Köln erkannte in dem Fall einer verspäteten Auskunft durch einen Rechtsanwalt an, dass diese verzögerte Auskunft bei der Betroffenen Stress und Sorge um die rechtzeitige Regulierung ihrer Ansprüche im Rahmen des Mandats um einen Verkehrsunfall führe (Urteil v. 14. Juli 2022 – 15 U 137/21). Das OLG zog zur Auslegung die Erwägungsgründe 146 und 75 der DSGVO heran, wonach ein Kontrollverlust über personenbezogene Daten sowie ein drohender Einfluss auf die eigene wirtschaftliche Position ausreiche.

Der erlittene Schaden muss nachgewiesen werden

Der EuGH hat in seiner neuesten Rechtsprechung zuletzt konkretisiert, dass ein immaterieller Schaden keinen spürbaren Nachteil voraussetzt, aber vom Betroffenen nachgewiesen werden müsse. Pauschale Behauptungen genügen hier nicht. Beispielsweise haben andere Gerichte geltend gemachte Ansprüche auf Schadensersatz wegen nicht erfüllter Auskunftspflichten bereits aufgrund nicht ausreichend nachgewiesenen Schadens verneint wie u.a.:

• das ArbG Gießen (Urteil v. 7. Juni 2023 – 2 Ca 327/22) mit dem Hinweis, dass der DSGVO-Verstoß nicht automatisch einen Schaden bedeute (das Verfahren ist inzwischen anhängig beim Hessischen LAG [17 Sa 720/23]);
• das ArbG Hamburg (Urteil v. 14. November 2023 – 19 Ca 223/23) mit dem Hinweis, dass ein behaupteter Kontrollverlust oder „emotionales Ungemach“ bloße Schlagworte ohne inhaltliche Substanz seien;
• das LG Köln (Urteil v. 16. Februar 2022 – 28 O 303/20), da der Kläger keinen immateriellen Schaden dargelegt habe;
• das OLG Köln (Urteil v. 10. August 2023 – 15 U 149/22), da keine Darlegung eines kausal auf der Pflichtverletzung der Beklagten beruhenden Schadens durch den Kläger erfolgt sei;
• nochmal das OLG Köln (Urteil v. 10. August 2023 – 15 U 184/22), da der Kläger keinen immateriellen Schaden dargelegt habe, mit dem Hinweis, dass eine lange Verzögerung und unterstellter „böser Wille“ nicht ausreichten;
• OLG Brandenburg (Beschluss v. 5. März 2024 – 12 U 132/23) in einem Verfahren, in dem der Kläger EUR 8.000 als Schadensersatz verlangte; das OLG kam zu dem Ergebnis, dass kein Schaden entstanden sei, da pauschale Behauptungen eines Kontrollverlustes nicht genügten und da es sich bei Ärger, Unwohlsein und Stress um persönliche und psychische Beeinträchtigungen handele, zu denen konkrete Indizien vorgetragen und die durch einen Beweis und objektive Beweisanzeichen gestützt werden müssten;
• das LAG Hamm (Urteil v. 2. Dezember 2022 – 19 Sa 756/22) mit dem Hinweis, dass ein DSGVO-Verstoß nicht automatisch einen Schaden bedeute und dass der Kläger keinen Schaden dargelegt habe; 
• oder das LAG Mecklenburg-Vorpommern (Urteil v. 17. Oktober 2023 – 2 Sa 61/23) mit dem Hinweis, dass der DSGVO-Verstoß nicht automatisch einen Schaden bedeute und dass es sich bei Art. 82 DSGVO nicht um einen von dem Vorliegen eines konkreten Schadens losgelösten Strafschadensersatz handele.

Diese Beispiele machen deutlich: Zu dem erlittenen Schaden müssen Betroffene hinreichend konkret und deutlich vortragen, damit ein Anspruch auf Ersatz des Schadens zu bejahen ist. Die DSGVO spricht im Falle von Verstößen gegen ihre Vorschriften allerdings nicht nur Betroffenen Ansprüche auf Schadensersatz gegen den Verantwortlichen zu – zudem können behördliche Bußgelder drohen.

Auch Bußgelder können die Folge von Verstößen gegen die Pflichten aus Art. 15 DSGVO sein

Datenschutzbehörden können bei Verletzung der DSGVO-Vorschriften tätig werden und Bußgelder verhängen, die sich zum Teil auf erhebliche Beträge belaufen. Die Kriterien zur Bemessung der Höhe der Geldbuße richten sich dabei nach Art. 83 Abs. 2 DSGVO, wonach u.a. die Art und Dauer des Verstoßes sowie der Grad des Verschuldens maßgeblich sind. 

Art. 83 Abs. 5 DSGVO begrenzt die Geldbuße bei Verstößen u.a. gegen Art. 15 DSGVO der Höhe nach auf bis zu EUR 20.000.000 oder auf bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens – je nachdem welcher Betrag der höhere ist. So haben in den vergangenen Jahren u.a. Verstöße gegen Art. 15 DSGVO beispielweise eine Rolle gespielt bei Bußgeldern der französischen Datenschutzbehörde in Höhe von EUR 40 Mio., EUR 20 Mio. und EUR 1 Mio., der schwedischen Datenschutzbehörde in Höhe von EUR 4,9 Mio. oder der norwegischen Datenschutzbehörde in Höhe von EUR 900.000. Aber auch die deutschen Datenschutzbehörden verhängten Bußgelder, die u.a. auf nicht hinreichend erfüllten Auskunftsverlangen beruhten, in Höhe von EUR 500 bis EUR 300.000. 

All dies zeigt: Verstöße gegen die Auskunftspflicht des Art. 15 DSGVO können schnell erhebliche zu zahlende Summen nach sich ziehen – Sei es in Form von Schadensersatz oder Bußgeldern.

DSGVO-Compliance zur Vermeidung von Haftungsrisiken

Die Rechtsprechung zu Schadensersatzansprüchen aufgrund von Verstößen gegen das Auskunftsrecht aus Art. 15 DSGVO ist derzeit uneinheitlich. Zudem werden die an der o.g. koordinierten Aktion teilnehmenden Datenschutzbehörden auf deutsche Unternehmen zugehen und deren Umsetzung des Auskunftsrechts unter die Lupe nehmen. Für Unternehmen kann die koordinierte Aktion ein Anlass sein, ihre Auskunftsprozesse nochmals zu überprüfen und diese ggf. zu aktualisieren.

Mit unserem regelmäßig aktualisierten Blog-Beitrag zur Rechtsprechung zum Schadensersatz nach Art. 82 DSGVOinformieren wir Sie laufend zu diesem Thema. Einen Überblick über DSGVO-Bußgelder erhalten Sie über den CMS Enforcement Tracker, der auch nach Verstößen gegen Art. 15 DSGVO gefiltert werden kann. Sehen Sie zudem gerne: Umfang und Umsetzung des datenschutzrechtlichen Auskunftsanspruchs (cmshs-bloggt.de) und Schadensersatz wegen DSGVO-Verstoß – was droht Arbeitgebern? (cmshs-bloggt.de).

This article is also available in English.

* Gemeint sind Personen jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.

Der Beitrag Art. 82 DSGVO: Haftungsfalle datenschutzrechtlicher Auskunftsanspruch erschien zuerst auf CMS Blog.

Es existieren im Grundsatz zwei Formen der steuerlichen Organschaft: die körperschaft- und gewerbesteuerliche Organschaft, auch ertragsteuerliche Organschaft genannt, und die umsatzsteuerliche Organschaft. Gerät der Organträger oder eine Organgesellschaft in die Krise, kann dies erhebliche Auswirkungen auf den Bestand dieser Organschaften haben – insbesondere ab der Eröffnung eines Insolvenzverfahrens.

Wegen damit möglicherweise verbundener finanzieller und Tax-Compliance-Risiken sowie wegen möglicher Änderungen in Rechnungslegung, Rechnungsstellung und Steuerdeklaration sollte sich sowohl die Geschäftsführung als auch ein Insolvenzverwalter* – insbesondere wegen etwaiger Auswirkungen auf die Insolvenzmasse – frühzeitig damit beschäftigen.

Ertragsteuerliche Organschaft bewirkt Zurechnung von Einkommen an Organträger

Besteht eine ertragsteuerliche Organschaft, wird das Einkommen der Organgesellschaft (Tochtergesellschaft) für steuerliche Zwecke dem Organträger (Muttergesellschaft) zugerechnet und dort besteuert; das Einkommen der Organgesellschaft kann zudem mit Verlusten des Organträgers verrechnet werden und so die Steuerlast der organschaftlichen Gruppe mindern. Eine eigenständige Besteuerung auf Ebene der Organgesellschaft unterbleibt. 

Erforderlich für die Begründung und Anerkennung einer ertragsteuerlichen Organschaft sind drei fundamentale Voraussetzungen: 

1. Der Organträger muss die Mehrheit der Stimmrechte in Bezug auf die Organgesellschaft innehaben (sogenannte finanzielle Eingliederung). 
2. Der Organträger muss sich gegenüber der Organgesellschaft verpflichten, ihr einen etwaigen Jahresfehlbetrag auszugleichen. Die Organgesellschaft muss sich spiegelbildlich gegenüber dem Organträger bereit erklären, ihm einen etwaigen Jahresüberschuss auszuzahlen. Beide Verpflichtungen müssen für eine Mindestlaufzeit von fünf Zeitjahren eingegangen werden. Die Verpflichtungen müssen mittels Vertrags begründet werden (sogenannter Gewinnabführungsvertrag).
3. Der Gewinnabführungsvertrag muss – insbesondere im Rahmen der fünfjährigen Mindestlaufzeit – tatsächlich durchgeführt werden. Tatsächliche Durchführung bedeutet, dass die Organgesellschaft ihren gesamten Gewinn an den Organträger tatsächlich auszahlt bzw. dass der Organträger etwaige Verluste der Organgesellschaft durch eine entsprechende Zahlung tatsächlich ausgleicht. Grundlage für die Gewinnabführung und den Verlustausgleich ist jeweils das handelsrechtliche Jahresergebnis der Organgesellschaft. 

Wird der Gewinnabführungsvertrag nicht ordnungsgemäß durchgeführt, hat dies zumeist erhebliche Konsequenzen für die Anerkennung der ertragsteuerlichen Organschaft; der zugrunde gelegte Maßstab ist hierbei streng. Die Nichtdurchführung des Gewinnabführungsvertrags (allein in einem Jahr), kann die steuerrechtliche Unwirksamkeit einer ertragsteuerlichen Organschaft von Beginn an zur Folge haben, vorausgesetzt die fünfjährige Mindestlaufzeit ist noch nicht überschritten. Mit anderen Worten kann die Wirkung der ertragsteuerlichen Organschaft rückwirkend für bis zu fünf Jahre entfallen. Die Organgesellschaft ist in diesem Fall (rückwirkend) nach den allgemeinen steuerrechtlichen Vorschriften zur Körperschaftsteuer und Gewerbesteuer zu veranlagen; Gewinnabführung und Verlustausgleich sind rückgängig zu machen. 

Liegt ein wichtiger Grund (z.B. Verschmelzung, Liquidation, etc.) vor und wird der Gewinnabführungsvertrag aus diesem Grund beendet, kann eine ertragsteuerliche Organschaft allerdings vor Ablauf ihrer Mindestlaufzeit ohne rückwirkende Aberkennung beendet werden. Die Insolvenz wird durch Rechtsprechung und Literatur grundsätzlich als ein solcher wichtiger Grund anerkannt. 

Unternehmen können für umsatzsteuerliche Zwecke nicht existent sein

Ist ein Unternehmen Teil einer sogenannten umsatzsteuerlichen Organschaft wird es für umsatzsteuerliche Zwecke als nicht existent bzw. unselbstständig betrachtet. Nur der Organträger, also typischerweise die Muttergesellschaft des Unternehmens oder einer Gruppe von Unternehmen, qualifiziert als umsatzsteuerlicher Unternehmer und damit als Umsatzsteuerschuldner und Vorsteuerabzugsberechtigter. Leistungen der Organgesellschaften, also der unselbständigen Unternehmen, gegenüber Dritten werden dem Organträger für umsatzsteuerliche Zwecke zugerechnet; gleiches gilt für empfangene Leistungen, die zum Vorsteuerabzug berechtigen. Leistungen zwischen Organträger und Organgesellschaft(en) werden als nicht umsatzsteuerbare Innenumsätze behandelt.

Eine solche umsatzsteuerliche Organschaft liegt vor, wenn ein Unternehmen nach dem Gesamtbild der tatsächlichen Verhältnisse finanziell, wirtschaftlich und organisatorisch in ein anderes Unternehmen eingegliedert ist.

Für den Eintritt der Rechtsfolgen der umsatzsteuerlichen Organschaft besteht kein Wahlrecht, diese treten auch ein, wenn die Rechtsträger die Entstehung einer umsatzsteuerlichen Organschaft nicht beabsichtigt bzw. gar nicht gewollt haben. Mit anderen Worten ist stets genau zu prüfen, ob eine finanzielle, wirtschaftliche und organisatorische Eingliederung eines Unternehmens in ein anderes vorliegt, was ohne Abstimmung mit der Finanzverwaltung häufig kaum rechtssicher möglich ist.

• Unter der finanziellen Eingliederung wird der Besitz der Anteilsmehrheit an der Organgesellschaft verstanden. 
• Die Voraussetzung der wirtschaftlichen Eingliederung ist schwieriger zu greifen. Sie soll gegeben sein, wenn die Organgesellschaft in engem wirtschaftlichem Zusammenhang mit der Organträgerin tätig ist.
•  Die organisatorische Eingliederung setzt voraus, dass die Organträgerin tatsächlich die laufende Geschäftsführung der Organgesellschaft beherrscht. Dies wird in aller Regel angenommen, wenn die Geschäftsführer beider Gesellschaften identisch sind. Hat die Organgesellschaft mit dem Organträger einen Beherrschungsvertrag abgeschlossen, kann auch ohne eine solche Personenidentität von dem Vorliegen einer organisatorischen Eingliederung ausgegangen werden.

Die Insolvenz führt idR zum Wegfall einer ertragsteuerlichen Organschaft

Die Auswirkungen einer Insolvenz auf eine ertragsteuerliche Organschaft sind im Detail unterschiedlich, je nachdem, ob die Insolvenz beim Organträger, bei der Organgesellschaft oder bei beiden eröffnet wird; im Ergebnis kommt es aber zumeist zum Wegfall der ertragsteuerlichen Organschaft.

Wird die Insolvenz bei der Organgesellschaft eröffnet, entfällt die finanzielle Eingliederung, weil der Organträger seinen Mehrheitswillen nicht mehr durchsetzen kann. Die Verwaltungs- und Verfügungsbefugnis wird nunmehr durch den Insolvenzverwalter ausgeübt. Dies gilt gleichermaßen bei einem vorläufigen Insolvenzverwalter mit Zustimmungsvorbehalt, weil dieser den Anspruch des Organträgers auf Gewinnabführung nicht mehr erfüllen darf, da es sich um eine Insolvenzforderung handelt. Gleiches wird für den Fall der Eigenverwaltung vertreten. 

Wird die Insolvenz beim Organträger eröffnet, endet die Organschaft i.d.R. zwar faktisch, aber nicht automatisch. Es besteht zumeist ein Recht zur außerordentlichen Kündigung wegen des Leistungsverweigerungsrechts des Organträgers, den Verlust der Organgesellschaft auszugleichen.

Wird die Insolvenz sowohl beim Organträger als auch bei der Organgesellschaft eröffnet, endet hierdurch eine ertragsteuerliche Organschaft aus vorgenannten Gründen ebenfalls. 

In der höchstrichterlichen Rechtsprechung gibt es bislang wenig einschlägig entschiedene Fälle. Allein im Jahr 2022 hat der Bundesfinanzhof (Urteil v. 2. November 2022, I R 29/19) zur Nichtdurchführung bzw. Beendigung einer ertragsteuerlichen Organschaft aufgrund Insolvenz konkret Stellung bezogen. Im zugrundeliegenden Fall wurde sowohl beim Organträger als auch bei der Organgesellschaft vor Ablauf der Mindestlaufzeit des Gewinnabführungsvertrag die Insolvenz eröffnet und es war streitig, ob in diesem Zusammenhang der Organschaft rückwirkend die steuerliche Ankerkennung zu versagen ist. Hierzu entschied der Bundesfinanzhof, dass die Insolvenzeröffnung selbst unschädlich – insbesondere für das laufende Geschäftsjahr – war, weil die Insolvenz einen wichtigen Grund für die Beendigung darstelle. Kritisch war allerdings, dass für das letzte Wirtschaftsjahr vor der Insolvenzeröffnung (auf Grundlage einer Schätzung) nicht derjenige Betrag an den Organträger abgeführt wurde, der bei zutreffender Bilanzierung in einem endgültigen Jahresabschluss auszuweisen wäre; mithin eine fehlerhafte Durchführung erfolgte. Dieser Fehler konnte auch nicht „korrigiert“ werden, da eine weitere Abführung wegen der Insolvenz nicht möglich war. Verbindlichkeiten aus einem Gewinnabführungsvertrag qualifizieren wie andere Verbindlichkeiten auch im Fall einer Insolvenz als Insolvenzforderungen (§ 38 InsO) und dürfen daher grundsätzlich nicht mehr bedient werden. Vor diesem Hintergrund hat der Bundesfinanzhof die ertragsteuerliche Organschaft rückwirkend nicht anerkannt und folgende Punkte klargestellt:

• die Nichtdurchführung eines Gewinnabführungsvertrag wegen Insolvenz stellt einen „wichtigen Grund“ für das laufende Wirtschaftsjahr der Insolvenz dar, für die Vorjahre gilt aber weiterhin das Erfordernis der tatsächlichen (korrekten) Durchführung;
• wenn die Mindestlaufzeit von 5 Jahren nicht abgelaufen ist, kann eine Insolvenz insbesondere zu Beginn des Wirtschaftsjahres zur (rückwirkenden) Nichtanerkennung der gesamten Organschaft führen, da dann ggfs. noch keine Durchführung für das Vorjahr erfolgt ist. Infolgedessen können ggfs. bereits erfolgte Gewinnabführungen und/oder Verlustausgleiche rückabzuwickeln sein; zudem können Organträger und Organgesellschaft rückwirkend mit Körperschaftsteuer- und Gewerbesteuerforderungen konfrontiert werden;
• auch bei Insolvenz reicht eine Durchführung basierend auf einem vorläufigen (fehlerhaften) Jahresabschluss nicht aus.

Auch umsatzsteuerliche Organschaft wird durch Insolvenz beendet 

Wird die Insolvenz über das Vermögen von Organträger oder Organgesellschaft eröffnet, endet eine bestehende umsatzsteuerliche Organschaft mit der Insolvenzeröffnung – angelehnt an die oben zur ertragsteuerlichen Organschaft aufgeführten Gründe. Organträger und Organgesellschaft werden umsatzsteuerlich selbständige Rechtssubjekte, während bis zur Auflösung der Organschaft die Besteuerungsgrundlagen für Organträger und Organgesellschaft dem Organträger zuzurechnen sind. Die umsatzsteuerlichen Pflichten sind nunmehr vom Insolvenzverwalter zu erfüllen. Vorstehendes gilt jeweils auch bei Bestellung eines Sachwalters im Rahmen der Eigenverwaltung nach §§ 270 ff. InsO.

Wird im Rahmen der Anordnung von Sicherungsmaßnahmen über das Vermögen des Organträgers oder der Organgesellschaft ein vorläufiger schwacher Insolvenzverwalter (mit Zustimmungsvorbehalt) oder ein vorläufiger starker Insolvenzverwalter bestellt, endet die Organschaft mit dessen Bestellung bereits vor Eröffnung des Insolvenzverfahrens.

Unbeachtlich ist es, wenn für den Organträger und die Organgesellschaft ein personenidentischer Sachwalter, vorläufiger Insolvenzverwalter oder Insolvenzverwalter bestellt wird. Mit anderen Worten endet auch in diesen Fällen die umsatzsteuerliche Organschaft.

Im Ergebnis kann die Insolvenz insbesondere für die Organgesellschaft neue umsatzsteuerlichen Pflichten mit sich bringen. Eine enge Abstimmung mit dem (ehemaligen) Organträger ist in diesem Zusammenhang ratsam. 

Die Organgesellschaft haftet gegenüber dem Fiskus für den Organträger

Fällt der Organträger im Hinblick auf Steuerzahlungen aus, kann der Fiskus auf die Organgesellschaft zugreifen; sie haftet für den Organträger (§ 73 AO). Die Haftung setzt eine wirksame Organschaft voraus und gilt für alle Steuern, für welche die Organschaft von Bedeutung ist, d.h. für die Körperschaft- und Gewerbesteuer und/oder die Umsatzsteuer.

Grund für die Möglichkeit der Haftungsinanspruchnahme ist, dass im Rahmen einer ertragsteuerlichen und/oder umsatzsteuerlichen Organschaft allein der Organträger der Steuerschuldner ist und die Finanzbehörden die Steueransprüche grundsätzlich gegen ihn geltend machen müssen, unabhängig davon, welcher juristischen Person aus dem Organkreis diese wirtschaftlich zu allokieren sind. Das Vermögen des Organträgers, aus dem die Steuerschulden zu tilgen sind, kann aber in einem unangemessenen Verhältnis zu den Steuerschulden stehen, die im Organkreis entstehen. 

Die Haftung erstreckt sich nach Auffassung der Finanzverwaltung auf die Steuern, die während der zeitlichen Dauer der Organschaft verursacht worden sind. Der Zeitpunkt der Fälligkeit spielt hierbei keine Rolle. Die Haftung ist allerdings auf die Steuern beschränkt, für die die Organschaft steuerlich von Bedeutung ist. Besteht z.B. nur eine umsatzsteuerliche Organschaft, so scheidet eine Haftungsinanspruchnahme der Organgesellschaft für die Körperschaftsteuer des Organträgers aus. 

Die Organgesellschaft haftet dem Grunde nach für alle Steuern, die im Organkreis verursacht worden sind; im Rahmen der Ermessensausübung soll die Haftung aber grundsätzlich auf die in ihrem eigenen Betrieb oder im Betrieb des Organträgers verursachten Steuern beschränkt werden.

Wird in Bezug auf (nur) den Organträgers die Insolvenz eröffnet und fällt dieser in Höhe der Quote aus, kann eine Haftungsinanspruchnahme der Organgesellschaft innerhalb der zuvor aufgezeigten Grenzen durch den Fiskus sachgerecht sein. 

Im Insolvenzverfahren der Organgesellschaft sind etwaige Haftungsansprüche nach § 73 AO grundsätzlich Insolvenzforderungen.

Bleiben Sie informiert

Krise und Insolvenz haben unzweifelhaft konkrete Auswirkungen auf bestehende ertrag- und umsatzsteuerliche Organschaftsverhältnisse. Das Wissen hierüber wird seitens der Steuerverwaltung als bekannt vorausgesetzt, auch wenn hierbei ggfs. komplexe Zusammenhänge und Auswirkungen beachtet werden müssen. Insbesondere Insolvenzverwalter sollten sich daher in einschlägigen Fällen mit den zuvor genannten Grundsätzen vertraut machen oder sich über externe Berater absichern.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Organschaft und Insolvenz erschien zuerst auf CMS Blog.

Neben der EZB und den Zentralbanken des Eurosystems ist mittlerweile auch der EU-Gesetzgeber aktiv geworden. Auch die Finanzindustrie befasst sich vertieft mit möglichen Use Cases eines digitalen Euros und der Integration in bestehende Systeme. Wir geben einen Überblick zum aktuellen Stand, möglichen Anwendungsbereichen und noch offenen Fragen rund um den digitalen Euro.

Einführung eines digitalen Euros: Die Vorbereitungsphase 

Nach Abschluss der vorausgegangenen Untersuchungsphase befindet sich der digitale Euro aktuell in der sog. Vorbereitungsphase, die am 1. November 2023 begonnen hat. Diese Vorbereitungsphase wird in zwei Teile unterteilt: Der erste, bereits begonnene Teil, soll etwa zwei beziehungsweise nach Aussage des Europäischen Rates drei Jahre dauern. In diesem Rahmen sollen die Grundlagen für die mögliche Ausgabe eines digitalen Euros geschaffen werden, wie die Schaffung einer entsprechenden Regelungsgrundlage und einer Ausgabestrategie. Daneben sollen in dieser Phase Tests und Versuche durchgeführt werden, um den digitalen Euro möglichst weit an die Bedürfnisse der Nutzer anzupassen und trotzdem den Anforderungen des Eurosystems gerecht zu werden. Wichtige Aspekte für diesen Prozess sind neben dem Nutzungserlebnis und dem Datenschutz auch die finanzielle Inklusion und der ökologische Fußabdruck. Grundlage hierfür sind die Gestaltungsmerkmale und technischen Anforderungen, die als Ergebnisse der vorausgegangenen Untersuchungsphase festgelegt wurden. 

Am Ende der ersten Teilphase soll über die Einleitung der zweiten Phase entschieden werden. Erst in dieser zweiten Phase wird dann über die Ausgabe des digitalen Euros entschieden, nachdem der Gesetzgebungsprozess der Europäischen Union abgeschlossen ist. So kann der digitale Euro an gesetzliche und technische Anforderungen, die sich im Rahmen des Gesetzgebungsprozesses ergeben, angepasst werden. Inzwischen wird mit der Einführung des digitalen Euros erst im Jahr 2028 gerechnet, sofern die gesetzliche Grundlage bis dahin gegeben ist. Derzeit berät der Ausschuss für Wirtschaft und Währung des Europäischen Parlaments über den Entwurf für eine Verordnung zur Einführung eines digitalen Euros, bevor die erste Lesung im Plenum Ende April 2024 stattfinden soll. 

Nutzung durch App – online und offline 

Nach den Ergebnissen der vorangegangenen Untersuchungsphase soll der digitale Euro durch beaufsichtigte Intermediäre, wie Banken oder Zahlungsdienstleister, bereitgestellt werden und dadurch für natürliche wie juristische Personen allgemein zugänglich und nutzbar sein. Derzeit werden für die Bereitstellung mehrere (kumulativ in Betracht kommende) Möglichkeiten diskutiert: Neben der Nutzung im digitalen Raum durch eine eigene App und Online-Schnittstelle des jeweiligen persönlichen Zahlungsdienstleisters oder eine „Digitaler-Euro-App“ des Eurosystems ist, um die finanzielle Inklusion zu gewährleisten, auch eine analoge Nutzungsmöglichkeit vorgesehen. Angedacht hierfür ist die Speicherung auf einer Karte, um hiermit bezahlen oder den digitalen Euro in Bargeld tauschen zu können. 

Single Currency Package als rechtliche Grundlage veröffentlicht

Vor Einleitung der sog. Vorbereitungsphase hatte die Kommission am 28. Juni 2023 das zugehörige Gesetzgebungspaket, das sog. Single Currency Package, veröffentlicht. Bestehend aus drei Verordnungsvorschlägen regeln diese Entwürfe die Einführung des digitalen Euros, den Status von Euro-Banknoten und -Münzen als gesetzliches Zahlungsmittel und die Anforderungen bei Erbringung von Diensten im Zusammenhang mit dem digitalen Euro durch EU-Zahlungsdienstleister mit Sitz außerhalb der Eurozone.  

Übersicht Regelungen des Verordnungsentwurfs vom 28. Juni 2023 – COM (2023) 369 final

Der Entwurf der Verordnung zur Einführung eines digitalen Euros (VO-E-DE) soll den Euro durch die neue Form als digitalen Euro an den technologischen Wandel anpassen und die Nutzung als einheitliche Währung gewährleisten, vgl. Art. 1 VO-E-DE.  

Die Definition des digitalen Euros in Art. 2 Nr. 1 VO-E-DE als digitale Form der einheitlichen Währung gibt wenig Aufschluss über seine tatsächliche, insbesondere technische, Ausgestaltung, jedoch lässt sich aus den folgenden Vorschriften ein genaueres Bild herstellen. Im Unterschied zu den auf Blockchain-basierenden Kryptowährungen in Form von sog. Currency Token, stellt der digitale Euro ausweislich Art. 4 Abs. 2 VO-E-DE eine direkte Verbindlichkeit gegenüber der EZB dar. Damit ist der digitale Euro als sog. Retail CBDC anzusehen, dessen Nutzerkreis jedoch durch die Bestimmungen des Art. 13 Abs. 1 VO-E-DE beschränkt ist.

Der digitale Euro soll gesetzliches Zahlungsmittel sein – inklusive Annahmezwang

Um die Einheitlichkeit der Währung, d.h. die Gleichstellung und die gleiche Werthaltigkeit des digitalen Euros mit den übrigen Euro-Noten, zu wahren, wird der digitale Euro als gesetzliches Zahlungsmittel anerkannt, womit eine grundsätzliche Annahmepflicht und die Erfüllungswirkung einhergeht, vgl. Art. 7 VO-E-DE. Diese gilt jedoch in den eng umgrenzten Ausnahmefälle der Artt. 9 und 11 VO-E-DE nicht, wie beispielsweise bei Kleinstunternehmen, die auch keine vergleichbaren digitalen Zahlungsmittel akzeptieren. Vergleichbare digitale Zahlungsmittel sind nach Art. 2 Nr. 25 VO-E-DE digitale Zahlungsmittel, einschließlich Debitkartenzahlungen und Sofortzahlungen am Interaktionspunkt, aber ohne Überweisungen und Lastschriften, die nicht am Interaktionspunkt ausgelöst werden. Weiterhin vorgesehen ist auch die Möglichkeit, ein anderes Zahlungsmittel im Rahmen der Privatautonomie zu bestimmen. Nicht möglich ist die Vereinbarung eines anderen Zahlungsmittels und damit der Ausschluss des digitalen Euros durch die Verwendung von Allgemeinen Geschäftsbedingungen, was sich aus Art. 10 VO-E-DE ergibt. 

Zahlungsdienstleister müssen Systeme für digitalen Euro bereitstellen 

Die Bereitstellung durch die Zahlungsdienstleister ist in den Artt. 13 und 14 VO-E-DE geregelt. Hierbei sind neben der Bereitstellung von Funktionen zur Aufladung und Auszahlung des digitalen-Euro-Kontos (DE-Konto) insbesondere die Funktionen für den sog. Waterfall- bzw. reverse-waterfall-Effekt relevant. Dabei handelt es sich um automatische Umbuchungen von/auf das mit dem DE-Konto verbundenen „gewöhnlichen“ Zahlungskonto für den Fall, dass die Haltegrenze überschritten werden. 

Art. 14 VO-E-DE verpflichtet die zahlungskontenführenden Kreditinstitute, Kunden auf deren Antrag hin, alle grundlegenden Zahlungsdienste im Zusammenhang mit dem digitalen Euro anzubieten, sofern diese in einem Euro-Staat wohnhaft sind. Zudem sind hier Obliegenheiten („sollten“) hinsichtlich der digitalen und finanziellen Inklusion vorgesehen. 

Art. 17 VO-E-DE sieht enge Vorgaben für die Höhe der Gebühren für Zahlungsdienste vor. Von zwei alternativen Berechnungsmethoden ist jeweils der niedrige Betrag als Obergrenze für die Gebührenfestlegung entscheidend. Bezugspunkte sind entweder die dem Zahlungsdienstleister entstandenen Kosten oder die für vergleichbare Zahlungsmittel verlangten Gebühren/Entgelte.

Haltegrenzen für digitale Euros – Vorsicht vor Banken-Run und Geldwäsche 

Nach Art. 15 und 16 VO-DE sind Vorgaben zur Begrenzung der Wertaufbewahrungsfunktion vorgesehen, u.a. soll der digitale Euro unverzinst sein. Hierfür sind insbesondere auch die intensiv diskutierten Haltegrenzen gedacht, die einen ungeregelten Abfluss von Einlagen verhindern und so die Finanzmarktstabilität absichern sollen. Insbesondere deutsche Institutionen plädieren hier für niedrige Grenzen in Höhe weniger hundert Euro, ähnlich dem was die meisten „auch jetzt bar im Portemonnaie“ haben. Die EZB hält hier dagegen, dass durch direkte Verbindung zum jeweiligen Girokonto (s.o. „Waterfall-Effekt“) gar kein Bedürfnis bestehe hohe Summen als digitalen Euro vorzuhalten. 

Einzelheiten zu Zugang, technischen Anforderungen und Schutz der daten 

Der Zugang und die Nutzung des digitalen Euros außerhalb des Euro-Währungsgebiet sind in den Artt. 18-21 VO-E-DE geregelt und unterscheiden sich danach, ob es sich bei dem betreffenden Staat um einen EU-Mitgliedstaat, aber keinen Eurostaat, handelt oder um einen Drittstaat. 

Die Anforderungen an die technischen Anforderungen ergeben sich aus den Art. 22-24 VO-E-DE und nehmen neben der Nutzerfreundlichkeit insbesondere auch die finanzielle Inklusion in den Fokus. Der digitale Euro soll daher online wie offline, mit oder ohne angeschlossenes Zahlungskonto nutzbar und vollständig fungibel sein. Zudem soll er möglichst weit mit den privaten digitalen Zahlungslösungen kompatibel sein. Benutzeroberflächen können sowohl durch die EZB als auch durch die einzelnen Zahlungsdienstleister bereitgestellt werden. Im Gegensatz zu den dezentral organisierten privaten Kryptowährungen wie Bitcoin, Ether, etc. wurde hier ein zentralisiertes System gewählt.

Art. 34-36 VO-E-DE sieht Regelungen zum Schutz der Privatsphäre und der Daten vor, die von den Regelungen zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung des Art. 37 VO-E-DE flankiert werden. Die Verarbeitung der festgelegten personenbezogenen Daten wird als öffentliche Aufgaben eingeordnet und soll unter Verwendung modernster Sicherheits- und Datenschutzmaßnahmen stattfinden. Im Rahmen der Geldwäsche-Verfolgung werden insbesondere die Offline-Zahlungen in Betracht genommen, bei denen die Zahlungsdienstleister die Daten über Aufladung oder Auszahlung bei einem entsprechenden Verdacht übermitteln müssen. Hinsichtlich des Spannungsfelds zwischen Datenschutz und Geldwäschebekämpfung ist die Situation im Wesentlichen dieselbe wie bei der Verwendung von Bar- und Buchgeld. 

Die Schlussbestimmungen legen der EZB regelmäßige Berichtspflichten auf und geben an, wann die Verordnung in Kraft tritt. Zudem wird klargestellt, dass der EZB die Entscheidungsbefugnis über die Einführung eines digitalen Euros und deren Höhe zukommt, was sich bereits aus den europäischen Verträgen und deren Kompetenzgefüge ergibt. 

Mögliche Anwendungsbereiche / Use Cases eines digitalen Euros

Als mögliche und vor allem notwendige Anwendungsfelder, um dem digitalen Euro eine zukunftsträchtige Grundlage zu bieten, wird vielfach die Möglichkeit von sog. bedingten Zahlungen durch die Verbindung des digitalen Euros mit sog. Smart Contracts gefordert. Smart Contracts sind keine Verträge nach klassischem juristischen Verständnis, sondern bezeichnen Anwendungen beziehungsweise Computerprogramme, die in einem Distributed-Ledger-Technologie (DLT)-System gespeichert sind und durch entsprechende Programmierung bei einem auslösenden Ereignis (Bedingung) eine bereits vorher festgelegte rechtliche Bindung begründet. Dadurch sollen automatische Zahlungen von Maschine zu Maschine möglich werden, zum Beispiel könnte ein entsprechend programmiertes Auto, das mit einem digitalem Euro-Konto verbunden ist, die Tankfüllung selbstständig bezahlen ohne dass es einer zahlungsauslösenden Aktivität des Nutzers bedarf. 

Wichtig ist hierbei zwischen sog. programmierbaren Zahlungen und dem sog. programmierbaren Geld zu unterscheidend. Programmierbare Zahlungen meinen Überträge von Geld, bei denen Zeitpunkt, Betragshöhe und/oder Art des Übertrags durch vorher vorgegebene Bedingungen bestimmt werden (d.h. nicht ad hoc beim Zahlungsvorgang). Diese können die geldseitige Abwicklung von komplizierten Geschäftsprozessen unter Berücksichtigung der Erfüllung vorgegebener Bedingungen ermöglichen. Auslöser einer Zahlung kann jedes messbare Ereignis sein, wie beispielsweise die Erbringung einer Dienstleistung. Programmierbares Geld hingegen meint Konstellationen, in dem die Bedingung unmittelbar in dem digitalen Geldstück hinterlegt ist. Als Beispiele für solche programmierbaren Zahlungen können hier z. B. automatisch ausgelöste Zahlungen für die Bestellung eigener Ersatzteile von Maschinen (Internet of Things, IoT), für das Laden und Bezahlen von Strom zu den günstigsten Marktbedingungen oder für die Bezahlung von Versicherungen und Leasing- und Wartungsgebühren auf Basis der Nutzung (Pay-per-Use) genannt werden.

Daneben wird selbstverständlich auch die Nutzung „als digitales Bargeld“ in Betracht gezogen, d.h. die Nutzung durch Verbraucher z.B. im Ladengeschäft oder E-Commerce oder zwischen privaten und staatlichen Stellen. Dies folgt auch aus der Ausgestaltung als staatliche Währung mit allgemein geltendem Annahmezwang. Hier ist, insbesondere als Vorteil gegenüber einer Girokarte, auch die Problematik über den Zugang zu Bargeld im (EU-) Ausland, der bisher i.d.R. mit recht hohen Gebühren verbunden ist, zu berücksichtigen. Dies wäre durch den digitalen Euro nicht mehr nötig. 

Sollte sich eine flächendeckende Nutzung durchsetzen, ist für die Unternehmen besonders die Unmittelbarkeit der Zahlung mit digitalen Euros gleich einer Zahlung mit Bargeld vorteilhaft. Im Gegensatz zu Zahlungen mit Giro- oder Kreditkarten, bei denen die Wertstellung erst nach einiger Zeit erfolgt, würde die entsprechende Summe bei einer Zahlung mit digitalen Euros augenblicklich dem Konto bzw. der Wallet des Unternehmens gutgeschrieben werden. Damit ist die Zahlung mit digitalen Euros ähnlich unmittelbar wie die Übergabe von Bargeld. 

Wirtschaft sieht Einführung des digitalen Euros überwiegend positiv  

Für einen Wholesale-CBDC werden Use Cases vor allem auch im kommerziellen Interbankenhandel gesehen, wenn dieser programmierfähig durch die EZB ausgestaltet wird. Insbesondere bei kleinen und mittleren Unternehmen (KMU) ist der digitale Euro als preisgünstige Alternative zur Entgeltabfuhr an kartenbasierte Bezahlsysteme interessant. Diese Einsatzmöglichkeit begründet auch die starke Nachfrage der deutschen Wirtschaft nach der Einführung eines digitalen Euros. In einer kürzlich erfolgten Umfrage haben sich über achtzig Prozent der Befragten aus der deutschen Wirtschaft für die Einführung eines digitalen Euros ausgesprochen. Allerdings sollen die Haltegrenzen auch für Unternehmen gelten und so die Einlagenbasis der Banken schützen. Somit kann der digitale Euro von Unternehmen zwar genutzt werden, um Transaktionen durchzuführen, jedoch muss dies stets mit der Anbindung an ein Zahlungskonto stattfinden, um durch die (reverse) Waterfall Effekte ohne größeren Aufwand zahlungsfähig zu bleiben bzw. weiterhin Zahlungen empfangen zu können. 

Details über Ausgabe noch unklar – Verschiedene europäische Beispiele bereits im Einsatz 

Nach dem bisher verfolgten Modell würden die Zentralbanken des Eurosystems die digitalen Euros ausgeben, jedoch Banken und Zahlungsdienstleister diese an die Bevölkerung verteilen. Insofern ist eine Verzahnung mit bestehenden Marktteilnehmern elementar und auch ausdrücklichen vorgesehen. 

So gibt es in den einzelnen Mitgliedstaaten bereits verschiedene Systeme mit ähnlichem Hintergrund. Beispielsweise in Belgien und Luxemburg vertreten ist die App Payconiq, die von Privatkundenbanken betrieben wird und den Nutzern ermöglicht, kostenlos Geld von ihren Bankkonten zu überweisen. Ähnlich der Planung für den digitalen Euro ist Payconiq sowohl im Einzelhandel als auch im Online-Handel einsetzbar, kann aber auch dazu genutzt werden Rechnungen zu begleichen oder schnell Zahlungen an Bekannte vorzunehmen. In Spanien hat sich die Bezahl-App Bizum durchgesetzt, bei der allein die Mitteilung der Handynummer ausreicht, um eine Zahlung empfangen zu können, die dann lediglich durch Öffnung eines Links bestätigt werden muss. Die App wird überwiegend zwischen Privaten genutzt, findet jedoch inzwischen auch Anklang bei Freiberuflern und kleineren Unternehmen. Allerdings ist der Nutzbarkeit von Bizum im wahrsten Sinne eine Grenze gesetzt: Transaktionen sind nur zwischen spanischen Konten möglich, da es sich um eine Organisation der größten spanischen Banken handelt. Über Bizum sollen vor allem kleinere Beträge übertragen werden, was durch eine Höchstgrenze des Transaktionsvolumen pro Monat von 1.000 Euro sichergestellt wird. Ein grenzüberschreitender Zahlungsverkehr wie es der digitale Euro ermöglichen soll ist weder durch Bizum noch durch Payconiq möglich. Auch handelt es sich hierbei nur um Zahlungsauslöser, d.h. die jeweilige Transaktion wird dann per gewöhnlicher Überweisung vorgenommen. Der digitale Euro hingegen wird unmittelbar übertragen, vergleichbar mit der unmittelbaren persönlichen Übergabe einer Euro-Banknote. 

Digitaler Euro und „Wero“ könnten kombiniert werden 

Parallel zu den Plänen der Europäischen Union hat im Rahmen der European Payment Initiative (EPI) ein Zusammenschluss europäischer Banken und Zahlungsdienstleister einen eigenen Zahlungsdienst entwickelt. „Wero“ soll als digitale Wallet-Lösung Zahlungen zwischen den teilnehmenden Unternehmen schnell und unkompliziert möglich machen und dabei „beispiellose Transparenz und Kontrolle“ bieten. In Zukunft soll Wero durch weitere Funktionen erweitert werden wie buy-now-pay-later-Möglichkeiten, digitale Identifikationsprogramme und der Integration von Treueprogrammen. Ebenso so wie der digitale Euro ist Wero als Alternative zu den (vorwiegend amerikanischen) am Markt bereits etablierten Zahlungssystemen wie Paypal, Visa oder Mastercard gedacht. Auf dem Weg zu einem einheitlichen europäischen Zahlungssystem hat EPI auch die dänische Bezahllösung iDeal sowie das luxemburgische Payconiq (s.o.) einbezogen.

Bisher sind jedoch nur Zahlungsdienstleister und Banken aus Deutschland, Belgien, Frankreich und den Niederlanden am EPI beteiligt. Eine gesamteuropäische Zahlungsmöglichkeit stellt Wero somit noch nicht da. Starten soll die Nutzung von Wero im Juni 2024 zunächst mit Handy-zu-Handy-Zahlungen, bevor schrittweise auch die Zahlung im Online- und dann ab 2025 auch im stationären Handel möglich sein soll. Aufgrund der zunehmenden Anzahl teilnehmender Zahlungsdienstleister und Banken wird das Verhältnis zum digitalen Euro kontrovers gesehen. Wo manche eine Doppelstruktur und damit einhergehenden Innovationsverlust befürchten, sehen andere komplementäre Strukturen. So könnte der digitale Euro beispielsweise über Wero genutzt und so eine Integration in die bestehenden Strukturen vorgenommen werden.

Mögliche Marktverzerrungen gegenüber bestehenden Zahlungsdiensten?

Die digitalen Euros müssen, im Unterschied zu den normalen Banknoten, die ohne einen Intermediär direkt übertragen werden können, im Rahmen von Zahlungsdiensten übertragen werden. Die jeweiligen Zahlungsdienstleister übernehmen diese Zahlungsdienste mit dem digitalen Euro auf eigene Rechnung im Auftrag ihrer Kunden, womit faktisch ein kontobasiertes Intermediär-Modell eingeführt wird, welches als alternatives Zahlungssystemen in direkter Konkurrenz zu den bereits am Markt etablierten Zahlungssystemen steht. Dies wird von verschiedenen Interessenverbänden insbesondere hinsichtlich der strengen Vorgaben für die Festlegung der (voraussichtlich niedrigen) Gebühren als wettbewerbsverzerrend gesehen. Als mögliche nachteilige Folgen werden eine Schwächung des europäischen Bankensektors und eine Hemmung der privatwirtschaftlichen Innovationen befürchtet. Statt einer Ausgestaltung des digitalen Euros mit einem vollständig integrierten, hoheitlichen Zahlungsverfahren, soll dieser demnach ausschließlich als Zahlungsmittel ausgestaltet werden, um nicht mit dem bereits etablierten privatwirtschaftlichen Zahlungssystem zu konkurrieren. Als Zahlungsmittel soll der digitale Euro dann nur grundlegende Bezahlfunktionen sowie Ein- und Auszahlungen aus der digitalen Kunden-Wallet umfassen und durch ein niedriges dreistelliges Haltelimit begrenzt sein. Zudem soll die Vergütung der Finanzintermediäre vollständig dem Markt überlassen werden, damit in zusätzliche innovative Zahlungsdienste investiert werden kann.

„Sicheres“ digitales Zentralbankgeld fördert Gefahr eines Bank Runs

Bemängelt wird zudem die erhöhte Gefahr eines Bank Runs, der zu erheblichen Abzügen des Kapitals bei den Banken führen würde. Kunden würden dann große Mengen Geld von ihren Konten auf digitaler-Euro-Konten schieben und so den Banken das Kapital entziehen. Dies würde wiederrum zu höheren Kreditzinsen für alle führen bzw. einen sog. Credit Crunch nach sich ziehen und wäre somit grundsätzlich eher nachteilig für die Wirtschaft. Daher werden insbesondere aus der deutschen Bankengemeinschaft sehr niedrig angesetzte Haltegrenzen gefordert. Allerdings wird insbesondere von Seiten der EZB dagegengehalten, dass dies die Nutzbarkeit des digitalen Euros unverhältnismäßig einschränken würde. Dass der digitale Euro gerade nicht als eine zusätzliche Möglichkeit der Wertanlage genutzt werden soll, zeige sich daran, dass die digitale-Euro-Wallet unverzinst bleiben soll. Hierdurch soll das Halten größerer Mengen an digitalen Euros wirtschaftlich unattraktiv sein, um den befürchteten Abzug größerer Summen zu vermeiden. Zudem bestehe durch die Reverse-Waterfall-Effekte auch nicht die Notwenigkeit größere Summen vorzuhalten, da hierdurch wie automatisch die Konten neu aufgefüllt werden können.

Die Gefahr, dass im Falle einer akuten Bankenkrise eine erhebliche Umschichtung von Bankguthaben in „sicheres Zentralbankgeld“ in Form von digitalen Euros stattfindet, bestehe jedoch nicht nur im Zusammenhang mit dem digitalen Euro, sondern kann im gleichen Maß mit Bargeld vorgenommen werden. Für das Halten von Bargeld sind jedoch keine Obergrenzen vorgesehen und trotzdem haben die Erfahrungen aus der Finanzkrise 2008 gezeigt, dass es wahrscheinlicher ist, dass die Kontoinhaber ihr Geld auf Konten bei „sicheren/stabilen“ Banken transferieren, anstatt erhebliche Mengen Zentralbankgeld abzuziehen. Letztlich ist zu bedenken, dass die Zentralbanken in Finanzkrisen auch die Banken stützen und somit die Auswirkungen eines Bank Runs abfedern können. In der Summe aus eventuellen Halteobergrenzen, der fehlenden Verzinsung, dem reverse Waterfall Effekt und der fehlenden Möglichkeit für Unternehmen größere Mengen vorzuhalten ist daher aus Sicht des EU-Gesetzgebers zu erwarten, dass die Volumina an gehaltenen digitalen Euros moderat sein werden.

Digitalisierungs-Dauerbrenner Datenschutz 

Wie so oft im Rahmen von Digitalisierungsprojekten ist auch hinsichtlich des digitalen Euros der Datenschutz diskussionsbedürftig und das sowohl in Deutschland als auch auf internationaler Ebene. Insbesondere die angestrebte Online-Nutzung stößt auf Bedenken. Allerdings ist festzustellen, dass sich nur wenige Unterschiede zur jetzigen Lage ergeben würden. Die Online-Transaktionen mit dem digitalen Euro würden ähnlich dokumentiert wie Überweisungen, bei Offline-Zahlungen würden nur Auf- und Entladungen des jeweiligen Kontos erfasst, ähnlich wie jetzt auch Bargeldein- und Auszahlungen bei Konten erfasst werden. Ein erheblicher Informationszuwachs besteht somit nicht. 

Als Vorteile wurden in einer öffentlichen Anhörung des Finanzausschusses des Deutschen Bundestages unter anderem aufgeführt, dass bei Zahlungen des Staates an den Bürger diese nun direkt an den Bürger erfolgen könnten, beispielsweise Bürgergeld oder Kindergeld. Somit könnten Zwischenschritte bei der Auszahlung von Hilfsleistungen und sonstigen staatlichen Geldern, den jeweils berechtigten Bürgern schneller und unkomplizierter zur Verfügung gestellt werden. Hierbei sollte indes berücksichtigt werden, dass hinsichtlich staatlicher Subventionen Vorsicht an den Tag zu legen ist und die direkte Möglichkeit der Leistungszuwendung sich nicht auf den Umfang der Leistungen auswirkt. 

Digitaler Euro: Wie geht es weiter?  

Zwar wird eine Einführung des digitalen Euros zum ursprünglichen Termin 2026 inzwischen für unwahrscheinlich gehalten, jedoch ist mit der Einführung spätestens 2028 zu rechnen. Gerade im Hinblick auf den Schutz europäischer Kundendaten und der Zukunftsfähigkeit des Euros als einheitliche Währung , sind die europäischen Gesetzgebungsorgane besonders interessiert daran dem digitalen Euro zu einem baldigen und erfolgreichen Start zu verhelfen. Welche Folgen dies für Zahlungsdienstleister, Unternehmen und Verbraucher im Einzelnen bedeutet, bleibt noch abzuwarten. In jedem Fall ist davon auszugehen, dass mit dem digitalen Euro zahlreiche Erleichterungen im Alltag aller einhergehen werden. 

Zudem bedarf ein digitaler Euro eines entsprechenden Rückhalts in der Gesellschaft, was angesichts eher zögerlicher Umfragewerte noch abzuwarten bleibt und letztlich davon abhängt, ob der digitale Euro für den Verbraucher tatsächliche Vorteile mit sich bringt. Einen solchen Vorteil für die Verbraucher könnte der digitale Euro insbesondere in der Verbindung mit den erläuterten smart contracts mit sich bringen, um wiederkehrende, vorhersehbare Zahlungen ohne weiteren Input durch den Benutzer auszulösen und so alltägliche Abläufe einfacherer und schneller zu gestalten.

Der Beitrag Der digitale Euro – gekommen um zu bleiben erschien zuerst auf CMS Blog.

Stell dir vor, du hast die Auftragsbücher voll und weißt nicht, wie du die dringenden Anliegen deiner Kunden befriedigen sollst, weil dem Einsatz deiner Mitarbeiter* durch das Arbeitszeitgesetz enge Grenzen gesetzt sind. Und dann kommt die gute Fee und teilt dir mit, dass ihr sehr daran gelegen ist, dass die Abläufe in deutschen Unternehmen reibungslos über die Bühne gehen. Daher soll für einen Zeitraum von zehn Wochen Wunschzeit in deinem Betrieb sein: Tägliche Höchstarbeitszeit von 12 Stunden, Arbeiten notfalls auch an Sonn- und Feiertagen, wöchentliche Höchstarbeitszeit von 60 Stunden und das Ganze im Zweifel ohne Bewilligung der Aufsichtsbehörde. 

Gibt’s nicht? Gibt’s doch!

NRW erlässt eine Ausnahmebewilligung für das Arbeitszeitgesetz

NRW macht es möglich. Und zwar für König Fußball: Das Land spielt mit vier von zehn Austragungsorten in Köln, Düsseldorf, Dortmund und Gelsenkirchen in der 1. Liga der Fußball-EM. Um einen reibungslosen Ablauf dieses Großereignisses gewährleisten und den Beteiligten Planungssicherheit sowie gute und verlässliche Rahmenbedingungen verschaffen zu können, hat es per Allgemeinverfügung eine Ausnahmebewilligung nach § 15 Abs. 2 ArbZG für den Zeitraum vom 15. Mai 2024 bis zum 31. Juli 2024 erlassen. 

Abweichend von § 3 und § 11 Abs. 2 ArbZG dürfen Personen, die zur Vorbereitung, Teilnahme, Durchführung und Nachbereitung der UEFA EURO 2024 beauftragt oder akkreditiert werden, täglich – erforderlichenfalls auch an Sonn- und Feiertagen – bis zu 12 Stunden beschäftigt werden, insbesondere in folgenden Branchen und Bereichen:

• Repräsentanten, Mitarbeiter und Beauftragte von Verbänden und Organisationen, insbesondere der UEFA, einschließlich Schiedsrichtern und Schiedsrichterassistenten, Spieler sowie anderes bezahltes Personal der teilnehmenden Mannschaften
• Vertreter und Mitarbeiter der offiziellen Verbands- und Lizenzpartner
• Vertreter der Medien einschließlich des technischen Personals sowie die Mitarbeiter der Fernseh- und Medienpartner
• Mitarbeiter des Facility-Managements und
• Service (Hospitality), Wach- und Sicherheitsgewerbe. 

Dabei ist zu berücksichtigen, dass eine wöchentliche Arbeitszeit von 60 Stunden nicht überschritten wird und nach § 3 Abs. 2 Nr. 1 ArbSchG Beginn und Ende der tatsächlich geleisteten Arbeitszeiten sowie Lage und Dauer der Ruhepausen für alle betroffenen Beschäftigten aufgezeichnet werden. Sehr spannend ist hier übrigens, dass sich die Allgemeinverfügung an dieser Stelle offensichtlich an den Vorgaben der umstrittenen BAG-Entscheidung vom 13. September 2022 – 1 ABR 22/21 orientiert, in welcher das Gericht aus der arbeitsschutzrechtlichen Generalklausel des § 3 Abs. 2 Nr. 1 ArbSchG eine Pflicht des Arbeitgebers zur Arbeitszeiterfassung ableitet.

Darüber hinaus sieht die Allgemeinverfügung vor, dass

• die wöchentliche Arbeitszeit auch unter Einbeziehung des Sonntags 48 Stunden im Durchschnitt von 6 Kalendermonaten oder 24 Wochen nicht überschreiten darf (§ 15 Abs. 4 ArbZG), indem rechtzeitig Ausgleichszeiten gewährt werden
• für die geleistete Sonn- und Feiertagsarbeit der Ersatzruhetag in der gesetzlich vorgeschriebenen Frist von 14 Tagen erfolgen muss (§ 11 Abs. 3 ArbZG)
• mindestens 15 Sonntage im Jahr beschäftigungsfrei bleiben müssen (§ 11 Abs. 1 ArbZG) 
• alle Tätigkeiten im Rahmen der Vorbereitung, Teilnahme, Durchführung und Nacharbeitung der UEFA EURO 2024 nach §§ 5 und 6 ArbSchG im Rahmen der Gefährdungsbeurteilung zu ermitteln, zu bewerten und zu dokumentieren sind. 

Weiter heißt es in der Allgemeinverfügung wörtlich: Die genannten Ausnahmeregelungen dürfen ohne gesonderte Bewilligung der Aufsichtsbehörde in Ausnahmefällen (z.B. logistische Probleme, nicht abschätzbare Bedarfslage) in Anspruch genommen werden, soweit die Verlängerung nicht durch vorausschauende organisatorische Maßnahmen einschließlich notwendiger Arbeitszeitdisposition, durch befristete Einstellungen oder sonstige personalwirtschaftliche Maßnahmen vermieden werden kann. Die genannten Ausnahmeregelungen gelten für Beschäftigte über 18 Jahre. Für minderjährige Beschäftigte bleibt es bei den Regelungen des Jugendarbeitsschutzgesetzes. Für schwangere und stillende Frauen gelten die Regelungen des Mutterschutzgesetzes. Diese Bewilligung ersetzt nicht die Mitbestimmungsrechte des Betriebs- bzw. des Personalrates nach den jeweiligen Betriebs- bzw. Personalvertretungsgesetzen.

Wortgleiche Allgemeinverfügungen wurden von den einzelnen Bezirksregierungen in NRW erlassen. Hier ein beispielhafter Link auf die Allgemeinverfügung der Bezirksregierung Köln.

Aktuelle Ausnahmen von der tägliche Höchstarbeitszeit reichen nicht aus, um bestimmte Tätigkeiten zu erledigen

Ein 

internationales Sportgroßereignis mit weitreichender Strahlkraft und dem Potenzial, eine gesellschaftliche Aufbruchsstimmung über ganz Deutschland und Europa zu erzeugen

macht also Vieles möglich. Man räumt freimütig ein, dass die im Arbeitszeitgesetz vorgesehenen Ausnahmen von der täglichen Höchstarbeitszeit für bestimmte Tätigkeiten nicht ausreichen, um die im dringenden öffentlichen Interesse zu erledigenden Arbeiten zu ermöglichen. 

Arbeitgeber, die dies lesen, könnten sich indes ein wenig „auf den Arm genommen“ fühlen. So gibt es zahlreiche andere Branchen, deren reibungsloses Funktionieren im dringenden öffentlichen Interesse liegt und die durch Fachkräftemangel, Krankheitswellen etc. an die Grenzen des Machbaren kommen.

Die Spielräume der EU-Arbeitszeitrichlinie sollten genutzt werden

Viele Unternehmer wären überglücklich, wenn Deutschland zumindest die Spielräume, die die EU-Arbeitszeitrichtlinie 2003/88/EG gewährt, ausnutzen würde – UEFA EURO 2024 hin oder her. Es wäre z.B. möglich, eine Wochenarbeitszeit von 48 Stunden vorzusehen und auf die bisher geltenden Tagehöchstarbeitszeiten zu verzichten. Nach der Arbeitszeitrichtlinie dürfen sich Arbeitnehmer sogar freiwillig zu längeren Wochenarbeitszeiten bereit erklären, sofern ihnen keine Nachteile entstehen, wenn sie dies ablehnen. Und die Arbeitszeitrichtlinie sieht vor, dass Abweichungen nicht nur für leitende Angestellte, sondern auch für sonstige Personen mit selbstständiger Entscheidungsbefugnis möglich sind. Gute Ideen für die Flexibilisierung der Arbeitszeit gibt es also durchaus und zahlreiche EU-Staaten haben diese auch umgesetzt.

Unklarheiten der Ausnahmebewilligung

Neben der allgemeinen Verwunderung über das, was König Fußball alles möglich macht, besteht aber auch noch die ein oder andere kleine juristische Verwirrung:

• Unter Ziff. I. der Allgemeinverfügung heißt es, dass die Ausnahmen vom Arbeitszeitgesetz ohne gesonderte Bewilligung der Aufsichtsbehörde gelten. Unter Ziff. II. der Verfügung heißt es dann aber: „Die genannten Ausnahmeregelungen dürfen ohne gesonderte Bewilligung der Aufsichtsbehörde in Ausnahmefällen (z.B. logistische Probleme, nicht abschätzbare Bedarfslage) in Anspruch genommen werden, soweit die Verlängerung nicht durch vorausschauende organisatorische Maßnahmen einschließlich notwendiger Arbeitszeitdisposition, durch befristete Einstellungen oder sonstige personalwirtschaftliche Maßnahmen vermieden werden kann.“ Was gilt denn nun? Brauche ich gar keine Genehmigung der Aufsichtsbehörde oder brauche ich sie nur in bestimmten Ausnahmefällen nicht? 
• Die Allgemeinverfügung besagt, dass die wöchentliche Arbeitszeit auch unter Einbeziehung des Sonntags 48 Stunden im Durchschnitt von 6 Kalendermonaten oder 24 Wochen nicht überschreiten darf (§ 15 Abs. 4 ArbZG). Es müssen rechtzeitig entsprechende Ausgleichszeiten gewährt werden. Was geschieht aber mit den zahlreichen Mitarbeitern, die nur für die zehnwöchige heiße Phase der EM beschäftigt werden und deren Arbeitszeiten dementsprechend bei den „EM-Arbeitgebern“ gar nicht mehr ausgeglichen werden können?
• Die gleiche Frage stellt sich bei den 15 Sonntagen im Jahr, die mindestens beschäftigungsfrei bleiben müssen. Eine ausschließlich im Rahmen der EM beschäftigte Arbeitskraft könnte also im Prinzip zehn Wochen lang an jedem Sonntag arbeiten?! Wer sorgt denn danach dafür, dass die jährliche „Sonntag-frei-Quote“ stimmt?

Mehr Arbeitszeitflexibiltät im Alltag wäre wünschenswert

Summa summarum wäre es wünschenswert, wenn solche flexiblen Lösungen auch in den „Alltag“ Eingang fänden. Nicht nur der Milliardenmarkt Fußball verdient solche Ansätze, sondern alle Unternehmen, die dazu beitragen, den Wirtschaftsstandort Deutschland aufrecht zu erhalten und insbesondere (wieder) nach vorn zu bringen.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet

Der Beitrag Ein (zeitlich begrenzter) Traum wird wahr! erschien zuerst auf CMS Blog.

Die korrekte rechtliche Einordnung und damit auch die Frage, welche rechtlichen Folgen es für den Arbeitgeber* haben kann, wenn im Unternehmen der Vorwurf einer im alltäglichen Sprachgebrauch so bezeichneten „sexuellen Belästigung“ erhoben wird, ist trotz – oder gerade wegen – umfangreicher gesetzgeberischer Reformbemühungen weiterhin mit einigen Unsicherheiten behaftet. Dies gilt insbesondere für Fälle ohne körperliche Berührung wie dem sog. „Catcalling“.

Dieser Beitrag gibt einen Überblick darüber, inwieweit die rechtliche Einordnung von als sexuell belästigend empfundenen Verhaltensweisen am Arbeitsplatz für Arbeitgeber von Relevanz ist, welche dahingehenden praktischen Herausforderungen sich unter Berücksichtigung der Reformierung des Sexualstrafrechts durch den Gesetzgeber stellen und wie vor diesem Hintergrund insbesondere mit Formen von verbalen Belästigungen wie dem sog. „Catcalling“ umzugehen ist.  

Phänomen der sexuellen Belästigung am Arbeitsplatz

Dass übergriffige, sexuell motivierte Äußerungen und andere nonverbale Formen sexueller Belästigung Frauen und Männern nicht nur im privaten Umfeld oder in der Öffentlichkeit, sondern auch am Arbeitsplatz begegnen, ist bereits lange bekannt. So gaben u.a. auch im Rahmen einer Umfrage der Antidiskriminierungsstelle des Bundes aus dem Jahr 2015 die Hälfte der 1002 Befragten an, bereits eine gesetzlich verbotene sexuelle Belästigung am Arbeitsplatz erlebt zu haben. In diesem Kontext fällt auch immer wieder der Begriff des sog. „Catcallings“, das umgangssprachlich als verbale sexuelle Belästigung eingeordnet werden könnte. Konkret fallen dabei unter Catcalling sexuell konnotierte Verhaltensweisen wie anzügliche Bemerkungen, Pfeif- oder Kussgeräusche oder auch obszöne Gesten. Anhand der Tatsache, dass in der genannten Umfrage aus dem Jahr 2015 speziell verbale Formen sexueller Belästigung von den Befragten am häufigsten erlebt wurden, wird die praktische Relevanz verbaler Formen sexueller Belästigung und somit auch des sog. Catcalling zweifellos deutlich.

Spätestens seitdem Unternehmen zur Unterhaltung von Whistleblower-Systemen verpflichtet sind, steht auch den von einer sexuellen Belästigung betroffenen Personen die Möglichkeit offen, durch die Erteilung entsprechender Hinweise das Pflichtenprogramm des Hinweisgeberschutzgesetzes auszulösen, womit das Unternehmen in aller Regel zu einer – wenigstens rudimentären – rechtlichen Prüfung und Ermittlung des Sachverhalts verpflichtet wird.

Ungeachtet des Umstands, dass Unternehmen unter dem AGG ggf. bereits unterhalb der Strafbarkeitsschwelle zur Ergreifung von Aufklärungs- und Präventivmaßnahmen verpflichtet sein können, ist die für die Entscheidung über das weitere Vorgehen und insbesondere die unternehmensseitig zu ergreifenden Maßnahmen zunächst entscheidende Weichenstellung die Beantwortung der Frage, ob das betreffende Verhalten als strafrechtlich relevant einzuordnen ist oder nicht. Dies gilt nicht zuletzt vor dem Hintergrund, dass das Unternehmen insbesondere bei strafrechtlich relevantem Verhalten entsprechende Ermittlungen anstoßen und begleiten muss. Dabei lässt sich die Frage nach dem Vorliegen eines strafrechtlich relevanten Verhaltens, speziell wenn es „lediglich“ um verbales Verhalten geht, jedoch nicht ohne Weiteres beantworten. 

Dies mag womöglich auch damit zusammenhängen, dass der Gesetzgeber zur Erhöhung des Schutzniveaus für die Opfer von Sexualstraftaten in den letzten Jahren umfangreiche Änderungen am Sexualstrafrecht vorgenommen hat. Denn die damit einhergehende Verschiebung und durch öffentliche Diskussionen begleitete Neujustierung der Strafbarkeitsschwelle hat gleichzeitig zu vielen neuen Unsicherheiten und Abgrenzungsfragen geführt, die die Handhabung des konkreten Einzelfalles nicht immer vereinfacht haben. Insbesondere in Situationen, in denen ambivalentes Verhalten Gegenstand der (unternehmensinternen oder staatlichen) Ermittlungen bildet, muss oft die Frage beantwortet werden, ab wann von den Betroffenen als belästigend empfundene Verhaltensformen tatsächliche die Schwelle zu strafrechtlich relevanten Belästigungshandlungen überschreiten. 

Reform des Sexualstrafrechts

Insbesondere um bestehende Schutzlücken für die Opfer von Sexualdelikten zu schließen, hat der Gesetzgeber das Sexualstrafrecht im November 2016 grundlegend reformiert und verschärft. Nicht zuletzt die Ereignisse der “Kölner Silvesternacht” 2015 wirkten in der öffentlichen Debatte dabei wie ein Treiber der Reformbestrebungen. Weiteren Anstoß für die Reformen stellte zudem die Umsetzung von Art. 36 der sog. Istanbul-Konvention aus dem Jahr 2011 dar, der die Strafbarkeit vorsätzlicher, nicht einverständlicher sexueller Handlungen fordert. Ziel des deutschen Reformgesetzgebers war es erklärtermaßen, dieser Konvention durch die Anpassungen im Sexualstrafrecht besser gerecht zu werden.

Änderungen ergeben sich damit insbesondere mit Blick auf das Rechtsgut der sexuellen Selbstbestimmung. Neben der Umgestaltung des § 177 StGB (Sexueller Übergriff; sexuelle Nötigung; Vergewaltigung) wurden im Zuge der Reform auch zwei Grundtatbestände neu eingeführt, namentlich der § 184i StGB (Sexuelle Belästigung) und der § 184j StGB (Straftaten aus Gruppen). 

Anwendungsbereich des neuen §184i StGB (Sexuelle Belästigung)

Der im Zuge der vorgenommenen Reformen wohl wesentlichste Paradigmenwechsel besteht dabei in der Implementierung der „Nein-heißt-Nein-Lösung“, wodurch nach dem gesetzgeberischen Leitbild die Strafbarkeitsschwelle nicht mehr wie bisher grundsätzlich erst bei der Überwindung des Widerstandes des (Nötigungs-)Opfers überschritten wird, sondern es fortan auf den erkennbar entgegenstehenden Willen des Opfers ankommt, unabhängig davon, ob dieses sich wehrt oder in einer schutzlosen Lage befindet.

Der Gesetzgeber kam den Forderungen nach einer Neujustierung des in den Strafvorschriften zum Ausdruck kommenden Unrechtsverständnisses dabei u.a. mit der Schaffung des neuen § 184i StGB nach. Der neue Tatbestand setzt eine körperliche Berührung des Opfers in sexuell bestimmter Weise voraus, durch die sich das Opfer sexuell belästigt fühlt. So erfasst der Tatbestand vor allem solche Berührungen, die typischerweise eine intimere Beziehung zwischen den Beteiligten voraussetzen, beispielsweise ein Kuss auf den Mund oder ein Streicheln der Innenseite des Oberschenkels. Nicht vom Tatbestand erfasst sind (auch nach der Reform) kontaktlose sexuelle Handlungen wie etwa das „Catcalling“. 

Jedoch bestehen auch bei der Anwendung der durch die Strafrechtsreform von 2016 geschaffenen Normen zum Teil erhebliche Abgrenzungs- und Auslegungsschwierigkeiten. Dies beginnt schon mit der Auslegung des Merkmals „in sexuell bestimmter Weise“. Aus dem Wortlaut geht nicht eindeutig hervor, ob dieser Begriff rein objektiv oder aus Sicht des Täters oder Opfers zu verstehen ist oder ob es sich um eine Mischung beider Varianten handelt. Mag diese Frage bei eindeutig sexuell konnotierten Handlungen noch leicht zu beantworten sein, ergeben sich gerade bei äußerlich ambivalenten Berührungen, wie etwa dem im Regierungsentwurf herangezogenen Kuss auf die Wange, entsprechende Unklarheiten. Ob ein solch ambivalentes Verhalten, das auch außerhalb intimer Beziehungen üblich bzw. sozialadäquat sein kann, als straflose „Ungehörigkeit“ oder als strafbare sexuelle Belästigung zu bewerten ist, kann je nach dem, ob man ein subjektives oder objektives Verständnis zugrunde legt, durchaus unterschiedlich bewertet werden.

Praktische Unsicherheiten ergeben sich ebenfalls mit Blick auf das Tatbestandsmerkmal der (sexuellen) Belästigung. So kommt es nach überwiegender Auffassung vor allem darauf an, dass bei dem Opfer ein Gefühl der subjektiven Belästigung hervorgerufen wird. Dabei reicht in der Praxis bereits die plausible Darlegung einer zu der subjektiven Empfindung hinzutretenden Berührung in sexueller Weise aus, um den Anfangsverdacht einer Straftat zu begründen. Eine überwiegende Zahl der Fälle, in denen von der hinweisgebenden Person bzw. dem Anzeigeerstatter eine körperliche Berührung angezeigt wird, dürfte daher den Voraussetzungen genügen, die zur Einleitung eines staatlichen Ermittlungsverfahrens führen oder das Unternehmen zur Vornahme einer internen Sachverhaltsaufklärung verpflichten. 

Nicht zuletzt die beschriebenen Unsicherheiten in der Auslegung des Tatbestands sowie die besonderen Schwierigkeiten, die bei der Ermittlung insbesondere subjektiver Tatbestandskomponenten auftreten, dürften aber auf der anderen Seite zumindest bei der Beurteilung ambivalenter Situationen oft dazu führen, dass in vielen der angezeigten Fälle letztlich kein Tatnachweis zu führen ist.  

Hierdurch droht letztlich die für alle Beteiligten unbefriedigende Situation, dass das Unternehmen zwar zur Ergreifung kosten- und ressourcenintensiver Ermittlungen angehalten ist, diese aber aufgrund der fehlenden Beweisbarkeit zu keinen eindeutigen Ergebnissen führen.  

Und was gilt bei Fällen ohne körperliche Berührung? 

Hinzu kommt, dass gerade ein sehr häufig auftretendes und als belästigend empfundenes Phänomen trotz der öffentlichkeitswirksam betriebenen Gesetzesverschärfungen gerade nicht von den neuen Strafbarkeitsregeln erfasst ist: das sog. „Catcalling“. 

Denn es bleibt auch nach den geschilderten Reformen dabei, dass das deutsche Strafrecht (noch) keinen eigenständigen Straftatbestand des „Catcallings“ kennt. Daraus folgt zwar nicht zwangsläufig, dass jede Form der rein verbalen sexuellen Belästigung straffrei gestellt wäre. Da eine Strafbarkeit wegen sexueller Belästigung als sog. „Hands-on-Delikt“ eine körperliche Berührung des Opfers voraussetzt (s.o.), verbleibt bei rein verbalen Ausfälligkeiten aber nach aktueller Rechtslage allenfalls eine Strafbarkeit wegen Beleidigung gem. § 185 StGB. 

Hier ist jedoch zu beachten, dass die Beleidigung ein Straftatbestand zum Schutz der persönlichen Ehre ist. Daher können sexuell unerwünschte Bemerkungen allenfalls dann eine strafbare Beleidigung darstellen, wenn der Äußerung zugleich ehrverletzender Charakter zukommt. Nach der Rechtsprechung des Bundesgerichtshofs liegt im Zusammenhang mit der Vornahme sexuell motivierter Äußerungen ein Angriff auf die Ehre nur vor, wenn der Täter damit zum Ausdruck bringt, der oder die Betroffene weise einen seine Ehre mindernden Mangel auf (BGH, Beschluss v. 12. November 2017 – 2 StR 415/17). Allein die sexuelle Motivation der Aussage begründet danach für sich genommen die Strafbarkeit noch nicht. Somit sind – nach wie vor – Äußerungen, die zwar einen sexuellen Bezug aufweisen, die betroffene Person jedoch nicht herabwürdigen, sondern – wenn auch unwillkommen – positiv kennzeichnen, nicht strafbar.  

Ungeachtet rechtlicher Unsicherheiten im Einzelfall: Aufklärungs- und Präventionsarbeit auf Arbeitgeberseite geboten

Insgesamt bewegt sich das Sexualstrafrecht in einem fortwährenden Spannungsverhältnis. Auf der einen Seite entwickelte sich in den letzten Jahren ein immer stärker werdendes gesellschaftliches Bedürfnis nach einem verbesserten Schutz der sexuellen Selbstbestimmung. Diese Entwicklung wird zugleich von einem unternehmensseitig stetigen Anstieg an Compliance-Pflichten flankiert. Ein außerordentlich häufig vorkommendes, umgangssprachlich als „sexuelle Belästigung“ bezeichnetes Phänomen steht dabei, obwohl der Straftatbestand des § 184i StGB selbst die Überschrift „Sexuelle Belästigung“ trägt, trotz der erfolgten Verschärfungen gerade nicht unter Strafe. Die Fälle, in denen Betroffene über neu eingerichtete Meldewege zwar subjektiv als Belästigung empfundene Vorfälle melden, bei denen aber entweder aufgrund mangelnder Beweislage oder aufgrund eines Missverständnisses bezüglich des juristischen Bedeutungsgehaltes des Begriffs einer „sexuellen Belästigung“ am Ende letztlich keine Feststellung von strafrechtlich relevantem Fehlverhalten steht, dürften sich in Zukunft häufen.

Umso wichtiger ist es für Unternehmen, durch Aufklärungs- und Präventionsarbeit auf der „Täterseite“ für die nötige Sensibilisierung zu sorgen und auf die steigende auch strafrechtliche Relevanz von belästigenden Verhaltensweisen hinzuweisen, die vor wenigen Jahren nicht geeignet gewesen wären, einen strafrechtlichen Anfangsverdacht zu begründen. Darüber hinaus sollten etwaige „Opfer“ potenzieller Belästigungen auch vonseiten der Unternehmen ermutigt werden, die erlebten Vorfälle zu melden und so eine entsprechende Aufklärung sowie Ahndung zu ermöglichen, wenngleich dabei insbesondere Fälle des sog. „Catcallings“ oder beispielsweise auch Situationen, bei denen es womöglich zu ungewollten körperlichen Berührungen kam, nicht „automatisch“ zu einer Bestrafung der verdächtigten „Täter“ führen müssen.  

In unserer CMS-Blogserie informieren wir Sie mit Beiträgen über das Phänomen #MeToo im Kontext der Compliance-Beratung.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag #MeToo: sexuelle Belästigung am Arbeitsplatz und die potenzielle Strafbarkeit von „Catcalling“ erschien zuerst auf CMS Blog.

Am 1. März 2023 ist das UmRUG (Gesetz zur Umsetzung der EU-Umwandlungsrichtlinie) in Kraft getreten, in dessen Rahmen die rechtlichen Grundlagen für den Formwechsel und die Spaltung geschaffen und für grenzüberschreitende Umwandlungsvorgänge auf ein neues Fundament gestellt wurden. Im Zuge der Gesetzesänderung wurde jedoch der Anwendungsbereich des Umwandlungsgesetzes nicht auf in Drittstaaten ansässige Gesellschaften, also auf Gesellschaften, die ihren Sitz außerhalb der EU oder des EWR (zum Beispiel die Schweiz) haben, ausgeweitet. Das ist aus Sicht des deutschen Gesetzgebers verständlich. Denn schließlich enthält die EU-Umwandlungsrichtlinie nur Vorgaben, welche die Mitgliedstaaten unmittelbar betreffen. Für die Anwendungspraxis wäre es allerdings wünschenswert gewesen, den räumlichen Anwendungsbereich – zumindest unter bestimmten Voraussetzungen – auszudehnen, wie es bereits andere Mitgliedstaaten getan haben. 

Es sind somit weiterhin lediglich solche Kapitalgesellschaften, die nach dem Recht eines EU- oder EWR-Staates gegründet worden sind und ihren satzungsmäßigen Sitz, ihre Hauptverwaltung oder ihre Hauptniederlassung in einem EU- oder EWR-Staat haben, verschmelzungsfähig (§ 306 UmwG, § 122b UmwG a.F.). Da die Regelungen zur grenzüberschreitenden Verschmelzung auf die Spaltung und den Formwechsel übertragen werden, erlaubt das deutsche Recht daher auch nach Inkrafttreten des UmRUG keine Umwandlungsvorgänge (Verschmelzung, Spaltung, Formwechsel) mit Gesellschaften aus einem Drittstaat (Nicht-EU- oder EWR-Staat). Dies ist insbesondere auch deswegen erstaunlich als der deutsche Gesetzgeber für das Umwandlungssteuerrecht entschieden hat, dass Drittstaatenumwandlungen steuerneutral möglich sind – eine Regelung, die ohne entsprechende Flankierung durch eine Änderung des UmwG keinen Anwendungsbereich hat.

In der Praxis sind damit Umwandlungsvorgänge mit Drittstaaten sehr schwierig – aber nicht unmöglich.

Umweg über andere EU- oder EWR-Staaten

Die EU-Umwandlungsrichtlinie ermöglicht grenzüberschreitende Umwandlungen grundsätzlich nur innerhalb der EU und des EWR. Die Mitgliedstaaten der EU und des EWR sind jedoch nicht verpflichtet, sich auf das Regelungskonzept der EU-Umwandlungsrichtlinie zu beschränken (im Sinne einer Vollharmonisierung). Vielmehr können sie auch darüberhinausgehende Regelungen erlassen und den sachlichen oder räumlichen Anwendungsbereich ausdehnen (für die Spaltung zur Aufnahme hat der deutsche Gesetzgeber beispielsweise eine solchen Weg im Hinblick auf den sachlichen Anwendungsbereich gewählt). 

Einige EU-Mitgliedstaaten wie Tschechien oder Ungarn sind dem deutschen Weg gefolgt und lassen keine Umwandlungen mit Kapitalgesellschaften aus Drittstaaten zu. 

In anderen EU-Jurisdiktionen wie Italien, Spanien, Österreich oder Luxemburg sind grenzüberschreitende Umwandlungen mit Drittstaaten unter bestimmten Voraussetzungen zulässig. So fordert das italienische Recht beispielsweise eine mit der Rechtslage nach der EU-Umwandlungsrichtlinie vergleichbare Gesetzeslage des Drittstaates für grenzüberschreitende Umwandlungen. In Österreich ist die Vergleichbarkeit der Rechtsform der beteiligten Drittstaatengesellschaft mit einer EU- oder EWR-Kapitalgesellschaft Voraussetzung. Auch wenn es dafür keine Verankerung im Gesetz gibt, haben österreichische Firmenbuchgerichte bereits in der Vergangenheit Verschmelzungen mit Schweizer Gesellschaften zugelassen. 

Aus deutscher Sicht besteht damit – wie bereits vor Inkrafttreten des UmRUG – grundsätzlich die Möglichkeit, durch eine vorgeschaltete Umwandlungsmaßnahme die Drittstaatengesellschaft in einen EU- oder EWR-Staat, dessen Recht Drittstaatenumwandlungen zulässt, zu überführen. Anschließend kann dann eine Umwandlungsmaßnahme unter Beteiligung einer deutschen Kapitalgesellschaft durchgeführt werden (Beispiel 1). Oder es wird umgekehrt eine deutsche Gesellschaft zunächst in einen EU-/EWR-Staat überführt, um dann eine weitere Umwandlungsmaßnahmen unter Beteiligung eines Drittstaates vorzunehmen (Beispiel 2).

Beispiel 1: Verschmelzung einer Schweizer Gesellschaft mit einer österreichischen Gesellschaft, die anschließend mit einer deutschen Gesellschaft verschmolzen wird.

Beispiel 2: Verschmelzung einer deutschen Gesellschaft nach der EU-Umwandlungsrichtlinie in eine italienische Gesellschaft, die anschließend in die Schweiz formgewechselt wird.

Sonderfall grenzüberschreitender Formwechsel mit Drittstaatsbeteiligung

Umstritten und nicht rechtssicher geklärt ist in Bezug auf grenzüberschreitende Umwandlungen die Frage, ob sogenannte Hereinumwandlungen, das heißt Verschmelzungen, Formwechsel oder Spaltungen aus einem anderen EU-/EWR-Staat nach Deutschland, möglich sind, wenn ein vorgelagerter Formwechsel aus einem Drittstaat in den Wegzugs-EU-/EWR-Staat erfolgt ist.

Beispiel: Formwechsel einer Schweizer Gesellschaft in eine österreichische Gesellschaft, die anschließend mit einer deutschen Gesellschaft verschmolzen wird.

Der an der Umwandlungsmaßnahme beteiligte Rechtsträger muss gemäß § 306 Abs. 1 Nr. 1 a) UmwG nach dem Recht eines EU/EWR-Staates „gegründet″ worden sein. Gesellschaftsrechtlich wird der Formwechsel grundsätzlich wie eine Neugründung der Gesellschaft im Zuzugsstaat behandelt und es müssen in der Regel die Gründungsvorschriften des Zuzugsstaates eingehalten werden, sodass einiges dafür spricht, den grenzüberschreitenden Formwechsel aus einem Drittstaat in einen EU- oder EWR-Mitgliedstaat als „Gründung″ im Sinne der Vorschrift anzusehen. Die ursprünglich in einem Drittstaat gegründete Gesellschaft wäre dann durch den Formwechsel in dem EU-/EWR-Staat neu gegründet worden und könnte beteiligter Rechtsträger an einer Umwandlungsmaßnahme sein. Andererseits lässt der Formwechsel die rechtliche Identität der umwandelnden Gesellschaft unberührt, sodass zweifelhaft ist, ob der Formwechsel tatsächlich eine Neugründung im Sinne des Umwandlungsrechts ist.

Bis zu einer Klärung dieser Frage und um Risiken auszuschließen, sollte deshalb aus deutscher Sicht der rechtssichere Weg über eine vorgeschaltete Verschmelzung (statt eines Formwechsels) gewählt werden, soweit eine Abstimmung mit dem zuständigen Handelsregister dazu nicht möglich ist.

Sonstige Möglichkeiten – Umwandlungen mit US-Bezug

Vielfach diskutiert werden Ansätze, aufgrund völkerrechtlicher Verträge grenzüberschreitende Umwandlungen in Deutschland zuzulassen. Insbesondere der Freundschaftsvertrag mit den USA vom 29. Oktober 1954 wurde bereits in der Vergangenheit zum Anlass genommen, die rechtliche Zulässigkeit von Umwandlungsmaßnahmen zwischen deutschen und amerikanischen Gesellschaften zu thematisieren. In diesem Kontext stellen sich jedoch verschiedene rechtliche Hindernisse. Der deutsche Gesetzgeber hat in § 306 UmwG eine eindeutige Entscheidung darüber getroffen, welche Gesellschaften für grenzüberschreitende Umwandlungen nach deutschem Recht in Frage kommen (Gesellschaften aus EU-/EWR-Staaten). Ausnahmen von diesem Grundsatz, insbesondere zugunsten völkerrechtlicher Abkommen, wurden nicht vorgesehen. Es bestehen zudem keine vergleichbaren Standards bezüglich der Umwandlungsverfahren – abgesehen davon, dass das Recht der einzelnen US-Bundesstaaten sich diesbezüglich unterscheidet. 

Auf der anderen Seite bietet der erwähnte Freundschaftsvertrag Spielraum für Auslegung, der in der Literatur vielfach zu einer Bejahung grenzüberschreitender Umwandlungen zwischen den USA und Deutschland führt. Auch diese Betrachtung blendet jedoch nicht aus, dass erhebliche praktische Umsetzungsschwierigkeiten aufgrund der völlig unterschiedlichen nationalen Rechtsgrundlagen bestehen.

Es sollte aufgrund der bestehenden Rechtsunsicherheit bei Umwandlungsvorgängen mit US-Bezug der Weg über eine Drittstaatenumwandlung mit einem EU- oder EWR-Staat gewählt werden, der Drittstaatenumwandlungen zulässt. Die rechtlichen Konsequenzen einer solchen Umwandlungsmaßnahmen sollten zudem sorgfältig geprüft werden (beispielsweise die Auswirkungen auf den Gläubigerschutz oder Arbeitnehmerrechte).

Praxisbeispiel: In der Praxis verprobt wurde beispielsweise bereits die grenzüberschreitende Umwandlung einer Holdinggesellschaft in der Rechtsform einer LLC (Delaware, USA) nach Spanien. Delaware ist bekannt für sein besonders liberales Unternehmens- und Gesellschaftsrecht. Allerdings müssen im Einzelfall sowohl die Geeignetheit der US-amerikanischen Gesellschaft für eine Umwandlung als auch die Voraussetzungen des Umwandlungsrechts des Zuzugsstaates umfassend geprüft und berücksichtigt werden.

Bewertung

Drittstaatenumwandlungen sind auch nach dem UmRUG in Bezug auf deutsche Gesellschaften möglich – wenn auch über Umwege. Sie erfordern eine sorgfältige, auf den Einzelfall zugeschnittene Vorbereitung und Umsetzung in enger Abstimmung mit den deutschen Registergerichten. Trotz vieler Unwägbarkeiten und ungeklärter Rechtsfragen lässt sich über maßgeschneiderte Lösungen in vielen Fällen ein gangbarer Weg finden.

Es bleibt abzuwarten, ob der deutsche Gesetzgeber auf die deutlich wahrnehmbare Kritik an der fehlenden Öffnung des UmwG für Drittstaatenumwandlungen reagiert. Im Rahmen des UmRUG wurde diese Chance jedenfalls nicht genutzt.

In unserem CMS-Blog informieren wir Sie in unserer Blog-Serie „Grenzüberschreitende Umwandlungen“ fortlaufend mit aktuellen Beiträgen zu diesen Themen. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert. Weitere Informationen zum Thema Umwandlungen finden Sie zudem auf unserer Seite cms.law.

Haben Sie Anregungen zu weiteren Themen rund um grenzüberschreitende Umwandlungen, die in unserer Blog-Serie nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Der Beitrag Grenzüberschreitende Umwandlungen mit Drittstaaten erschien zuerst auf CMS Blog.

Die Auslöser für Gesellschafterstreitigkeiten* sind vielfältig: Unterschiedliche Erwartungen hinsichtlich der strategischen Ausrichtung der Gesellschaft, Personalentscheidungen oder die Sanierungsstrategie. Allen gemeinsam ist, dass sie sich negativ auf die Unternehmensführung und damit schlimmstenfalls auch auf den Fortbestand des Unternehmens auswirken. Gerade in Fällen, in denen Gesellschafterstreitigkeiten die Ursache bzw. Folge einer Unternehmenskrise sind, stellt sich die Frage: „Sanieren oder Ausscheiden?“. Mögliche Lösungsansätze für Gesellschafterstreitigkeiten im Krisenkontext bietet auch das Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (kurz: StaRUG). 

StaRUG als Werkzeug zur Lösung von Gesellschafterstreitigkeiten

Finden die Anteilsinhaber nicht zu einer einvernehmlichen Sanierungslösung, bietet das StaRUG verschiedene Möglichkeiten, den „blockierenden“ Anteilsinhaber auch gegen seinen Willen in die Sanierung miteinzubeziehen. Mit einem Restrukturierungsplan kann unter anderem, wie durch einen Insolvenzplan, mit jeder gesellschaftsrechtlich zulässigen Regelung in die Rechte der Anteilsinhaber eingegriffen werden (§ 7 Abs. 4 S. 5 StaRUG). Möglich sind insbesondere ein Debt-Equity-Swap, eine Kapitalherabsetzung mit anschließender Kapitalerhöhung, ein Bezugsrechtsausschluss oder eine Planregelung, die ein Verkaufsangebot der Geschäftsanteile der „blockierenden“ Anteilsinhaber vorsieht. 

Den vorgenannten gesellschaftsrechtlichen Restrukturierungsmaßnahmen ist dabei gemein, dass diese stets Auswirkungen auf die Rechtsstellung der Anteilsinhaber haben. Gerade im Kontext einer Unternehmenskrise, die durch Unstimmigkeiten unter den Anteilsinhabern ausgelöst oder zumindest verstärkt wurde, werden die zur Umsetzung vorgeschlagenen gesellschaftsrechtlichen Restrukturierungsmaßnahmen nicht von allen Anteilsinhabern gleichermaßen befürwortet. Dies vor allem dann, wenn die Restrukturierung nicht nur dazu genutzt werden soll die finanzwirtschaftliche Schieflage des Unternehmens zu beheben, sondern gleichzeitig auch eine Restrukturierung auf Governance-Ebene erfolgen soll, indem ein Teil der Anteilsinhaber aus dem Unternehmen „gedrängt“ wird. 

Letzteres wird in der Praxis vor allem im Wege eines Kapitalschnitts mit anschließendem Bezugsrechtsausschluss vollzogen. Ob der Bezugsrechtsausschluss dabei nur gegenüber einem Teil der Anteilsinhaber erfolgt oder dieser gar alle Anteilsinhaber umfasst, um einen Investor als neuen Alleininhaber zu implementieren, hängt von der Ausgangslage ab. Der Umstand, dass das StaRUG den Eingriff in Rechte der Anteilsinhaber ausdrücklich zulässt, darf aber nicht darüber hinwegtäuschen, dass nach wie vor einige (ungeklärte) Fallstricke bestehen, die es bei einer Restrukturierung unter Einwirkung auf die Rechte der Anteilsinhaber zu beachten gilt. Dies betrifft zum einen die Frage, ob für die Anzeige der Restrukturierungssache nach § 31 Abs. 1 StaRUG ein Beschluss der Anteilsinhaber notwendig ist. Zum anderen können sich aufgrund von strategischen Erwägungen aus Sicht des Planerstellers aber auch Fragen zur Gruppenanzahl oder der Gruppeneinteilung ergeben. Gerade Erwägungen im Hinblick auf die Gruppenanzahl-/einteilung sind mitunter von entscheidender Bedeutung, wenn mit Hilfe des Plans auch Gesellschafterstreitigkeiten gelöst werden sollen.

Anteilsinhaberbeteiligung bei Anzeige eines StaRUG-Vorhabens notwendig?

Halten die Geschäftsleiter die Durchführung eines Restrukturierungsverfahrens für sachgerecht, stehen sie vor der Frage, ob sie hierfür die Zustimmung der Anteilsinhaber benötigen. Das Restrukturierungsverfahren wird gemäß § 31 Abs. 1 StaRUG durch Anzeige des Vorhabens in Gang gesetzt und nach § 31 Abs. 3 StaRUG rechtshängig. Im Gegensatz zu einem Insolvenzverfahren (§ 60 Abs. 1 Nr. 4, 5 GmbHG) führt die StaRUG-Anzeige zwar nicht zur Auflösung der Gesellschaft oder Änderungen in der Organisationsverfassung des Unternehmens. Nach § 32 Abs. 1 S. 1, § 43 Abs. 1 S. 1 StaRUG sind die Geschäftsleiter allerdings ab Rechtshängigkeit der Restrukturierungssache verpflichtet, die Interessen der Gesamtheit der Gläubiger zu wahren, weshalb Widersprüche zu den Interessen der Anteilsinhaber nicht ausbleiben werden.

Nicht zuletzt dieser shift of duties, der mit der Restrukturierungsanzeige einhergeht, sowie die Möglichkeit auch weitreichende Eingriffe in die Rechte der Anteilsinhaber vorzunehmen, haben dazu geführt, dass seit der Einführung des StaRUG darüber diskutiert wird, ob die Geschäftsleiter für die Restrukturierungsanzeige die vorherige Zustimmung der Anteilsinhaber benötigen. 

Hier ist zunächst zwischen dem Erfordernis eines Beschlusses im Innenverhältnis sowie Außenverhältnis einerseits und dem Erfordernis bei einer GmbH und einer AG andererseits zu unterscheiden. 

Ausgehend von der Entscheidung des AG Nürnberg (Beschluss vom 21.6.2023 – RES 397/23) hat sich bei der AG zunehmend die Ansicht durchgesetzt, dass zumindest im Außenverhältnis kein Beschluss notwendig ist, um eine wirksame Restrukturierungsanzeige vorzunehmen. Dies zumindest dann, wenn ausreichend glaubhaft gemacht wurde, dass das StaRUG-Verfahren zur Vermeidung eines Insolvenzverfahren alternativlos ist. Begründet wird dies zum einen damit, dass auch für die Einleitung eines Insolvenzverfahrens wegen drohender Zahlungsunfähigkeit nach ganz überwiegender Ansicht kein Beschluss der Anteilsinhaber erforderlich ist. Zum anderen wird aber auch darauf verwiesen, dass die Anteilsinhaber andernfalls die Möglichkeit hätten, ein aus ihrer Sicht unliebsames Restrukturierungsverfahren scheitern zu lassen, indem sie die Zustimmung verweigern, was aber dem Sinn und Zweck des StaRUG zuwiderliefe. 

Deutlich undurchsichtiger stellt sich hingegen die Rechtslage bei der GmbH dar. Hier entschied das AG Hamburg (Beschluss v. 17. März 2023 – 61c RES 1/23), dass der GmbH-Geschäftsführer zur Anzeige eines StaRUG-Vorhabens eines Gesellschafterbeschlusses mit qualifizierter Mehrheit bedarf. Das LG Hamburg (Beschluss v. 20. April 2023 – 304 T 15/23) bestätigte den Beschluss mit dem Hinweis, dass es nicht Sinn und Zweck des StaRUG sei, gesellschaftsrechtliche Zustimmungserfordernisse zu unterlaufen. In dasselbe Horn stieß auch das LG Berlin (Beschluss vom 31. Mai 2023 – 100 O 18/23), das jedenfalls dann die Zustimmung der Gesellschafterversammlung zur Einleitung des Restrukturierungsverfahrens verlangt, wenn der beabsichtigte Restrukturierungsplan in die Stellung der Gesellschafter eingreift. Die beiden vorgenannten Beschlüsse zur GmbH haben in der Literatur zum Teil Zustimmung, zum Teil aber auch Ablehnung erfahren, sodass nach wie vor nicht von einer geklärten Rechtslage ausgegangen werden kann.

Von den Auswirkungen betreffend das Außenverhältnis zu unterscheiden ist die Frage, ob ein Zustimmungsbeschluss zumindest im Innenverhältnis erforderlich ist. Auch insoweit hat sich bisher keine Meinung durchsetzen können, sodass sowohl bei der AG als auch bei der GmbH nicht ausgeschlossen werden kann, dass sich der Geschäftsleiter im Innenverhältnis schadensersatzpflichtig macht, wenn er die Anzeige des Restrukturierungsverfahrens ohne Zustimmung der Anteilsinhaber vornimmt. Eine Klärung der Rechtslage ist insbesondere auch nicht durch die Entscheidung des AG Nürnberg (Beschluss v. 21. Juni 2023 – RES 397/23) erfolgt, da das Gericht seine Entscheidung nur auf das Außenverhältnis bezog, während Fragen zum Innenverhältnis ausdrücklich offengelassen wurden.

(Reine) Gesellschafterpläne als Lösungsansatz für Gesellschafterstreitigkeiten

Neben der Frage, inwieweit die Anteilsinhaber zwingend zur Einleitung des Verfahrens eingebunden werden müssen, stellen sich weitere Fragen in Bezug auf die Rechtsstellung der Anteilsinhaber. Dies vor allem aufgrund strategischer Erwägungen, wenn der Restrukturierungsplan den Eingriff in Rechte der Anteilsinhaber vorsieht und diese erwartungsgemäß nicht von allen Anteilsinhabern gleichermaßen befürwortet werden. Für den Erfolg des Restrukturierungsplans ist es in einem solchen Fall von entscheidender Bedeutung, wie viele und welche Gruppen gebildet werden. Dies deshalb, weil die Annahme des Restrukturierungsplan nach § 25Abs. 1 StaRUG voraussetzt, dass in jeder Gruppe mindestens 75 % der Stimmrechte dem Plan zustimmen. Wird die erforderliche Mehrheit in einer der Gruppen nicht erreicht, besteht zusätzlich die Möglichkeit einer gruppenübergreifenden Mehrheitsentscheidung (sog. cross-class-cram-down) nach §§ 26 ff. StaRUG, sofern die hierfür erforderlichen Voraussetzungen erfüllt sind.

Aus Sicht des Planerstellers, welcher damit rechnet, dass es in der Gruppe der Anteilsinhaber Widerstand gegen den beabsichtigen Restrukturierungsplan gibt, muss somit sichergestellt werden, dass entweder die 75 % Mehrheit innerhalb der Gruppe erreicht wird oder aber die den Restrukturierungsplan ablehnenden Anteilsinhaber im Wege eines cross-class-cram-down überstimmt werden. 

Das Ziel, die erforderliche Stimmmehrheit für einen Plan zu erhalten, der in die Rechte der Anteilsinhaber eingreift, kann der Planersteller unter anderem dadurch erreichen, dass er einen sog. isolierten Ein-Gruppen-Plan erstellt. Ein solcher Plan sieht lediglich eine einzige Gruppe vor, nämlich die der Anteilsinhaber und gleichzeitig auch nur den Eingriff in Rechte der Anteilsinhaber. Die Rechte von Gläubigern bleiben hingegen gänzlich unberührt, da diese gerade nicht durch den Plan gestaltet werden sollen. Dass ein solcher Ein-Gruppen-Plan zulässig ist, wurde erst kürzlich durch das AG Dresden (Hinweisbeschluss v. 22. November 2023 – 572 RES 1/23) bestätigt. Vorteil eines solchen Ein-Gruppen-Plan ist, dass die dem Plan nicht zustimmenden Anteilsinhaber bereits innerhalb der Gruppe durch die erforderliche Mehrheit von 75 % überstimmt werden und es somit keiner gruppenübergreifenden Mehrheitsentscheidung nach §§ 26 ff. StaRUG bedarf. Voraussetzung hierfür ist aber, dass innerhalb der einzigen Gruppe auch tatsächlich die 75 % Mehrheit erreicht wird und es für den Erfolg der Restrukturierung ausreichend ist, wenn nur in die Rechte der Anteilsinhaber eingegriffen wird.

Ist es hingegen absehbar, dass die erforderliche Mehrheit innerhalb nur einer Gruppe nicht erreicht wird, kann es sich unter Umständen anbieten, dass die Anteilsinhaber in zwei unterschiedliche Gruppen eingeteilt werden, um somit die nicht zustimmenden Anteilsinhaber nach §§ 26 ff. StaRUG zu überstimmen. Ein solches Vorgehen ist im Rahmen eines Restrukturierungsplans grundsätzlich zulässig, da dem StaRUG im Grundsatz nach § 9 StaRUG das Prinzip der freien Gruppenbildung gilt. Der Planersteller kann insbesondere nach § 9 Abs. 2 StaRUG weitere Untergruppen bilden, sofern sich diese sachgerecht voneinander abgrenzen lassen. Für den Fall, dass sich die Anteilsinhaber nach sachgerechten Kriterien abgrenzen lassen, steht es dem Planersteller damit frei, diese auch in unterschiedliche Gruppen einzuteilen, um damit die Möglichkeit einer gruppenübergreifenden Mehrheitsentscheidung herbeizuführen. Voraussetzung hierfür ist aber stets, dass eine Einteilung in unterschiedliche Gruppen durch sachgerechte Erwägungen gerechtfertigt ist. Welche Anforderungen dabei an die Sachgerechtigkeit zu stellen sind, ist noch nicht abschließend geklärt. Insbesondere bei der Frage, ob eine Einteilung der Anteilsinhaber in eine sanierungswillige und eine sanierungsunwillige Plangruppe zulässig ist, bestehen weiterhin Unsicherheiten. Es ist daher zwingend erforderlich, dass die Gruppeneinteilung vor dem Einreichen des Restrukturierungsplan durch einen Experten auf seine Zulässigkeit geprüft wird, um nicht zu riskieren, dass die Planbestätigung durch das Gericht verweigert wird. 

Neben einer zulässigen Einteilung der Anteilsinhaber in zwei unterschiedliche Gruppen, hängt der Erfolg des Restrukturierungsplans zusätzlich davon ab, ob man einen cross-class-cram-down im Rahmen eines reinen Gesellschafterplans, der also nur Gruppen von Anteilsinhaber vorsieht, als zulässig erachtet. Das AG München (Beschluss v. 15. Februar 2023 – 1507 RES 3229/22) entschied hierzu, dass bei reinen Gesellschafterplänen die Zustimmung von lediglich einer Gruppe für die Annahme des Restrukturierungsplans nicht ausreicht, da ein solches Vorgehen nicht mit dem Wortlaut des § 26 Abs. 1 Nr. 3 Hs. 3 StaRUG vereinbar sei und dieser auch nicht teleologisch reduziert werden könne. Die Entscheidung fand in der Literatur nicht nur Zustimmung, was jedoch nichts daran ändert, dass aufgrund der Entscheidung des AG München ein erhebliches Risiko besteht, dass ein cross-class-cram-down bei reinen Gesellschafterpläne als nicht zulässig erachtet wird. Um die Risiken, die sich aufgrund dieser Rechtsunsicherheit ergeben zu reduzieren, kann es daher aus Sicht des Planersteller unter Umständen sinnvoll sein, neben den Anteilsinhabern weitere Gruppen zu bilden, um den Anforderungen des § 26 Abs. 1 Nr. 3 Hs. 3 StaRUG gerecht zu werden.

Ausschluss des Bezugsrechts beim Kapitalschnitt

Haben sich die Gesellschafterstreitigkeiten derart zugespitzt, dass der Großteil der Plangruppen nur dann zur Planannahme bereit ist, wenn entweder ein Teil oder gar alle Anteilsinhaber im Zuge des Restrukturierungsplans die Gesellschaft verlassen, kann dieses Ziel grundsätzlich ebenfalls durch das StaRUG erreicht werden. Voraussetzung hierfür ist, dass im Zuge eines Kapitalschnitts das Bezugsrecht der Altanteilsinhaber (zum Teil) ausgeschlossen wird und lediglich ein Teil der Altanteilsinhaber oder ein externer Investor im Rahmen der Kapitalerhöhung bezugsberechtigt ist. 

Ein besonderes Rechtfertigungserfordernis bedarf der Bezugsrechtsausschluss bei einer Kapitalherabsetzung auf null, weil hieraus ein vollständiger Ausschluss der Anteilsinhaber resultiert. Das StaRUG lässt derartige Zwangseingriffe in das Bezugsrecht grundsätzlich zu, sodass insbesondere die ansonsten geltenden gesellschaftsrechtlichen Regelungen (§ 186 AktG (analog)) überlagert werden. Allerdings wurde die Frage, welche konkreten Anforderungen an einen Bezugsrechtsausschluss im Rahmen des StaRUG, der die Anteilsinhaber unterschiedlich behandelt, nicht höchstrichterlich geklärt. In der Praxis empfiehlt es sich daher, den Bezugsrechtsausschluss im Restrukturierungsplan ausführlich zu begründen.

Zusammenfassung und Ausblick

Das StaRUG bietet verschiedene Möglichkeiten Gesellschafterstreitigkeiten aufzulösen sowie Restrukturierungsmaßnahmen auch gegen den Willen (einzelner) Anteilsinhaber durchzusetzen. Gerade letzteres wurde im Wege eines Cross-Class Cram-Down vermehrt in bekannten StaRUG-Verfahren wie LEONI und GERRY WEBER zur Auflösung von Gesellschafterstreitigkeiten und den damit einhergehenden festgefahrenen Verhandlungen genutzt. Die Rechtsfragen, die sich in Bezug auf die Anteilsinhaber in den vorgenannten Fällen gestellt haben, werden die Restrukturierungsgerichte auch in Zukunft vermehrt beschäftigen, was dann zu mehr Rechtssicherheit in diesem Bereich führt.

Der Beitrag ist Teil unserer Blogreihe zur Unternehmensrestrukturierung nach dem StaRUG. Es erschienen bereits zahlreiche Beiträge zur europäischen Restrukturierungsrichtlinie, u.a. ein Beitrag zu den Moratorien und zu den Restrukturierungsplänen. Anschließend haben wir uns mit den Pflichten der Unternehmensleitung, dem Schutz von Finanzierungen und Finanzierungsgebern sowie den Restrukturierungsbeauftragten und Verwaltern befasst. Weiter sind wir auf die Entschuldung insolventer Unternehmer, arbeitsrechtliche Aspekte der Restrukturierungs-Richtlinie, das Dutch Scheme als Vorbild für den Restrukturierungsrahmen sowie eine Sanierung außerhalb der Insolvenz eingegangen. 

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag „Sanieren oder Ausscheiden“ – mit Hilfe des StaRUGs?! erschien zuerst auf CMS Blog.

Der Gesetzgeber hat das Hinweisgeberschutzgesetz (HinSchG) als nationale Umsetzung der EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) im Mai 2023 verabschiedet. Allerdings werden Bußgelder wegen des Fehlens einer internen Meldestelle erst seit Dezember 2023 nach Ablauf der Übergangsregelung verhängt. Vor diesem Hintergrund befassen sich derzeit viele Unternehmen mit der konkreten Umsetzung der Pflichten aus dem Hinweisgeberschutzgesetz.

Nicht selten machen Betriebsräte in diesem Zusammenhang Mitbestimmungsrechte geltend. Inwieweit dem Betriebsrat bei der Einrichtung und dem Betrieb von Hinweisgeberstellen Mitbestimmungsrechte zustehen, beleuchten wir in diesem Beitrag.

Ist die Einrichtung einer internen Hinweisgeberstelle für Arbeitgeber verpflichtend?

Hinweisgeber haben grundsätzlich ein Wahlrecht zwischen interner und externer Meldestelle (§ 7 Abs. 1 HinSchG). Allerdings sollen sie sich vorrangig an eine interne Hinweisgeberstelle wenden, sofern intern wirksam gegen den Verstoß vorgegangen werden kann und keine Repressalien zu befürchten sind (§ 7 Abs. 1 S. 3 HinSchG).

Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten sind hingegen verpflichtet, eine interne Meldestelle einzurichten (§ 12 Abs. 1, § 3 Abs. 8 und 9 HinSchG). Zu den Beschäftigten gehören neben Arbeitnehmern* unter anderem auch die zu ihrer Berufsausbildung Beschäftigten (§ 3 Abs. 8 HinSchG).

Die Ausgestaltung interner Hinweisgeberstellen 

Sofern Arbeitgeber eine interne Meldestelle einrichten müssen, steht ihnen hinsichtlich der Organisationsform ein Wahlrecht zu. Entweder übertragen sie die Aufgaben auf eine Arbeitseinheit, die aus den Beschäftigten des Unternehmens besteht, oder sie lagern sie auf externe Dritte aus (§ 14 Abs. 1 HinSchG). 

Unabhängig von der gewählte Organisationsform haben Arbeitgeber Meldekanäle einzurichten, über die sich die Beschäftigten an die Meldestellen wenden können (§ 16 HinSchG). Den Arbeitgebern steht im Wesentlichen frei, wie sie diese Kanäle ausgestalten. Sie müssen lediglich gewährleisten, dass die Beschäftigten Meldungen mündlich oder in Textform einreichen können.

Sobald eine Meldung bei der internen Meldestelle eingeht, sind bestimmte Verfahrensschritte einzuhalten (§ 17 HinSchG). So hat die interne Meldestelle die Meldung unter anderem spätestens nach sieben Tagen zu bestätigen, der Verstoß ist von der Meldestelle auf seine Stichhaltigkeit zu prüfen und angemessene Folgemaßnahmen sind von ihr zu ergreifen. Dies beinhaltet beispielsweise die Durchführung interner Untersuchungen (§ 18 Nr. 1 HinSchG).  

Mitbestimmungsrecht bei der Ausgestaltung der Hinweisgeberstelle aus § 87 Abs. 1 Nr. 1 BetrVG

Teilweise wird vertreten, dass dem Betriebsrat bei der Ausgestaltung der Hinweisgeberstelle immer ein Mitbestimmungsrecht zustehe, weil Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb betroffen seien (§ 87 Abs. 1 Nr. 1 BetrVG).

Vorzugswürdig ist allerdings eine differenzierte Betrachtung. Denn solange sich Arbeitgeber bei der Ausgestaltung im gesetzlichen Rahmen bewegen, also beispielsweise die vom Gesetz vorgegebenen Verfahrensschritte (§ 17 HinSchG) übernehmen, ohne die Hinweisgeberstelle zu weiteren Verfahrensschritten zu verpflichten, hat der Betriebsrat gerade kein Mitbestimmungsrecht, da dem Arbeitgeber kein Entscheidungsspielraum verbleibt.

Etwas anderes gilt, wenn Arbeitgeber sich zu Maßnahmen entschließen, die über den gesetzlichen Rahmen hinausgehen, z.B. wenn Hinweisgeber zur Nutzung eines Meldekanals verpflichtet werden. In diesem Fall wird das betriebliche Verhalten der Arbeitnehmer geregelt, mit der Folge, dass der Betriebsrat zu beteiligen ist. Denn wie bei der Einrichtung einer Beschwerdestelle nach § 13 AGG ist das Meldeverfahren nach dem Hinweisgebeschutzgesetz darauf angelegt, das Ordnungsverhalten der Arbeitnehmer in standardisierter Weise zu steuern. 

Für Arbeitgeber bedeutet dies, dass sie zur Vermeidung der Mitbestimmung bei der Ausgestaltung interner Meldestellen darauf achten sollten, ob sich die geplanten Regelungen noch innerhalb des gesetzlichen Rahmens bewegen. Insbesondere sollte die Freiwilligkeit der Nutzung der Meldekanäle gewährleistet werden.

Eine Ausnahme gilt hingegen für die Wahl des Standortes und die personelle Besetzung der Hinweisgeberstelle: Ein Mitbestimmungsrecht des Betriebsrats ist in diesen Fällen nicht gegeben, da die Standortwahl und Besetzung der Hinweisgeberstelle lediglich die mitbestimmungsfreie Organisation des Arbeitgebers und nicht das betriebliche Zusammenwirken betreffen. 

Mitbestimmungsrecht bei der Ausgestaltung der Hinweisgeberstelle aus § 87 Abs. 1 Nr. 6 BetrVG 

Weitaus größere Relevanz bei der Ausgestaltung einer Hinweisgeberstelle dürfte das Mitbestimmungsrecht wegen Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG), haben.

Die Meinungen in der Literatur gehen an dieser Stelle auseinander. Während einige die Auffassung vertreten, dass der Betriebsrat immer ein solches Mitbestimmungsrecht habe, nehmen andere an, dass die Ausgestaltung der Hinweisgeberstellen nicht der Mitbestimmung nach dieser Norm unterliege. Überzeugender ist es, einen differenzierten Ansatz zu wählen und das Bestehen des Mitbestimmungsrechts von der Konfiguration der Meldeplattform abhängig zu machen.

Sofern sich Arbeitgeber dazu entscheiden, ein internes Hinweisgebersystem über eine spezifische Software-Lösung, beispielsweise eine digitale Meldeplattform, zu betreiben, welche Rückschlüsse auf die Identität des Hinweisgebers sowie den Zeitpunkt der Meldung gibt, ist eine Leistungs- und Verhaltenskontrolle durch den Arbeitgeber möglich und das Mitbestimmungsrecht des Betriebsrats gegeben. Ohne Relevanz ist in diesem Zusammenhang, ob der Arbeitgeber die Überwachung des Hinweisgebers tatsächlich bezweckt. Es kommt allein auf die objektive Eignung der Meldeplattform an, Verhaltens- oder Leistungsinformationen über die Arbeitnehmer zu erheben und aufzuzeichnen. 

Um die Mitbestimmung zu vermeiden, sollten Arbeitgeber bei der Auswahl der Meldeplattform darauf achten, dass Meldungen nur anonym abgegeben werden können, so dass weder Rückschlüsse auf die Identität des Hinweisgebers noch den Zeitpunkt der Meldung möglich sind. Dadurch ist eine Leistungs- und Verhaltenskontrolle ausgeschlossen. 

Vorsicht ist darüber hinaus bei der Verwendung von Freifeldern geboten. Freifelder ermöglichen Hinweisgebern, die digitale Meldeplattform um weitere Informationen individuell zu ergänzen. Dann besteht die Gefahr, dass diese Informationen Rückschlüsse auf das Verhalten des Hinweisgebers ermöglichen.

Erfolgreiche Umsetzung von Hinweisgeberschutz durch Einbindung des Betriebsrats

Zusammenfassend lässt sich festhalten, dass das Hinweisgeberschutzgesetz sowie die damit verbundenen Mitbestimmungsrechte des Betriebsrats Unternehmen vor neue Herausforderungen stellen. Während das Gesetz darauf abzielt, Hinweisgeber effektiv zu schützen und Fehlverhalten innerhalb von Unternehmen transparent zu machen, bedarf es einer sorgfältigen Abwägung und Ausgestaltung der internen Meldestellen unter Berücksichtigung der Mitbestimmungsrechte des Betriebsrats. Unternehmen sind daher gut beraten, bei der Einrichtung und Ausgestaltung von Hinweisgeberstellen nicht nur den gesetzlichen Anforderungen zu genügen, sondern auch proaktiv den Dialog mit dem Betriebsrat zu suchen. Durch eine transparente Kommunikation und Einbindung des Betriebsrats können nicht nur Konflikte vermieden, sondern auch ein Umfeld geschaffen werden, das das Vertrauen der Beschäftigten in die Hinweisgeberstellen stärkt. Letztlich profitieren alle Beteiligten von einem gut ausgestalteten und akzeptierten Hinweisgebersystem, das zur Aufdeckung und Prävention von Missständen im Unternehmen beiträgt und damit einen wesentlichen Beitrag zur Unternehmensintegrität und -kultur leistet.

This article is also available in English.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Mitbestimmung bei der Einrichtung und Ausgestaltung von Hinweisgeberstellen  erschien zuerst auf CMS Blog.