LexisNexis jusIT - Zeitschrift für IT-Recht, Rechtsinformation und Datenschutz

1/2023

S. 1–42, ART.-NR. 1–22

Februar 2023

Herausgeber:innen: Dietmar Jahnel, Sonja Janisch, Elisabeth Staudegger, Clemens Thiele

15 JAHRE

BEITRÄGE:

» Elisabeth Staudegger: Der Europäische Weg zur Regulierung Künstlicher

Intelligenz – wie KI die Rechtswissenschaften fordert

» Clemens Thiele: Erweiterte Informationspflichten im elektronischen

Kommunikationsdatenschutz

JUDIKATUR:

» EGMR: Schadenersatz für Autor wegen unzureichend begründeter Gerichtsurteile

» EuGH: Keine Kabelweiterverbreitung durch Hotelfernsehen

» EuGH: Recht auf Löschung von Fake News aus der Suchmaschine

jusIT – IT-Recht, Rechtsinformation, Datenschutz

» EuGH: Zur Anforderung an eine Rechtsgrundlage für eine Datenverarbeitung und zum Begriff der sensiblen Daten

» VfGH: Keine Geheimhaltung von Einkommensdaten im Scheidungsprozess

» OGH: Intransparente Datenschutzbedingungen bei vernetzten Mietautos

Weil Vorsprung entscheidet.

15 Jahre jusIT

Zeitschrift für IT-Recht, Rechtsinformation und Datenschutz

Seit 15 Jahren steht die jusIT für fachliche Kompetenz und verlässliche Informa on. Wir bedanken uns bei den Herausgeber:innen, Autor:innen sowie unseren Abonnent:innen und freuen uns auf viele weitere Jahre jusIT!

unseren und freuen uns auf viele weitere Jahre jusIT!

Danke für Ihre Treue!

Jetzt einsteigen: jusit.lexisnexis.at

Rechtswissenschaftliche Fakultät

Im März 2023 startet der Universitätskurs an der Rechtswissenschaftlichen Fakultät der Universität Innsbruck. Der Kurs kann zur Gänze online belegt werden und alle Termine finden an Freitagen und Samstagen statt.

Der Kurs untersucht digitale Innovationen aus rechtlicher Perspektive und setzt dabei einen besonderen Schwerpunkt auf aktuelle Entwicklungen im Recht der EU. Darüber hinaus gibt er den TeilnehmerInnen einen Einblick in die Möglichkeiten und Grenzen des Einsatzes von Legal Tech.

Lehrinhalte: E-Commerce-Recht und Regulierung digitaler Dienste, Rechtliche Rahmenbedingungen für Künstliche Intelligenz, Legal Tech: Digitalisierung der juristischen Arbeit, Datenschutzrecht, Recht des geistigen Eigentums im digitalen Binnenmarkt, Blockchain-Technologie und Krypto-Recht, Wettbewerbsrecht und Digitalisierung.

Die Vortragenden sind anerkannte ExpertInnen aus Wissenschaft und Praxis, aus dem In- und Ausland.

jusIT 1/2023

16.Jahrgang, Februar 2023

EDITORIAL

REZENSIONEN

Clemens Thiele/Peter Burgstaller (Hrsg), UrhG Urheberrechtsgesetz 2022. (Elisabeth Staudegger)

Marco Lettenbichler, Zivilrechtliche Aspekte von Smart Homes. (Thomas Rainer Schmitt)

Monika Muhr, KI-Schöpfungen und Urheberrecht. (Elisabeth Staudegger)

Jessica Greif, Strafbarkeit von bildbasierten sexualisierten Belästigungen. (Clemens Thiele)

LexisNexis Zeitschri en Kompetent.

Übersichtlich. Aktuell.

Testen Sie ALLE 13 Zeitschriftenportale 30 Tage lang GRATIS! Jetzt registrieren unter: zeitschriften.lexisnexis.at

Herausgeber:innen und Editorial Board:

Ao.Univ.-Prof. Dr. Dietmar Jahnel, Universität Salzburg

Assoz. Prof.in Dr.in Sonja Janisch, LL.M. (Florenz), Universität Salzburg

Univ.-Prof.in Dr.in Elisabeth Staudegger, Universität Graz

RA Hon.-Prof. Dr. Clemens Thiele, LL.M. Tax (GGU), EUROLAWYER® Salzburg

Ständige Redakteure:

Mag. David Bierbauer, LL.M., Universität Graz

Dr. Sebastian Meyer, LL.M., BRANDI Rechtsanwälte Partnerschaft mbB

Dr. Thomas Rainer Schmitt, stv Leiter der Aufsichtsbehörde für Verwertungsgesellschaften, BMJ Wien

Impressum:

Offenlegung gemäß § 25 MedienG:

Assoz. Prof. Mag. Dipl.-Ing. Dr. Michael Sonntag, Universität Linz Beirat:

Assoz. Prof. Mag. Dr. Christian Bergauer, Universität Graz Univ.-Prof.in Dr.in Tina Ehrke-Rabel, Universität Graz Univ.-Prof. Dr. Johannes W. Flume, Universität Salzburg Univ.-Prof. Dr. Matthias C. Kettemann, LL.M. (Harvard), Universität Innsbruck Univ.-Prof. i.R. Dr. Peter Mader, Universität Salzburg Univ.-Prof.in Dr.in Susanne Reindl-Krauskopf, Universität Wien

Medieninhaber und Herausgeber iSd § 1 Abs 1 Z 8 und Z 9 MedienG: LexisNexis Verlag ARD Orac GmbH & Co KG | Sitz: Trabrennstraße 2A, 1020 Wien | Unternehmensgegenstand: LexisNexis ARD Orac ist ein führender Fachverlag in Österreich im Bereich Steuern, Recht und Wirtschaft, der die Tradition der Verlagshäuser Orac und ARD unter internationalem Dach fortführt. LexisNexis ARD Orac ist ein Tochterunternehmen der international tätigen Verlagsgruppe RELX Group, deren Legal Division weltweit unter dem Namen LexisNexis firmiert. | Blattlinie: Rechtsinformation und Wirtschaftsinformation; aktuelle rechtliche Neuerungen | Geschäftsführung: Susanne Mortimore | Unbeschränkt haftender Gesellschafter: Orac Gesellschaft m.b.H., Trabrennstraße 2A, 1020 Wien | Kommanditist: Reed Messe Salzburg Gesellschaft m.b.H., Am Messezentrum 6, 5021 Salzburg | Beteiligungsverhältnisse: Alleiniger Gesellschafter der Orac Gesellschaft m.b.H.: Reed Elsevier Austria GmbH, Am Messezentrum 6, 5021 Salzburg | Gesellschafter der Reed Messe Salzburg Gesellschaft m.b.H.: Reed Elsevier Overseas B.V., Radarweg 29, 1043 NX Amsterdam (0,1 %), Reed Elsevier Austria GmbH, Am Messezentrum 6, 5021 Salzburg (99,9 %) | Alleiniger Gesellschafter der Reed Elsevier Austria GmbH: Reed Elsevier Overseas B.V., Radarweg 29, 1043 NX Amsterdam | Alleiniger Gesellschafter der Reed Elsevier Overseas B.V.: Reed Elsevier Holdings B.V., Radarweg 29, 1043 NX Amsterdam | Gesellschafter der Reed Elsevier Holdings B.V.: RELX Group plc, 1-3 Strand (http://www.relxgroup.com/aboutus/Pages/Home.aspx), London WC2N 5JR (50 %), Reed Elsevier Holdings Ltd., 1-3 Strand, London WC2N 5JR (50 %) | Gesellschafter der RELX Group plc: RELX PLC (52,9 %), RELX NV (47,1 %) | Gesellschafter der RELX PLC: mehr als 75 % im Streubesitz | Gesellschafter der RELX NV: mehr als 75 % im Streubesitz | Gesellschafter der Reed Elsevier Holdings Ltd.: RELX Group plc (100 %) | Redaktion: Trabrennstraße 2A, 1020 Wien

Derzeit gilt Anzeigenpreisliste Stand 2023 | Verlags- und Herstellungsort: Wien | Die Zeitschrift erscheint 6-mal jährlich | Einzelheftpreis 2023: € 70; Jahresabonnement 2023: € 414 inkl MWSt bei Vorauszahlung; Preisänderungen vorbehalten | Bankverbindung: Bank Austria, IBAN: AT84 1200

Lektorat und Autor:innenbetreuung:

Mag. a Aziza Hentschel 1020 Wien, Trabrennstraße 2A

Tel.: +43-1-534 52-1576

E-Mail: aziza.hentschel@lexisnexis.at

Abonnent:innenservice:

Tel. +43-1-534 52-0, Fax DW 141

E-Mail: kundenservice@lexisnexis.at

Anzeigen & Mediadaten:

Alexander Mayr

Tel. +43-1-534 52-1116, Fax DW 144

E-Mail: anzeigen@lexisnexis.at http://lesen.lexisnexis.at/zs/jusit/mediadaten.html

0504 2346 8600, BIC: BKAUATWW | Abbestellungen sind nur zum Jahresschluss möglich, wenn sie bis spätestens 30. 11. schriftlich einlangen | Druck: Prime Rate GmbH, Megyeri út 53, H-1044 Budapest. Verlagsrechte: Die in dieser Zeitschrift veröffentlichten Beiträge sind urheberrechtlich geschützt. Alle Rechte bleiben vorbehalten. Kein Teil dieser Zeitschrift darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – durch Fotokopie, Mikrofilm, Aufnahme in eine Datenbank oder auf Datenträger oder auf andere Verfahren – reproduziert oder in eine von Maschinen, insbesondere Datenverarbeitungsanlagen, verwendbare Sprache übertragen werden. Das gilt auch für die veröffentlichten Entscheidungen und deren Leitsätze, wenn und soweit sie vom Einsender oder von der Schriftleitung redigiert, erarbeitet oder bearbeitet wurden und daher Urheberrechtsschutz genießen. Fotokopien für den persönlichen und sonstigen eigenen Gebrauch dürfen nur von einzelnen Beiträgen oder Teilen daraus als Einzelkopie hergestellt werden. Bitte beachten Sie: Für Veröffentlichungen in unseren Zeitschriften gelten unsere AGB für Zeitschriftenautorinnen und -autoren (abrufbar unter https://www.lexisnexis.at/agb/ agb-zeitschriftenautoren/) sowie unsere Datenschutzerklärung (abrufbar unter https://www. lexisnexis.at/datenschutzbestimmungen/). | ISSN: 1996-8228

Richtlinien für Autor:innen:

Die Richtlinien für das Verfassen von Beiträgen finden Sie unter lesen.lexisnexis.at/zs/jusit/fuer_ autoren.html. Wir ersuchen um Verwendung gängiger juristischer Zitier- und Abkürzungsregeln (AZR oder NZR).

Manuskripte übermitteln Sie bitte an die E-Mail-Adresse: jusit-zeitschrift@lexisnexis.at

Trotz sorgfältigster Bearbeitung erfolgen alle Angaben ohne Gewähr. Eine Haftung des Verlages, der Herausgeber:innen und der Autor:innen ist ausgeschlossen. Dies gilt auch für Inhalte, die exklusiv digital veröffentlicht werden.

15 Jahre jusIT – Neues aus der Redaktion

» jusIT 2023/1

Mit Heft 1/2023 beginnt der 16. Jahrgang der jusIT, 15 Jahre nach ihrem erstmaligen Erscheinen. Diesen erfreulichen Jahrestag nehmen wir zum Anlass, unseren Leserinnen und Lesern über personelle Veränderungen Ende vergangenen Jahres zu berichten. Das jusIT-Gründungsmitglied Peter Mader hat mit Ende Oktober seine universitäre Tätigkeit beendet und ist aus diesem Grund mit Ende 2022 aus der jusIT ausgeschieden; Christian Bergauer hat sich ebenfalls mit Heft 6/2022 aus dem Team der jusIT-Herausgeber:innen zurückgezogen. Beide langjährigen Herausgeber werden der jusIT jedoch als Mitglied des wissenschaftlichen Beirats weiterhin beratend verbunden bleiben. Den bewährten Co-Editors nachfolgend, treten Sonja Janisch und Clemens Thiele, die als ständige Redakteure die jusIT über viele Jahre aktiv mitgestaltet haben, in den engen Kreis der Herausgeber:innen ein.

Diese tiefgehende Änderung in der Redaktion der jusIT haben wir zum Anlass genommen, auch den wissenschaftlichen Beirat, der seit seiner Einrichtung anlässlich der Gründung im Jahr 2008 weitgehend unverändert geblieben ist, neu zu besetzen. Wir freuen uns, Matthias Kettemann (Innsbruck), Tina Ehrke-Rabel (Graz), Johannes W. Flume, der an der Universität Salzburg die Nachfolge von Peter Mader antritt, sowie Susanne

Reindl-Krauskopf (Wien) als neue Mitglieder des wissenschaftlichen Beirats der jusIT begrüßen zu dürfen.

Auch der Kreis der ständigen Redakteure, Michael Sonntag (Linz), Thomas Rainer Schmitt (Wien) und Sebastian Meyer (Deutschland), die die jusIT laufend mit Texten zu einschlägigen Neuigkeiten bereichern, konnte erweitert werden: Wir begrüßen David Bierbauer (Graz) im Kreis der ständigen Redakteure. Schließlich verdient das Verlagsteam von LexisNexis eine lobende Erwähnung. Mit Frau Mag.a Aziza Hentschel begleitet die jusIT aktuell wieder eine äußerst engagierte Betreuerin, der pars pro toto für alle verlagsseitig Mitwirkenden gedankt sein soll.

Es ist uns ein Anliegen, Sie, liebe Leserinnen und Leser der jusIT, mit diesem Hinweis aus der Redaktion über die Veränderungen auf personeller Ebene zu informieren. Denn letztlich lebt eine Zeitschrift vor allem von den Menschen, die hinter dem Cover arbeiten.

Das neue jusIT-Team freut sich darauf, Sie weiterhin mit Wissenswertem aus dem Bereich des IT-Rechts, des Datenschutzes und der Rechtsinformation zu versorgen.

Dietmar Jahnel/Sonja Janisch/ Elisabeth Staudegger/Clemens Thiele

Digitale Zusatzinhalte.

Auf dem Zeitschri enportal „jusIT digital“ erwarten Sie alle Inhalte des gedruckten He s, Rechtsnews zu Ihrem Fachgebiet und vieles mehr.

IT-RECHT

Der Europäische Weg zur Regulierung Künstlicher

Intelligenz

»

jusIT 2023/2

– wie KI die Rechtswissenschaften fordert

AIA, Gesetz über KI, Grundrechte, feierliche Erklärung, Wertschöpfung, Risikoverteilung, Hochrisiko-KI-Systeme

Künstliche Intelligenz (KI; engl: Artificial Intelligence, AI) fordert Gesellschaften weltweit heraus, das technische und wirtschaftliche Potenzial in einer Weise zu fördern, die gesamtgesellschaftlich Benefit bringt. Die EU hat sich förmlich und feierlich dazu erklärt, diese Aufgabe im Licht der Grundrechte zu bewältigen. Der Vorschlag der Europäischen Kommission, wie das Gesetz über Künstliche Intelligenz aussehen könnte, liegt zur Diskussion auf. Die Rechtswissenschaften sind gefordert, sich aktiv und intensiv einzubringen.*

1. Einleitung

Die Digitalisierung fordert die Europäische Union und ihre Mitgliedstaaten gleichermaßen. Hatte sich die KommissionJuncker noch die Transformation des EU-Binnenmarktes in einen „Digitalen Binnenmarkt“ (DBM) zum Ziel gesetzt und dessen Vollendung im Mai 2018 proklamiert,1 zeigt sich anhand der rasanten Entwicklung sog „Künstlicher Intelligenz“ (KI)-Technologien zunehmend der dringende Bedarf an Regelungen, die die omnipräsente automatisierte Auswertung gigantischer Datenmengen gezielt adressieren. Obwohl die Mitgliedstaaten mit der Umsetzung der verp flichtenden Vorgaben zum DBM äußerst gefordert waren, bekannte sich eine Gruppe

* Der Beitrag basiert auf dem Vortrag vom 21. 10. 2022 „Per aspera ad astra – wie Künstliche Intelligenz die Rechtswissenschaften fordert“ zur 50-Jahrfeier der Salzburger Juristischen Gesellschaft und zu Übergabe der Festschrift an Univ.-Prof. Dr. Peter Mader anlässlich des Übertritts in den Ruhestand; er ist dem Jubilar als langjährigem, höchst geschätzten Kollegen herzlichst gewidmet.

1 MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN EUROPÄISCHEN RAT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Vollendung eines vertrauenswürdigen digitalen Binnenmarkts für alle Beitrag der Europäischen Kommission zur informellen Tagung der EU-Staats- und Regierungschefs zum Thema Datenschutz und digitaler Binnenmarkt am 16. Mai 2018 in Sofia, KOM/2018/320 final.

KOM/2021/206 final

von 24 europäischen Staaten (darunter auch Österreich) schon im April 2018 explizit zur aktiven Zusammenarbeit im Bereich von KI. Die Europäische Kommission (EK) erkannte den Bedarf und arbeitete in der Folge intensiv in Richtung einer vertrauenswürdigen, menschenzentrierten europäischen KI.2 Schon im April 2018 wurden Details der KI-Strategie vorgestellt,3 im Juni desselben Jahres konnte die High Level Expert Group on Artificial Intelligence (AI-HLEG) eingesetzt werden, die die Entwicklung vertrauenswürdiger KI aus ethischer Perspektive unterstützen soll.4 Zeitgleich wurde auch die Europäische KI-Allianz5 gegründet, in der sich Interessierte zum Thema einbringen können. Im Dezember 2018 folgte der Koordinierte Plan für KI6 und im April 2019 das Bekenntnis zu einer menschenzentrierten, vertrauenswürdigen KI.7

Diese Vorarbeiten ermöglichten es der EK, nun unter dem Vorsitz von Präsidentin von der Leyen, die die EU mit dem „Digitalen

2 Details dazu unter <digital-strategy.ec.europa.eu/en/policies>.

3 MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN EUROPÄISCHEN RAT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Künstliche Intelligenz für Europa, KOM/2018/237 final.

4 Die Arbeit der AI-HLEG ist unter <ec.europa.eu/digital-single-market/en/ news/ethics-guidelines-trustworthy-ai> dokumentiert. Zu nennen sind hier insb die im April 2019 veröffentlichten Ethikleitlinien für vertrauenswürdige künstliche Intelligenz (Ethics Guidelines for Trustworthy Artificial Intelligence, abrufbar in allen Amtssprachen) und die darauf aufsetzende, im Juli 2020 veröffentlichte Bewertungsliste für vertrauenswürdige künstliche Intelligenz (Assessment List for Trustworthy Artificial Intelligence [ALTAI] for self-assessment, abrufbar unter <ec.europa.eu/digital-singlemarket/en/news/assessment-list-trustworthy-artificial-intelligencealtai-self-assessment>); bemerkenswert ist, dass ALTAI sich nicht in Text erschöpft, sondern in einem IT-Tool realisiert wurde.

5 <digital-strategy.ec.europa.eu/en/policies/european-ai-alliance>.

6 MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN EUROPÄISCHEN RAT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Koordinierter Plan für künstliche Intelligenz, KOM/2018/795 final.

7 MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Schaffung von Vertrauen in eine auf den Menschen ausgerichtete künstliche Intelligenz, KOM/2019/168 final.

Kompass“8 in die „Digitale Dekade“ führen möchte,9 den künftigen Rechtsrahmen von KI in Europa zunehmend klarer zu fassen: Im Februar 2020 veröffentlichte die EK das Weißbuch zu KI10 und konnte schon im April 2021, nach der grundlegenden Überarbeitung und Aktualisierung des Koordinierten Plans für KI aus dem Jahr 2018,11 den Vorschlag für ein „KI Gesetz“, den Artificial Intelligence Act (AIA), zur Diskussion stellen.12 Im September 2022 folgte mit dem Richtlinienvorschlag zur KI-Haftung13 eine weitere Initiative, Entwicklung und Nutzung von KI normativ einzuhegen. Im Zentrum des vorliegenden Beitrags steht eine detaillierte Vorstellung des AIA (Abschnitt 3.), eingeleitet vom jüngst veröffentlichten feierlichen Bekenntnis des Unionsgesetzgebers zu den Grundrechten (Abschnitt 2.) und versehen mit einer ersten persönlichen Einschätzung in Abschnitt 4. Das Fazit setzt die europäische KI-Regulierung in den Kontext globaler Aktivitäten, insb jenen der USA und Chinas.

2. Das europäische Bekenntnis zu Grundsätzen für die digitale Dekade und zu digitalen Rechten

Die neue Kommission benutzt neue Schlagworte, setzt aber –unter Berücksichtigung der im Zusammenhang mit der COVID19-Pandemie erkannten Potenziale und Schwächen notwendigen Adaptierungen – Bestehendes fort.14 Wie schon der Digitale Binnenmarkt soll auch KI in der Europäischen Union explizit unter Anerkennung und in Achtung der Grundrechte entwickelt und genutzt werden. Kommission, Parlament und Rat haben sich auf Anregung der EK vom Jänner 202215 am 15. Dezember des Jahres eindeutig und ausdrücklich dazu bekannt.16

8 Der „Digitale Kompass“ bezeichnet ein Organisationskonzept, das das Jahrzehnt 2020–2030 rahmen soll. Die Basis bilden die zu vier Kernpunkten (Befähigung der Bevölkerung, Infrastrukturen, Digitalisierung der Unternehmen und digitale Bürgerschaft) festgelegten, konkreten Ziele, die unter kontrollierter Einhaltung sog „Digitalisierungsgrundsätze“ unter Förderung von Mehrländerprojekten verwirklicht werden sollen; vgl im Detail KOM/2021/118 final.

9 Digitaler Kompass 2030: Der europäische Weg in die digitale Dekade, KOM/2021/118 final.

10 WEISSBUCH Zur Künstlichen Intelligenz – ein europäisches Konzept für Exzellenz und Vertrauen, KOM/2020/65 final.

11 MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Förderung eines europäischen Konzepts für künstliche Intelligenz, KOM/2021/205 final.

12 Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES ZUR FESTLEGUNG HARMONISIERTER VORSCHRIFTEN FÜR KÜNSTLICHE INTELLIGENZ (GESETZ ÜBER KÜNSTLICHE INTELLIGENZ) UND ZUR ÄNDERUNG BESTIMMTER RECHTSAKTE DER UNION, KOM/2021/206 final.

13 Entschließung vom 16. Februar 2017 mit Empfehlungen an die Kommission zu zivilrechtlichen Regelungen im Bereich Robotik, ABl C 2018/252, 239.

14 Besonders deutlich erkennbar in der Aktualisierung der KI-Strategie aus dem Jahr 2018 durch KOM/2021/118 final.

15 Europäische Erklärung zu den digitalen Rechten und Grundsätzen für die digitale Dekade, KOM/2022/28; vgl zu den Gründen und zum politischen Charakter der Erklärung explizit die entsprechende Mitteilung der Kommission, KOM/2022/27 final.

16 Europäische Erklärung zu den digitalen Rechten und Grundsätzen für die digitale Dekade vom 15. Dezember 2022, abrufbar unter

Vorausgegangen war dieser Erklärung der jährliche Bericht über den Schutz der Grundrechte vom Dezember 2021,17 der erstmals mit thematischem Schwerpunkt explizit der Digitalisierung gewidmet war.18 Darin wird unter Verweis auf die ChartaStrategie aus dem Jahr 202019 die Grundrechtecharta als „Kompass der EU für das digitale Zeitalter“20 bezeichnet, die Digitalisierung als Chance für die Grundrechte betont21 und schließlich eine interinstitutionelle, gemeinsame feierliche Erklärung als Bekenntnis zu europäischen Grundwerten angekündigt.22

Das am 26. Jänner 2022 seitens der EK vorgelegte und letztlich trotz berechtigter Kritik des EWSA23 im Dezember inhaltlich weitgehend unverändert publizierte Dokument fokussiert auf sechs Themenbereiche, die in folgenden Kapiteln ausgeführt werden: I. Die Menschen im Mittelpunkt des digitalen Wandels; II. Solidarität und Inklusion (unter besonderer Hervorhebung von Konnektivität, digitaler allgemeiner und beruflicher Bildung und Kompetenzen, fairen und gerechten Arbeitsbedingungen sowie digitalen öffentlichen Diensten); III. Wahlfreiheit (ausdifferenziert im Zusammenhang mit Interaktionen mit Algorithmen und KI-Systemen und einem fairen digitalen Umfeld); IV. Teilhabe im öffentlichen Raum; V. Sicherheit, Schutz und Befähigung (wobei ein geschütztes und sicheres digitales Umfeld, Privatsphäre und Kontrolle über Daten sowie Kinder und Jugendliche besonders genannt sind) und VI. Nachhaltigkeit. Jedes der Kapitel, die einen „ganzheitlichen Bezugsrahmen bilden und nicht isoliert betrachtet werden“24 sollen, endet mit einer detailliert ausformulierten „Selbstverpflichtung“ der EU-Organe.

Die Erklärung wirkt als politisches Bekenntnis rein deklaratorisch und hat damit keine unmittelbaren Auswirkungen auf Rechtsvorschriften und deren Anwendung.25 Nach der Präambel soll die Erklärung aber als „Bezugspunkt“ in den Außenbeziehungen der EU26 berücksichtigt werden und als solcher auch für Unternehmen und andere Akteure bei der Entwicklung und

<digital-strategy.ec.europa.eu/en/library/european-declaration-digitalrights-and-principles>.

17 BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Schutz der Grundrechte im digitalen Zeitalter – Jährlicher Bericht über die Anwendung der Charta der Grundrechte der Europäischen Union 2021, KOM/2021/819 final, 3.

18 KOM/2021/819 final, 3.

19 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Strategie für eine verstärkte Anwendung der Grundrechtecharta in der EU, KOM/2020/711.

20 KOM/2021/819 final, 8 f.

21 KOM/2021/819 final, 43 f.

22 KOM/2021/819 final, 43.

23 Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zu a) „Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Eine europäische Erklärung zu den digitalen Rechten und Grundsätzen für die digitale Dekade“(COM[2022] 27 final) und zu b) „Digitale Rechte und Grundsätze“ (Sondierungsstellungnahme) 2022/C 365/03, ABl C 2022/365, 13.

24 Präambel, ErwGr 7 Erklärung vom 15. 12. 2022.

25 Klarstellend Präambel, ErwGr 10 Erklärung vom 15. 12. 2022.

26 Präambel, ErwGr 11 Erklärung vom 15. 12. 2022.

Einführung neuer „Technik“27 dienen. In der dazu veröffentlichten Mitteilung28 will die EK, neben der EU selbst, „[...] Mitgliedstaaten und ihre Behörden, alle interessierten Kreise, die Zivilgesellschaft auf allen Ebenen“ gemeinsam dafür verantwortlich sehen, „einen auf den Menschen ausgerichteten digitalen Wandel“ herbeizuführen.29

Der EWSA begrüßte den Entwurf in seiner Sondierungsstellungnahme vom Juni 2022, empfahl jedoch ua den freien Datenverkehr, das Dateneigentum, geistiges Eigentum und unternehmerische Freiheit explizit in die Erklärung aufzunehmen.30 Kritisch weist er richtig darauf hin, dass sich die digitalen Rechte aus den Grundrechten ableiten und durch diese definiert werden;31 die Mischung von „Grundsätzen“ und „Rechten“ erschwere es, den wesentlichen Inhalt zu erfassen.32 Insgesamt wertet der EWSA die Erklärung als richtigen Schritt und betont das Erfordernis intensiver Aufklärung und Unterrichtung aller Beteiligten ebenso wie die vorgesehenen Eurobarometer-Umfragen und Berichtspflichten.

Auch wenn einige Formulierungen floskelhaft klingen und manche sich wegen der durchaus widersprüchlichen Ziele an die Quadratur des Kreises erinnert fühlen mögen, stellt die Erklärung in Anbetracht der Entwicklungen in den USA und China mE ein öffentlichkeitswirksames und insoweit dringend nötiges Bekenntnis zur digitalen Transformation im Rahmen der Europäischen Grundrechte dar. Dass darin widersprüchliche Ziele adressiert werden (wie zB Transparenz und Privatheit), ist Jurist:innen vertraut und nicht neu, weil Grundrechtskonflikte seit jeher wohlbegründete, transparente Interessenabwägungen erfordern. Aus juristischer Sicht ist aber der Einwand des EWSA, dass Grundsätze und Rechte vermischt werden, beachtlich. Es bedarf schon vertiefter juristischer Kenntnisse, den Wirkungsgrad von „Grundsätzen“ von Rechten, die durchsetzbare Ansprüche begründen, korrekt abzugrenzen. Nicht immer sind Grundsätze wie in Art 5 DSGVO positiviert und damit zweifelsfrei in der Rechtsanwendung (strafbewehrt) zu berücksichtigen. Welche Bedeutung nicht explizit normierten Prinzipien und Grundsätzen in der Auslegung zukommt, ist in den Wissenschaften keineswegs einhellig geklärt.33

Wenn die Erklärung tatsächlich als gesamtheitlicher Rechtsrahmen für die digitale Transformation verstanden werden soll, ist auch die Kritik des EWSA berechtigt, der die Nennung weiterer Grundrechte einfordert. Die Charta selbst bietet weitaus mehr an garantierten Rechten, die jeweils gleichwertig zu berücksichtigen sind; die Hervorhebung einzelner wirkt damit (ganz unab-

27 Präambel, ErwGr 8 Erklärung vom 15. 12. 2022.

28 Vgl zu den Gründen und zum politischen Charakter der Erklärung explizit die entsprechende Mitteilung der Kommission, KOM/2022/27 final.

29 Vgl KOM/2022/27 final, Schlussfolgerungen und Ausblick.

30 Pkt 1.9., Stellungnahme EWSA 2022/C 365/03.

31 Pkt 1.4., 4.7. Stellungnahme EWSA 2022/C 365/03.

32 Pkt 1.5., 4.6. Stellungnahme EWSA 2022/C 365/03.

33 Insoweit für das österreichische (Privat-)Recht nach wie vor maßgebend F. Bydlinski, Fundamentale Rechtsgrundsätze. Zur rechtsethischen Verfassung der Sozietät (1988); F. Bydlinki, System und Prinzipien des Privatrechts (1996).

hängig davon, dass sie neben und vermischt mit Grundsätzen genannt werden) irreführend.

Es bleibt also dabei, dass die Erklärung ein politisches Bekenntnis ist, das vor allem als breitenwirksames Narrativ für den Europäischen Weg der Digitalisierung und in Abgrenzung zu anderen großen Datenwirtschaften wie den USA und China wirkt und so über die Unionsorgane und Mitgliedstaaten hinaus als Richtschnur für Bürger:innen, Unternehmen und Organisationen dienen kann.

3. Der Entwurf des Artificial Intelligence Act (AIA): KOM/2021/206 fi nal

3.1. Allgemeines

In unmittelbarer zeitlicher Nähe zur aktualisierten KI-Strategie 2018/2021, mitten in der COVID-19-Pandemie, aber noch vor Ausbruch des Ukraine-Krieges, veröffentlichte die EK im April 2021 ihren Vorschlag für einen AI Act; er umfasst (nach 19 einleitenden Seiten) 85 Artikel in XII Titeln, die in 89 Erwägungsgründen erläutert werden, sowie neun Anhänge.

Der Entwurf wird intensiv diskutiert;34 EWSA,35 AdR36 und EZB37 legten bereits Stellungnahmen dazu vor. Der EWSA sieht den Vorschlag grundsätzlich positiv, führt aber eine Reihe grundlegender Änderungsvorschläge an, durch die insb sowohl die Definition von KI erweitert als auch die Verbote konkretisiert und die KI-Ethikleitlinien der AI-HLEG insgesamt besser implementiert werden sollen. Interessant ist die Empfehlung, neben SelfAssessments ergänzend Bewertungen durch unabhängige Dritte für alle Hochrisiko-KI-Anwendungen verpflichtend vorzuschreiben und ein Beschwerde- und Rechtsbehelfsverfahren für durch KI-Systeme geschädigte Organisationen, Bürgerinnen und Bürger vorzusehen.38 Auch der AdR spricht sich grundsätzlich für den Entwurf aus und sieht insb Verhältnismäßigkeit und Subsidiaritätsprinzip gewahrt, bedauert aber, dass die lokalen und regionalen Gebietskörperschaften nicht ausreichend einbezogen

34 Zur sehr benutzerfreundlichen Dokumentation in EUR-Lex siehe die visualisierten Details unter „Verfahren“ im linken Frame beim Dokument <eur-lex.europa.eu/legal-content/DE/HIS/?uri=CELEX:52021PC0206& qid=1672822193345>.

35 Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zum „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union“ (COM[2021] 206 final – 2021/106[COD]), EESC 2021/02482, ABl C 2021/517, 61.

36 Stellungnahme des Europäischen Ausschusses der Regionen – Europäisches Konzept für künstliche Intelligenz – Gesetz über künstliche Intelligenz (revidierte Stellungnahme), COR 2021/02682, ABl C 2022/97, 60.

37 Stellungnahme der Europäischen Zentralbank vom 29. Dezember 2021 zu einem Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (CON/2021/40) 2022/C 115/05, CON/2021/40, ABl C 2022/115, 5.

38 Darauf aufbauend der von der EK im September 2022 unterbreitete Vorschlag für eine RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES zur Anpassung der Vorschriften über außervertragliche zivilrechtliche Haftung an künstliche Intelligenz (Richtlinie über KI-Haftung), KOM/2022/496 final.

sind; in 31 Änderungsvorschlägen werden Erwägungsgründe, Artikel und Anhänge des Entwurfs detailliert analysiert. Die EZB begrüßt den Vorschlag (der Sonderregelungen für Kreditinstitute vorsieht) ebenfalls, möchte aber, weil Kreditinstitute in der täglichen Praxis regelmäßig Kreditpunktebewertungen durchführen, die Einstufung als Hochrisiko-System zumindest verschoben haben; auch sollen die Befugnisse der EZB detaillierter geklärt werden.

Dem grundlegenden Vorhaben sollte breite und intensive Diskussion auf allen Ebenen der Gesellschaft folgen; jedenfalls aber sind Jurist:innen und Rechtswissenschafter:innen gefordert, sich aktiv einzubringen. Die folgende Kurzübersicht möge den Weg dazu ebnen.39

3.2. Zweck und Ziele des Entwurfs

Erklärter übergeordneter Zweck des AIA und in ErwGr 1 ausformuliert ist das reibungslose Funktionieren des Binnenmarkts.40

Dazu soll ein Rechtsrahmen für vertrauenswürdige KI die Realisierung eines „Ökosystems für Vertrauen“41 ermöglichen und weltweit eine Führungsrolle der EU im Bereich KI sicherstellen. Der Entwurf nennt dazu explizit vier konkrete Zielsetzungen42 als Einzelziele:43

 Die auf dem Unionsmarkt in Verkehr gebrachten und verwendeten KI-Systeme sollen sicher sein und die bestehenden Grundrechte und Werte der Union wahren.

Der Erreichung dieses Ziels dient die Festlegung konkreter Anforderungen an die Systeme und Pflichten für alle Beteiligten.44

 Die Förderung von Investitionen in (innovative) KI soll durch Rechtssicherheit gewährleistet werden.

Dazu werden die grundlegenden Anforderungen und Pflichten sowie Konformitäts- und Einhaltungsverfahren definiert, die zu erfüllen sind, um ein KI-System auf dem Unionsmarkt in Verkehr zu bringen oder zu verwenden.45

 Governance und die wirksame Durchsetzung des geltenden Rechts zur Wahrung der Grundrechte sowie die Sicherheitsanforderungen an KI-Systeme sollen gestärkt werden.

Darunter versteht die EK die Stärkung der Leitungs- und Überwachungsstruktur auf EU- und nationaler Ebene durch klare Regelungen, die Erteilung neuer Befugnisse und die Zuweisung der nötigen Ressourcen für die zuständigen Behörden; das Ziel bezieht sich insb auf Konformitätsbewertungsverfah-

39 Die Darstellung folgt bewusst dem ursprünglichen Entwurf aus April 2021; Änderungen bisher sind in EUR-Lex/Verfahren gut dokumentiert; vgl zuletzt zusf den gemeinsamen Standpunkt („General Approach“) des Rates, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union – Allgemeine Ausrichtung (6. Dezember 2022), ST 15698 2022 INIT.

40 Ergänzend nennt ErwGr 73 Förderung und Schutz von Innovationen.

41 Aus der Begründung KOM/2021/206 final, 1 ff (1).

42 Pkt 1.1., Gründe und Ziele des Vorschlags, KOM/2021/206 final, 3.

43 Pkt 1.4., Finanzbogen, KOM/2021/206 final, 102 ff

44 Finanzbogen, KOM/2021/206 final, 102.

45 Finanzbogen, KOM/2021/206 final, 102.

ren, nachträgliche Beobachtungsverfahren und die Zuständigkeit bzw Zusammenarbeit zwischen EU und Mitgliedstaaten;46 die EK verweist diesbezüglich auf Erfahrungen mit der EC-RL 2000/31/EG.47

 Die Entwicklung eines Binnenmarkts für rechtskonforme, sichere und vertrauenswürdige KI-Anwendungen soll erleichtert, Marktfragmentierung verhindert werden.

Dazu werden Mindestanforderungen für KI-Systeme festgelegt, die im Einklang mit den bestehenden Grundrechten und Sicherheitsvorschriften auf dem Unionsmarkt in Verkehr gebracht und verwendet werden sollen.48

3.3. Aufbau und Struktur des AIA

Jurist:innen erschließen sich Potenzial und Schwächen eines Gesetzesentwurfs in einem ersten Schritt aus dessen Struktur. Der Aufbau des AIA soll daher hier in aller Stringenz dargestellt sein, um es zu erleichtern, in der Folge die jeweils interessierenden Details vertiefend auszuarbeiten.49

Titel I Allgemeine Bestimmungen (Art 1–4) ist dem Gegenstand (Art 1), dem Anwendungsbereich (Art 2) und den Begriffsbestimmungen (Art 3 listet insgesamt 44 Ziffern auf) gewidmet. Es fällt auf, dass die Formulierungen offenbar einen möglichst umfassenden Anwendungsbereich sicherstellen sollen. So soll die künftige Verordnung das Inverkehrbringen, die Inbetriebnahme und die Nutzung einschlägiger KI-Systeme erfassen (nicht aber deren Entwicklung, die allerdings de facto in Art 10 ff behandelt wird) und Anbieter (ähnlich wie schon die DSGVO) unabhängig von Sitz/Niederlassung in der EU verpflichten. Auch die Begriffsdefinition für „KI-System“ ist in Art 3 Z 1 denkbar weit angelegt. Ausgenommen sind lediglich die Nutzung für „persönliche und nicht berufliche Tätigkeiten“ (Art 3 Z 4 letzter Halbsatz) sowie militärische Zwecke (Art 2 Abs 3) und justizielle Zusammenarbeit bzw Strafverfolgung im Rahmen internationaler Übereinkommen (Art 2 Abs 4). Weitere Einschränkungen des Anwendungsbereichs ergeben sich aus anderen Rechtsakten.

Titel II Verbotene Praktiken im Bereich der Künstlichen Intelligenz (Art 5) legt in Art 5 die roten Linien fest, die europäische KI nicht überschreiten darf. Der Titel umfasst lediglich einen Artikel, der allerdings aus vier Absätzen, vier plus zwei Literae und zwei plus drei Subliterae besteht. Art 5 Abs 1 formuliert in lit a–d das grundsätzliche Verbot bestimmter „Praktiken“, wie insb „unterschwellige Beeinflussung“ und die Ausnutzung Schutzbedürftiger, aber auch sog „social scoring“,50 also die automatisierte Bewertung von

46 Finanzbogen, KOM/2021/206 final, 103.

47 KOM/2021/206 final, 105.

48 Finanzbogen, KOM/2021/206 final, 103.

49 Diese für Verständnis und Analyse der Texte hilfreiche Übersicht wird bei geltenden Rechtsakten als Teil der Funktionalität von EUR-Lex bei Darstellung des Dokuments im linken Frame der Website unter „Inhalt“ automatisiert erzeugt; sie muss bei Entwurfsdokumenten manuell herausgearbeitet werden.

50 So eindeutig die Erläuterungen vorab, KOM/2021/206 final, 16.

Bürger:innen durch Behörden, wenn sie zu ungerechtfertigter Benachteiligung führt. Auch die biometrische Echtzeitfernüberwachung im öffentlichen Raum zu Strafverfolgungszwecken ist unter den Verboten als lit d gelistet, nennt aber zugleich drei Ausnahmen, unter denen dieses extrem eingriffsintensive Überwachungsverfahren doch zulässig ist; Abs 2 und Abs 3 regeln weitere Details dazu, wie insb das grundsätzliche Erfordernis vorheriger Beantragung und Genehmigung; Abs 4 ergänzt diese Möglichkeit um eine Öffnungsklausel.

Titel III Hochrisiko-KI-Systeme (Art 6–51) ist in fünf Kapitel untergliedert. Kapitel 1 (Art 6 und 7) behandelt die Klassifizierung solcher Systeme und verweist dazu insb auf Anhang II (Sicherheitskomponenten) und die in Anhang III definierten acht Bereiche; Kapitel 2 (Art 8–15) formuliert die Anforderungen an Hochrisiko-KI-Systeme, insb die Einrichtung eines Risikomanagementsystems (Art 9) und Details im Rahmen der Entwicklung (Daten-Governance, technische Dokumentation, umfassende Protokollierung, umfangreich ausgeführte Transparenzverpflichtungen, Sicherstellung menschlicher Aufsicht sowie Sicherheitsanforderungen).

Kapitel 3 (Art 16–29) normiert die Pflichten von Anbietern, Produktherstellern, Einführern, Händlern, aber auch von Nutzer:innen und anderen Beteiligten. Dazu zählen für Anbieter insb die Erfüllung aller zuvor definierten Anforderungen an das System, Qualitätsmanagement- und Registrierungspflichten, Dokumentation und CE-Kennzeichnung nach Selbstbewertung (vgl Art 19) sowie die Information der Behörde, wenn das System ein Risiko für Gesundheit, Sicherheit oder den Schutz der Grundrechte von Personen auf nationaler Ebene birgt. Einführer und Händler müssen insb prüfen, ob der Anbieter das Konformitätsbewertungsverfahren durchgeführt hat und ob die technische Dokumentation sowie die CE-Kennzeichnung inkl Begleitunterlagen bzw die Gebrauchsanweisung vorliegen; bei Zweifeln sind Maßnahmen zu setzen, um die Konformität herzustellen bzw herstellen zu lassen und ggf die nationale Behörde zu verständigen. Werden Hochrisiko-KI-Systeme unter Namen/Firma/Marke eines Händlers, Einführers oder sonstigen Dritten betrieben, Zweckbestimmungen geändert oder wesentliche Änderungen am System vorgenommen, unterliegen die Genannten als Anbieter selbst den jene treffenden Pflichten (Art 28).51

Unabhängig davon und darüber hinaus sollen Nutzer:innen eigenständige Pflichten treffen (Art 29), nämlich insb das System entsprechend der Gebrauchsanweisung, deren Inhalte in Art 13 Abs 352 detailliert festgelegt sind, zu verwenden und Maßnahmen

51 Diese Bestimmung entfällt nach aktuellem Verhandlungsstand; für diesen Hinweis danke ich meinem wissenschaftlichen Mitarbeiter und Dissertanten Mag. David Bierbauer, LL.M ebenso wie für die gewissenhafte Durchsicht des Beitrags und weitere wertvolle Anregungen; es freut mich besonders, dass David Bierbauer neuerdings als ständiger Redakteur dem jusITRedaktionsteam angehört.

52 Die Überschrift von Art 13 lautet: „Transparenz und Bereitstellung von Informationen für die Nutzer“. Abs 1 verpflichtet Entwickler, HochrisikoKI-Systeme so transparent zu designen, dass Anbieter und Nutzer:innen ihren Pflichten nachkommen können. Abs 2 und 3 behandeln die Gebrauchsanweisung.

im Rahmen der menschlichen Aufsicht (die in Art 1453 umfassend ausgeführt ist, nach eigenem (und hier ist zu ergänzen: verantwortungsvollem) Ermessen zu gestalten. Sie sollen das System anhand der Gebrauchsanweisung überwachen und, wenn Komponenten nach Art 65 (mit Risiko auf nationaler Ebene) betroffen sind, Anbieter bzw Händler verständigen sowie zwischenzeitig die Verwendung des Systems aussetzen; ebenso ist bei schwerwiegenden Vorfällen zu verfahren. Ist der Anbieter nicht erreichbar, sollen die Nutzer:innen verpflichtet sein, die Marktaufsichtsbehörde zu verständigen.54 Die Dokumentation (Protokolle) dieser Kontrolle soll für die Dauer der Zweckbestimmung des Systems aufbewahrt werden.

Kapitel 4 beschreibt das einzurichtende Notifizierungssystem (Art 30–39) und Kapitel 5 (Art 40–51) Normung, Konformitätsbewertung, Zertifizierung und Bescheinigung.

Titel IV Transparenzpflichten für bestimmte KI-Systeme (Art 52) regelt weitere, neben Titel III bestehende Informationspflichten für Anbieter von KI-Systemen, die für die Interaktion mit natürlichen Personen bestimmt sind; Menschen sollen wissen, dass sie es mit KI zu tun haben. Gleiches gilt für Verwender von Emotionserkennungssystemen oder anderen Systemen zur biometrischen Kategorisierung. Auch Nutzer:innen sind in der Pflicht, wenn sie mittels KI Inhalte erzeugen, die wirklichen Personen ähneln („Deep Fake“, vgl Art 52 Abs 3).

Titel V Maßnahmen zur Innovationsförderung (Art 53–55) ermöglicht sog „Reallabore“, in denen unter behördlicher Aufsicht die Bedingungen innovativer KI-Systeme entwickelt und getestet werden können (Art 53) und öffnet dafür die erleichterte Weiterverwendung personenbezogener Daten (Art 54).

Titel VI Leitungsstruktur (Art 56–59) besteht wieder aus mehreren Unterkapiteln. In Kapitel 1 (Art 56–58) wird der Europäische Ausschuss für KI installiert, der sich aus den nationalen Aufsichtsbehörden und dem Europäischen Datenschutzbeauftragten zusammensetzt. Kapitel 2 (Art 59) thematisiert die zuständigen nationalen Behörden, wobei eine als solche benannte „nationale Aufsichtsbehörde“ als notifizierende Behörde nach Art 30 und als Marktüberwachungsbehörde fungieren muss (Art 59 Abs 2).

Titel VII EU-Datenbank für eigenständige Hochrisiko-KISysteme (Art 60) richtet eine EU-Datenbank für Hochrisiko-KI-Systeme nach Art 6 Abs 2, also für Systeme zur biometrischen Echtzeitfernüberwachung, ein.

Titel VIII Beobachtung nach dem Inverkehrbringen, Informationsaustausch, Marktüberwachung (Art 61–68) ist in drei Kapiteln der fortwährenden wirksamen Kontrolle von (Hochrisiko-)KI-Systemen gewidmet. Kapitel 1 (Art 61) verpflichtet Anbieter von Hochrisiko-KI-Systemen zur Einrichtung eines

53 Die Überschrift von Art 14 lautet: „Menschliche Aufsicht“; wieder sind Entwickler in die Pflicht genommen, Hochrisiko-KI-System so zu gestalten, dass sie „von natürlichen Personen wirksam beaufsichtigt werden können“ (Abs 1); Abs 2–5 regeln umfassend die Details.

54 Vgl im Detail Art 29 Abs 4 KOM/2021/206 final.

wirksamen Beobachtungsmechanismus nach dem Inverkehrbringen. Kapitel 2 (Art 62) regelt den Informationsaustausch bei schwerwiegenden Fehlfunktionen und Vorfällen in Hochrisiko-KISystemen und sieht vor, dass der Anbieter unverzüglich, spätestens aber nach 15 Tagen ab Kenntnis die Marktüberwachungsbehörde informieren muss. Kapitel 3, Durchsetzung (Art 63–68), bettet KI-Systeme allgemein in die Marktüberwachung55 ein (Art 63) und sichert den Zugang zu Daten und Dokumentation (Art 64), wobei die Marktüberwachungsbehörde bei Hochrisiko-KI-Systemen nach Abs 2 auch Zugang zum Quellcode verlangen kann und bei diesen Systemen nationale Stellen und Behörden nach Abs 3 zur Wahrung der Einhaltung des Unionsrechts und der Grundrechte alle nötigen Unterlagen anfordern und einsehen dürfen. Art 65 f regeln den Umgang mit KI-Systemen, die ein Risiko auf nationaler Ebene bergen,56 und das dazu vorgesehene Schutzklauselverfahren, sollte ein Mitgliedstaat tatsächlich ein KI-System vom Markt nehmen. Art 67 behandelt konforme KI-Systeme, die dennoch ein Risiko darstellen, und Art 68 die Folgen formaler Nichtkonformität.

Titel IX Verhaltenskodizes (Art 69) soll durch entsprechende Förderung zur freiwilligen Einhaltung der für Hochrisiko-KI-Systeme vorgesehenen Anforderungen bei KI-Systeme ohne hohes Risiko anregen, aber auch zB hinsichtlich ökologischer Nachhaltigkeit oder Inklusion über diese hinausgehen können.

Titel X Vertraulichkeit und Sanktionen (Art 70–72) erinnert zunächst an die Wahrung geistigen Eigentums und von Betriebs- und Geschäftsgeheimnissen, lässt allerdings sachgerecht Warnungen und Informationsaustausch zu bestimmten Hochrisiko-KI-Systemen mit Blick auf Sicherheitsinteressen vorgehen. Zur Schaffung angemessener Sanktionen verweist der Entwurf auf die Mitgliedstaaten, sieht aber für bestimmte, besonders schwerwiegende Verstöße (zB gegen die Verbote nach Art 5) beispielhaft Geldbußen vor, die ähnlich wie in der DSGVO gestaffelt sind, jedoch bis zu 6 % des jährlichen weltweiten Um-

55 Verordnung (EU) 2019/1020 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über Marktüberwachung und die Konformität von Produkten sowie zur Änderung der Richtlinie 2004/42/EG und der Verordnungen (EG) Nr. 765/2008 und (EU) Nr. 305/2011, ABl L 2019/169, 1, die am 16. 7. 2021 vollständig in Kraft getreten ist. Die österreichische Bundesregierung verweist dazu auf geteilte Kompetenzen von Bund und Ländern, hat aber das Bundesamt für Eich- und Vermessungswesen als zentral zuständige koordinierende Behörde benannt <bmaw.gv.at/Themen/Unternehmen/Marktueberwachung.html>. Anhang I zur VO listet 70 Harmonisierungsrechtsvorschriften auf, die diverse Produkte erfassen, Anhang II (ohne Sanktionen) weitere 19. Art 63 Abs 4 KOM/2021/206 sieht besondere Aufsichtsbehörden wie insb die DSB vor.

56 Art 65 Abs 1 verweist dazu auf Art 3 Z 19 VO (EU) 2019/1020, der lautet: „Produkt, mit dem ein Risiko verbunden ist‘ ein Produkt, das Gesundheit und Sicherheit von Personen im Allgemeinen, Gesundheit und Sicherheit am Arbeitsplatz, Verbraucherschutz, Umwelt, öffentliche Sicherheit und andere öffentliche Interessen, die durch die geltenden Harmonisierungsrechtsvorschriften der Union geschützt werden, stärker beeinträchtigen kann als das im Verhältnis zu seiner Zweckbestimmung oder bei normaler oder nach vernünftigem Ermessen vorhersehbarer Verwendung des betreffenden Produkts – einschließlich der Gebrauchsdauer sowie gegebenenfalls der Anforderungen an Inbetriebnahme, Installation und Wartung – als vernünftig und vertretbar gilt“.

satzes ausmachen können; eine Öffnungsklausel erlaubt wieder, Behörden und öffentliche Stellen auszunehmen (vgl Art 71 Abs 7).

Titel XI Befugnisübertragung und Ausschussverfahren (Art 73, 74)

ermöglicht delegierte Rechtsakte durch die EK und sieht die Einrichtung eines beratenden Ausschusses vor.

Titel XII Schlussbestimmungen (Art 75–85)

sichert die Einhaltung einer Vielzahl konkreter Verordnungen im Zusammenhang mit Sicherheitskomponenten (Art 75–82), regelt den Umgang mit bestimmten bereits im Verkehr stehenden Systemen (Art 83) und sieht eine jährliche Überprüfung der Anhänge sowie eine dreijährige Berichtspflicht vor (Art 84); das übliche Inkrafttreten soll am zwanzigsten Tag nach Promulgation im Amtsblatt erfolgen, für die volle Geltung der Bestimmungen gibt der Entwurf 24 Monate Zeit (wobei die Bestimmungen zum Notifizierungssystem und zu den Leitungsstellen bereits nach zwei Monaten und Art 71 [Sanktionen] schon 12 Monate nach dem Inkrafttreten in Geltung stehen sollen).

Anhänge

Der VO-Entwurf wird um neun Anhänge ergänzt. In Anhang I werden Techniken und Konzepte von KI sehr breit definiert und umfassen neben „Deep Learning“ auch sehr allgemein „logikund wissensgestützte Konzepte“, Expertensysteme, „statistische Ansätze“ und „Such- bzw Optimierungsmethoden“; Anhang II führt die Harmonisierungsvorschriften an, die fünf Verordnungen und sieben Richtlinien auf Grundlage des neuen Rechtsrahmens und weitere sieben Verordnungen und Richtlinien umfassen. Anhang III definiert acht Bereiche, in denen der Einsatz von KI-Systemen zur Bewertung als Hochrisiko-KI-Systeme führt; nämlich biometrische Identifizierung, kritische Infrastrukturen, Strafverfolgung, Migration, Rechtspflege und demokratische Prozesse, aber auch Bildung, Beschäftigung sowie allgemein grundlegende öffentliche und private Dienste bzw Leistungen im Zusammenhang mit öffentlichen Unterstützungsleistungen, Kreditwürdigkeitsprüfungen oder Not- und Rettungsdiensten. Die weiteren Anhänge konkretisieren Anforderungen an die technische Dokumentation (Anhang IV), an die EU-Konformitätserklärung (Anhang V), an das interne und externe Konformitätsbewertungsverfahren (Anhang VI und VII), für die Registrierung eines Hochrisiko-KI-Systems (Anhang VIII); Anhang IX schließlich nennt Unionsrechtsvorschriften für IT-Großsysteme im Raum der Freiheit, Sicherheit und des Rechts, wie insb im Zusammenhang mit dem Schengener Informationssystem, Visa, Eurodac, dem Reiseinformationssystem ETIAS oder dem Europäischen Strafregister ECRIS-TCN etc.

4. Erste Bemerkungen und Versuch einer Verortung

Der AIA verdient intensive Analyse und Diskussion in allen Teilbereichen. Das beginnt bei der Definition von „KI-System“ (die erkennbar weit formuliert ist, aber erfreulicherweise an der Zielbestimmung durch und damit Zurechenbarkeit zum Men-

schen festhält), zieht sich über die weitgehend feingranular ausformulierten materiellen Bestimmungen (die eine Umgehung erleichtern könnten) bis hin zu formalen Aspekten (wie zB die äußerst häufigen Verweise auf Normen innerhalb und außerhalb des Aktes). Diese Arbeit kann und soll hier nicht geleistet werden.

In einer ersten, lediglich dem Überblick gewidmeten Einschätzung interessiert zunächst vor allem die Einbettung der (Hochrisiko-)KI-Systeme in das bestehende Regelwerk. Dabei wird die Anbindung an das sog „New Legislative Framework“ for industrial products (NLF) der EU deutlich.57 Weil KI-Systeme aber maßgeblich auf der Nutzung von nicht zuletzt personenbezogenen Daten aufsetzen, ist auch die Schnittstelle zum Konzept der DSGVO besonders interessant.58

4.1. AIA und DSGVO

Die EK hält gleich eingangs fest, dass der AIA die DSGVO unberührt lassen, sie aber ergänzen soll.59 Hier interessieren weniger die Details,60 sondern in erster Linie strukturelle Aspekte. Das 2018 mit voller Geltung im gesamten Bereich der EU eingeführte und inzwischen mehrjährig in der Praxis erprobte europäische Datenschutz-Modell weist mE tatsächlich in grundlegender Hinsicht Ähnlichkeiten mit dem vorgeschlagenen Konzept der Regulierung von KI-Systemen auf; dennoch sind wesentliche Unterschiede feststellbar, die dem andersgearteten Charakter des AIA als Sicherheitsvorschrift geschuldet sind. Ähnlichkeiten und Unterschiede im Detail:

Hier wie dort, im Regulierungsrahmen zu KI wie in der DSGVO, geht es um den Schutz der EU-Bürger:innen vor dem Einsatz potenziell schädigender Informationssysteme, unabhängig davon, wo der Anbieter/Betreiber seinen Sitz/seine Niederlassung hat; wie im Datenschutzrecht ist für Anbieter von KI-HochrisikoSystemen mit Sitz außerhalb der EU die Benennung von Bevollmächtigten verpflichtend vorgeschrieben (Art 25).

Beide Rechtsakte dienen dem Binnenmarkt, und zwar jeweils unter expliziter Sicherstellung der im Primärrecht, also in den Verträgen und der GRC, verankerten grundrechtlichen Garantien

Ausgangspunkt ist in beiden Bereichen der risikobasierte Ansatz, der es Anbietern eines Hochrisiko-KI-Systems vergleich-

57 Explizit KOM/2021/206, 5; instruktiv zum NLF <single-market-economy. ec.europa.eu/single-market/goods/new-legislative-framework_ en> sowie die Erläuterungen der Standardisierungsorganisation(en)

CEN/CENELEC <cencenelec.eu/news-and-events/news/2022/brief-news/ 2022-03-09-new-legislative-framework/>.

58 Die DSGVO ist ihrerseits an das NLF zumindest insoweit „angedockt“, als Standardisierung, Zertifizierung, Akkreditierung und (Markt-)Überwachung wie im NLF vorgesehen sind.

59 KOM/2021/206, 4.

60 Die Ergänzung betrifft zB die Erlaubnis zur Verarbeitung besonders geschützter Daten in bestimmten Fällen nach Art 10 Abs 5 sowie personenbezogener Daten allgemein in KI-Reallaboren nach Art 54 und die Möglichkeit der Einbeziehung der DSB als Aufsichtsbehörde nach Art 63 Abs 5 des Entwurfs.

bar datenschutzrechtlichen Verantwortlichen grundsätzlich61 abverlangt, nach Selbsteinschätzung der Erfüllung aller rechtlichen und technischen Vorgaben die Zulässigkeit der Tätigkeit zu beurteilen („Konformitätsbewertung“ iSv Art 3 Z 20 iVm Art 43; vgl dazu die in Art 35 DSGVO normierte Datenschutzfolgenabschätzung). Zeigen sich bei dieser Selbstbewertung besondere Risiken, besteht eine Meldepflicht an die zuständige Behörde (Art 22, vergleichbar Art 36 DSGVO). Das Zertifizierungs-System erinnert merklich an die in Art 42 f DSGVO normierten akkreditierten Zertifizierungsstellen, mit dem Unterschied allerdings, dass bei bestimmten Hochrisiko-KI-Systemen (insb bei KI-Systemen zur biometrischen Echtzeitfernüberwachung, die aufgrund der potenziellen Eingriffsintensität nach Art 51, 60 iVm Anhang VIII auch in der dafür eingerichteten EU-Datenbank zu registrieren sind) von vornherein die Beiziehung externer notifizierter Konformitätsbewertungsstellen zwingend vorgeschrieben ist, die ihrerseits bestimmten Meldepflichten an die Behörde unterliegen.

Die zentrale Rolle des datenschutzrechtlichen „Verantwortlichen“ wird bei (Hochrisiko-)KI-Systemen den „Akteuren“ zugeschrieben. Ähnlich wie im Datenschutzrecht eine Zweckänderung den Ändernden zum Verantwortlichen macht, soll bei jeder wesentlichen Änderung eines Hochrisiko-KI-Systems die Verantwortung für die Einhaltung der Bestimmungen des AIA auf die ändernde Person übergehen.

Wie in der DSGVO wird das tatsächliche Funktionieren des risikobasierten Ansatzes durch ein dichtes System behördlicher und akkreditierter privater Kontrollstellen auf EU- und nationaler Ebene eingehegt. So wird die interne Selbstzertifizierung seitens des Anbieters durch externe Dritte, sog „Konformitätsbewertungsstellen“, ergänzt, deren Eignung von einer nationalen, für die Bewertung, Benennung und Notifizierung dieser Stellen zuständigen Behörde (vergleichbar der DSB) geprüft wird. Die nationalen „KI-Aufsichtsbehörden“ wiederum vertreten den jeweiligen Mitgliedstaat im Europäischen KI-Ausschuss (der an den EDSA erinnert) und garantieren so sowohl den EU-weiten Informationsaustausch als auch angemessene Kooperation.

Eine weitere Ähnlichkeit zur DSGVO drängt sich im Zusammenhang mit den detailliert festgelegten Anforderungen technischer, administrativer und normativer Art auf, die bei der Entwicklung von Hochrisiko-KI-Systemen vollständig zu berücksichtigen sind. Das in Art 25 DSGVO formulierte Konzept „Privacy by Design“ wird damit, umfassend verallgemeinert, zum Goldstandard europäischer KI.

Neben weiteren Eckpfeilern – wie Dokumentations- und Informationspflichten – fällt schließlich das am weltweiten Jahresumsatz orientierte Bußgeld auf, das im Rahmen der DSGVO bereits mehrfach verhängt wurde.

61 Ausnahmen gelten für Hochrisiko-KI-Systeme nach Anhang III Z 1, also im Zusammenhang mit biometrischer Identifizierung; hier muss eine externe Konformitätsbewertung durch eine notifizierte Stelle erfolgen (vgl Art 43 Abs 2) und die Sonderbestimmungen in anderen Rechtsakten, insb nach Anhang II.

Die strukturelle Ähnlichkeit mit der DSGVO kann und soll nicht darüber hinwegtäuschen, dass der AIA grundlegend andere Ziele verfolgt. Sind beim Datenschutzrecht der Schutz der Betroffenen und gleichwertig der freie Datenverkehr Hauptzweck der Norm, so stellt der AIA darauf ab, den Einsatz einer potenziell schädigenden Technologie durch harmonisierte Sicherheitsvorschriften unter Inpflichtnahme aller davon wirtschaftlich profitierenden Beteiligten62 zu normieren und so einen Ausgleich von Profit und Benefit mit Risiko- und Schädigungsneigung zu gewährleisten.

Dabei fällt zunächst auf, dass selbst Hochrisiko(!)-KI-Systeme nicht per se verboten und nur im Einzelfall bei Einhaltung bestimmter Zulässigkeitsvoraussetzungen erlaubt sind (so das in der DSGVO normierte „Verwendungsverbot unter Erlaubnisvorbehalt“), sondern umgekehrt grundsätzlich für zulässig erklärt, jedoch an erhöhte Anforderungen gebunden werden. Nur einige wenige, besonders grundrechtsinvasive Systeme sind nach Art 5 definitiv verboten.

Besonders interessant ist die Rolle der „Nutzer:innen“, die als umfassend Verpflichtete einbezogen sind. Die Legaldefinition in Art 3 Z 4 definiert „Nutzer“ als „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“; in Z 8 werden sie als „Akteur“ dem Anbieter, Bevollmächtigten, Einführer und Händler gleichgestellt, und weil in Titel III Kapitel 3 genannte Beteiligte über Art 63 explizit als „Wirtschaftsakteure“ iSv VO (EU) 2019/1020, einbezogen.63

Nutzer:innen wird bei Verarbeitung personenbezogener Daten in aller Regel die Stellung des datenschutzrechtlich Verantwortlichen zukommen und damit kumulativ die Verpflichtung zur Erfüllung sämtlicher Vorgaben der DSGVO.64 Haftungsrechtlich sind sie dem „Halter“ eines Fahrzeugs vergleichbar, gleichzeitig aber auch dem Fahrer selbst. Die im AIA formulierten Kontroll- und Überwachungspflichten sowie die Verpflichtung, notfalls die Systemnutzung einzuschränken bzw zu beenden, erinnern an die Verantwortung des „fall back ready user“ von SAE-Level 3- und 4-Fahrzeugen.65 Es läge nahe, für Nutzer:innen von Hochrisiko-KI-Systemen einen Befähigungsnachweis zu verlangen, ähnlich dem Führerschein für das Verwenden von Kraftfahrzeugen.66

Bislang im Entwurf völlig ignoriert sind die vom Einsatz eines Hochrisiko-KI-Systems Betroffenen. Ganz im Gegensatz

62 Vgl die Ausnahme von „rein persönliche[n] und nicht berufliche[n] Tätigkeiten“ nach Art 3 Z 4 letzter Halbsatz.

63 Art 63 Abs 1 lit a KOM/2021/206: „Jede Bezugnahme auf einen Wirtschaftsakteur nach der Verordnung (EU) 2019/1020 gilt auch als Bezugnahme auf alle Akteure, die in Titel III Kapitel 3 dieser Verordnung genannt werden.“

64 So explizit Art 29 Abs 6 KOM/2021/206 bezüglich der Pflicht zur Erstellung einer DSFA.

65 Dazu instruktiv Haselbacher, Rechts überholt? – Zum aktuellen Stand des Rechtsrahmens „Automatisiertes Fahren“, jusIT 2020/46, 127.

66 So bereits Turner, Robot Rules. Regulation Artificial Intelligence (2019), 315 ff, der nach einem global gespannten Überblick über bestehende Regulierungsansätze weitere interessante Anregungen liefert.

zur DSGVO, aber auch zum traditionellen67 Verständnis von Produkthaftung68 widmet der AIA ihnen keinerlei Aufmerksamkeit, was sich insb im Fehlen geeigneter Rechtsschutzinstrumente niederschlägt. Das erklärende Begleitdokument zum AIA verweist auf eine bereits im Weißbuch KI festgelegte Strategie, im AIA selbst keine Haftungsfragen behandeln zu wollen, sondern ihn ausschließlich der Sicherheit und den Grundrechten zu widmen.69 Der AIA ist damit nichts weniger (aber auch nicht mehr) als die Produktsicherheitsvorschrift für HochrisikoKI-Systeme. Als solche soll sie ergänzend neben der wenig später vorgeschlagenen Produktsicherheitsverordnung70 stehen. Beide dienen, weil Produktsicherheit „eine der Säulen der Verbraucherschutzpolitik der EU ist“,71 letztlich dem Vertrauen in den Binnenmarkt.

4.2. Gesamtgesellschaftliche Risikoverteilung

Die EK hebt zur bereits erwähnten, Ende September 2022 und damit 18 Monate nach dem Entwurf zum AIA ebenfalls zur Diskussion gestellten Richtlinie zur außervertraglichen zivilrechtlichen Haftung für durch KI verursachte Schäden sachrichtig hervor: „Sicherheit und Haftung gehören zusammen.“72 Während der AIA die Anforderungen an die Sicherheit von (Hochrisiko-)KISystemen regelt und die Vorschriften über allgemeine Produktsicherheit im Sinne des „Vorsorgeprinzips“ 73 ergänzt, soll die Richtlinie dennoch eintretende Schäden erfassen und so auch zur Einhaltung des AIA anregen.74 Erklärtes Ziel ist, es Personen, die durch den Einsatz von (Hochrisiko-)KI-Systemen geschädigt werden, zu erleichtern, die Haftenden zu ermitteln und die nötigen Beweise zu erbringen;75 insb der bei Ansprüchen aus Verschuldenshaftung im Zusammenhang mit KI-Systemen potenziell schwierige Nachweis des Kausalzusammenhangs soll durch eine widerlegbare Vermutung erleichtert werden.76 Unberührt bleiben Vertrags- und Produkthaftung, Sonderregelungen im Be-

67 Richtlinie 85/374/EWG des Rates vom 25. Juli 1985 zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Haftung für fehlerhafte Produkte, ABl L 1985/210, 29.

68 Art 1 Produkthaftungs-RL 85/374/EWG lautet klar und eindeutig: „Der Hersteller eines Produkts haftet für den Schaden, der durch einen Fehler dieses Produkts verursacht worden ist.“

69 KOM 2021/205 final, 38.

70 Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über die allgemeine Produktsicherheit, zur Änderung der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 87/357/EWG des Rates und der Richtlinie 2001/95/EG des Europäischen Parlaments und des Rates, KOM/2021/346 final.

71 KOM/2012/346, 7, FN 17.

72 KOM/2022/0496 final, 3; deshalb werden aktuell auch die Produkthaftungsvorschriften überarbeitet; vgl dazu insb den Vorschlag für eine RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES über die Haftung für fehlerhafte Produkte, KOM/2022/495; dazu an anderer Stelle mehr.

73 So explizit Art 2 Abs 5 KOM/2021/346.

74 KOM/2022/496, 3.

75 KOM/2022/496, 14.

76 Für Details vgl Art 4 KOM/2022/496.

reich des Verkehr und nach dem DSA sowie die strafrechtliche Verantwortlichkeit.77

Dieses Konzept gesamtgesellschaftlicher Risikoverteilung im Zusammenhang mit der Nutzung von KI-Systemen – nämlich: allgemeine und spezielle Sicherheitsvorschriften, ergänzt um bestehende und neue Haftungsregelungen – kann sich allerdings nur dann bewähren, wenn weitere Regulierungen sicherstellen, dass das von der Allgemeinheit zu tragende Restrisiko abgesichert wird, indem den trotz aller Vorsorge eintretenden Schäden zumindest vermögensrechtlich ausreichend begegnet wird und Geschädigte unkompliziert und rasch umfassende Unterstützung erfahren. Darüber hinaus sollte sichergestellt werden, dass das gesamtgesellschaftlich zu tragende Restrisiko einer angemessenen ökonomischen Beteiligung aller am wirtschaftlichen Erfolg entspricht.

Dafür bieten sich insb zwei Maßnahmen an: 1. die Einbeziehung der datenerzeugenden und am Training der Systeme aktiv beteiligten Nutzer:innen als ProdUser in die Wertschöpfungskette der Datenwirtschaft,78 was in Anbetracht der Behandlung der Nutzer:innen im AIA als Wirtschaftsakteure naheliegt, und 2. die gerechte Umverteilung von aus Datenwirtschaft erzieltem Vermögen durch steuerrechtliche Maßnahmen.

Solche grundlegenden Änderungen des Rechtssystems sollten aber nicht ohne die intensive Begleitung, Analyse und Kommentierung seitens der Rechtswissenschaften durchgeführt werden. Neben allen anderen Wissenschaften, die gesellschaftliche Anliegen verfolgen, ist es vor allem unsere Aufgabe, aufgrund unserer Kompetenz das Recht als seit Jahrtausenden bewährtes und laufend adaptiertes, funktionierendes soziales System zur Friedenserhaltung zu bewahren.

5. Fazit und (globaler) Ausblick

Die EU bemüht sich erkennbar, den Weg in die Digitalisierung konsequent im Rahmen der Europäischen Grundrechte und Werte zu gehen. Dieses Anliegen spiegelt auch der von der EK im April 2021 vorgelegte Entwurf zu einem KI-Gesetz wider. Er ist in ein umfassendes, teils bereits existierendes, teils zu adaptierendes, teils neu zu schaffendes Regelwerk aus Sicherheitsvorschriften und Haftungsregelungen eingebettet. Das komplexe Vorhaben macht das Verständnis des Gesamtsystems nicht einfach, unterstreicht aber mE nochmals das Bemühen der EU um menschenwürdige Techniknutzung.

Im Oktober 2022 hat auch die USA eine „AI Bill of Rights“vorgelegt.79 Sie stellt „Safe and Effective Systems“, „Algorithmic Discrimination Protection“, „Data Privacy“, „Notice and Explanation“ sowie „Human Alternatives, Consideration and Fallbacks“

77 Vgl im Detail Art 1 Abs 2 und 3 KOM/2022/496.

78 Zur dogmatischen Möglichkeit eines Dateneigentums in Österreich ausf Staudegger, Daten im Zivilrecht, in 20. ÖJT Band II/2 (2019) 67, sowie zuletzt Staudegger, „Dateneigentum“ – Licht und Schatten österreichischer Zivilrechtsdogmatik am Beispiel des Eigentums an unkörperlichen Sachen, in FS Mader (2022) 319.

79 Dokumentiert und abrufbar unter <whitehouse.gov/ostp/ai-bill-of-rights/>.

in den Fokus der Aufmerksamkeit. Der Schönheitsfehler daran ist, dass es sich lediglich um Empfehlungen handelt. Sie ist der eingangs vorgestellten feierlichen Erklärung der EU, die als politisches Bekenntnis zu strikter Selbstbindung an die rechtsförmliche Grundrechtecharta verstanden werden muss, und den ihr folgenden, oben beschriebenen Aktivitäten des Unionsgesetzgebers im Bereich der KI-Regulierung nicht vergleichbar.

Über Chinas Haltung zu (westlichen) Grund- und Menschenrechten mit Bezug auf Digitalisierung ist in der österreichischen juristischen Fachliteratur wenig publiziert. Swoboda, der als einer der ganz wenigen Autoren auch China seine Aufmerksamkeit widmet, stellt fest, dass im Gegensatz zu Russland, das auf militärische und politische Maßnahmen setze, China wirtschaftlich Einfluss gewinnen möchte.80 Sehr klar erkennbar ist, dass China als aufstrebende Volkswirtschaft gerade im Bereich der Digitalisierung eine Vorreiterrolle einnehmen will. Die deutsche Bundeszentrale für politische Bildung veröffentlichte dazu im März 2022 einen Beitrag,81 in dem darauf hingewiesen wird, dass China den Weg über die Beeinflussung technischer Standards geht.82 Damm untermauert die Behauptung mit dem Faktum, dass China bereits jetzt weltweit führend bei Veröffentlichungen und Patenten im Bereich von KI ist, und führt das auch auf das Fehlen klarer Richtlinien und (insb Datenschutz-)Vorschriften zurück. Diese Einschätzung deckt sich mit dem Bericht über künstliche Intelligenz im digitalen Zeitalter,83 der im Mai 2022 zu einer Entschließung des Europäischen Parlaments geführt hat,84 in der das EP in einem „dringenden Handlungsaufruf!“85 ein rasches und grundrechtskonformes Tätigwerden der EU fordert. Die EK ist dem Aufruf mit den oben beschriebenen Vorschlägen gefolgt.

Es scheint unbestreitbar, dass die Digitale Transformation statt fi nden wird bzw bereits statt fi ndet; ebenso unbestreitbar ist, dass die Gestaltung der Technologie als Artefakt in den Händen der Menschen – und zwar aller Gesellschaften – liegt. Das Bekenntnis und erkennbare Bemühen der EU, diese Veränderungen unter Achtung der Menschenwürde im Rahmen der Grundrechte zu halten, verdient größtmögliche Unterstützung. Gerade und vor allem auch vonseiten der Rechtswissenschaften.

80 Swoboda, Menschenrechte, Demokratie und Realpolitik. Anmerkungen zur Europäischen Menschenrechtspolitik, in FS Nowak/Tretter (2019) 207 (213).

81 Vgl dazu instruktiv Damm, Chinas Digitalisierung: Effizienz und Kontrolle durch eigene Technologiestandards, abrufbar unter <bpb.de/themen/asien/china/506031/chinas-digitalisierung-effizienz-und-kontrolledurch-eigene-technologiestandards/>.

82 Damm/Kluver, Interview vom 17. 3. 2022, abrufbar unter <bpb.de/ themen/asien/china/506032/chinas-it-standards-sollen-in-der-weltdominant-werden/>.

83 Abrufbar unter <europarl.europa.eu/doceo/document/A-9-2022-0088_ DE.html>.

84 Entschließung des Europäischen Parlaments vom 3. Mai 2022 zur künstlichen Intelligenz im digitalen Zeitalter (2020/2266(INI)), abrufbar unter <europarl.europa.eu/doceo/document/TA-9-2022-0140_DE.html>.

85 Entschließung vom 3. Mai 2022, P9_TA(2022)0140, Fazit, Rz 294 ff (298, 302, 303).

Addendum: Überblick über den Entwurf zum AIA, KOM/2021/206

TitelArt/KapInhalt/ Überschrift

Titel I Allgemeine Bestimmungen

(Art 69)69Verhaltenskodizesx

Anhang ITechniken und Konzepte der KI

Anhang IIHarmonisierungsvorschriften

Anhang IIIHochrisiko-KI-Systeme nach Art 6 Abs 2

Anhang IVTechnische Dokumentation (Art 11 Abs 1)

Anhang VEU-Konformitätserklärung (Art 48)

Anhang VI Konformitätsbewertungsverfahren/int

Anhang VIIKonformitätsbewertungsverfahren

Anhang VIIIRegistrierung Hochrisiko-KI-System

Anhang IXBestimmte IT-Großsysteme

Die Autorin:

Univ.-Prof.in Dr.in Elisabeth Staudegger leitet den Fachbereich Recht und IT am Institut für Rechtswissenschaftliche Grundlagen an der Universität Graz. Als Gründungsmitglied des interdisziplinären Forschungsnetzwerks „Human Factor in Digital Transformation“ (HFDT) und Sprecherin des HFDT-Doktoratsprogramms widmet sie sich intensiv den gesellschaftlichen Implikationen der Digitalisierung. Laufend einschlägige Publikationen und Vorträge. lesen.lexisnexis.at/autor/Staudegger/Elisabeth

IT-RECHT JUDIKATUR

URHEBERRECHT

EuGH: Keine Kabelweiterverbreitung durch Hotelfernsehen

» jusIT 2023/3

GRC: Art 17 Abs 2

RL 93/83/EWG: Art 1 Abs 3, Art 8 Abs 1

RL 2006/115/EG: Art 8 Abs 3

EuGH 8. 9. 2022, C-716/20 (RTL Television)

1. Der Begriff der Kabelweiterverbreitung nach Art 1 Abs 3 SatCab-RL 93/83/EWG setzt nicht voraus, dass die Einheit, die diese Weiterverbreitung vornimmt, ein Sendeunternehmen ist.

2. Ein Kabelnetzbetreiber benötigt für jeden weiterverbreiteten Programmteil die Erlaubnis sämtlicher Inhaber von Urheberrechten und verwandten Schutzrechten, wobei diese Erlaubnis, abgesehen von zeitweiligen Ausnahmen für bestimmte gesetzliche Lizenzen, vertraglich zu erteilen ist, was der geeignetste Weg für die Schaffung eines europäischen audiovisuellen Raums in einem Rahmen ist, der Rechtssicherheit gewährleistet.

3. Art 8 Abs 1 SatCab-RL 93/83/EWG lässt den genauen Umfang der Urheberrechte oder verwandten Schutzrechte, der nach anderen Instrumenten des Unionsrechts wie der InfoSoc-RL 2001/29/EG und der Vermietund Verleih-RL 2006/115/EG sowie nach nationalem Recht festgelegt ist, unberührt.

4. Art 1 Abs 3 iVm Art 8 Abs 1 SatCab-RL 93/83/EWG sieht für Sendeunternehmen kein ausschließliches Recht vor, die Kabelweiterverbreitung zu erlauben oder zu verbieten.

5. Selbst wenn das nationale Recht ein ausschließliches Recht der Sendeunternehmen vorsehen sollte, die Verbreitung über Kabel zu erlauben oder zu verbieten, regelt die SatCab-RL 93/83/EWG nur die Ausübung des Rechts zur Kabelweiterverbreitung im Verhältnis zwischen den Inhabern der Urheberrechte und verwandter Schutzrechte auf der einen und den Kabelnetzbetreibern bzw den Kabelunternehmen auf der anderen Seite.

6. Die Begriffe „ Kabelnetzbetreiber “ bzw „ Kabelunternehmen“ bezeichnen nur die Betreiber traditioneller Kabelnetze, also Personen, deren berufliche Tätigkeit im Betrieb eines Kabelnetzes für die klassische Fernsehverbreitung besteht; Einrichtungen wie Hotels fallen nicht unter diese Begriffe.

7. Die zeitgleiche, unveränderte und vollständige Verbreitung von durch Satellit übermittelten und zum öffentlichen Empfang bestimmten Fernseh- oder Radiosendungen stellt keine Kabelweiterverbreitung iSd SatCab-RL 93/83/EWG dar, wenn diese Weiterverbreitung durch eine andere Person als ein Kabelunternehmen iSd SatCab-RL 93/83/EWG, wie etwa ein Hotel, erfolgt.

Anmerkung des Bearbeiters:

Das vorliegende Urteil geht auf ein portugiesisches Vorabentscheidungsersuchen aus dem Jahr 2020 zurück. Seinen Anfang nahm der zugrunde liegende Rechtsstreit allerdings bereits im Jahr 2012: RTL verlangte von Grupo Pestana ua die Zahlung einer Gebühr für die Bereitstellung mehrerer zu RTL gehörender Sender in den Hotelzimmern der von Grupo Pestana bzw ihren Tochterunternehmen in Portugal betriebenen Hotels. Den folgenden Rechtsstreit vor den portugiesischen Gerichten verlor RTL sowohl in erster als auch in zweiter Instanz. Die dritte Instanz, das Supremo Tribunal de Justiça, legte dem EuGH schließlich die Frage vor, ob die Verbreitung von Sendungen über Koaxialkabel in den Zimmern der betreffenden Hotels eine Weiterverbreitung dieser Sendungen darstellt, die der Zustimmung des Sendeunternehmens (hier: RTL) unterliegt.

Eingangs geht der EuGH auf den Antrag von RTL auf Wiedereröffnung des mündlichen Verfahrens ein. Dieser wurde im Wesentlichen darauf gestützt, dass die Schlussanträge des Generalanwalts auf einer mangelhaften Prüfung mehrerer Aspekte des tatsächlichen, technischen und rechtlichen Zusammenhangs des Ausgangsrechtsstreits beruhten (Rz 48). Der Gerichtshof hält hierzu insb fest, dass es keine Möglichkeiten für die Parteien gibt, zu den Schlussanträgen Stellung zu nehmen, der Antrag von RTL jedoch ebendies bezweckte (Rz 51 f). Die Sache war auch entscheidungsreif, weshalb das mündliche Verfahren nicht wieder zu eröffnen war (Rz 53 f).

Zum Begriff der Kabelweiterverbreitung, der in Art 1 Abs 3 SatCab-RL 93/83/EWG definiert wird, hält der EuGH fest, dass dieser nicht nur Weiterverbreitungen durch Sendeunternehmen erfasst (Rz 64). Dieser Schluss könnte zwar aus den einschlägigen völkerrechtlichen Verträgen gezogen werden, allerdings betreffen diese nur den klassischen drahtlosen Rundfunk; zudem wurde der Begriff der Kabelweiterverbreitung ausdrücklich für die Zwecke der SatCab-RL 93/83/EWG vorgesehen (Rz 65 ff ).

Aus Art 8 und ErwGr 27 SatCab-RL 93/83/EWG ergibt sich außerdem, dass die Richtlinie die Mitgliedstaaten weder zur Schaffung eines speziellen Rechts auf Kabelweiterverbreitung verpflichtet noch den Umfang eines solchen Rechts definiert (Rz 69). Vorgesehen ist jedoch, dass ein Kabelnetzbetreiber für jeden weiterverbreiteten Programmteil die Erlaubnis sämtlicher Inhaber von Urheberrechten und verwandten Schutzrechten benötigt, was sich aus

einer Gesamtbetrachtung der ErwGr 8, 9 und 27 SatCab-RL 93/83/ EWG herleiten lässt (Rz 72). Der Umfang der relevanten Urheberrechte und verwandten Schutzrechte, der sich aus (i) der InfoSoc-RL 2001/29/EG, (ii) der Vermiet- und Verleih-RL 2006/115/ EG und aus (iii) dem nationalen Recht ergibt, bleibt von der SatCab-RL 93/83/EWG unberührt, also ungeregelt (Rz 74, 80).

Von besonderer Bedeutung in diesem Zusammenhang ist Art 8 Abs 3 Vermiet- und Verleih-RL 2006/115/EG, wonach Mitgliedstaaten für Sendeunternehmen das ausschließliche Recht vorsehen müssen, die drahtlose Weitersendung ihrer Sendungen sowie die öffentliche Wiedergabe ihrer Sendungen zu erlauben oder zu verbieten, wenn die betreffende Wiedergabe an Orten stattfindet, die der Öffentlichkeit gegen Zahlung eines Eintrittsgeldes zugänglich sind. Die Zahlung eines solchen Eintrittsgeldes liegt jedoch nicht vor, wenn diese Wiedergabe eine Zusatzleistung darstellt, die unterschiedslos im Preis einer Hauptleistung anderer Art, wie der Dienstleistung der Beherbergung in einem Hotel, enthalten ist (Rz 79 unter Verweis auf EuGH 16. 2. 2017, C-641/15 [Verwertungsgesellschaft Rundfunk] Rz 23 und 26, ecolex 2017/149, 342 [Zemann] = jusIT 2017/75, 178 [Staudegger] = MR 2017, 137 [Walter] = ÖBl-LS 2017/14 [Handig]). Die Voraussetzung des „Eintrittsgeldes“ war hier somit offenkundig nicht erfüllt (Rz 59). Die Mitgliedstaaten können den Sendeunternehmen aber auch einen über Art 8 Abs 3 Vermietund Verleih-RL 2006/115/E hinausgehenden Schutz gewähren, also etwa auch ein ausschließliches Recht der Sendeunternehmen vorsehen, die Verbreitung über Kabel zu erlauben oder zu verbieten (Rz 75 f unter Verweis auf EuGH 26. 3. 2015, C-279/13 [C More Entertainment] Rz 35, jusIT 2015/36, 96 [Staudegger] = MR-Int 2015, 22 [Walter] = ZTR 2015, 130 [Lee]).

Die SatCab-RL 93/83/EWG regelt jedenfalls nur die Ausübung des Rechts zur Kabelweiterverbreitung im Verhältnis zwischen den Inhabern der Urheberrechte und verwandten Schutzrechte auf der einen Seite und den Kabelnetzbetreibern bzw Kabelunternehmen auf der anderen Seite (Rz 76). Mit dem Begriff des Kabelnetzbetreibers bzw Kabelunternehmens sollen nur Betreiber traditioneller Kabelnetze erfasst werden (Rz 77 unter Verweis auf SA 10. 3. 2022, C-716/20 Rz 73, ECLI:EU:C:2022:187). Bei anderer Auslegung würde das Recht nach Art 8 Abs 3 Vermiet- und Verleih-RL 2006/115/EG dem Recht der öffentlichen Wiedergabe nach Art 3 Abs 1 InfoSoc-RL 2001/29/EG gleichgestellt, was dem Ziel der SatCab-RL 93/83/EWG, den Umfang der einschlägigen Urheberrechte und verwandten Schutzrechte unberührt zu lassen, entgegenstünde (Rz 78 ff; gemeint wohl: weil damit der in Art 8 Abs 3 Vermiet- und Verleih-RL 2006/115/EG enthaltene erste Fall der Weitersendung einen weiteren persönlichen Anwendungsbereich erhalten würde). Dies wird ferner durch den Zweck der SatCab-RL 93/83/EWG bestätigt, die Kabelweiterverbreitung zu erleichtern und die Erteilung von Erlaubnissen zu fördern (Rz 82 f).

Abschließend und zusammenfassend hält der Gerichtshof fest, dass Hotels nicht unter die Begriffe „Kabelnetzbetreiber“ bzw „Kabelunternehmen“ iSd SatCab-RL 93/83/EWG fallen (Rz 84).

Art 1 Abs 3 iVm Art 8 Abs 1 SatCab-RL 93/83/EWG sind zudem dahingehend auszulegen, dass (i) sie für Sendeunternehmen kein

ausschließliches Recht vorsehen, die Kabelweiterverbreitung zu erlauben oder zu verbieten, und dass (ii) die zeitgleiche, unveränderte und vollständige Verbreitung von durch Satellit übermittelten und zum öffentlichen Empfang bestimmten Fernseh- oder Radiosendungen keine Kabelweiterverbreitung darstellt, wenn diese Weiterverbreitung durch eine andere Person als ein Kabelunternehmen, zB durch ein Hotel, erfolgt (Rz 85).

Kritik: Die Entscheidung basiert im Wesentlichen darauf, dass –mit den Worten des Generalanwalts – der Begriff der Kabelweiterverbreitung „historisch und nicht dynamisch zu verstehen“ ist (SA 10. 3. 2022, C-716/20 Rz 73, ECLI:EU:C:2022:187). Auch deshalb war eine Anpassung dieses Begriffs durch Art 9 Online-SatCab-RL (EU) 2019/789 notwendig. Diese Argumentation macht aber mE auch deutlich, dass es gerade in diesem Bereich, der ständigen technologischen und wirtschaftlichen Entwicklungen unterworfen ist, eines neuen, flexibleren Regelungsrahmens bedürfte.

Für Sendeunternehmen (in der Diktion des UrhG: Rundfunkunternehmer) ist das Urteil vor allem deshalb besonders bitter, weil die Nutzung der Sendungen im Rahmen des Hotelfernsehens somit völlig vergütungsfrei erfolgen kann – soweit nicht der nationale Gesetzgeber über Art 8 Abs 3 Vermiet- und Verleih-RL 2006/115/EG hinausgehende Rechte vorsieht. Der österreichische Gesetzgeber hat eben dies nicht getan, sondern mit der letzten Novelle des UrhG (BGBl I 244/2021) dezidiert festgelegt, dass „das Senderecht nur bis zu den Antennenanlagen des Hotels reicht“ (ErläutRV 1178 BlgNR XXVII. GP, 8; krit hierzu Bernsteiner in Thiele/Burgstaller [Hrsg], UrhG4 [2022] § 18 Rz 40 f; Schmitt, Die Urheberrechts-Novelle 2021 im Überblick, in Staudegger/Thiele [Hrsg], Jahrbuch Geistiges Eigentum 2022 [2022] 229 [238]). Durch das Urteil wird die Unionsrechtskonformität dieser Regelung indirekt bestätigt (so auch Handig, Grenzen des Signalschutzrechts, ecolex 2022/648, 995 [996]). Im Übrigen besteht –gerade angesichts der soeben erwähnten Neuregelung des „Hotelfernsehens“ – auch kein eigenes Recht der Kabelweitersendung für Rundfunkunternehmer (siehe dazu bereits Schmitt, Neues zur Weitersendung von TV-Programmen und zu OnlineVideorekordern, jusIT 2021/3, 15 [17 f]), obwohl ein solches laut EuGH zulässigerweise geschaffen werden könnte.

Im Sinne des Schutzes der Rechteinhaber wäre es mE jedenfalls sinnvoll, die Nutzungen im Rahmen des Hotelfernsehens zu erfassen, denn dabei werden geschützte Inhalte zum Vorteil der Hotels massenweise durch die Gäste genutzt. Es mag sein, dass dafür kein „Eintrittsgeld“ im Sinne der Rsp des EuGH verlangt wird, aber es handelt sich doch unbestreitbar um eine Leistung, die so mancher Gast als Teil des Hotelservice verlangt und voraussetzt. Das Hotelfernsehen hat damit eine wirtschaftliche Werthaltigkeit für den Hotelbetreiber, an dem auch die Rechteinhaber im Sinne eines gerechten Ausgleichs partizipieren sollten.

Insofern kann das vorliegende Urteil bereits dahin gehend kritisiert werden, dass der Schutz des geistigen Eigentums zwar grundrechtlich abgesichert ist (vgl nur Art 17 Abs 2 GRC und Art 1 1. ZPEMRK), dieser Schutz nunmehr jedoch hinsichtlich der Nutzung im Rahmen des Hotelfernsehens – im Wesentlichen gestützt auf Termini (zB den Begriff des „Eintrittsgeldes“) und historische

Überlegungen (zB betreffend die Begriffe der „Kabelweiterverbreitung“ und des „Kabelunternehmens“) – durchlöchert bzw die Lückenhaftigkeit dieses Schutzes hingenommen wird. Einen solch eingeschränkten Schutz bzw die Hinnahme eines ungeschützten Bereichs, innerhalb dessen Schutzgegenstände ohne Ausgleich genutzt werden können, wird man dem (historischen) Richtliniengeber jedoch mE nicht als Ziel unterstellen können.

Zusammenfassung: Die SatCab-RL 93/83/EWG sieht kein ausschließliches Recht für Sendeunternehmen vor, die Kabelweiterverbreitung zu erlauben oder zu verbieten. Zudem ist die zeitgleiche, unveränderte und vollständige Verbreitung von via Satelliten übermittelten und zum öffentlichen Empfang bestimmten Fernseh- oder Radiosendungen durch andere Personen als Kabelunternehmen, wie etwa ein Hotel, keine Kabelweiterverbreitung iSd SatCab-RL 93/83/EWG.

Bearbeiter: Thomas Rainer Schmitt

EGMR: Schadenersatz für Autor

wegen unzureichend begründeter

Gerichtsurteile

» jusIT 2023/4

1. ZPEMRK: Art 1

WCT: Art 6

EGMR 1. 9. 2022, 885/12 (Safarov gg Azerbaijan)

1. Art 1 1. ZPEMRK umfasst auch den Schutz des geistigen Eigentums und verlangt vom Vertragsstaat die Gewährleistung eines hinreichenden rechtlichen Schutzes sowie angemessener Möglichkeiten zur Verteidigung der (geistigen) Eigentumsrechte, inklusive der Möglichkeit Schadenersatz zu verlangen.

2. Um der Verpflichtung gem Art 1 1. ZPEMRK zu entsprechen, müssen nationale Gerichte eine hinreichende rechtliche Begründung liefern, wenn sie auf die Verteidigung von Urheberrechten gerichtete Klagen abweisen, wobei die Begründung umso ausführlicher sein muss, je größer die mit dem Urteil einhergehenden Einschränkungen für den Urheber sind (etwa aufgrund der Art oder des Umfangs der Nutzung seines Werks).

3. Art 6 WCT bezieht sich, wie sich auch aus der dazugehörigen Vereinbarten Erklärung ergibt, auf rechtmäßig veröffentlichte und festgehaltene Werkkopien, die als körperliche Objekte in den Verkauf gelangen.

Anmerkung des Bearbeiters:

Der vorliegende Fall basiert auf der Beschwerde des aserbaidschanischen Autors Rafiq Firuz oğlu Səfərov, der Aserbaidschan

vorwarf, seine Urheberrechte nicht entsprechend der Verpflichtung gem Art 1 1. ZPEMRK zu schützen.

Streitbegründend war ein Verhalten, das bereits im Jahr 2010 gesetzt wurde: Das Buch des Beschwerdeführers wurde von einer NGO, der Irali Public Union, ohne Zustimmung des Autors in elektronischer Form unter <history.az> online zur Verfügung gestellt, 417 Mal heruntergeladen und später (auf Betreiben des Autors) wieder von der Website genommen. Es folgte eine Klage vor den aserbaidschanischen Zivilgerichten, gerichtet auf die Leistung von Schadenersatz wegen unerlaubter Vervielfältigung und Zurverfügungstellung, welche jedoch in allen drei Instanzen abgewiesen wurde. Begründet wurde dies im Wesentlichen damit, dass das aserbaidschanische Urheberrecht die Vervielfältigung für den persönlichen Gebrauch und für Büchereien, Archive und Bildungseinrichtungen gestattete. Der Aserbaidschanische Oberste Gerichtshof fügte hinzu, dass der Autor sein Recht der öffentlichen Wiedergabe durch die Veröffentlichung und das Anbieten seines Buchs zum Kauf erschöpft habe. Wegen dieser abweisenden Urteile erhob der Autor am 22. 12. 2011 Beschwerde vor dem EGMR.

Der Gerichtshof bestätigte zunächst ganz allgemein seine stRsp, wonach der Schutz des geistigen Eigentums, inklusive des Urheberrechts, von Art 1 1. ZPEMRK umfasst ist (Rz 30). Zum Schutz dieses Eigentums ist es erforderlich, dass der jeweilige Vertragsstaat aktiv die dafür notwendigen Maßnahmen ergreift, welche präventiver oder reaktiver Natur sein können, wobei dem Staat ein großer Spielraum hinsichtlich der konkreten Ausgestaltung zukommt. Die Verpflichtung nach Art 1 1. ZPEMRK zielt einerseits darauf ab, dass ein rechtlicher Schutz des geistigen Eigentums dem Grunde nach besteht, verlangt andererseits aber auch die konkrete Möglichkeit, diese Rechte zu verteidigen, insb auch durch die Möglichkeit Schadenersatz zu verlangen (Rz 31).

Zum gegenständlichen Fall hielt der EGMR einleitend fest, dass sich die Beschwerde auf die ungesetzliche und willkürliche Anwendung des Urheberrechts durch die Gerichte stützt, nicht hingegen auf einen dem Grunde nach mangelhaften Schutz der Autorenrechte durch das aserbaidschanische Recht (Rz 32).

Die Anwendbarkeit der Ausnahme vom Vervielfältigungsrecht für Nutzungen zum Zwecke des persönlichen Gebrauchs verwirft der EGMR bereits aus dem Grund, dass das gesamte Buch kopiert wurde, was auch nach aserbaidschanischem Recht unzulässig ist, worauf die Gerichte aber nicht eingegangen sind (Rz 33). Ergänzend würdigt der Gerichtshof, dass die Nutzerin eine juristische Person ist und die Nutzung in Form einer Online-Zurverfügungstellung für eine unbegrenzte Zahl an Leser:innen erfolgte.

Bezüglich der freien Werknutzung für Büchereien, Archive und Bildungseinrichtungen im aserbaidschanischen Urheberrecht lässt der Gerichtshof offen, ob die hier genutzte Website tatsächlich unter einen solchen Zweck subsumiert werden könnte, bzw ob Onlinedienste unter den Begriff der „Büchereien“ fallen könnten. Selbst unter der Annahme, dass dies zuträfe, wurde durch die aserbaidschanischen Gerichte aber auch nicht ausgeführt, welche Litera der herangezogenen Bestimmung des aserbaidschanischen Urheberrechts konkret anwendbar sein soll. Angesichts der Tatsache, dass das Buch online für einen weltweiten

Adressatenkreis (und somit nicht etwa nur für Besucher einer Bibliothek) frei verfügbar gemacht wurde, wäre jedoch eine ausführliche Begründung erforderlich gewesen (Rz 34). Die Argumentation der Gerichte allein damit, dass die Nutzerin keine kommerziellen Zwecke verfolgte, war nicht ausreichend.

Hinsichtlich des Arguments des Aserbaidschanischen Obersten Gerichtshofs, das Recht der öffentlichen Wiedergabe am Buch sei erschöpft gewesen, hält der EGMR fest, dass sich die herangezogene Bestimmung des aserbaidschanischen Urheberrechts nur (i) auf das Verbreitungsrecht und (ii) auf rechtmäßig veröffentlichte und festgehaltene Werkkopien bezieht, die als körperliche Objekte in den Verkauf gelangen. Dies ergibt sich auch durch Heranziehung von Art 6 WCT (dessen Abs 2 die Grundlage für nationale Ausformungen des Erschöpfungsgrundsatzes enthält) und die dazugehörige Vereinbarte Erklärung (Rz 35).

Eine Erläuterung, warum die Regelung im vorliegenden Fall einschlägig sein sollte, wo es nicht um eine Verbreitung, sondern um die Vervielfältigung in einer neuen, digitalen Form und um die Online-Veröffentlichung eines Buchs geht, lieferte der Aserbaidschanische Oberste Gerichtshof nicht. Zudem hatte der Autor zwar der analogen Vervielfältigung und Veröffentlichung seines Buchs zugestimmt, Hinweise auf eine solche Zustimmung für die Vervielfältigung und öffentliche Wiedergabe des Werks in digitaler Form enthielt der Sachverhalt jedoch nicht.

Da die aserbaidschanischen Gerichte keine hinreichende rechtliche Begründung für ihre Urteile lieferten, befand der EGMR, dass Aserbaidschan seine Verpflichtung gem Art 1

1. ZPEMRK, effektive Abhilfemaßnahmen gegen Verletzungen des (geistigen) Eigentums zu gewährleisten, verletzt hat (Rz 36 f). An Schadenersatz begehrte der Beschwerdeführer insgesamt

€ 78.286. Hierzu hielt der Gerichtshof jedoch fest, dass keine hinreichenden Belege geliefert wurden und sprach daher nur

€ 5.000 für die geltend gemachten materiellen und immateriellen Schäden zu (Rz 43).

Kritik: Die Ausführungen des Gerichtshofs überzeugen zwar, setzen sich mit den zugrunde liegenden, materiell-rechtlichen Fragen jedoch nicht im Detail auseinander. Bemerkenswert ist das Urteil aber jedenfalls schon deshalb, weil es aufzeigt, dass der konventionsrechtliche Schutz des geistigen Eigentums nicht schon durch ein abstrakt funktionierendes Gerichtssystem sichergestellt wird, sondern dieser von den nationalen Gerichten auch eine „hinreichende Begründung“ verlangt. Wie sich zwar nicht dezidiert aus dem Urteil des EGMR, aber doch aus seinen Gründen ergibt, muss diese Begründung umso ausführlicher sein, je „kreativer“ das nationale Gericht wird. Dies wird insb in Rz 34 deutlich, wo der Gerichtshof zu Recht betont, dass zwischen Websitebesuch und Bibliotheksbesuch ein maßgeblicher Unterschied für die Verwertung urheberrechtlich geschützter Werke besteht und es daher einer elaborierten Begründung dafür bedarf, warum bibliotheksbezogene freie Werknutzungen auf eine websitebezogene Nutzung wie hier anwendbar sein sollen. Daraus folgt aber auch, dass der Gerichtshof eine solche Argumentation zumindest potenziell für möglich und nicht als jedenfalls konventionsrechtswidrig ansieht.

Ausblick: Von besonderem Interesse sind auch die Ausführungen zum Erschöpfungsgrundsatz (Rz 35 des Urteils). Die dort enthaltenen Hinweise auf Art 6 WCT und die dazugehörige Vereinbarte Erklärung überraschen nicht, allerdings kann der Urteilstext durchaus auch dahin gehend verstanden werden, dass eine „Online-Erschöpfung“ argumentierbar und damit nicht per se konventionsrechtswidrig wäre. In Fällen wie dem vorliegenden erscheint dies jedoch schon aus systematischen Gründen schwierig, weil für Nutzungen durch Einrichtungen des Kulturerbes und Bildungseinrichtungen dezidiert eigene freie Werknutzungen in sehr spezifischen Konstellationen existieren, die Ausnahmen vom Zurverfügungstellungsrecht nur in seltenen Fällen vorsehen, etwa im Zusammenhang mit vergriffenen Werken (Art 8 DSM-RL [EU] 2019/790). Hinsichtlich Gebrauchthandelssituationen bleibt es ungeachtet dieses Urteils – zumindest für e-Books – aufgrund der Rsp des EuGH dabei, dass der Erschöpfungsgrundsatz nicht zur Anwendung gelangt (vgl EuGH 19. 12. 2019, C-263/18 [Tom Kabinet] Rz 51 ff, jusIT 2020/3, 10 [Schmitt] = MR-Int 2020, 13 [Walter] = ZIIR 2020, 89 [Thiele]).

Zusammenfassung: Nationale Gerichte müssen hinreichend begründen, warum sie geistige Eigentumsrechte, zB durch die Anwendung von Ausnahmen vom Urheberrecht, einschränken. Andernfalls wird der Verpflichtung gem Art 1 des 1. ZPEMRK nicht entsprochen und den Urheber:innen stehen Schadenersatzansprüche gegen den jeweiligen Vertragsstaat zu.

Bearbeiter: Thomas Rainer Schmitt

PERSÖNLICHKEITSRECHT

EGMR: Unzulässiges Racial Profiling durch Polizeihandeln

» jusIT 2023/5

EMRK: Art 8, 13, 14

BPolG (Deutschland) § 23 Abs 1 Nr 3

VwGO (Deutschland) § 113 Abs 1 Satz 4

EGMR 18. 10. 2022, 215/19 (Basu gg Deutschland)

Die öffentliche Hand ist verpflichtet, polizeiliche Übergriffe, die auf rassischer oder sonstiger Diskriminierung beruhen (hier: Personenkontrolle ausschließlich gegenüber der einzigen Person of Color [POC] in einem Zugwaggon nach dem Grenzübertritt), durch externe Behörden oder Gerichte einer effektiven inhaltlichen Nachprüfung aufgrund einer Beschwerde der Betroffenen zu unterziehen. Kommt sie dieser materiellen Schutz- und Gewährleistungsverpflichtung nicht nach, liegt eine Verletzung von Art 14 iVm Art 8 EMRK wegen Racial Profiling vor.

Anmerkung des Bearbeiters:

In dem aus Deutschland stammenden Ausgangsfall wurden im Jahr 2012 der spätere Beschwerdeführer Biplab Basu (Bf; ein bekannter Polizeikritiker und literarisch ausgewiesener Rassismusgegner) und seine Tochter gemeinsam kurz hinter der Grenze zu Tschechien von der deutschen Polizei in einem Zug kontrolliert. Der Bf gab im daraufhin angestrengten Verwaltungsbeschwerdeverfahren vor dem VG Dresden an, dass seine Tochter und er „die einzigen Nicht-Weißen im Waggon“ gewesen wären. Sie wurden auch als einzige perlustriert; die Polizei bestritt diese Vorgangsweise, da auch von anderen die Personalien festgestellt worden wären. Das Verwaltungsgericht wies die Feststellungsklage ab, die II. Instanz bestätigte und verneinte einen tiefgreifenden Grundrechtseingriff durch die Polizisten (OVG Sachsen 17. 11. 2015, 3 A 440/15 [Personalienfeststellung], abrufbar unter <justiz.sachsen.de/ovgentschweb/documents/15A440. pdf> [5. 11. 2022]). Nachdem auch das BVerfG im Jahr 2018 seine Beschwerde zurückgewiesen hatte, wandte sich der Bf an den EGMR. In dem Anfang 2019 beim Straßburger Menschenrechtsgerichtshof anhängig gemachten Verfahren argumentierte der Bf zusammengefasst damit, dass das polizeiliche Handeln eine Diskriminierung aufgrund von Art 14 EMRK darstellte und ihm der effektive Rechtsweg verwehrt worden sei, also eine Verletzung seines Rechts auf Achtung des Privat- und Familienlebens nach Art 8 iVm Art 13, dem Recht auf wirksame Beschwerde, vorläge.

Der EGMR gab der Beschwerde statt und hielt die Aussage des Bf, aufgrund bestimmter physischer oder ethnischer Merkmale für die Kontrolle ausgewählt worden zu sein, für plausibel. Deutschland hätte daher prüfen müssen, ob es eine Verbindung zu möglichen rassistischen Einstellungen des betreffenden Beamten gegeben habe. Da aber die Vorwürfe von Racial Profiling so schwerwiegend seien, dass sie unabhängig untersucht werden müssen, reichte eine interne Untersuchung durch die Polizei nicht aus. Weil auch die Verwaltungsgerichte die Klage des Betroffenen nicht inhaltlich geprüft hatten, sondern aus formalen Gründen als unzulässig ablehnten, hatte die Bundesrepublik Deutschland für dieses Fehlverhalten ihrer Behörden und Gerichte einzustehen. Mangels Geltendmachung beließ es die Dritte Kammer bei der Feststellung der Konventionsverletzung und sprach dem Bf keine Entschädigung zu.

Das Straßburger Urteil ist insoweit sehr bemerkenswert, als es das für die Zivilgesellschaft wichtige Thema des „Racial Profiling“ in den europäischen Fokus nimmt. Zutreffend weisen die Straßburger Richter:innen darauf hin, dass nicht die Ausweiskontrolle an sich das Problem ist, sondern die stigmatisierende Sonderbehandlung aufgrund der Hautfarbe. Dieser Diskriminierungsvorwurf („to single out“) ist auf jeden Fall schwerwiegend bzw „tiefgreifend“ und hätte untersucht werden müssen. Dazu verlangt der EGMR eine Prüfung durch eine unabhängige Institution (Rz 33 des Urteils). Eine solche kann nach allgemeinem Verständnis jedoch auch ein Gericht sein. Nur so lässt es sich erklären, dass das Urteil auch noch auf die Defizite im verwaltungsgerichtlichen Verfahren eingeht (Rz 37 der Entscheidung), was

überflüssig wäre, wenn schon das Fehlen einer externen Überwachungs- und Kontrollbehörde für Polizeiverhalten den Konventionsverstoß begründen könnte.

In prozessualer Hinsicht bereitet der akzessorische Charakter von Art 14 EMRK (Verbot der Benachteiligung) für den Beschwerdegegenstand mitunter durchaus juristisches Kopfzerbrechen (vgl näher Hembach, Handbuch der Beschwerde beim EGMR [2020] 46 ff ). Das Urteil wendet fallkonkret einen subtilen Kniff an, indem es die Prüfung eines Diskriminierungstatbestandes hin zu einem ungerechtfertigten Eingriff in das Recht auf Leben nach Art 2 EMRK verlagert, um sich später mit der Feststellung einer verfahrensrechtlichen Verletzung von Art 14 iVm Art 8 EMRK zu begnügen. Der Prüfung einer materiellen Verletzung konnte der Gerichtshof sich damit enthalten (zu Recht kritisch dazu das Sondervotum des Richters Pavli). Der EGMR hält im Ergebnis fest, dass keine Notwendigkeit (mehr) besteht, die Beschwerde gem Art 13 EMRK zu prüfen (Tenor des Urteils).

Eine nähere Analyse der Entscheidung macht deutlich, dass sich die Urteilsbegründung ausführlich mit der Frage der Zulässigkeit befasst. Dabei legt die Dritte Kammer den Umfang des Schutzbereichs des Rechts auf Achtung des Privat- und Familienlebens sowie die Schwelle des Eingriffs von polizeilichen Kontrollen in das Recht auf privates Leben dar (Rz 21 bis 28 des Urteils). Wird berücksichtigt, dass viele Verfahren gegen Polizeigewalt bei den Gerichten gerade bei der Frage der Zulässigkeit scheitern, ist diese intensivere Auseinandersetzung mit der Zulässigkeit zu begrüßen. Die Straßburger Instanz stellt klar, dass eine Identitätskontrolle in den Schutzbereich von Art 8 EMRK fällt, aber nicht jede Kontrolle von Personen, die einer ethnischen Minderheit angehören, auch einen Eingriff in den Schutzbereich der Norm begründen muss. Allerdings wird die Eingriffsschwelle bereits dann erreicht, wenn die kontrollierte Person starke Indizien für eine rassische Diskriminierung wahrnehmen und behaupten kann (Rz 25 des Urteils: „[...] an arguable claim that he or she may have been targeted on account of specific physical or ethnic characteristics“). Der Gerichtshof führt damit seine seit 2005 etablierte Rsp (EGMR 13. 12. 2005, 55762/00, 55974/00 [Timishev/Russland]) fort, in der er die Notwendigkeit der äußersten Wachsamkeit gegenüber rassischer Diskriminierung hervorhob. Eine solche Indizwirkung liegt fallkonkret schon deshalb vor, weil der Bf glaubhaft gemacht hat, dass es keinen anderen Grund für seine Identitätskontrolle gegeben habe als seine Hautfarbe. Auch das Fehlen weiterer objektiver Auswahlgründe in den polizeilichen Akten stütze diesen Verdacht. Schließlich betont der EGMR – im Gegensatz zu den deutschen Instanzgerichten –auch die nachteilige Wirkung des öffentlichen Charakters der Kontrollen, etwa für das Ansehen und die Selbstachtung des Betroffenen, gerade in Anwesenheit der eigenen Tochter.

Ausblick: Dem vorliegenden Urteil, das dem Racial Profiling so klar entgegentritt, ist die am gleichen Tag veröffentlichte Entscheidung des EGMR (18. 10. 2022, 34085/17 [Muhammad/Spanien]) gefolgt. Darin hat eine knappe Mehrheit von vier gegen drei Stimmen keine Verletzung von Art 14 iVm Art 8 EMRK zu folgendem Sachverhalt festgestellt: Der pakistanische Kläger mit spanischem Aufenthaltstitel wurde in Barcelona polizeilich kon-

trolliert. Als er die Polizeibeamten nach dem Grund der Kontrolle fragte, antworteten diese nach seinen Angaben: „Ja, wegen deiner Hautfarbe, und nichts mehr. Ich werde keinen deutschen Bürger anhalten.“ (Rz 6 des Urteils Bsw 34085/17) Nach Angaben der Polizei hingegen wurde dieser erst nach provokativen und herablassenden Aussagen einer polizeilichen Kontrolle unterzogen. Da letztlich Aussage gegen Aussage stand, wurde der Menschenrechtsbeschwerde keine Folge gegeben.

Die beiden Entscheidungen machen deutlich, dass durchaus strittig ist, was als Racial Profiling gilt bzw noch gelten kann. So ist es zwar verboten, eine Person allein aufgrund ihrer Hautfarbe oder anderer ethnisch konnotierter Merkmale zu kontrollieren (statt vieler Khalil, Rassische Polizeigewalt in Österreich. Perspektiven aus der juristischen Beratungspraxis, juridikum 2021, 519 mwH). Wenn die Hautfarbe aber nur Teil eines Motivbündels der perlustrierenden Polizei ist, darf sie durchaus berücksichtigt werden. Klassisches Beispiel ist der Drogenhandel, der an einem bestimmten Platz von einer ethnisch homogenen – zB afrikanischen – Gruppe kontrolliert wird. Wenn hier alle überprüften Personen dunkle Hautfarbe haben, wäre dies nach derzeitiger Judikatur zulässig. Denn Ziel des Racial-Profiling-Verbots ist es nicht, ethnisch homogene Straftätergruppen vor Kontrollen zu bewahren. Solche Orte der Gleichförmigkeit gibt es in der Praxis nicht. In der Regel ist die Hautfarbe eines Passanten oder einer Passantin völlig irrelevant für ihre Verwicklung in kriminelle Geschäfte. Deshalb ist es nicht zu rechtfertigen, wenn Personen mit nichtmitteleuropäischem Aussehen im Alltag viel häufiger kontrolliert werden als Herr und Frau Einheimisch. Dies einzudämmen ist auch Aufgabe der Gerichte – die nach dem Straßburger Urteil kein Argument mehr haben, sich dieser Aufgabe zu entziehen.

Zusammenfassend hat der EGMR eine Verletzung von Art 14 iVm Art 8 EMRK festgestellt, weil die deutschen Behörden und Gerichte einen indizienstarken Vorfall von Racial Profiling (hier: ausschließliche Identitätskontrolle einer Person of Color [POC]) nicht wirksam ermittelt haben und es in diesem Fall an einer geeigneten unabhängigen Instanz für polizeiliches Fehlverhalten mangelte.

Bearbeiter: Clemens Thiele

EGMR: „Schwarze Listen“ im öffentlichen Dienst zulässig

» jusIT 2023/6

EMRK: Art 10 Abs 1, Art 11 Abs 1

DSG Hessen: § 34 Abs 1

LDG Hessen: § 107d Abs 1, § 107g

EGMR 29. 11. 2022, 80450/17 (Godenau gg Deutschland)

1. Die den Beamten und Angestellten des öffentlichen Dienstes nach deutschem Recht auferlegte Pflicht zur Verfassungstreue ist Ausdruck einer „wehrhaften Demokratie“. Die sich aus dieser Treuepflicht ergebenden

Beschränkungen der Meinungsfreiheit von Lehrern verfolgen legitime Ziele nach Art 10 Abs 2 EMRK.

2. Das Führen sog „Vorbehalts- oder Zuverlässigkeitslisten“ aufgrund ausdrücklicher gesetzlicher Grundlage ist mit Art 10 EMRK vereinbar und verhältnismäßig, wenn Verfahrensgarantien bestehen, die es den Betroffenen ermöglichen, eine Streichung ihres Namens von der Liste durchzusetzen.

Anmerkung des Bearbeiters:

In dem aus Deutschland stammenden Ausgangsfall hatte die zuständige Schulbehörde die spätere Klägerin, eine Lehrerin an einer öffentlichen Schule in Hessen, aufgrund von Zweifeln an ihrer sog „Verfassungstreue“ entlassen. Diese Zweifel beruhten auf ihrer früheren Mitgliedschaft und Zugehörigkeit zu rechtsgerichteten politischen Parteien und Organisationen (mit Verbindungen zu neonazistischen Gruppen) und ihren öffentlichen Äußerungen ua in den Social Media, die deren Ideologie zum Ausdruck brachten. In der Folge wurde sie aus denselben Gründen in die interne Liste der „für eine Wiedereinstellung in den Schuldienst ungeeigneten Lehrkräfte“ aufgenommen, die von den hessischen Behörden geführt wurde, um alle dezentralen Schulämter in diesem Bundesland zu informieren, die eine Bewerbung dieser Lehrkräfte erhalten könnten. Zwar stehe es im Ermessen jeder dieser Behörden, ob sie die Klägerin einstellte oder nicht, doch hätte ihre Aufnahme in diese „Schwarze Liste“ zumindest ihre Einstellung an einer öffentlichen Schule in Hessen erheblich erschwert. Die Klägerin wehrte sich erfolglos im innerstaatlichen Instanzenzug gegen die Weigerung der Behörde, ihren Namen von der angefochtenen Liste zu streichen. Schließlich befasste sie den Straßburger Menschenrechtsgerichtshof mit der Zulässigkeit von derartigen Vorbehaltslisten unter dem Gesichtspunkt der Koalitions- und vor allem der Meinungsäußerungsfreiheit. Der EGMR gab der Beschwerde keine Folge und verneinte einstimmig eine Verletzung von Art 10 EMRK. Die angefochtene Maßnahme hatte zwar in das genannte Grundrecht der Klägerin eingegriffen und war auch gesetzlich vorgeschrieben. Dennoch ergab eine umfassende Interessenabwägung die Zulässigkeit und Verhältnismäßigkeit der Maßnahmen. Die den Beamten und Angestellten des öffentlichen Dienstes nach deutschem Dienstrecht auferlegte Pflicht zur Verfassungstreue wertete der Gerichtshof als Ausdruck einer „wehrhaften Demokratie“. Beschränkungen der Meinungsfreiheit von Lehrer:innen, die sich aus dieser Treuepflicht ergeben, verfolgen legitime Ziele iSv Art 10 Abs 2 EMRK, insb die Verhinderung von Unruhen und den Schutz der Rechte anderer gerade in der Erziehung tätiger Personen und den sonst Beteiligten. Dies galt für die Aufnahme und den Verbleib der Klägerin auf der Liste, die den Zweck verfolgte, als Grundlage für eine Entscheidung über ihre möglichen Bewerbungen um eine Stelle an öffentlichen Schulen in Hessen zu dienen.

Das Straßburger Urteil ist vor dem Hintergrund des festgestellten Sachverhalts im Ergebnis zutreffend und auch sorgfältig begründet. Bei der Beschwerdeführerin handelt es sich um

eine überregional bekannte Rechtsextreme; sie war ua von 1993 bis Anfang 2006 Mitglied der Republikaner, wurde dann für das „Bürgerbündnis Pro Schwalm-Eder“, das zahlreiche Verbindungen zu rechtsextremen Organisationen hatte, in den Kreistag von Schwalm-Eder gewählt und hat sich auch öffentlich immer wieder einschlägig geäußert. Die Richter:innen betonen in der Urteilsbegründung die enorme Bedeutung, die der glaubwürdigen Unterrichtung und Erziehung der Kinder in Bezug auf Freiheit, Demokratie, Menschenrechte und Rechtsstaatlichkeit unter dem Gesichtspunkt der öffentlichen Ordnung zukommt (Rz 54 des Urteils). Schließlich hat die Klägerin jederzeit die Möglichkeit gehabt, die Streichung ihres Namens von der angefochtenen Liste zu beantragen und eine umfassende gerichtliche Überprüfung des Bestehens von Zweifeln an ihrer politischen Loyalität zum Zeitpunkt der Beurteilung durch die nationalen Gerichte zu erwirken. Diese wichtige Verfahrensgarantie bildet ebenfalls einen Faktor, der bei der Verhältnismäßigkeitsprüfung zu berücksichtigen ist. Insgesamt hatten die nationalen Behörden relevante und ausreichende Gründe angeführt und ihren Ermessensspielraum nicht überschritten (vgl Rz 59 des Urteils).

Die durchaus kritisch zu hinterfragende Listenführung bedarf stets eines erhöhten Begründungsaufwandes und einer exakten Grundrechtsabwägung, um zu verhindern, dass die meist öffentliche Hand als Listenführerin „auf einem Auge blind“ wird. Denn in der Praxis stehen auf den sog „Schwarzen Listen“ längst nicht nur entlassene Lehrkräfte mit extremistischem Hintergrund. In vielen Fällen dokumentieren die öffentlich-rechtlichen Arbeitgeber so auch, wen sie schlicht für ungeeignet halten, etwa Erzieher:innen, die Schüler:innen sexualisierte Inhalte per Messenger geschickt haben. Das vorliegende Urteil verfeinert erfreulicherweise die bisherige Rsp, die – soweit ersichtlich – mit dem Fall Vogt gegen Deutschland (EGMR 26. 9. 1995, 17851/91, abrufbar unter <menschenrechte.ac.at/ orig/95_5/Vogt v D.pdf> [30. 12. 2022]) zum sog „ Extremistenerlass“ ihren Ausgang genommen hat.

Ausblick: Für die Beschwerdeführerin selbst dürfte das Urteil keine Auswirkungen mehr haben. Die Verfahren um die Streichung aus der Liste haben insgesamt zwölf Jahre gedauert, die Hälfte davon allein in Straßburg. Die Klägerin ist mittlerweile in Pension und übt ihren Beruf als Lehrerin längst nicht mehr aus. Der EGMR hat mit diesem Urteil aber Whistleblowern deutlich den Rücken gestärkt.

Zusammenfassend hat der EGMR eine Verletzung des Art 10 EMRK durch Führung sog „Schwarzer Listen“ bei Bewerbungen im öffentlichen Dienste einstimmig verneint, die auf die „Verfassungstreue“ der Bewerber:innen abstellen, wenn die Aufzeichnungen gesetzlich vorgesehen sowie verhältnismäßig sind und einer rechtsstaatlichen Kontrolle unterliegen.

Bearbeiter: Clemens Thiele

E-COMMERCE/STEUERRECHT

VwGH: Erwerb einer EU-Marke als verdeckte Gewinnausschüttung

» jusIT 2023/7

VO (EU) 2017/1001 (UMV): Art 1, 5, 6, 20

EStG 1988: § 4 Abs 4, § 20 Abs 1 Z 2 lit a

KStG 1988: § 8 Abs 2

UWG: § 9

VwGH 3. 3. 2022, Ra 2020/15/0031 (Unionsmarkenerwerb innerhalb der Gesellschaft)

1. Das entscheidende Merkmal einer verdeckten Ausschüttung iSv § 8 Abs 2 KStG 1988 ist die Zuwendung von Vermögensvorteilen, die ihrer äußeren Erscheinungsform nach nicht unmittelbar als Einkommensverwendung erkennbar sind und ihre Ursache in den gesellschaftsrechtlichen Beziehungen haben, was anhand eines Fremdvergleiches zu ermitteln ist, wobei auch darauf Bedacht zu nehmen ist, wie ein gewissenhafter, nur auf die Interessen der Körperschaft Bedacht nehmender Geschäftsleiter gehandelt hätte.

2. Veräußern die geschäftsführenden Gesellschafter eine vor Kurzem erst auf sich selbst eingetragene Unionsmarke in der Folge gegen Entgelt an die eigene GmbH, handelt es sich bei der Kaufpreiszahlung um eine verdeckte Gewinnausschüttung, wenn die Gesellschaft bereits über ein vergleichbares prioritätsälteres Kennzeichenrecht verfügt.

Anmerkung des Bearbeiters:

Die spätere Beschwerdeführerin, die TS-GmbH, wurde 2006 gegründet. Ihren Namen bildete seither ein bestimmtes Firmenschlagwort (T**S***), zu dem auch ein Logo gehörte. Im Jahr 2011 fassten die beiden Gesellschafter-Geschäftsführer den Entschluss, das (von der GmbH verwendete) Wortbildzeichen EU-weit als sog „Unionsmarke“ (damals noch: „Gemeinschaftsmarke“) auf sich persönlich registrieren zu lassen. Unmittelbar danach verkauften die Gesellschafter die frisch eingetragene Wortbildmarke an ihre GmbH um einen Betrag iHv € 80.000. Im Zuge der Körperschaftsteuerfestsetzungen verweigerte das zuständige Finanzamt die steuerliche Anerkennung des Kaufpreises bzw die Abschreibung der Anschaffungskosten der Wortbildmarke (auf zehn Jahre). Das BFG qualifizierte die Aufwendungen ebenfalls nicht als Betriebsausgabe der GmbH, sondern vielmehr als verdeckte Ausschüttung, da die TS-GmbH von vornherein die Rechte an dem Wortbestandteil als ihrem Firmennamen gehabt hatte.

Aufgrund der Revision der Gesellschaft hatte sich der VwGH ua mit der Argumentation zu befassen, das Firmenschlagwort

T**S*** wäre bereits vor dem Jahr 2006 von einer OEG verwendet worden und sodann im Wege der Gesamtrechtsnachfolge (mit Beendigung der OEG) auf die GmbH übergegangen. Bis 2012 hätten die Gesellschafter diesen Namen unentgeltlich der GmbH überlassen, sodass der spätere Verkauf des neu geschaffenen Schutzrechts, eben der Unionsmarke, durchaus üblich wäre, der rechtlichen Absicherung der GmbH diente und daher einem Fremdvergleich standhielte.

Das oberste Fiskalgericht wies die Revision zurück. Unabhängig davon, ob die GmbH das Firmenschlagwort originär erworben hat oder es durch Gesamtrechtsnachfolge (im Zuge einer früheren Umgründung) auf sie übertragen wurde, kamen ihr damit nämlich die – im Vergleich zum Markenrecht – prioritätsälteren Schutzrechte aus dem Firmenschlagwort nach dem UWG, ABGB und UGB bereits selbst zu. Die GmbH hätte daher der Eintragung als EU-Marke für die Gesellschafter sogar widersprechen oder deren Nichtigkeit beantragen können. Vor diesem Hintergrund hätte ein gewissenhafter Geschäftsführer die Markenrechte nicht entgeltlich erworben (vgl Rz 17 des Urteils).

Dem vorliegenden Beschluss ist in Ergebnis und Begründung beizupflichten. Der Revisionswerberin ist es offenbar nicht gelungen, einen außersteuerlichen Grund für die – an sich aus immaterialgüterrechtlicher Sicht vernünftige und sinnvolle – Transaktion plausibel zu machen. Auf Sachverhaltsebene dürfte entscheidend gewesen sein, „ dass die GmbH die prioritätsälteren kennzeichenrechtlichen Schutzrechte aus dem Firmenschlagwort hatte“ (zutreffend Zorn, Entscheidungsanmerkung, RdW 2022/284, 350). Dahingestellt und insoweit auch kritisch anzumerken bleibt, ob das fremdübliche Verhalten der GmbH wirklich darin bestehen hätte müssen, der Unionsmarkenanmeldung für die Gesellschafter zu widersprechen oder nach erfolgter Eintragung ein Löschungsverfahren nach Art 60 Abs 2 UMV wegen prioritätsälterer eigener Rechte (iSv § 9 UWG) oder gar wegen bösgläubiger Markeneintragung nach Art 59 Abs 1 lit b UMV anzustrengen.

Ausblick: Für die Praxis ist insoweit aus der vorliegenden Entscheidung der Umkehrschluss zu ziehen, dass Kaufpreis- oder Lizenzzahlungen der GmbH für Schutzrechte der Gesellschafter dann anzuerkennen sind, wenn die Gesellschaft noch nicht über prioritätsältere Rechte des geistigen Eigentums verfügt. Zu denken ist etwa an unionsweite Designrechte (vgl Thiele in Thiele Art 32 GGV Rz 4 ff ) für innovative Erzeugnisse, die von der GmbH vertrieben werden (dürfen).

Zu den Pflichten der Gesellschafter gehört die Benennung der Gesellschaft, spätestens durch Festlegung des Namensrechts („der Firma“) im Gesellschaftsvertrag. Insoweit die Gesellschaft im Rechtsverkehr den Firmennamen führen muss, besteht also nach Ansicht des VwGH kein Spielraum für eine entgeltliche Namensgestattung (in diese Richtung auch Lang in Navisotschnigg [Hrsg], SWI-Jahrestagung: Konzernname vs Markenlizenz, SWI 2020, 538 [540]).

Zusammenfassend hat der VwGH entschieden, dass die Zahlung des Kaufpreises der Gesellschaft für eine Unionsmarke, de-

ren Inhaber ihre geschäftsführenden Gesellschafter sind, dann eine verdeckte Gewinnausschüttung darstellt, wenn die GmbH bereits über gleichwertige Kennzeichenrechte an dem Markenwortlaut verfügt.

Bearbeiter: Clemens Thiele

MEDIENSTRAFRECHT

BVerfG: Keine strafbare Datenhehlerei

bei investigativem Journalismus

» jusIT 2023/8

EMRK: Art 10

GG (Deutschland): Art 2, 3, 5, 12, 103 StGB (Deutschland): § 202d StPO (Deutschland): § 97

BVerfG 30. 3. 2022, 1 BvR 2821/16 (Investigativer Journalismus)

Der Tatbestandsausschluss des § 202d Abs 3 Satz 1 StGB dient nach der Gesetzesbegründung in verfassungskonformer Auslegung dem umfassenden Schutz der journalistischen Tätigkeit. Whistleblowing und Investigativ-Journalismus haben keine Bestrafung wegen Datenhehlerei zu gewahren.

Anmerkung des Bearbeiters:

In dem aus Deutschland stammenden Ausgangsfall erhoben natürliche Personen und Vereine, die sich selbst oder unterstützend mit investigativem Journalismus befassen und dabei zwangsläufig mit „Datenleaks“, also der Preisgabe vertraulicher Informationen, in Berührung kommen, Verfassungsbeschwerde gegen den Straftatbestand der Datenhehlerei nach § 202d dStGB sowie gegen die daraus folgende Einschränkung des Beschlagnahmeverbots nach § 97 Abs 2 Satz 2 dStPO. § 202d Abs 1 dStGB bestraft denjenigen, der Daten, die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, mit einer Geldstrafe oder einer Freiheitsstrafe bis zu drei Jahren. Die investigativ-journalistisch tätigen Beschwerdeführer (Stichwort: „Panama Papers“) rügten insgesamt fünf Grundrechtsverletzungen: erstens der Presse- und Rundfunkfreiheit (Art 5 Abs 1 Satz 2 dGG), zweitens der allgemeinen Handlungsfreiheit (Art 2 Abs 1 dGG), drittens des allgemeinen Gleichheitssatzes (Art 3 Abs 1 dGG), viertens der Freiheit der Berufsausübung (Art 12 Abs 1 dGG) und fünftens des strafrechtlichen Bestimmtheitsgebots (Art 103 Abs 2 dGG).

Das Bundesverfassungsgericht (BVerfG) stellte in seinem erst jüngst veröffentlichten Nichtannahmebeschluss klar, dass die Vorschrift offensichtlich nicht auf Journalist:innen anwendbar sein kann. Diese müssen auch nicht befürchten, dass ihnen auf Grundlage der Bestimmung strafrechtliche Ermittlungsmaßnahmen wie Durchsuchungen und Beschlagnahmen der erlangten Informationen drohen. „Mangels ersichtlicher Strafbarkeit besteht hier kein Risiko.“ (Rz 33 des Urteils)

In formaler Hinsicht weist das BVerfG die Beschwerde als unzulässig zurück, weil sie nicht hinreichend darlege, dass durch die angegriffene Regelung überhaupt die Möglichkeit einer Verletzung von Grundrechten besteht. Dennoch müht sich die 2. Kammer des Ersten Senats über 11 Seiten ab, zu begründen, dass der Tatbestand des § 202d dStGB für den Investigativ-Journalismus keine Bedrohung darstellt. Den Ausschluss der Strafverfolgung von Journalisten, wie er in der Vorschrift geregelt ist, betrachtet das Gericht als hinreichend, um diese in ihrer Arbeit nicht zu gefährden.

Die vorliegende Entscheidung hat weitreichende Auswirkungen und macht die strafbare Datenhehlerei im Bereich des investigativen Journalismus und auf die Tätigkeit von Whistleblowern praktisch unanwendbar. Die Liste der Beschwerdeführer liest sich wie ein „Who’s who“ der medialen Aufdeckerszene Deutschlands: Gemeinsam mit der Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte (GFF) haben ua Markus Beckedahl und André Meister, Redakteure von netzpolitik.org, die Investigativ-Journalisten Peter Hornung (NDR, Panama Papers) und Hajo Seppelt (ARD, Olympia-Doping) sowie die ITJournalisten Holger Bleich, Jürgen Schmidt (beide vom Magazin c’t) und Matthias Spielkamp bereits im Jahr 2017 die Verfassungsbeschwerde eingereicht. Erfreulicherweise definiert das

BVerG die notwendigen Bedingungen, unter denen die Investigativ-Journalist:innen und Whistleblower:innen keine strafrechtlichen Konsequenzen nach dem Datenhehlerei-Paragrafen zu fürchten haben (vgl Rz 34 ff ):

 Bei dem Informanten handelt es sich um einen an sich berechtigten Mitarbeiter, der auf die übermittelten Daten zugreifen kann (keine Rechtswidrigkeit).

 Dem Journalisten fehlt ein bedingter Vorsatz im Hinblick auf die rechtswidrige Vortat, wozu das Bewusstsein nicht ausreicht, dass die Daten aus irgendeiner rechtswidrigen Tat stammen könnten, maW der Journalist eine rechtswidrige Beschaffung der Daten aufgrund ihrer Sensibilität also nicht ausschließen kann (kein Vorsatz).

 Eine Bereicherungs- oder Schädigungsabsicht des Journalisten fehlt, weil die Aufklärung von Missständen im Vordergrund steht (Ausschluss des erweiterten Vorsatzes).

Die Beschaffung von Daten von Informanten durch Journalisten ist daher regelmäßig von der Pressefreiheit gedeckt und nicht als Datenhehlerei nach § 202d StGB strafbar.

Ausblick: Die (nicht angenommene) Verfassungsbeschwerde hat ihr Ziel dennoch erreicht, nämlich die Gefahr der Strafverfolgung journalistischer Kerntätigkeiten und der Durchsuchung von Redaktionsräumen zu entschärfen.

Zusammenfassend hat das deutsche Bundesverfassungsgericht die strafbare Datenhehlerei bei Verwendung „geleakter“ Informationen von Whistleblowern aus grundrechtlichen Erwägungen der Presse- und Meinungsfreiheit verneint. § 202d Abs 3 Satz 2 Nr 2 dStGB bezweckt nämlich einen weiten Ausschluss journalistischer Tätigkeiten vom Tatbestand der Datenhehlerei.

Bearbeiter: Clemens Thiele

Bewährte KODEX-Qualität verknüp mit modernster Technologie. Weil Vorsprung entscheidet.

DATENSCHUTZ & E-GOVERNMENT

Erweiterte Informationspfl ichten im elektronischen Kommunikationsdatenschutz

» jusIT 2023/9

Informationspflichten, erweiterte; Löschung; Nutzerverzeichnis, elektronisches; OTT-Dienste; Löschung in einer Verarbeitungskette; Recht auf Vergessenwerden; Einwilligung; Teilnehmerverzeichnis; Widerruf; Datenlöschung

Im Oktober 2022 hat der Europäische Gerichtshof1 wesentliche Fragen des Kommunikationsdatenschutzes nach der ePrivacy-RL2 geklärt und erweiterte Informationspflichten festgehalten. Das Urteil manifestiert für den Online-Datenschutz erhöhte Compliance-Verpflichtungen, die mehr bedeuten, als nur Cookie-Banner rechtsrichtig zu regeln. Die Geltung des Kommunikationsgeheimnisses wurde von klassischen Kommunikationsdiensten wie Telefonie oder SMS durch die Neufassung des Europäischen Kodex für die Elektronische Kommunikation (EECC-Richtlinie)3 auf Over-The-Top-Kommunikationsdienste (OTT) wie E-Mail, Messenger, Voice-overIP-Telefonie oder Videokonferenzsysteme erstreckt. Der folgende Beitrag soll das in der Praxis oftmals vernachlässigte Regime des elektronischen Kommunikationsdatenschutzes in den Fokus rücken, die Grundsatzentscheidung analysieren und ihre Auswirkungen in einer Checkliste mit einem praktischen Prüfungsschema zusammenfassen.

1. Einleitung

Die Datenverarbeitung findet heutzutage nahezu ausschließlich in elektronischer Form statt. Egal ob Unternehmen oder Private per Software, Betriebssystem oder Browser Daten auf Compu-

1 EuGH 27. 10. 2022, C-129/21 (Proximus – Öffentliche elektronische Verzeichnisse), ECLI:EU:C:2022:833, jusIT 2022/95, 236 (Thiele).

2 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.

3 Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation, ABl L 2018/321, 36 in der konsolidierten Fassung ABl L 2019/334, 164.

GRC: Art 7, 8; EMRK: Art 8; RL 95/46/EG: Art 2 lit h; RL 2002/58/EG: Art 1, 2, 3, 6, 9 Abs 1, Art 15; VO (EU) 2016/679: Art 2 Abs 2 lit d, Art 4 Z 1, 2, Art 5 Abs 1, Art 6 Abs 1 lit c, Abs 3, Art 23, 79 Abs 1, Art 94, 95; DSG: § 1; TKG 2021: §§ 160 ff, §§ 165, 173

tern, Smartphones oder Tablets übermitteln, aggregieren oder schlicht abrufen, ohne Zugriffe des Anbieters einer Website oder eines App-Dienstes auf das Gerät, von dem aus das digitale Angebot aufgerufen wird, können die Teilnehmer nicht mit den Servern der Anbieter kommunizieren. Die elektronische Kommunikation zwischen Unternehmen, mit Verbrauchern oder im Internet of Things (IoT) ist allgegenwärtig und für viele selbstverständlich und unbemerkt.

Damit die elektronische Datenübertragung auch mit Recht funktioniert und die Empfänger die Inhalte als Bild, Text oder Ton vom Server des Anbieters auf die Endgeräte erhalten, greift nach Vorstellung des Unionsgesetzgebers das Kommunikationsgeheimnis schützend ein. Die DSGVO regelt diese Art der Datenverarbeitung lediglich subsidiär, denn vorrangig greifen die ePrivacy-RL und deren Umsetzungsvorschriften im 14. Abschnitt des TKG 20214 ein. Einen wesentlichen Impuls hat das an sich schon komplexe Verhältnis zwischen DSGVO, ePrivacy-RL, DSG und TKG 2021 durch die Neufassung des Europäischen Kodex für die Elektronische Kommunikation (EECC-Richtlinie) erfahren. Dieser neue Regulierungsrahmen hat die Richtlinien 2002/19/EG, 2002/20/EG, 2002/21/EG und 2002/22/EG ersetzt. Der EECC hat insb auch den Anwendungsbereich des Datenschutzes der elektronischen Kommunikation erheblich erweitert.5

2. Der Ausgangsfall

Ein belgischer Anbieter von Telekommunikationsdiensten, das Unternehmen Proximus, eine Aktiengesellschaft, bot auch Teilnehmerverzeichnisse und Telefonauskunftsdienste an. Diese

4 Bundesgesetz, mit dem ein Telekommunikationsgesetz (Telekommunikationsgesetz 2021 – TKG 2021) erlassen wird, BGBl I 190/2021, das mit 1. November 2021 in Kraft getreten ist. Änderung durch BGBl I 180/2022 (VfGH).

5 Dazu näher gleich in Abschnitt 5.3. zur Rolle des Diensteanbieters.

(elektronisch geführten) Verzeichnisse enthielten die Namen, Adressen und Telefonnummern der Teilnehmer:innen auch verschiedener (anderer) Anbieter öffentlich zugänglicher Telefondienste. Einer dieser Teilnehmer, ein Kunde der belgischen Telenet AG, forderte Proximus auf, seine Kontaktdaten nicht (mehr) zu veröffentlichen.

In Belgien wird die Unterscheidung zwischen Teilnehmern, die in einem Verzeichnis aufgeführt werden wollen, und solchen, die dies nicht wünschen, in der Praxis durch Zuweisung eines Codes bei der Registrierung jedes Teilnehmers umgesetzt, nämlich „NNNNN“ für die Teilnehmer, deren Kontaktdaten erscheinen dürfen, und „XXXXX“ für die Teilnehmer, deren Kontaktdaten vertraulich bleiben. Proximus kam dem Antrag des Teilnehmers nach und setzte seinen Status auf vertraulich. Kurze Zeit später erhielt aber Proximus eine routinemäßige Aktualisierung der Daten der Teilnehmer von Telenet. Diese Aktualisierung enthielt neue Daten des fraglichen Teilnehmers, die nicht als vertraulich ausgewiesen waren. Die Daten wurden von Proximus nach einem automatisierten Verfahren verarbeitet und dergestalt registriert, dass sie erneut in ihren Teilnehmerverzeichnissen verfügbar waren; sie waren auch über Google auffindbar.

Der Teilnehmer beschwerte sich daraufhin bei der Belgischen Datenschutzbehörde (GBA), die eine Geldbuße iHv € 20.000 gegen Proximus verhängte und das Unternehmen zum Ergreifen von Abhilfemaßnahmen verpflichtete. Proximus erhob dagegen Klage an den Appellationshof in Brüssel, der an der Schnittstelle zwischen der ePrivacy-RL und der DSGVO auslegungsbedürftige Fragen im Vorabentscheidungsweg klären sollte, insb ob beim Widerruf der Einwilligung auch im speziellen Kontext von elektronischen Telefonverzeichnissen sämtliche Vorschriften der DSGVO automatisch und uneingeschränkt zur Anwendung gelangen.

3. Die Entscheidung des Gerichts 6

3.1. Die Vorlagenfragebeantwortung im Einzelnen

Die Vierte Kammer7 beantwortet die ersten beiden Vorlagefragen zunächst – durchaus vorhersehbar – dahingehend, dass Art 12 Abs 2 ePrivacy-RL eine Einwilligung in die Aufnahme in Teilnehmerverzeichnisse verlangt. Diese Einwilligung ist aber nicht auf einen bestimmten Anbieter beschränkt, sodass nach ordnungsgemäßer Ersteinwilligung die Verzeichnisdaten deshalb an einen anderen Anbieter bekannt gegeben werden dürfen, sofern der Bearbeitungszweck nicht erweitert wird.8 Die Ersteinwilligung

muss dabei den Anforderungen nach Art 4 Z 11 DSGVO genügen.9 Verlangt ein Teilnehmer, seine Personendaten aus den Teilnehmerverzeichnissen zu entfernen, müssen die Anbieter dem sodann nachkommen. Dabei handelt es sich um eine Ausübung des „Rechts auf Löschung“ iSv Art 17 DSGVO.10

Die dritte Vorlagefrage zielt darauf ab, ob ein Verzeichnisanbieter im Fall der Löschung weitere Anbieter entsprechend informieren muss; dies vor dem Hintergrund der Weitergabekette, nämlich ob ein Anbieter in der Mitte, demgegenüber der Widerruf der Einwilligung erklärt wurde, auch die vor- und nachgelagerten Glieder der Verarbeitungskette informieren muss. Der EuGH bejaht diese Frage mit folgenden Überlegungen:

 Nach dem Widerruf der Einwilligung wäre die weitere Verarbeitung rechtswidrig iSd DSGVO wegen fehlender Rechtsgrundlage.11

 Der Verantwortliche muss die Rechtmäßigkeit seiner Verarbeitung nach Art 5 DSGVO (weiterhin) nachweisen können. Nach Art 24 DSGVO muss er zudem geeignete technische und organisatorische Maßnahmen umsetzen, um die Rechtmäßigkeit der Verarbeitung und ihren Nachweis sicherzustellen.

 Konkreter sieht Art 19 DSGVO vor, dass der Verantwortliche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung mitteilt, wenn dies nicht unmöglich oder unverhältnismäßig ist.12

Daraus zieht die Vierte Kammer den Schluss, dass die Wirksamkeit des in Art 7 Abs 3 DSGVO verankerten Widerrufs es auch und gerade im elektronischen Bereich erfordert, den Verantwortlichen und jede Person, die ihm diese Daten übermittelt hat, sowie die Person, der er seinerseits die Daten übermittelt hat, zu verpflichten, über den Widerruf zu informieren.13

In Beantwortung der vierten Vorlagefrage hält der EuGH schließlich sogar fest, dass der Verantwortliche auch Suchmaschinenanbieter – die eigene Verantwortliche sind – über den Widerruf informieren muss.14

3.2. Ausblick

Die wohlbegründeten Aussagen des EuGH15 sind nicht auf Teilnehmerverzeichnisse begrenzt. Es ist deshalb davon auszugehen, dass der Gerichtshof in anderen sukzessiven Verarbeitun-

9 Vgl ebenso zur Einwilligung nach Art 5 Abs 3 ePrivacy-RL EuGH 1. 10. 2019, C-673/17 (Planet49), ECLI:EU:C:2019:801, MR-Int 2019, 124 (Treitl) = VbR 2019/146, 227 (Feiler/Tercero) = ZIIR 2019, 440 (Thiele) = ZTR 2020, 41 (Aichinger); dazu Dürager, Der EuGH zur Zulässigkeit des Setzens von Cookies – eine endlose Geschichte ..., jusIT 2019/89, 241; W. Schmitt, Cookies: Rechtskonforme Verwendung von Webanalyse-, Advertising- oder Trackingdiensten, VbR 2020/128, 208; vgl auch Höller, Zur (Un-)Wirksamkeit einer datenschutzrechtlichen Einwilligung in Allgemeinen Geschäftsbedingungen, VbR 2021/5, 14.

6 EuGH 27. 10. 2022, C-129/21 (Proximus – Öffentliche elektronische Verzeichnisse), ECLI:EU:C:2022:833, jusIT 2022/95, 236 (Thiele).

7 EuGH 6. 10. 2020, C-511/18, C-512/18 und C-520/186 (La Quadrature du Net ua), ECLI:EU:C:2020:791, und EuGH 6. 10. 2020, C-623/17 (Privacy International), ECLI:EU:C:2020:790.

8 EuGH 5. 5. 2011, C-543/09 (Deutsche Telekom), ECLI:EU:C:2011:279, jusIT 2011/86, 179 (Feiel).

10 Vgl Rz 66 und 67 des Urteils.

11 Sofern die Einwilligung der einzige Rechtfertigungstatbestand der Verarbeitung gewesen ist.

12 Näher dazu Jahnel, DSGVO Kommentar (2021) Art 19 Rz ff

13 Rz 85 des Urteils.

14 Rz 96 des Urteils.

15 Vgl die Leitsätze in jusIT 2022/95, 236.

gen grundsätzlich gleich entscheiden würde, dh, dass der Widerruf einer Einwilligung generell den vor- und nachgelagerten Gliedern mitzuteilen sei. Dies letztlich als Teil des ComplianceSystems, das der Verantwortliche insb aufgrund von Art 24 DSGVO betreiben muss. Gleichzeitig erweitert das vorliegende Urteil die Haftung des Verantwortlichen bzw der Betreiber elektronischer Kommunikationsdienste insoweit erheblich, als sie auch für mögliche Datenschutzverstöße durch Dritte etwa im Rahmen sog „Verarbeitungsketten“, die auf Einwilligungen basieren, zu haften haben. Dies gilt auch außerhalb der gemeinsamen Verantwortlichkeit nach Art 26 DSGVO.16 Die konkrete CompliancePflicht betrifft insb Unternehmen, welche die Verarbeitung personenbezogener Daten in erster Linie auf Einwilligungen der betroffenen Personen stützen. Hierzu zählen insb Onlinehändler und Werbeagenturen, aber auch andere Unternehmen sollten ihre Datenschutzstrukturen und vor allem ihr Einwilligungsmanagement überprüfen, um die vom EuGH aufgestellten Anforderungen zeitnah umzusetzen. Das vorliegende Urteil wird sich auch auf die Anforderungen an Einwilligungen im Rahmen des mit 2. Mai 2023 wirksamen Digital Markets Act (DMA)17 auswirken.

4. Eigene Stellungnahme

4.1. Terminologisches

Wesentlich zum Verständnis der vorliegenden Entscheidung, aber auch grundsätzlich für die Diskussion um das „Recht auf Vergessenwerden im Internet“ seien einige begriffsklärende Bemerkungen vorangestellt, bevor eine Einordnung der tragenden, bereits dargelegten Aussagen des EuGH in den Primär- und Sekundärrechtskontext vorgenommen wird.

Der Unionsgerichtshof18 hat sich bereits mehrfach mit sog „Auslistungsfällen“19 befasst, in denen Betroffene das „Recht auf Vergessenwerden“ gegenüber Suchmaschinen wie Google einforderten. Das „Recht auf Auslistung“ gewährt betroffenen Personen gegenüber Suchmaschinenbetreibern den Anspruch, dass Links zu Websites Dritter aus Ergebnislisten entfernt werden, die aufgrund einer Suche anhand des Namens der betroffenen Person angezeigt werden. Das „Recht auf Auslistung“ ergibt sich seit Wirksamwerden der DSGVO aus Art 17 Abs 1. Dazu ist klarstellend festzuhalten, dass es sich beim Auslistungsrecht nicht um das „Recht auf Vergessenwerden“ handelt, wie es Art 17 Abs 2 DSGVO verankert. Die Rechtspraxis verwendet

16 Vgl zur Reichweite der gemeinschaftlichen Verarbeitung nach Art 26 DSGVO im elektronischen Bereich jüngst Thiele, Datenschutzverletzungen durch Google® Webfonts – ein Praxisfall, in Jahnel (Hrsg), Jahrbuch Datenschutz 2022 (2022), 154 (165 ff ) mwN.

17 Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte – DMA), ABl L 2022/265, 1.

18 EuGH 3. 5. 2014, C-131/12 (Google Spain und Google), ECLI:EU:C:2014:317; EuGH 24. 9. 2019, C-136/17 (GC ua – Auslistung sensibler Daten), ECLI:EU:C:2019:773.

19 Vgl näher Thiele/Wagner, DSG Praxiskommentar2 (2022) § 9 Rz 104 ff

die beiden Begriffe nicht eindeutig bzw manchmal auch (unzutreffend) synonym. So gibt etwa die Überschrift einer BGHPressemitteilung zu einer Vorlage an den EuGH zu Art 17 Abs 1 DSGVO20 in der Klammer fälschlich das „Recht auf Vergessenwerden“ an.

Art 17 Abs 2 DSGVO enthält eine spezielle Informationspflicht des Verantwortlichen, der personenbezogene Daten zB auf einer Website öffentlich gemacht hat, zu deren Löschung er verpflichtet ist. Der Verantwortliche muss Dritte wie etwa Suchmaschinenbetreiber informieren, dass eine betroffene Person die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen verlangt hat.21 Diese besondere Informationspflicht korrespondiert mit dem entsprechenden (Löschungs-)Recht des Betroffenen, dem unter Bedachtnahme auf ErwGr 66 auch der Terminus „Recht auf Vergessenwerden“ zugeordnet werden kann. Der Anspruch auf erweiterte Information der Dritten, den Art 17 Abs 2 DSGVO gewährt, kann nur gegen den Verantwortlichen geltend gemacht werden, gegen den ein Anspruch auf Löschung personenbezogener Daten besteht, die der Verantwortliche öffentlich gemacht hat. Das bedeutet, es handelt sich um eine Pflicht, die in der Praxis jeden Verantwortlichen treffen kann. Dagegen hat der Anspruch, den das sog „Recht auf Auslistung“ gewährt, die Entfernung der Links zum Gegenstand und muss von der betroffenen Person gegen Suchmaschinenbetreiber geltend gemacht werden.22

4.2. Grundrechteverhältnis

Die DSGVO fußt ganz wesentlich auf Art 8 GRC und Art 16 AEUV,23 wonach jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Die ePrivacy-RL beruht demgegenüber ganz wesentlich auf Art 7 GRC, wonach jede Person das Recht auf Achtung ihrer Kommunikation hat.24 Damit geht der Schutz der ePrivacy-RL über denjenigen für personenbezogene Daten hinaus und beansprucht insgesamt einen weiteren Regelungsbereich.25

Aus grundrechtlicher Perspektive lässt sich daher festhalten, dass der Anwendungsbereich und das Schutzziel von DSGVO und ePrivacy-RL, die lediglich eine Vorläuferin der ePrivacy-Verordnung sein soll,26 unterschiedlich sind. Die ePrivacy-RL ist damit keineswegs überflüssig.

In der praktischen Anwendung kommt es allerdings nicht zu einem Grundrechtskonflikt, sondern zu einer „Konkordanz zwischen den beiden Grundrechten“, die es fallkonkret aufzulösen

20 Abrufbar unter <bundesgerichtshof.de/SharedDocs/Pressemitteilungen/ DE/2020/2020095.html> (5. 1. 2023).

21 Vgl statt vieler Jahnel, DSGVO Kommentar (2021) Art 17 Rz 55 ff: „erweiterte Informationspflicht“.

22 Thiele/Wagner, DSG2 § 9 Rz 109.

23 Statt vieler Jahnel, DSGVO Art 1 Rz 10, und ErwGr 1 DSGVO.

24 EuGH 20. 9. 2022, C-793/19 (SpaceNet), ECLI:EU:C:2022:702, und EuGH 20. 9. 2022, C-339/20 (VD und SR), ECLI:EU:C:2022:703.

25 Zutr Klabunde/Selmayr in Ehmann/Selmayr, DSGVO2 (2018) Art 95 Rz 4; näher zum Anwendungsbereich der §§ 160 ff TKG 2021 gleich in Abschnitt 4.3. und 5.2.

26 Klabunde/Selmayr in Ehmann/Selmayr, DSGVO2 Art 95 Rz 22.

gibt.27 Art 7 und 8 GRC liegen keine entgegenstehenden Interessen zugrunde, sondern handelt es sich letztlich um zwei Seiten derselben Medaille, nämlich des Privatsphärenschutzes. Festzuhalten ist jedoch, dass keine vollständige Deckungsgleichheit zwischen beiden Grundrechten besteht, was sich auf das in Art 95 DSGVO geregelte Verhältnis beider Regelungswerke, der DSGVO und der ePrivacy-RL, einschließlich ihrer mitgliedstaatlichen Ausführungsbestimmungen auswirkt.

4.3. Gleich und doch anders – Art 95 DSGVO

Nach der ursprünglichen Intention des Unionsgesetzgebers hätte parallel zur DSGVO im Bereich der elektronischen Kommunikation die ePrivacy-VO in Kraft treten sollen.28

Die ePrivacy-RL detailliert die DSGVO. Art 95 DSGVO regelt das Verhältnis zwischen der DSGVO und dem auf der ePrivacy-RL basierenden elektronischen Kommunikationsdatenschutz des TKG 2021. Die Vorschrift versucht, den diensteorientierten Ansatz der ePrivacy-RL mit dem datenorientierten Ansatz der DSGVO in Einklang zu bringen. Demzufolge soll die DSGVO nur insoweit (den Kommunikationsdiensteanbietern) keine zusätzlichen Pflichten auferlegen, als die elektronischen Verarbeitungen „besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen“. Demzufolge ist die ePrivacy-RL gegenüber der DSGVO grundsätzlich als lex specialis für die elektronische Kommunikation vorrangig.29 ErwGr 173 der DSGVO geht davon aus, dass die identische Zielsetzung im Einzelfall zu ermitteln ist. Aufgrund des im Wesentlichen gleichen Regelungsgedankens der relevanten gemeinsamen Teilmenge beider Normen – dem Schutz der Privatsphäre – kann idR ein Gleichlauf vermutet werden.30

Die Kollisionsregel, genauer gesagt die Vorrangregel, des Art 95 DSGVO betrifft ausschließlich das Verhältnis der datenschutzrechtlichen Pflichten aus der Datenschutzgrundverordnung zu den Vorgaben der ePrivacy-RL. Zu den erklärten Zielen der ePrivacy-RL gehören ausweislich ihres ErwGr 2 die uneingeschränkte Gewährleistung der in den Art 7 und 8 GRC niedergelegten Rechte. Dabei ist der Schutz der Vertraulichkeit der Kommunikation in Abgrenzung zu Art 11 GRC als Schutz der Individualkommunikation zu verstehen und entwicklungsoffen gestaltet.31 Geschützt wird neben den Gütern des Art 8 GRC auch das Vertrauen der Nutzer:innen in die Wahrung der Vertraulichkeit ihrer elektronischen Kommunikation. Diesem modernen

27 Kiparski/Sassenberg, DSGVO und TK-Datenschutz – Ein komplexes europarechtliches Geflecht, CR 2018, 324 (325).

28 Vgl den Vorschlag der EK für eine VO über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der RL 2002/58/EG – Verordnung über Privatsphäre und elektronische Kommunikation, COM (2017) 10, 2017/0003 (COD); nunmehr idF 6087/21 vom 10. 2. 2021.

29 Škorjanc, M2M-Kommunikation: welches Datenschutzregime ist anwendbar? ipCompetence Vol 20, 26 (29).

30 Vgl Kiparski/Sassenberg, CR 2018, 324 (325); diesen folgend Škorjanc, ipCompetence Vol 20, 26 (29).

31 Simitis/Hornung/Spiecker, Datenschutzrecht (2019) DSGVO Art 95 Rz 12.

Kommunikationsschutz dient insb Art 5 Abs 1 ePrivacy-RL, der ausdrücklich die Vertraulichkeit der übertragenen Nachrichten und Verkehrsdaten (Meta- und Protokolldaten) gewährleistet.32 Denn die online zu Zeiten und Orten der Wahl der Nutzer jederzeit zugänglichen elektronischen Kommunikationsdienste rufen erhöhte Risiken für den Schutz auch der personenbezogenen Daten hervor. Die Auslegung von Art 7 GRC muss daher letztlich auch bei der Bestimmung des Anwendungsbereiches der ePrivacy-RL berücksichtigt werden.

Im Verhältnis zwischen ePrivacy-RL und DSGVO entscheidet nicht die Lex-posterior-Regel, sondern das durch Art 95 determinierte Prinzip der Spezialität, also die Lex-specialis-Regel. Positiv formuliert findet die DSGVO dort Anwendung, wo die jeweilige elektronische Datenverarbeitung nicht den in der ePrivacyRL bestimmten Pflichten unterliegt, die dasselbe Ziel verfolgen.33 Dies bedeutet zunächst im Grundsatz, dass die Anbieter elektronischer Kommunikationsdienste keine ergänzenden oder weiterführenden Anforderungen im Hinblick auf ihre Datenverarbeitung erfüllen müssen als jene, die sich aus der ePrivacy-RL (oder dem EECC) entnehmen lassen. Der uneingeschränkte Vorrang des kommunikationsrechtlichen Sonderregimes gilt immer dort, wo die Vorgaben der ePrivacy-RL auch dasselbe Ziel wie die DSGVO verfolgen. Es muss sich also um Pflichten handeln, die dasselbe Ziel verfolgen.34 „Dasselbe“ ist im Sinne von „das Gleiche“, aber nicht von „identisch“ zu verstehen. Vielmehr ist es unerheblich, ob sich der Schutzzweck aus der DSGVO oder aus der ePrivacy-RL entnehmen lässt, oder eben umgekehrt.

Der Spielraum ist zwar gering35 und etwa dort denkbar, wo der Schutz personenbezogener Daten eine bloß untergeordnete Rolle spielt, wie zB bei der Regulierung der Rufnummernunterdrückung nach Art 10 ePrivacy-RL oder den Vorgaben zur Datensicherheit nach Art 4 ePrivacy-RL. Trotz einer in den Randbereichen bestehenden Dichotomie der Zwecke ist von einem Vorrang der Regelungen der ePrivacy-RL auszugehen, da eine Verfolgung weiterer Ziele insoweit unschädlich ist.36

Schließlich ist für das Verhältnis zwischen DSGVO und ePrivacyRL noch der Aspekt der Verweisung zu berücksichtigen. Zum einen kann dort, wo ausdrücklich (noch) auf die DS-RL 95/46/EG verwiesen wird bzw derselbe unionsautonome Begriff gebraucht wird (zB Einwilligung), nunmehr auf die DSGVO zurückgegriffen werden.37 Zum anderen kann die ePrivacy-RL dort keinen Vorrang beanspruchen, wo sie selbst Rückausnahmen enthält bzw auf nicht mehr geltende Bestimmungen der DS-RL verweist, die keine Entsprechung in der DSGVO gefunden haben.

32 EuGH C-203/15, C-698/15 (Tele2 Sverige ua) Rz 84, ECLI:EU:C:2016:970.

33 Zutr Simitis/Hornung/Spiecker, Datenschutzrecht DSGVO Art 95 Rz 16.

34 Im englischen Original „[…] in relation to matters, for which they are subject to specific obligations with the same objective set out in directive 2002/58/EC“.

35 Simitis/Hornung/Spiecker, Datenschutzrecht DSGVO Art 95 Rz 17.

36 Zutr Simitis/Hornung/Spiecker, Datenschutzrecht DSGVO Art 95 Rz 17 aE.

37 EuGH C-673/17 (Planet 49), ECLI:EU:C:2019:801; EuGH C-40/17 (Fashion ID), ECLI:EU:C:2019:629; EuGH C-129/21 (Proximus), ECLI:EU:C:2022:833.

4.4. Bisherige Spruchpraxis der Datenschutzbehörden

Ungeachtet der jeweils anwendbaren Datenschutz- (DSG 2000, DSG) oder Telekommunikationsregime (TKG 1997, TKG 2003 und TKG 2021) ist die Spruchpraxis der Datenschutzbehörden stets von einem Verhältnis der Spezialität zugunsten des im TKG geregelten Datenschutzes ausgegangen.

Auch nach Inkrafttreten der DSGVO ist etwa die Zulässigkeit der Zusendung von elektronischer Post zu Werbezwecken nach der Bestimmung des § 107 Abs 1 TKG (nunmehr § 174 TKG 2021), die Art 13 Abs 1 der ePrivacy-RL umsetzt, zu beurteilen.38 Durch einen Verstoß gegen das Telekommunikationsgesetz kann gleichzeitig eine Verletzung des Rechts auf Geheimhaltung nach § 1 Abs 1 DSG vorliegen, die im Verfahren vor der DSB nach §§ 24 ff DSG geltend gemacht werden kann.39 So gehen etwa spezialgesetzliche Bestimmungen des TKG, welche die Auskunftserteilung zu Verkehrsdaten iSv § 160 Abs 3 Z 6 TKG 2021 einschränken, dem allgemeinen Recht auf Auskunft des betroffenen Endgerätenutzers nach Art 15 DSGVO vor.40 Darüber hinaus bestehen nach Ansicht der Datenschutzbehörden auch Bestimmungen der DSGVO, die dem Diensteanbieter im Überschneidungsbereich mit der ePrivacy-RL gem Art 95 DSGVO keine zusätzlichen Pflichten auferlegen dürfen.41

4.5. Aktueller Umsetzungsstand

Aus österreichischer Perspektive lässt sich derzeit festhalten, dass die datenschutzrechtlichen Bestimmungen des TKG 2021 im Umfang, in dem sie der ePrivacy-RL entsprechen, auf die „Verarbeitung von personenbezogenen Daten oder der nicht öffentlich zugänglichen Daten einer juristischen Person in Verbindung mit der Bereitstellung öffentlicher Kommunikationsdienste in öffentlichen Kommunikationsnetzen“42 anzuwenden sind. Im Einzelnen ergibt sich folgende Zusammenschau der Umsetzung im österreichischen Datenschutz für den elektronischen Bereich (14. Abschnitt des TKG 2021):

TKG 2021 Umsetzungs-/ Anpassungsgrundlage

§ 161 (Kommunikationsgeheimnis)Art 5 Abs 1 ePrivacy-RL

§ 165 (Datenschutz – Allgemeines)Art 5 ePrivacy-RL

§ 166 (Stammdaten)Art 23 DSGVO

§ 167 (Verkehrsdaten)Art 6, 7 ePrivacy-RL

§ 168 (Inhaltsdaten)ErwGr 22 ePrivacy-RL

§ 169 (Andere Standortdaten)Art 9 ePrivacy-RL

§ 173 (Nutzerverzeichnis)Art 12 ePrivacy-RL

§ 174 (Unerbetene Nachrichten)Art 13 ePrivacy-RL

38 DSB 7. 3. 2019, DSB-D130.033/003-DSB/2019.

39 Vgl Thiele/Wagner, DSG § 24 Rz 28 ff mwN.

40 DSB 15. 10. 2021, 2021-0.382.645 (nrk), ZIIR 2022, 56.

41 DSB 7. 7. 2021, 2021-0.330.691 (nrk), ZIIR 2022, 66; dazu Blocher, Dein Handy, aber nicht deine Daten? ZIIR 2022, 6.

42 Vgl § 160 Abs 1 TKG 2021.

Die ePrivacy-RL schützt sowohl die Vertraulichkeit der Kommunikation (Kommunikationsgeheimnis, Verkehrsdaten) als auch die Informationen auf Endgeräten, unabhängig vom Personenbezug. Die DSGVO tritt in diesem Fall zurück, obwohl eine Verarbeitung personenbezogener Daten durchaus erfolgt und deren Anwendbarkeit grundsätzlich gegeben wäre. Nach Art 95 DSGVO sind sowohl die ePrivacy-RL als auch die in ihrer Umsetzung ergangenen Vorschriften des TKG 2021 gegenüber der DSGVO vorrangig. Zu beachten ist, dass außerhalb dieses Anwendungsvorrangs einzelne Bestimmungen des TKG 2021 aufgrund des EECC, aber auch der Öffnungsklausel des Art 23 DSGVO zur Anwendung gelangen.

5. Praktische Konsequenzen für den elektronischen Datenschutz

5.1. Elektronische Verarbeitung

Erfasst wird die Verarbeitung (einschließlich der ausdrücklich genannten Übermittlung) von personenbezogenen Daten und nicht öffentlich zugänglichen Daten sowie der in § 165 Abs 1 TKG 2021 genannten vier Datenkategorien in Verbindung mit der Bereitstellung öffentlicher Kommunikationsdienste in öffentlichen Kommunikationsnetzen. Zur elektronischen Verarbeitung wird an Art 4 Z 2 DSGVO anzuknüpfen sein, ohne die Sonderregel für strukturierte Dateisysteme oder die manuelle Verarbeitung.

Damit wird die Vertraulichkeit der Kommunikation im Hinblick auf den Schutz von Inhalts- und Verkehrsdaten erfasst. Dieser folgt dem Zweckbindungsgrundsatz bzw der sonstigen gesonderten Zustimmung bzw Einwilligung. Insoweit gibt es einen strukturellen Gleichlauf zur DSGVO.

Die Besonderheiten der Online-Kommunikation liegen nunmehr darin, dass Adressat des elektronischen Datenschutzregimes jeder Teilnehmer, einschließlich des Websitebetreibers, sein kann. Erfasst werden auch die Verarbeitung oder Speicherung auf fremden Endgeräten (Stichwort: „Cookies“); sogar die unerbetene Kommunikation ist eigens geregelt.

5.2. Kommunikationsgeschützte Daten

Zu den kommunikationsgeschützten Daten zählen insb die „Inhalts- und Verkehrsdaten“ sowie die in § 165 Abs 1 TKG 2021 genannten weiteren zwei Kategorien (Standortdaten sowie Stammdaten), also insgesamt vier Datenkategorien. Die Zugangsdaten bilden dabei lediglich eine Unterkategorie der Verkehrsdaten gem § 160 Abs 3 Z 7 TKG 2021. Eine Unterscheidung in besonders kategorisierte Daten und einfach geschützte Daten, wie sie etwa von Art 9 DSGVO vorgenommen wird, besteht im elektronischen kommunikationsrechtlichen Datenschutz nicht.

5.3. Rollenverteilung

Der elektronische Kommunikationsdatenschutz lässt die „klassische Trias“ der DSGVO für die Rollenverteilung in Betroffene –

Verantwortliche – Auftragsverarbeiter keinesfalls deutlich hervortreten. Dies führt mitunter zu Verwirrungen, da die spezifischen Regelungen des TKG 2021 zum Datenschutz in der elektronischen Kommunikation auch dann anwendbar sind und der DSGVO vorgehen, wenn dadurch eine Verarbeitung personenbezogener Daten miterfasst ist.

Auf der Betroffenenseite finden sich neben natürlichen Personen als Teilnehmer der geschützten vertraulichen Kommunikation auch juristische Personen.

Als Verantwortliche, ohne diesen Begriff zu verwenden, sind Anbieter eines Dienstes der Informationsgesellschaft ebenso zu nennen wie Betreiber öffentlicher Kommunikationsdienste. Dreh- und Angelpunkt bildet dabei die Auslegung des Begriffes der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste bzw der öffentlichen Kommunikationsnetze. Insoweit ist in grundrechtskonformer Auslegung der Begriff des Kommunikationsdienstes auch auf OTT-Kommunikationsdienste auszudehnen.43

Art 2 Z 1 EECC definiert „elektronische Kommunikationsnetze“ als „Übertragungssysteme, ungeachtet dessen, ob sie auf einer permanenten Infrastruktur oder zentralen Verwaltungskapazität basieren und gegebenenfalls Vermittlungs- und Leitwegeeinrichtungen, sowie anderweitige Ressourcen – einschließlich der nicht aktiven Netzbestandteile – die die Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetze, feste (leitungs- und paketvermittelt, einschließlich Internet) und mobile Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hör- und Fernsehfunk, sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Information“.

Ein Kommunikationsnetz ist nach Art 2 Z 8 EECC „ ö ffentlich “, wenn es „ ganz oder überwiegend der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste dient, die die Übertragung von Informationen zwischen Netzabschlusspunkten ermöglichen “. Dieser weite Anwendungsbereich nimmt also letztlich Kommunikation in einem geschlossenen Unternehmensnetzwerk aus, das lediglich zum beru fl ichen Austausch der im Unternehmen beschäftigten Mitarbeiter dient. In diesen geschlossenen Benutzergruppen kommt das TKG 2021 daher nicht zum Zug; gleichermaßen ist daher nach Art 95 DSGVO ein Rückgri ff auf die Datenschutzgrundverordnung möglich.

Obwohl sich die Rollenverteilung zum Teil umdreht, dh, der Betroffene wird Verantwortlicher, der Verantwortliche wird Auftragsverarbeiter oder der Auftragsverarbeiter wird unter bestimmten Umständen zum Verantwortlichen, spielt dies im kommunikationsgeschützten Datenverkehr letztlich keine Rolle,

43 Zutr Simitis/Hornung/Spiecker, Datenschutzrecht DSGVO Art 95 Rz 12. Nach Ansicht des Landesbeauftragten für Datenschutz in NRW gehören dazu auch Videokonferenzdienste, LDI NRW, 27. Datenschutzbericht, abrufbar unter <ldi.nrw.de/system/files/media/document/file/27_datenschutzbericht_2022_ldi_nrw.pdf> (12. 1. 2023).

da keine (zusätzlichen) Verpflichtungen der DSGVO im Einzelnen auferlegt werden dürfen. Genau hier wird letztlich die ePrivacy-VO ansetzen (müssen).

5.4. Rechtmäßigkeit der Verarbeitung (Prüfungsschema)

Die Rechtmäßigkeitsgründe im Kommunikationsdatenschutz

finden sich (im Wesentlichen) in § 165 TKG 2021. Demzufolge dürfen die kommunikationsgeschützten Daten

 für Zwecke der Besorgung eines Kommunikationsdienstes ermittelt oder verarbeitet werden (Abs 1);

 übermittelt werden, soweit das für die Erbringung jenes Kommunikationsdienstes, für den diese Daten ermittelt oder verarbeitet worden sind, erforderlich ist (Abs 2 Satz 1);

 im Übrigen nur aufgrund einer jederzeit widerrufbaren Einwilligung der Betroffenen verarbeitet werden (Abs 2 Satz 2). Der Zugriff (Speicherung/Verarbeitung) auf fremden Endgeräten ist nach § 165 Abs 3 TKG 2021 nur dann gerechtfertigt, wenn er entweder

 zur Kommunikationsdienste-Erbringung unbedingt erforderlich ist (Abs 3 Satz 2 2. Alternative) oder

 der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist (Abs 3 Satz 2 1. Alternative) oder

 eine informierte Einwilligung des Nutzers vorliegt (Satz 1). Schließlich besteht eine Sonderregelung für die Eigenwerbung im Online-Marketing nach § 174 Abs 4 TKG 2021, die als besonderer Fall einer kompatiblen Weiterverwendung iSv Art 6 Abs 4 DSGVO angesehen werden kann. Den von einem Teil der Lehre44 geäußerten Bedenken, durch den Einschub „oder der nicht öffentlich zugänglichen Daten einer juristischen Person“ in § 160 Abs 1 TKG 2021 sei der elektronische Datenschutz des 14. Abschnitts des TKG 2021 nicht mehr auf veröffentlichte Daten45 juristischer Personen anzuwenden, ist das unionsrechtliche Verständnis entgegenzuhalten, wie es im vorliegenden Urteil für „öffentliche Teilnehmerverzeichnisse“ kaum deutlicher zu Tage treten könnte.46

6. Checkliste zur Anwendung des elektronischen Kommunikationsdatenschutzes

Abschließend soll eine ergänzungsbedürftige, eine individuelle anwaltliche Beratung keinesfalls ersetzende Checkliste eine erste Klärung von Anwendung und Reichweite des elektronischen Kommunikationsdatenschutzes bewirken:

44 Knyrim/Ehmair-Breitwieser, Eine bisher unbemerkte Änderung: § 160 Abs 1 TKG, Dako 2022, 109.

45 ZB in öffentlichen Registern oder Online-Verzeichnissen.

46 Im Ergebnis halten Knyrim/Ehmair-Breitwieser, Dako 2022, 109 (110), zu Recht am „umfassenden Schutz“ auch für juristische Personen durch die ePrivacy-RL fest.

Checkliste: Wenn 1 und 2, dann 3; ergänzend 4

AblaufPrü

1aLiegt eine elektronische Verarbeitungstätigkeit vor?Art 1 Abs 1 ePrivacy-RL iVm Art 4 Z 1 DSGVO

UND

1bLiegt ein elektronischer Kommunikationsdienst vor?Art 2 EECC Art 2 lit g und Art 3 ePrivacy-RL

Rollenverteilung

 Diensteanbieter

 Teilnehmer/Nutzer

 sonstiger Beteiligter

UND

2Werden kommunikationsgeschützte Daten verarbeitet, nämlich

 Stammdaten

 Verkehrsdaten

 Standortdaten

 Inhaltsdaten

DANN

3 Rechtmäßigkeitsprüfung

 TKG-Datenschutz

 unerwünschte Kommunikation

– Einwilligung

– Zweckähnlichkeitsausnahme

 Data Breach

 Grundrecht auf Datenschutz

ERGÄNZEND

4 Subsidiär

 Betroffenenrechte

 internationaler Datentransfer

7. Zusammenfassung

„Proximus“ bedeutet (räumlich wie zeitlich) der Nächstfolgende, der Nächste oder schlicht ganz nahe 47 Der EuGH nutzt den vorliegenden Fall eines gleichnamigen Anbieters von Online-Teilnehmerverzeichnissen in Belgien zur Klärung wesentlicher Fragen des Verhältnisses zwischen der DSGVO und der ePrivacy-RL. Gleichzeitig etabliert der Gerichtshof erhöhte Compliance-Verpflichtungen in Form von erweiterten Informationspflichten bei Löschung in einer elektronischen Verarbei-

47 PONS, Online-Wörterbuch Latein, abrufbar unter <de.pons.com/%C3% BCbersetzung/latein-deutsch/proximus> (5. 1. 2023).

Art 2 lit b-e und lit h ePrivacy-RL

Art 5 ePrivacy-RL/§ 165 TKG 2021

§ 174 TKG 2021

§ 174 Abs 4 TKG 2021 VO (EU) 611/2013

§ 1 DSG

tungskette. Damit gewinnt das ohnehin schärfste Betroffenenrecht noch weiter an Durchschlagskraft zugunsten der betroffenen Teilnehmer:innen.

Der Autor:

RA Hon.-Prof. Dr. Clemens Thiele, LL.M. Tax (GGU) Fulbright Stipendiat für US-Steuerrecht; Anwaltliche Tätigkeit in Deutschland und den USA; Gründer der Kanzlei EUROLAWYER®; Honorarprofessor der Universität Salzburg; Autor und Herausgeber von Publikationen zum IP/IT-Recht; gerichtlich beeideter Sachverständiger für Urheberrechtsfragen aller Art.

lesen.lexisnexis.at/autor/Thiele/Clemens

Weil „VORSPRUNG“ entscheidet: LexisNexis Magazin als Tor zur Welt der Rechtsinforma on Die Weiterentwicklung der bewährten LitInfo erscheint dreimal jährlich und ist kostenlos beziehbar.

DATENSCHUTZ & E-GOVERNMENT JUDIKATUR

DATENSCHUTZRECHT

EuGH: Recht auf Löschung von Fake News aus der Suchmaschine

» jusIT 2023/10

GRC: Art 7, 8, 11, 16

VO (EU) 2016/679: Art 5 Abs 1 lit d, Abs 2, Art 16, 17 Abs 3 lit a, Art 85

RL 95/46/EG: Art 12 lit b, Art 14 Abs 1 lit a

EuGH 8. 12. 2022, C-460/20 (Google – Auslisten von angeblich unrichtigen Inhalten)

1. Der Betreiber einer Suchmaschine muss die als Treffer angezeigten Informationen auslisten, wenn der Antragsteller nachweist, dass sie offensichtlich unrichtig sind.

2. Diese offensichtliche Unrichtigkeit besteht nicht nur dann, wenn eine gerichtliche Entscheidung dahin gehend vorliegt, die gegen den Herausgeber der Website erwirkt wurde, sondern auch dann, wenn der betroffene Anspruchsteller die Unrichtigkeit des von der Suchmaschine referenzierten Inhalts sonst nachweist.

3. Zu diesem Nachweis genügt es, entweder die Unrichtigkeit des gesamten Inhalts oder einen nicht unbedeutenden Teil der in dem aufgelisteten Inhalt stehenden Informationen als unrichtig zu belegen, insoweit als dies vom Betroffenen vernünftigerweise verlangt werden kann. Der Suchmaschinenbetreiber ist nicht verpflichtet, bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist.

4. Enthält der beanstandete Inhalt etwa auch in Gestalt von Vorschaubildern angezeigte Fotos, muss der Suchmaschinenbetreiber prüfen, ob die Anzeige der fraglichen Fotos erforderlich ist, um das Recht auf freie Information auszuüben, das den Internetnutzern zusteht, die potenziell Interesse an einem Zugang zu diesen Fotos haben. Insoweit stellt der Beitrag zu einer Debatte von allgemeinem Interesse ein wesentliches Kriterium bei der Abwägung der widerstreitenden Grundrechte dar. Dabei ist die konkrete Verwendung auf der beanstandeten, als Suchergebnis aufscheinenden Seite für die Beurteilung des Informationswerts der Fotos relevant, unabhängig vom Kontext ihrer Veröffentlichung auf der Internetseite, der sie entnommen sind.

5. Im Rahmen der letztlich fallkonkret vorzunehmenden Grundrechtsabwägung ist jedes Textelement zu berücksichtigen, das mit der Anzeige der Fotos in den Suchergebnissen unmittelbar einhergeht und Aufschluss über den Informationswert dieser Fotos geben kann.

Anmerkung des Bearbeiters:

In dem aus Deutschland stammenden Ausgangsfall hat der EuGH zusammengefasst entschieden, dass der Betreiber einer Suchmaschine (hier: Google®) Suchergebnisse auslisten muss, wenn der Antragsteller nachweist, dass diese offensichtlich unrichtig sind. Nicht erforderlich ist, dass der Betroffene zuvor gerichtlich gegen den Betreiber der Website mit der Falschinformation vorgeht. Der Suchmaschinenbetreiber ist hingegen nicht verpflichtet, bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken.

Nach dem zugrunde liegenden Sachverhalt hatte die Website eines US-amerikanischen Unternehmens kritisch über das Anlagemodell von Gesellschaften berichtet, an denen einer der (späteren) Kläger, ein deutscher Geschäftsmann, beteiligt bzw in verantwortlicher Position tätig war. Die Zweitklägerin war seine Ehefrau und Prokuristin in einer der Gesellschaften. Der online im Jahr 2015 erschienene Artikel enthielt die Kläger:innen zeigende Fotos. Diese forderten Google LLC letztlich auf, aus den Ergebnissen einer anhand ihrer Namen durchgeführten Suche die Links zu bestimmten Artikeln auszulisten, die das Anlagemodell dieser Gruppe kritisch darstellten. Sie machten geltend, dass diese Artikel unrichtige Behauptungen enthielten. Die klagenden Parteien begehrten zunächst vor dem LG Köln von Google® als der Verantwortlichen für die Internetsuchmaschine, es zu unterlassen, auch die Fotos von ihnen als Vorschaubilder („thumbnails“) anzuzeigen. Die I. Instanz wies die Klage unter Hinweis auf den beruflichen Kontext dieser Artikel und Fotos sowie darauf ab, dass Google nicht gewusst hätte, ob und dass die in diesen Artikeln enthaltenen Informationen unrichtig wären. Die Berufung an das OLG Köln blieb ohne Erfolg. Im Revisionsverfahren setzte der BGH das Verfahren aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor (BGH 27. 7. 2020, VI ZR 476/18 [Direkt Eins]).

Die Große Kammer betonte in der umfangreichen Urteilsbegründung, dass der Suchmaschinenbetreiber zwar nicht dazu gehalten wäre, aktiv „bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden“, mitzuwirken (Rz 70 des Urteils). Google® wäre aber dann dazu verpflichtet, dem Begehren nachzukommen, sofern die durch den Antragsteller vorgelegten Hinweise stichhaltig waren. Der Antragsteller müsste zuvor jedoch nicht gegen den Betreiber der entsprechenden Webseite vorgehen. Insbesondere bei der Anzeige von Vorschaubildern („thumbnails“) war zu beachten, dass der Eingriff in das Recht

ART.-NR.: 11

auf Schutz des Privatlebens und der personenbezogenen Daten besonders intensiv ist. Fallkonkret hätte das nationale Gericht daher die Interessenabwägung vorzunehmen.

Art 17 Abs 2 DSGVO enthält eine spezielle Informationspflicht des Verantwortlichen, der personenbezogene Daten zB auf einer Website öffentlich gemacht hat, zu deren Löschung er verpflichtet ist. Der Verantwortliche muss Dritte, wie zB Suchmaschinenbetreiber, informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen verlangt hat (deutlich Jahnel, DSGVO Art 17 Rz 55 ff: „erweiterte Informationspflicht“). Diese besondere Informationspflicht korrespondiert mit dem entsprechenden (Löschungs-) Recht des Betroffenen, dem unter Bedachtnahme auf ErwGr 66 auch der Terminus „Recht auf Vergessenwerden“ zugeordnet werden kann. Der Anspruch auf erweiterte Information der Dritten, den Art 17 Abs 2 DSGVO gewährt, kann nur gegen den Verantwortlichen geltend gemacht werden, gegen den ein Anspruch auf Löschung personenbezogener Daten besteht, die der Verantwortliche öffentlich gemacht hat. Das bedeutet, es handelt sich um eine Pflicht, die in der Praxis jeden Verantwortlichen treffen kann. Dagegen hat der Anspruch, den das sog „Recht auf Auslistung“ gewährt, die Entfernung der Links zum Gegenstand und muss von der betroffenen Person gegen Suchmaschinenbetreiber geltend gemacht werden (Thiele/Wagner, DSG2 § 9 Rz 109).

Ausblick: Der Richterspruch aus Luxemburg stellt klar, dass Suchmaschinen wie Google die Einträge aus den Ergebnislisten löschen müssen, wenn sie nachweislich falsch sind. Betroffene sind keineswegs verpflichtet, sich dafür zuerst an denjenigen zu wenden, der die Informationen (ursprünglich) ins Netz gestellt (oder weiterverbreitet) hat, sondern können gleich den Suchmaschinenbetreiber zur Löschung auffordern, denn er ist für die Trefferliste als eigenen (aufbereiteten) Inhalt verantwortlich (vgl auch OGH 30. 3. 2016, 6 Ob 26/16s [Autocomplete I], EvBl 2016/153 [Rohrer und Kamilarov] = jusIT 2016/50, 107 [Thiele]). Der EuGH reduziert die Prüfpflichten des Suchmaschinenbetreibers (Rz 70 des Urteils) – im Ergebnis – auf ein „im Zweifel Löschen“. Dies gilt insb für die Verarbeitung von Vorschaubildern (von non-public figures), da die referenzierte Veröffentlichung von Personenbildnissen einen besonders starken Eingriff in das Recht auf Schutz des Privatlebens und der personenbezogenen Daten darstellen kann (Rz 94 des Urteils).

Bearbeiter: Clemens Thiele

» jusIT 2023/11

VO (EU) 2016/679: Art 6 Abs 1 lit c und Abs 3, Art 9 Abs 1

GRC: Art 7, 8

EuGH 1. 8. 2022, C-184/20 (Vyriausioji tarnybinės etikos komisija)

1. Nationale Rechtsvorschriften, nach denen die Erklärung über private Interessen, die jeder Leiter einer öffentliche Mittel erhaltenden Einrichtung abgeben muss, im Internet zu veröffentlichen ist, widersprechen Art 6 Abs 1 lit c und Abs 3 DSGVO insoweit, als diese Veröffentlichung namensbezogene Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, oder Daten über jede in den letzten 12 Kalendermonaten abgeschlossene Transaktion mit einem Wert von über € 3.000 betrifft.

2. Die Veröffentlichung personenbezogener Daten, die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren, auf der Website der Behörde, die für die Entgegennahme und die inhaltliche Kontrolle von Erklärungen über private Interessen zuständig ist, stellt eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Art 9 Abs 1 DSGVO dar.

Anmerkung des Bearbeiters:

Inhaltlich ging es in diesem Urteil um eine nationale Regelung in Litauen, die zur Verhütung von Interessenkonflikten und von Korruption im öffentlichen Sektor vorsah, dass Personen, die im öffentlichen Dienst tätig sind, sowie Leiter von Vereinigungen oder Einrichtungen, die öffentliche Mittel erhalten, Erklärungen über private Interessen abgeben mussten. Diese Erklärungen, die auch Daten über Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, und Daten über jede in den letzten 12 Kalendermonaten abgeschlossene Transaktion mit einem Wert von über € 3.000 enthielten, waren im Internet zu veröffentlichen.

Zur Beantwortung der ersten Vorlagefrage stellte der EuGH zunächst fest, dass die Veröffentlichung dieser Daten im Internet iSv Art 6 Abs 1 lit c DSGVO zur Erfüllung einer rechtlichen Verpflichtung erforderlich war, der der Verantwortliche unterlag. In weiterer Folge wurde ausführlich geprüft, ob die litauische Rechtsgrundlage den Anforderungen des Art 6 Abs 3 DSGVO ent-

EuGH: Zur Anforderung an eine Rechtsgrundlage für eine Datenverarbeitung und zum Begriff der sensiblen Daten

Compliance ist kein Drahtseilakt. Wenn man gut vernetzt ist. Informieren.

sprach, wonach sie ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss.

Der EuGH kam dabei zum Ergebnis, dass die Ziele der Rechtsgrundlage darin bestehen, die Garantien für Redlichkeit und Unparteilichkeit der öffentlichen Entscheidungsträger zu stärken, Interessenkonflikten vorzubeugen und Korruption im öffentlichen Sektor zu bekämpfen, und diese daher unbestreitbar im öffentlichen Interesse liegen. Überdies ist diese Maßnahme geeignet, zur Verwirklichung der mit ihr verfolgten, im öffentlichen Interesse liegenden Ziele beizutragen.

Nicht erfüllt war allerdings die Voraussetzung der Erforderlichkeit, wonach das im öffentlichen Interesse liegende Ziel nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte der betroffenen Personen eingreifen. Diesbezüglich betont der EuGH zunächst, dass die im Verfahren vorgebrachte mangelnde Zuweisung von Mitteln an Behörden keinesfalls einen legitimen Grund darstellen kann, der einen Eingriff in die Charta-Grundrechte rechtfertigen könnte. Anschließend erfolgte eine Abwägung zwischen dem Eingriff, der sich aus der Veröffentlichung der in den Erklärungen über private Interessen enthaltenen personenbezogenen Daten ergab, mit den dem Gemeinwohl dienenden Zielsetzungen der Verhütung von Interessenkonflikten und von Korruption im öffentlichen Sektor. Dabei kommt der EuGH mit ausführlichen Begründungen zum Ergebnis, dass die in der Rechtsgrundlage vorgesehene Veröffentlichung namensbezogener Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, sowie der Daten über jede in den letzten 12 Kalendermonaten abgeschlossene Transaktion mit einem Wert von über € 3.000, nicht gerechtfertigt war.

Die zweite Vorlagefrage betraf die Reichweite des Begriffs der „besonderen Kategorien personenbezogener Daten“ nach Art 9 Abs 1 DSGVO. Dabei kommt der EuGH mit einer recht knappen Begründung zum Ergebnis, dass nicht nur ihrem Wesen nach sensible Daten in den Anwendungsbereich von Art 9 DSGVO fallen, sondern auch Daten, aus denen sich „mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben“. Vgl ausführlich dazu Gosch, Zur Reichweite der Klassifizierung sensibler Daten. Zugleich eine Besprechung der Entscheidung EuGH 1. 8. 2022, C-184/20 (Vyriausioji tarnybins etikos komisija), jusIT 2022/76, 183.

Bearbeiter: Dietmar Jahnel

EuGH: Zum Begriff der „justiziellen Tätigkeit“

» jusIT 2023/12

VO (EU) 2016/679: Art 55 Abs 3

EuGH 24. 3. 2022, C-245/20 (Autoriteit Persoonsgegevens)

Wenn ein Gericht Journalisten vorübergehend Unterlagen mit personenbezogenen Daten aus einem Gerichtsverfahren bereitstellt, um sie in die Lage zu versetzen, besser über den Ablauf des Gerichtsverfahrens zu berichten, fällt diese Verarbeitung unter „justizielle Tätigkeit“ nach Art 55 Abs 3 DSGVO und damit nicht in die Zuständigkeit der nationalen Aufsichtsbehörde.

Anmerkung des Bearbeiters:

Art 55 Abs 3 DSGVO schließt die sachliche Zuständigkeit der Aufsichtsbehörden für Verarbeitungen von Gerichten aus, die im Rahmen ihrer justiziellen Tätigkeit vorgenommen werden. Damit soll laut ErwGr 20 DSGVO die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleiben. Anstelle der Aufsichtsbehörde können besondere Stellen im Justizsystem des Mitgliedstaats mit der Aufsicht über die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit betraut werden, die insb die Einhaltung der Vorschriften der DSGVO sicherstellen. Dies ist in Österreich für die ordentliche Gerichtsbarkeit in §§ 83 ff GOG geschehen.

Im vorliegenden Fall stellte die Kommunikationsabteilung eines Verwaltungsgerichts in den Niederlanden am Tag der Sitzung den anwesenden Journalisten Unterlagen zur Verfügung, die es ihnen ermöglichen sollten, der Sitzung zu folgen, nämlich eine Kopie des verfahrenseinleitenden Schriftsatzes, der Erwiderung auf den verfahrenseinleitenden Schriftsatz und der angefochtenen Gerichtsentscheidung. Die gegen diese Datenverarbeitung angerufene niederländische Aufsichtsbehörde erklärte sich für unzuständig, worauf das Bezirksgericht, bei dem diese Entscheidung angefochten wurde, die Vorlagefrage an den EuGH stellte, ob in diesem Fall eine justizielle Tätigkeit iSv Art 55 Abs 3 DSGVO vorliegt oder nicht.

Diese Frage wurde vom EuGH mit der Begründung bejaht, dass von Gerichten „im Rahmen ihrer justiziellen Tätigkeit“ vorgenommene Verarbeitungen so zu verstehen ist, dass diese nicht auf die Verarbeitung personenbezogener Daten beschränkt ist, die von den Gerichten im Rahmen konkreter Rechtssachen durchgeführt wird, sondern in weiterem Sinn alle Verarbeitungsvorgänge erfasst, die von den Gerichten im Rahmen ihrer justiziellen Tätigkeiten vorgenommen werden. Damit sind Verarbeitungsvorgänge von der Zuständigkeit der Aufsichtsbehörde ausgeschlossen, deren Kontrolle durch diese Behörde mittelbar oder unmittelbar die Unabhängigkeit der

ART.-NR.: 13

Mitglieder oder der Entscheidungen der Gerichte beeinflussen könnte.

In Bezug auf die vorliegende Verarbeitung wurde festgestellt, dass ua die Verarbeitung personenbezogener Daten, die von Gerichten im Rahmen ihrer Kommunikationspolitik zu Rechtssachen, über die sie zu entscheiden haben, vorgenommen wird, wie zB Journalisten vorübergehend Unterlagen aus einer Gerichtsakte bereitzustellen, damit sie die mediale Berichterstattung hierüber gewährleisten können, nicht unter die Zuständigkeit der Aufsichtsbehörde gem Art 55 Abs 3 DSGVO fällt. Unter Berücksichtigung der konkreten Rechtssache diejenigen Informationen aus einer Gerichtsakte festzulegen, die an Journalisten weitergegeben werden können, damit sie über den Ablauf eines Gerichtsverfahrens berichten oder diesen oder jenen Gesichtspunkt einer erlassenen Entscheidung erläutern können, steht nach Ansicht des EuGH klar in Verbindung mit der „justiziellen Tätigkeit“ dieser Gerichte. Hierüber mittels einer externen Behörde die Aufsicht zu führen, wäre im Allgemeinen geeignet, die richterliche Unabhängigkeit zu beeinträchtigen.

Ausblick: Das vorliegende Urteil ist das erste, in dem der EuGH zur Frage der Auslegung des Begriffes der „justiziellen Tätigkeit“ Stellung nehmen musste. Als allgemeine Interpretationsmaxime lässt sich daraus ableiten, dass dieser Begriff durchaus weit zu verstehen ist, nämlich dahin gehend, dass alle Verarbeitungsvorgänge von der Zuständigkeit der Aufsichtsbehörde ausgeschlossen sind, deren Kontrolle durch diese Behörde mittelbar oder unmittelbar die Unabhängigkeit der Mitglieder oder der Entscheidungen der Gerichte beeinflussen könnte. Dem entspricht die bisherige Rsp in Österreich, wonach die Dokumentation der Rsp ebenfalls eine „justizielle Tätigkeit“ darstellt (vgl VwGH 9. 8. 2021, Ra 2019/04/0106, jusIT 2021/80, 217 [Thiele] = RZ 2021/29, 292 [Urban]).

Schließlich sei noch ausdrücklich festgehalten, dass im vorliegenden Urteil lediglich die Unzuständigkeit der Aufsichtsbehörde festgestellt wurde, dass aber keinerlei Aussagen über die Rechtmäßigkeit der vorliegenden Verarbeitung getroffen wurden. Diese ist von der für die Aufsicht im Bereich der Justiz zuständigen Stelle gesondert nach Art 5 ff DSGVO bzw in Österreich zusätzlich nach § 1 DSG zu prüfen.

Bearbeiter: Dietmar Jahnel

VfGH: Keine Geheimhaltung von Einkommensdaten im Scheidungsprozess

» jusIT 2023/13

VO (EU) 2016/679: Art 6 Abs 1 lit f, Art 15

DSG: § 1 Abs 1 und Abs 2

B-VG: Art 7 Abs 1

VfGH 22. 9. 2022, E 2078/2022

VfGH 22. 9. 2022, E 2223/2022

1. Im Scheidungsprozess hat ein Ehegatte kein Recht auf Geheimhaltung seiner Einkommensdaten gegenüber dem anspruchstellenden Ehepartner.

2. Ein unterhaltsberechtigter Ehegatte hat zur Festlegung des Unterhaltsbegehrens ein Recht auf Auskunft und Rechnungslegung gegen den anderen Ehegatten.

3. Keine Auskunftspflicht des Wirtschaftstreuhänders nach der DSGVO, soweit dies das Recht auf Verschwiegenheit zur Sicherstellung des Schutzes seiner Klientin (hier: der Ehefrau) erfordert (nur E 2223/2022).

Anmerkung des Bearbeiters:

Diesen beiden Erkenntnissen des VfGH lag ein Scheidungsverfahren zugrunde, im Zuge dessen ein Wirtschaftstreuhänder in einem Privatgutachten, das im Auftrag der (Noch-)Ehefrau erstellt worden war, Einkommensdaten des (Noch-)Ehemanns angeführt hatte. Diese Daten waren nicht öffentlich zugänglich und enthielten insb wirtschaftliche Kennzahlen einer Privatstiftung und das dem (Noch-)Ehemann daraus zufließende Einkommen. Gegen diese Datenverarbeitung brachte der (Noch-)Ehemann Beschwerde gegen den Gutachter bei der DSB ein. Diese kam bei ihrer gem § 1 Abs 2 DSG vorgenommenen Interessenabwägung zum Ergebnis, dass die Interessen des Gutachters an der Erfüllung des Gutachtensauftrages und die Interessen der (Noch-) Ehefrau, die in einem Scheidungsverfahren ihre rechtlichen Ansprüche prüfen musste, schwerer wogen als die Interessen des (Noch-)Ehemanns an der Geheimhaltung seiner Einkommensdaten. Im Ergebnis hat die DSB die Verarbeitung der Daten als rechtmäßig qualifiziert.

Ab 2022 fürvorgeschrieben Unternehmen ab 250 MitarbeiterInnen

Das Hinweisgebersystem mit externem Abklärungsservice

Jetzt kostenlose Demo anfordern: www.whistlecomplete.at

Gegen Spruchpunkt 1 dieses Bescheids (Abweisung hinsichtlich der Verletzung des [Noch]Ehemanns im Recht auf Geheimhaltung) erhob der (Noch-)Ehemann Beschwerde an das BVwG. Dieses kam zur gegenteiligen Ansicht als die DSB und stellte fest, dass der (Noch-)Ehemann durch die Verarbeitung seiner Daten im Privatgutachten in seinem Recht auf Geheimhaltung verletzt wurde. Dies wurde damit begründet, dass die verarbeiteten Daten lediglich zu einem geringen Teil öffentlich zugänglich waren. Vielmehr wurden die Daten von der (Noch-)Ehefrau zur Verfügung gestellt, die lediglich durch den sorglosen Umgang ihres (Noch-)Ehemanns als Computerlaien in den Besitz

dieser Unterlagen gekommen war, weil sie auch noch nach dessen Auszug aus der Ehewohnung Zugang zu seinem E-Mail-Postfach hatte. Damit hat nach Ansicht des BVwG das Interesse des (Noch-)Ehemanns an der Geheimhaltung überwogen. Gegen dieses Erkenntnis hat der unterlegene Wirtschaftstreuhänder eine Erkenntnisbeschwerde an den VfGH erhoben, über die im Verfahren E 2078/2022 entschieden wurde.

In den Spruchpunkten 2 und 3 des Bescheids der DSB war eine Verletzung des (Noch-)Ehemanns im Recht auf Auskunft durch den Gutachter festgestellt worden. In der dagegen vom Gutachter erhobenen Beschwerde wurde durch das BVwG die Verletzung des Auskunftsrechts bestätigt, weil sich der Beschwerdeführer als Wirtschaftstreuhänder in der vorliegenden Fallkonstellation nicht auf seine berufliche Verschwiegenheitspflicht gem § 80 WTBG berufen konnte und es nicht ausreichend ist, im Zuge eines Begehrens auf Auskunftserteilung gem Art 15 DSGVO pauschal auf die Verschwiegenheitspflicht zu verweisen. Gegen dieses Erkenntnis hat der Gutachter eine Erkenntnisbeschwerde an den VfGH erhoben. Im Parallelverfahren zu E 2223/2022 hatte der VfGH damit zusätzlich über die Frage zu entscheiden, ob sich der Wirtschaftstreuhänder zu Recht auf die in § 80 Abs 3a WTBG 2017 normierte Ausnahme von der Auskunftspflicht berufen konnte.

Der VfGH hob beide Erkenntnisse des BVwG mit der Begründung auf, dass das BVwG in seinen Entscheidungen verkennt, dass der (Noch-)Ehemann in der vorliegenden Konstellation kein Recht auf Geheimhaltung seiner Einkommensdaten hat. Ein unterhaltsberechtigter Ehegatte hat nach der stRsp des OGH gegen den anderen Ehegatten einen Anspruch auf Auskunft und Rechnungslegung. Es kann dem Unterhaltsberechtigten nämlich nicht zugemutet werden, gewissermaßen „ins Blaue zu klagen“ und irgendeine wahrscheinliche Einkommenshöhe dem Unterhaltsbegehren zugrunde zu legen. Die wechselseitigen ehelichen Informationspflichten wirken auch nach der Eheauflösung fort. Daher kommt eine Verletzung des (Noch-)Ehemannes in seinem Recht auf Geheimhaltung von vornherein nicht in Betracht. Wo nämlich ein Rechtsanspruch auf Auskunft und Rechnungslegung besteht, kann es kein Recht auf Geheimhaltung personenbezogener Daten geben. Diese Interessenabwägung zugunsten der (Noch-)Ehefrau schlägt auf den von ihr beauftragten Beschwerdeführer durch.

Selbst wenn man von einem Recht auf Geheimhaltung der Einkommensdaten des (Noch-)Ehemannes ausginge, überwiegt nach Ansicht des VfGH das berechtigte Interesse der (Noch-)Ehefrau an der Verarbeitung der Daten durch den Beschwerdeführer. Das Interesse der (Noch-)Ehefrau an der Ermittlung der ihr allenfalls zustehenden (Unterhalts-)Ansprüche ist jedenfalls als berechtigtes Interesse iSv Art 6 Abs 1 lit f DSGVO anzuerkennen. Zudem besteht kein schutzwürdiges Interesse des Unterhaltspflichtigen an der Geheimhaltung seines Einkommens gegenüber seinem Ehegatten, um sich einer gesetzlichen Unterhaltspflicht zu entziehen. Ebenso wenig besteht ein schutzwürdiges Interesse einer Privatstiftung an der Geheimhaltung ihres Vermögens oder Einkommens, das ihr der Unterhaltsschuldner zugewendet hat, gegenüber der Unterhaltsberechtigten, um die Prüfung eines all-

fälligen Unterhaltsanspruches unmöglich zu machen. Im Ergebnis qualifizierte der VfGH beide Erkenntnisse des BVwG, die von einem Überwiegen der Interessen des (Noch-)Ehemannes an der Geheimhaltung seiner Einkommensverhältnisse ausgegangen sind, als willkürlich und hob sie wegen Verstoßes gegen den Gleichheitssatz auf.

Im Erk E 2223/2022 hatte der VfGH zusätzlich zu prüfen, ob sich der beschwerdeführende Wirtschaftstreuhänder in der vorliegenden Konstellation hinsichtlich der Verweigerung seiner Auskunft nach Art 15 DSGVO zu Recht auf § 80 Abs 3a WTBG 2017 berufen konnte. Gemäß dieser Bestimmung kann sich die betroffene Person iSd Art 4 Z 1 DSGVO nicht auf die Rechte nach Art 12 bis 22 und Art 34 DSGVO berufen, soweit dies das Recht des Berufsberechtigten auf Verschwiegenheit zur Sicherstellung des Schutzes des Auftraggebers, der Rechte und Freiheiten anderer Personen oder der Durchsetzung zivilrechtlicher Ansprüche erfordert. Diese Frage wurde mit der Begründung bejaht, dass es dem Wirtschaftstreuhänder vor dem Hintergrund seiner berufsrechtlichen und verwaltungsstrafbewehrten Verschwiegenheitspflicht nicht zugemutet werden kann, eine Handlung zu setzen, welche die Prozessaussichten seiner Auftraggeberin, der (Noch-) Ehefrau, in einem allfälligen Scheidungs- oder Unterhaltsverfahren (potenziell) beeinträchtigen könnte. Der Wirtschaftstreuhänder hat sich somit zu Recht auf seine Verpflichtung zur Verschwiegenheit gem § 80 Abs 3a WTBG 2017 berufen. Der VfGH konnte dem BVwG auch darin nicht folgen, dass der Beschwerdeführer diese Berufung auf die Verschwiegenheitspflicht näher begründen hätte müssen.

Kritik: Auch wenn dem Ergebnis der Interessenabwägung in den beiden Erkenntnissen, die der VfGH iSv § 1 Abs 2 DSG vorgenommen hat, durchaus zugestimmt werden kann, erscheint die Begründung doch sehr knapp bzw ist das Höchstgericht auf einige im Beschwerdeverfahren vorgebrachte Punkte überhaupt nicht eingegangen. So wurde die Frage, welche Rolle einem Wirtschaftstreuhänder als beauftragtem Gutachter zukommt, überhaupt nicht behandelt. Implizit qualifizierte der VfGH den Wirtschaftstreuhänder offenbar als Verantwortlichen nach Art 4 Z 7 DSGVO, weil nur gegenüber diesem das Recht auf Geheimhaltung und das Recht auf Auskunft (in E 2223/2022) geltend gemacht werden können. Weiters hätten das Verhältnis von § 80 Abs 3a WTBG 2017 zu Art 15 DSGVO und vor allem die Frage eine nähere Begründung verdient, ob eine pauschale Berufung auf eine derartige Verschwiegenheitsp flicht, bei der es sich eigentlich um eine Ausnahme von der Auskunftspflicht handelt, für eine Auskunftsverweigerung ausreichend ist. Nach der bisherigen Rsp (vgl BVwG 27. 9. 2018, W214 2127449-1) reicht eine pauschale Verweisung auf die berufliche Verschwiegenheitspflicht, hier nach § 9 Abs 2 RAO, gerade nicht aus. Da in mehreren Berufsgesetzen ganz ähnlich formulierte Ausnahmen von den Betroffenenrechten zu finden sind (zB § 9 Abs 3a RAO oder § 37 Abs 3a NO), wäre eine nähere Auseinandersetzung mit der Frage nach der Begründungspflicht einer Berufung auf die Verschwiegenheitspflicht durch den VfGH wünschenswert gewesen.

Schließlich erscheint auch der Vorwurf, das BVwG hätte „willkürlich“ entschieden, in der Wortwahl überzogen, auch wenn er aus den tradierten „Spruchformeln“ des VfGH übernommen wurde (vgl zu dieser Problematik, die im Rahmen dieser Glosse nur angerissen werden kann, ausführlich Piska/Bierbauer, Willkür- und Vertretbarkeitskontrolle in der Rechtsprechung der Höchstgerichte, in Raschauer [Hrsg], Höchstgerichtliche Vertretbarkeitskontrolle [2022] 59). Als ein willkürliches Verhalten des Verwaltungsgerichtes, das in die Verfassungssphäre eingreift, kann im vorliegenden Fall nach der gängigen Formel des VfGH nämlich nur eine gehäufte Verkennung der Rechtslage infrage kommen, gravierende Mängel des Ermittlungsverfahrens sind ja nicht hervorgekommen. Dass darunter auch eine abweichende, aber durchaus umfangreich begründete Interessenabwägung durch das BVwG fallen kann, ist zumindest auf den ersten Blick nicht unmittelbar nachvollziehbar. Dies ist aber dadurch erklärbar, dass der VfGH bei der unmittelbaren Aufhebung von Erkenntnissen (und früher von Bescheiden) wegen Verstoßes gegen das Grundrecht auf Datenschutz bislang immer den „Umweg“ über den Gleichheitssatz gewählt hat. Und dabei kommen nach der Spruchformel des VfGH nur eine grobe Rechtswidrigkeit oder grobe Verfahrensmängel als Aufhebungsgründe in Betracht. Denkbar (und eigentlich naheliegender) wäre aber genauso gut eine Aufhebung des Erkenntnisses wegen eines Verstoßes gegen die verfassungsgesetzliche Bestimmung des § 1 Abs 2 DSG. Diese könnte nach der allgemeinen Formel des VfGH als qualifizierte Rechtswidrigkeit unter die Fallgruppe der „Denkunmöglichkeit“ eingereiht werden, worunter der VfGH auch eine seiner Ansicht nach fehlerhaft vorgenommene Interessenabwägung versteht (vgl dazu Berka, Verfassungsrecht8 , Rz 1059). Meines Erachtens wird aber weder der Begriff der „Willkür“ noch jener der „Denkunmöglichkeit“ einer vom Verwaltungsgericht abweichenden Gewichtung durch den VfGH im Rahmen der Überprüfung einer Interessenabwägung gem § 1 Abs 2 DSG bzw Art 6 Abs 1 lit f DSGVO gerecht. Diesbezüglich wäre überlegenswert, die teilweise seit Jahren bestehenden „Spruchformeln“ des VfGH bei der Beurteilung von Interessenabwägungen um ein neues, passendes Element zu ergänzen bzw überhaupt für das doch ganz anders strukturierte Grundrecht auf Datenschutz eine neue Spruchformel zu entwickeln.

Zusammengefasst besteht die für die Praxis bedeutendste Aussage des VfGH in diesen beiden Erkenntnissen darin, dass Ehegatten im Scheidungsprozess kein Recht auf Geheimhaltung ihrer Einkommensdaten haben und auch gegen den Willen des einen Ehepartners erlangte Informationen zur eigenen Rechtsdurchsetzung (inklusive einer Gutachtenserstellung durch Dritte) verarbeitet werden dürfen.

Bearbeiter: Dietmar Jahnel

» jusIT 2023/14

VO (EU) 2016/679: Art 2 Z 2, Art 4 Z 11, Art 5 Abs 1 lit c und Abs 2, Art 7 Abs 3 und 4, Art 25 Abs 2

ABGB: §§ 863, 879

DSG: § 28

KSchG: § 6 Abs 3, §§ 28, 29

OGH 14. 9. 2022, 6 Ob 106/22i (Connected Cars)

1. Eine Klausel in AGB, nach der in einem vernetzten Mietfahrzeug integrierte Geräte stets aktiv sind, solange der Nutzer keine Deaktivierung vornimmt – selbst dann, wenn andere Dienste oder Medien im Fahrzeug ausgeschaltet sind bzw nicht benötigt werden –, verstößt gegen die datenschutzrechtlichen Grundsätze der Datensparsamkeit (Art 5 Abs 1 lit c DSGVO) und datenschutzfreundlichen Voreinstellungen (Art 25 Abs 2 DSGVO).

2. Dass der Widerruf der Zustimmung zur Datenverarbeitung durch ein Car-Infotainment-System in einem Mietfahrzeug vom Nutzer nur dadurch wirksam erfolgen kann, dass das System ausgeschaltet bzw abgekoppelt und die bereits gespeicherten Informationen im Fahrzeug gelöscht werden, widerspricht dem Transparenzgebot des § 6 Abs 3 KSchG.

Anmerkung des Bearbeiters:

Der Verein für Konsumenteninformation (VKI) beanstandete in einem Verbandsprozess gegen die Autovermietungsgesellschaft AVIS letztlich zwei – von insgesamt 58 außergerichtlich abgemahnten – Klauseln, hinsichtlich derer keine Unterlassungserklärungen abgeben worden waren. Es handelte sich um zwei Passagen aus dem „Anhang zum Datenschutz bei vernetzten Autos“, der einen „festen Bestandteil“ der Mietvertragsbedingungen der Beklagten bildete:

Klausel 1: „Solange Sie keine relevanten Funktionen (wie unten erläutert) deaktivieren, sind diese Geräte stets aktiv, selbst wenn andere Dienste oder Medien im Fahrzeug ausgeschaltet wurden.“

Klausel 2: „1.3. Zusammenfassend ausgedrückt erfassen und verarbeiten wir die Informationen (einschließlich Ihrer persönlichen Daten) auf der Grundlage von: (1) Ihrer Zustimmung, welche Sie zurückziehen können, indem Sie Ihr Gerät ausschalten/abkoppeln und Ihre Informationen im Infotainment-System löschen.“

Die ersten beiden Instanzen gaben dem Klagebegehren vollinhaltlich statt. Die erste Klausel verstieße gegen den in Art 25 Abs 2 DSGVO normierten Grundsatz des „Privacy by Default“. Die zweite Klausel wäre intransparent und verstieße daher gegen § 6 Abs 3 KSchG. Zum Einwand der Beklagten, datenschutzrechtliche Verbandsklagen wären mangels Umsetzung von Art 80 DSGVO (in § 28 DSG idF BGBl I 24/2018) nach österreichischem

OGH: Intransparente Datenschutzbedingungen bei vernetzten Mietautos

Recht unzulässig, unterbrach der OGH zunächst das Verfahren, um eine Vorabentscheidung zu erwirken (OGH 25. 11. 2020, 6 Ob 77/20x [DS-Verbandsklagebefugnis], MR 2021, 37 [Marko/ Wrabetz]). Der EuGH klärte schließlich in einem deutschen Parallelverfahren die Klagebefugnis zugunsten der Verbrauchervereine unmittelbar auf unionsrechtlicher Grundlage (EuGH 28. 4. 2022, C-319/20 [Meta-Platforms Ireland], ecolex 2022/383, 549 [Staber/Scharf] = jusIT 2022/48, 108 [Thiele] = VbR 2022/61, 106 [Leupold/Gelbmann]), sodass der 6. Senat nunmehr in der Sache entscheiden und die Inhaltskontrolle vornehmen konnte.

Der OGH gab der Revision keine Folge und bestätigte die Entscheidung der Vorinstanzen vollinhaltlich. Er qualifizierte die erste Klausel deshalb als rechtswidrig, weil die Vertragsbestimmung unabhängig von der Erforderlichkeit für bestimmte Verarbeitungszwecke eine Datenverarbeitung zuließ und daher gegen Art 25 Abs 2 DSGVO, der den Verantwortlichen zu datenschutzfreundlichen Voreinstellungen verpflichtete, verstieß. Die zweite Klausel erachtete der 6. Senat ebenfalls als unzulässig, denn diese macht den betroffenen Nutzer:innen nicht deutlich genug, durch welches konkrete Verhalten sie ihre Einwilligung zur Datenverarbeitung bei Verwendung des Car-Infotainment-Systems (Autoradio, Navigationsgerät, Freisprecheinrichtung für Mobiltelefon) erteilen. Schon allein der Umstand, dass sich die Verbraucher:innen die nötigen Informationen zu den Einwilligungsmodalitäten selbst aus Allgemeinen Bedingungen, Besonderen Bedingungen und einem Anhang „zusammensuchen“ müssten, widersprach dem Transparenzgebot nach § 6 Abs 3 KSchG.

Der bemerkenswerten Entscheidung ist zuzustimmen, da sie – soweit ersichtlich – erstmals das Gebot eines „Privacy by Default“ konkret durchsetzt. Darüber hinaus tritt sie der häufig von Social-Media-Betreibern wie Meta-Platforms, aber auch Online-Plattformen wie Google gepflogenen Unsitte entgegen, Nutzungs-, Datenschutz- und Geschäftsbedingungen äußerst unübersichtlich auf verschiedene umfangreiche Regelwerke zu verteilen, die noch dazu wenig kohärent erscheinen.

Ergänzend sei das Augenmerk auch auf den zu prüfenden Sachverhalt gelenkt: Die geklagte Autovermietung AVIS bietet Mietfahrzeuge an, die entweder bereits vom Hersteller oder nachträglich mit internettauglichen Geräten ausgestattet werden. Diese sog „vernetzten Autos (connected cars)“ sind Fahrzeuge, die mit dem Internet verbunden sind und über eine Vielzahl von Geräten zur Datenmessung und Datensammlung verfügen. Dadurch können etwa Assistenzsysteme bei der Fahrt unterstützen, das Smartphone mit dem Infotainment-System verbunden, Daten über den technischen Zustand des Autos übermittelt werden, aber auch Informationen über den Fahrstil gesammelt und Bewegungsprofile erstellt werden (vgl dazu Haselbacher, Rechts überholt? – Zum aktuellen Stand des Rechtsrahmens „Automatisiertes Fahren“, jusIT 2020/46, 127, und Amlacher/Andréewitch, Rechtliche Fragen des autonomen Fahrens – Datenschutz [Teil III], jusIT 2018/6, 19, jeweils mwN). Die erste Klausel regelt, dass die im vernetzten Fahrzeug integrierten Geräte stets aktiv sind, solange die Verbraucher:innen

keine Deaktivierung vornehmen, und zwar selbst dann, wenn andere Dienste oder Medien im Fahrzeug ausgeschaltet bzw nicht benötigt werden. Diese Regelung verstößt klar gegen den Grundsatz der Datenminimierung sowie den Grundsatz von Privacy by Default nach Art 25 Abs 2 DSGVO (instruktiv Jahnel, DSGVO Art 25 Rz 20 ff ).

Ausblick: Aufgrund ihrer Intransparenz iSv § 6 Abs 3 KSchG konnte bei der zweiten Klausel offenbleiben, ob diese Geschäftsbedingung dem Koppelungsverbot nach Art 7 Abs 4 DSGVO und/ oder den Widerrufsanforderungen iSv Art 7 Abs 3 DSGVO widerspricht. Unter Beachtung der bisherigen Rsp (OGH 14. 12. 2017, 2 Ob 155/16g [Amazon AGB], jusIT 2018/21, 54 [Mader] = MR 2018, 283 [Walter] = ÖBl 2018/76, 249 [Handig] = VbR 2018/7, 24 [Leupold/Gelbmann], dazu Berisha/Zopf, Das Verhältnis zwischen urheberrechtlichen Lizenzverträgen und Datenschutzrecht, ipCompetence 2018 H 20, 14; vgl auch OGH 18. 10. 2022, 4 Ob 59/22p und 4 Ob 62/22d [Clever Fit All-In] in diesem Heft der jusIT 2023/15, 34) wird mE beides zu bejahen sein.

Zusammenfassend hat der OGH entschieden, dass Mietwagenunternehmen in ihren Allgemeinen Geschäftsbedingungen datenschutzfreundliche Voreinstellungen (Privacy by Design) zum vernetzten Fahren zu verwirklichen haben und auf transparente Einwilligungs- und Widerrufserklärungen für Zusatzfunktionen wie ein Board-Infotainment achten müssen.

Bearbeiter: Clemens Thiele

OGH: Intransparente Einwilligung zur Videoüberwachung in Fitnessstudio-AGB

» jusIT 2023/15

VO (EU) 2016/679: Art 4 Z 11, Art 5 Abs 1 lit b und Abs 2, Art 7 Abs 4

ABGB: §§ 863, 879

KSchG: § 6 Abs 1 Z 11 und Abs 3, § 28

OGH 18. 10. 2022, 4 Ob 59/22p und 4 Ob 62/22d (Clever Fit All-In)

1. Die in Allgemeinen Geschäftsbedingungen (AGB) abgeforderte Zustimmung, dass im Rahmen einer Mitgliedschaft bei einer Fitnessstudiokette die durch Videoüberwachung von Teilen des Studios gewonnenen Aufnahmen gespeichert werden dürfen, soweit und solange dies im Einzelfall zur Sicherheit seiner Mitglieder und zur Aufklärung von strafbaren Handlungen sowie zur Abwehr oder Durchsetzung von Schadenersatzansprüchen erforderlich ist, widerspricht dem Transparenzgebot des § 6 Abs 3 KSchG und verletzt den Zweckbindungsgrundsatz nach Art 5 Abs 1 lit b DSGVO.

2. Eine Klausel in AGB, wonach der Vertragspartner der Verwendung seiner personenbezogenen Daten zu Zwecken (hier: Videoüberwachung der Trainingsräumlichkeiten) zustimmt, die für die Vertragsabwicklung (hier: Fitness-Vertrag) nicht erforderlich sind, verstößt gegen das Koppelungsverbot iSv Art 7 Abs 4 DSGVO.

Anmerkung des Bearbeiters:

Die Bundeskammer für Arbeiter und Angestellte (Bundesarbeitskammer) beanstandete in zwei inhaltlich sehr ähnlichen Verbandsprozessen gegen die deutsche Clever Fit-Gruppe, die in einem Franchisesystem auch in Österreich zahlreiche Fitnessstudios betreibt, ua neben einseitigen außerordentlichen Kündigungsgründen der Clubmitgliedschaft und einer halbjährlichen Servicepauschale für das Eintrittsmedium (Karte oder Chip) insb eine „Datenschutzklausel“ über die Einwilligung zur Videoüberwachung in den Trainingsräumen (beanstandeter Teil fett hervorgehoben):

„Der Anbieter erhebt, speichert, verarbeitet und nutzt folgende personenbezogene Daten des Mitgliedes (einschließlich seines Fotos) selbst oder durch weisungsgebundene Dienstleister, soweit dies zur Erfüllung des Vertragsverhältnisses erforderlich ist: Vorname, Familienname, Geburtsdatum, Adresse, Telefonnummer, E-Mail Adresse, Kontonummer, Foto, Eintrittsdatum, Daten zur Verrechnung und zum Inkasso der Mitgliedsbeiträge. Beim Betreten des Fitnessstudios werden Datum, Uhrzeit sowie Mitgliedsnummer des Mitglieds elektronisch erfasst. Der Anbieter speichert diese Daten. In anonymisierter Form werden diese Daten zudem zur Optimierung der Trainingsbedingungen und des Trainingsbetriebes verwendet. Ebenso überwacht der Anbieter Teile des Studios mit Videokameras und speichert einzelfallbezogen die dabei gewonnenen Aufnahmen, soweit und solange dies im Einzelfall zur Sicherheit seiner Mitglieder und zur Aufklärung von strafbaren Handlungen sowie zur Abwehr oder Durchsetzung von Schadenersatzansprüchen erforderlich ist. Der Umstand der Beobachtung und die verantwortliche Stelle werden durch Hinweisschilder erkennbar gemacht. Jedenfalls erteilt jedes Mitglied seine Zustimmung zur Erhebung, Speicherung und Verarbeitung seiner personenbezogenen Daten im oben angeführten Sinn.“

Nach Ansicht des Erstgerichts widersprach die Einwilligung dem Koppelungsverbot nach Art 7 Abs 4 DSGVO, da die Überwachung der Kund:innen mit Videokameras und die Speicherung der Aufnahmen „im Einzelfall“ kein notwendiges Element der Abwicklung eines Fitness-Vertrags darstellt. Das Berufungsgericht bestätigte diese Inhaltskontrolle und fügte hinzu, dass die Formulierung insb offenließe, welche Bereiche überwacht werden (uU auch Umkleiden, Duschen, Sanitäranlagen), und es in das unüberprüfbare Ermessen der Beklagten stellt, für welche Sachverhalte und welche Dauer die Aufzeichnungen aufbewahrt werden.

In ihren Revisionen wies die Verantwortliche darauf hin, dass „die Überwachung nur an relevanten Stellen“, die mit Hinweisschildern gekennzeichnet wurden, erfolgte. Die Revisionswer-

berin räumte zwar die präventive Wirkung der Kameras ein, die jedoch „kein Selbstzweck“ wären, sondern ausschließlich der Sicherheit der Mitglieder dienten, damit keine strafbaren oder schädigenden Handlungen gesetzt würden. Die aufgrund von Verkehrs- und Sorgfaltspflichten gebotene Bildverarbeitung wäre daher „ein notwendiges, sinnvolles und effizientes Element der Abwicklung eines Fitness-Vertrags“ zum Schutz der Kunden. Die Freiwilligkeit bestünde schon darin, den Fitness-Vertrag nicht abzuschließen. Wenn Kund:innen sich hingegen für ein sicheres und begleitetes Training entschieden, würden sie die Überwachung bewusst als Teil davon in Kauf nehmen.

Der OGH gab der Revision keine Folge und bestätigte die Entscheidungen der Vorinstanzen vollinhaltlich. Er festigte damit seine zu Recht strenge Auslegung des Koppelungsverbots (OGH 31. 8. 2018, 6 Ob 140/18h [Simpli-TV], Dako 2019/15, 19 [Haidinger/Weiss] = EvBl-LS 2019/3 [Rohrer] = jusIT 2018/86, 249 [zust Thiele]; OGH 24. 10. 2019, 6 Ob 56/19g [Gutscheinvermittler], jusIT 2020/39, 105 [Janisch]; dazu Leupold/Gelbmann, DSGVO: Koppelungsverbot und Einwilligung in AGB, VbR 2018/127, 43, und Thiele/Wagner, DSG2 § 24 Rz 187 ff [412 ff ], jeweils mwN). Bereits die vage Formulierung „soweit und solange dies [...] erforderlich ist“, machte die Klausel mE intransparent iSv § 6 Abs 3 KSchG, da die präventiven Wirkungen einer Video-Generalüberwachung eine besondere Eingriffstiefe in die Privatsphäre bedeuten und sie daher klar determiniert sein müssten.

Die vorliegenden Entscheidungen sind in Ergebnis und Begründung völlig zutreffend. Sie liegen auch rechtsvergleichend auf Linie. Nach Auffassung eines deutschen Verwaltungsgerichtes stellt eine lückenlose Videoüberwachung im Fitnessstudio einen tiefgreifenden Eingriff in das Recht auf informationelle Selbstbestimmung der Trainierenden dar. Es gibt für den Betreiber mildere und weniger eingriffsintensive Mittel (VG Ansbach 23. 2. 2022, AN 14 K 20.00083 [Videoüberwachung im Fitnessstudio], ITRB 2022, 181 [Dovas]). Das deutsche Gericht hält fest, dass eine Einwilligung stets eine eindeutig bestätigende Handlung voraussetzt, mit der die betroffene Person aktiv in die Verarbeitung ihrer personenbezogenen Daten einwilligt. Die reine Kenntnisnahme oder ein bloßer Verweis auf die Hinweisschilder in den AGB sind daher gerade nicht als Einwilligungshandlungen ausreichend.

Ausblick: Um die strengen Anforderungen an eine rechtmäßige Videoüberwachung zu erkennen und zumindest bemüht umzusetzen, hat sich in der Praxis die Orientierungshilfe der Deutschen Datenschutzkonferenz zur Videoüberwachung durch nicht-öffentliche Stellen als nützlich erwiesen (abrufbar unter <datenschutzkonferenz-online.de/media/oh/20200903_ oh_v%C3%BC_dsk.pdf> [11. 1. 2023]).

Bearbeiter: Clemens Thiele

VwGH: Rückwirkende Feststellungskompetenz der DSB in Verfahren wegen Verletzung des Geheimhaltungsanspruchs

» jusIT 2023/16

VO (EU) 2016/679: Art 9, 58 Abs 1, Abs 2 lit d, f, Abs 3, Abs 6, Art 77, 78, 79

DSG: § 24 Abs 1, Abs 2 Z 5, Abs 5 und 6

DSG 2000: § 31 Abs 7 und 8

AVG: § 56

VwGH 19. 10. 2022, Ro 2022/04/0001 (Feststellungskompetenz)

1. In Verfahren über behauptete Verletzungen im Recht auf Geheimhaltung besteht nach § 1 DSG eine Feststellungskompetenz der Datenschutzbehörde auch für die Vergangenheit, die nach § 24 DSG iVm Art 77 DSGVO wahrgenommen werden kann.

2. Eine Löschung der entsprechenden Daten steht daher der Feststellung einer Verletzung des Geheimhaltungsanspruchs durch deren Verarbeitung in der Vergangenheit nicht entgegen.

Anmerkung des Bearbeiters:

Den Hintergrund der zu besprechenden Entscheidung bildete einmal mehr eine Individualbeschwerde im Zusammenhang mit den sog „Sinus-Geo-Milieus“ Gesellschafts- und Zielgruppenerhebungen gegen die Österreichische Post AG. Das zugehörige Verwaltungsstrafverfahren (BVwG 26. 11. 2020, W258 2227269-1 [Politische Affinität II], jusIT 2021/31, 90 [Thiele]) sowie das amtswegige Prüfungsverfahren (VwGH 14. 12. 2021, Ro 2021/04/0007, jusIT 2022/13, 34 [Jahnel] = RZ 2022/4, 58 [Urban]) wurden an dieser Stelle in der jusIT bereits referiert. Das inhaltlich nunmehr bestätigte Erkenntnis des Verwaltungsgerichts zur Qualifikation der Parteiaffinität als sensibles Datum nach Art 9 Abs 1 DSGVO wurde ebenfalls bereits ausführlich behandelt (BVwG 15. 10. 2021, W211 2233706-1, jusIT 2022/13, 34 [Jahnel]).

Im nunmehr zu berichtenden Revisionsverfahren vor dem VwGH war letztlich noch offen, ob die DSB überhaupt berechtigt war, einen Feststellungsbescheid dahin gehend zu erlassen, dass die „diversen statistischen Berechnungen“ der Post AG, um der späteren Beschwerdeführerin (nunmehr: mitbeteiligten Partei) Daten über eine vermeintliche Parteiaffinität zuzuordnen, ihre berechtigten Geheimhaltungsinteressen verletzt hat; zumal die Roh- und Ergebnisdaten nach den Angaben der verantwortlichen Beschwerdegegnerin längst gelöscht worden wären.

Der 4. Senat wies die Revision der Post AG als unbegründet ab. Die Feststellungskompetenz der belangten Behörde (also der DSB) ergab sich aus dem von der mitbeteiligten Partei (welche die Datenschutzbeschwerde nach § 1 iVm § 24 DSB in I. Instanz

geführt hatte) monierten Beschwerdegegenstand: einer Verletzung im Recht auf Geheimhaltung entgegen § 1 Abs 1 DSG. Denn das Recht auf Geheimhaltung verkörpere kein Recht auf eine bestimmte Leistung. Die Geltendmachung einer Verletzung im Recht auf Geheimhaltung war nicht auf eine Handlung des Verantwortlichen ausgerichtet. Eine erfolgte Verletzung durch unzulässiges Ermitteln der Daten konnte auch nicht durch eine Handlung (im vorliegenden Fall die Löschung der betreffenden Daten) gleichsam rückwirkend wieder beseitigt werden und unterschied sich damit von den datenschutzrechtlich gewährleisteten Rechten, denen durch eine bestimmte Leistung entsprochen werden könnte.

Der VwGH macht mit dem vorliegenden Erkenntnis ganz deutlich, dass der DSB – anders als in amtswegigen Prüfverfahren –bei Individualbeschwerden, die sich auf eine Verletzung von § 1 DSG stützen, nach § 24 Abs 2 Z 5 sowie Abs 5 DSG die Befugnis zukommt, Rechtsverletzungen des Verantwortlichen bescheidmäßig festzustellen. Das Höchstgericht macht also eine Ausnahme von der für amtswegige Verfahren gültigen Grundregel zugunsten einer Feststellung der Verletzung des Datenschutzgrundrechts auch in der Vergangenheit. Dem ist durchaus zuzustimmen, handelt es sich doch dabei typischerweise um punktuelle, meist abgeschlossene Rechtsverstöße, die einer nachträglichen Beseitigung nicht zugänglich sind. Eine Ausnahme vergangener Rechtsverstöße von der Feststellungskompetenz hätte zudem eine wesentlich eingeschränkte Prüfkompetenz der DSB zur Folge, was aufgrund der unionsrechtlichen Vorgaben von Art 77 DSGVO nicht zulässig wäre (vgl Jahnel, DSGVO Art 77 Rz 3 ff, und Thiele/Wagner, DSG2 § 24 Rz 245, 324).

Die fehlende Feststellungskompetenz der DSB in amtswegigen Verfahren ist durchaus misslich, kann aber durch (weitreichende) Untersagungsbefugnisse kompensiert werden (vgl Thiele/Wagner, DSG2 § 22 Rz 34 ff ) sowie BVwG 29. 4. 2022, W258 2247028-1 jusIT 2022/81, 199 [Bierbauer].

Ausblick: Das vorliegende Erkenntnis erweitert die Feststellungskompetenz der DSB in Individualverfahren auch auf jene Fälle, in denen die personenbezogenen Daten vom Verantwortlichen bereits gelöscht wurden. Der Beschwerdegegner hat es also nicht in der Hand, durch eine (rechtmäßige) Datenlöschung die Beschwer des Betroffenen zu beseitigen.

Zusammenfassend lässt der VwGH keinen Zweifel daran, dass der Datenschutzbehörde die Zuständigkeit zukommt, aufgrund einer – sich als berechtigt erweisenden – Individualbeschwerde die Verletzung eines Beschwerdeführers in seinem Recht auf Geheimhaltung der ihn betreffenden personenbezogenen Daten nach § 24 Abs 5 iVm § 1 DSG (auch für die Vergangenheit) festzustellen.

Bearbeiter: Clemens Thiele

ART.-NR.: 18

VwGH: Eltern-Handysignatur auch für die eigenen Kinder gültig

» jusIT 2023/17

ABGB: §§ 177 ff

E-GovG: §§ 1, 1a, 2 Z 7, § 5 Abs 1

StZRegBehV 2009: § 9 Abs 2 Z 1, § 2

VwGH 20. 9. 2022, Ro 2022/03/0041, 0042 (Eltern-Kind-Handysignatur)

Die Eltern dürfen das Obsorgerecht für Kinder auf ihrer Bürgerkarte eintragen lassen und die Handysignatur für sie mitverwenden. Gleichermaßen dürfen dann auch die so eingetragenen Minderjährigen über ihre Eltern die Handysignatur verwenden.

Anmerkung des Bearbeiters:

Die Beschwerdeführerin und der Beschwerdeführer waren miteinander verheiratet und jeweils im Besitz einer eigenen Bürgerkarte. Sie beantragten (bei der damals zuständigen) Datenschutzbehörde als Stammzahlenregisterbehörde die Vertretungsvollmacht für ihre gemeinsame minderjährige Tochter auf ihren jeweiligen Handysignaturen gem § 5 E-GovG und § 9 StZRegBehV 2009. Die DSB wies den Antrag ab, da die Tochter mangels Geschäftsfähigkeit nicht bestätigen könnte, dass sie von der Eintragung Kenntnis habe, was aber erforderlich wäre. Das BVwG bestätigte vollinhaltlich und ergänzte, dass die elektronische Kommunikation mit öffentlichen Stellen überhaupt nur für Personen in Betracht käme, die das 14. Lebensjahr vollendet hätten.

Aufgrund der ordentlichen Revision der Eltern hatte sich der VwGH mit der Eintragung von Vertretungsvollmachten iSv § 9 Abs 2 StZRegBehV 2009 zu befassen sowie insb mit der Reichweite der elterlichen Obsorge.

Der 3. Senat gab der Revision Folge und hob das angefochtene Urteil des BVwG wegen Rechtswidrigkeit seines Inhaltes auf. Die gemeinsame Obsorge nach den §§ 177 ff ABGB reichte aus, um die Vertretungsmacht für das Kind auf den Bürgerkarten beider Eltern einzutragen. Der VwGH stellte klar, dass jeder natürlichen Person das Recht zukommt, am elektronischen Verkehr mit öffentlichen Stellen mit den Mitteln des E-GovG teilzunehmen, unabhängig von ihrem Alter (vgl Rz 26 des Erkenntnisses).

Die vorliegende Entscheidung orientiert sich in ihrer Begründung an dem klassischen Auslegungskanon juristischer Normen: Zunächst sieht der Wortlaut der einschlägigen Bestimmungen nicht vor, dass eine Eintragung nur unter der weiteren Bedingung einer möglichen automatischen Überprüfung der aufrechten Vertretungsmacht bei jeder Verwendung der Bürgerkarte für die zu vertretende Person stattfinden darf. Der Zweck der Bestimmungen besteht nach Ansicht des VwGH darin, jeder natürlichen Person die freiwillige Möglichkeit der elektronischen Kommunikation in behördlichen Verfahren zu eröffnen. Die Verwendung der Bürgerkarte ohne Mindestaltersbegrenzung liegt daher

innerhalb dieses Telos von § 1 E-GovG. Dies entspricht auch dem Verständnis der Begriffsdefinition von „Betroffener“ nach § 2 Z 7 E-GovG („jede natürliche Person“) sowie des erst nach dem Anlassfall in Kraft getretenen, aber die schon davor vorhandene Zielsetzung erkennbar umschreibenden § 1a E-GovG, der „jedermann“ das Recht zum elektronischen Verkehr mit den Gerichten und Verwaltungsbehörden in den dort genannten Angelegenheiten einräumt. § 5 Abs 1 E-GovG und § 9 Abs 2, § 10 StZRegBehV 2009 verlangen bloß eine gesetzliche Stellvertretung, wie sie etwa durch die familienrechtliche Obsorge anerkannt ist (daran hat auch die Nachfolgeregelung der StZRegBehV 2022, BGBl II 240/2022 nichts geändert). Diese Vorschriften sehen aber nicht vor, dass eine Eintragung nur unter der weiteren Bedingung einer möglichen automatischen Überprüfung der aufrechten Vertretungsmacht bei jeder Verwendung der Bürgerkarte für die zu vertretende Person stattfinden darf. Dies hat die Bundesministerin für Digitalisierung und Wirtschaftsstandort (BMDW) noch in einer Verfahrensäußerung vertreten.

Ausblick: Für technikaffine Eltern erleichtert die vorliegende Entscheidung die Versorgung ihrer „digital natives“ mit sicheren elektronischen Unterschriften. Zu Risiken und Nebenwirkungen im Obsorgestreit oder Scheidungsfall befragen die Eltern bitte die zuständigen Familienrichter:innen oder konsultieren Scheidungsanwält:innen.

Bearbeiter: Clemens Thiele

BVwG: Ungeteilte betriebliche Verantwortung von Unternehmen

» jusIT 2023/18

VO (EU) 2016/679: Art 4 Z 7, Z 10, Z 18, Art 15, 29, 32 Abs 4

DSG: §§ 24, 27

BVwG 5. 7. 2022, W252 2246278-1 (angestellte Immobilienmaklerin)

1. Verarbeiten weisungsabhängige Dienstnehmer zu Zwecken des Dienstgebers im Rahmen der Geschäftstätigkeit seines Unternehmens personenbezogene Daten, sind nicht die Arbeitnehmer selbst Verantwortliche iSd Art 4 Z 7 DSGVO, sondern das Unternehmen, für welches sie auftragsgemäß tätig werden.

2. Mitarbeiter, die sich unberechtigterweise Zugriff auf personenbezogene Daten verschaffen bzw diese für in ihrem Eigeninteresse liegende Zwecke verarbeiten, sind selbst für eine solche Verarbeitung verantwortlich.

Anmerkung des Bearbeiters:

Den Ausgangsfall bildete eine Auskunftsbeschwerde einer Wohnungsmieterin nach Art 15 DSGVO gegen eine angestellte Immo-

bilienmaklerin, die bei jener GmbH arbeitete, welche die Wohnung vermittelt und vermietet hatte. Die DSB stellte eine Verletzung des Rechts auf Auskunft durch die Maklerin fest, weil sie in ihrer Eigenschaft als Privatperson geantwortet und zu Unrecht eine Negativauskunft erteilt hätte. Aufgrund der Bescheidbeschwerde hatte sich das BVwG mit der Frage der Zurechnung der Verarbeitungstätigkeiten und damit der Verantwortlichkeit iSv Art 4 Z 7 DSGVO bei weisungsgebundenen Angestellten und sonstigen Beschäftigten zu befassen.

Der Drei-Richterinnen-Senat gab der Beschwerde Folge und kassierte den angefochtenen Bescheid. Unter Bezugnahme auf die bisherige Rsp (vgl die Nachweise bei Gosch/Leitinger, Die Weisung im Datenschutzrecht – Konsequenzen aus Datenschutzverstößen durch Mitarbeiter, jusIT 2022/9, 23) hätte die Beschwerde gegen die Immobilien-GmbH gerichtet werden müssen, da die zu beauskunftenden Verarbeitungstätigkeiten allesamt in den beruflichen, genauer gesagt den Beschäftigtenkontext der Maklerin für ihre Arbeitgeberin gehörten.

Das vorliegende Erkenntnis steht nicht nur im Einklang mit der Lehre (Primosch, Entscheidungsanmerkung, ecolex 2022/663, 1027; Gosch/Leitinger, Die Zurechnung unterstellter Personen zum Verantwortlichen mit besonderem Fokus auf das Verhältnis zwischen „Mitarbeiter“ und „Arbeitgeber“, jusIT 2021/46, 115; Gosch, Entscheidungsanmerkung, jusIT 2022/50, 111), sondern auch mit den Leitlinien des EDPB zu Art 29 DSGVO (StN 07/2020, abrufbar unter <edpb.europa.eu/system/files/ 2022-02/eppb_guidelines_202007_controllerprocessor_ fi nal_ de.pdf> [10. 1. 2023]). Das BVwG grenzt diesen „Standardfall“ der Unternehmensverantwortlichkeit auch von jener Ausnahme einer Eigenhaftung der Beschäftigten gegenüber Dritten ab, wenn Mitarbeiter:innen sich unberechtigterweise Zu-

REZENSIONEN

UrhG Urheberrechtsgesetz 2022. Kommentar, 4. Auflage. Herausgegeben von Clemens Thiele und Peter Burgstaller. Verlag Österreich. Wien 2022. ISBN: 978-3-7046-6504-1 (Print); ISBN: 978-3-7046-8790-6 (E-Book). 2265 Seiten, € 415,– (Print) bzw € 373,50 (E-Book).

» jusIT 2023/19

Im Frühjahr 2021 wurde nach fast 20 Jahren der „Dillenz/Gutmann“-Kommentar zum UrhG in 3. Auflage vorgestellt. Tatsächlich verbarg sich darin – auf den zweiten Blick leicht erkennbar – eine völlige Neubearbeitung durch neue Autor:innen, editiert von den neuen Herausgebern Clemens Thiele und Peter Burgstaller. War damals die Vorbereitung der Umset-

griff auf personenbezogene Daten verschaffen bzw diese für in ihrem Eigeninteresse liegende Zwecke verarbeiten, zB wenn zwei Gemeindebedienstete mehrere Abfragen aus dem ZMR zu privaten Zwecken durchführen (vgl BVwG 21. 12. 2021, W258 2238615-1, jusIT 2022/50, 111 [Gosch]).

Ausblick: Zurechnungsfragen der Handlungen innerhalb eines Unternehmens oder einer öffentlichen Stelle gehören zu den praxisrelevantesten Problemfeldern im Datenschutzrecht. Die Argumentation eines eigenmächtigen Alleingangs einzelner Beschäftigter und einer damit fehlenden Verantwortlichkeit des Unternehmens birgt eine hohe Beweislast. Die sich abzeichnende Festigung der Rsp wird sich schwierigeren Abgrenzungsfragen in komplexeren Fällen zu stellen haben. Dies betrifft vor allem eigenmächtige Handlungen mit nicht eindeutig privatem Motiv, etwa Hausmeister, die eigenmächtig Videoüberwachungsanlagen installieren, oder Lehrkräfte, die – gegebenenfalls weisungswidrig – nicht zugelassene Videokonferenz-Software im Distance Learning einsetzen. Die Lösung liegt hier im Funktionsträgerprinzip, das Ausfluss des funktionalen Unternehmensbegriffs der DSGVO ist. Wer objektiv für die verantwortliche Stelle tätig ist, dessen Handlungen werden ihr grundsätzlich zugerechnet, solange dies objektiv der zugewiesenen Aufgabe entspricht (vgl Bergauer in Jahnel, DSGVO Art 32 Rz 18).

Zusammenfassend hat das BVwG entschieden, dass Datenverarbeitungen in einem Unternehmen – außerhalb von sog „Mitarbeiterexzessen“ – stets dem Unternehmen als Verantwortlichem iSv Art 4 Z 7 DSGVO zuzurechnen sind, sodass die Betroffenenrechte ausschließlich gegen diese nach § 24 DSG passiv legitimierte Stelle geltend zu machen sind.

Bearbeiter: Clemens Thiele

zung der (späteren) UrhG-Nov 2021 besonders thematisiert, so legte das Team rund um die beiden neuen Herausgeber im März 2022 die vierte Auflage vor (Erscheinungsdatum 29. 8. 2022). Die 3. Auflage wurde in jusIT vorgestellt (vgl Staudegger, jusIT 2021/82, 219); die vorliegende Rezension kann daher dort ansetzen.

Der Band ist auf 2.143 Seiten angewachsen, bleibt inhaltlich aber dem in der Vorauflage gewählten Schema – vorangestellt Kurzzusammenfassungen als „Prägnant“, „Grundlagen“, „Tatbestand“, „Rechtsfolge“ und „Verfahrensrechtliches“, jeweils erläutert anhand von Praxisbeispielen – treu.

Wie schon in der Besprechung der Vorlau fl age soll auch hier pars pro toto zur Verdeutlichung der Qualität die Bearbeitung einer Norm dienen; anstelle des (in der 4. Au fl age insoweit unveränderten) § 18a soll nun § 18c, der durch die UrhG-Nov 2021

neu eingefügt wurde, näher untersucht werden: Thiele/Petz erläutern die durch die UDBM-RL (EU) 2019/790, vorgegebene und nun in Umsetzung der Richtlinie beinahe zeitgerecht ins österreichische UrhG eingebettete Bestimmung, die aus nur einem Absatz – allerdings mit 207 Wörtern in vier Sätzen und Verweisen auf § 17 Abs 1 und 2, § 18a UrhG, § 1 Abs 1 Z 2 NotifG 1999 und § 4 Z 4 TKG 2021 – besteht, in 74 Randzahlen. Gleich einleitend stellen die Autoren „ prägnant “ fest, dass § 18c kein neues Verwertungsrecht einführt, sondern die Verletzung des Zurverfügungstellungsrechts durch die Nutzer:innen bestimmten Plattformbetreibern lediglich zugerechnet wird (diese das Thema auf den Punkt bringende Behauptung erfährt später in Rz 7 die nötige ausführliche Begründung unter Rückgri ff auf ErlRV, ErwGr und RL-Texte). Nach einer umfassenden Literaturübersicht folgen die vier detaillierten Kapitel: In den „ Grundlagen “ (Rz 1–7) klären die Autoren neben Vollharmonisierung, Normzweck und Regelungsgehalt insb das ganz zentral interessierende Verhältnis der neuen Regelung zur (unveränderten) Hostproviderprivilegierung nach EC-RL 2000/31/EG (Rz 3). Unter „ Tatbestand “ werden die Elemente (Rz 8–61) der Norm, nämlich die Nutzungshandlung aus Satz 1 (Rz 8–19), die Erlaubnis der Urheber aus Satz 2 (Rz 20 f), die komplexe De fi nition der Anbieter großer Online-Plattformen aus Satz 3 (Rz 22–35) sowie die in Satz 4 defi nierten Ausnahmen (Rz 36–61, die die Autoren mit Verweis auf die Richtlinie wohl richtig als lediglich demonstrativ argumentieren [Rz 36] inkl der expliziten Erörterung von insb Online-Marktplätzen und Clouddiensten) verortet und jeweils anhand von anschaulichen Praxisbeispielen eindrücklich erläutert. Zur Darstellung der „ Rechtsfolge “ di fferenzieren die Autoren nach der eigenen Verwertungshandlung des Plattformanbieters aus Satz 1 (Rz 62–64) und der Rechtfertigungsbedürftigkeit des Eingri ffs nach Satz 2 (Rz 65–69) der Bestimmung, wobei auch den ausgenommenen Plattformen in zwei Randzahlen Aufmerksamkeit gezollt wird (Rz 70 f). „ Verfahrensrechtliches “ rundet mit Hinweisen zur Beweislast (Rz 72), auf den Abmahnvorbehalt (Rz 74) und auf die Plattformhaftung, die in § 89a UrhG eine gesonderte normative Grundlage gefunden hat (Rz 73), das Thema ab. Letzteres wird übrigens von Alexandra Thurner in 45 Randzahlen ausführlich erläutert, die auch den ebenfalls neuen „ Schutz der Anliegen von Nutzern großer Online-Plattformen “ nach § 89b UrhG in 89 Randzahlen instruktiv darstellt. Das in § 89c neu gescha ffene System der Regulierung der Aufsicht über Anbieter großer Online-Plattformen kommentiert Thomas Petz wiederum in 37 Randzahlen.

Die Fülle neuer Regelungen, die in bemerkenswert kurzer Zeit bearbeitet werden mussten, macht deutlich, welche laufende Aufmerksamkeit die Autor:innen dem Thema widmen. Nur so war es möglich, den ersten UrhG-Kommentar zu den neuen Bestimmungen derart zeitnah zu veröffentlichen. Dass die Kenntnis der neuen Begriffe unverzichtbar ist, sollte nicht nur Urheberrechtler:innen bewusst sein: Mit dem DMA, VO (EU) 2022/1925, und dem DSA, VO (EU) 2022/2065, die beide bereits in Kraft getreten sind, gewinnen die Legaldefinitionen weit über das man-

cherorts als „Orchideenfach“ verkannte Urheberrecht hinausragende Bedeutung. Der Unionsgesetzgeber will nichts Geringeres, als die umfassende Regulierung der großen Plattformanbieter zum Schutz der Europäer:innen; Art 17 UDBM-RL (EU) 2019/790, war nur der Auftakt.

Den Autor:innen des UrhG-Kommentars der vierten Auflage sei also besonderer Dank ausgesprochen, dass sie so zeitnah ihre Überlegungen offengelegt und damit wertvolle Ansatzpunkte für die Rechtsanwendung in der Praxis, aber auch für die wissenschaftliche Diskussion geliefert haben. Das erfordert neben Fachkunde und Disziplin auch eine gehörige Portion Mut. Den beiden Herausgebern ein großes Lob, diese Aufgabe koordinierend betreut und bewältigt zu haben – und dafür, dass das Werk nun in angemessener Form ihre Namen trägt.

Elisabeth Staudegger

Zivilrechtliche Aspekte von Smart Homes. Von Marco

Lettenbichler. Jan Sramek Verlag. Wien 2022.

ISBN: 978-3-7097-0303-8. 210 Seiten, € 55,–.

» jusIT

Das Werk basiert auf der Dissertation des Autors, die im Wintersemester 2020/21 an der Universität Innsbruck approbiert wurde. Berücksichtigt wurden insb die mit 1. Jänner 2022 mit dem Gewährleistungsrichtlinien-Umsetzungsgesetz in Kraft getretenen Änderungen.

Das Thema der zivilrechtlichen Aspekte von Smart Homes wird auf insgesamt zehn Kapiteln abgehandelt, an die sich ein umfassendes, 24-seitiges Literatur- und Judikaturverzeichnis anschließt. Die wesentlichen Erkenntnisse der Untersuchung werden in einer fünfseitigen Conclusio als zehntem Kapitel zusammengefasst, wobei diese als Fließtext ausgestaltet wurde, nicht in Form aufgezählter Thesen.

Dem Titel entsprechend wird ein recht breites Bouquet an Fragen behandelt, wobei keineswegs alle denkbaren zivilrechtlichen Aspekte aufgegriffen werden, sondern Themen aus den Gebieten des Vertragsabschlusses, des Leistungsstörungsrechts und des Schadenersatzrechts.

Nach einer kurzen Einführung ins Thema (Kapitel I, S 3–8), wo der Untersuchungsgegenstand sowie Gang und Methoden der Untersuchung dargestellt werden, erörtert Lettenbichler zunächst, wie der Begriff „Smart Home“ überhaupt definiert werden kann (Kapitel II, S 9–12). Er kommt darin – durchaus treffend – zu dem Schluss, dass sich das Smart Home als „unmittelbare Wohnumgebung [definieren lässt], die mit vernetzten, mit anderen Geräten interagierenden Elektronikgeräten ausgestattet ist, mithilfe derer bestimmte Alltagsvorgänge automatisiert werden können mit dem Ziel, dem Bewohner Aufgaben abzunehmen und sein Leben zu erleichtern“ (S 10).

Es folgen besonders interessante, wenn auch kurze Ausführungen zur historischen Entwicklung und zum ökonomischen Potenzial von Smart Homes, wobei der Autor vor allem bei der historischen Entwicklung recht weit ausholt und mit automatischen (dampfbasierten) Türöffnern aus der römischen/griechischen Antike beginnt. Zur Unterstreichung der wirtschaftlichen Bedeutung seines Themas führt Lettenbichler eine Statista-Studie an, wonach im Jahr 2022 immerhin ein österreichweiter Umsatz von € 638 Mio (Tendenz steigend) auf den Smart Home Markt entfällt.

Ausführlicher und ebenfalls von besonderem Interesse sind die nachfolgenden Ausführungen zu den technischen Grundlagen von Smart Homes. Hier, im fünften Kapitel des Buchs, erläutert der Autor die verschiedenen Technologien, die in Smart Homes eingesetzt werden: von Sensoren bis zur 5G-Übertragung. Mit Kapitel VI beginnt der juristische Teil des Werks. Hier wird der Kauf von Smart-Home-Geräten thematisiert. Zu Beginn werden Aufklärungspflichten erläutert, die zumindest im Detail zu diesem Thema noch kaum in Österreich juristisch aufgearbeitet sind. Der Autor bejaht in diesem Zusammenhang etwa zu Recht Aufklärungspflichten des Verkäufers hinsichtlich potenzieller Zusatzkosten, etwa für automatisch nachbestellte Waren (S 28). In der Folge wird auf die Haftung für Mängel eingegangen, wobei auch die Neuerungen durch die Richtlinie (EU) 2019/770 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen und durch die Richtlinie (EU) 2019/771 über bestimmte vertragsrechtliche Aspekte des Warenkaufs kritisch gewürdigt werden. Am Ende des Kapitels wird zudem – allerdings nur recht kurz – auf Mängel im Zusammenhang mit Bedienungs- und Installationsanleitungen eingegangen (S 39–41).

Das siebente Kapitel ist Smart Contracts gewidmet, die im Hinblick auf Vertragsschluss, AGB, Haftung, Eigentumsübertragung und Vollstreckbarkeit betrachtet werden. Auch dieser Abschnitt fällt mit 21 Seiten eher kurz aus; das Thema hätte für sich genommen ein eigenes Buch füllen können.

Die nachfolgenden Kapitel VIII und IX sind die Herzstücke des Buchs. Im achten Kapitel wird der Vertragsschluss durch SmartHome-Geräte behandelt. Dabei kommt Lettenbichler zu dem Schluss, dass „eine analoge Anwendung der Stellvertretungsregelungen auf einen Vertragsabschluss unter Zuhilfenahme eines Softwareagenten nicht möglich ist“ (S 82). Möglich bleibe jedoch die Abgabe einer Blanketterklärung, die der Softwareagent „ausfüllt“, etwa im Fall eines „selbstnachfüllenden Kühlschranks“ (Seite 86). Ebenfalls besprochen wird der Vertragsabschluss durch Order Button und durch Sprachassistenten, wobei hier auch konsumentenschutzrechtliche Bestimmungen beleuchtet werden – insb die sog „Buttonlösung“ nach § 8 Abs 2 Satz 2 FAGG (S 104 f) – wobei der Autor diese bei Sprachassistenten zu Recht für nicht anwendbar hält (S 112).

Kapitel IX thematisiert die Haftung des Herstellers, des Softwareproduzenten und des Smart-Home-Nutzers. Hinsichtlich der ersten beiden bejaht der Autor eine Haftung nach PHG (S 118 und 123 f), wobei systematisch betrachtet etwas irritiert, dass

die grundlegende Frage, wie mit dem Körperlichkeitserfordernis in der Produktdefinition umzugehen ist, erst in Punkt B. angesprochen wird – dort jedoch durchaus ausführlich. Im Hinblick auf Sicherheitslücken wird überzeugend auch eine Produktbeobachtungs- und Warnpflicht bejaht (S 130 ff ). Zur Haftung des Smart-Home-Nutzers untersucht Lettenbichler die Möglichkeit einer (durch analoge Anwendung hergeleiteten) Gefährdungshaftung, verneint diese aber aufgrund der nicht hinreichenden Gefährlichkeit eines Smart Home (S 146), was ebenfalls überzeugt. Der Autor verneint in der Folge auch eine Zurechenbarkeit von Smart-Home-Geräten als Erfüllungsgehilfe oder Besorgungsgehilfe des Nutzers (S 160 f, 167 f).

Obwohl insgesamt betrachtet manche Themen tiefer behandelt werden hätten können, liefert Lettenbichler mit seiner Monografie zu Smart Homes einen breiten Einblick in das Thema. Die Darstellung kann folglich für jede gut sortierte Bibliothek von IT-Rechtler:innen empfohlen werden.

KI-Schöpfungen und Urheberrecht. Internetrecht und Digitale Gesellschaft (IDG), Band 35. Von Monika Muhr Duncker & Humblot. Berlin 2022. ISBN: 978-3-428-18610-5 (Print); ISBN: 978-3-428-58610-3 (E-Book). 225 Seiten, € 74,90 (Print) bzw € 67,90 (E-Book).

» jusIT 2023/21

Mit dem zu besprechenden Werk liegt eine weitere in der IDGReihe publizierte Dissertation zur Besprechung vor, verfasst an der Juristischen Fakultät der Universität Erlangen-Nürnberg, betreut von Franz Hofmann. Das Thema liegt im Urheberrecht, der Fokus auf KI-Schöpfungen.

Nach einer Einleitung unter dem Titel „Künstliche Intelligenz erobert die Kunst“ (S 17–23), in der Grundlegendes wie Terminologie, Gang der Untersuchung und Forschungsgegenstand dargelegt werden, erarbeitet Muhr das Thema in fünf Teilen, von denen jeder mit einem in ein bis zwei Absätzen sehr knapp zusammenfassenden Kapitel „Ergebnis“ schließt. Nach Überlegungen zu „Digitalisierung in der Kunst aus urheberrechtlicher Perspektive“ (S 24–56) folgen im zweiten Teil „Schutzlücken hinsichtlich KI-Schöpfungen“ (S 57–100); Teil 3 ist der „Schutzbedürftigkeit von KI-Schöpfungen“ gewidmet (S 101–126), ehe im vorletzten Teil die „Eignung eines Schutzrechts für KI-Schöpfungen zur Auflösung des gegebenen Marktversagens“ erörtert wird (S 127–153). Der 5. Teil liefert folgerichtig die „Integration des Schutzes von KI-Schöpfungen in das Urheberrecht – Lösungsansätze“ (S 154–206). Mit „KI-Schöpfungen als Totengräber des Urheberrechts“ endet der inhaltliche Teil des Bandes. Schrifttumsverzeichnis (S 209–222) und Sachregister (S 223–225) schließen das Werk formal ab.

Teil 1 kommt zu dem Ergebnis, dass KI vom Menschen unabhängig schafft, die Ergebnisse aber eines Urheberrechtsschutzes nicht zugänglich sind. Teil 2 verneint ausreichende Schutzmöglichkeiten in anderen Rechtsbereichen, wie insb im geltenden Leistungsschutzrecht, Patentrecht, Vertrags- und Wettbewerbsrecht. Teil 3 erkennt auf Basis eines attestierten Marktversagens ein dringendes gesellschaftliches Regelungsbedürfnis, stellten doch KI-Schöpfungen wie andere kulturelle Errungenschaften und Kulturgüter einen „Gradmesser für die Entwicklungshöhe einer Gesellschaft“ dar (S 121) und dürfe doch „gesetzgeberische Zurückhaltung“ die „Innovation im globalen Wettrennen“ nicht behindern (vgl S 126). Teil 4, dem die Methodik der ökonomischen Analyse des Rechts zugrunde gelegt wird (der Fokus auf die „Verwerterindustrie“ ist nun sehr deutlich erkennbar, S 133), bejaht in der Folge wenig überraschend, dass dem erkannten Schutzdefizit mit einem Schutzrecht wirksam begegnet werden könnte. Teil 5 findet dieses Schutzinstrument in einem neuen investitionsbezogenen Leistungsschutzrecht, das die Autorin auch gleich ausformuliert zur Diskussion stellt (S 202 f) und als Übergangslösung § 3 Abs 1 dUWG vorschlägt.

Die Autorin legt die Untersuchung ganz deutlich in der Perspektive der ökonomischen Analyse des Rechts an; ein Umstand, der die Rezensentin beinahe dazu veranlasst hat, die Besprechung abzulehnen. Dies einerseits, weil mir schlicht die Kompetenz fehlt, diese Ausführungen mit der nötigen Expertise zu analysieren; zweitens, weil ökonomische Analysen meiner Überzeugung nach grundsätzlich Ökonom:innen vorbehalten bleiben sollten. Die Neugier hat schließlich gesiegt und die vollständige Lektüre bewirkt. Meine Stellungnahme dazu kann und soll aber ausschließlich aus Sicht der Juristin und Rechtswissenschafterin geschrieben sein.

Dazu lässt sich festhalten, dass das Werk reich mit Literaturverweisen belegt ist und abweichende Meinungen in den Fußnoten korrekt gekennzeichnet und erfasst sind. Dem Ergebnis, nämlich der Ablehnung eines Urheberrechtsschutzes (lesenswert übrigens der kurze Hinweis auf den Stand der Diskussion außerhalb Deutschlands, S 159 ff ) für KI und für KI-Schöpfungen, kann durchaus zugestimmt werden. Auch ein Leistungsschutzrecht ähnlich dem Sui-generis-Schutz von Datenbanken ist rechtswissenschaftlich argumentierbar. Andererseits könnte die Nutzung von „Big Data“, die es sachinhärent ohne die aktive Erzeugung durch Mitglieder der Gesellschaft nicht geben würde, und die erkennbare Intention des Unionsgesetzgebers, die nun sehr umfassend verstandene „Public Sector Information“ frei und unentgeltlich zur Verfügung zu stellen (vgl RL [EU] 2019/1024), auch als Grundlage für eine Argumentation in Richtung Gemeingut genutzt werden. Es bleibt letztlich eine rechtspolitische Entscheidung, die die Gesetzgeber zu treffen haben werden. Der strukturell außerhalb des wissenschaftlichen Werkes positionierte Schluss zur „Totengräbereigenschaft“ der KI (S 207 f) macht aber deutlich, wie sehr die Diskussion darüber fehlgeht, wenn sie Mensch und Technik unmittelbar gegenüber- und gleichstellt. Unangemessene Vergleiche, wie zB im Zusammenhang mit Überlegungen zum Erfordernis der persönlichen Schöpfung mit einem

„Menschenkind“, an dessen Kindergartenzeichnungen die Eltern kein Urheberrecht innehaben (S 52), oder zum geistigen Gehalt (S 54) mit dem „Gehirn eines Neugeborenen“, das erst noch Erfahrungen sammelt, ehe es kreativ tätig wird, sowie der Schlussfolgerung, KI-Schöpfungen stellten „eigenständige Interpretationen“ dar, sind für die wissenschaftliche Diskussion ebenso wenig hilfreich wie für den gesellschaftlichen Diskurs. Sätze wie „Zweck des Urheberrechts kann es nicht sein, die Verdrängung menschlicher Schöpfungen durch künstliche Intelligenz zu verhindern“ (S 207), lassen die rezensierende Rechtswissenschafterin erstaunt zurück. Man ist bei den mit großer Bestimmtheit getätigten Aussagen, pars pro toto: KI fehle es an der urheberrechtlich nötigen „Schöpfer“-Komponente, daher scheide Urheberrecht aus (vgl „Ergebnis“ S 55 f) – bei aller Zustimmung zum Ergebnis –doch geneigt zu fragen, wie die Autorin denn Schöpfungen von „Cyborgs“, also Menschen, die ihre Existenz durch IT nachhaltig und dauerhaft ergänzen (vgl <en.wikipedia.org/wiki/Cyborg>) werten würde. Dass Menschen (und zwar hoffentlich alle, die das möchten), vom IT-Fortschritt persönlich profitieren können sollen, steht außer Zweifel; dass wir uns damit faktisch in Richtung Cyber-Organismen entwickeln, ebenso. Bei aller aufmerksamer Begleitung des technischen Fortschritts ist es vor allem die Aufgabe der (Rechts-)Wissenschaften, das „Mensch-Sein“ gerade auch unter den neuen technischen Rahmenbedingungen zu analysieren, zu definieren und „Menschenwürde“ insb auch durch den Schutz des Rechts sicherzustellen.

Der mE richtige Ansatz liegt darin, Technologie als solche zu behandeln, sprachlich wie wissenschaftlich, und danach entsprechend der Disziplin zu kategorisieren. Solange IT (wie immer sie bezeichnet werden mag) Menschen als Werkzeug nutzbar ist (und nichts deutet darauf hin, dass sich das in absehbarer Zeit ändern könnte), bleibt es bei der „Digitalität des Rechts“: „Person“ oder „Sache“ – tertium non datur.

Elisabeth Staudegger

Strafbarkeit von bildbasierten sexualisierten Belästigungen. Schriften zum Strafrecht, Vol 403. Von Jessica Greif. Duncker & Humblot. Berlin 2023. ISBN: 978-3428-18776-8 (Print); ISBN: 978-3-428-58776-6 (E-Book). 401 Seiten, € 99,90 (Print) bzw € 89,90 (E-Book).

» jusIT 2023/22

Das anzuzeigende Werk muss vor allem ob seiner Aktualität und aus rechtsvergleichender Sicht gerade für österreichische IT-Strafjurist:innen besonders hervorgehoben werden. In ihrer 400 Seiten starken Monografie, die auf eine an der LudwigMaximilians-Universität München im Sommersemester 2022 angenommene Dissertation zurückgeht, schafft es die Autorin ausgehend von der „phänomenologischen Betrachtung des sog

Image-based sexual abuse“ (kurz: IBSA) den Grundstein für die gründliche strafrechtsdogmatische Betrachtung dieser hierzulande auf „upskirting“ und „downblowsing“ reduzierten Erscheinungsform moderner Cyberkriminalität zu legen. Das Werk präsentiert die ganze Bandbreite an bildbasierten Kriminalitätsformen im Internet, beginnend mit dem „revenge porn“ über den Einsatz von Deep Fakes bis hin zu den erpresserischen Aktivitäten der sog „sex tortion“. Aus diesen Rechtsphänomenen bzw Erscheinungsformen der „bildbasierten sexualisierten Belästigungen“, so ein Teil des Titels der Arbeit, die mit „Eine phänomenologische und strafrechtsdogmatische Betrachtung des sog

Image-based sexual abuse“ untertitelt ist, zeigt die Autorin den Reformdruck und den Reformbedarf des deutschen Gesetzgebers auf, welche schließlich zur Einführung des auf Upskirting zugeschnittenen § 184k dStGB geführt haben.

Bevor auf die akribische Prüfung an verfassungsrechtlichen, völkerrechtlichen und empirischen Leitlinien durch die Autorin näher eingegangen wird, sei an dieser Stelle aus rechtsvergleichender Sicht innegehalten: Das österreichische Kernstrafrecht verfügt gem Art 11 Hass-im-Netz-Bekämpfungs-Gesetz (HiNBG, BGBl I 2020/1048) seit 1. 1. 2021 über die Bestimmung des § 120a öStGB, die bestimmte Formen der unbefugten Herstellung und Verbreitung von Bildaufnahmen aus der Privatsphäre der abgebildeten Personen pönalisiert. Im Ergebnis erfasst die österreichische Vorschrift die Herstellung und Verbreitung iwS einer –ihrem Inhalt nach – den intimen Lebensbereich verletzenden Bildaufnahme.

Äußerst verdienstvoll aus österreichischer Perspektive erscheint am zu besprechenden Werk daher die terminologische Aufarbeitung von IBSA, die mit einer sprachlichen Annäherung zur Wortherkunft, Bedeutung und der internationalen Reichweite der Terminologie einsetzt (S 33 ff ). Die Autorin verfolgt den Begriff bis zu den grundlegenden Arbeiten von Mc Glynn und Rackley aus dem Jahr 2017 zurück und weist zutreffend darauf hin, dass „medienfreundliche Terminologien“ wie „upskirting“ oder „revenge porn“ einen verharmlosenden Effekt haben können, der dem öffentlichen Diskurs das Bewusstsein eines „harmlosen Streichs“ vermittle und die Opfer als überempfindlich und humorlos abstempeln könnte (S 37).

Dass die gesamte Arbeit auf der Höhe der Zeit ist, belegen nicht nur zahlreiche aktuelle Hinweise auf soziologische Arbeiten und zeitnahe Statistiken, sondern auch die Berücksichtigung von aktuellen Studien zur sexuellen Orientierung in der Gruppe der LGBTQIA* (S 66 ff ). Die derart umfassend und auf Nachbardisziplinen der Rechtswissenschaft geradezu spielerisch übergreifende Fundierung führt die Autorin zu einer um-

fassenden, facettenreichen Analyse des Straftatbestandes des § 184k dStGB (damals noch im Entwurfsstadium), wie er mittlerweile textlich übereinstimmend auch dem geltenden deutschen Strafrecht entspricht.

Aus rechtsvergleichender Sicht unter dem Aspekt des § 120a öStGB kann vor allem die präzise Verortung des § 184k dStGB im Rechtsgütersystem viel zum Verständnis der gegenwärtigen Strafrechtslage beitragen (S 335 ff ). Besonders hervorzuheben sind auch die Ausführungen der Autorin zum objektiven Tatbestand, um die aufgezeigten Auslegungsschwierigkeiten im Zusammenhang mit Selbstaufnahmen (sog „Selfies“) im Rahmen von IBSA beseitigen zu können. Das Verhältnis zu anderen Strafrechtsnormen des Nebenstrafrechts bzw Kernstrafrechts kommt ebenfalls nicht zu kurz (vgl etwa S 359 ff zu § 201a dStGB und § 33 KUG). Unter Bezugnahme auf die verfassungsrechtlich geschützte Sexualsphäre einer Person erörtert die Autorin auch in glasklarer Sprache, dass es völlig unerheblich ist, welche Bekleidung die betroffene Person trägt und sich diese nicht den Vorwurf gefallen lassen muss, dass ein „hauchdünner Slip“ noch nicht als „bedeckende Unterwäsche“ iSv § 184k Abs 1 dStGB (ein identes Tatbestandsmerkmal findet sich auch in § 120a Abs 1 öStGB) einzuordnen sei (S 362 f).

Zusammenfassend überzeugt die vorliegende Arbeit in jeder Hinsicht. Die zunächst gewählte empirische Perspektive verleiht den strafrechtlichen Einordnungen des Phänomens IBSA eine Verankerung, die es gestattet, eine verfassungsrechtliche und völkerrechtskonforme Auslegung der sexuellen Selbstbestimmung und damit eine Ausweitung des Schutzbereiches auch auf mittelbare Eingriffe in die sexuelle Selbstbestimmung zu pönalisieren, die zwar nicht objektiv sexualbezogen oder körperlich erfolgen mögen, aber gleichwohl als technologiebasierte Verhaltensweisen die sexuelle Selbstbestimmung betreffen können. Dass Cybermobbing, Upskirting und Downblowsing oder andere Formen bildbasierter sexualisierter Belästigungen nicht nur virtuelle Auswirkungen haben, sondern als Teil der realen Welt mit realen Folgen für die Betroffenen einhergehen, macht das vorliegende Werk deutlich nachvollziehbar und aus rechtsvergleichender Sicht unverzichtbar für eine ernsthafte Auseinandersetzung mit der Strafbarkeit von unbefugten Bildaufnahmen aus der Privatsphäre eines Menschen.

Der auch als E-Book erhältliche „Band 403 der Schriften zum Strafrecht“ (so der Reihentitel des Verlages) stellt eine wahre Fundgrube für die im IT-Strafrecht Tätigen dar: eine uneingeschränkte Leseempfehlung!

jusIT Spezial: GRUG

2022

Das neue Gewährleistungsrecht - Schwerpunkt digitale Leistungen

Das Werk bietet den perfekten Eins eg in die neuen Regelungen des Verbrauchergewährleistungsgesetz (VGG) im neuen Gewährleistungsrichtlinien-Umsetzungsgesetz (GRUG) und beleuchtet das GRUG in 5 Teilen.

Der Autor: Dr. Thomas Rainer Schmi

Preis: € 29,–Wien 2022 | 160 Seiten

Best.-Nr. 92174001

ISBN 978-3-7007-8317-6

JETZT BESTELLEN!

shop.lexisnexis.at

Weil Vorsprung entscheidet.

DatenschutzVerträge

Ab 40 Euro Bestellwert versandkostenfrei innerhalb von Österreich

Verantwortlicher – Auftragsverarbeiter

Joint Controller

–

Die innovative und fundierte Aufarbeitung und Darstellung der wesentlichen Vertragspunkte und deren Auswirkungen sowie Tipps zur Vertragsgestaltung. Querverweise zum Vertragsmuster sowie zu den SCC bieten Unterstützung für die Datenschutzpraxis

Der Autor: Univ.-Lektor RA Dr. Michael M. Pachinger, CIPP/E

2., neu bearbeitete und erweiterte Auflage

Preis: € 49,–Wien 2022 | 296 Seiten

Best.-Nr. 97145002

ISBN 978-3-7007-8283-4

JETZT BESTELLEN!

shop.lexisnexis.at

Weil Vorsprung entscheidet.

Ab 40 Euro Bestellwert versandkostenfrei innerhalb von Österreich

Zu Recht voraus.

Lexis 360®

Legal Intelligence - Setzen auch Sie auf die neue Form der Rechtsrecherche mit Lexis 360®

Lexis SmartSearch

Lexis Tools

Rechtsinforma on neu de niert! Detailwissen namha er Autoren in kürzestmöglicher Form zu 2.500+ Themen.

Die Suche denkt voraus und liefert eine Literatur-Zusammenstellung, die das Rechercheproblem o vorwegnimmt.

Besser beraten mit digitalen Assistenten, SmartSearch Alerts bei Rechtsänderungen, Visualisierung, Fassungsvergleich uvm.

Jetzt kostenlos testen: Lexis.at/360law