Newsletter - Technologie & Kommunikation

Unser Newsletter „Technologie & Kommunikation“ informiert Sie monatlich über rechtliche Nachrichten aus der Branche sowie über Neuigkeiten von Bird & Bird. In den untenstehenden Kategorien finden Sie unsere neuesten Inhalte aus dem März 2019.

Sollten Sie Fragen haben, stehen wir Ihnen jederzeit gerne zur Verfügung. 

Download Newsletter

Abonnieren Sie den monatlichen Newsletter - Technologie & Kommunikation hier
Bitte senden Sie die sich öffnende E-Mail an die angegebene Adresse. Sie erhalten nachfolgend eine automatisierte E-Mail, mit der Sie Ihre Anmeldung bestätigen. Diese Anmeldung können Sie jederzeit widerrufen.

Nachrichten

  • EU-Parlament verabschiedet umstrittene Urheberrechtsrichtlinie
    Am 26. März hat das EU Parlament mit 348 zu 274 Stimmen die EU-Urheberrechtsreform beschlossen. Nach der alsbald erfolgenden Veröffentlichung im Amtsblatt der EU haben die Mitgliedstaaten 24 Monate Zeit, um die neuen Vorschriften in nationales Recht umzusetzen. Dies gilt auch für den unter dem Stichwort „Uploadfilter“ diskutierten Artikel 13 (nun Art. 17), der bis zuletzt heftig umstritten war und zu Demonstrationen insbesondere junger Menschen geführt hat.

  • 5G-Frequenzauktion ist am 19. März gestartet
    Am 19. März hat die Versteigerung von Frequenzen für mobiles Breitband nach dem 5G-Standard begonnen. Neben den Netzbetreibern Telekom, Vodafone und Telefónica hat die Bundesnetzagentur entschieden, auch die Drillisch Netz AG zur Frequenzauktion zuzulassen. Insgesamt werden 420 MHz aus den Bereichen 2 GHz und 3,6 GHz versteigert. 

    Telekom, Vodafone, Telefónica und auch Freenet hatten Eilanträge bei verschiedenen Gerichten eingelegt, um einen Start der Auktion zu verhindern. Die Gerichte sind diesen Eilanträgen jedoch nicht gefolgt. Die Verfahren sind jedoch weiterhin anhängig, unter anderem beim Bundesverwaltungsgericht. Ein Team von Bird & Bird um Sven-Erik Heun (Frankfurt a.M.) hat Telefónica vor Gericht vertreten und begleitet nun auch das Versteigerungsverfahren selbst.

  • VG Lüneburg zum Einsatz von Location-Tracking bei Fahrzeugen
    Mit Entscheidung vom 19.03.2019 (Az. 4 A 12/19) hat sich das VG Lüneburg zur Zulässigkeit von Fahrzeug-Trackingsystemen im Beschäftigungskontext geäußert. Im konkreten Fall hatte ein Reinigungsunternehmen ein solches System für seine Dienstfahrzeuge eingesetzt; die niedersächsische Datenschutzbehörde hatte dies jedoch untersagt. Diese Untersagungsentscheidung war richtig, urteilte das VG Lüneburg nun, denn eine Rechtsgrundlage für den Betrieb des Systems habe nicht vorgelegen. Das Urteil ist im Volltext verfügbar. Unser Associate Dr. Simon Assion hat eine Anmerkung veröffentlicht (auf Englisch).

  • EU: Die neue P2B-Verordnung steht kurz vor der Verabschiedung
    Die EU hat am 14.02.2019 die internen Verhandlungen für eine „Platform to Business (P2B)“-Verordnung“ abgeschlossen. Am 20. März hat das EU-Parlament dem Verhandlungsergebnis zugestimmt. Damit steht einer Verabschiedung der Verordnung nichts mehr im Wege. 

    Die neue Verordnung wird Regelungen für alle Plattformen enthalten, über die Dritte ihre Geschäfte abwickeln. Dazu zählen u.a. App Stores, Suchmaschinen, Online-Marktplätze und Preisvergleichsportale. Den Betreibern dieser Plattformen werden Transparenzpflichten auferlegt. Außerdem werden bestimmte als missbräuchlich angesehene Praktiken untersagt, beispielsweise die begründungslose Sperrung der Plattform für bestimmte Anbieter. Die Verordnung wird voraussichtlich in den kommenden Wochen finalisiert werden; weitere 12 Monate später tritt sie in Kraft. Weitere Informationen auf den Webseiten der EU-Kommission.

  • KG Berlin: Alte „Datenrichtlinie“ von Apple verstößt gegen DSGVO
    Mit einer Entscheidung vom 27.12.2018 (Az.: 23 U 196/13) hat das Kammergericht Berlin (KG) sich mit der Frage beschäftigt, wie eine „Datenrichtlinie“ rechtlich zu bewerten ist, wenn die Nutzer dieser Richtlinie zustimmen sollen. 

    Im konkreten Fall ging es um Apple und eine Richtlinie aus dem Jahr 2012. Weil es in dem Rechtsstreit um einen in die Zukunft gerichteten Unterlassungsanspruch ging, war aber die aktuelle Rechtslage maßgeblich, und damit die DSGVO. In seinem Urteil kommt das KG zu dem Ergebnis, dass maßgebliche Teile der damaligen „Datenrichtlinie“ von Apple mit der DSGVO unvereinbar sind, und damit auch mit dem deutschen AGB-Recht (§ 307 BGB). Denn aufgrund der Gesamtumstände habe diese Datenrichtlinie wie ein Teil der Apple-AGB gewirkt. Gleichzeitig sei diese Richtlinie aber weder eine wirksame Einwilligung i.S.d. DSGVO (Art. 6 Abs. 1 lit. a), noch habe sie ausschließlich die Vertragserfüllung betroffen (Art. 6 Abs. 1 lit. b). Die Richtlinie war damit teilweise rechtswidrig und für den klagenden Verbraucherschutzverband abmahnbar.

    Die Entscheidung illustriert anschaulich, dass es risikoreich sein kann, bei den Nutzern von Diensten die Zustimmung zu „Datenschutzerklärungen“ und anderen Informationen zur Datenverarbeitung einzuholen. Auf diese Weise werden solche Erklärungen AGB-rechtlich angreifbar. Vielmehr sollten AGB, Datenschutzhinweise und Einwilligungserklärungen sauber voneinander getrennt sein.

Kommentare

Überblick zur neuen Free Flow of Data-Verordnung

Dr. Juliana Kliesch, Bird & Bird Düsseldorf

Ab Mai 2019 wird die neue „Free Flow of Data“-Verordnung gelten (Verordnung (EU) 2018/1907). Die Verordnung soll Effizienzgewinne in der Datenwirtschaft generieren, indem sie den „freien Verkehr nicht-personenbezogener Daten“ gewährleistet. 

Um welche Daten geht es?

Der Anwendungsbereich der Free Flow of Data-VO ist beschränkt auf elektronische Daten, die keine personenbezogenen Daten sind. Damit erfasst sie genau die elektronischen Daten, die nicht dem Anwendungsbereich der DSGVO unterfallen. Hierfür nennt Erwägungsgrund 9 der Verordnung drei Beispiele:

  • Aggregierte und anonymisierte Datensätze für Big-Data-Analysen;
  • Daten im Zusammenhang mit der Präzisionslandwirtschaft, die dabei helfen können, den Einsatz von Pestiziden und Wasser zu überwachen und zu optimieren;
  • Daten zum Wartungsbedarf von Industriemaschinen.

Die Beispiele verdeutlichen, dass die Free Flow of Data-VO im Wesentlichen Unternehmer betrifft. Wegen des fehlenden Personenbezugs spielt das Ziel des Schutzes vor bestimmten Datenverarbeitungen – anders als in der DSGVO – keine nennenswerte Rolle. Die Free Flow of Data-Verordnung ist dadurch auch deutlich kürzer: Sie umfasst nur neun Artikel plus Erwägungsgründe.

Für die Praxis stellt sich die Frage, wie man personenbezogene und nicht-personenbezogene Daten sinnvoll voneinander abgrenzen kann. Beispielsweise können nicht-personenbezogene Daten unter Umständen später durch Auswertung und Verknüpfung wieder zu personenbezogenen Daten werden. Zudem ist die Auslegung der Definition der „personenbezogenen Daten“ (Art. 4 Nr. 1 DSGVO) in Einzelheiten umstritten (siehe dazu insbesondere EuGH, Urteil v. 19. Oktober 2016, Rs. C-582/14 – Breyer). 

Zum Punkt der Abgrenzung ist das letzte Wort noch nicht gesprochen: Laut Art. 8 Abs. 3 der Free Flow of Data-Verordnung muss die EU-Kommission bis zum 29. Mai 2019 noch „informierende Leitlinien“ über die Wechselwirkungen zwischen der Free Flow of Data-VO und der DSGVO veröffentlichen – „insbesondere im Hinblick auf Datensätze, die sowohl aus personenbezogenen als auch aus nicht-personenbezogenen Daten bestehen“.

Das Verbot von staatlichen „Datenlokalisierungsauflagen“

Die zentrale Regelung der Free Flow of Data-VO findet sich in Art. 4. Dieser untersagt sog. „Datenlokalisierungsauflagen“, lässt hiervon aber Ausnahmen zu. Datenlokalisierungsauflagen sind laut Art. 3 Nr. 5 der Verordnung Anforderungen der EU-Mitgliedstaaten, laut denen die Datenverarbeitung im Hoheitsgebiet eines bestimmten Mitgliedstaats stattfinden muss oder die die Verarbeitung von Daten in einem anderen Mitgliedstaat behindern. Ausnahmen von diesem Grundsatz sind lediglich aus Gründen der öffentlichen Sicherheit zulässig. 

Die Mitgliedstaaten sind verpflichtet, ihre Rechts- und Verwaltungsvorschriften, soweit diese unzulässige Datenlokalisierungsauflagen begründen, bis zum 30. Mai 2021 aufzuheben. 

Privatrechtliche Vereinbarungen bleiben unberührt. So wird die Möglichkeit, vertraglich einen bestimmten Ort für eine Datenverarbeitung festzulegen, ausdrücklich nicht eingeschränkt (Erwägungsgrund 4). 

Der grenzüberschreitende Zugriff auf Daten

Damit das Verbot von „Lokalisierungspflichten“ ordnungspolitische Kontrollen nicht beeinträchtigt, enthält die Free Flow of Data-Verordnung auch Regelungen, die die Verfügbarkeit von im Ausland gespeicherten Daten für Behörden im Inland gewährleisten (vor allem in Art. 5). Hiernach sind zuständige Behörden weiterhin befugt, zur Erfüllung ihrer amtlichen Pflichten Zugang zu Daten zu erhalten. Der Zugang zu den Daten darf nicht mit dem Argument verweigert werden, diese lägen in einem anderen EU-Mitgliedstaat.

Die „Verhaltensregeln für die Selbstregulierung“

Eine der umstritteneren Regelungen der Free Flow of Data-VO ist schließlich Art. 6. Danach fördert und erleichtert die EU-Kommission im Sinne einer Selbstregulierung die Entwicklung von „Verhaltensregeln“ für die „Datenwirtschaft“. 

Diese Verhaltensregeln sollen u.a. folgende Aspekte abdecken:

  • Verfahren zur Erleichterung des Wechsels des Diensteanbieters, insbesondere zur Übertragung von Daten;
  • Transparenzvorschriften in Bezug auf den Anbieterwechsel;
  • Zertifizierungssysteme, mit denen die Vergleichbarkeit der Dienste gefördert werden soll.

Es wurde teilweise gefordert, stattdessen ein dem Art. 20 DSGVO entsprechendes Recht auf Datenübertragbarkeit vorzusehen. Diese Forderung findet sich in der Free Flow of Data-Verordnung nicht wieder. Sie belässt es bei der Aufforderung zur Selbstregulierung. 

Gemäß Art. 6 Abs. 3 wird die EU-Kommission die Diensteanbieter aber dazu anhalten, die Entwicklung dieser Verhaltensregeln bis zum 29. November 2019 abzuschließen und sie bis zum 29. Mai 2020 wirksam umzusetzen. Es ist daher zu erwarten, dass das kommende Jahr etwas Aufschluss darüber bringt, inwieweit der Ansatz der geförderten Selbstregulierung Wirkung zeigt.


EuGH zum Verhältnis von Datenschutz und Meinungsfreiheit

Dr. Simon Assion, Bird & Bird Frankfurt

Mit Entscheidung vom 14. Februar 2019 (Rs. C-345/17 - Biuvids) hat der EuGH zum Verhältnis zwischen Datenschutz und Meinungsfreiheit Stellung genommen. Die Entscheidung betrifft die grundlegende Frage, welche Bedeutung das Datenschutzrecht dann hat, wenn personenbezogene Daten als Teil einer Meinungsäußerung oder Berichterstattung im Internet veröffentlicht werden.

In der Entscheidung ging es um eine Privatperson, die ein Gespräch mit Polizisten auf dem Handy mitgeschnitten und veröffentlicht hatte. Die Frage war, ob dieser Vorgang von den Regeln für journalistische Datenverarbeitung geschützt war. Dies wollte der EuGH nicht final entscheiden. Er betonte aber, dass der Begriff des Journalismus weit auszulegen sei, da die Freiheit der Meinungsäußerung in jeder demokratischen Gesellschaft von hoher Bedeutung sei (Rn. 51 der Entscheidung). Auch Privatpersonen könnten deshalb „Journalisten“ in diesem Sinn sein (Rn. 55). 

Für die Frage, ob personenbezogene Daten im Internet veröffentlicht werden dürften, will der EuGH in erster Linie auf die Rechtsprechung eines anderen Gerichtshofs abstellen, nämlich die des EGMR zum Verhältnis zwischen dem Recht auf Achtung des Privatlebens und dem Recht auf freie Meinungsäußerung (Rn. 66). Der EGMR hat in diesem Zusammenhang eine Reihe von Kriterien entwickelt, die eher zum Presserecht bzw. Äußerungsrecht gehören. Ausdrücklich nennt der EuGH als Kriterien (Rn. 66):

  • Beitrag zu einer Debatte von allgemeinem Interesse,
  • Bekanntheitsgrad der betroffenen Person,
  • Gegenstand der Berichterstattung,
  • das vorangegangene Verhalten der betroffenen Person,
  • Inhalt, Form und Auswirkungen der Veröffentlichung,
  • die Art und Weise sowie die Umstände, unter denen die Informationen erlangt worden sind,
  • und deren Richtigkeit.

Im Ergebnis deutet sich damit an, dass der EuGH bei Veröffentlichungen von personenbezogenen Daten im Internet dieselben Maßstäbe anlegen will wie nach allgemeinem Presse- bzw. Äußerungsrecht. 

Die Entscheidung erging noch zur alten Datenschutzrichtlinie, ist aber auch für die Auslegung der DSGVO relevant. Dort beurteilt sich die Rechtmäßigkeit von Veröffentlichungen nach Art. 6 und 9 DSGVO sowie nach dem „Medienprivileg“ gem. Art. 85 DSGVO.


Betriebliche Mitbestimmung und Digitalisierung: Brauchen wir eine Änderung des BetrVG?

Thomas Hey, Bird & Bird Düsseldorf

Der betriebliche Mitbestimmungsprozess nach § 87 Abs. 1 Ziff. 6 BetrVG kann langwierig sein, sodass sich die Frage aufdrängt, inwiefern die Norm in ihrer jetzigen Fassung eine Digitalisierungsbremse darstellt.

Wird der Arbeitnehmer mit neuen technischen Einrichtungen konfrontiert, hat der Betriebsrat ein Mitbestimmungsrecht. Die zentrale Regelung über die Nutzung von technischen Einrichtungen, der § 87 Abs. 1 Ziff. 6 BetrVG, normiert, dass der Betriebsrat mitzubestimmen hat, wenn technische Einrichtungen eingeführt und angewendet werden, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Der Regelungsinhalt des § 87 Abs. 1 Ziff. 6 BetrVG hat jedoch zur Folge, dass der Betriebsrat grundsätzlich bei jeder Änderung eines Computerprogramms, auch bei kleinen Veränderungen von Word oder das Mobiltelefon betreffende Softwareupdates, mitbestimmen muss. Die Änderungsfolge solcher Updates ist inzwischen dermaßen hoch, dass oft längst eine neue Änderung ansteht, bevor über die aktuelle mitbestimmt ist. Hinzu kommt, dass Änderungen über die Vorgänge vielfach einer ausführlichen Erklärung, häufig auch Beratung beider Betriebsparteien, durch interne Sachverständige oder externe Berater erfordern. Dazu ist gerade bei der Einführung von neuen Tools häufig eine umfangreiche Regelung notwendig, die oftmals im Entwurf bereits mehrere Seiten lang ist. Alle diese Prozesse sind jedoch viel zu sperrig für die Schnelllebigkeit von IT-Programmen, Apps und anderen elektronischen Tools.

Der Prozess der betrieblichen Mitbestimmung über technische Einrichtungen ist damit ein zeitaufwendiges Verfahren, welches in vielen Situationen geeignet ist, den technologischen Fortschritt in Unternehmen nachhaltig zu behindern oder gar aufzuhalten. Grund für die mangelnde Geschwindigkeit sind insbesondere die gesetzlichen Vorschriften und Mitbestimmungsprozesse des BetrVG. Das Gesetz enthält bislang starre Regelungen zum Ablauf der Mitbestimmung. Mit den bestehenden Instrumenten der betrieblichen Mitbestimmung ist die Geschwindigkeit der Änderungen jedoch nicht organisierbar. Schließlich handelt es sich bei dem § 87 Abs. 1 Ziff. 6 BetrVG um eine Norm aus dem Jahr 1972 – es drängt sich geradezu auf, dass eine solche Vorschrift der heutigen Situation nicht mehr gerecht werden kann.

Es gibt verschiedene pragmatische Ansätze mit dem genannten Problem umzugehen. Rechtlich gibt es aber keine wirkliche Lösung, die oben beschriebenen Themen zeitnah aufzuarbeiten.

Eine Lösungsmöglichkeit würde eine Gesetzesänderung darstellen. Der Tatbestand hinsichtlich des tatsächlichen Wortlauts des § 87 Abs. 1 Ziff. 6 BetrVG könnte konkretisiert werden. Aktuell besteht ein Mitbestimmungsrecht nur, wenn die technische Einrichtung dazu bestimmt ist, Verhalten oder Leistung des Arbeitnehmers zu überwachen. Trotz des missverständlichen Wortlauts ist es nicht erforderlich, dass die technische Einrichtung ausschließlich die Überwachung der Arbeitnehmer bezweckt. Tatsächlich muss eine Überwachung der Arbeitnehmer nicht beabsichtigt sein. Es genügt, wenn die Einrichtung auf Grund ihrer technischen Gegebenheiten und ihres konkreten Einsatzes objektiv zur Überwachung der Arbeitnehmer geeignet ist. Unerheblich ist, ob die Überwachung nur ein Nebeneffekt der technischen Einrichtung ist oder ob die erfassten Arbeitnehmerdaten vom Arbeitgeber gezielt ausgewertet werden.

Entgegen der aktuellen Rechtsprechung des BAG könnte eine neue gesetzliche Regelung vorsehen, dass eine Mitbestimmung nur dann durchzuführen ist, wenn die technische Einrichtung dagegen gezielt eingesetzt wird, um den Arbeitnehmer zu überwachen und die gesammelten Daten zu verwerten. Dies würde dem ursprünglichen Zweck des § 87 Abs. 1 Ziff. 6 BetrVG, dem Schutz des Persönlichkeitsrechts des Arbeitnehmers, entsprechen.

Zusätzlich zu einer Reform des Tatbestands des § 87 Abs. 1 Ziff. 6 BetrVG könnte auch an eine Reform von dessen Rechtsfolge gedacht werden. So lässt sich die Intensität der Mitbestimmung abstufen. Wird etwa eine bestehende Software oder ein bestehendes System nur auf eine neuere Version aufgerüstet, ohne dass neue oder weitergehende Zugriffsrechte für den Arbeitgebers entstehen, könnte auch eine Informationspflicht – gegebenenfalls in Kombination mit einem Vetorecht – gegenüber dem Betriebsrat ausreichen. Dies entspricht auch der Schnelllebigkeit des technischen Fortschritts. Dadurch könnte bereits die Betriebsratsarbeit an sich beschleunigt werden, sollte die Zuhilfenahme digitaler Medien gesetzlich geregelt werden. Sollten jedoch gänzlich neue oder weitergehende Systeme eingeführt werden, die dem Arbeitgeber erlauben Arbeitnehmer stärker als zuvor zu überwachen, so kann ein Mitbestimmungsrecht in der Form, die § 87 BetrVG gebietet, durchaus angemessen sein. Schließlich hat mittlerweile nahezu jede technische Einrichtung am Arbeitsplatz das Potenzial, den Arbeitnehmer zu überwachen. Und es ist zu erwarten, dass die Digitalisierung weitere neue Überwachungsmöglichkeiten mit sich bringen wird.

Events

  • M&A Compliance Seminar

    Compliance ist ein wichtiger Bestandteil einer jeden M&A-Transaktion. Eine Zielgesellschaft, die nicht compliant ist, kann sich u.a. haftungs- und reputationsbezogen als hoher Risikofaktor für den Erwerber und dessen Management darstellen.

    Von der Transaktionsplanung über die Compliance Due-Diligence-Prüfung, dem richtigen Umgang mit identifizierten Risiken und mit der Due-Diligence verbundene Fragen der Unternehmensbewertung bis hin zu kartell-, datenschutz- und arbeitsrechtlichen Compliance-Herausforderungen im Rahmen einer Transaktion spannen wir in unserem Seminar einen weiten inhaltlichen Bogen.

    Datum: 8. Mai 2019, 16:00 - 20:00 Uhr
    Ort: Design Offices Düsseldorf-Kaiserteich
    Elisabethstraße 11
    402017 Düsseldorf

Zur Anmeldung >> 


  • Panel zu „Fake News/Hate Speech“ auf dem Deutschen Anwaltstag
    Unser Associate Dr. Simon Assion wird als Impulssprecher bei dem Panel „Fake News, Hate Speech und die öffentliche Meinungsbildung“ auf dem Deutschen Anwaltstag vortragen. Die Veranstaltung ist am Freitag, den 17.05., in Leipzig. Weitere Informationen zu der Veranstaltung und zum Anwaltstag gibt es online.

  • Vortrag zu „Joint Control“ auf der Datenschutzkonferenz 2019
    Unser Partner Dr. Fabian Niemann wird auf der „Datenschutzkonferenz 2019“ zum Thema „Joint Control“ (Art. 26 DSGVO) sprechen. Die Konferenz findet vom 14. bis 16. Mai 2019 in Düsseldorf statt und wird von der Fachzeitschrift „Datenschutzberater“ veranstaltet. Weitere Informationen und eine Anmeldemöglichkeit gibt es auf den Webseiten des „Datenschutzberater“.

Veröfffentlichungen und Vorträge


  • Dr. Simon Assion: Anmerkung zum „Stream On“-Urteil des VG Köln
    Associate Dr. Simon Assion hat in der aktuellen Ausgabe der Fachzeitschrift „Multimedia und Recht“ (MMR) eine Urteilsanmerkung zu der Entscheidung des VG Köln i.S. „Stream On“ veröffentlicht (MMR 2019, 197). „Stream On“ ist ein bestimmter Mobilfunktarif der Deutschen Telekom, bei dem die Kunden für die Nutzung bestimmter Dienste (u.a. Videostreaming) nicht ihr inkludiertes Datenvolumen verbrauchen. Man spricht diesbezüglich auch von „Zero Rating“. Das VG Köln hat allerdings entschieden, dass die konkrete Ausgestaltung von „Stream On“ nicht mit den EU-Vorgaben zur Netzneutralität und zu Roaming vereinbar war.