Aktuelles aus meinen Tätigkeitsgebieten

Die primäre Aufgabe des im IT-Recht tätigen Anwalts ist es, komplizierte Dinge einfach zu machen. Je nach Standpunkt hat IT-Recht in den vergangenen Jahren entweder erstaunlich an Detailschärfe gewonnen oder ist schrecklich unübersichtlich geworden. Jedenfalls findet der IT-Rechtler einen Weg durch das unübersichtliche Dickicht und weiß, auf welche Details es ankommt und auf welche eher nicht, und was man tun muss, um zum gewünschten Ziel zu gelangen. Die Beiträge auf dieser Website geben einen Einblick in die alltäglichen Details, und wie man sie auf das Wesentliche reduziert.

Interpretatorische Notwehr

In einem Akt quasi interpretatorischer Notwehr hat der Bundesverband Gesundheits-IT (bvitg) ein Rechtsgutachten zur Auslegung der neuen §§ 384, 393 SGB V beauftragt, das jetzt vorliegt.

§§ 384, 393 SGB V regeln technische und regulatorische Anforderungen an Cloud-Computing-Dienste im Gesundheitswesen; die in den Neuregelungen verwendeten und überwiegend kryptisch definierten Begriffe haben für zahlreiche Fragezeichen gesorgt. Die wichtigste Schlussfolgerung aus dem 45-seitigen Gutachten scheint für mich die Aussage zu sein, dass die Formulierung „ein aktuelles C5-Testat der datenverarbeitenden Stelle [..] vorliegt“ in § 393 Abs. 2 Nr. 2 SGB V wohl so zu verstehen ist oder jedenfalls zu verstehen sein kann, dass zwar der Leistungserbringer (etwa der niedergelassene Arzt) die datenverarbeitende Stelle ist, er aber ein fremdes C5-Testat vorweisen darf, nämlich das eines von ihm eingesetzten Cloud-Dienstes (S. 42).

Der Leistungserbringer muss dann (nur noch) die im fremden C5-Testat angegebenen Konfigurationen auch bei sich umsetzen, aber auch das wird der Anbieter des Cloud-Dienstes sicherlich gerne übernehmen.

Barrierefreiheitsstärkungsgesetz

Die FAZ erinnert heute daran, dass in einem Jahr das Barrierefreiheitsstärkungsgesetz in Kraft treten wird.

Das Gesetz und die zu seiner Umsetzung erlassene Rechtsverordnung setzen eine EU-Richtlinie von 2019 um und verfolgen das gute Anliegen, dass Produkte und Dienstleistungen barrierefrei hergestellt und angeboten werden müssen. Die Verpflichtung zur Barrierefreiheit betrifft (nur) eine einigermaßen willkürlich erscheinende Auswahl von Produkten und Dienstleistungen, darunter Dienstleistungen im elektronischen Geschäftsverkehr, d.h. Online-Shops.

Die Regelungen sind sehr kleinteilig und unübersichtlich. Letztlich wird alles halb so schlimm sein und läuft es auf die Umsetzung der technischen Norm EN 301 549 hinaus.

Digital-Gesetz

Eines der Ziele von Digitalisierung in der öffentlichen Verwaltung ist Beschleunigung, und die führt bei ebenfalls beschleunigter Gesetzgebung zu mitunter fragwürdigen Begrifflichkeiten.

Teil dieser Beschleunigung ist der durch das Digital-Gesetz eingeführte und zum 1. Juli 2024 in Kraft tretende neue § 393 SGB V, wonach Anbieter von cloud-basierten Dienstleistungen im Gesundheitswesen über ein sogenanntes C5-Testat verfügen müssen. C5 ist ein vom BSI zusammengestellter und ziemlich umfangreicher Sicherheitsstandard für Cloud Computing; ein C5-Testat ist nicht gerade trivial zu erhalten. § 393 Abs. 3 Nr. 2 SGB V verlangt seinem Wortlaut nach, dass ein C5-Testat „der datenverarbeitenden Stelle [..] für die [..] eingesetzten Cloud-Systeme und die eingesetzte Technik vorliegt“. Das ist eine etwas unglücklich formulierte Regelung: Wer ist denn die datenverarbeitende Stelle? Vermutlich doch nicht der Leistungserbringer selbst, sonst müsste ja jede Vertragsarztpraxis, die Cloud-Dienste nutzt, ein eigenes C5-Testat organisieren (das wird durchaus ernsthaft behauptet)? Falls der SaaS-Dienstleister die datenverarbeitende Stelle ist, obwohl er datenschutzrechtlich in aller Regel Auftragsverarbeiter sein wird, darf er dann etwa seinerseits darauf verweisen, dass er ausschließlich C5-testierte Cloud-Dienste nutzt, etwa die von AWS oder von Microsoft?

„Es herrscht gerade eine gewisse Unsicherheit am Markt, wie das Gesetz ausgelegt wird. Auch Juristen sind sich noch uneinig.“

Virenschutz von Kaspersky: Einsatz in Deutschland fahrlässig?

Eine behördliche Warnung vor dem Einsatz einer bestimmten Software und die persönliche Haftung von Geschäftsleitungen bei mangelhafter Cybersicherheit in Unternehmen ist keine gute Kombination.

Das aktuelle US-amerikanische Vertriebsverbot für die Kaspersky-Virenschutzsoftware erinnert mich an eine Warnung des deutschen BSI vor dem Einsatz dieser Software im März 2022. Ob das BSI das sagen durfte, klären die Gerichte gerade. Jedenfalls wird die Umsetzung der NIS-2-Richtlinie in Deutschland einen neuen § 38 BSIG bringen, der Geschäftsleitungen der von der Richtlinie betroffenen Unternehmen zu Cybersicherheit verpflichtet. Das läuft auf eine persönliche Haftung der Geschäftsleitung für die Erfüllung dieser Pflichten hinaus, die wegen der gemäß § 93 Abs. 2 S. 2 AktG (und analog im GmbH-Recht) bestehenden Beweislastumkehr für die Geschäftsleiterhaftung besonders kritisch ist.

Wer will sich schon nachsagen lassen, er habe im Unternehmen fahrlässig den Einsatz einer Software geduldet, vor der die dafür zuständige Behörde gewarnt habe?

Keine Cyberversicherung ohne IT-Sicherheit

Schließen Sie keine Versicherung ab, wenn Sie nicht vorhaben, sich an die Versicherungsbedingungen zu halten.

Etwa eine Cyberversicherung, die Schäden aus Hackerangriffen abdecken soll. Die muss nämlich nicht zahlen, wenn erfolgreich angegriffene IT-Systeme Sicherheitslücken hatten, meint das LG Kiel im Mai 2024. In dem Verfahren hatte der Versicherungsnehmer bei Vertragsschluss wahrheitswidrig behauptet, er würde seine IT-Systeme mit aktuellen Sicherheitsupdates usw. versorgen. Tatsächlich stimmte das aber gar nicht, sondern hatte er das „im Bewusstsein seiner Unkenntnis ins Blaue hinein“ nur so gesagt. Arglistige Täuschung, sagt das Landgericht, und schon ist der Versicherungsschutz weg. Anders übrigens im Mai 2023 das LG Tübingen: Fehlende Sicherheitsupdates auf einigen Windows-Servern sind egal, wenn auch die gepatchten Server erfolgreich angegriffen wurden und letztlich eine „Design-Schwäche“ von Windows ausgenutzt wird.

Das war ganz praktisch für mich als Versicherungsnehmer, wenn ich strukturell unsichere IT-Systeme einsetze, ist aber nun eben überholt.

Regulatorische Trickle-Down-Effekte

IT-Regulierung funktioniert häufig so, dass nur Unternehmen ab einer bestimmten Größe von der Regulierung erfasst werden; ignorieren Sie solche Größenbeschränken am besten.

Das liegt an den regulatorischen Trickle-Down-Effekten: Unternehmen, die eigentlich zu klein sind, um sich um Netz zahlreicher regulatorischer Vorgaben zu verfangen, werden indirekt doch reguliert. Nämlich weil sie Zulieferer größerer Unternehmen sind, die ihre Compliance-Pflichten, z.B. aus der NIS-2-RL, einfach überwälzen. So ein Kaskadeneffekt ist regulatorisch erwünscht und in den Gesetzen angelegt (siehe etwa Art. 21 Abs. 2 Buchst. d) und e) NIS-2-RL). Vertraglichsrechtlich funktioniert die Überwälzung über Compliance-Klauseln, die den Zulieferer zur Einhaltung bestimmter Standards verpflichten. Eine solche Verpflichtung allein geht zwar zivilrechtlich, reicht aus regulatorischer Sicht aber eher nicht, um eigene Verantwortlichkeiten zu delegieren.

Da würde ich zusätzlich an eine vorvertragliche Due Diligence, an detaillierte Sicherheitsvorgaben, Informationspflichten, Audit-Rechte und regelmäßige Kontrollen denken.

Europarechtliche Haftung des Fahrscheinverkäufers

Fahrscheinverkäufer haften europarechtlich mitunter für die Vertragsbedingungen der Beförderer, für die sie Fahrscheine verkaufen; das kann sehr praktisch sein, wenn man jemanden verklagen will, den Beförderer selbst aber nur schwer greifen kann.

Wenn ich über ein Online-Portal einen Beförderungsvertrag schließe, dann ist das Online-Portal nur Vermittler und damit als Stellvertreter vertragsrechtlich außen vor. Manchmal will ich mich aber gerade mit dem Online-Portal streiten, weil das in Deutschland sitzt, während der Beförderer im Ausland für mich schwer zu erreichen ist. Das klappt unter bestimmten Voraussetzungen. Etwa, wenn es um eine Fährpassage oder eine Busfahrt geht und der Beförderer den Fehler macht, in verschiedenen EU-Staaten unterschiedliche Preise oder Vertragsbedingungen für dieselben Beförderungsverträge aufzurufen. Das kommt häufiger vor als man denkt, auch noch 2024, ist zumindest eine mittelbare Diskriminierung anhand der Staatsangehörigkeit der Kunden und europarechtlich seit Urzeiten streng verboten. Nach Art. 5 Abs. 2 VO (EU) Nr. 1177/2010 (Fährpassagen) bzw. Art. 5 Abs. 2 VO (EU) Nr. 181/2011 (Busfahrten) haften „Fahrscheinverkäufer“ für die vom Beförderer aufgerufenen Preise und Bedingungen.

Das ist dann vermutlich eine Art vorvertraglicher Haftung, die im deutschen Recht über § 311 Abs. 3 BGB abgebildet werden dürfte. Rechtsprechung scheint es nicht zu geben.

AGB-Vorgaben des DSA

Das (EU-)Gesetz über digitale Dienste (aka Digital Services Act, DSA), nicht zu verwechseln mit dem deutschen Digitale-Dienste-Gesetz, macht seit Februar 2024 Vorgaben unter anderem für die Gestaltung der Allgemeinen Geschäftsbedingungen (AGB) von „Vermittlungsdiensten“, weil die vom DSA reguliert werden. Darunter sind auch sehr viele Unternehmen, die noch gar nicht realisiert haben, dass sie tätig werden und ihre AGB überarbeiten müssen.

Vermittlungsdienste sind Anbieter von IT-Diensten, die von Nutzern bereitgestellte Informationen an Dritte übermitteln, zwischenspeichern oder speichern. Eine im Auftrag der Bundesnetzagentur erstellte Studie erläutert, dass zu solchen Vermittlungsdiensten etwa auch Cloud-Storage-Anbieter und E-Mail-Anbieter gehören. Gemäß Art. 14 Abs. 1 DSA müssen alle Vermittlungsdienste in ihren AGB Angaben zu Beschränkungen machen, die für die Bereitstellung von Informationen durch Nutzer gelten, zu den Verfahren, mit denen solche Beschränkungen durchgesetzt werden, und dazu, wie Nutzer sich gegen Beschränkungen wehren können. Es geht also eigentlich um Content-Moderation, und darum, dass sie nach klaren Regeln und fair abläuft. Wenn ich z.B. E-Mails verschicken will, die vielleicht Spam sind, dann wird der Anbieter das wohl unterbinden. Wegen Art. 14 Abs. 1 DSA muss er in seinen AGB allerdings erläutern, wie er das tut und wie ich mich beschweren kann.

Ich habe noch keinen deutschen Cloud-Storage-Anbieter oder E-Mail-Anbieter gefunden, der das in seinen AGB auch nur ansatzweise umgesetzt hätte.

Medienregulierung ist IT-Regulierung

Europäische und deutsche Medienregulierung ist immer auch IT-Regulierung, jedenfalls in Teilen.

Das neue Europäische Medienfreiheitsgesetz (EMFA) von April 2024 ist da auch keine Ausnahme. Es ist zwar nicht ganz so IT-lastig geworden wie der deutsche MStV, ein wenig IT-Regulierung ist da aber auch reingeraten, vor allem in Art. 20 EMFA, der Vorgaben zur Signalintegrität und für die Gestaltung von Benutzeroberflächen macht. Anders als im MStV gelten diese Vorgaben nicht nur für bestimmte Plattformen, sondern sind wohl technologieneutral.

Art. 20 EMFA richtet sich an Hersteller, Entwickler und Importeure, und gilt ab Mai 2027.

Alles ist AGB

Versuchen Sie gar nicht erst, aus dem deutschen AGB-Recht herauszukommen, das klappt im Zweifel nämlich sowieso nicht und die Rechtsunsicherheit sparen Sie sich lieber. Formulieren Sie stattdessen AGB-sichere Klauseln.

Das deutsche Recht zur Kontrolle von Allgemeine Geschäftsbedingungen ist, wenn denn deutsches Recht anwendbar ist, nämlich so gut wie überall und findet insbesondere auch auf Verträge zwischen Unternehmen (B2B-Geschäft) Anwendung. Wer bislang immer noch dachte, dass wenigstens der vom Rechtsanwalt individuell entworfene Vertrag nicht unter die AGB-Kontrolle fällt, den hat nun spätestens das OLG Düsseldorf mit seinem Urteil von November 2023 eines Besseren belehrt. Es sei in Rechtsanwaltskanzleien gängige Praxis, das Rad nicht immer neu zu erfinden, sondern auf bewährte Muster oder in Datenbanken hinterlegte Textbausteine zurückzugreifen. Selbst wenn die Muster oder Textbausteine von Dritten formuliert wurden, reiche es für die Anwendung des AGB-Rechts, dass sie von diesen Dritten in Mehrfachverwendungsabsicht erstellt wurden.

Hintergrund dieser sehr breiten Anwendbarkeit des deutschen AGB-Rechts ist die Formulierung in § 305 Abs. 1 S. 1 BGB, wonach AGB vorliegen, wenn die Vertragsbedingungen „für eine Vielzahl von Verträgen vorformuliert“ sind.

Shall oder undertakes to?

Kürzer und eleganter ist in der Vertragsgestaltung in der Regel die richtige Wahl.

Neulich, bei der Arbeit an einem englischsprachigen Vertrag, habe ich einigermaßen sorglos die Wendung undertakes to verwendet, um die Verpflichtung einer Partei zu definieren. Der englische Anwalt auf der Gegenseite hat mir das rausgestrichen und durch shall ersetzt. Was für Gründe gibt es denn wirklich, undertakes to nicht zu verwenden? Das Manual of Style for Contract Drafting weist darauf hin, dass undertakes to nicht für erst in der Zukunft entstehende Verpflichtungen verwendet werden kann: If X, then Acme undertakes to Y. funktioniert sprachlich nicht, If X, then Acme shall Y dagegen schon.

Das überzeugt mich, jedenfalls für die Formulierung von Verträgen. In Gesetzen oder anderen regulatorischen Texten scheint shall hingegen nicht das sprachliche Mittel der Wahl zu sein.

Verzicht auf E-Mail-Verschlüsselung zulässig?

Wenn man bei datenschutzrechtlichen Fragestellungen die Rechtsansicht deutscher Datenschutzbehörden nicht kennt, dann liegt man in der Regel nicht falsch, wenn man einfach vom Schlimmsten ausgeht.

So auch bei der Frage, ob eine datenschutzrechtlich an sich erforderliche Ende-zu-Ende-Verschlüsselung von E-Mails unterbleiben kann, wenn Sender und Empfänger sich darauf verständigen. Die Datenschutzkonferenz hat in der Tat im November 2021 gesagt, dass ein Verzicht auf datenschutzrechtliche Sicherheitsanforderungen durch eine Einwilligung der betroffenen Personen im Grundsatz nicht möglich sein soll: Die Anforderungen beruhten auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stünden.

Anders der Hamburgische Beauftragte für Datenschutz und Informationssicherheit im Januar 2022: Datenschutz ist kein Selbstzweck, man kann verzichten. Das sehen Gerichte unter Bezugnahme auf die Privatautonomie auch so, etwa das OLG Düsseldorf im Oktober 2021 oder das Sozialgericht Hamburg im Juni 2023.

Steueroase Russland

Eine der Ideen hinter dem Steueroasen-Abwehrgesetz (StAbwG) ist, Geschäfte mit als Steueroasen betrachteten Staaten durch Bürokratieaufwand möglichst unattrativ zu machen.

Russland ist ab dem 20. Dezember 2023 eine Steueroase im Sinne, passiert ist das durch eine Überarbeitung der Steueroasen-Abwehrverordnung. Abgesehen von diversen negativen steuerlichen Auswirkungen führt die Einstufung Russlands als Steueroase gemäß § 12 StAbwG zu „gesteigerten Mitwirkungspflichten“ für in Deutschland steuerpflichtige Unternehmen mit Russland-Geschäft. Praktisch geht es darum, dass für alle Geschäftsbeziehungen mit russischen Unternehmen umfassende Aufzeichnungen erstellt und an die Finanzbehörden übermittelt werden müssen. Das bedeutet vermutlich Überstunden auch für die Rechtsabteilung.

Terminologisch herrscht eine gewisse Verwirrung, weil einige der in § 12 Abs. 2 StAbwG verwendeten Begriffe sich auch im Außensteuergesetz (AStG) finden und dort legaldefiniert werden, im Rahmen des StAbwG aber teilweise anders auszulegen sind.