JurPC Web-Dok. 194/2014 - DOI 10.7328/jurpcb20142912190

Wolfgang Kuntz*

Kuntz, Wolfgang

Tagungsbericht über den 3. IT-Rechtstag in Frankfurt am Main

JurPC Web-Dok. 194/2014, Abs. 1 - 15


Veranstalter der Tagung am 14.11. und 15.11.2014 in den Räumen der Rechtsanwaltskammer Frankfurt waren die Hera Fortbildungs GmbH der Hessischen Rechtsanwaltschaft in Kooperation mit davit - Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAV) e.V., dem Deutschen EDV-Gerichtstag e.V., dem Frankfurter Anwaltsverein und Frau Prof. Dr. Indra Spiecker, gen. Döhmann, LL.M. (Georgetown Univ.) von der Goethe-Universität Frankfurt am Main. Abs. 1
Die Moderation und Begrüßung am ersten Veranstaltungstag übernahm Dr. Thomas Lapp, Rechtsanwalt und Mediator aus Frankfurt, Vorstandsmitglied des Deutschen EDV-Gerichtstages e.V., der im Geschäftsführenden Ausschuss der „davit" aktiv ist. Er wies darauf hin, dass der 3. Frankfurter IT-Rechtstag sich schwerpunktmäßig mit der Fahrzeugtechnik und den rechtlichen Folgerungen aus den hier entstehenden technischen Entwicklungen befasse. Es sei ein besonderes Anliegen der Frankfurter IT-Rechtstage, die Bereiche Technik und Recht gleichermaßen zu Wort kommen zu lassen. Dementsprechend gebe es auch bei der 3. Tagung sowohl rein technische als auch juristische Vorträge. Abs. 2
Der erste Vortrag von Prof. Dr. rer. nat. Hermann Winner hatte einen technischen Fokus und beleuchtete vor allem die Fortschritte und Entwicklungen in der Fahrzeugtechnik. Ausgangspunkt der Darstellung Winners waren die bereits in neueren Fahrzeugen umgesetzten Weiterentwicklungen der Fahrerassistenz, wie z.B. Fahrstabilitätskontrolle (ESC), Abstandsregelungstempomat (ACC), Spurhalteunterstützung und Fahrstreifenwechselassistent. Anschließend kam Winner auf die Entwicklung von der Fahrerassistenz hin zum autonomen Fahren zu sprechen. Er erläuterte dabei die Unterschiede von teilautomatisiertem und vollautomatisiertem Fahren. Danach zeigte er die verschiedenen technisch, organisatorisch und gesetzlich zu regelnden Merkmale des autonomen Fahrens auf. Es wurden hierbei Fragen erörtert wie z.B. „wie schnell darf das Fahrzeug autonom fahren?", „wo darf das Fahrzeug autonom fahren?" und „wer teilt mit dem autonom fahrenden Fahrzeug den Verkehrsraum?". Es gebe eine Fülle von Fragen und Problemen, die im Rahmen des autonomen Fahrens zu bedenken und zu regeln seien. Den verschiedenen Ausprägungen des autonomen Fahrens sei gemeinsam, dass statt eines Menschen ein maschinelles Fahrzeugführungssystem das Fahrzeug führe. Schließlich kam Winner auf rechtliche Implikationen des autonomen Fahrens zu sprechen. Konkret ging es dabei um die Verantwortlichkeitslücke bei Fehlern der Fahrt, um das Problem der Risikoverteilung (Einführungs- und Schadensrisiko) und das Problem des Umgangs mit den Daten des autonom fahrenden Fahrzeugs. Abs. 3
Der nachfolgende Vortrag von Rechtsanwalt und Fachanwalt für IT-Recht Christian Kast aus München behandelte „Elektromobilität und Datenschutz", ein Thema, das bislang in der juristischen Literatur noch kaum untersucht worden ist. Kast ging zunächst auf die Ausgangssituation in Deutschland ein. Der Entwurf des Elektromobilitätsgesetzes sei erst am 24.09.2014 vom Bundeskabinett verabschiedet worden und solle am 01.02.2015 in Kraft treten. Jedoch seien in dem neuen Gesetz keine Regelungen zum Datenschutz im Zusammenhang mit der Elektromobilität enthalten. Datenschutzfragen seien aber insbesondere beim Ladevorgang und bei der Ermittlung des Verbrauchs an Energie äußerst relevant. Dies gelte in gleichem Maße für Ladezustand, Lebensdauer und Belastungen der eingesetzten Batterien. Im sogenannten regulatorischen Bereich gebe es im Energiewirtschaftsgesetz von 2011 einige Regelungen zum Datenschutz, z.B. §§ 21, 21g, 21h EnWG. Gesetzlich nicht geregelt sei bislang die freie Nutzbarkeit beliebiger Ladestellen, also das Ladestellen-Roaming. Hier ergebe sich eine Chance, Regelungen zum Datenschutz noch in die Beratungen und Erörterungen einfließen zu lassen. Kast vertrat die Ansicht, dass bei der Ausgestaltung individueller Datenschutzregelungen insbesondere § 21g EnWG zu beachten sei. Erforderlich seien seiner Ansicht nach sowohl eine dem § 4a BDSG entsprechende Einwilligung des Nutzers, als auch nach § 21g Abs. 1 EnWG die Erforderlichkeit der Datenerhebung, -verarbeitung und –nutzung. Kast wies die im Auditorium anwesenden Anwälte danach auf ein sich eröffnendes Betätigungsfeld bei der Beratung von Unternehmen und Arbeitnehmern im Bereich der Elektromobilität am Arbeitsplatz hin. Dies betreffe Fallgestaltungen, in denen Unternehmen dem Arbeitnehmer ein Elektrofahrzeug zur Verfügung stellen und Fälle, in denen der Arbeitnehmer ein privates Elektrofahrzeug an Ladestellen des Unternehmens auflädt. Abs. 4
Im Anschluss sprach Frau Prof. Dr. Indra Spiecker, gen. Döhmann von der Goethe-Universität Frankfurt zum Thema „Telematik im Auto als Herausforderung für das Datenschutzrecht". Ausgangspunkt des Vortrages waren die Überlegungen von Versicherungen, Versicherungstarife in Abhängigkeit vom Fahrverhalten des Fahrers gestaffelt anzubieten und hierzu die Daten der Fahrzeugsensoren zu nutzen. Konkret solle über eine Telematikbox im Fahrzeug ca. alle 20 Sekunden eine Datenübermittlung an den Verarbeiter bezüglich des Fahrverhaltens stattfinden. Hier würden beispielsweise Daten wie Geschwindigkeit, Tag- oder Nachtfahrt, Brems- und Beschleunigungsverhalten, Stadtfahrt oder Überlandfahrt erhoben. Aus den erhobenen Informationen könne die Versicherung einen sog. Scorewert errechnen oder errechnen lassen, der schließlich zu einem Versicherungsrabatt im Folgejahr führen könne. Dies werde von den Versicherungen zwar nur auf der Grundlage freiwilliger Angaben des Versicherungsnehmers durchgeführt, führe aber im Umkehrschluss dazu, dass diejenigen, die sich nicht beteiligten, den höheren Standardtarif zahlen müssten. Prof. Spiecker behandelte anschließend die datenschutzrechtlichen Fragestellungen. Es erfolge eine Datensammlung auf Vorrat, die möglicherweise gegen das Prinzip der automatisierten Einzelentscheidung (§ 6a Abs. 1 BDSG) verstoße. Ein Grundproblem jeder wahrscheinlichkeitsbasierten und typisierenden Aussage sei ferner ein Verstoß gegen Art. 3 Abs. 1 GG, nämlich gegen das Gebot, Gleiches gleich und Ungleiches ungleich zu behandeln. Prof. Spiecker kam schließlich auf die Grundfrage zu sprechen, ob es sich überhaupt um die Erhebung personenbezogener Daten handele. Die Frage sei: gibt es bei dem Scoring eine bestimmbare Person oder steht nicht eher das Verfahren der Verhaltensbeeinflussung und der Zweck der Tarifierung im Vordergrund? Prof. Spiecker sah die Beantwortung dieser Frage als Herausforderung für das Datenschutzrecht. Entscheidend sei letztlich, wieviel Typisierung, wieviel Wahrscheinlichkeit und wieviel Steuerung ohne individuelle Einflussnahme man zulassen könne. Abs. 5
Zum Abschluss des ersten Tages referierte der IT-Sachverständige und Externe Datenschutzbeauftragte Hans-Detlef Krebs zum Thema „Eigenleben von technischen Regelwerken und Auswirkungen von anerkannten Regeln der Technik, etwa ITIL". Der Vortrag beschrieb den praktischen Einsatz der Anforderungen aus den Standardnormen ITIL (IT-Betriebsmanagement) und ISO 2700X (IT-Sicherheitsmanagement) in Bezug auf die Beurteilung von erbrachten Leistungen. Zunächst befasste sich Krebs mit den Werten in der Informationstechnik und den Definitionen von Gesetzen und Normen. Dann leitete Krebs zu den technischen Normen über. Er besprach die grundlegenden technischen Normen im Bereich der IT-Organisation: ISO 2700X IT-Sicherheitsmanagement, ISO 2000X IT Betriebsmanagement, ITIL (IT-Betriebsmanagement) und BSI-Grundschutz. Am Beispiel der ISO 27000 erläuterte er die Struktur sowie Aufbau und Methodik der Normen. Anschließend besprach Krebs die IT-Infrastruktur nach ITIL. Zum Abschluss erwähnte Krebs ein Phänomen, das er als die „Normen-Trickkiste" bezeichnete. Bei Normen und Zertifizierungen z.B. nach ISO ließen Unternehmen häufig nur einen bestimmten Teilbereich des Unternehmens zertifizieren, um danach mit dem Zertifikat insgesamt zu werben. Wichtig sei jedoch für den Experten der sog. Scope des Zertifikats, d.h. gerade der Bereich, für den die Zertifizierung gilt. Dieser sei in der Beschreibung des Zertifikats vermerkt. Bei einem Zertifikat für die Infrastruktur eines Unternehmens fehlten dementsprechend die wichtigen Bereiche der Zutrittskontrolle, des Change Managements und der Sicherheit des Personals. Abs. 6
Den zweiten Tag der Veranstaltung moderierte der Mainzer Rechtsanwalt Stephan Schmidt, Fachanwalt für IT-Recht, der zudem als Gebietsleiter Midwest + Lux für die „davit" tätig ist. Abs. 7
Dr. Thomas Lapp referierte zunächst zu „Scoring, Auskunft, BGH-Urteil zu SCHUFA - Konsequenzen für die Beratung". Mandanten würden in diesem Bereich mit einer Reihe von indirekten Anzeichen für ein Problem vorstellig. Derartige Anzeichen seien beispielsweise die Gewährung eines Versandes im Versandhandel nur gegen Vorkasse, ein Ansteigen der Kreditzinsen, die Verweigerung von Konto oder Kreditkarte. Diese Anzeichen könnten auf ein negatives Scoring hindeuten und es stelle sich dann die Frage, welche Schritte dagegen eingeleitet werden können, wenn ein offensichtlicher Grund für die negative Bewertung nicht ersichtlich sei. Dr. Lapp wies auf einen Fall hin, in welchem einem Arbeitnehmer, der sich beruflich drei Jahre lang im Ausland (Polen) aufgehalten habe, nach der Rückkehr nach Deutschland plötzlich keinen Kredit mehr erhalten habe, weil seine Scoring-Daten überaltert und nicht mehr aktuell waren. Für die SCHUFA selbst sei diese Verfahrensweise selbstverständlich, da der bestimmte Teil der Kredithistorie in diesem Fall fehle. Dr. Lapp untersuchte zunächst die Rechtsgrundlage des Scorings, § 28b Nr. 1 BDSG. Dabei müssten die Daten zunächst für die Berechnung erheblich sein. Zusätzlich müssten die Voraussetzungen für eine Übermittlung der Daten nach §§ 28, 29 BDSG vorliegen. Nach § 34 Abs. 2 und 4 BDSG gebe es für den Betroffenen Auskunftsansprüche unter bestimmten Voraussetzungen: die Auskunft müsse verlangt werden, das Verlangen müsse konkret sein und könne formfrei geltend gemacht werden. Auch Auskünfte über Wahrscheinlichkeitswerte könnten verlangt werden. Gleiches gelte für Daten, sofern es sich um personenbezogene Einzeldaten handelt. Ein Anspruch auf Korrektur der Daten bestehe, wenn die Daten unrichtig seien, § 35 Abs. 1 S. 1 BDSG. Dr. Lapp kam danach auf den vom BGH entschiedenen SCHUFA-Fall zu sprechen. Der BGH (Urteil vom 28.01.2014, VI ZR 156/13 = JurPC Web-Dok. 50/2014, http://www.jurpc.de/jurpc/show?id=20140050) habe einen Auskunftsanspruch über die Gewichtung der in die Wahrscheinlichkeitsberechnung eingeflossenen Faktoren verneint, ebenso habe der BGH die Mitteilung der Scoreformel verweigert. Diese Entscheidung sei in der Literatur vehement kritisiert worden. Dr. Lapp referierte abschließend über das dem Scoring zugrundeliegende Schuldverhältnis und zog eine Parallele zu dem Wohlwollensgrundsatz bei der Abfassung eines Arbeitszeugnisses und plädierte in diesem Zusammenhang für eine Vergleichbarkeit des zugrundeliegenden Schuldverhältnisses (§ 311 Abs. 3 S. 2 BGB) mit der Situation des Arbeitszeugnisses. Abs. 8
Im Anschluss sprach der bekannte IT-Sachverständige Dr. Siegfried Streitz zu dem Thema „Internetshops – notleidende Projekte, Anforderungen an Leistungsbeschreibungen". Abs. 9
Er zeigte zunächst anhand eines bekannten Beispiels (amazon-Shop) die nach außen sichtbaren Merkmale eines Internetshops und erklärte, welche einzelnen IT-Bausteine dafür intern erforderlich sind. Es handele sich hierbei um ein komplexes ERP-System, bei dem es meist vorhandene und zu integrierende Systeme zu beachten gebe. Meist werde mit mehreren Datenformaten gearbeitet, man habe mehr als 20 Schnittstellen und einen komplexen Datenfluss zu bearbeiten. Die Projektdauer beschrieb Dr. Streitz mit weit mehr als 3 - 6 Monaten. Dr. Streitz erläuterte anschließend die Folgerungen für die Leistungsspezifikationen, insbesondere das Datenmodell, die Schnittstellen und die Mitwirkungsleistungen wurden eingehend besprochen. Schließlich zeigte Dr. Streitz exemplarisch einige Fallstricke von Projekten auf und stellte den Zuhörern abschließend eine Checkliste für vertragliche Regelungen vor. Abs. 10
Es folgte der Vortrag von Rechtsanwalt Matthias Lachenmann aus Paderborn mit dem Thema „Dashcams – Zulässigkeit und Beweiswert". Rechtsanwalt Lachenmann führte in die Problematik der Dashcams ein, indem er zunächst die Beweggründe für den Einsatz dieser On-Board-Kameras verdeutlichte: präventive Verhinderung von Schäden am Auto einerseits und Erlangung von Beweismitteln andererseits. Er erörterte danach die rechtlichen Fragen im Zusammenhang mit einer Videoüberwachung. Rechtsanwalt Lachenmann besprach insbesondere die Regelungen in § 6b BDSG und § 1 Abs. 2 Nr. 3 BDSG. Er kam zu dem Zwischenfazit, dass Videoüberwachung bei Einhaltung bestimmter formeller Regelungen rechtskonform möglich sei, konstatierte aber, dass diese Anforderungen bei Dashcams nicht eingehalten würden. Rechtsanwalt Lachenmann besprach anschließend das Urteil des VG Ansbach, das die Unzulässigkeit von Dashcams festgestellt hatte. Schließlich stellte er die unterschiedlichen Sichtweisen hinsichtlich einer Verwertung der durch Dashcams gewonnenen Beweise vor und schloss sich der Auffassung an, dass eine Beweisverwertung derzeit im Grundsatz unzulässig sei. Zum Abschluss des Vortrages sprach Lachenmann über Maßnahmen seitens der Aufsichtsbehörden und über die Möglichkeiten und Voraussetzungen für einen denkbaren zulässigen Einsatz von Dashcams. Abs. 11
Über das Thema „Das Auto als Datenkrake" referierte Rigo Wenning, Justitiar des W3C und Vorstandsmitglied des Deutschen EDV-Gerichtstages e.V. Einleitend wies Wenning zunächst augenzwinkernd darauf hin, dass alles, worüber er nun rede, unter dem Blickwinkel der Ausführungen von Rechtsanwalt Lachenmann rechtlich eigentlich unzulässig sei. Abs. 12
Wenning erwähnte das Beispiel der Niederlande, wo es vor einigen Jahren das Projekt gegeben habe, die Kfz-Steuer anhand der gefahrenen Kilometer zu berechnen. Dies sollte über eine Ausstattung aller Fahrzeuge mit GPS und der Meldung der Daten an eine Zentrale bewerkstelligt werden. Wenning erläuterte anhand von Schaubildern die einzelnen dabei ablaufenden Prozesse. Das Projekt in den Niederlanden sei 2011 aufgrund von Protesten der Bevölkerung wieder eingestellt worden. Grund seien insbesondere die nicht gelösten datenschutzrechtlichen Probleme gewesen. Wenning erläuterte anschließend, dass moderne Autos über eine große Anzahl von Sensoren verfügten, die eine Fülle von Daten sammelten, insbesondere sei dabei auch eine Kombination von z.B. Sensorik- und Positionsdaten möglich. Auch gebe es Überlegungen sog. Blackboxen, die man von Flugzeugen kennt, in Autos einzubauen. Aber auch ohne diese Technik würden heute bereits Daten erhoben und gespeichert, die es erlauben festzustellen, wann das Auto gefahren wurde, wohin das Auto bewegt wurde und wie lange es gefahren wurde. Es gebe ferner neue Überlegungen ein generelles, auf HTML5 basiertes Interface in die Autos der nächsten Generation einzubauen. Dadurch habe man auf der einen Seite zwar die bequeme Möglichkeit, z.B. die Sensorik des Fahrzeugs per Smartphone zu steuern, auf der anderen Seite aber sei jedes Fahrzeug damit automatisch im Internet, mit allen Problemen z.B. des Datenschutzes, die dies hervorrufen könne. Wenning sprach anschließend auch über die Sicherheit beim autonomen Fahren und u.a. über die Frage, wer bei Softwarefehlern haftet. Zum Abschluss verwies Wenning auf die beim 52. Verkehrsgerichtstag in Goslar aufgestellten Empfehlungen zum Leitthema „Wem gehören die Fahrzeugdaten?". Abs. 13
Den Abschluss der Veranstaltung bildete der Vortrag von Dr. Thomas Lapp zum Thema „Volumenlizenzen, Masterversionen, Aufspaltung, Softwarelizenzen und nicht vereinbarte Sperren". Dr. Lapp ging von der Grundkonstellation einer Weiterveräußerung einer bereits veräußerten Software aus, die Gegenstand der EuGH-Entscheidung im sog. „UsedSoft"-Fall (vgl. JurPC-Web-Dok. 112/2012 = http://www.jurpc.de/jurpc/show?id=20120112) war. „Das Recht auf die Verbreitung eines Softwareprogrammes ist erschöpft, wenn der Inhaber des Urheberrechts gegen Zahlung eines Entgelts …auch ein Recht, diese Kopie ohne zeitliche Begrenzung zu nutzen, eingeräumt hat.", hatte das Gericht entschieden. Dr. Lapp besprach nachfolgend Einzelheiten des Urteils und zeigte die Bedeutung der Entscheidung auf, die letztlich eine Verkehrsfähigkeit von Software bedeute. Nach Ansicht des EuGH genüge das erneute Herunterladen einer Programmkopie durch den Zweiterwerber, wenn die ursprüngliche Kopie beim Ersterwerber gelöscht worden sei. Dr. Lapp erläuterte auch die dem EuGH-Judiz nachfolgende BGH-Entscheidung vom 17.07.2013 (Az.: I ZR 129/08 = JurPC Web-Dok. 36/2014, http://www.jurpc.de/jurpc/show?id=20140036, die die Voraussetzungen der Erschöpfung festlegte. Er diskutierte die Folgerungen der BGH-Entscheidung. EuGH und BGH erstreckten die Erschöpfung auf die im Rahmen des Wartungsvertrages aktualisierte Programmversion, so dass auch allgemein kostenlos erstellte Aktualisierungen außerhalb von Wartungsverträgen erfasst seien, selbst wenn diese identisch mit der aktuell verkauften Software seien. Dr. Lapp meinte anschließend, dass der EuGH Volumenlizenzen über eine Einzelplatzsoftware nicht geprüft habe. Ein Weiterverkauf einzelner Lizenzen einer gebrauchten Volumenlizenz-Software sei bei Beibehaltung der Zahl der in Verkehr gebrachten Lizenzen nach Ansicht des OLG Frankfurt (Urteil vom 18.12.2012, Az.: 11 U 68/11 = JurPC Web-Dok. 29/2013, http://www.jurpc.de/jurpc/show?id=20130029) zulässig. Dr. Lapp sprach abschließend über Echtheitszertifikate und das Online Spiel Half Life 2, bei dem der BGH entschieden habe, dass sich das Erschöpfungsrecht nicht auf das Benutzerkonto beziehe, was dazu führe, dass die Softwarehersteller nun versuchten, ähnliche Kombinationen aus Software und Online-Komponenten zu finden. Den Abschluss des Vortrages bildeten Hinweise auf die neue Rechtsprechung zur Erschöpfung bei E-Learning-Programmen, E-Books und Hörbüchern. Abs. 14
Der 3. IT-Rechtstag bot durchweg fachlich ausgezeichnete Vorträge namhafter Referenten. Der Versuch der Veranstalter, eine interessante Mischung aus technik-bezogenen und juristischen Vorträgen anzubieten, ist als geglückt zu bezeichnen. Man muss kein Prophet sein, um vorauszusagen, dass das Thema Daten in Kraftfahrzeugen eines der wichtigsten (Datenschutz-)Themen der nächsten Jahre sein wird. Insofern hat der 3. Frankfurter IT-Rechtstag möglicherweise richtungsweisend neue Diskussionen eröffnet. Den Veranstaltern ist zu wünschen, dass sie auch bei der Themenauswahl künftiger Tagungen ein so gutes „Händchen" beweisen. Abs. 15
 

 

Fußnoten

* Wolfgang Kuntz ist Rechtsanwalt und Fachanwalt für IT-Recht in der Kanzlei Valentin und Kollegen in Saarbrücken, verantwortlicher Redakteur der Internetzeitschrift JurPC und für die Gemeinsame Kommission "Elektronischer Rechtsverkehr" des EDV-Gerichtstages e.V. tätig.
 

 
(online seit: 09.12.2014)
 
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
 
Zitiervorschlag: Kuntz, Wolfgang, Tagungsbericht über den 3. IT-Rechtstag in Frankfurt am Main - JurPC-Web-Dok. 0194/2014