|
| Wolfgang Kuntz* | |  | | | | Tagungsbericht über den 3. IT-Rechtstag in
Frankfurt am Main | | | JurPC Web-Dok. 194/2014, Abs. 1 - 15 | | | | |
| | | Veranstalter der Tagung am 14.11. und 15.11.2014 in den
Räumen der Rechtsanwaltskammer Frankfurt waren die Hera
Fortbildungs GmbH der Hessischen Rechtsanwaltschaft in Kooperation
mit davit - Arbeitsgemeinschaft Informationstechnologie im Deutschen
Anwaltverein (DAV) e.V., dem Deutschen EDV-Gerichtstag e.V., dem
Frankfurter Anwaltsverein und Frau Prof. Dr. Indra Spiecker, gen.
Döhmann, LL.M. (Georgetown Univ.) von der
Goethe-Universität Frankfurt am Main. | Abs. 1 | | Die Moderation und Begrüßung am ersten
Veranstaltungstag übernahm Dr. Thomas Lapp, Rechtsanwalt und
Mediator aus Frankfurt, Vorstandsmitglied des Deutschen
EDV-Gerichtstages e.V., der im Geschäftsführenden
Ausschuss der „davit" aktiv ist. Er wies darauf hin, dass der
3. Frankfurter IT-Rechtstag sich schwerpunktmäßig mit der
Fahrzeugtechnik und den rechtlichen Folgerungen aus den hier
entstehenden technischen Entwicklungen befasse. Es sei ein
besonderes Anliegen der Frankfurter IT-Rechtstage, die Bereiche
Technik und Recht gleichermaßen zu Wort kommen zu lassen.
Dementsprechend gebe es auch bei der 3. Tagung sowohl rein
technische als auch juristische Vorträge. | Abs. 2 | | Der erste Vortrag von Prof. Dr. rer. nat. Hermann Winner
hatte einen technischen Fokus und beleuchtete vor allem die
Fortschritte und Entwicklungen in der Fahrzeugtechnik. Ausgangspunkt
der Darstellung Winners waren die bereits in neueren Fahrzeugen
umgesetzten Weiterentwicklungen der Fahrerassistenz, wie z.B.
Fahrstabilitätskontrolle (ESC), Abstandsregelungstempomat
(ACC), Spurhalteunterstützung und Fahrstreifenwechselassistent.
Anschließend kam Winner auf die Entwicklung von der
Fahrerassistenz hin zum autonomen Fahren zu sprechen. Er
erläuterte dabei die Unterschiede von teilautomatisiertem und
vollautomatisiertem Fahren. Danach zeigte er die verschiedenen
technisch, organisatorisch und gesetzlich zu regelnden Merkmale des
autonomen Fahrens auf. Es wurden hierbei Fragen erörtert wie
z.B. „wie schnell darf das Fahrzeug autonom fahren?",
„wo darf das Fahrzeug autonom fahren?" und „wer teilt
mit dem autonom fahrenden Fahrzeug den Verkehrsraum?". Es gebe eine
Fülle von Fragen und Problemen, die im Rahmen des autonomen
Fahrens zu bedenken und zu regeln seien. Den verschiedenen
Ausprägungen des autonomen Fahrens sei gemeinsam, dass statt
eines Menschen ein maschinelles Fahrzeugführungssystem das
Fahrzeug führe. Schließlich kam Winner auf rechtliche
Implikationen des autonomen Fahrens zu sprechen. Konkret ging es
dabei um die Verantwortlichkeitslücke bei Fehlern der Fahrt, um
das Problem der Risikoverteilung (Einführungs- und
Schadensrisiko) und das Problem des Umgangs mit den Daten des
autonom fahrenden Fahrzeugs. | Abs. 3 | | Der nachfolgende Vortrag von Rechtsanwalt und Fachanwalt
für IT-Recht Christian Kast aus München behandelte
„Elektromobilität und Datenschutz", ein Thema, das
bislang in der juristischen Literatur noch kaum untersucht worden
ist. Kast ging zunächst auf die Ausgangssituation in
Deutschland ein. Der Entwurf des Elektromobilitätsgesetzes sei
erst am 24.09.2014 vom Bundeskabinett verabschiedet worden und solle
am 01.02.2015 in Kraft treten. Jedoch seien in dem neuen Gesetz
keine Regelungen zum Datenschutz im Zusammenhang mit der
Elektromobilität enthalten. Datenschutzfragen seien aber
insbesondere beim Ladevorgang und bei der Ermittlung des Verbrauchs
an Energie äußerst relevant. Dies gelte in gleichem
Maße für Ladezustand, Lebensdauer und Belastungen der
eingesetzten Batterien. Im sogenannten regulatorischen Bereich gebe
es im Energiewirtschaftsgesetz von 2011 einige Regelungen zum
Datenschutz, z.B. §§ 21, 21g, 21h EnWG. Gesetzlich nicht
geregelt sei bislang die freie Nutzbarkeit beliebiger Ladestellen,
also das Ladestellen-Roaming. Hier ergebe sich eine Chance,
Regelungen zum Datenschutz noch in die Beratungen und
Erörterungen einfließen zu lassen. Kast vertrat die
Ansicht, dass bei der Ausgestaltung individueller
Datenschutzregelungen insbesondere § 21g EnWG zu beachten sei.
Erforderlich seien seiner Ansicht nach sowohl eine dem § 4a
BDSG entsprechende Einwilligung des Nutzers, als auch nach §
21g Abs. 1 EnWG die Erforderlichkeit der Datenerhebung,
-verarbeitung und –nutzung. Kast wies die im Auditorium
anwesenden Anwälte danach auf ein sich eröffnendes
Betätigungsfeld bei der Beratung von Unternehmen und
Arbeitnehmern im Bereich der Elektromobilität am Arbeitsplatz
hin. Dies betreffe Fallgestaltungen, in denen Unternehmen dem
Arbeitnehmer ein Elektrofahrzeug zur Verfügung stellen und
Fälle, in denen der Arbeitnehmer ein privates Elektrofahrzeug
an Ladestellen des Unternehmens auflädt. | Abs. 4 | | Im Anschluss sprach Frau Prof. Dr. Indra Spiecker, gen.
Döhmann von der Goethe-Universität Frankfurt zum Thema
„Telematik im Auto als Herausforderung für das
Datenschutzrecht". Ausgangspunkt des Vortrages waren die
Überlegungen von Versicherungen, Versicherungstarife in
Abhängigkeit vom Fahrverhalten des Fahrers gestaffelt
anzubieten und hierzu die Daten der Fahrzeugsensoren zu nutzen.
Konkret solle über eine Telematikbox im Fahrzeug ca. alle 20
Sekunden eine Datenübermittlung an den Verarbeiter
bezüglich des Fahrverhaltens stattfinden. Hier würden
beispielsweise Daten wie Geschwindigkeit, Tag- oder Nachtfahrt,
Brems- und Beschleunigungsverhalten, Stadtfahrt oder
Überlandfahrt erhoben. Aus den erhobenen Informationen
könne die Versicherung einen sog. Scorewert errechnen oder
errechnen lassen, der schließlich zu einem Versicherungsrabatt
im Folgejahr führen könne. Dies werde von den
Versicherungen zwar nur auf der Grundlage freiwilliger Angaben des
Versicherungsnehmers durchgeführt, führe aber im
Umkehrschluss dazu, dass diejenigen, die sich nicht beteiligten, den
höheren Standardtarif zahlen müssten. Prof. Spiecker
behandelte anschließend die datenschutzrechtlichen
Fragestellungen. Es erfolge eine Datensammlung auf Vorrat, die
möglicherweise gegen das Prinzip der automatisierten
Einzelentscheidung (§ 6a Abs. 1 BDSG) verstoße. Ein
Grundproblem jeder wahrscheinlichkeitsbasierten und typisierenden
Aussage sei ferner ein Verstoß gegen Art. 3 Abs. 1 GG,
nämlich gegen das Gebot, Gleiches gleich und Ungleiches
ungleich zu behandeln. Prof. Spiecker kam schließlich auf die
Grundfrage zu sprechen, ob es sich überhaupt um die Erhebung
personenbezogener Daten handele. Die Frage sei: gibt es bei dem
Scoring eine bestimmbare Person oder steht nicht eher das Verfahren
der Verhaltensbeeinflussung und der Zweck der Tarifierung im
Vordergrund? Prof. Spiecker sah die Beantwortung dieser Frage als
Herausforderung für das Datenschutzrecht. Entscheidend sei
letztlich, wieviel Typisierung, wieviel Wahrscheinlichkeit und
wieviel Steuerung ohne individuelle Einflussnahme man zulassen
könne. | Abs. 5 | | Zum Abschluss des ersten Tages referierte der
IT-Sachverständige und Externe Datenschutzbeauftragte
Hans-Detlef Krebs zum Thema „Eigenleben von technischen
Regelwerken und Auswirkungen von anerkannten Regeln der Technik,
etwa ITIL". Der Vortrag beschrieb den praktischen Einsatz der
Anforderungen aus den Standardnormen ITIL (IT-Betriebsmanagement)
und ISO 2700X (IT-Sicherheitsmanagement) in Bezug auf die
Beurteilung von erbrachten Leistungen. Zunächst befasste sich
Krebs mit den Werten in der Informationstechnik und den Definitionen
von Gesetzen und Normen. Dann leitete Krebs zu den technischen
Normen über. Er besprach die grundlegenden technischen Normen
im Bereich der IT-Organisation: ISO 2700X IT-Sicherheitsmanagement,
ISO 2000X IT Betriebsmanagement, ITIL (IT-Betriebsmanagement) und
BSI-Grundschutz. Am Beispiel der ISO 27000 erläuterte er die
Struktur sowie Aufbau und Methodik der Normen. Anschließend
besprach Krebs die IT-Infrastruktur nach ITIL. Zum Abschluss
erwähnte Krebs ein Phänomen, das er als die
„Normen-Trickkiste" bezeichnete. Bei Normen und
Zertifizierungen z.B. nach ISO ließen Unternehmen häufig
nur einen bestimmten Teilbereich des Unternehmens zertifizieren, um
danach mit dem Zertifikat insgesamt zu werben. Wichtig sei jedoch
für den Experten der sog. Scope des Zertifikats, d.h. gerade
der Bereich, für den die Zertifizierung gilt. Dieser sei in der
Beschreibung des Zertifikats vermerkt. Bei einem Zertifikat für
die Infrastruktur eines Unternehmens fehlten dementsprechend die
wichtigen Bereiche der Zutrittskontrolle, des Change Managements und
der Sicherheit des Personals. | Abs. 6 | | Den zweiten Tag der Veranstaltung moderierte der Mainzer
Rechtsanwalt Stephan Schmidt, Fachanwalt für IT-Recht, der
zudem als Gebietsleiter Midwest + Lux für die „davit"
tätig ist. | Abs. 7 | | Dr. Thomas Lapp referierte zunächst zu
„Scoring, Auskunft, BGH-Urteil zu SCHUFA - Konsequenzen
für die Beratung". Mandanten würden in diesem Bereich mit
einer Reihe von indirekten Anzeichen für ein Problem
vorstellig. Derartige Anzeichen seien beispielsweise die
Gewährung eines Versandes im Versandhandel nur gegen Vorkasse,
ein Ansteigen der Kreditzinsen, die Verweigerung von Konto oder
Kreditkarte. Diese Anzeichen könnten auf ein negatives Scoring
hindeuten und es stelle sich dann die Frage, welche Schritte dagegen
eingeleitet werden können, wenn ein offensichtlicher Grund
für die negative Bewertung nicht ersichtlich sei. Dr. Lapp wies
auf einen Fall hin, in welchem einem Arbeitnehmer, der sich
beruflich drei Jahre lang im Ausland (Polen) aufgehalten habe, nach
der Rückkehr nach Deutschland plötzlich keinen Kredit mehr
erhalten habe, weil seine Scoring-Daten überaltert und nicht
mehr aktuell waren. Für die SCHUFA selbst sei diese
Verfahrensweise selbstverständlich, da der bestimmte Teil der
Kredithistorie in diesem Fall fehle. Dr. Lapp untersuchte
zunächst die Rechtsgrundlage des Scorings, § 28b Nr. 1
BDSG. Dabei müssten die Daten zunächst für die
Berechnung erheblich sein. Zusätzlich müssten die
Voraussetzungen für eine Übermittlung der Daten nach
§§ 28, 29 BDSG vorliegen. Nach § 34 Abs. 2 und 4 BDSG
gebe es für den Betroffenen Auskunftsansprüche unter
bestimmten Voraussetzungen: die Auskunft müsse verlangt werden,
das Verlangen müsse konkret sein und könne formfrei
geltend gemacht werden. Auch Auskünfte über
Wahrscheinlichkeitswerte könnten verlangt werden. Gleiches
gelte für Daten, sofern es sich um personenbezogene Einzeldaten
handelt. Ein Anspruch auf Korrektur der Daten bestehe, wenn die
Daten unrichtig seien, § 35 Abs. 1 S. 1 BDSG. Dr. Lapp kam
danach auf den vom BGH entschiedenen SCHUFA-Fall zu sprechen. Der
BGH (Urteil vom 28.01.2014, VI ZR 156/13 = JurPC Web-Dok. 50/2014,
http://www.jurpc.de/jurpc/show?id=20140050) habe einen
Auskunftsanspruch über die Gewichtung der in die
Wahrscheinlichkeitsberechnung eingeflossenen Faktoren verneint,
ebenso habe der BGH die Mitteilung der Scoreformel verweigert. Diese
Entscheidung sei in der Literatur vehement kritisiert worden. Dr.
Lapp referierte abschließend über das dem Scoring
zugrundeliegende Schuldverhältnis und zog eine Parallele zu dem
Wohlwollensgrundsatz bei der Abfassung eines Arbeitszeugnisses und
plädierte in diesem Zusammenhang für eine Vergleichbarkeit
des zugrundeliegenden Schuldverhältnisses (§ 311 Abs. 3 S.
2 BGB) mit der Situation des Arbeitszeugnisses. | Abs. 8 | | Im Anschluss sprach der bekannte IT-Sachverständige
Dr. Siegfried Streitz zu dem Thema „Internetshops –
notleidende Projekte, Anforderungen an
Leistungsbeschreibungen". | Abs. 9 | | Er zeigte zunächst anhand eines bekannten Beispiels
(amazon-Shop) die nach außen sichtbaren Merkmale eines
Internetshops und erklärte, welche einzelnen IT-Bausteine
dafür intern erforderlich sind. Es handele sich hierbei um ein
komplexes ERP-System, bei dem es meist vorhandene und zu
integrierende Systeme zu beachten gebe. Meist werde mit mehreren
Datenformaten gearbeitet, man habe mehr als 20 Schnittstellen und
einen komplexen Datenfluss zu bearbeiten. Die Projektdauer beschrieb
Dr. Streitz mit weit mehr als 3 - 6 Monaten. Dr. Streitz
erläuterte anschließend die Folgerungen für die
Leistungsspezifikationen, insbesondere das Datenmodell, die
Schnittstellen und die Mitwirkungsleistungen wurden eingehend
besprochen. Schließlich zeigte Dr. Streitz exemplarisch einige
Fallstricke von Projekten auf und stellte den Zuhörern
abschließend eine Checkliste für vertragliche Regelungen
vor. | Abs. 10 | | Es folgte der Vortrag von Rechtsanwalt Matthias
Lachenmann aus Paderborn mit dem Thema „Dashcams –
Zulässigkeit und Beweiswert". Rechtsanwalt Lachenmann
führte in die Problematik der Dashcams ein, indem er
zunächst die Beweggründe für den Einsatz dieser
On-Board-Kameras verdeutlichte: präventive Verhinderung von
Schäden am Auto einerseits und Erlangung von Beweismitteln
andererseits. Er erörterte danach die rechtlichen Fragen im
Zusammenhang mit einer Videoüberwachung. Rechtsanwalt
Lachenmann besprach insbesondere die Regelungen in § 6b BDSG
und § 1 Abs. 2 Nr. 3 BDSG. Er kam zu dem Zwischenfazit, dass
Videoüberwachung bei Einhaltung bestimmter formeller Regelungen
rechtskonform möglich sei, konstatierte aber, dass diese
Anforderungen bei Dashcams nicht eingehalten würden.
Rechtsanwalt Lachenmann besprach anschließend das Urteil des
VG Ansbach, das die Unzulässigkeit von Dashcams festgestellt
hatte. Schließlich stellte er die unterschiedlichen
Sichtweisen hinsichtlich einer Verwertung der durch Dashcams
gewonnenen Beweise vor und schloss sich der Auffassung an, dass eine
Beweisverwertung derzeit im Grundsatz unzulässig sei. Zum
Abschluss des Vortrages sprach Lachenmann über Maßnahmen
seitens der Aufsichtsbehörden und über die
Möglichkeiten und Voraussetzungen für einen denkbaren
zulässigen Einsatz von Dashcams. | Abs. 11 | | Über das Thema „Das Auto als Datenkrake"
referierte Rigo Wenning, Justitiar des W3C und Vorstandsmitglied des
Deutschen EDV-Gerichtstages e.V. Einleitend wies Wenning
zunächst augenzwinkernd darauf hin, dass alles, worüber er
nun rede, unter dem Blickwinkel der Ausführungen von
Rechtsanwalt Lachenmann rechtlich eigentlich unzulässig
sei. | Abs. 12 | | Wenning erwähnte das Beispiel der Niederlande, wo
es vor einigen Jahren das Projekt gegeben habe, die Kfz-Steuer
anhand der gefahrenen Kilometer zu berechnen. Dies sollte über
eine Ausstattung aller Fahrzeuge mit GPS und der Meldung der Daten
an eine Zentrale bewerkstelligt werden. Wenning erläuterte
anhand von Schaubildern die einzelnen dabei ablaufenden Prozesse.
Das Projekt in den Niederlanden sei 2011 aufgrund von Protesten der
Bevölkerung wieder eingestellt worden. Grund seien insbesondere
die nicht gelösten datenschutzrechtlichen Probleme gewesen.
Wenning erläuterte anschließend, dass moderne Autos
über eine große Anzahl von Sensoren verfügten, die
eine Fülle von Daten sammelten, insbesondere sei dabei auch
eine Kombination von z.B. Sensorik- und Positionsdaten möglich.
Auch gebe es Überlegungen sog. Blackboxen, die man von
Flugzeugen kennt, in Autos einzubauen. Aber auch ohne diese Technik
würden heute bereits Daten erhoben und gespeichert, die es
erlauben festzustellen, wann das Auto gefahren wurde, wohin das Auto
bewegt wurde und wie lange es gefahren wurde. Es gebe ferner neue
Überlegungen ein generelles, auf HTML5 basiertes Interface in
die Autos der nächsten Generation einzubauen. Dadurch habe man
auf der einen Seite zwar die bequeme Möglichkeit, z.B. die
Sensorik des Fahrzeugs per Smartphone zu steuern, auf der anderen
Seite aber sei jedes Fahrzeug damit automatisch im Internet, mit
allen Problemen z.B. des Datenschutzes, die dies hervorrufen
könne. Wenning sprach anschließend auch über die
Sicherheit beim autonomen Fahren und u.a. über die Frage, wer
bei Softwarefehlern haftet. Zum Abschluss verwies Wenning auf die
beim 52. Verkehrsgerichtstag in Goslar aufgestellten Empfehlungen
zum Leitthema „Wem gehören die Fahrzeugdaten?". | Abs. 13 | | Den Abschluss der Veranstaltung bildete der Vortrag von
Dr. Thomas Lapp zum Thema „Volumenlizenzen, Masterversionen,
Aufspaltung, Softwarelizenzen und nicht vereinbarte Sperren". Dr.
Lapp ging von der Grundkonstellation einer
Weiterveräußerung einer bereits veräußerten
Software aus, die Gegenstand der EuGH-Entscheidung im sog.
„UsedSoft"-Fall (vgl. JurPC-Web-Dok. 112/2012 =
http://www.jurpc.de/jurpc/show?id=20120112) war. „Das Recht
auf die Verbreitung eines Softwareprogrammes ist erschöpft,
wenn der Inhaber des Urheberrechts gegen Zahlung eines Entgelts
…auch ein Recht, diese Kopie ohne zeitliche Begrenzung zu
nutzen, eingeräumt hat.", hatte das Gericht entschieden. Dr.
Lapp besprach nachfolgend Einzelheiten des Urteils und zeigte die
Bedeutung der Entscheidung auf, die letztlich eine
Verkehrsfähigkeit von Software bedeute. Nach Ansicht des EuGH
genüge das erneute Herunterladen einer Programmkopie durch den
Zweiterwerber, wenn die ursprüngliche Kopie beim Ersterwerber
gelöscht worden sei. Dr. Lapp erläuterte auch die dem
EuGH-Judiz nachfolgende BGH-Entscheidung vom 17.07.2013 (Az.: I ZR
129/08 = JurPC Web-Dok. 36/2014,
http://www.jurpc.de/jurpc/show?id=20140036, die die Voraussetzungen
der Erschöpfung festlegte. Er diskutierte die Folgerungen der
BGH-Entscheidung. EuGH und BGH erstreckten die Erschöpfung auf
die im Rahmen des Wartungsvertrages aktualisierte Programmversion,
so dass auch allgemein kostenlos erstellte Aktualisierungen
außerhalb von Wartungsverträgen erfasst seien, selbst
wenn diese identisch mit der aktuell verkauften Software seien. Dr.
Lapp meinte anschließend, dass der EuGH Volumenlizenzen
über eine Einzelplatzsoftware nicht geprüft habe. Ein
Weiterverkauf einzelner Lizenzen einer gebrauchten
Volumenlizenz-Software sei bei Beibehaltung der Zahl der in Verkehr
gebrachten Lizenzen nach Ansicht des OLG Frankfurt (Urteil vom
18.12.2012, Az.: 11 U 68/11 = JurPC Web-Dok. 29/2013,
http://www.jurpc.de/jurpc/show?id=20130029) zulässig. Dr. Lapp
sprach abschließend über Echtheitszertifikate und das
Online Spiel Half Life 2, bei dem der BGH entschieden habe, dass
sich das Erschöpfungsrecht nicht auf das Benutzerkonto beziehe,
was dazu führe, dass die Softwarehersteller nun versuchten,
ähnliche Kombinationen aus Software und Online-Komponenten zu
finden. Den Abschluss des Vortrages bildeten Hinweise auf die neue
Rechtsprechung zur Erschöpfung bei E-Learning-Programmen,
E-Books und Hörbüchern. | Abs. 14 | | Der 3. IT-Rechtstag bot durchweg fachlich ausgezeichnete
Vorträge namhafter Referenten. Der Versuch der Veranstalter,
eine interessante Mischung aus technik-bezogenen und juristischen
Vorträgen anzubieten, ist als geglückt zu bezeichnen. Man
muss kein Prophet sein, um vorauszusagen, dass das Thema Daten in
Kraftfahrzeugen eines der wichtigsten (Datenschutz-)Themen der
nächsten Jahre sein wird. Insofern hat der 3. Frankfurter
IT-Rechtstag möglicherweise richtungsweisend neue Diskussionen
eröffnet. Den Veranstaltern ist zu wünschen, dass sie auch
bei der Themenauswahl künftiger Tagungen ein so gutes
„Händchen" beweisen. | Abs. 15 |
| | |
| | | | |
| | | | |
| | | | | Fußnoten | | | * Wolfgang
Kuntz ist Rechtsanwalt und Fachanwalt für IT-Recht in der Kanzlei Valentin und Kollegen in Saarbrücken, verantwortlicher Redakteur der Internetzeitschrift JurPC und für die Gemeinsame Kommission "Elektronischer Rechtsverkehr" des EDV-Gerichtstages e.V. tätig. | | | | | |
| | | | |
| | | | |
| | | (online seit:
09.12.2014) | | | |
| | | Zitiervorschlag: Autor, Titel, JurPC Web-Dok,
Abs. | | | |
| | |
