|
Zurück zur Übersicht
31.08.2022Fachbeitrag

Update Datenschutz Nr. 114

Das neue EU-Digitalrecht und seine Umsetzung in Deutschland

A. Hintergründe

Mit der DSGVO hat die Europäische Union 2018 ihren ersten großen Aufschlag zur Digitalwirtschaft gemacht. Während diese vor allem auf den Schutz des Individuums und personenbezogener Daten abzielt, widmet sich die EU nun auch den Rechten an nicht-personenbezogenen Daten und der wettbewerbsrechtlichen Dimension des Einflusses großer Digital-Unternehmen wie Google, Meta, Amazon und Co.

Daneben gilt in Deutschland seit dem Inkrafttreten der umfassenden Reform zum digitalen Kaufrecht am 1. Januar 2022 das neue Verbraucherrecht für Digitale Inhalte und Dienstleistungen sowie Waren mit digitalen Elementen.

Für Unternehmen, die in digitalen Märkten tätig sind oder die digitale Produkte anbieten, bedeuten diese Reformen umfassenden Handlungsbedarf. Dieser Artikel gibt einen Überblick über das neue Digitalrecht in Deutschland und der EU sowie Handlungsempfehlungen zu den jeweiligen Gesetzen bzw. Gesetzesentwürfen.

B. Änderungen im deutschen Recht

Auf nationaler Ebene wurden am 25. Juni 2021 das Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen und das Gesetz zur Regelung des Verkaufes von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrages verabschiedet, die am 1. Januar 2022 in Kraft getreten sind. Die Gesetze dienen der Umsetzung der EU Richtlinien 2019/770 und 2019/771. Das neue Verbraucherrecht findet im B2B-Bereich grundsätzlich keine Anwendung, kann allerdings gegebenenfalls Ausstrahlungswirkung entfalten.

Negative Beschaffenheitsabweichungen sind sowohl bei Verträgen über Digitale Inhalte und Dienstleistungen als auch über Waren mit digitalen Elementen nach § 476 Abs. 1 S. 2 BGB bzw. § 327h BGB nur möglich, wenn der Verbraucher hierüber

  • eigens in Kenntnis gesetzt wurde und
  • die Abweichung ausdrücklich und gesondert vereinbart wurde.

Mit der Umsetzung der Verbraucherrechte-Richtlinie und dem Gesetz für faire Verbraucherverträge sind noch einige weitere Änderungen in Kraft getreten, die für Unternehmen zu Handlungsbedarf führen können. Bei Nicht-Beachtung entstehen Abmahnrisiken, außerdem setzen sich Unternehmen unter Umständen erheblichen vertraglichen Haftungsrisiken aus.

I. Verträge über Digitale Inhalte und Dienstleistungen

Mit dem Vertrag über Digitale Inhalte und Dienstleistungen (DID) (§§ 327 ff. BGB) wurde ein neuer Vertragstyp ins BGB eingeführt, der die Bereitstellung von DID durch einen Unternehmer an einen Verbraucher zum Gegenstand hat (B2C). Dieser Vertragstyp findet stets Anwendung, wenn die Leistung eines Kauf- oder Dienstvertrages in digitaler Form bereitgestellt wird.

Während digitale Inhalte beispielsweise Computerprogramme, Apps, Video- & Audiodateien, digitale Spiele oder eBooks umfassen, gehören zu den digitalen Dienstleistungen die Erstellung, Verarbeitung oder Speicherung von Daten in digitaler Form bzw. die Ermöglichung des Zugriffs auf diese (z. B. Software as a Service – SaaS –, Spiele, die in einer Cloud-Computing-Umgebung und in sozialen Medien angeboten werden, Streamingdienste, Social-Media-Mitgliedschaften, Messenger-Dienste, Webinare).

Anders als bisher gelten die Verbraucherschutzvorschriften nach § 312 Abs. 1a BGB bereits dann, wenn der Verbraucher als Gegenleistung personenbezogene Daten bereitstellt oder sich hierzu verpflichtet und dies nicht lediglich zur Erfüllung von Leistungspflichten des Unternehmers erfolgt, selbst wenn er keine Vergütung in Geld schuldet.

Aus den §§ 327 ff. BGB ergeben sich im Vergleich zum allgemeinen Vertragsrecht besondere Pflichten für Unternehmen. Zudem findet auf DID gemäß § 327e BGB ein besonderer Mängelbegriff Anwendung, aus dem sich ebenfalls weiterer Handlungsbedarf ergibt.

Checkliste für Anbieter von DID

  • Die Bereitstellung von DID muss unverzüglich nach Vertragsschluss erfolgen, sofern nichts Abweichendes vereinbart wurde, also ohne schuldhaftes Zögern. Ansonsten steht dem Verbraucher nach erfolgloser Aufforderung ein Kündigungsrecht nach § 327c BGB zu. In der Regel erfolgt die Bereitstellung sofort. Die Bereitstellung erfolgt indem der Verbraucher Zugriff auf den digitalen Inhalt selbst oder die Mittel zum Zugriff oder Download erhält.
  • Bereitstellung der bei Vertragsschluss neuesten verfügbaren Version oder ausdrückliche abweichende Vereinbarung.
  • Bei zahlungspflichtigen DID: Information des Verbrauchers darüber, dass das Widerrufsrecht durch Beginn der Vertragserfüllung erlischt und Einholung der ausdrücklichen Zustimmung in die Vertragserfüllung (bei nicht-zahlungspflichtigen, nicht-körperlich bereitgestellten DID erlischt das Widerrufsrecht automatisch bei Beginn der Vertragserfüllung, § 356 Abs. 5 BGB).
  • Die Qualität des Produktes darf nicht von vorher bereitgestellten Testversionen abweichen.
  • Soll für Testfunktionen später keine Leistungspflicht bestehen, ist hierauf vorher ausdrücklich hinzuweisen.
  • Wird die Integration eines Produktes durchgeführt, muss diese ebenfalls sachgemäß erfolgen (§ 327e Abs. 4 BGB).
  • Bereitstellung von Aktualisierungen (Updates, welche die vertragsmäßige Beschaffenheit/Sicherheit der Leistung herstellen, aber nicht Upgrades): Bei Verträgen über die dauerhafte Bereitstellung erfolgt dies im Bereitstellungszeitraum der Hauptleistung, ansonsten gilt: Für den Zeitraum, den Verbraucher aufgrund der Art und des Zwecks des digitalen Produkts und unter Berücksichtigung der Umstände und der Art des Vertrags erwarten können (§ 327f BGB).
  • Mangelfreiheit ist für den oben genannten Zeitraum zu gewährleisten.
  • Eigenschaften der DID vertraglich klar definieren, um Mangelfreiheit trotz Beweislastumkehrung für ein Jahr (§ 327k BGB) einfach nachweisen zu können.
  • Aktualisierungszeiträume vorab vertraglich klar definieren. Ein pauschaler Aktualisierungsausschluss in AGB ist aber unzulässig.
  • Bei online abgeschlossenen Dauerschuldverhältnisse wie Streamingdiensten oder Software-Abos: Bereitstellung eines Kündigungsbuttons (z. B. „Verträge hier kündigen“) mit folgenden Eigenschaften: a) Genauso einfach zu bedienen wie der Kaufen-Button (§ 312k Abs. 2 BGB), b) Weiterleitung zu einer Bestätigungsseite, ggf. Eingabe weiterer erforderlicher Daten und Bestätigung durch den Kunden, c) Möglichkeit, die Kündigungserklärung zu speichern, d) Versand einer Bestätigung in Textform (etwa per E-Mail).
  • Bei dauerhafter Bereitstellung von DID: Vertragliche Definition triftiger Gründe, die eine Leistungsänderung rechtfertigen (ein triftiger Grund liegt vor, wenn Änderungen erforderlich sind, um das digitale Produkt an eine neue technische Umgebung oder erhöhte Nutzerzahlen anzupassen sowie ggf. bei anderen betriebstechnischen Gründen);
  • Änderung dauerhaft bereitgestellter DID ist nach § 327r BGB nur möglich, wenn: a) ein vertraglich vorgesehener triftiger Grund vorliegt, b) dem Verbraucher durch die Änderung keine zusätzlichen Kosten entstehen und c) der Verbraucher klar und verständlich über die Änderung informiert wird. Ggf. steht dem Verbraucher dann ein außerordentliches Kündigungsrecht zu, jedoch in keinem Fall bei unerheblichen Änderungen oder weiterhin bestehender Zugriffsmöglichkeit auf das unveränderte Produkt.
  • Für Betreiber von Online-Marktplätzen: Information zu den Hauptparametern von Produkt-Rankings und deren Gewichtung (§ 312l BGB i.V.m. Art. 246d EGBGB).
II. Waren mit digitalen Elementen

Für Waren mit digitalen Elementen gelten hingegen die §§ 475a ff. BGB, es ist also das Verbrauchsgüterkaufrecht mit einigen Modifikationen anwendbar. Waren mit digitalen Elementen sind:

  • Sachen im Sinne des § 433 BGB,
  • die mit DID-Elementen verbunden sind bzw. DID sind in diesen enthalten,
  • sodass sie ihre Funktionen ohne diese DID nicht erfüllen können (bspw. „smarte“ Haushaltsgeräte, Smartphones, Tablets, Smartwatches oder Fahrzeuge),
  • keine Abtrennbarkeit der DID,
    Indizien: DID ist für die Funktionen der Kaufsache erforderlich oder wird unter demselben Kaufvertrag zur Verfügung gestellt
  • nicht lediglich Datenträger im Sinne des § 327 V BGB.
Checkliste für Waren mit digitalen Elementen
  • Prüfen, ob es sich tatsächlich um Waren mit digitalen Elementen handelt oder aber um abtrennbare DID.
  • Mangelfreie Bereitstellung der Sache. Dabei beziehen sich Beschaffenheitsvereinbarungen auch auf Art, Menge, Qualität, Funktionalität, Kompatibilität, Interoperabilität und sonstige Merkmale der Sache, für die die Parteien Anforderungen vereinbart haben. Diese Merkmale ggf. vertraglich definieren.
  • Bereitstellung von Aktualisierungen und Gewährleistung von Mangelfreiheit wie bei DID (s. o.). Bei mangelhafter Aktualisierung kann der Käufer selbst dann Gewährleistungsrechte geltend machen, wenn die Sache bei Gefahrübergang mangelfrei war.
  • Information über Verfügbarkeit von Aktualisierungen und mögliche Folgen einer unterlassenen Aktualisierung (Kenntnisnahme zu Nachweiszwecken bestätigen lassen).
  • Eigenschaften dauerhaft bereitgestellter digitaler Elemente klar definieren, um Mangelfreiheit trotz Beweislastumkehrung für zwei Jahre (§ 477 Abs. 2 BGB) einfach nachweisen zu können.
  • Sofern der Käufer eine vereinbarte Beschaffenheit wünscht, die ausnahmsweise nicht der üblichen Beschaffenheit in § 434 Abs. 3 S. 1 Nr. 1 BGB entspricht, muss letzte individual(!)vertraglich ausdrücklich abbedungen werden (negative Beschaffenheitsvereinbarung, vgl. § 476 Abs. 1 BGB). Ein Ausschluss durch AGB reicht nicht aus.
  • Aktualisierungszeiträume vertraglich definieren, diese dürfen bei der dauerhaften Bereitstellung digitaler Elemente zwei Jahre nicht unterschreiten.
  • Verträge mit den Lieferanten der jeweiligen digitalen Elemente, anpassen, sodass sie die rechtzeitige Bereitstellung von Updates verbindlich zusichern.

C. Neuerungen im EU-Recht

I. Data Act

Anfang 2022 hat die EU-Kommission einen ersten Entwurf für den EU Data Act (Datengesetz) vorgelegt, der Teil der europäischen Datenstrategie vom Februar 2020 ist. Ziel des Data Act ist es, einen rechtlichen Rahmen für die Nutzung von und den Handel mit nicht-personenbezogenen Daten zu schaffen und so deren Wert besser auszuschöpfen. Infolgedessen können in Zukunft auch kleiner Unternehmen Zugriff auf Daten erhalten, die sich bisher ausschließlich in den Händen großer Plattformen befanden und die sie selbst nicht in einem vergleichbaren Umfang erheben könnten. Betroffen sind in erster Linie Daten, die von vernetzten Objekten in Europa erzeugt werden, etwa von intelligenten Objekten, Maschinen und Geräten.


Der Data Act könnte in Zukunft folgenden Handlungsbedarf für Digitalunternehmen mit sich bringen, wobei die Rechte von kleinen und mittelständischen Unternehmen (KMU) gegenüber großen Digitalunternehmen durch den Data Act grundsätzlich sogar gestärkt werden:

  • Datenübertragbarkeit ermöglichen, indem die einfache (kostenlose) Datenweitergabe etwa bei Wechsel eines Anbieters gewährleistet wird.
  • Bereitstellung bestimmter Daten, wenn Behörden diese bei Vorliegen einer Ausnahmesituation von großem öffentlichem Belang (bspw. Überschwemmungen, Waldbrände) verlangen (bspw. aggregierte und anonymisierte Daten von Mobilfunkbetreibern).
  • Für KMU: Vereinbarung der fairen Mustervertragsbedingungen mit großen Anbietern, die von der Kommission zur Verfügung gestellt werden.
  • Für große Unternehmen: Überarbeitung der insbesondere gegenüber KMU verwendeten Verträge und Streichung bestimmter missbräuchlicher Klauseln.
II. DMA

Der EU Digital Markets Act (DMA) richtet sich vor allem an große Plattformen. Das Europäischen Parlament hat ihn am 5. Juli 2022 zusammen mit dem Digital Services Acts (DSA) angenommen, es fehlt (Stand heute) lediglich die Zustimmung des Rats der Europäischen Union, die aber als Formsache angesehen wird. Sowohl der DMA als auch der DSA müssen auf nationaler Ebene nicht mehr umgesetzt werden (weil EU-Verordnung).

Der DMA hat einen wettbewerbsrechtlichen Hintergrund und richtet sich an sogenannte Gatekeeper, die eine gefestigte Marktposition in der EU zum Betrieb eines Plattformdienstes haben. Diese liegt in der Regel vor, wenn

  • in den vergangenen drei Geschäftsjahren im EWR einen Jahresumsatz von mindestens 7,5 Mrd. EUR erzielt wurde/der Marktwert im vergangenen Geschäftsjahr mindestens 75 Mrd. EUR betrug,
  • der zentrale Plattformdienst im vergangenen Geschäftsjahr mehr als 45 Millionen monatlich aktive Endnutzer und mehr als 10 000 jährlich aktive gewerbliche Nutzer in der EU hatte und
  • diese Kriterien in jedem der vergangenen drei Geschäftsjahre erreicht wurden (Art. 3 Abs. 2 DMA).

Damit richtet sich der DMA vor allem an die großen US-Unternehmen Google, Amazon, Meta, Apple und Microsoft. In Europa wird sich der DMA zunächst, wenn überhaupt, nur an eine Handvoll Unternehmen richten. Für die übrigen Digitalunternehmen reicht es aus, wenn sie regelmäßig überprüfen, ob sie sich den Untergrenzen des Art. 3 DMA annähern.

Der DMA sieht zudem vor, dass Messenger-Dienste Interoperabilität mit anderen Messenger-Diensten herstellen, sodass Nutzer bspw. auf WhatsApp auch Nachrichten empfangen könnten, die von einem anderen Messenger versendet wurden (Art. 7 DMA). Anbieter kleinerer Messenger-Diensten sollten, um vorbereitet zu sein, schon jetzt die technischen Schnittstellen für diese Interoperabilität schaffen.

Unter dem DMA können Geldbußen von bis zu 10 % des weltweiten Jahresumsatzes verhängt werden bzw. 20 % bei Wiederholungen, auch eine Zerschlagung von Konzernen ist im Einzelfall möglich.

III. DSA

Anders als der DMA umfasst der Digital Services Acts (DSA) grundsätzlich alle Online-Vermittler digitaler Dienste in der EU (bspw. Internetprovider, Domain-Registrierstellen, soziale Netzwerke, E-Commerce-Anbieter, Cloud- und Webhoster). Zudem gibt es besondere Regeln für Anbieter, die als „sehr groß“ eingestuft werden und Ausnahmen für sehr kleine Anbieter.

Der DSA hat in erster Linie den Schutz von Verbrauchern vor illegalen oder schädlichen Inhalten wie Fake-News, Hasspostings und illegalen oder gefälschten Dienstleistungen, aber auch Desinformation zum Gegenstand. Sanktionen auf Grundlage des DSA können immerhin bis zu 6 % des weltweiten jährlichen Umsatzes eines Unternehmens betragen, drohen bei illegalen Inhalten jedoch nur bei deren Kenntnis.

Für die betroffenen Online-Dienste ergeben sich die folgenden Handlungsanforderungen, die nach Inkrafttreten des DSA sicherlich noch durch gerichtliche Entscheidungen oder offizielle Handlungsempfehlungen konkretisiert werden.

Checkliste für den Digital Services Act

  • Einführung eines internen Verfahrens zur einfachen Meldung und Löschung illegaler Inhalte sowie zur Reaktion auf behördliche Löschungsaufforderungen („notice and take down“).
  • Entwurf einer internen Richtlinie, anhand derer schnell bestimmt werden kann, ob es sich um illegale Inhalte im Sinne des DSA handelt. Allerdings ist aktuell unklar, welche Inhalte konkret als „illegal“ einzustufen sein werden, jedenfalls Terrorpropaganda, Hate Speech oder der Verkauf gefälschter Waren werden aber voraussichtlich erfasst.
  • Dienste auf Dark Patterns untersuchen und diese gegebenenfalls entfernen. Dark Patterns liegen vor, wenn Nutzer durch gezieltes Design oder Vorschläge zu bestimmten Entscheidungen gebracht werden sollen (bspw., wenn eine bestimmte Wahlmöglichkeit optisch in den Vordergrund gedrängt wird oder Nutzer durch gezielte Pop Ups umgestimmt werden sollen). Insbesondere die Ablehnung von Cookies darf nicht mehr schwieriger sein als die Zustimmung.
  • Einfache Kündigungsmöglichkeit von Diensten (vgl. Kündigungsbutton nach § 312k BGB).
  • Profiling und personalisierte Werbung für Minderjährige technisch unterbinden.
  • Gezielte Werbung im Zusammenhang mit sensiblen Daten einstellen.
Weitere Pflichten für große Online-Plattformen (mind. 45 Millionen Nutzer in der EU):
  • Mindestens einmal im Jahr: Durchführung einer Risikominderungsanalyse im Hinblick auf die Verbreitung illegaler Inhalte, negative Auswirkungen auf Grundrechte, absichtliche Manipulation des Dienstes sowie die daraus resultierende Gefahren.
  • Bereitstellung von Empfehlungsmechanismen, die nicht auf dem Profiling zu Lasten der Nutzer beruhen.
  • Weitere Pflichten in Bezug auf die Datenweitergabe an Behörden und Umgang mit Benutzerdaten.

D. Ausblick

Gerade im Hinblick auf das EU-Recht ist mit weiteren Neuerungen und Veröffentlichungen zu rechnen. Unternehmen sollten bei starkem Wachstum regelmäßig überprüfen, ob weitere Vorgaben aus DSA und DMA anwendbar werden. Aktuell sind viele Gesetzgebungsinitiativen in der EU noch in Arbeit. Deshalb ist es für Anbieter digitaler Leistungen momentan unumgänglich, aktuelle Gesetzgebungsverfahren im Blick zu behalten und sich regelmäßig über geänderte Vorgaben zu informieren.

Unternehmen, die Waren mit digitalen Inhalten oder DID anbieten, sollten ihre aktuellen Verträge entsprechend den obigen Empfehlungen anpassen und bestenfalls anwaltlich überprüfen lassen.

Ansprechpartner

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.