20 Jahre IT-Recht: Update wichtiger Themen

Unter dem Motto „20 Jahre IT-Recht: Update wichtiger Themen“ fand am Donnerstag, den 14. Oktober 2021 von 8:30 bis 18:15 Uhr der 20. Bayerische IT-Rechtstag 2021 statt. Entgegen aller Hoffnungen des vergangenen Jahres, dass man die Jubiläumsveranstaltung zum 20. Geburtstag wieder in Präsenz feiern kann, fand die Veranstaltung zum zweiten Mal in digitaler Form statt. Doch in Anbetracht der Dichte an fachlicher Expertise der Referentinnen und Referenten und einem geballten Feuerwerk an inhaltlichem Input fragte man sich hinterher tatsächlich, ob in Präsenz überhaupt noch Kapazitäten für Gespräche und fachlichen Austausch am Rande geblieben wären. So gesehen wurde die Zeit effektiv genutzt und vom Veranstaltungs-Team angemessen auf die Corona-Situation reagiert, was vom Publikum mit einer konstant hohen Teilnehmerzahl von über 170 gedankt wurde. Zumal die Vorfreude auf das persönliche Zusammentreffen im nächsten Jahr bekanntlich ja die schönste Freude ist. So ließ sich denn auch der gut gelaunte Moderator des Tages, Herr RA Prof. Dr. Peter Bräutigam (Noerr Partnerschaftsgesellschaft mbB), München (GfA DAVIT), in seiner charmanten und lustigen Art mit einem Augenzwinkern entlocken, dass er sich nächstes Jahr „unter Androhung seiner Mitwirkung” umso mehr für eine Präsenzveranstaltung einsetzen werde.

v.l.: BAV Präsident RA Michael Dudek, Sarah Rachut, RAin Marieke Merkle, Dr. Christiane Bierekoven, Prof. Dr. Peter Bräutigam. (Alle Referenten und Mitarbeiter vor Ort befolgten die 3G Regeln und waren geimpft, genesen oder getestet)

Aufgrund des Jubiläums fielen die Begrüßungen zu Beginn dementsprechend gebührend umfangreicher aus: Herr RA Michael Dudek, Präsident des Bayerischen Anwaltverbandes, bat Herrn Staatsminister Georg Eisenreich, MdL, Bayerisches Staatsministerium der Justiz, um sein Grußwort und verwies einleitend auf dessen erst kürzlich gehaltenen Vortrag zur Juristischen Gesellschaft in München. Dieser nahm den Ball dankend auf und beglückwünschte die Veranstalter zu 20 Jahren Bayerischer IT-Rechtstag. Die Digitalisierung sei für alle Juristen heute ein zentrales Thema. Sie funktioniere jedoch nicht auf Knopfdruck, sondern es sei ein Weg. Aus Sicht der bayerischen Justiz gäbe es v.a. drei wichtige Punkte: Zum einen die digitale Infrastruktur, mithin die elektronische Kommunikation der Justiz. Die e-Akte bis 2026 soll in Bayern früher bewerkstelligt sein, an den bayerischen Landgerichten zur Hälfte bis Ende des Jahres. Auch bei den ViKo-Anlagen sei man bei Gericht mit bereits 99 Gerichten bundesweit führend. Zudem werde Teams als ViKo-Tool pilotiert und technisch ermöglicht. Zum zweiten die Aktualisierung der Prozessordnung. Die ZPO sei für die klassische Papier-Akte gemacht worden; nun hätten in Bayern die Präsidenten der bayerischen OLG’s Reformvorschläge erarbeitet und diese an das BMJV weitergegeben. Als drittes seien Innovationen und größere Projekte zu nennen: Hierzu zählten vor allem Ansätze und Austauschformate im Bereich legal tech sowie bspw. ein Blockchain-Projekt mit der Bundesnotarkammer. Er schloss mit einem Ausblick auf die neuen Verordnungs-Vorschläge der EU: Der Digital Services Act und der Digital Markets Act seien aus seiner Sicht gute Ansätze (wenn auch spät), aber insb. beim DSA bestehe noch Handlungsbedarf, da man nicht hinter das NetzDG zurückfallen dürfe.

Nach diesem Ausblick dankte Herr Dudek allen Mitarbeiterinnen und Mitarbeitern der bisherigen Bayerischen IT-Rechtstage und betonte, „Pionierleistungen von einst seien heutige unverzichtbare Grundlagen aller”. Bei der erfolgten Zusammenarbeit sehe er vor allem „vier Faktoren für die Erfolgsgeschichte”: Zum einen die MAV GmbH mit einem besonderen Dank an Frau Angela Baral und ihr Team. Ferner die Zusammenarbeit mit DAVIT sowie die Kooperation mit der Universität Passau und den Kooperationspartnern des Bayerischen IT-Rechtstages. Und natürlich mit Professor Bräutigam, „unseren Dreh- und Angelpunkt im IT-Recht” wie er betonte.

Es folgte ein kurzes Grußwort von Herrn RA Karsten U. Bartels LL.M., Vorsitzender des GfA DAVIT, Berlin. Neben überbrachten Glückwünschen dankte er für das „wieder einmal treffsichere Programm” und hob den besonderen Charakter des Bayerischen IT-Rechtstags hervor. Dieser sei zu einem Standard für die anderen IT-Rechtstage geworden und geradezu ein Aushängeschild für den DAVIT. Gleichzeitig habe er sich aber auch seinen eigenen Charakter bewahren können; als einen Ort nämlich, wo man auf Augenhöhe diskutieren und sehr einfach in Kontakt treten könne. Daher freue er sich schon vor Beginn auf das „Fest des Wiedersehens 2022”.

Anschließend gab Herr RA Prof. Jochen Schneider, CSW Rechtsanwälte, München anlässlich des Jubiläums einen Ausblick auf die aus seiner Sicht wichtigsten Punkte der näheren Zukunft, verbunden mit historischen Querverweisen aus seiner langjährigen Erfahrung: Der Begriff EDV-Recht gehöre inzwischen zu den Dinosaurier-Begriffen; man sei jetzt voll und ganz im IT-Recht oder in Anlehnung an Herrn Professor Staudenmayer „auf dem Weg zum digitalen Privatrecht”. Spreche man in der Anwaltschaft von „Digitalisierung”, müsse man aber immer auch von „Analogisierung” sprechen. Diese sei eine unverzichtbare Korrektur, wie bspw. unbestimmte Rechtsbegriffe. Themen des Ausblicks waren neben Auswirkungen der dID- und der WK-RL im Datenschutzrecht die Regelungen der DSGVO zum Ersatz des materiellen Schadens, das IT-Sicherheitsrecht sowie die Vertragsgestaltung als immer noch typische und herausfordernde Aufgabe des Anwalts. Zudem verzeichnete er einen „Niedergang des Urheberrechts” infolge der „Tom Kabinet”-Entscheidung des EuGH, die die Ansätze von „used-soft” stark eingeschränkt habe. Neben einem weiteren „EuGH-Schock” in Gestalt von „Schrems-II” und Datentreuhandmodellen am Horizont sei vor allem ein Ende des Vertragstyps in Verbraucherverträgen relevant. Die Auswirkungen auf die Erschöpfung sowie die Gestaltung einfacher und transparenter Lizenzen seien hingegen noch nicht absehbar, sodass die Herausforderungen im Vertragsrecht auch in Zukunft „gigantisch” blieben.

Den Abschluss der Begrüßungs- und Jubiläumsworte übernahm Herr Prof. Dr. Thomas Riehm, Universität Passau, Lehrstuhl für Deutsches und Europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie. Er dankte vor allem seinem „Vorgänger” Prof. Dr. Dirk Heckmann, auf den die Kooperation des Bayerischen IT-Rechtstags mit der Universität Passau sowie des Instituts für das Recht der digitalen Gesellschaft zurückgehe; sie habe eine besondere Möglichkeit der Verbindung von Wissenschaft und Praxis geschaffen. Bezüglich des Mottos „Update wichtiger Themen” stellte er fest, dass einem bisher bei den Themen des Bayerischen IT-Rechtstags nie langweilig geworden sei; vor 20 Jahren habe es viele Themen eben auch noch gar nicht gegeben. Die gute Nachricht: „Das wird auch so bleiben”. Das IT-Recht umfasse bspw. mit DSA und DMA immer mehr Rechtsbereiche. Er gab die Prognose ab, dass sich das Digitalrecht eines Tages ggf. auflösen und in viele Bereiche diffundieren werde. Bspw. könne es dem IT-Recht damit so ergehen, wie dem Europarecht: es gäbe schlichtweg kein genuin deutsches Kaufrecht mehr. Vergleichbar würden auch in seiner Vorlesung die neuen §§ 327 ff BGB zum Pflichtstoff, sodass ein Kauf mit digitalen Elementen nun nichts mehr für reine IT-Nerds sei. Er schloss mit der Frage in Anlehnung an Braegelmann: „Falls die Digitalisierung ein Prozess ist, dann ist eben auch die Frage: was steht am Ende?” Hier gab er die Vermutung ab, dass man am Ende vielleicht vergessen werde, DASS es ein Umwandlungsprozess WAR: eventuell werde man sich kaum noch erinnern können, wie es „vorher” war; so wie man auch vergessen habe, dass bzw. als man keine Schriftzeichen verwendete.

Nun war es am Moderator Herrn Professor Bräutigam, nach so viel Vorab-Input zum eigentlichen Inhalts-Teil überzuleiten: „Frei nach Franz Josef Strauß ist, bei so viel Vorschuss-Lorbeeren, die Latte so hoch, dass man locker drunter durchgehen kann. Wir wollen versuchen, nun diese Latte zu nehmen!” Neben dem bayerischen IT-Rechtstag würden auch Wikipedia und Beck-Online 20 Jahre feiern. Und in der Zwischenzeit sei ja nun wirklich jede Menge passiert: Der iPod (mini mit Click-Wheel) 2004, die Tesla-Gründung 2003, Youtube 2005, Twitter 2006, das iPhone 2007, Instagram 2010, Tiktok 2016. Man sehe: es sei ein wirklich weites Feld geworden und definitiv kein Neuland mehr!

Die Keynote zum Oberbegriff „Europa” (12. und 18. Bayerischer IT-Rechtstag) hielt Herr Prof. Dr. Gerald Spindler, Georg-August-Universität Göttingen, Lehrstuhl für Bürgerliches Recht, Handels- und Wirtschaftsrecht, Rechtsvergleichung, Multimedia- und Telekommunikationsrecht. Unter der Überschrift „Digital Single Market- Europa auf dem Weg zu einem digitalen Binnenmarkt” gab er einen fulminanten Überblick über diesen Digital Single Market und damit verbundene z.T. bereits erreichte sowie weitere aktuelle Vorhaben aus Brüssel. Wichtigste Anmerkungen zu „bereits erreicht”: Bzgl. des Grundkonzepts der DSGVO, basierend auf der Einwilligung sowie den Generalklauseln wie lit. f stelle sich ein großes Frage-zeichen, ob das noch zeitgemäß sei. Die RL über offene Daten (RL 2019/1024) sei wichtig bzgl. des Zugriffs auf staatlich gesammelte Daten. Bei der DSM-RL sei hingegen vor allem die Debatte um Upload-Filter in Erinnerung. Und auch durch die Portabilitäts-VO sei nur der Aufenthalt im Ausland für einen gewissen Zeitraum abgedeckt, weiter aber eben nicht. „Alles wohlgemeinte Vorschläge, die jedoch im Gesetzgebungsverfahren verwässert wurden”.

Wichtige Anmerkungen zu aktuellen Vorhaben: Die Vertragstypen seien in den neuen §§ 327 ff BGB nicht relevant, sie blieben es jedoch weiterhin iRv § 307 BGB. Hauptziel des DSA sei es, die Haftungsprivilegien fortzuführen und teils zu spezifizieren, etwa durch die Einführung des good-samaritan-Privilegs (vereinfacht: Plattformen nicht haftbar, wenn sie dennoch/mehr als ggf. nötig filtern). Bzgl. großer Plattformen ginge es hier letztlich um öffentliches Regulierungsrecht. Der Data Governance Act sei aus seiner Sicht etwas enttäuschend. Der DMA bestehe wesentlich aus Kartellrecht, aber teils auch darüber hinaus. Ähnlich wie beim NetzDG werde hier die Definition des „aktiven Nutzers” schwer. Beim AI-Act gehe es nicht um Haftung, sondern um Produktsicherheit. Beim EU-Data-Act schließlich habe sich die Kommission vom Immaterialgüterrecht als Dateneigentum verabschiedet und eher dem Zugang oder Schranken bzgl. Daten zugewendet. Der Schwerpunkt liege hierbei auf korrekte Daten für Trainings- und Validierungszwecke. Er schloss mit der Ermutigung, der „impact” der EU auf internationale Rechtsentwicklung sei nicht zu unterschätzen. So sei die DSGVO trotz aller Schwächen international richtungsweisend gewesen und der EuGH betone zunehmend die Grundrechte und schlage somit weitere „Pflöcke” ein

Nach einer kurzen Pause folgte der Vortrag von Frau Sarah Rachut, Geschäftsführerin des TUM Center for Digital Public Services, Wiss. Mitarbeiterin TU München, Lehrstuhl für Recht und Sicherheit der Digitalisierung zum Oberthema Datenschutz (10., 11., 12., 13., 14., 15. und 18. Bayerischer IT-Rechtstag). Unter dem Titel „Datenschutz in Zeiten der Pandemie” ging sie zunächst auf den gesellschaftlichen Diskurs rund um die teils sehr emotional aufgeladenen Möglichkeiten der Datennutzung während der Pandemie ein. Sie legte die Rechtsgrundlagen dar, nach denen bereits das allgemeine Datenschutzrecht die entsprechende Datennutzung erlaube, es jedoch einer Konkretisierung bedürfe. Auch Spezialregelungen im IfSG sowie den Corona-VO der Länder enthielten bspw. Regelungen zur Kontaktnachverfolgung, wenngleich es weiterhin Defizite bzgl. der Datennutzung für Forschungsvorhaben gäbe (Stichwort Weiterentwicklungen e-health). Insgesamt sah sie jedoch für die praktische Umsetzung keinen Anlass zur Absenkung des Datenschutzniveaus. Vielmehr gelte es im Sinne der Datensparsamkeit zu bedenken, dass man für unterschiedliche Zwecke auch jeweils nur die dafür notwendigen Daten benötige, was durch entsprechende technische Gestaltung auch ausgestaltbar sei. Ein Positivbeispiel hierfür sei die Corona-Warn-App, bei der die rechtlichen Vorgaben bereits in die Entwicklung implementiert worden seien. Allerdings gäbe es durchaus auch Unsicherheiten infolge unterschiedlicher Auslegungen der datenschutzrechtlichen Vorgaben, bspw. in Bezug auf die elektronische Patientenakte, deren 3-stufige Einführung mit einem grob-granularen Berechtigungsmanagement der BfDI mangels Freiwilligkeit für nicht datenschutzkonform erachtet hat; anders hingegen teilw. die Literatur. Oder aber bisher noch nicht ganz auflösbare Grundrechtskollisionen im Bereich
e-education und den schwierigen Fragen der normativen Ausgestaltung von Art. 6 Abs. 1 lit. e, Abs. 3 DSGVO für elektronische Hochschulprüfungen. Gerade aber auch Positivbeispiele, wie die Einführung digitaler Familienleistungen mit „ELFE“, wo die datenschutzrechtlichen Vorgaben bereits bei der Prozessgestaltung berücksichtigt worden seien, führten nach Ansicht von Frau Rachut dazu, dass man im Ergebnis das datenschutzrechtliche Niveau beibehalten und nicht etwa pauschal aussetzen sollte; nicht zuletzt deshalb, um das Vertrauen in den Rechtsstaat nicht zu verletzen.

Vor der Mittagspause folgte sodann der Vortrag von Frau Prof. Dr. Louisa Specht-Riemenschneider, Universität Bonn, Lehrstuhl für Bürgerliches Recht, Informations- und Datenrecht zum Oberthema „Data Economy” (14., 16. und 17. Bayerischer IT-Rechtstag) mit dem Titel: „Data Governance Act und europäische Datenwirtschaft”. Aufbauend auf der Kommissions-Mitteilung vom 10.01.2017 bzgl. des Aufbaus einer Europäischen Datenwirtschaft seien aktuell – statt ehemals Fragen zum möglichen Dateneigentum –vor allem Fragen des Zugangs zu Daten bspw. auch des Staates zu Daten Privater in der Diskussion. Auch in puncto „Datenübertragbarkeit” gäbe es derzeit eine Diskussion hinsichtlich deren möglicher Ausweitung. Dabei umfasse die aktuelle Europäische Datenstrategie vier Säulen, wovon drei näher beleuchtet wurden: 1. ein sektorübergreifender Governance-Rahmen für Datenzugang und Datennutzung, 2. die Stärkung der Handlungskompetenz des Einzelnen, Investitionen in Kompetenzen und in KMU sowie 3. gemeinsame europäische Datenräume in strategischen Sektoren und Bereichen von öffentlichem Interesse. In Bezug auf 3. mache der Data Governance Act (DGA) zukünftig auf horizontaler Ebene Vorgaben, neben weiteren sektorspezifische Regelungen wie etwa der baldige Entwurf zum „european health data space”. Bzgl. 1. und 2. konstatierte Frau Professorin Specht-Riemenschneider, dass bereits die DSGVO dem freien Datenfluss dienen sollte. Allerdings sei hier in der Praxis de facto ein Scheitern der Regelungen zu beobachten: Zum einen seien die Vorgaben nur formal angeglichen, da die Durchsetzung durch die jeweiligen Behörden der Mitgliedsländer immer noch sehr divergierten (Stichwort Irland) und es bisher nur wenige Verfahren gegen die Großen gegeben habe: „Da müssen wir politisch ran!”. Im Unterscheid zu ihrer Vorrednerin sehe sie gerade bei Art. 9 Abs. 2 lit. h bis j DSGVO noch immer sehr große Auslegungsunsicherheiten; auch aufgrund mangelnder Guidelines der Aufsichtsbehörden. Zum anderen knüpfte sie an Herrn Professor Spindler an und „outete sich”, dass sie auch als Vollprofi bei der privaten Internetnutzung keine Datenschutzerklärung gelesen habe. Das System der Einwilligungen würde hier de facto nicht funktionieren, da man eh gezwungen sei, seine Einwilligung abzugeben. Hier solle nun in Zukunft der DGA mit ansetzen mit dem Ziel der Erhöhung der Verfügbarkeit von Daten zur Datennutzung sowie der Erhöhung der Kontrolle über die Nutzung der eigenen Daten. Ein Mittel sei dabei die Ermöglichung der Nutzung von Daten mithilfe eines Datenmittlers. Kapitel 3 des DGA-E, COM/2020/767 final, enthalte diesbzgl. Vorgaben. Allerdings sei ein „One-Size-fits-all-Ansatz” nicht für sämtliche Datenmittler gleichermaßen zur Zielerreichung geeignet. Denn neben der Regulierung zukünftiger big-player wie skywise von Airbus, bedürfe es genügend Anreize für die Etablierung von sog. PIMS (Personal Information Management Systems). Nur durch eine verbesserte Kontrolle von Daten durch PIMS könne in der Praxis das derzeitige de facto nicht-Funktionieren des Datenschutzrechts überwunden werden. „Doch derzeit hauen wir mit dem Hammer auf PIMS, obwohl wir sie gießen müssten.”

Nach dem Mittagessen ging es frisch gestärkt an den nächsten großen Themenblock: das Vertragsrecht, ein wahrer Dauerbrenner bei den Bayerischen IT-Rechtstagen (1., 2., 5., 10., 14., 16. und 18. Bayerischer IT-Rechtstag). Für dieses Thema habe man mit Frau  RAin Isabell Conrad, CSW Rechtsanwälte wieder „eine der ausgewiesensten Expertinnen auch im IT-Vertragsrecht” gewinnen können. Unter der Überschrift „Agile Softwareentwicklung – Vertraglicher Anspruch und Wirklichkeit” zeichnete die Referentin als erstes aus verschiedenen Perspektiven die Historie des Themenkomplexes nach: Zunächst, wie das Thema auf den Bayerischen IT-Rechtstagen im Laufe der Zeit aufgegriffen wurde. Danach wie sich die agilen Methoden zur Softwareentwicklung in der Praxis weiterentwickelt hätten: Bspw. „DevOps” auf Basis von Scrum, das sich vor allem im Microsoft-Umfeld etabliert habe oder aber „Scaled Agile Framework (SAFe)” mit der nun neuesten Version 5.1 von Februar 2021. Neben dem Begriff des EDV-Rechts oder der Problematisierung von § 650 BGB gehörten inzwischen wohl auch die Wasserfallmethode sowie das V-Modell zu den Dinosauriern des IT-Rechts. Zu Beginn sei auch zu unterstreichen, dass eine Vertragstypisierung nicht anhand des Bezahlmodells erfolgen sollte, da natürlich auch ein Werkvertrag ohne Fixpreis denkbar sei. Nach einer kurzen Einführung zu möglichen Interessenkonflikten bei DevOps (Developer liefern gerne neue Versionen aus vs. operations-Team, für das jedes neue System auch neue Ausfallrisiken bedeute) und einer Vorstellung der Weiterentwicklung des agilen Manifests von 2001 mit den SAFe-Prinzipien folgte ein ausführlicher Überblick zu Entwicklungen in der Rechtsprechung hinsichtlich (agiler) Softwareentwicklung. Insbesondere ging Frau Conrad auf die LS des Urteils des OLG Düsseldorf, Urt. v. 14.03.2014 – 22 U 134/13 ein, das hinsichtlich der individuellen Programmierleistung als Vertragstyp einen Werkvertrag angenommen hatte und zudem einen Rücktritt vor Abnahme aus § 323 BGB, da vor der Abnahme kein Mangel bestünde. Interessant war auch der Hinweis auf das OLG Frankfurt, Urt. v. 17.08.2017 – 5 U 152/16, demzufolge die fehlende Dokumentation bei vorzeitigem Abbruch
keinen Mangel darstelle. Vielmehr ergäbe sich die Fälligkeit der Dokumentation erst dann, wenn die Systemarchitektur sowie die verwendeten Komponenten feststünden. Es folgten Praxistipps für bestimmte Anwendungsszenarien agiler Softwareentwicklung wie bspw. den zu wählenden Vertragstyp. Hierbei betonte die Referentin, dass im Falle der Agilität über Unternehmensgrenzen hinweg und falls der Kunde selbst ein IT-Unternehmen ist, der die Methoden vorgibt und steuert, ein guter Dienstvertrag „hier besser als ein schlechter Werkvertrag” sei. Schwieriger gestalte es sich hingegen, wenn der Kunde in der agilen Methode unerfahren ist. Diesbzgl. schilderte sie einige (bekannte) Projektrisiken samt möglicher Lösungen. Zudem gab sie dem Auditorium, das -wie schon den ganzen Tag- eifrig im Chat mitdiskutierte, einige aus ihrer Sicht sehr hilfreiche Vertragsmuster mit. Diesbzgl. verweist der Verfasser auf die sehr nützliche, ausführliche Quellen-Sammlung in den Folien der Referentin.

Im Anschluss daran gab Frau RAin Dr. Christiane Bierekoven, Dr. Ganteführer, Marquardt & Partner mbB, einen umfangreichen Überblick zum eCommerce (10. und 13. Bayerischer IT-Rechtstag) unter der Überschrift: „Neues zum eCommerce-Recht, insbesondere die nationale Umsetzung der Warenkaufrichtlinie”. Zu Beginn zeigte sie den Rechtsrahmen auf sowie die rechtlichen Entwicklungen von 2011 – 2021 auf Unionsebene sowie die jeweilige nationale Umsetzung. Der Fokus lag also auf der WK-RL, der dID-RL, der Omnibus-RL sowie dem Gesetz für faire Verbraucherverträge. Es folgte ein großes Update zur aktuellen (ausgewählten) Rechtsprechung des eCommerce-Rechts in den Bereichen der Pflichten im elektronischen Geschäftsverkehr gem. § 312j BGB, dem Fernabsatzrecht nach §§ 312b-312h BGB, dem Widerrufsrecht sowie der PAngV. Im Bereich der gesetzlichen Neuregelungen erklärte sie die Systematik des Erlöschens der Widerrufsrechte ab 28.05.2022 zu unterschiedlichen Zeitpunkten und ging auf die Auswirkungen des neu eingeführten Rechtsbehelfs der Vertragsbeendigung ein, in dessen Folge der Verbraucher zur Nutzungseinstellung aber nicht zum Wertersatz verpflichtet wird, § 357a Abs. 3 BGB, § 357 Abs. 8 BGB i.V.m. § 327p BGB. Interessant war auch der Hinweis auf die Anpassung der Informationspflichten nach Art. 246a § 1 Abs. 1 S. 1 EGBGB. Dessen neuer Nr. 6 verlangt bspw. einen Hinweis, falls der Preis auf Grundlage einer automatisierten Entscheidungsfindung personalisiert wurde („personalized pricing”). Hauptteil des Vortrags war anschließend die schwierige Abgrenzung der Regelungsbereiche von WK-RL und dID-RL: (vereinfacht) aufgeteilt in §§ 327 ff BGB für digitale Produkte, §§ 475 ff BGB insgesamt für Waren mit digitalen Elementen sowie die Gruppe der Waren mit digitalen Produkten, die auch ohne den digitalen Zusatz ihre Funktion erfüllen, § 475a Abs. 2 BGB. Bei Letzteren finden §§ 433, 475 BGB in Bezug auf die Ware und die §§ 327 ff BGB bzgl. des digitalen Zusatzes Anwendung (bspw. KFZ mit Navigationssystem). Es folgte eine genaue Auflistung der Neuregelungen durch die WK-RL im allgemeinen Kaufrecht, insbesondere im Verbrauchsgüterkaufrecht, deren genaue Wiedergabe den hiesigen Rahmen sprenge würde (ab Folie 36). Für die Praxis am Relevantesten hielt Frau Dr. Bierekoven u.a. den zukünftigen Gleichlauf von subjektiven und objektiven Anforderungen an die Vertragsgemäßheit, demzufolge auch bei Erfüllung (subjektiver) vertraglicher Anforderungen ein Mangel vorliegen könne. Nach diesem „umfassenden, aber so geballt wie möglich gehaltenen Überblick über die Schuldrechtsreform für digitale Produkte”, wagte der Moderator amüsiert die Vermutung, dass man „dann wohl bald neue Beck-Handbücher zu den erforderlichen quasi-negativen Beschaffenheitsvereinbarungen sehen” werde. Dies müssten jedoch „auf einem extra-Blatt, ohne AGB zu sehen sein“ da § 476 Abs. 1 S. 2 Nr. 2 BGB eine abweichende Vereinbarung von diesem Gleichlauf nicht in den bestehenden AGB erlaube.

Nach einer weiteren kurzen Pause folgte der Vortrag von Frau RAin Prof. Dr. Sibylle Gierschmann, Gierschmann Legal zum Themenblock Cloud Computing/Datenschutz (8., 10., 12., 16. und 18. Bayerischer IT-Rechtstag). Unter dem Titel „Datenschutz: Ein Update – insbesondere unter Berücksichtigung von Cloud Computing” ging sie vorab zur Wiederholung auf das omnipräsente „Schrems-II”-Urteil des EuGH sowie die darauffolgenden EDSA-Empfehlungen 01/2020 und die neue SCC’s der Kommission für internationale Datentransfers vom 04.06.2021, insb. Klausel 14 und 15 ein. In der Folge gehe es derzeit im Datenschutzrecht nicht ohne Pragmatismus und Humor, schließlich sei Nichts-Tun auch keine Option. Dies komme auch z.T. in der uneinheitlichen Bewertung der Datenschutzbehörden von MS Office 365 zum Ausdruck. Wenn demnach ein Ausweichen auf Alternativprodukte nicht möglich sei, bedürfe es in jedem Fall zumindest eines soliden „Vendor Assessments“. Die Abwägung der möglichen Risiken für die Betroffenen sowie ergänzende Maßnahmen müssten genau dokumentiert werden. Weitere Schritte zum Transfer Impact Assessment nach EDSA 01/2020 seien jedoch ebenfalls von entscheidender Bedeutung: Zum einen die sorgfältige Diensteanbieter-Auswahl, wozu sie die Dokumente EDSA 07/2020 (Rn. 97) und EDSA Opinion 16/2021 (Belgien) empfahl. Ferner die Klärung der Rollenverteilung der Parteien (Abgrenzung AV/ GV / V). Grundlegend dafür sei zudem ein gründliches „Fact Finding” hinsichtlich der Vertragskette und bzgl. möglicher Drittlandtransfers. Bspw. verlangten die EDSA Guidelines 07/2020 zu Subprocessors in Rn. 152: „Incl. per each their locations, what they will be doing and proof of safeguards“. Vergleichbar ebenfalls der SCC Annex III. Im Rahmen der Vertragsprüfung unterstrich sie die Wichtigkeit einer Rangfolgeklausel bei größeren Vertragswerken. Kern des Vortrags war jedoch sicherlich ihre Erarbeitung eines risikobasierten Ansatzes in Bezug auf die „Supplementary Measures nach EDSA Annex 2”. Hier sehe der EDSA derzeit, soweit ein Zugriff auf Klardaten erforderlich sei (bei SaaS regelmäßig), technisch keine Lösungsmöglichkeit. Sie plädiere jedoch dafür, dass es doch letztlich um die Bewertung des faktischen Risikos für die Betroffenen gehen müsse. Demnach sollte abgewogen werden, welche Daten einem Behördenzugriff ausgesetzt wären, wie wahrscheinlich dieser Behördenzugriff überhaupt sei und wer mit welchen Folgerisiken im Falle des Zugriffs konfrontiert sei. In diese Richtung gehe auch das aktuelle Urteil des französischen Conseil d‘Etat, Urteil v. 12.03.2021 – 450163 zum Management von Impfterminen von Doctolib unter Einsatz von AWS. Solange es noch keine Europäische Cloud, einen Angemessenheitsbeschluss bzgl. USA / sonstiger Drittländer oder aber weitergehende technische Lösungen gäbe, könne man neben dieser Argumentationshilfe nur auf ein andauerndes Vollzugsdefizit hoffen. Daher wird an dieser Stelle auf die sehr empfehlenswerte Quellen-Sammlung von Frau Professorin Gierschmann bzgl. eines risikobasierten Ansatzes als mögliche Argumentationshilfe verwiesen (Folie 14).

Der Abschluss der Vorträge stand unter dem Motto „Open Source Software“ (7. Bayerischer IT-Rechtstag) Eingeleitet wurde der Vortrag von Frau RAin Marieke Merkle, Noerr Partnerschaftsgesellschaft mbB mit einer Anekdote zu Richard Stallman (Begründer der „Free Software Foundation”), der OSS in München mit den Worten beschrieben habe, die Unentgeltlichkeit beziehe sich nur auf Verwendung der Nutzungsrechte, es sei jedoch kein Freibier. Im Rahmen der Analyse von Chancen sowie des wirtschaftlichen Nutzens eines Einsatzes von OSS beleuchtete sie sodann verschiedene Anwendungsszenarien: den organisationsinternen Einsatz, die Nutzung „fremder” OSS bei der eigenen Entwicklung und die Entwicklung gänzlich eigener OSS. Bei der Entwicklung sei hinsichtlich der grundsätzlichen Struktur von Open Source-Projekten zu unterscheiden: Einerseits könne zwischen offenen und geschlossenen Projekten differenziert werden, je nachdem, ob der „Anwender” auch zum „Contributor” werden könne.

Ferner komme die Unterscheidung anhand der vertraglichen Grundlage von Beiträgen in Betracht, deren jeweiligen Vor- und Nachteile die Referentin anschließend erläuterte: die sog. „Inbound-Outbound-Konstellation” (Standard bei GitHub), der Fall einer „Open Source Lizenz plus eines Committer Agreements” (CA, so bspw. das Developer Certificate of Origin von Linux) sowie die Möglichkeit eines „Contributor License Agreements” (CLA), wie bei den Projekten der Free Software Foundation. Bei den wirtschaftlichen und rechtlichen Risiken nannte Frau Merkle neben einer möglichen Preisgabe von firmeneigenem Know-how die potenzielle Verletzung von Rechten Dritter, bevor sie auf die gesetzlichen Grundlagen der Haftung und die Grenzen der Gewährleistung näher einging. Hinsichtlich der erforderlichen Compliance-Anforderungen resümierte sie, dass neben der Frage der Inbound-Compliance auch die Etablierung eines Outbound-Compliance-Prozesses geboten sei, um einen angemessenen Ausgleich zwischen wirtschaftlichen Nutzen und rechtlichen Risiken zu erlangen. Generell sei jedoch angesichts der Vielzahl an Projekten bei jedem neuen Projekt eine Einzelfallbetrachtung erforderlich.

Zuletzt schloss sich die Abschlussdiskussion zum Thema „Die großen rechtlichen Herausforderungen der Digitalisierung in Unternehmen” an. Das Impulsstatement kam von Frau Dr. Susanne Stollhoff, Head of Digital & Data Law (Axel Springer SE). Nach einigen (kritischen) Anmerkungen zur DSGVO („ein großes Bürokratie-Monster, das aber die Geschäftsmodelle nicht geändert hat”), zur ePrivacy-VO („wird Geschäftsmodelle verändern”) und einer kurzen Vorstellung der Axel Springer SE samt hauseigener legal-tech-tools, ging es in die Diskussion mit einigen Referenten: Frau Dr. Bierekoven merkte an, dass Verträge für Angebote im Consumer-Bereich an die neuen §§ 327 ff BGB angepasst werden müssten. Auch die KI-VO werde dort relevant werden. Herr Professor Riehm gab zu bedenken, dass man infolgedessen auch an viele Geschäftsideen/Produkte heran müsse: Unternehmen sollten zukünftig genau hinschauen, wie sie Produkte bewerben, da der objektive Mangelbegriff an Gewicht gewonnen habe. Um einen „Marketing-Supergau” à la „unser Produkt kann übrigens das alles schonmal nicht” zu verhindern, sehe er eine Verlagerung in die Bezeichnung des Produkts, damit man nicht an den Kriterien der A-Ware als objektivem Marktstandard gemessen werden muss. Diesen Einschätzungen stimmte Frau Dr. Stollhoff zu. Obgleich es für Axel Springer hauptsächlich um die Compliance der Online-Angebote und noch mehr um die Qualität der Inhalte ginge, werde man sich schulen lassen müssen. Frau Merkle fügte den Praxishinweis hinzu, immer auf die Lizenz-Kompatibilität und die Einführung einer entsprechenden Compliance-RL zu achten: „Ohne Prozesse läuft gar nichts!”

Den krönenden Abschluss der Diskussion bildete die Frage des Moderators nach den Wünschen der Diskutierenden zu Weihnachten; natürlich in Bezug auf das IT-Recht samt Schilderungen möglicherweise auch erfreulicher Entwicklungen: Frau Dr. Bierekoven plädierte dafür, dass man als Juristin mit Freude an der Technologischen Entwicklung diese Unternehmensprozesse aktiv mitgestalten könne. Sie wünsche sich zudem einen nachgeschärften Entwurf des AI-Acts, sodass er im Wettkampf des Standorts Europa nicht abwürgend wirke. Herr Professor Riehm forderte dazu auf, die Rechtswissenschaften (endlich) aus dem Status des Voll-Juristen-Dasein herauszuholen und stattdessen neue Brücken zu und mit legal-tech zu bauen; zumal Digitalisierung ein Prozess sei, der es nicht erlaube, nur an Althergebrachtem festzuhalten. Sein Wunsch sei vor allem Abwarten und Ruhe in der Gesetzgebung. Frau Merkle resümierte, es sei doch eine klasse Entwicklung, dass sich Anwältinnen und Anwälte statt auf das Durchsuchen von Datenräumen auf das wirklich Wichtige (und Spannende) werden konzentrieren können. Ihr Wunsch sei, dass die KI-VO entweder in Software-VO umbenannt oder aber ihr Anwendungsbereich verkleinert werde. Und Frau Dr. Stollhoff unterstrich noch einmal, dass wenn man in Deutschland etwas Positives aus Corona ziehen wolle, dies sicherlich der unheimliche Digitalisierungsschub sei. Resümierend meinte sie aus Unternehmenssicht, es gäbe einen Wunsch nach einem level-playing-field ggü. den USA, weniger Einzelfallgerechtigkeit und mehr Langsamkeit bei der fortschreitenden Regulierung.

Mit diesem prallen Korb an guten Wünschen ging der Jubiläumstag mit einem abschließenden digitalen Prosit aus den mitgelieferten Sektflaschen vor den Kameras und Bildschirmen zu Ende. So freut man sich jetzt schon auf den 21. Bayerischen IT-Rechtstag 2022 am 17. Oktober 2022, ganz hoffentlich wieder live und in Farbe im schönen München!

Simon Tannen, Wissenschaftlicher Mitarbeiter, Hogan Lovells International LLP, Hamburg