Endlich offiziell mit Daten bezahlen

Das Verbraucherschutzrecht gilt nach den Neuregelungen dann, wenn ein Verbraucher dem Anbieter personenbezogene Daten i.S.d. DSGVO bereitstellt oder sich dazu verpflichtet. Ausgenommen sind personenbezogene Daten, die der Anbieter braucht, um seine Leistung zu erbringen. Wenn der Anbieter die bereitgestellten Daten nur zur Vertragserfüllung oder zur Erfüllung anderer rechtlicher Pflichten verarbeitet, ist das Verbraucherschutzrecht nicht anwendbar. Beispiele hierfür sind etwa die überlassene E-Mail-Adresse, um ein digitales Angebot zuzuschicken. Oder die Angabe von Rechnungsdaten, die der Anbieter zur Erfüllung von steuerrechtlichen Pflichten benötigt.

Bezahlen mit Daten/ Digitale Sachen

  • Warenkaufrichtlinie gibt vor, dass sie bis zum 1. Juli 2021 in nationales Recht umzusetzen und auf Verträge, die ab dem 1. Januar 2022 geschlossen werden, anzuwenden ist
  • Anwendung nur auf Verbraucherverträge
  • Verbraucherrechtliche Sonderbestimmungen hinsichtlich Mangelfreiheit, Rücktritt, Schadensersatz und Verjährung
  • Definition: eine Sache mit digitalem Element, eine Sache, die in einer solchen Weise digitale Inhalte oder digitale Dienstleistungen enthält oder mit ihnen verbunden ist, dass sie ihre Funktionen ohne diese digitalen Inhalte oder digitalen Dienstleistungen nicht erfüllen, kann
  • Verkäufer wird Aktualisierungspflicht für digitale Elemente auferlegt
  • Kaufvertrag wird dadurch teilweise zum Dauerschuldverhältnis
  • Ist die Dauer der Aktualisierungspflicht nicht vertraglich vereinbart, kommt es nach § 475b Abs. 4 Nr.2 BGB-E auf die objektiv zu bestimmende und damit vernünftigerweise zu erwartende Verbrauchererwartung an
  • Verlängerung der Beweislastumkehr für Verbraucher:477 Abs. 1 BGB-E verlängert Beweislast von 6 Monaten auf ein Jahr. Wird die dauerhafte Bereitstellung des digitalen Elements vertraglich geschuldet, gilt die Beweislastumkehr nach Absatz 2 sogar für den vereinbarten Bereitstellungszeitraum, mindestens aber für zwei Jahre
  • Dreiteilung des Mängelrechts: Für Sachen mit digitalen Elementen, gilt ebenfalls § 434 BGB-E, ergänzt um die neuen §§ 475b Abs. 2 – 4 BGB-E und c BGB-E. Liegt keine qualifizierte Verbindung zwischen der Sache und dem digitalen Element vor, bestimmt sich die Mangelfreiheit des digitalen Elements nach den neuen §§ 327d ff. BGB-E
  • Die Zahlung eines Geldbetrages und das Zurverfügungstellen von personenbezogenen Daten wird im Rahmen des Verbraucherschutzrechts gleichgestellt, womit das Verbraucherschutzrecht und insbesondere die damit verbundenen Transparenz- und Belehrungspflichten sowie die Regelungen zum Widerrufsrecht nunmehr ausdrücklich Anwendung finden
  • Für Verträge, welche durch zwei übereinstimmende Willenserklärungen mit Rechtsbindungswillen zustande gekommen sind
  • Sowohl das aktive Bereitstellen der Daten durch den Verbraucher als auch das passive Dulden der Datenerhebung umfasst. Ausgenommen sind solche Daten, die der Anbieter zur Abwicklung der Leistung benötigt, z.B. eine E-Mail-Adresse oder Rechnungsdaten
  • Besserer Schutz der Verbraucher und der Durchsetzbarkeit ihrer Rechte
  • Anbieter sind verpflichtet, die Hauptleistungspflichten des Vertrags klar darzulegen, d.h. welche Daten werden für welche Leistung und für welchen Zweck zur Verfügung gestellt
  • Vorteile für Unternehmen: rechtssicheres Anbieten der Produkte und Leistungen wird möglich
  • Kündigungsrecht für Anbieter: wenn der Verbraucher seine datenschutzrechtliche Einwilligung widerruft und eine Fortsetzung des Vertragsverhältnisses dem Anbieter nicht zumutbar ist, vgl. § 327q Abs. 2 BGB E
  • Gesetzgeber differenziert zwischen den insofern „erforderlichen“ personenbezogenen Daten und den darüberhinausgehenden, z.B. für die Profilbildung zu Werbezwecken erhobenen Daten
  • Unterscheidung kommt auch in § 312 Abs. 1a S. 2 BGB nF zum Ausdruck, wenn der Gesetzgeber Daten, die der Anbieter ausschließlich zur Erbringung seiner Leistungspflicht oder an ihn gestellten rechtlichen Anforderung gesondert erwähnt und für diesen Fall die Anwendung des Verbraucherschutzrechts ausschließt
  • Einwilligung in die beabsichtigte Verarbeitung personenbezogener Daten der Nutzer erforderlich, soweit diese nicht zur Erfüllung der Leistungspflicht oder rechtlicher Anforderungen, die an den Unternehmer gestellt werden, erfolgt
  • Gesetzgeber geht sowohl in der Gesetzbegründung als auch durch die Statuierung eines Kündigungsrechts für den Fall des Widerrufs der datenschutzrechtlichen Einwilligung, davon aus, dass eine solche regelmäßig erforderlich ist
  • Anerkennung, dass das Geschäftsmodell Daten gegen Leistung grundsätzlich im Rahmen der Vertragsfreiheit zulässig ist
  • Erteilte Einwilligungen scheitern nicht wegen Art. 7 Abs. 4 DS-GVO an der fehlenden Freiwilligkeit.

Wenn Algorithmen zum Problem werden

Die Vernachlässigung des Datenschutzes kann teuer werden, das musste nun der italienische Lieferdienst Foodinho am eigenen Leib erfahren.

Dieser Lieferdienst führte eine digitale Plattform ein, auf welcher Foodinho die Aufträge automatisiert an die 19.000 Lieferfahrer des Unternehmens verteilt, wie üblich läuft auch diese digitale Plattform mit Hilfe von Algorithmen. Ein Verstoß ergibt sich daraus, dass die betroffenen Personen diese automatisierte Entscheidung nicht widerrufen konnten. Außerdem erhielten die Lieferfahrer keinerlei Einweisung in das von ihnen benutzte System und hatten dadurch keinerlei Einblick in die Funktionsweise.

Die Plattform verlangte eine Vielzahl von Daten der Arbeiter, da ein Nutzerprofil für die Nutzung der Software erforderlich war, es mussten mehr Daten angegeben werden, als notwendig gewesen wären außerdem wurde die Speicherdauer der Daten nicht vorab definiert. Die Algorithmen könnten teilweise dazu führen, dass manche Lieferfahrer aufgrund ihrer abgegebenen Daten und der folgenden Datenanalyse der Algorithmen keine Aufträge mehr erhalten würden.

Ein weiter Verstoß lag darin, dass kein Datenschutzbeauftragter benannt wurde, außerdem wurde keine Datenschutz-Folgenabschätzung vorgenommen; diese wäre allerdings notwendig gewesen, da es laut der italienischen Aufsichtsbehörde eine Verarbeitung innovativer Natur sei. Diese Annahme bezieht sich darauf, dass eine große Menge unterschiedlicher Daten von einer großen Menge an Personen über eine digitale Plattform mit Hilfe von Algorithmen verarbeitet wird. Zudem bemängelte die italienische Aufsichtsbehörde, dass datenschutzfreundliche Voreinstellungen fehlten und keine technischen und organisatorischen Maßnahmen entwickelt wurden, um das Schutzniveau der Nutzer zu erhöhen. Generell hat Foodinho Verstöße aller Art in Kauf genommen und die DSGVO in einigen Punkten vollständig ignoriert.

Diese Verstöße ziehen nun eine erhebliche Menge an Bußgeldern auf sich. Dieses Bußgeld kann entweder bis zu 20.000 € oder aber 4% des Jahresumsatzes betragen.

Vorauszahlungen trotz Unsicherheit in Zeiten von Covid-19?

Wird jetzt eine Vorleistung, zum Beispiel in Form einer Vorauszahlung, fällig, deren Gegenleistung aufgrund des Virus unsicher ist, stellt sich die Frage: Was tun?

Die Vorauszahlung leisten mit dem Risiko, dass von der anderen Partei nicht erfüllt werden kann? Daran würde das Folgeproblem anschließen: Bekomme ich das vorgeleistete Geld zurück?
Immerhin trage ich in diesem Fall das Insolvenzrisiko meines Vertragspartners.
Oder die Vorauszahlung nicht leisten? Dann kann der Vertragspartner womöglich auf meine Kosten stornieren.

Abhilfe leistet bei dieser Art von „rechtlicher Zwickmühle“ der § 321 BGB.
Weitgehend unbekannt aber höchst effektiv sieht er genau für diesen Fall vor, dass der zur Vorleistung Verpflichtete die Vorleistung verweigern kann, wenn erkennbar wird, dass sein Anspruch auf Gegenleistung durch die Leistungsunfähigkeit des Vertragspartners gefährdet wird. Diese Einrede kann so lange gegen die Forderung der Vorauszahlung erhoben werden, bis entweder die Gegenleistung bewirkt wurde oder ausreichende Sicherheiten für den Erhalt der Gegenleistung gestellt wurden. Dazu kann der Vorleistungspflichtige dem Vertragspartner auch eine angemessene Frist vorgeben, nach deren erfolglosem Verstreichen er von dem Vertrag zurück treten kann.
Für die mangelnde Leistungsfähigkeit kommt nicht nur die Vermögensverschlechterung beim Vertragspartner in Betracht. Auch sonstige Leistungshindernisse reichen aus, um die Einrede aus § 321 BGB zu erheben.

Als Beispiele seihen genannt: Krankheitsbedingte Ausfälle, Zusammenbrüche von Zulieferern, vorrübergehende rechtliche Beschränkungen durch Coronaverordnungen der Länder, Export- und Importverbote.

Nach Rechtsprechung des BGH kann die Einrede auch dann erhoben werden, wenn die Gefährdung des Erhalts der Gegenleistung nur vorübergehend ist. Zudem reicht es nach der Rechtsprechung aus, wenn die Einrede grundsätzlich besteht, sie muss nicht explizit gegenüber dem Vertragspartner erhoben werden. Allerdings muss der Vorleistungspflichtige auf Nachfrage des Vertragspartners erklären, warum er die Vorleistung zurückhält.

Vom Werden und Wirken der Blockchain, Teil 2

Im Gesundheitswesen kann die Blockchain-Technologie die Prozesse verbessern, indem sie sowohl die Datenintegrität als auch die digitale Identität von Patienten verstärkt. Krankenhäuser können mit der Blockchain fälschungssichere Rezepte ausstellen. Gesundheitsakten sind gegenwärtig nicht miteinander verbunden und werden aufgrund fehlender gemeinsamer Architektur und nicht vorhandener Standards getrennt verwaltet. Und genau daran kann die Blockchain-Technologie anknüpfen: Dienstleister können ihre Patientendatensätze in der Blockchain speichern, sodass alle Daten jederzeit schnell und verlustfrei verfügbar sind. Eine private kryptografische Verschlüsselung ermöglicht den Zugang zu diesen Daten ausschließlich durch den Patienten. Dieser kann entscheiden, wer seine Daten sehen darf.
Aber damit nicht genug. Grundsätzlich kann auch die Bezahlung von Ärzten, Apotheken sowie die Abrechnung der Krankenkassen durch Smart Contracts auf der Blockchain abgewickelt werden. Das könnte allen Beteiligten wesentlichen Zeit- und Kostenaufwand ersparen sowie Abrechnungssysteme fehler- und manipulationsresistenter machen. Das Einsparungspotenzial bei den Transaktionskosten ist enorm.Im wachsenden zweiten Gesundheitsmarkt sind die Teilnehmer weniger gesetzlich reguliert und bereit, technologische Innovationen zu nutzen. Man kann daher davon ausgehen, dass hier erste Anwendungen der Blockchain-Systeme umgesetzt werden. Die Datenkommunikation zwischen Arzt, Patient, anderen Therapeuten und Krankenkassen könnte direkt über eine Blockchain erfolgen. Auch die Kommunikation und Auswertung von Gesundheitsdaten sowie besonders für Frühwarnsysteme sind mögliche Anwendungen, zum Beispiel bei Patienten mit medizinisch-technischen Geräten, mit denen sie regelmäßig Werte u.a. für Diabetes oder Blutdruck messen. Der Patient erfasst die Einstellungen über sein Device, und die automatisierte Datenüberwachung erfolgt unverzüglich und mit mehr Datensicherheit als bei herkömmlichen Methoden der Datenerfassung und –speicherung.
Vor welchen Schwierigkeiten steht die Umsetzung der Blockchain-Technologie?
Im Gesundheitsbereich hat die Blockchain somit großes Potential, wichtige Ziele im Gesundheitswesen in greifbare Nähe zu bringen. Aber, wie oftmals bei der Markteinführung neuer Technologien, müssen auch hier noch rechtliche Rahmenbedingungen geschaffen und verifiziert werden: Auch in den genannten Anwendungsfällen hängt die Umsetzung einerseits von Netzwerkeffekten ab, andererseits auch von den beteiligten Interessengruppen und gesetzlichen Vorschriften, die in diesem Bereich erst angepasst werden müssen. Ebenfalls bedürfen die auf der Blockchain gespeicherten Daten eines spezifischen Datenschutzsystems. Einen Ersatz für Datenbanken stellt die Blockchain im Übrigen nicht dar; sie ist nicht für große Datenmengen ausgelegt. Allerdings können Links in der Blockchain gespeichert werden, die exklusiven Zugriff auf andere verschlüsselte Speicherorte gewähren. Primär ist die Blockchain dafür konzipiert, Transaktionsdaten zu speichern, für welche Transparenz und Fälschungssicherheit das oberste Gebot sind.


Was ist das Fazit?
Eine Blockchain und darauf gespeicherte Smart Contracts können im Geschäftsalltag zukünftig ganz konkret verschiedenste wirtschaftliche und bürokratische Transaktionen um ein vielfaches preiswerter, schneller und sicherer als herkömmliche zentralisierte Client-Server-basierte Informationssysteme gestalten. Wir dürfen gespannt auf die weitere Entwicklung und Adaption dieser zeitgemäßen, faszinierenden Technologie sein und, wenn möglich, daran teilnehmen.

Sollen Roboter haften?

Im Zuge der Entwicklung zur Industrie 4.0 erreicht die umfassende Digitalisierung sämtliche Branchen und stellt diese nicht nur vor neue Möglichkeiten, sondern auch Herausforderungen. Zudem wird die Automatisierung von verschiedensten Prozessen die Arbeitswelt vollkommen verändern. Auch produktbezogene Faktoren, wie die Qualität und Effizienz von Fertigungs- und Instandhaltungsprozessen bergen Optimierungspotential, welches beispielsweise zukünftig durch das sog. Predictive Maintenance autonom genutzt werden kann.

Mit den Vorteilen dieses tiefgreifenden Wandels geht allerdings auch das Erfordernis der Veränderung zahlreicher Verantwortungsbereiche sowie das Überdenken der Grundlagen unserer Vorstellung von Haftung für Schäden einher. Der einzelne Mitarbeiter sieht sich nicht mehr nur mit der Durchführung eines einzelnen Fertigungsschrittes konfrontiert, sondern hat vielmehr oft umfassende und vielschichtige Strukturen aufzusetzen und zu überwachen.

Insbesondere steigen die Anforderungen an die IT-Sicherheit der Unternehmen. Diesen wird in zahlreichen Fällen nicht genügt, obwohl dies bereits durch Standardmaßnahmen realisierbar wäre. Der Gesetzgeber hat auf diese Situation mit der Einführung eines Mindestniveaus reagiert, dessen Unterschreitung bußgeldbewährt sein wird. Die KRITIS-Verordnung wird für die betroffenen Betriebe, die eine kritische Infrastruktur in Deutschland darstellen, zukünftig bindende Vorgaben zur IT-Sicherheit formulieren.

Obgleich Sicherheitsrisiken nicht selten durch Mitarbeiter im ausführenden Bereich verursacht werden, liegt die Verantwortung zur Vorbeugung und die Haftung beim Eintritt von Rechtsgutsverletzungen im Endeffekt nach wie vor bei der Führungsetage eines Unternehmens. Im Sinne des Konzepts des „tone-from-the-top“ liegt es an dieser, die Einhaltung von Sicherheitsrichtlinien sowie einen verantwortungsvollen Umgang mit sensiblen Daten vorzuleben. Grundsätzlich soll der Gedanke des „Security by Design“ Betriebe bereits während der Entwicklung eines Prozesses oder Produktes dazu führen, den Fokus auf deren IT-Sicherheit zu legen und so späteren Sicherheitslücken vorbeugen.

Problematisch aber jedoch gleichermaßen herausfordernd wird sich aber die Frage nach der Haftung im Falle autonomer Systeme, denen es an einem durch vorwerfbares Verhalten haftenden Menschen fehlt, gestalten. Weder Mitarbeiter noch Geschäftsführung können hier vorab eingreifen und daher kaum zur Verantwortung gezogen werden. Auch der bis dato propagierte Rückgriff auf den fehlerhaft arbeitenden Programmierer der Software wird bei dem wachsenden Maß an Autonomie und Komplexität der Prozesse zunehmend schwierig.

Spätestens im Falle eines Fehlers eines vollkommen autonom arbeitenden Roboters, der im Rahmen seiner künstlichen Intelligenz eigene neue Prozesse erschafft, finden diese Ansätze ihre Grenze. Kann unsere Sichtweise von haftungsbegründender und haftungsausfüllender Kausalität in diesen Fällen noch greifen? Wie weit sollen diese reichen? Eine Überdehnung dieser Grundsätze würde auch Rückwirkungen auf die Betrachtung „normaler“ Haftungsfälle befürchten lassen und das Regulativ der Adäquanztheorie ad absurdum führen.

Folglich werden zukünftig neue Grundsätze der Haftung im konkreten Fall autonom schadensbegründener Technologien geschaffen werden müssen.

Literatur: Dirksen, Hans Hermann, „Können Roboter haften?“, Cleanroom Magazine, 01/2017, S.44-47.

1 2