allgemein

Abheben mit Microsofts Copilot

Eine KI Sicherheitseinweisung

Am 13.03.2024 stimmte das EU-Parlament in Straßburg mehrheitlich für das KI-Gesetz, das wir in unserem Beitrag Mal was Intelligentes aus Brüssel – Die europäische KI-Verordnung kommt! bereits vorgestellt hatten. Einhelliger Tenor der Medien: Die Anwendung von KI birgt sowohl Vorteile als auch Risiken.

Was für viele Unternehmen immer noch sehr theoretisch klingt, ist für andere Firmen schon seit einigen Monaten gelebte Praxis. Spätestens, als Microsoft im Januar 2023 als Hauptaktionär von OpenAI noch einmal 10 Mrd. US-Dollar in die Macher von ChatGPT steckte, war abzusehen, dass die Integration der KI-Anwendung in die Produktpalette von Microsoft nicht lange auf sich warten lassen konnte. Das Ergebnis lässt sich sehen: Gleicht der Nutzer von Microsoft 365 einem Flugkapitän und sein Unternehmen dem Flugzeug, so stellt der Softwaregigant nun die bahnbrechende KI-Anwendung als hilfreichen Unterstützer zur Seite – eben einen Copiloten.

Diesem Bild folgend stellt sich angesichts des doch steilen Aufstiegs der KI bei manchen Firmen eine gewisse Flugangst ein. Die diffusive Befürchtung, mit der Nutzung von Copilot die Büchse der Pandora zu öffnen, führt zur Unsicherheit im Umgang mit einer Technologie, an deren Einführung am Ende aber niemand herumkommt. Wir wollen nachfolgend die wesentlichen Risiken skizzieren und Wege aufzeigen, um Bruchlandungen zu vermeiden.

1. Destination und Muster

Die Einsatzmöglichkeiten in Microsoft 365 sind schon für gewöhnliche Anwender äußerst vielfältig. In Word lassen sich ganze Dokumente zu einem Thema mithilfe von KI erstellen oder auch verbessern. Für alle, die mit Excel-Tabellen etwas fremdeln, kann Copilot mit Formeln und Analysen helfen. Die PowerPoint-Muffel freuen sich, dass die KI-Lösung Präsentationen entwerfen und optimieren kann. E-Mails schreiben sich in Outlook quasi von selbst und Teams-Meetings lassen sich mittels Copilot organisieren und mittels Transkription schnell dokumentieren.

Doch damit nicht genug: Nutzer von Dynamics (CRM, z.B. Sales, Marketing) verfügen über Möglichkeiten zur optimierten Kommunikation im Team und mit Kunden, Marketing-Kampagnen lassen sich mit neuen Ideen entwerfen oder steuern. Inhalte für Internetseiten wie z.B. FAQs, vorher mühsam zusammengetragen, lassen sich in Windeseile erstellen.

Abseits der Welt von Microsoft 365 ist eine Nutzung von Copilot als Einzellizenz natürlich auch möglich. An dieser Stelle liegt der Gedanke nicht fern, dass Mitarbeiter – mit oder ohne Wissen der Geschäftsführung – schon jetzt diese KI-Software anwenden, ohne dass eine offizielle Einführung seitens des Unternehmens vorliegt. Schon deshalb, weil die einfachen Lizenzen nicht das Datenschutzniveau der Unternehmenslizenzen erreichen, sollten Alleingänge nicht zugelassen werden. Die nachfolgende Ziffer 2 liefert weitere Gründe für ein geordnetes Vorgehen.

2. Ready for Takeoff?

Bevor dem Verlangen nach Implementierung von KI nachgegeben wird, es ist dringend anzuraten, zuerst einen gründlichen Checkup am Boden durchzuführen. Dafür ist es insbesondere erforderlich, nicht nur aus einer interessierten Abteilung wie z.B. Marketing heraus den Bedarf zu analysieren, sondern sämtliche Use Cases in allen erdenklichen Ausgestaltungen zu erfassen.

2.1.       Data Governance

Grundlegend sollte die Funktionsweise des integrierten Chatbots verstanden werden: Bei Microsoft 365 greift dieser u.a. auf Sharepoint und Teams-Kanäle zu. Das klingt zunächst vorteilhaft, wird allerdings in den vielen Fällen zum Problem: Der den Chatbot nutzende Mitarbeiter erhält – je nach Anfrage – eine Verarbeitung von Informationen aus allen Ordnern und Kommunikationen, zu denen er irgendwann einmal Zugriffsrechte erhalten hat. Wenn die Verteilung von Rollen und Rechten im Unternehmen aus dem Ruder gelaufen ist, gelangt der einzelne Nutzer – ob er es darauf anlegt oder nicht – in den Besitz von Informationen, die nicht für seine Augen gedacht sind und die er ohne KI-Hilfe auch niemals aufgefunden hätte. Welche Auswirkungen eine solches Szenario allein im Datenschutzrecht haben kann, muss wahrscheinlich an dieser Stelle nicht ausführlich dargestellt werden. Wenn es also jemals einen Zeitpunkt gegeben hat, von Seiten der IT das Berechtigungskonzept endlich zu überarbeiten oder gar zu erstellen, dann vor Einführung von Copilot.

Auch unabhängig von der Frage der Zugriffsrechte besteht in Sachen Data Governance in den allermeisten Fällen Optimierungsbedarf, wenn Copilot optimal genutzt werden soll. Ähnlich der Suchmaschinenoptimierung, die den Seitenbetreiber zur Verschlagwortung von Inhalten nötigt, ist es als wichtige Unterstützung des KI-Helfers zu betrachten, wenn Dateien nicht nur richtig klassifiziert, sondern auch in den Dateiinformationen mit sinnvollen Tags versehen werden. Microsoft bietet für das wichtige Dateimanagement die Lösung Purview an, es gibt allerdings auch noch jede Menge Alternativen auf dem Markt, die noch zusätzliche Features bieten.

2.2.       KI-Richtlinie und deren Umsetzung

Daneben sollte auf der Checkliste vor dem Start auch das Thema Information und Schulungen von Mitarbeitern auftauchen. Zum einen bieten interne Richtlinien zum Thema die Gelegenheit, Regeln für die Anwendung mitzugeben und damit klar Grenzen zu setzen. Zum anderen wäre es am Ende des Tages auch ein Haftungsproblem, wenn die Nutzer im Unternehmen völlig freie Bahn eingeräumt bekommen und keinerlei Kontrolle ausgeübt wird. Nicht zuletzt sieht der dann zur Geltung kommende KI-Act zumindest mittelbar die Pflicht vor, bei den Beschäftigten eine ausreichende KI-Kompetenz herbeizuführen – wenn man so will einen Copiloten-Schein. Naturgemäß sollte diese Kompetenz bereits vorliegen und die Regeln im Unternehmen stehen, bevor die Anwendung live geht.

2.3.       Datenschutz

Wie immer vor Einführung einer neuen Anwendung freut sich der Datenschutzbeauftragte über eine Einbindung vor dem Start. Auch wenn kein Beauftragter bestellt ist, müssen vor dem Einsatz von Copilot wichtige Punkte abgearbeitet werden.

Eine im Verhältnis noch einfache Aufgabe ist die Vervollständigung der Dokumentation. Dazu gehört natürlich die Erstellung bzw. die Ergänzung eines Eintrags im Verarbeitungsverzeichnis, aber auch die Vorprüfung sowie ggf. die Durchführung einer Datenschutz-Folgenabschätzung. Schwieriger wird die Frage der Auftragsverarbeitung durch Microsoft bei der Nutzung von Copilot, da nach den im Moment zur Verfügung stehenden Informationen unklar ist, ob die dafür erforderlichen vertraglichen Grundlagen wie das Data Protection Addendum gelten. Anscheinend ist auch die Auswahl der Rechenzentren (Stichwort EU Data Boundary) nicht automatisch beschränkt, die Zulässigkeit einer vorliegenden Drittlandsübermittlung ist daher ggf. zu prüfen.

Nach den aktuellen Nutzungsbedingungen wird von Microsoft immerhin zugesichert, dass die in den Chat eingefügten Daten zum einen nur für die Zwecke der Copilot-Nutzung kurzzeitig gespeichert werden und dass zum anderen ausgeschlossen ist, dass die Daten zum weiteren Training der KI genutzt werden. Wichtig ist jedenfalls, dass vor der Implementierung allseits Klarheit darüber herrscht, dass die KI nicht zur automatisierten Entscheidungsfindung im Sinne des Art. 22 DSGVO genutzt werden darf – am Ende muss daher stets noch eine menschliche Prüfung und Bewertung der Ergebnisse stattfinden, bevor Kunden oder Mitarbeiter vom Output der Maschine tangiert werden.

3. Mögliche Turbolenzen

Die mit Copilot einhergehenden Probleme unterscheiden sich grundsätzlich nicht von denen, wie sie allgemein zum Thema KI diskutiert werden. Es ist nachvollziehbar, dass erhebliche Risiken in Kauf genommen werden, wenn der unter Ziffer 2 empfohlene Checkup nicht beherzigt wird. Gerade die in vielen Unternehmen zu leichtfertig gehandhabte Berechtigungsstruktur kann in Einzelfällen Ärger im Betrieb und mit Behörden auslösen. Die wichtige Schulung der Mitarbeiter auf den richtigen Umgang mit KI sowie die sorgfältige Auswahl von Einstellungen der Software können wertvolle Hilfen zur Risikominimierung sein.

Weitere Gefahren lauern derweil bei der Nutzung der Ergebnisse, die mit KI erzielt werden. Microsoft weist in den Nutzungsbedingungen und weiteren Informationen nicht nur darauf hin, dass KI dem Grunde nach fehlerhaft arbeitet und sich bisweilen unwahre Behauptungen zusammenreimt („Halluzinieren“), sondern gibt auch den Hinweis, dass die mit Copilot geschaffenen Texte nicht den Anspruch erheben, dem Nutzer das alleinige Nutzungsrecht zu verschaffen. Microsoft erhebt anscheinend keinen Anspruch auf das „Eigentum“ an den geschaffenen Daten, es kann daher bei der Nutzung auch keinerlei Recht vom Anbieter abgeleitet werden. Ohne das Thema Urheberecht bei KI, zu dem die KI-Verordnung keinen Lösungsansatz liefert, zu sehr zu vertiefen, soll hier jedoch das Problembewusstsein im Umgang mit den Kreationen ausgelöst werden. Es ist z.B. denkbar, dass der durch Copilot erschaffene Werbespruch für das Marketing untauglich ist, weil er bereits zuvor von anderen erschaffen und auch geschützt wurde.

Inwiefern die offenkundig mit der Nutzung einhergehende Beschleunigung von Prozessen gegenüber Personen, die von den Ergebnissen der KI betroffen sind oder für die die Ergebnisse aufgrund vertraglicher Verpflichtungen geschaffen werden, dazu zwingt, die Nutzung der KI transparent zu machen, wird eine Frage sein, mit der sich die Unternehmen beschäftigen müssen – die KI-Verordnung ordnet eine solche Transparenz jedenfalls grundsätzlich an. Angesichts der bekannten Fehleranfälligkeit der Anwendung erscheint es aus Haftungsgründen sogar ratsam, die Einbindung von KI offenzulegen, auch wenn dies nicht von der Verpflichtung der menschlichen Aufsicht über die Maschine ablenken kann.

4. Wir wünschen einen guten Flug!

Der Copilot ist kein echter Autopilot. Trotz aller anzuerkennenden Erleichterungen, die die KI im Arbeitsalltag mit Microsoft-Produkten bringen kann, sollte der Mensch weiter das Steuer in der Hand halten. Eine Einführung ohne grundlegende Vorbereitungen käme einem Blindflug gleich, sie sollten daher durchaus ernstgenommen werden. Das Thema KI gehört auch dann auf die Tagesordnung, wenn eine offizielle Einführung im Unternehmen gar nicht geplant ist – dafür ist es für die Mitarbeiter viel zu verlockend, sich mit Anwendungen wie Copilot heimlich die Arbeit zu erleichtern.

Und nein, dieser Text ist nicht durch künstliche, sondern durch menschliche Intelligenz kreiert worden, was man vielleicht an der bildhaften Sprache erkennen kann. Wenn wir Sie und Ihr Unternehmen bei der Implementierung von KI-Anwendungen rechtlich unterstützen können, werden wir das ebenfalls auf ganz persönliche Weise gerne tun.

Die Kündigung als datenschutzrechtliches Risiko

Wenn Mitarbeitende gehen – was bleibt – ist das Bußgeld?

Der Europäische Datenschutzausschuss (EDSA) hat bereits 2021 Leitlinien „zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten“ in der Version 2.0 veröffentlicht. Darin hat sich der EDSA auch mit der internen menschlichen Risikoquelle beschäftigt. Nach der EDSA-Leitlinie Beispielsfall 8 kann es auch einen datenschutzrechtlichen Verstoß darstellen, wenn ein Mitarbeitender nach einer Kündigung – unabhängig davon, ob es sich um eine Eigenkündigung oder eine Kündigung durch den Arbeitgeber handelt – weiterhin Zugriff auf personenbezogene Daten von anderen Mitarbeitenden oder von Kunden hat. Dies gilt unabhängig davon, ob der Mitarbeitende die Daten für seine Arbeit bis zur Beendigung des Arbeitsverhältnisses benötigt. Es stellt sich daher die Frage, was Arbeitgeber im Arbeitsverhältnis zu beachten haben, damit der größte Wert des Unternehmens, die Mitarbeitenden, nicht zum größten Schaden des Unternehmens werden.

Im Folgenden geben wir Ihnen einen Überblick über mögliche Maßnahmen, die der Arbeitgeber nach Ausspruch einer Kündigung im Arbeitsverhältnis beachten sollte.

1. Vertragliche Maßnahmen

Der erste Schritt im Rahmen einer Kündigung sollte immer sein, den Mitarbeitenden noch einmal an die Pflichten aus der Datenschutzbelehrung und etwaigen Verschwiegenheitspflichten zu erinnern. Dies kann direkt im Kündigungsschreiben geschehen oder bei der Bestätigung des Eingangs der Kündigung. Soll die Erinnerung an die Pflichten aus dem Arbeitsverhältnis mit einer Kündigungsbestätigung im Rahmen einer Eigenkündigung des Mitarbeitenden erfolgen, sollte diese zeitnah nach Erhalt der Kündigung mit dem Hinweis auf die datenschutzrechtlichen Pflichten sowie die Verschwiegenheitspflichten des Mitarbeitenden geschehen.

Im Kündigungsschreiben bzw. in der Kündigungsbestätigung kann auch nochmals auf bestehende Wettbewerbsverbote während der Kündigungsfrist hingewiesen werden. Dies bietet sich vor allem dann an, wenn der Mitarbeitende über einen längeren Zeitraum freigestellt werden soll oder geht, um sich selbständig zu machen.

Spätestens bei Beendigung des Arbeitsverhältnisses bzw. bei Freistellungen mit Beginn der Freistellung sollte der ausscheidende Mitarbeitende schriftlich aufgefordert werden, alle Schlüssel und alle im Rahmen des Arbeitsverhältnisses überlassenen oder sonst erhaltenen Arbeitsmittel, Originale sowie Kopien firmeninterner Unterlagen und Dateien herauszugeben bzw. zu löschen und dies schriftlich zu bestätigen.

2. Technische und organisatorische Maßnahmen

Nach Ausspruch einer Kündigung sollten zudem organisatorische Maßnahmen vom Arbeitgeber ergriffen werden, um personenbezogene Daten und Geschäftsgeheimnisse zu schützen. In den EDSA-Leitlinien wird unter anderem genannt, dass Zugriffe protokolliert und gekennzeichnet werden oder gar bestimmte Formen des Zugangs ganz entzogen werden. Die Verwendung von privaten externen Speichermedien sollte bereits im laufenden Arbeitsverhältnis verboten werden, um einen Virenbefall zu vermeiden. Darüber hinaus kann über eine Schnittstellensicherheit oder den Einsatz von Software zur Kontrolle von Computerschnittstellen verhindert werden, dass externe Speichermedien angebracht werden.

Im Falle einer Kündigung muss zudem ggfs. erneut geprüft werden, welche Zugriffe der betroffene Mitarbeitende für die Ausübung seiner vertraglich geschuldeten Tätigkeit benötigt. Zugleich muss entschieden werden, ob weitere Einschränkungen ausreichen oder der einzelne Zugriff auf Daten durch den Mitarbeitenden protokolliert werden muss, sofern dies nicht bereits standardmäßig erfolgt (etwa bei besonders sensiblen Informationen).

Bei der Protokollierung sollte in Betrieben mit einem Betriebsrat eine Betriebsvereinbarung abgeschlossen sein, die eine Auswertung bzw. eine Prüfung der Zugriffe auch in diesen Fällen ermöglicht. In Betrieben ohne Betriebsrat sollte es hierzu eine interne Richtlinie geben. Hierbei ist maßgeblich, ob eine Privatnutzung der betrieblichen IT (Internet, E-Mail, etc.) erlaubt ist, um beurteilen zu können, ob ggfs. noch eine Einwilligung der Mitarbeitenden in die Auswertung benötigt wird oder in welcher Art und Weise auf die Protokolle zugegriffen werden kann.

Einige Firmen ermöglichen zudem einen Fernzugriff über private Endgeräte auf das E-Mail-Postfach oder firmeninterne Kommunikationsmöglichkeiten, durch die auch ein Zugriff auf Dateien ermöglicht wird oder nutzen – trotz aller datenschutzrechtlichen Bedenken – die Möglichkeit, dass Mitarbeitende ihre privaten Endgeräte für dienstliche Zwecke nutzen (Bring your own device – BYOD). Hierbei ist besonders darauf zu achten, dass der Fernzugriff für den Mitarbeitenden nach einer Kündigung bzw. spätestens nach Beendigung des Arbeitsverhältnisses nicht mehr möglich ist.

Bei BYOD sollte zudem bereits vor dem Beginn der Nutzung privater Endgeräte durch Mitarbeitende klar geregelt sein, wie unter anderem bei Ausscheiden zu verfahren ist. Generell sollte BYOD nur mit einer wirksamen Regelung (Betriebsvereinbarung, Richtlinie, individuelle Vereinbarung) erfolgen, um Daten auch im BYOD zu schützen. Denn auf privaten Endgeräten lässt sich ein Herunterladen von Daten durch den Arbeitgeber nur schwer nachweisen.

In Fällen, in denen eine weitere Beschäftigung nicht mehr gewünscht ist, weil Gründe vorliegen, aus denen eine weitere Beschäftigung nicht mehr hinnehmbar ist, kann auch eine entsprechende (widerrufliche oder unwiderrufliche) Freistellung des betroffenen Mitarbeitenden ausgesprochen werden, um so in jedem Fall einen weiteren Zugriff auf personenbezogene Daten und einen entsprechenden Missbrauch zu vermeiden. Wichtig ist dabei aber, dass Mitarbeitende aufgefordert werden, auch die Arbeitsmittel wie Diensthandy, Laptop, Schlüssel, etc. zurückzugeben und dass darauf geachtet wird, dass sie diese nicht während der Freistellung behalten.

3. Was tun, wenn es zu spät ist?

Zur Minderung der Auswirkungen, wenn Mitarbeitende Daten vor dem Ausscheiden „abgegriffen“ haben, müssen diese in einem ersten Schritt daran gehindert werden, die Daten weiter zu verwenden. Hierzu kann je nach Fall eine Aufforderung zur Einstellung der Nutzung der abgezogenen Daten oder gar ein rechtliches Vorgehen relevant sein. In einem solchen Fall sollte jedoch schnell gehandelt werden, um eine weitere Verbreitung der Daten zu vermeiden.

4. Fazit

Einen Einheitsweg für alle Fälle eines Ausscheidens gibt es nicht. Letztlich wird es immer erforderlich sein, bereits im laufenden Arbeitsverhältnis entsprechende Schutzmaßnahmen vertraglicher, technischer und organisatorischer Natur zu nutzen und diese im Falle einer Kündigung auszuweiten. Dabei kommt es jeweils auf den Einzelfall an. Nichts zu unternehmen kann für Arbeitgeber aber aufgrund von Bußgeldern im Bereich des Datenschutzes und des allgemeinen Verlustes von Geschäftsgeheimnissen teuer zu stehen kommen. Die aufgezeigten Möglichkeiten stellen daher keine abschließende Aufzählung dar. Kommen Sie bei Kündigungen gerne auf uns zu.

Alles Käse? Die Kuriositäten der Schutzfähigkeit von Bewegungsmarken

Bewegungsmarken sind eine besondere Art von Marken, die sich auf Bewegungen oder Positionsänderungen der Elemente der Marke beziehen. Sie können zum Beispiel das Drehen eines Logos, das Öffnen einer Verpackung oder das Schließen eines Fensters darstellen. Doch wie sieht es aus rechtlicher Sicht mit der Eintragungsfähigkeit von Bewegungsmarken aus?

Grundsätzlich gilt, dass Bewegungsmarken genauso wie andere Arten von Marken eingetragen werden können, sofern sie die erforderlichen Kriterien erfüllen. Dazu gehören insbesondere die Unterscheidungskraft und die Eignung zur Darstellung im Register, so dass die zuständigen Behörden und das Publikum den Gegenstand des Schutzes klar und eindeutig bestimmen können.

Die Darstellung von Bewegungsmarken ist in einer mp4-Datei auf einem Datenträger oder mittelbar durch eine zweidimensionale grafische Darstellung auf Papier oder in einer JPEG-Datei dergestalt möglich, dass der Bewegungsablauf daumenkinoartig in Einzelbilder aufgeteilt wird. Bei grafischer Darstellung ist regelmäßig eine Markenbeschreibung erforderlich, welche die Frequenz der Bilder erläutert.

Ein Beispiel für eine eingetragene Marke ist die Bewegungsmarke eines Industrie- und Fahrzeug-Schmierstoffherstellers, der mit der eingetragenen Bewegungsmarke die Verbindung des Rohstoffs Öl zur Marke des Herstellers herstellt.

Es gibt jedoch auch Fälle, in denen Bewegungsmarken nicht eingetragen werden können. Die Beschwerdekammer des Europäischen Markenamtes EUIPO stellte fest, dass die Anordnung eines durchgeschnittenen Käses zu einer Herzform nicht eintragungsfähig ist und wies die Markenanmeldung zurück. Die Beschwerdekammer argumentiert, dass das angefochtene Zeichen nicht unterscheidungskräftig ist: „Der Vorgang des Schneidens und Anordnen eines Käses in Form eines Herzens verleiht ihm keine Unterscheidungskraft“.

Die Bewegung, aus der die Marke besteht, nämlich das Schneiden eines ovalen Käses in zwei Stücke mit einem Küchenmesser und das anschließende Anordnen dieser Stücke in Form eines Herzens, ist nicht geeignet, dem Zeichen in seiner Gesamtheit eine originäre Unterscheidungskraft für „Käse“ zu verleihen. Die maßgeblichen Verkehrskreise werden die Bewegungsmarke als einen Vorschlag für die Präsentation eines ovalen Käses mit reinem Werbecharakter oder als den Beginn eines gefilmten Kochrezepts wahrnehmen, wie es in Tausenden von Videos im Internet zu sehen ist. Die Inszenierung, d. h. das Holzbrett auf einer Serviette und die anderen Lebensmittel, tragen keineswegs zur Unterscheidungskraft der Marke bei, sondern verstärken vielmehr den Eindruck, ein Rezept, eine Idee zur Präsentation eines Käses zu sehen. Nach der Ansicht der Beschwerdekammer ist die Marke daher nicht geeignet, den angemeldeten Käse von anderen Käsen zu unterscheiden. Folglich wurde die Anmeldung zurückgewiesen und die Bewegungsmarke nicht eingetragen.

Es bleibt spannend zu beobachten, welche kreativen Bewegungsmarken in Zukunft noch eingetragen werden und wie sie den Markt beeinflussen werden.

Sichern Sie Ihre Bewegungsmarken mit der Unterstützung unseres IP-Teams von MKM + PARTNER Rechtsanwälte PartmbB!

Neues zur IT-SicherheitHello NIS 2.0! Goodbye KRITIS?

Mit der IT-Security ist es so ähnlich wie mit dem unliebsamen Besuch beim Zahnarzt: Wer den Aufwand der Vorsorge scheut, der wird später schmerzlich geheilt werden müssen. Zur Absicherung gegen Cyberangriffe & Co. lohnt sich der Schutz der eigenen IT-Infrastruktur natürlich für jedes Unternehmen. Wer es bei den technisch-organisatorischen Maßnahmen (TOM) zur Datensicherheit nicht so genau nimmt, riskiert im Falle einer Datenschutzverletzung nicht nur ein Bußgeld, sondern auch erhebliche Schadenersatzansprüche (EuGH, Urteil vom 14.12.2023 – C-340/21, Besprechung hier).

Mehr als nur ein lästiges Compliance-Thema ist IT-Sicherheit hingegen bei Unternehmen und sonstigen Stellen, die vom Gesetzgeber bis dato als kritische Infrastrukturen (KRITIS) eingeschätzt werden. Der erlauchte Kreis, zu denen bisher ca. 4.500 Unternehmen und Behörden gehören sollen, wird im Zuge des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz –NIS2UmsuCG)“ noch im Jahr 2024 erheblich erweitert – man rechnet mit mindestens 30.000 betroffenen Einrichtungen. Wen es trifft und was zu tun ist, soll nachfolgend überrissen werden.

1. Was sind KRITIS-Einrichtungen?

Was bei vielen Unternehmen lediglich im „Compliance“-Ordner abgelegt wird, ist für die Betreiber von kritischer Infrastruktur in Zeiten von Terrorismus und kriegerischen Auseinandersetzungen wichtiger Bestandteil der gesetzlichen Auflagen. Das BSI-Gesetz definierte diese kurz KRITIS genannten Einrichtungen und Anlagen bisher in § 2 Absatz 10 als solche, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Was alles genau dazugehört, regelte bis dato die näher ausgestaltende BSI-Kritis-Verordnung.

2. Was ändert sich und wer ist betroffen?

Der Begriff der Kritischen Infrastruktur wird im neuen BSI-Gesetz vollständig durch die Bezeichnung kritische Anlage ersetzt, die betroffenen Einrichtungen und Anlagen ändern sich dadurch aber kaum. Die primäre Unterscheidung soll derweil zwischen den Besonders wichtigen Einrichtungen und den „nur“ wichtigen Einrichtungen stattfinden, da diese Kategorisierung der Richtlinie entspricht – die kritischen Anlagen sind daher nur ein Unterfall der besonders wichtigen Einrichtungen. Sonderfälle, die den Anwendungsbereich noch erweitern wie z.B. die vom Staat im Einzelfall als (besonders) wichtig eingestuften Unternehmen tragen auch nicht dazu bei, dass die neuen Bestimmungen leicht anzuwenden sind.

Die Grundregel ist, dass zur Einordnung der Einrichtungen im Wesentlichen zwei Dinge zusammenkommen müssen: Zum einen muss der Tätigkeitsbereich zu einer der 17 Sektoren gehören, die wiederum nach hoher Kritikalität und sonstige kritische Sektoren unterteilt sind – der näheren Einordnung dienen die Anlagen zum neuen BSI-Gesetz. Zum anderen ist die Größe des Unternehmens in Bezug auf die Anzahl der Beschäftigten sowie auf den Umsatz bzw. die Bilanz zu bestimmen.

Die Sektoren mit hoher Kritikalität nach Anlage 1 zum BSI-Gesetz neuer Fassung entsprechen nahezu den bisherigen KRITIS-Einrichtungen, also Energie, Verkehr, Banken, Finanzmarkt, Gesundheit (z.B. Gesundheitsdienstleister, Hersteller von bestimmten Medikamenten, kritische Medizinprodukte), Trink- und Abwasser, digitale Infrastruktur (z.B. Cloud-Computing-Dienste, Rechenzentren, Content Delivery Networks, Vertrauensdiensteanbieter), Verwaltung von IKT-Diensten, Öffentliche Verwaltung und die Bodeninfrastrukturen für den Weltraum. Den bisherigen Sektor Medien und Kultur sucht man in der NIS-2-Richtlinie ebenso vergebens wie die zwischenzeitlich eingeführten Unternehmen im besonderen öffentlichen Interesse (UBI).

Spannend wird es bei den sonstigen kritischen Sektoren gemäß Anlage 2, dazu sollen gehören:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe / Herstellung von Waren (meist nach NACE Rev. 2)
    • Herstellung von Medizinprodukten, die nicht zur hohen Kritikalität gehören
    • Herstellung von Datenverarbeitungsgeräten
    • Herstellung von elektronischen und optischen Erzeugnissen
    • Herstellung von elektrischen Ausrüstungen
    • Maschinenbau
    • Herstellung von Kraftwagen und Kraftwagenteilen
    • Sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste (Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke)
  • Forschung.

Als besonders wichtige Einrichtungen gelten so genannte Großunternehmen (ab 250 Mitarbeiter oder ab 50 Mio. EUR Umsatz bzw. Bilanz ab 43 Mio. EUR), die den Sektoren mit hoher Kritikalität zugeordnet werden. Die anderen Großunternehmen sowie die mittleren Unternehmen (ab 50 Mitarbeiter oder 10 Mio. EUR Umsatz / Bilanz ab 10 Mio. EUR) aus den Sektoren in Anlage 1 und 2 stellen dann die wichtigen Einrichtungen dar. Die zwischenzeitlich ins BSI-Gesetz eingeführten UBI gehen in den neuen Begrifflichkeiten auf.

3. Welche Pflichten kommen auf die betroffenen Unternehmen zu?

Was für die bisherigen KRITIS-Unternehmen als alter Wein in neuen Schläuchen daherkommt, ist für die schon bald zusätzlich betroffenen Firmen mit einem erheblichen Aufwand verbunden. Welche Maßnahmen zu ergreifen sind, hängt zunächst maßgeblich davon ab, ob man zu den besonders wichtigen oder „nur“ zu den wichtigen Einrichtungen gehört. Gemein ist allen betroffenen Unternehmen, dass geeignete Maßnahmen des Risikomanagements getroffen werden müssen. Es sind verhältnismäßige TOM zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf ihre oder andere Dienste zu verhindern oder möglichst gering zu halten. Die Maßnahmen sollen nicht weniger als den allseits beliebten Stand der Technik berücksichtigen. Als Maßnahmen zählt § 30 Absatz 4 des BSI-Gesetzentwurfs auf:

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Hinzutreten eine stufenweise Meldepflicht bei Sicherheitsvorfällen sowie eine Pflicht zur Registrierung bei der zuständigen Behörde. Die besonders wichtigen Einrichtungen treffen überdies Nachweispflichten in Bezug auf die Einhaltung der IT-Sicherheitsvorschriften. Das BSI kann bei einem Sicherheitsvorfall auch anweisen, dass Empfänger von Diensten von einem Vorfall zu unterrichten sind.

4. Was passiert, wenn ich meinen Pflichten nicht nachkomme?

Die in neuer Form beschworene Resilienz der Systeme ist nach dem Willen der kommenden Vorschriften Chefsache, d.h. es werden ausdrücklich Geschäftsführer, Vorstände und Co. auf die Einhaltung der Vorgaben verpflichtet. Geschäftsleiter müssen die Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und ihre Umsetzung überwachen. Ausdrücklich heißt es, dass die Beauftragung eines Dritten zur Erfüllung dieser Verpflichtungen nicht zulässig ist. Kommt die Geschäftsleitung der Billigungs- und Überwachungspflicht nicht nach, haftet sie dem Unternehmen für den entstandenen Schaden – der beträchtlich sein kann. Hierhin gehört der Hinweis, wie ausufernd allein der Schadenersatz sowie das Bußgeld im Bereich des Datenschutzes werden kann. Welche Schäden und Kosten ansonsten durch IT-Vorfälle im Unternehmen auftreten können, lässt sich kaum aufzählen (z.B. Lösegeld, Vertragsstrafen, Einbußen wegen längerem Betriebsausfall), so dass sich niemand für eine solche Entwicklung verantwortlich zeichnen will.

Der Gesetzgeber hat nicht nur erweiterte Befugnisse für die zuständigen Behörden, sondern auch einen empfindlichen Rahmen für Bußgelder vorgesehen: Schon bei den wichtigen Einrichtungen gilt ein Höchstbetrag von 7 Mio. € oder 1,4% des weltweiten Umsatzes im Vorjahr, bei den besonders wichtigen Einrichtungen geht es sogar bis 10 Mio. € oder 2% des Umsatzes.

Die gute Nachricht für besonders wichtige Einrichtungen ist, dass die Nachweispflichten frühestens zwei Jahre und spätestens drei Jahre nach Inkrafttreten des neuen Gesetzes greifen. Allerdings gilt schon ab dem Inkrafttreten, dass nur compliant sein kann, wer ab diesem Zeitpunkt die gesetzlichen Vorgaben einhält. Sollte zwischenzeitlich etwas passieren, sind etwaige Nachlässigkeiten vorwerfbar und führen zu den oben dargestellten Konsequenzen.

5. Zusammenfassung

Für alle Unternehmen, die sich jetzt in den neuen Kategorien wiederfinden, ist es längst Zeit zu handeln. Selbst dann, wenn man nicht zu den 17 Sektoren zählt oder die Größenschwelle nicht erreicht, lohnt sich es immer, ein IT-Sicherheitskonzept zu entwickeln oder zu überdenken. Die zugehörigen TOM sind eben nicht nur eine lästige Anlage zu einem Datenschutzvertrag: Die Aufgaben der Erstellung, der Umsetzung sowie der Überwachung sollten zum Wohle des Unternehmens stets ernstgenommen werden. Wir von MKM geben Ihnen jederzeit rechtliche Hilfestellungen zum Thema.

Umbaupflicht nicht erfüllt: Wann verjähren Ersatzansprüche des Vermieters?

Verpflichtet sich ein gewerblicher Mieter vertraglich, das Mietobjekt als Gegenleistung für die Gebrauchsüberlassung umzugestalten, stellt sich immer wieder die Frage, was passiert, wenn der Mieter dieser Pflicht bis zum Ende des Mietverhältnisses nicht nachkommt. Insbesondere stellt sich dann regelmäßig die Frage, wann der Erfüllungsanspruch bzw. der sich aus der Nicht- bzw. nicht vollständigen Erfüllung der Umbauverpflichtung ergebende Schadenersatzanspruch des Vermieters verjährt.

Um diese Frage beantworten zu können, muss zunächst geprüft werden, ob in dem jeweils zugrundeliegenden Fall die regelmäßige Verjährungsfrist des § 195 BGB Anwendung findet oder aber ob die in § 548 BGB geregelte Verjährungsfrist den § 195 BGB als speziellere Vorschrift verdrängt. Die regelmäßige Verjährungsfrist beträgt drei Jahre und beginnt grundsätzlich mit dem Ende des Jahres, in dem der Anspruch entstanden ist, wohingegen Ansprüche unter Anwendung des § 548 BGB, welcher Ansprüche des Vermieters wegen Veränderungen oder Verschlechterung der Mietsache regelt, innerhalb von sechs Monaten nach Rückgabe der Mietsache verjähren.

Die Frage nach der Anwendbarkeit der vorgenannten Verjährungsvorschriften ist insbesondere vor dem Hintergrund entscheidend, da eine vom Mieter übernommene Umbauverpflichtung eine Gegenleistung für die Nutzungsüberlassung darstellt und bei einer fehlenden abweichenden Vereinbarung der Parteien sofort gem. § 271 Abs. 1 BGB zu erfüllen ist. Das heißt, der Anspruch des Vermieters auf Durchführung der vertraglich vereinbarten Umbaupflicht entsteht mit Beginn des Mietverhältnisses und würde bei Anwendung der regelmäßigen Verjährungsfrist des § 195 BGB ggf. noch im laufenden Mietverhältnis, mithin nach drei Jahren, verjähren. Dies würde dazu führen, dass der Vermieter grundsätzlich verpflichtet wäre, die Einhaltung der Umbauverpflichtung innerhalb der ersten drei Jahre des Mietverhältnisses zu überprüfen und diese ggf. rechtzeitig gerichtlich durchzusetzen.

Da der Vermieter einen Verstoß gegen die vereinbarte Umbauverpflichtung in der Praxis jedoch meist erst nach Beendigung des Mietverhältnisses und Herausgabe der Mietflächen feststellt, wären seine Ansprüche bei Anwendung der regelmäßigen Verjährungsfrist zum Zeitpunkt der Feststellung bereits verjährt.

Anders hingegen, wenn die zwischen den Parteien getroffenen Vereinbarungen dahingehend ausgelegt werden können, dass die Verpflichtung des Mieters zur Umgestaltung der Mietsache den vereinbarten Zustand der Mietflächen bei dessen Rückgabe darstellt. Sollte dies der Fall sein, stellt die Nichterfüllung oder nicht vollständige Erfüllung der Umbauverpflichtung durch den Mieter eine Verschlechterung der Mietsache im Sinne des § 548 Abs. 1 BGB dar und die Ansprüche des Vermieters verjähren frühestens sechs Monate nach Rückgabe der Mietsache. Dies hat der BGH in seiner Entscheidung vom 31.03.2021 zum Aktenzeichen XII ZR 42/20 klargestellt. Hierzu führte dieser aus, dass die Vorschrift des § 548 BGB weit auszulegen sei und sich auch auf Ansprüche bezieht, die dem Vermieter daraus erwachsen, dass der Zustand der Mietsache von dem vertraglich vereinbarten abweicht. Für die Anwendbarkeit der Vorschrift sei es nicht notwendig, dass die Mietsache in einem schlechteren Zustand zurückgeben wird, als sie sich bei Übergabe an den Mieter befunden hat. Sofern die Mietvertragsparteien vereinbart haben, dass das Mietobjekt eine Wertverbesserung durch Umbauarbeiten erhalten soll, die nicht nur dem speziellen Mietzweck dienlich sind, sondern allgemein wertsteigernd wirken und liegt diese Wertverbesserung zum Zeitpunkt der Rückgabe nicht vor, so hat diese Nichterfüllung eine Verschlechterung der Mietsache im Sinne des § 548 BGB zur Folge.

Insofern ist stets zu prüfen, ob sich eine vom Mieter übernommenen Verpflichtung zur Umgestaltung der Mietsache auf den Zustand der Mietsache bei dessen Rückgabe bezieht oder eben nicht.

Gerne steht Ihnen in diesem Zusammenhang unser gewerbliches Mietrechtsteam sowohl für eine – wie so häufig konfliktvermeidende – individuelle Beratung schon bei der Vertragsgestaltung als auch bei einer später erforderlich werdenden Verjährungsprüfung unterstützend zur Seite!

Änderungen 2024: Was ändert sich zum Jahreswechsel im Arbeitsrecht?

1. Interne Meldestelle für Unternehmen ab 50 Beschäftigten und LkSG für Unternehmen ab 1.000 Mitarbeitenden

Bereits am 17.12.2023 endete die Umsetzungsfrist für die Einrichtung einer internen Meldestelle für Unternehmen ab 50 Beschäftigten. Seit Anfang Dezember 2023 kann nach dem Hinweisgeberschutzgesetz (HinSchG) bei einer fehlenden Meldestelle ein Bußgeld von bis zu 20.000,00 Euro verhängt werden.

Zudem müssen Unternehmen mit mehr als 1.000 Mitarbeitenden ab dem 01.01.2024 die Vorgaben des Lieferkettensorgfaltspflichtengesetzes (LkSG) einhalten.

Wenn Sie bei der Einrichtung einer internen Meldestelle oder zu den Anforderungen des LkSG Fragen haben, kommen Sie gerne auf uns zu.

2. Erhöhung des Mindestlohns und der Mindestvergütung für Auszubildende

Mit dem Jahreswechsel steigt der Mindestlohn auf 12,41 Euro brutto je Zeitstunde an. Mit der Erhöhung des Mindestlohnes steigt auch die Geringfügigkeitsgrenze von bisher 520,00 Euro auf 538,00 Euro. Auf diese Weise muss bei geringfügig Beschäftigten lediglich das Gehalt angepasst werden, die bisherige Stundenzahl kann aber beibehalten werden.

Mit dem Mindestlohn steigt auch die Mindestvergütung für Auszubildende nach § 17 Absatz 2 Berufsbildungsgesetz (BBiG), gestaffelt nach Ausbildungsjahren.

Arbeitgeber haben daher die Verträge entsprechend zu prüfen und ggfs. nachzubessern. Hierbei sollten Arbeitgeber auch das Nachweisgesetz im Blick behalten, das verlangt, dass wesentliche Arbeitsbedingungen vom Arbeitgeber schriftlich niedergelegt und dem Arbeitnehmenden ausgehändigt werden. Hierzu zählt auch das Gehalt des Arbeitnehmenden.

Diese Pflicht gilt auch für Änderungen der Arbeitsbedingungen und zwar ab dem Tag, ab dem die Änderung gelten soll. Bei einem Verstoß kann ein Bußgeld von bis zu 2.000,00 Euro drohen.
 

3. Meldepflicht bei Elternzeit

Arbeitgeber haben zukünftig für Elternzeiten, die ab dem 01.01.2024 anfangen, den Beginn und das Ende der Elternzeit für gesetzlich krankenversicherte Personen, zusätzlich zu den „normalen“ Unterbrechungsmeldungen der Krankenkasse mitzuteilen. Die Meldungen sind dann jeweils mit der nächsten Entgeltabrechnung, spätestens sechs Wochen nach dem Beginn bzw. dem Ende der Elternzeit vorzunehmen.

Wird während der Elternzeit eine mehr als geringfügige Beschäftigung beim selben Arbeitgeber aufgenommen, hat dieser eine Ende-Meldung abzugeben. Die Meldungen müssen nicht vorgenommen werden, wenn es sich um privat krankenversicherte Mitarbeitende oder geringfügig Beschäftigte handelt sowie wenn während einer Elternzeit eine geringfügige Beschäftigung aufgenommen wird.

4. Neuregelung beim Kinderkrankengeld

Zum Jahresbeginn wurde auch die Anspruchsdauer für den Bezug von Kinderkrankengeld erhöht. Für gesetzlich krankenversicherte Eltern steigen die Kinderkrankheitstage damit auf 15 Arbeitstage pro Kind, das jünger ist als 12 Jahre. Alleinerziehende haben ab 2024 Anspruch auf 30 Arbeitstage Kinderkrankengeld. Die Gesamtzahl der jährlichen Anspruchstage pro Elternteil steigt damit auf insgesamt 35 Arbeitstage und für Alleinerziehende auf 70 Arbeitstage pro Jahr.

Der Anspruch auf Kinderkrankengeld besteht nur dann gegen die Krankenkasse, wenn der Arbeitgeber die Regelung des § 616 BGB vertraglich ausgeschlossen hat.


5. Auslaufen der Inflationsausgleichsprämie

Nur noch bis Ende 2024 können Arbeitgeber ihren Beschäftigten eine steuer- und sozialabgabenfreie Inflationsausgleichsprämie gewähren. Die Prämie kann in mehreren Teilbeträgen ausbezahlt werden und muss nicht an alle Mitarbeitenden ausbezahlt werden. Bei der konkreten Ausgestaltung sind jedoch nicht nur arbeitsrechtliche, sondern auch steuerrechtliche Vorgaben zu beachten. Bei Rückfragen kommen Sie daher gerne auf uns zu!

6. Elektronische Meldung von Arbeitsunfällen

Arbeitsunfälle und Berufskrankheiten können ab dem 01.01.2024 digital gemeldet werden. Die Meldung kann über das Serviceportal der gesetzlichen Unfallversicherung erfolgen. Ab dem 01.01.2028 wird eine elektronische Meldung dann für alle Betriebe Pflicht. Eine Meldung in Papierform ist daher noch bis Ende 2027 zulässig.


7. Erhöhung der Ausgleichsabgabe

Alle privaten und öffentlichen Arbeitgeber mit mindestens 20 Arbeitsplätzen müssen gemäß § 154 SGB IX wenigstens 5% der Arbeitsplätze mit schwerbehinderten Menschen besetzen. Halten sich Arbeitgeber nicht an diese Vorgabe, ist abhängig von der Anzahl besetzter Pflichtarbeitsplätze eine Ausgleichsabgabe zu zahlen. Ist keiner der Pflichtarbeitsplätze mit einem schwerbehinderten Menschen besetzt, beträgt die Ausgleichsquote nunmehr 720,00 Euro. Die erhöhte Ausgleichsabgabe ist Ende März 2025 zu zahlen, wenn sie für das Jahr 2024 fällig wird. Für kleinere Arbeitgeber gelten aber weiterhin Sonderreglungen. Kommen Sie bei Fragen zu den aktuellen Änderungen und der Umsetzung in Ihrem Unternehmen gerne auf uns zu!

Mal was Intelligentes aus Brüssel – Die europäische KI-Verordnung kommt!

Am 14.06.2023 hat sich das Europäische Parlament nach langen Diskussionen auf einen „Vorschlag für eine Verordnung… zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union“ verständigt. Es wird erwartet, dass das Projekt KI-Gesetz („Artificial Intelligence Act“ oder kurz AI-Act) noch Ende 2023 abgeschlossen werden kann.

Das Thema ist dank ChatGPT nicht mehr nur Hollywood-Fiktion, sondern längst faszinierende und manchmal auch beunruhigende Realität. Obwohl sonst schnell der Vorwurf der Überregulierung durch die EU erhoben wird, kann es in diesem Bereich nicht schaden, wenn man den technischen Quantensprung so schnell und detailliert wie möglich mit Vorschriften in die richtigen Bahnen lenkt. Es gilt, Risiken für die Anwender zu minimieren, Rechte zu sichern und notfalls welche zu schaffen. Zugleich brauchen Unternehmen dringend Rechtssicherheit, wenn es um den Einsatz von KI geht. Je nach Branche werden unterschiedlich starke Auswirkungen von Technik und Recht spürbar sein.

Dieser Artikel soll zunächst einen Überblick über die zu erwartende Rechtsentwicklung geben, in weiteren Artikeln werden wir ein Licht auf die einzelnen Rechtsbereiche und Branchen werfen.

Wie lautet die Geschichte hinter dem KI-Gesetz?

Auch wenn es den Anschein hat, dass die EU mit dem KI-Gesetz erst spät auf die Entwicklungen bei ChatGPT & Co. reagiert hat, so reicht die Historie doch weiter zurück. Schon 2018 gab es auf europäischer Ebene ein Strategiepapier, 2019 einen Bericht einer Expertenkommission und 2020 das „Weißbuch zur Künstlichen Intelligenz“ der EU-Kommission. Letztere hatte den ersten Entwurf zum KI-Gesetz im April 2021 präsentiert. Allerdings hat die rasante Entwicklung der letzten Monate die Diskussionen rund um den Verordnungsentwurf nachvollziehbar beeinflusst, so dass bis zuletzt noch um die endgültige Fassung gerungen wird.

Der Rat der EU veröffentlichte am 06.12.2022 eine allgemeine Ausrichtung zum Verordnungs-Vorschlag. Am 27.04.2023 einigte sich das Parlament auf eine Stellungnahme, die leitenden Ausschüsse stimmten am 11.05.2023 über den Entwurf ab. Im EU-Parlament erfolgte im Juni 2023 dann eine finale Abstimmung, wieder mit erheblichen Änderungen. Die KI-Verordnung soll noch 2023 in Kraft treten, die meisten Vorschriften gelten dann allerdings erst nach weiteren 24 Monaten. Zuvor werden noch Gespräche mit den Mitgliedsstaaten über den finalen Verordnungstext geführt, so dass nachvollziehbar ist, dass sich dieser Beitrag nur mit der aktuellen Fassung beschäftigen kann – Änderungen also vorbehalten.

Die ausgegebenen Ziele des KI-Gesetzes klingen anfänglich widersprüchlich: Es soll transparente Regeln für den Umgang mit KI-gesteuerten Systemen schaffen, jedweden schädlichen Einfluss beschränken sowie Grundrechte der Bürger sichern. Allerdings will man zugleich den EU-weiten Wettbewerb fördern und Überregulierung vermeiden, so dass Europa bei der weltweiten Entwicklung nicht abgehängt wird. Beide Ansinnen werden am Ende zu einem Kompromiss nötigen, der nicht ohne Kritik bleiben kann.

Wer ist vom KI Gesetz betroffen?

Wer glaubt, von der Regulierung seien nur „Large Language Models“ wie ChatGPT betroffen, der irrt nachhaltig. Nach der im KI-Gesetz bewusst weit gefassten Definition handelt es sich bei KI um ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeitet und für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die die physische oder virtuelle Umgebung beeinflussen. Diese Begriffsbestimmung ist sehr weit gefasst und nimmt nach dem letzten Entwurf bewusst nicht Bezug auf Software. Daher sind von der Verordnung auch Bereiche tangiert, in denen KI schon jetzt wie selbstverständlich im Hintergrund wichtige Aufgaben erfüllt. Virtuelle Assistenten, Chatbots und Empfehlungsdienste bei Streaminganbietern sind ebenso betroffen wie Spamfilter und intelligente Hilfen im Marketing oder Recruiting. Der Einsatz von KI in der Medizin bei der Diagnose von Krankheiten sei zusätzlich hervorgehoben, den Bogen zum Autonomen Fahren oder dem Metaverse wollen wir an dieser Stelle gar nicht erst spannen.

Die KI-Verordnung soll in der derzeitig bekannten Fassung für alle Anbieter und Anwender von KI-Systemen gelten. Das gilt unabhängig davon, ob diese in der Union oder in einem Drittland niedergelassen sind. Für Händler, Einführer von KI-Systemen, Bevollmächtigte von Anbietern von KI-Systemen sowie Hersteller bestimmter Produkte ist der Anwendungsbereich ebenso eröffnet, wenn diese in der Union niedergelassen oder ansässig sind. Die insoweit geltenden Regelungen sind vergleichbar mit dem Marktortprinzip aus der DSGVO.

Was wird geregelt?

Grundlegend für das Verständnis der KI-Verordnung ist der Gedanke des risikobasierten Ansatzes: Um feststellen zu können, welche Compliance- und Informationspflichten durch Unternehmen einzuhalten sind, ist die jeweilige KI-Technologie unter Berücksichtigung der Zweckbestimmung und der konkreten Anwendungsrichtlinien zu kategorisieren. Von einem geringeren Risiko bis zum hohen Risiko kann gewählt werden. Liegt allerdings ein unannehmbares Risiko vor, ist die Anwendung strikt untersagt – so wie nach dem letzten Stand des Entwurfs auch die biometrische Massenüberwachung. Für Hochrisiko-KI-Systeme hält die Verordnung sodann in der Folge eine Menge Pflichten bereit.

Neu im Juni 2023 hinzugekommen ist in Art. 4 des Entwurfs ein Katalog von Prinzipien für alle KI-Systeme. Demnach geht man über die Vorgabe freiwilliger Verhaltenskodizes hinaus und verlangt von den Betroffenen des Gesetzes die Einhaltung nachvollziehbarer Grundsätze:

  • Menschliches Handeln und menschliche Aufsicht bedeutet, dass KI-Systeme als Werkzeug entwickelt und verwendet werden, das den Menschen dient, die Menschenwürde und die persönliche Autonomie achtet und so funktioniert, dass es von Menschen angemessen kontrolliert und überwacht werden kann.
  • Technische Robustheit und Sicherheit bedeutet, dass KI-Systeme so entwickelt und verwendet werden, dass unbeabsichtigte und unerwartete Schäden minimiert werden und dass sie im Fall unbeabsichtigter Probleme robust und widerstandsfähig gegen Versuche sind, die Verwendung oder Leistung des KI-Systems so zu verändern, dass dadurch die unrechtmäßige Verwendung durch böswillige Dritte ermöglicht wird.
  • Privatsphäre und Datenqualitätsmanagement bedeutet, dass KI-Systeme im Einklang mit den geltenden Vorschriften zum Schutz der Privatsphäre und zum Datenschutz entwickelt und verwendet werden und dabei Daten verarbeiten, die hohen Qualitäts- und Integritätsstandards genügen.
  • Transparenz bedeutet, dass KI-Systeme so entwickelt und verwendet werden müssen, dass sie angemessen nachvollziehbar und erklärbar sind, wobei den Menschen bewusst gemacht werden muss, dass sie mit einem KI-System kommunizieren oder interagieren, und dass die Nutzer ordnungsgemäß über die Fähigkeiten und Grenzen des KI-Systems und die betroffenen Personen über ihre Rechte informiert werden müssen.
  • Vielfalt, Diskriminierungsfreiheit und Fairness bedeutet, dass KI-Systeme in einer Weise entwickelt und verwendet werden, die unterschiedliche Akteure einbezieht und den gleichberechtigten Zugang, die Geschlechtergleichstellung und die kulturelle Vielfalt fördert, wobei diskriminierende Auswirkungen und unfaire Verzerrungen, die nach Unionsrecht oder nationalem Recht verboten sind, verhindert werden.
  • Soziales und ökologisches Wohlergehen bedeutet, dass KI-Systeme in nachhaltiger und umweltfreundlicher Weise und zum Nutzen aller Menschen entwickelt und verwendet werden, wobei die langfristigen Auswirkungen auf den Einzelnen, die Gesellschaft und die Demokratie überwacht und bewertet werden.

Für Hochrisiko-KI-Systemen gibt es im KI-Gesetz u.a. in den Artikeln 8 bis 15 spezielle Anforderungen, die Anbieter von so genannten Basismodellen setzen diese Grundsätze durch die in den Artikeln 28 bis 28b festgelegten Anforderungen um. Alle anderen KI-Systeme erfüllen die Prinzipien durch Einhaltung der für sie geltenden Bestimmungen im KI-Gesetz bzw. durch darauf abgestimmte technische Spezifikationen.

Zum speziellen Thema der Transparenz ist von jedem Anbieter von KI-Systemen, die für die Interaktion mit natürlichen Personen bestimmt sind, sicherzustellen, dass die natürliche Person, die einem KI-System ausgesetzt ist, rechtzeitig, klar und verständlich darüber informiert wird, dass sie es mit einem KI-System zu tun hat. Das gilt nur dann nicht, wenn dies ist aufgrund der Umstände und des Kontexts der Nutzung offensichtlich ist. Zu den in diesem Zusammenhang geschuldeten Informationen sollen nach dem letzten Entwurfsstand u.a. die Frage nach der menschlichen Aufsicht und die Einspruchsmöglichkeit in Bezug auf Entscheidungen gehören.

Nicht unwichtig ist auch, dass nach Art. 4b des Entwurfs bei allen Beteiligten eine ausreichende KI-Kompetenz herbeigeführt werden soll. Dafür haben die Mitgliedstaaten in der Breite zu sorgen, aber auch die einzelnen Anbieter und Betreiber müssen sicherstellen, dass u.a. ihre Mitarbeitenden „über ein ausreichendes Maß an KI-Kompetenz verfügen“. Es wird sicher spannend, diese Anforderung mit Leben zu füllen.

Für die Freunde der Allgemeinen Geschäftsbedingungen bei Anbietern von Hochrisiko-KI-Systeme gibt es mit Art. 28a des Entwurfs noch ein besonderes Schmankerl, nämlich eine Liste von missbräuchlichen Vertragsklauseln, die man einem KMU oder einem Startup im Zusammenhang mit dem System nicht einseitig auferlegen kann.

Was wird nicht geregelt?

Das sicherlich für viele Unternehmen relevante Thema der Haftung ist nicht Gegenstand der KI-Verordnung. Man darf sich aber nicht zu früh freuen: Dafür hat die Kommission im September 2022 u.a. einen Entwurf zu einer Richtlinie über KI-Haftung veröffentlicht. Mit Elementen wie der Kausalitätsvermutung und dem erleichterten Zugang zu Beweismitteln möchte diese Richtlinie sicherstellen, dass Opfer von durch KI-Technologie verursachten Schäden in gleicher Weise entschädigt werden, als wenn dies unter anderen Umständen geschehen wäre. Mit den Auswirkungen dieser Richtlinie beschäftigt sich noch eingehend ein Folgebeitrag.

Was ist zu tun?

Das Ringen um die letztlich geltende Fassung ist noch nicht abgeschlossen. Die einen bemängeln eine Überregulierung, die anderen verlangen nach noch mehr Schutz der Grundrechte. Welche Verpflichtungen am Ende auf die beteiligten Unternehmen wirklich zukommen, kann noch nicht seriös vorhergesagt werden. Größere Änderungen sind allerdings nach dem bisherigen zähen Ringen nicht mehr zu erwarten. Eins scheint jedenfalls sicher: In Analogie zur Datenschutz-Grundverordnung wird die Zeit bis zur Geltung der weitreichenden Regelungen trotz des zweijährigen Geltungsaufschubs am Ende wieder sehr knapp bemessen sein. Es geht für Anbieter und Anwender nicht nur um die Erfüllung von Informationspflichten, sondern um eine grundlegende Risikoeinschätzung und ggf. um die Neuausrichtung von Herstellungs- und Anwendungsprozessen. Je eher die oben dargestellten Grundsätze verinnerlicht und umgesetzt sind, desto besser wird man in Zukunft aufgestellt sein.

Beschwerdeverfahren nach dem Lieferkettensorgfaltspflichtengesetz (LkSG)

Die Pflicht, eine Beschwerdestelle nach den gesetzlichen Vorgaben des Lieferkettensorgfaltspflichtengesetzes (LkSG) ab spätesten dem 01.01.2024 einzurichten, rückt für Unternehmen, die in der Regel mindestens 1000 Arbeitnehmer beschäftigen, immer näher. Für Unternehmen, die in der Regel mindestens 3000 Arbeitnehmer beschäftigen, muss eine Beschwerdestelle bereits eingerichtet worden sein. Zu den Meldesystemen nach dem Hinweisgeberschutzgesetz (HinSchG) und dem LkSG wurde bereits im Februar 2023 ein Newsletterartikel unsererseits veröffentlicht.

Pflicht zur Einrichtung einer Beschwerdestelle

Gemäß § 8 Abs. 1 LkSG müssen Unternehmen, die in den Geltungsbereich des LkSG fallen, ein angemessenes unternehmensinternes Beschwerdeverfahren einrichten. Das Beschwerdeverfahren dient als Kernelement der Sorgfaltspflichten dazu, menschenrechtliche und umweltbezogene Risiken oder Verletzungen zu melden, die durch das wirtschaftliche Handeln eines Unternehmens im eigenen Geschäftsbereich oder entlang der Lieferkette (z.B. bei dem unmittelbaren Zulieferer) entstanden sind.

Die Unternehmen haben hierbei zum einen die Möglichkeit, eine oder mehrere interne Beschwerdestellen (eine Meldestelle für interne Mitarbeiter und eine Meldestelle für Dritte) einzurichten. Des Weiteren können Unternehmen sich aber auch an einem unternehmensübergreifend externen Beschwerdeverfahren beteiligen gemäß § 8 Abs. 1 Satz 6 LkSG. Darunter versteht man insbesondere Beschwerdemechanismen, die von Branchenverbänden eingerichtet werden.

Der Zugang zu einer Beschwerdestelle muss sowohl den Arbeitnehmern der Unternehmen entlang der Lieferkette (auch unmittelbaren Zulieferern) als auch sonstigen Personen (z.B. Anwohnern rund um die lokalen Standorte) offenstehen. Hierbei gilt es zu beachten, dass eine eigene Verletzung oder Betroffenheit von der Risikolage auf Seiten des Hinweisgebers nicht erforderlich ist. Zudem können Hinweise auch von Minderjährigen abgegeben werden. Die Abgabe von anonymen Hinweisen ist ebenfalls gesetzlich zulässig.

Empfehlenswert kann es in diesem Zusammenhang auch sein, dass unmittelbare Zulieferer selbst eine Meldestelle einrichten, um menschrechtliche und umweltbezogene Missstände oder Risiken im eigenen Unternehmen frühestmöglich zu beseitigen oder gar gänzlich zu verhindern. Womöglich sind viele der Zulieferer ohnehin aufgrund des HinSchG bereits jetzt oder spätestens ab dem 17.12.2023 gesetzlich dazu verpflichtet, eine solche interne Meldestelle einzurichten. Diese kann unter Umständen auch als Beschwerdestelle im Sinne des LkSG genutzt werden. Durch die Einrichtung einer solchen Beschwerdestelle, bei der eben auch menschrechtliche und umweltbezogene Risiken oder Verletzungen gemeldet werden können, könnten sich unmittelbare Zulieferer erheblich von anderen Konkurrenten abheben und zielgerichtet dazu beitragen, dass Unternehmen die gesetzlichen Anforderungen des LkSG erfüllen. Denn ohnehin werden vor allem die unmittelbaren Zulieferer von den vom LkSG betroffenen Unternehmen dazu aufgefordert werden, bei der Einhaltung der gesetzlichen Vorgaben des LkSG mitzuwirken.

Wesentliche Pflichten der Beschwerdestelle

Sobald eine Meldung bei der Beschwerdestelle eingegangen ist, muss der Eingang der Meldung bestätigt werden. Eine konkrete Frist, bis wann eine solche Eingangsbestätigung erfolgen muss, ist gesetzlich nicht festgelegt. Dennoch sollte die Eingangsbestätigung im Hinblick auf den Zweck der Vorschrift zügig erfolgen. Der Eingang des Hinweises ist intern zu dokumentieren.

Darüber hinaus sollte laut der Handreichung des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) der Hinweisgeber auch über die nachfolgenden Schritte (u.a. den aktuellen Stand des Verfahrens) sowie den zeitlichen Verlauf des Verfahrens und seine Rechte bzgl. des Schutzes vor Benachteiligungen bzw. Bestrafung informiert werden.

Erörterungspflicht und einvernehmliche Streitbeilegung

Weiterhin muss gemeinsam mit dem Hinweisgeber der Sachverhalt näher erörtert werden. Es muss daher ein konkreter Austausch mit dem Hinweisgeber stattfinden, um den Sachverhalt umfassend aufzuklären und Missstände/Risiken zu beheben. Die Erörterung sollte vorzugsweise mündlich (in Präsenz, telefonisch oder per Videokonferenz) stattfinden, um einen aufwändigen Schriftverkehr zu vermeiden. Eine schriftliche Erörterung ist jedoch gesetzlich ebenfalls zugelassen. Die wesentlichen Gesprächsinhalte sollten protokolliert werden. Empfehlenswert ist, die Personen, die diese Gespräche mit dem Hinweisgeber durchführen, entsprechend zu schulen, vor allem in Fällen, in denen Hinweisgeber von Risiken bzw. Verletzungen stark betroffen oder ggf. auch traumatisiert sind.

Es besteht auch die Möglichkeit, dem Hinweisgeber die Option einer einvernehmlichen Streitbeilegung gemäß § 8 Abs. 1 LkSG aufzuzeigen. Im Rahmen der einvernehmlichen Streitbeilegung suchen die beteiligten Parteien einen vermittelnden neutralen Dritten auf, um gemeinsam zu einer einvernehmlichen Lösung zu gelangen. Die einvernehmliche Streitbeilegung hat unter anderem den Vorteil, Kosten zu vermeiden, die aufgrund von langwierigen Verhandlungen oder Untersuchungen anfallen würden.

Veröffentlichung einer Verfahrensordnung

Des Weiteren werden die Unternehmen dazu verpflichtet, eine Verfahrensordnung in Textform zu veröffentlichen. Nähere Bestimmungen, welche inhaltlichen Aspekte in der Verfahrensordnung geregelt sein müssen, sind im Gesetzeswortlaut nicht enthalten. Es ist jedoch empfehlenswert, u.a. über die eingerichteten Beschwerdekanäle zu berichten, die Zuständigkeit und Erreichbarkeit näher zu benennen sowie Informationen darüber zu erteilen, dass der Hinweisgeber keine Repressalien aufgrund der Abgabe eines Hinweises zu befürchten hat, und vieles mehr.

Eignung und Qualifikation von zuständigen Personen

Die von dem Unternehmen mit der Durchführung des Verfahrens betrauten Personen müssen Gewähr für unparteiisches Handeln bieten, insbesondere müssen sie unabhängig sein und dürfen an Weisungen nicht gebunden sein (d.h. die zuständigen Personen dürfen nicht in einem Abhängigkeitsverhältnis zu den Konfliktparteien stehen und auch nicht deren Weisungen unterworfen sein). Sie sind zudem zur Verschwiegenheit verpflichtet.

Durchführung der Überprüfung

Die Wirksamkeit des Beschwerdeverfahrens muss mindestens einmal im Jahr sowie anlassbezogen überprüft werden, wenn das Unternehmen mit einer wesentlich veränderten oder wesentlich erweiterten Risikolage im eigenen Geschäftsbereich oder beim unmittelbaren Zulieferer rechnen muss gemäß § 8 Abs. 5 LkSG (z.B. durch die Einführung neuer Produkte, Projekte oder eines neuen Geschäftsfeldes). Die Maßnahmen sind bei Bedarf unverzüglich zu wiederholen.

Nutzung der internen Meldestelle nach dem HinSchG als Beschwerdestelle

Viele Unternehmen werden aufgrund des bereits geltenden HinSchG eine interne Hinweisgebermeldestelle eingerichtet haben. Es kann daher ratsam sein, zu prüfen, ob diese bereits bestehenden Meldestellen auch als Beschwerdestelle gemäß dem LkSG genutzt werden können. Grundsätzlich ist es zulässig, eine eingerichtete interne Meldestelle auch als Beschwerdestelle nach dem LkSG zu nutzen. Unternehmen sollten demnach prüfen, ob Ihre interne Meldestelle auch die Möglichkeit eröffnet, Hinweise über menschenrechtliche und umweltbezogene Risiken und Verletzungen entgegenzunehmen. Zudem müsste die interne Meldestelle dann aber auch so ausgestaltet sein, dass Dritte Zugang zu dieser Meldestelle erlangen können. Unternehmen sollten daher genau prüfen, ob ihre nach dem HinSchG eingerichtete interne Meldestelle auch als Beschwerdestelle gemäß § 8 LkSG genutzt werden kann und hierbei alle rechtlichen Anforderungen, die das LkSG stellt, erfüllt sind.

Ausblick

Unternehmen sollten die Einrichtung eines Beschwerdeverfahrens als Chance ansehen. Denn Beschwerdeverfahren können dazu beitragen, dass Unternehmen aufgrund eingehender Hinweise Nachschärfungen bei der eigenen Risikoanalyse vornehmen. Weiterhin kann durch Rücksprache mit dem Hinweisgeber in vielen Fällen eine schnelle Abhilfe der bestehenden Missstände bzw. möglichen Risiken geschaffen werden. Unser kompetentes Compliance-Team berät Sie gern bei rechtlichen Fragen, die hinsichtlich der Einrichtung einer Beschwerdestelle entstehen sowie zu allgemeinen Rückfragen hinsichtlich der gesetzlichen Regelungen des LkSG. Auch unmittelbare Zulieferer werden von nach dem LkSG verpflichteten Unternehmen dazu aufgefordert werden, ggf. selbst ein solches Beschwerdesystem einzuführen oder andere Vertragsbedingungen zu unterzeichnen, um den Anforderungen des LkSG gerecht zu werden. Hierbei unterstützt Sie unser Compliance-Team jederzeit gern.

Hilfe! Wir haben schlechte Bewertungen erhalten!

Wir alle kennen sie und wir alle verlassen uns auch in vielen Fällen auf sie: Die Bewertung in diversen Internet-Portalen. Sei es der Kauf eines Produkts, bei Buchen einer Dienstleistung und vielfach auch bei der Auswahl des Arbeitgebers – häufig hängt die Entscheidungsfindung von den Bewertungen in den einschlägigen Portalen ab.

Die eigene Online-Präsenz bringt es mit sich, dass sich Unternehmen den Urteilen der eigenen Mitarbeitenden, der Kunden und manchmal auch weiteren Dritten stellen müssen.

In diesem Beitrag wollen wir einen Überblick geben, welche Bewertungen geduldet werden müssen und wann sich ein Vorgehen gegen Bewertungen lohnt.

Der Grundsatz – Meinungsfreiheit oder warum ein Unternehmen kritische bis unfaire Bewertungen dulden muss

Im Grundsatz gilt: Wer im Internet zu finden ist, der muss damit rechnen, dass verärgerte Beschäftigte und Kunden sich mit einer negativen Bewertung für (empfundene) Schlechtbehandlung „revanchieren“.

Ob ein Vorgehen gegen eine Bewertung Aussicht auf Erfolg hat, hängt – wie sollte es auch anders sein – vom jeweiligen Einzelfall ab. Die Einzelfälle lassen sich grob in die nachfolgend dargestellten Kategorien einsortieren.

Meinung oder Schmähkritik

Besteht eine Bewertung aus der Meinung des Bewertenden, ist die Bewertung grundsätzlich von der in Artikel 5 Grundgesetz verankerten Meinungsfreiheit gedeckt und muss dann geduldet werden.

Unter „Meinung“ ist alles zu verstehen, was nicht einem Beweis zugänglich ist. Vereinfacht gesagt: eine Meinung ist dadurch gekennzeichnet, dass diese nicht als „wahr“ oder „unwahr“ eingestuft werden kann, also nicht objektiv überprüfbar ist. Die Meinung ist vielmehr vom Element der Stellungnahme, der Bewertung und der Beurteilung geprägt.

Allerdings hat auch die Meinungsfreiheit ihre Grenzen. Dies ist dann der Fall, wenn die Meinung die Grenze zur Schmähkritik übersteigt. Eine solche Schmähkritik liegt dann vor, wenn die Diffamierung des Bewerteten und gerade nicht die Auseinandersetzung mit der Sache im Vordergrund steht. Bei der Frage der Abgrenzung, ob eine Äußerung (gerade noch) im Zusammenhang mit der Sache steht, sind viele Gerichte sehr großzügig.

Dies zeigte sich in jüngster Vergangenheit an Äußerungen über eine Politikerin. So stellte das Kammergericht Berlin mittels Beschlusses (Beschluss vom 11.03.2020, Az. 10 W 13/20) – zur Überraschung vieler – fest, dass z.B. die Bezeichnungen „Dieses Stück Scheisse. Überhaupt so eine Aussage zu treffen zeugt von kompletter Geisteskrankheit.“ und „Schlampe“ einen Sachbezug zu einem von der Politikerin getätigten Zwischenruf im Berliner Abgeordnetenhaus hatten.

Erst auf Einschreiten des Bundesverfassungsgerichts (Beschluss vom 19.12.2021, Az. 1 BvR 1073/20) korrigierte das Kammergericht Berlin seine ursprüngliche Rechtsauffassung und stufte diese und weitere Begriffe als unzulässige Schmähkritik ein.Die Schmähkritik von der zulässigen Meinungsäußerung abzugrenzen, fällt nicht nur den Richterinnen und Richtern am Berliner Kammergericht schwer.

Aber eine genaue Prüfung, ob die Grenze zur Schmähkritik überschritten ist, ist entscheidend dafür, ob für die Löschung einer Bewertung (sehr) gute Erfolgsaussichten bestehen oder nicht.

(Unwahre) Tatsachen

Etwas einfacher als die Abgrenzung von zulässiger Meinungsfreiheit und Schmähkritik ist die Abgrenzung von Meinung und Tatsache. Im Gegensatz zur Meinung ist die Tatsache dem Beweis zugänglich. Eine Tatsache liegt immer dann vor, wenn diese auf den Wahrheitsgehalt hin überprüfbar ist.

In Bewertungen muss ein Unternehmen nur wahre Tatsachenbehauptungen dulden. Erweist sich eine Behauptung des Bewertenden jedoch als unwahr, lohnt sich in der Regel ein juristisches Vorgehen gegen den Bewertenden.

Dies ist z.B. auch dann der Fall, wenn Bewertende ein Unternehmen ohne Angaben weiteren Inhalts mit einem Stern bewerten, obwohl Bewertende und Bewerteter gar nicht in einer Kundenbeziehung oder in einem Beschäftigungsverhältnis standen. Dies ist in der Praxis durchaus nicht unrelevant, denn auch Mitbewerber können den Versuch unternehmen, die Konkurrenz durch schlechte Bewertungen zu diskreditieren.

Mischform: Meinung und Tatsachen

In der Praxis bestehen Bewertungen selten aus reinen Meinungen oder reinen Tatsachenbehauptungen. Vielmehr sind häufig beide Elemente in einer einzelnen Bewertung miteinander vermischt oder vereint. Können die geäußerten Tatsachen nicht von den Meinungen getrennt werden, ist auf den Gesamtkontext der Bewertung abzustellen. Hierbei ist dann der Schwerpunkt der Bewertung insgesamt zu ermitteln.

Auch im Rahmen dieser Abwägung wird die grundrechtlich geschützte Meinung sehr weit ausgelegt. Bei einer gemischten Äußerung wird in der Regel davon ausgegangen, dass diese als Meinung zu verstehen ist.

Aber auch hier lohnt sich eine genaue Prüfung des Einzelfalls zur Ermittlung der Chancen eines Vorgehens. 

Wie kann MKM unterstützen?

Schlechte Bewertungen können für Unternehmen somit dazu führen, dass Bewerbungen ausbleiben oder Interessenten nicht zu Kunden werden. Aus diesem Grund sollten Sie Ihre Bewertungen stets im Blick haben.

Wir unterstützen Sie selbstverständlich gerne bei der Prüfung der Erfolgsaussichten eines Vorgehens gegen eine Bewertung bis hin zur gerichtlichen Auseinandersetzung mit den Bewertenden.

Haben Sie keine eigenen Kapazitäten für das Monitoring der Bewertungen Ihres Unternehmens auf diversen Plattformen? Wir übernehmen auch gerne das Monitoring und bereiten für Sie auf Wunsch die Entscheidungsgrundlage vor, ob Sie gegen eine Bewertung vorgehen möchten oder nicht. Sprechen Sie unser Team am besten einfach an!

BGH verschärft Aufklärungspflichten für Immobilienverkäufer

Mit Urteil vom 15.09.2023 zum Aktenzeichen V ZR 77/22 stellte der Bundesgerichtshof nunmehr klar, dass der Verkäufer eines bebauten Grundstücks, der dem Käufer Zugriff auf einen Datenraum mit Unterlagen und Informationen zur Immobilie gewährt, seine Aufklärungspflicht nur dann erfüllt, wenn und soweit er aufgrund der Umstände die berechtigte Erwartung haben kann, dass der Käufer durch Einsichtnahme in den Datenraum tatsächlich Kenntnis von dem offenbarungspflichtigen Umstand erlangen kann.

Sachverhalt

Der Streitfall betrifft den Kauf mehrerer Gewerbeeinheiten in einem großen Gebäudekomplex im Wert von über 1,5 Millionen Euro unter Ausschluss der Sachmängelhaftung. Im Kaufvertrag versicherte die Verkäuferin, dass keine Beschlüsse gefasst seien, aus denen sich eine künftige Sonderumlage ergäbe und nach ihrer Kenntnis keine außergewöhnlichen Sanierungen bevorstünden, deren Kosten durch die Instandhaltungsrücklage nicht gedeckt seien. Weiter hieß es in dem Kaufvertrag, die Verkäuferin habe der Käuferin Protokolle der Eigentümerversammlungen der vergangenen drei Jahre übergeben, und die Käuferin kenne den Inhalt der Unterlagen.

Im Rahmen der Kaufvertragsverhandlungen erhielt die Käuferin Zugriff auf einen von der Verkäuferin eingerichteten virtuellen Datenraum, der verschiedene Unterlagen zu dem Kaufobjekt enthielt. Drei Tage vor Vertragsschluss stellte die Verkäuferin dort das Protokoll einer Eigentümerversammlung ein, aus welchem sich ergab, dass auf die Käuferin Kosten von bis zu 50 Millionen Euro für die Instandhaltung des Gemeinschaftseigentums zukommen könnten. Nachdem die Mehrheitseigentümerin die Zahlung der Instandhaltungskosten verweigerte, kam es zu einer gerichtlichen Auseinandersetzung, in welcher ein Vergleich mit dem Inhalt geschlossen wurde, dass die Eigentümer der Gewerbeeinheiten eine Sonderumlage zahlen sollten.

Daraufhin focht die Käuferin den Kaufvertrag wegen arglistiger Täuschung an und erklärte vorsorglich den Rücktritt vom Kaufvertrag. Die Käuferin begründete ihr Vorgehen damit, dass ihr das Protokoll untergeschoben worden sei, da dieses erst kurz vor dem Notartermin klammheimlich hochgeladen wurde.Mit der Klage verlangt die Klägerin die Freistellung von den zur Finanzierung des Kaufpreises eingegangenen Darlehensverbindlichkeiten, hilfsweise die Zahlung von 1.500.000 €, daneben die Zahlung von 184.551,82 € – jeweils Zug um Zug gegen Übereignung der Gewerbeeinheiten und Abtretung der Rückgewähransprüche bezüglich der eingetragenen Grundschulden – sowie die Feststellung der Ersatzpflicht für künftige Schäden und des Annahmeverzugs.

Entscheidung der Vorinstanzen

Das Landgericht hat die Klage abgewiesen. Das Oberlandesgericht hat die Berufung der Klägerin zurückgewiesen. Mit der von dem Bundesgerichtshof zugelassenen Revision hat die Klägerin ihre Klageanträge weiterverfolgt.

Entscheidung des BGH

Der Bundesgerichtshof hat das Urteil des Berufungsgerichts im Wesentlichen aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Die Annahme des Berufungsgerichts, die Verkäuferin habe hinsichtlich des Kostenumfangs für die anstehenden Sanierungsmaßnahmen keine sie treffende Aufklärungspflicht verletzt, sei rechtsfehlerhaft.

Der BGH hat in seiner Entscheidung klargestellt, dass allein der Umstand, dass der Verkäufer einen Datenraum einrichtet und dem Kaufinteressenten den Zugriff auf die Daten ermöglicht, nicht stets den Schluss zulässt, dass der Käufer den offenbarungspflichtigen Umstand zur Kenntnis nehmen wird. Nur wenn im Einzelfall die Erwartung gerechtfertigt ist, dass der Käufer bestimmte, von dem Verkäufer in dem Datenraum bereitgestellte Informationen – etwa im Rahmen einer Due Diligence – wahrnehmen und in seine Kaufentscheidung einbeziehen wird, ist eine gesonderte Aufklärung durch den Verkäufer nicht erforderlich. Der BGH hat insofern seine bisherige Rechtsprechung zu übergebenen Papier-Unterlagen sinngemäß auf virtuelle Dokumente in einem Datenraum übertragen.

Ob der Verkäufer erwarten durfte, dass der Käufer durch Einsichtnahme in den Datenraum Kenntnis von dem offenbarungspflichtigen Umstand erlangen wird, hängt von den Umständen des Einzelfalls ab, etwa davon, ob und in welchem Umfang der Käufer – wozu er von Gesetzes wegen nicht verpflichtet ist – eine Due Diligence durchführt, wie der Datenraum und der Zugriff hierauf strukturiert und organisiert sind, welche Vereinbarungen hierzu getroffen wurden, wie wichtig die Information ist, um deren Offenbarung es geht, und wie leicht sie im Datenraum aufzufinden ist.

Auswirkung

Das Urteil hat erhebliche Auswirkungen für künftige Transaktionen, da die bisherige Praxis von Verkäufern, sich allein durch die Offenlegung von Unterlagen von jeder Haftung zu befreien, erheblich eingeschränkt wird. Vielmehr sind diese nunmehr verpflichtet, über für die Kaufentscheidung wesentliche Umstände, frühzeitig und eindeutig aufklären. Der BGH hat mit der nun vorliegenden Entscheidung der bislang üblichen Praxis der Verkäufer, sich allein durch eine übermäßige und bisweilen auch sehr kurzfristige Offenlegung von Unterlagen von jeglicher Haftung frei zu zeichnen, einen Riegel vorgeschoben.