compliance

Kategorie: Compliance

Künstliche Intelligenz

Begriff, (kommende) Gesetze und letzte Änderungen des AI Acts

“AI is too important not to regulate, and too important not to regulate well.” (Sundar Pichai)

Soziale Medien und Fernsehen sind diese Tage voll mit digitalen Produkten und Online-Anwendungen, die bereits sogenannte „KI“ enthalten. Dass uns das Thema also mit aller Macht ereilt und die Gesetzgeber gehalten sind, sich des Themas rasch anzunehmen, daran dürfte kaum mehr ein Zweifel bestehen.

Nachfolgend findet sich neben dem Versuch, den Begriff der KI zu erläutern, ein Überblick über die wichtigsten gesetzlichen Regelungen auf EU- und deutscher Ebene, die in Vorbereitung oder bereits in Kraft getreten sind.

1.    Was wird eigentlich reguliert?
     Ein Abriss zur Definition von KI aus technischer Sicht

Um etwas zu regulieren, muss es – zumindest in der Welt der Juristen – erst einmal definiert werden. Diese Anforderung ist bei der Künstlichen Intelligenz (KI) nicht so einfach. Deswegen hat es auch bei der Ausgestaltung des AI Act der EU hierzu einige Anläufe gegeben.

Grundsätzlich einmal gilt folgendes aus technischer Sicht: Künstliche Intelligenz (KI) ist ein Teilgebiet der Informatik. Sie imitiert menschliche kognitive Fähigkeiten, indem sie Informationen aus Eingabedaten erkennt und sortiert. Diese Intelligenz kann auf programmierten Abläufen basieren oder durch maschinelles Lernen erzeugt werden. Anders als bei herkömmlichen Algorithmen wird kein Lösungsweg modelliert. Der Computer lernt selbstständig die Struktur der Daten zu erkennen.

Beispielsweise können Roboter selbst erlernen, wie sie bestimmte Objekte greifen müssen, um sie von A nach zu B transportieren. Sie bekommen nur gesagt, von wo und nach wo sie die Objekte transportieren sollen. Wie genau der Roboter greift, erlernt er durch das wiederholte Ausprobieren und durch Feedback aus erfolgreichen Versuchen.

Die Begrifflichkeiten rund um die KI bedürfen einer Einordnung. Heutzutage sprechen wir in der Regel von der sog. „schwachen“ KI, die auf verschiedenen Formen des maschinellen Lernens basiert. Der Vorgang einer Entwicklung einer KI geht in diesem Kontext normalerweise von einer sehr großen Datenmenge aus (Big Data), die es zu analysieren gilt, dies geschieht z.B. mit Methoden des Data Mining, durch welche Strukturen und Muster erkannt werden. Darauf hin erfolgt das Training (machine learning) mit Hilfe verschiedener Arten des Lernens:

  1. Supervised Learning: angeleitetes Lernen, bei dem die Ergebnisse vorher bekannt sind.
  2. Unsupervised Learning: Algorithmus erhält weder das gewünschte Ergebnis vorab, noch ein feedback.
  3. Reinforcement Learning: Die selbständig produzierten Ergebnisse des Algorithmus erfahren ein (positives oder negatives) Feedback, das mit Hilfe dieser Wertefunktion und dem Training irgendwann zu den gewünschten Ergebnissen führt.
  4. Künstliche neuronale Netze (KNN): Konzeptionelles Vorbild für KNN ist die Informations-übertragung im menschlichen Nervensystem. Sie entstehen durch die Verknüpfung einer Vielzahl von Neuronen und bestehen aus unterschiedlichen Schichten (Layer). Sind viele dieser sog. versteckten Schichten vorhanden, spricht man von deep learning, die eine hohe Zahl an Trainingsdaten benötigen und komplexere Probleme lösen können.

2.    Überblick über gesetzliche Regelungen

Folgende gesetzliche Regelungen finden sich derzeit rund um die KI im europäischen und / oder nationalen Gesetzgebungsraum:

KI-Verordnung, KI-VO oder auch AI-Act:

Die KI-VO regelt, was KI im Sinne des Gesetzgebers ist und welche Rahmenbedingungen beim Einsatz zu beachten sind. Die KI-VO fordert für KI-Systeme Genauigkeit, Robustheit und Cybersicherheit. Dies bestimmt die Sicherheitserwartungen für die Einordnung eines Produkts als fehlerhaft und damit haftungsrelevant im Sinne der Produkthaftungsrichtlinie (EU ProdHaftRL).

EU Produkthaftungsrichtlinie (Entwurf), ProdHaftRL-E:

Hier geht es um Haftung für Schäden, die u.a. aus der Nutzung von KI (Software) entstehen. Wichtigste Neuerung ist, dass Software als Produkt i.S.d. Richtlinie gelten soll. Eine Klarstellung des Gesetzgebers besagt, dass nicht der Quellcode von Software als Produkt zu betrachten ist, sondern das System selbst, in dem die KI verwendet wird. Hersteller und damit Haftungssubjekt ist der Anbieter(!) von KI (so auch in der KI-VO).

Cyberresilience Act (Entwurf), CRA-E:

Der Anwendungsbereich der CRA-E betrifft sämtliche Produkte mit digitalen Elementen, deren beabsichtigte oder absehbare Nutzung darin liegt, eine direkte und/oder indirekte Verknüpfung gleich welcher Art zu einem Gerät und/oder Netzwerk herzustellen. Für diese sind entsprechende Sicherheitsvorgaben einzuhalten. Wenn durch die Nichteinhaltung der Vorgaben ein Schaden entsteht, kann dies eine Haftung nach der ProdukthaftungsRL (s.o.) bedeuten:

Datenschutzgrundverordnung, DSGVO / Europ. Menschenrechte-Charta, EGMR:

Die DSGO wird dann KI-relevant, wenn personenbezogene Daten oder Daten das Persönlichkeitsrecht betreffend verarbeitet (Trainingszwecke) oder interpretiert (Nutzung) oder erzeugt (wahre Prognosen oder falsche Halluzinationen) werden. Insbesondere Regelung zu sog. automatisierten Entscheidungen, die ohne menschliche Beteiligung stattfinden, können hier relevant werden.

KI-Haftungs-RL-E:

Dies ist eine zusätzliche Richtlinie nur zur Haftung von KI. Das Verhältnis der KI Haftungs-Richtlinie zur ProdHaftRL ist auch unter den Fachleuten noch nicht wirklich geklärt. Im Ergebnis sind jedoch die Produkthaftungs-Regelungen weitergehender sowie genauer und berücksichtigen „selbstlernende Software“. Die ProdHaftRL-E verdrängt daher im Wesentlichen die Vorgaben der KI-Haftungs-RL-E. Weiteres hierzu bleibt abzuwarten.

Trotz dieser Menge an gesetzgeberischen Tätigkeiten – und hier sind nur die relevantesten aufgezählt – bleiben noch zahllose rechtserhebliche Fragen zur künstlichen Intelligenz unbeantwortet oder werden nicht einmal gestellt. Die Themenfelder Urheber- und Patentrecht, Geheimnisschutz, Schutz personenbezogener Daten und Wettbewerbsrecht sind dabei nur die offensichtlichsten. Stattdessen zielt die KI-Verordnung auf Produktsicherheit und Marktregulierung ab.

3.    Der finale Entwurf der KI-VO im Detail

Nachdem wir oben unter Ziffer 1 versucht haben, uns der KI von technischer Seite zu nähern, schauen wir nun auf die Definition, wie sie sich nun in der KI-VO findet. Nachdem wir in unserem Artikel „Mal was Intelligentes aus Brüssel – die europäische KI-Verordnung kommt!“ den Begriff auf der Grundlage eines mittlerweile überholten Entwurfs erläutern haben, können wir nunmehr die endgültige Fassung präsentieren (keine offizielle Übersetzung):

Ein KI-System ist ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeitet und das nach dem Einsatz Anpassungsfähigkeit zeigen kann und das für explizite oder impliziten Zielen aus den Eingaben, die es erhält, ableitet, wie es Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert, die physische oder virtuelle Umgebungen beeinflussen können.“

Ziele der KI VO sind das Schaffen von Vertrauen in eine sog. „menschenzentrierte KI“. Sie soll die Balance finden zwischen Sicherheit und Wahrung der Grundrechte auf der einen Seite und genügend Raum für Innovationen auf der anderen Seite. Aus diesem Grund verfolgt die KI VO einen risikobasierten Ansatz, der eine KI um so enger reguliert, je leistungsfähiger sie ist. Dabei geht sie in ihrer Regulierung von den Basismodellen für KI Software aus und versucht, den darauf jeweils aufbauenden Innovationen genügend Raum für neue Entwicklungen zu lassen. Mit dem zusätzlichen Mittel der obligatorischen Selbstregulierung in Gestalt von Codes of Practice will man – anders als z.B. bei der freiwilligen Selbstregulierung im Digital Services Act (DSA) – die Beteiligten mehr in die Pflicht nehmen und zugleich der hochdynamischen Entwicklung in diesem Bereich Rechnung tragen. Über mögliche Sanktionen im Fall eines Verstoßes gegen solche von der Kommission erarbeiteten Codes of Practice ist allerdings nichts bekannt.

Anstelle der zunächst vorgesehenen Foundation Models (Basismodelle) werden nun KI-Systeme mit allgemeinem Verwendungszweck (generative KI, general purpose AI models) eingeführt. Weiterhin geht es dabei inhaltlich um Systeme, die mit enormen Datenmengen trainiert wurden, ein großes Spektrum an unterschiedlichen Aufgaben durchführen und in eine Vielzahl von nachgelagerten Anwendungen integriert werden können. Allseits bekannte Beispiele sind ChatGPT von OpenAI, Bard aus dem Hause Google und LLaMA von Meta AI. Schon grundsätzlich gelten für diese Modelle wichtige Transparenzpflichten aus Artikel 52 der KI-VO, bei solchen mit systemischen Risiko gelten nach Artikel 52a ff. weitaus strengere Vorschriften in Bezug auf Transparenz, Risikoanalyse und Dokumentation.

Neben der Begrifflichkeit des KI-Systems mit allgemeinem Verwendungszweck ist die Unterteilung in Risikoklassen wesentlich. für hochriskante Anwendungen gelten strengere Regeln als für weniger risikobehaftete. Systeme mit unannehmbarem Risiko sind grundsätzlich verboten. Sie finden sich in Artikel 5 der KI-VO und stellen Anwendungen dar, die als Bedrohung für den Menschen gelten, weil sie das Verhalten von Personen manipulieren, weil sie Menschen aufgrund ihres Verhaltens, persönlicher Merkmale oder ihres sozialen Status’ klassifizieren oder weil sie Gesichtserkennung in Echtzeit im öffentlichen Raum ermöglichen. Gerade zu letzterem Verbot sieht Artikel 5 Ausnahmen vor, die bis zuletzt heftig umstritten waren.

Die zweite Kategorie, die sog. Hochrisiko-KI-Systeme, die ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte darstellen, fallen entweder unter die EU-Produktsicherheitsvorschriften (zB über Spielzeug, Luftfahrt oder medizinische Geräte) oder sie müssen in einer EU-Datenbank in einer von acht Klassen registriert werden (Annex III zur KI-VO). Das gilt beispielsweise für Systeme für die Verwaltung kritischer Infrastrukturen, für die Verwaltung von Migration und Grenzkontrollen oder für die Unterstützung bei der Auslegung und Anwendung von Gesetzen. Die EU-Kommission soll zur besseren Handhabung dieser Kategorie spätestens 18 Monate nach dem Inkrafttreten der Verordnung entsprechende Use Cases definieren und zur Verfügung stellen. Hochrisiko-KI-Systeme werden vor ihrem Inverkehrbringen und auch danach dahingehend bewertet, ob für sie alle Transparenz- und Sorgfaltsvorgaben des AI Act erfüllt werden. Im Laufe der Verhandlungen wurden Anwendungen wie z.B. eine Sprachsteuerung oder eine KI für Terminplanung aus der Gruppe der Hochrisiko-KI herausgenommen, selbst wenn sie in kritischen Bereichen eingesetzt werden.

Systeme mit begrenztem Risiko brauchen bloß vergleichsweise geringe Transparenzanforderungen zu erfüllen. Hier geht es vor allem darum, dass Nutzern bewusst gemacht werden muss, dass sie z.B. mit einem Chatbot interagieren oder dass eine Bildaufnahme manipuliert worden ist (Deepfake). Die Mehrheit der KI-Systeme soll in diese Kategorie minimal riskanter Anwendungen fallen. Dadurch sollen beispielsweise Empfehlungssysteme oder Spam-Filter, sofern sie überhaupt die Definition von künstlicher Intelligenz erfüllen, weitestgehend frei von KI-bezogenen Verpflichtungen bleiben. Um ihre besondere Vertrauenswürdigkeit hervorzuheben, können sich die Anbieter solcher Systeme zur Einhaltung freiwilliger Verhaltenskodizes verpflichten.

Es soll grundsätzlich eine Übergangsfrist von zwei Jahren für die Verordnung gelten. Die Verbote nach Artikel 5 gelten hingegen bereits nach sechs Monaten, die Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck immerhin nach zwölf Monaten. Soweit spezielle Anforderungen für bestimmte Hochrisiko-KI-Systeme nach Annex II geregelt sind, bleibt mit einer Frist von 36 Monaten nach dem Inkrafttreten etwas mehr Zeit.

4.    Die Haftung für KI in der Produkthaftungsrichtlinie (ProdHaftRL-E)

Die EU hat sich entschieden, die Haftung für die Hersteller von Systemen, die mit KI arbeiten, nicht in der KI Verordnung zu regeln. Stattdessen gibt es derzeit einen neuen Entwurf der Produkthaftungsrichtlinie, die erstmalig unter die bisher nur körperlichen Produkte auch Software als solches einbezieht. Unter „Software“ sind nach Erwägungsgrund 12 beispielhaft „Betriebssysteme, Firmware, Computerprogramme, Applikationen oder KI-Systeme“ genannt. Das Ziel ist es, Gefahren, die von fehlerhaft arbeitenden Systemen ausgehen, die KI verwenden, zu reglementieren und Schadensersatzansprüche zu gewähren. Hinzu kommt, dass von den Haftungsregelungen ebenfalls Trainingsdaten für KI-Anwendungen erfasst werden, die zuvor lediglich von der Produzentenhaftung und damit auch vereinfachten Exkulpationsmöglichkeiten der Produzenten erfasst wurden.

Aus Sicht des Datenschutzrechts ist es spannend, dass die neue Produkthaftungsrichtlinie Open Source Software, die nicht kommerziell genutzt wird, zwar grundsätzlich nicht erfasst. Anders ist dies jedoch, wenn zwar für die Nutzung kein Geld, dafür aber die Preisgabe persönlicher Daten verlangt wird. Daten werden also (auch) hier nun zum „Zahlungsmittel“.

Als Haftender kommen neben dem eigentlichen Softwareentwickler unter bestimmten Voraussetzungen auch der Einführer in die EU sowie die Anbieter (Händler und Fullfillmentdienstleister) in Betracht.

Für den Haftungstatbestand muss ein Schaden durch ein fehlerhaftes Produkt verursacht worden sein. Dabei soll nun auch berücksichtigt werden, dass KI Systeme nach ihrer Fertigstellung weiterhin hinzulernen. Dies soll bereits bei der Konzeption der KI Systeme berücksichtigt werden. Dazu kann hier auf die verschiedenen Methoden des maschinellen Lernen nach oben verwiesen werden, bei denen solches Verhalten anzutrainieren und  zu berücksichtigen ist.

Für Hersteller von Software und softwaregestützten Produkten ist Artikel 6 Absatz 1 Buchstabe f) der Produkthaftungsrichtlinie-E von Bedeutung. Dieser besagt, dass bei der Beurteilung der Fehlerhaftigkeit eines Produkts auch die darin umgesetzten Sicherheitsanforderungen zu berücksichtigen sind, einschließlich relevanter Cybersicherheitsanforderungen (z.B. aus dem Cyberresilience Act). Dies stellt Wirtschaftsakteure vor besondere Herausforderungen, da der Bereich der Cybersicherheit und seine Regulierung derzeit auf europäischer Ebene umfassend, jedoch bisweilen fragmentiert durch verschiedene Rechtsakte reguliert sind.

Neben den Sicherheitsanforderungen kann auch das Verfälschen von Daten oder deren Verlust unter bestimmten Voraussetzungen einen Schaden darstellen. (Art. 4 Abs. 6 (c)). Allerdings soll dies nur Daten betreffen, die nicht ausschließlich beruflich genutzt werden.

Weitere Regelungen zur Offenlegung von Beweismitteln und Beweiserleichterungen für Betroffene runden das Bild der Richtlinie ab. Die EU-Kommission plant, den Mitgliedstaaten ab Inkrafttreten der Richtlinie zwölf Monate Zeit zu gewähren, um die neuen Vorgaben in nationales Recht umzusetzen. Ob der Vorschlag in seiner jetzigen Gestalt angenommen wird, bleibt abzuwarten, mit dem Inkrafttreten ist in 2024 zu rechnen.

5.    Ausblick

Das Feld der KI beschäftigt uns schon jetzt in vielen Lebensbereichen und wird nach Meinung des Autors noch viel weiter in unser aller Alltag – beruflich und privat – vordringen, ohne dass wir daran etwas ändern könnten. Im Ergebnis gilt es, sich damit auseinanderzusetzen und so das Beste daraus zu machen.

Gerne hilft Ihnen das Team von MKM bei allen Gestaltungs- und Rechtsfragen zum KI-Umfeld weiter. Kontaktieren Sie uns dazu gern.

Sanktionen, Bußgelder und Schadensersatzpflicht – das neue Hinweisgeberschutzgesetz ist da!

Seit 02.07.2023 ist das neue Hinweisgeberschutzgesetz in Kraft – eine echte Herausforderung für Unternehmen. Mit dem Hinweisgeberschutzgesetz (HinSchG) trifft Unternehmen ab einer gewissen Größenordnung die gesetzliche Pflicht, eine interne Meldestelle einzuführen.

Die Einrichtung des Hinweisgeberverfahrens gilt dabei für Unternehmen mit mehr als 250 Beschäftigten bereits seit 02.07.2023. Kleineren Betrieben mit mehr als 50 Beschäftigten, aber weniger als 250 Mitarbeitenden wird noch eine „Schonfrist“ bis zum 17.12.2023 zur Implementierung einer internen Meldestelle eingeräumt.

Die Anschaffung und die Inbetriebnahme eines funktionierenden Hinweisgebersystems verursachen Aufwände in finanzieller und personeller Hinsicht. Gerade kleinere Unternehmen stehen vor der Frage, einen professionellen Anbieter eine Meldestelle zu beauftragen oder eigene betriebsinterne Personalressourcen für die Entgegennahme und Bearbeitung von Hinweisen entsprechend einzusetzen und zu schulen. Nicht zuletzt verlangt das HinSchG für die mit dem internen Meldesystem beauftragten Mitarbeiter eine gewisse Fachkunde, sodass entsprechende Schulungen für das Personal zu empfehlen sind, um eine ordnungsgemäße Bearbeitung von Hinweisen zu gewährleisten.

Die Einführung eines internen Meldesystems sollte von Betriebsinhabern und Geschäftsführern nicht stiefmütterlich behandelt werden, auch wenn die Nicht-Umsetzung eines internen Hinweisgebersystems oder aber eine kostengünstige Hinweisgeberplattform, wie eine einfache E-Mail-Adresse, zunächst lukrativer erscheint.

Ordnungswidrigkeiten nach dem HinSchG – gestaffelte Bußgelder

Verstöße gegen die Vorgaben des HinSchG können als Ordnungswidrigkeiten mit empfindlichen Geldbußen bewertet werden. § 40 Abs. 2 HinSchG normiert als bußgeldbewehrten Tatbestand, die Nicht-Einrichtung und Nicht-Inbetriebnahme einer internen Meldestelle trotz gesetzlicher Verpflichtung der Implementierung eines internen Meldesystems. Gleichzeitig werden die Behinderung der Kommunikation entgegen der gesetzlichen Vorschiften und der Verstoß gegen Repressalien mit Bußgeldern bedroht. Gemäß § 40 Abs. 3 HinSchG stellt auch die Verletzung der Vertraulichkeit ein bußgeldbewährtes Verhalten dar.

Die Bußgelder nach dem HinSchG unterliegen einer Staffelung:

Der Gesetzgeber hat Unternehmen ab 250 Beschäftigten aufgrund der kurzen Frist zwischen Verkündung des Gesetzes und Inkrafttreten ab dem 02.07.2023 eine „Übergangsfrist“ hinsichtlich der Verhängung von Bußgeldern wegen Nicht-Einrichtung einer internen Meldestelle gewährt. So werden Bußgelder wegen Nicht-Einrichtung erst ab dem 01.12.2023 vorgesehen. Während die Nicht-Einrichtung einer internen Meldestelle eine Geldbuße bis zu 20.000 € nach sich ziehen kann, fallen die Bußgelder für die Behinderung der Kommunikation und dem Einsatz von Repressalien deutlich höher aus.

Die Behinderung der Meldung von Hinweisen oder die Kommunikation zwischen hinweisgebender Person und der Meldestelle kann ebenso wie die Androhung oder Anwendung von Repressalien gegenüber hinweisgebenden Personen und die Verletzung der Vertraulichkeit mit einer Geldbuße von bis zu 50.000 € geahndet werden. Unter bestimmten Voraussetzungen verzehnfacht sich das Höchstmaß der Geldbuße im Fall der Behinderung der Kommunikation oder dem Einsatz von Repressalien auf mitunter 500.000 €. Betriebsinhaber, die sich aus finanziellen Gründen weigern eine interne Meldestelle einzuführen und darauf spekulieren, dass die Nicht-Implementierung unentdeckt bleibt, riskieren daher ein erhebliches Bußgeld, welches in der Summe höher ausfallen dürfte als die Einrichtung einer internen Meldestelle und die dazugehörige Personalschulung oder Beauftragung externer Dritter.

Kostengünstige Meldestellenvarianten – Problem der Vertraulichkeit

Die Verunsicherung vieler Unternehmen hinsichtlich der Einrichtung eines internen Meldesystems ist groß. Es gibt daher vielerorts Überlegungen, ein internes Meldesystem durch geringfügige Änderungen zu generieren.

Eigene Meldekanäle wie betriebseigene E-Mail-Adressen über einen allgemeinen E-Mailanbieter werden ebenso wie allgemeine Telefonhotlines den Anforderungen des Vertraulichkeitsgrundsatzes nach dem HinSchG nicht gerecht. Es besteht bei diesen Alternativen keinerlei Garantie, dass ausschließlich die mit dem internen Meldesystem beauftragte Person Zugriff auf interne Meldekanäle erhält und die Anonymität des Hinweisgebenden gewahrt wird.

Nicht zuletzt die interne IT-Administration des Unternehmens oder des Server-Anbieters kann auf das entsprechende E-Mail-Konto zugreifen und so die Kommunikation mitlesen. Die Rufnummer des Hinweisgebers kann gespeichert und ausgelesen werden, sodass Rückschlüsse auf den Hinweisgebenden bzw. sogar auf den Inhalt des Hinweises gezogen werden können.

Dies steht im direkten Widerspruch zum Vertraulichkeitsgebot des HinSchG. Das gesamte Hinweisgebersystem beruht auf dem Schutzgedanken des Hinweisgebers und muss dergestalt konzipiert sein, ein Meldesystem einzurichten, bei welchem die Vertraulichkeit der Identität der hinweisgebenden Person gewahrt wird. Nur die beauftragten Personen, die eingehende Hinweise bearbeiten, sollen auf diese Informationen Zugriff haben, sofern nicht eine Weitergabe nach § 8 HinSchG zulässig ist.

Weitergehende Schutzvorkehrungen wie eine Zwei-Faktor-Authentifizierung sind bei den genannten Konstellationen auch nur schwer realisierbar, aber zum Schutz der Vertraulichkeit dringend anzuraten. Beispielsweise bei Verhinderung der für die Meldestelle beauftragten Person müssen Zugangsbeschränkungen zur Hinweisgeberplattform wie Passwörter etc. an Vertreterpersonen weitergegeben werden. Dies stellt mitunter ein weiteres Risiko dar, dass Unberechtigte Zugang zur Hinweisgeberplattform erhalten oder etwa ausgeschiedene Mitarbeitende auch nach Beendigung des Arbeitsverhältnisses auf ein allgemeines E-Mail-Postfach zugreifen können.

Auch aus datenschutzrechtlicher Sicht bereiten derartige kostengünstigere Varianten Probleme, sodass hier weitere Bußgelder für die Unternehmen oder Betriebe drohen können.

Schadensersatz bei Verstößen – weitere finanzielle Belastung für Unternehmen

Neben den genannten empfindlichen Bußgeldern verpflichtet der Gesetzgeber Unternehmen und Betriebe zur Zahlung von Schadensersatz. Wird eine hinweisgebende Person im Zusammenhang mit ihrer beruflichen Tätigkeit nach einer Meldung benachteiligt, so steht ihr nach dem HinSchG ein Anspruch auf Schadensersatz zu. Dieser Anspruch besteht neben der Auferlegung des Bußgeldes, sodass es hier zu einer doppelten finanziellen Belastung des Unternehmens kommen kann. 

Fazit

Das HinSchG stellt betroffene Unternehmen vor besondere Herausforderungen. Um hohe Bußgelder zu vermeiden, sollten Unternehmen innerhalb der für sie geltenden Frist IT-geschützte Hinweisgebersysteme einführen und entsprechende Kosten auf sich nehmen, um später nicht mit noch größeren finanziellen Konsequenzen konfrontiert zu werden.

Wir beraten Sie gerne zu den rechtlichen Anforderungen nach dem HinSchG und unserem sicheren Hinweisgebersystem White Sparrow der MKM Compliance GmbH.

Wer muss bei Datenschutzverstößen zahlen? Klarheit durch EuGH-Urteil erwartet

Grundsätzlich können Verstöße gegen die Datenschutzgrundverordnung gemäß den Vorgaben aus Art. 83 Abs. 4, 5 und 6 DSGVO mit einem Bußgeld geahndet werden. Die deutschen Gerichte beschäftigt nach wie vor die Frage, ob ein Unternehmen als Verantwortlicher unmittelbar und ohne weitere Nachweise unmittelbar haftet oder nicht doch ein (schuldhafter) Verstoß eines leitenden Beschäftigten nachgewiesen werden muss.

Worum dreht sich der Streit?

Im Kern dreht sich der Streit um die Frage, ob bei der Verhängung von Bußgeldern das Funktions- oder das Rechtsträgerprinzip Anwendung findet. Bei Anwendung des Funktionsprinzips kann ein Bußgeld gegen ein Unternehmen bereits dann verhängt werden, wenn ein objektiver Verstoß eines Beschäftigten des Unternehmens vorliegt. Fordert man dagegen die Anwendung des Rechtsträgerprinzips, so könnte ein Bußgeld gegen ein Unternehmen nur dann verhängt werden, wenn nachgewiesen werden kann, dass eine Leitungsperson in Wahrnehmung ihrer Aufgabe einen schuldhaften Verstoß begangen oder ihre Aufsichtspflichten verletzt hat.

Diese Frage wird in naher Zukunft durch den Europäischen Gerichtshof (EuGH) beantwortet werden, da das Kammergericht Berlin (begrüßenswerterweise) im Wege des Vorabentscheidungsersuchens dem EuGH diese nicht ganz unwesentliche Rechtsfrage vorgelegt hat.

Datenschutzkonferenz hat sich bereits positioniert

Die Deutsche Datenschutzkonferenz (kurz DSK), der Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, hat sich in der Frage bereits positioniert und eine Pressemitteilung veröffentlicht.

Wenig überraschend hält die DSK das Funktionsträgerprinzip für anwendbar und lehnt die Anwendung des Rechtsträgerprinzips ab.

Die DSK begründet ihre Ansicht mit dem Adressatenkreis von Bußgeldern, der sich unmittelbar aus der DSGVO ergäbe und direkt auf Unternehmen abziele. Weiter führt die DSK an, dass sich aus Satz 3 des Erwägungsgrunds 150 eindeutig ergebe, dass hier das Funktionsträgerprinzip Anwendung finden müsse. Dieser sei von den Gerichten zwingend bei der Auslegung der Bußgeldvorschriften der DSGVO zu berücksichtigen.

Wann ist mit einem Urteil zu rechnen und welche Folgen hat dies für Unternehmen?

Das Gutachten des Generalanwalts, das für Ende April angekündigt wurde, wird einen ersten Hinweis liefern, wie der EuGH entscheiden könnte. In der Regel entscheidet der EuGH zeitnah nach Veröffentlichung des Gutachtens. Ein Termin zur Entscheidungsverkündung wurde jedoch noch nicht bekannt gegeben. Insofern darf die weitere Entwicklung mit Spannung erwartet werden.

Die Entscheidung des EuGH wird weitreichende Folgen für die Verhängung von Bußgeldern haben. Folgt der EuGH der Auffassung der Datenschutzkonferenz, so können wesentlich leichter Bußgelder verhängt werden. Entscheidet sich der EuGH für die Anwendung des Rechtsträgerprinzips, so müssten die Datenschutzbehörden vor Verhängung eines Bußgeldes einen Verstoß einer Leitungsperson feststellen und nachweisen. Dies stellt in der Praxis erheblich höhere Anforderungen an den Bußgeldbescheid dar als bei Anwendung des Funktionsträgerprinzips, da hier der konkrete Nachweis nicht weiter erbracht werden muss.

Am besten ist es jedoch ohnehin, es erst gar nicht zu Verstößen kommen zu lassen. Unser Datenschutz-Team berät Sie gerne und findet für Sie passgenaue und datenschutzkonforme Lösungen.

Sollte „das Kind schon in den Brunnen gefallen sein“ unterstützen wir Sie nicht minder gerne bei der Abwehr der von den Behörden gestellten Forderung.

Autor: Fabian Dechent (Rechtsanwalt)

ChatGPT – Rechtliche Herausforderungen im KI-Zeitalter

Manch einer witzelt, man solle doch erst einmal die natürliche Intelligenz stabilisieren, bevor man sich an die künstliche wagt. Davon abgesehen ist die Entwicklung der künstlichen Intelligenz (KI, AI) nicht aufzuhalten. Mehr noch: Sie hat in der letzten Zeit dermaßen an Fahrt aufgenommen, dass es vielen Beobachtern schwindelig wird. Wir können im Augenblick nur vermuten, wie sich unser Leben in den nächsten Jahren aufgrund des Fortschritts verändern wird. Und wie meist hinkt die Rechtsordnung der technischen Entwicklung meilenweit hinterher.

Gerade ChatGPT („Chat Generative Pre-trained Transformer“), der selbstlernende Chatbot von OpenAI, ist aus der Sicht vieler Unternehmern schon jetzt sehr attraktiv – wir sparen uns an dieser Stelle, die KI-Anwendung näher zu beschreiben. Die Entwicklung des Tools gipfelte kürzlich in der Version 4.0, die nicht mehr kostenfrei, aber dafür noch wesentlich leistungsfähiger sein soll. Es ist höchste Zeit, die rechtlichen Probleme beim Einsatz von ChatGPT zu beleuchten, da vor dem Einsatz von KI-gestützten Tools Haftungs- und anderen Fragen geklärt werden sollten.

Die Sache mit dem Copyright

Zum Einstieg lohnt sich der Blick auf eine naheliegende Schwierigkeit, die sich bei näherer Betrachtung in zwei Unterprobleme aufteilt: Zum einen muss man sich fragen, ob man bei der Verwendung der automatisch generierten Texte nicht zumindest teilweise das Urheberrecht eines Dritten verletzt. Es erscheint nicht ausgeschlossen, dass sich im Text – wenn auch zufällig – Passagen befinden, die wortgleich bereits anderweitig veröffentlicht sind. Zum anderen sollte der Verwender wissen, dass es zumindest nach dem bisherigen Stand der Diskussion schwierig wird, andere Dritte von der Verwendung der eigens generierten Texte abzuhalten – denn sie sind in der Regel keine urheberrechtlich geschützten Werke, da sie nicht durch einen Menschen geschaffen wurden. Wer also ein kreatives Marketing betreibt und dazu KI-Texte verwendet, sollte bei schmissigen Slogans aus der KI-Küche gleich an Markenschutz denken, um sich abzusichern.

Probleme mit Datenschutz und Geschäftsgeheimnissen

Bekannterweise sperrte die italienische Datenschutzbehörde ChatGPT kurzerhand, auch in anderen Ländern steht die Anwendung auf dem Prüfstand. Die deutsche Datenschutzkonferenz (DSK), bestehend aus den Landes- und dem Bundesbeauftragten für Datenschutz, prüfen noch eingehend, wie sie sich zum Verhältnis von ChatGPT zur DSGVO positionieren sollen.

Was es den Datenschützern so schwer macht, ist, dass die KI trotz anderslautender Bekundungen (Stichwort: OpenAI) überwiegend eine intransparente Blackbox ist. Von außen ist der Algorithmus nicht zu durchschauen, Quellen und Verwendungen von enthaltenen personenbezogenen Daten bleiben unklar. Eine relativ offensichtliche Hürde, die Datenschutz-Folgeabschätzung, die nach nach Art. 35 DGSVO bei einer solch bahnbrechenden Technik obligatorisch ist, muss eigentlich vor der erstmaligen Datenverarbeitung genommen werden – das gilt übrigens auch für den Anwender!

Angesichts der unklaren Verwendung der Daten durch OpenAI sollte auch tunlichst davon abgesehen werden, Geschäftsgeheimnisse für ChatGPT zugänglich zu machen: Zum einen können die Informationen dadurch den Schutzstatus nach dem GeschGehG verlieren, zum anderen ist eine Aneignung der Geheimnisse durch Dritte durchaus denkbar. Vor der erstmaligen Verwendung der KI-Unterstützung sowie in regelmäßigen Abständen sollten Mitarbeiter zu diesen Gefahren zwingend geschult werden.

Unternehmen sollten nicht vergessen, dass ChatGPT sekündlich mit Daten gefüttert wird und nicht selten auch wieder welche ausspuckt. Unternehmen, die KI-gestützt arbeiten möchten und solche Anbieter verwenden, sollten es grundsätzlich vermeiden, in solche Systeme personenbezogene Daten über Mitarbeiter, Kunden etc. einzugeben – insbesondere besonders geschützte Daten i.S. des Art. 9 DSGVO. Sollte es dennoch zu Datenschutzverletzungen kommen, drohen Geldbußen sowie die Geltendmachung von Ansprüchen durch Betroffene. Im Augenblick sollte der Blick fortwährend den Veröffentlichungen der Datenschutzbehörden gelten: Wird die Nutzung von ChatGPT auch hierzulande untersagt, ist die gleichwohl fortgesetzte Nutzung bereits Grund genug für eine Haftung.

Es menschelt – die rechtsverletzende Maschine

Die Maschine lernt letztlich vom menschlichen Verhalten. Es bedarf keiner großen Lebenserfahrung, um zu wissen, dass eine stark angepasste KI in der Lage ist, nicht nur moralisch verwerfliche, sondern auch strafwürdige Texte von sich zu geben. Wie man festgestellt hat, kann ChatGPT nicht nur versehentlich Unwahres verfassen, sondern auch bewusst lügen, um gesteckte Ziele zu erreichen. Die Komplexität heutiger Anforderungen an Political Correctness kommt erschwerend hinzu, wenn man als Unternehmen mit Formulierung nach außen auftritt: diskriminierende Äußerungen werden schnell publik, der Ruf wird mitunter irreparabel geschädigt.

Wenn man ChatGPT zum Thema Diskriminierung befragt, kommt die richtige Antwort, dass das KI-Sprachmodell gar nicht in der Lage ist, jemanden zu diskriminieren – es fehlt schlicht an einer Täterschaft. Die Organisation, die KI-Technologie einsetzt, beißen dann aber am Ende die sprichwörtlichen Hunde. Zu empfehlen ist daher, den Einsatz von KI damit zu vergleichen, dass man mit seinen Kindern irgendwo zu Besuch ist: man muss schon aufpassen, was sie erzählen. Umgesetzt bedeutet das, dass es eben Menschen als Aufpasser geben muss, die den Einsatz der KI in nicht zu großen Abständen evaluieren und jede Möglichkeit nutzen, um schädlichen Output im Ansatz zu verhindern. Gleichzeitig ist das Risiko von Rufschädigung, Geldbußen und Ansprüchen Dritter vor dem Einsatz von KI eingehend zu bewerten und der Nutzen vor dem Hintergrund möglicher Rechtsverletzungen ganz bewusst abzuwägen.

Blick in die Zukunft

In den nächsten Jahren wird die gesamte Riege der Gewaltenteilung auf die technische Entwicklung reagieren müssen: Die Gesetzgebung hat nicht die Zeit für lange ethische Diskussionen, zu groß sind die rechtlichen Unsicherheiten für die Anwender und die Betroffenen. Die Behörden versuchen derweil mit dem gegebenen Handwerkszeug, insbesondere dem Schwert des Datenschutzes, bedenklichen Entwicklungen zu begegnen – die Reichweite der Maßnahmen ist erfahrungsgemäß allerdings eher begrenzt. Nach einem zu langen Zeitraum werden dann Gerichte in vielen Einzelfällen zu einer gewissen Rechtssicherheit beitragen. Die Geschichte zeigt indes, dass alle staatlichen Maßnahmen vieles können, nur eines nicht: den Fortschritt aufhalten.

Bleiben Sie mit uns immer auf dem neuesten Stand der Entwicklungen. Vertrauen Sie auch in Sachen künstlicher Intelligenz lieber den Menschen von MKM.


Autor: Andree Hönninger (Rechtsanwalt I Fachanwalt für IT-Recht)

Abmahnwelle Google Fonts – Kein Anspruch auf Schadensersatz

Das Landgericht München I befand in seinem Urteil vom 20.01.2022, Az. 3 O 17493/20, dass die automatische Übermittlung von IP-Adressen bei der Nutzung des Dienstes Google Fonts ohne vorherige Einwilligung rechtswidrig ist, und sprach dem Kläger unter anderem Schadensersatz in Höhe von 100,00 € zu.

Anschließend brach in Deutschland eine regelrechte Abmahnwelle los. Die betroffenen Unternehmen wurden mittels anwaltlicher Abmahnung aufgefordert eine Unterlassungserklärung abzugeben und einen Betrag von 170,00 € als Schadensersatz zu zahlen.

Wir haben unseren Mandanten und Kunden geraten, die Abmahnungen zu ignorieren, da wir diese für unbegründet hielten. Unsere Auffassung wurde nun durch das Landgericht München I durch Urteil vom 30.03.2023, Az. 4 O 13063/22, bestätigt. Ob dieses Urteil rechtskräftig ist, ist jedoch nicht bekannt.

Kein Anspruch auf Unterlassung

Das LG München I stellt im Wege der negativen Feststellungsklage zunächst fest, dass seitens der Abmahner kein Anspruch auf Unterlassung besteht, da die rechtlichen Voraussetzungen für einen solchen Unterlassungsanspruch im konkreten Fall nicht vorlagen. Dabei urteilte das Gericht – aufgrund der ursprünglichen Entscheidung vom 20.01.2022 wenig überraschend – fest, dass die dynamische Einbindung von Google Fonts gegen das Datenschutzrecht verstößt, wenn die Webseitenbesucher nicht vorab in die Übermittlung der IP-Adresse an Google einwilligen.

Jedoch erkennt das LG München I, dass es an der erforderlichen konkreten Betroffenheit des Abmahnenden fehlte. Das Gericht merkte an, dass der Abmahnende die Webseiten der abgemahnten Unternehmen nicht selbst besuchte, sondern vielmehr einen Web-Crawler einsetzte, um solche Webseiten aufzufinden, die Google Fonts dynamisch eingebunden hatten. Das Gericht führt hierzu prägnant aus:

„Wer Websites gar nicht persönlich aufsucht, kann persönlich auch keine Verärgerung oder Verunsicherung über die Übertragung seiner IP-Adresse an die Fa. Google in den USA verspüren.“

Selbst wenn der Abmahner jedoch tatsächlich alle Webseiten der Abgemahnten Unternehmen selbst besucht hätte, so wären die Voraussetzungen des Unterlassungsanspruch nach der Ansicht des LG München I dennoch nicht gegeben. Hier begründet das Gericht, dass jemand, der gezielt eine Situation aufsuche, bei der eine Persönlichkeitsverletzung droht, um direkt im Anschluss daraus eigene Ansprüche zu begründen, gerade nicht schutzbedürftig ist.

Zudem erkannte das Gericht fest, dass die Abmahnungen allein der Gewinnerzielungsabsicht dienten und es dem Abmahner gerade nicht um das Aufzeigen und das Verfolgen eines datenschutzrechtlichen Missstands ging. Auch hier wird das Gericht in seiner Formulierung deutlich:

„Das Gericht erachtet es für kaum denkbar, dass eine Privatperson nur aus Verärgerung über einen aus ihrer Sicht gegebenen und weit verbreiteten Datenschutzverstoß von Website-Betreibern den mit der Versendung von mindestens 100.00 Abmahnschreiben verbundenen Aufwand auf sich nehmen wird, nur um auf den von ihm gesehenen Missstand beim Datenschutz aufmerksam zu machen.“

Da die Abmahnung jedenfalls rechtsmissbräuchlich erfolgte, konnte sich das Gericht weitere Ausführungen zum Unterlassungsanspruch sparen.

Kein Anspruch auf Schadensersatz

Der Anspruch auf Schadensersatz in Höhe von 170,00 € besteht nach Ansicht des Gerichts aus den vorgenannten Gründen ebenfalls nicht. In der Rechtsprechung ist derzeit umstritten, ob Angstgefühle bzw. Verunsicherungen für sich genommen ausreichen, um einen entsprechenden Anspruch nach Art. 82 DSGVO zu begründen. Im konkreten Fall kommt es nach Ansicht des LG München I auf die Klärung dieser Rechtsfrage gar nicht an, da der Abmahner durch den Einsatz eines Webcrawlers nicht in seinen Gefühlen verletzt werden konnte. Das Gericht führt hierzu aus:

„Wer gar nicht weiß, welche Websites „in seinem Namen“ besucht werden, kann sich überhaupt nicht individuell Gedanken dazu machen, dass ihm aus der Übertragung seiner IP-Adresse Unannehmlichkeiten entstehen könnten.“

Im Übrigen wäre auch ein Anspruch auf Schadensersatz aufgrund wegen des Rechtsmissbrauchs ausgeschlossen.

Fazit

Das LG München I hat die Abmahnwelle mit seinem Urteil vom 20.01.2022 mutmaßlich losgetreten und mit Urteil vom 30.03.2023 nicht nur die Google Fonts Abmahnwelle endgültig beendet, sondern die Hürden für Massen-Abmahnungen im Datenschutzrecht sehr hoch gesetzt.Auch wenn der dynamische Einsatz von Google Fonts ohne Einwilligung rechtswidrig ist, können Abmahnende hierdurch nicht „an das schnelle Geld“ gelangen, indem massenhaft (nach Angaben des Prozessvertreters der „IG Datenschutz“ übrigens eine „niedrige sechsstellige Zahl“) versendet werden.

Autor: Fabian Dechent (Rechtsanwalt)

Wir beschweren uns – aber wo? Meldesysteme nach LkSG und HinSchG

1. Hintergrund


Das Thema ESG (Environment, Social, Governance) wird gesellschaftlich immer wichtiger. Darauf reagiert auch der Gesetzgeber, weshalb im Jahr 2023 zwei (mit immensem bürokratischem Aufwand verbundene) Gesetze zur Stärkung von Nachhaltigkeit und Compliance in Kraft treten.

Bereits seit dem 01.01.2023 gilt das Lieferkettensorgfaltspflichtengesetz (kurz Lieferkettengesetz oder LkSG). Es soll für Transparenz und nachhaltige, faire Arbeitsbedingungen sorgen, indem große Unternehmen Verantwortung für die Menschenrechte und Umwelt nicht nur im eigenen Geschäftsbereich, sondern auch in ihrer Lieferkette übernehmen – d. h. auch außerhalb Deutschlands. Teil dieser Verantwortung ist ein Beschwerdesystem, bei dem eigene Mitarbeiterinnen, Lieferantinnen und deren Mitarbeiterinnen Verstöße gegen die Vorgaben des LkSG melden können, so z. B. bei unsicheren Arbeitsbedingungen.

Ebenfalls 2023, jedoch voraussichtlich erst im Mai oder Juni, tritt das Hinweisgeberschutzgesetz (kurz HinSchG) in Kraft. Hierdurch sollen sog. Whistleblowerinnen, die auf bestimmte Missstände in Unternehmen und Behörden aufmerksam machen, geschützt werden. Dafür müssen alle verpflichteten Stellen Meldestellen und -kanäle einrichten, über die Whistleblowerinnen Hinweise abgeben können, z. B. zu Korruptionsfällen.

Beide Gesetze erfordern es also, eine zuständige Stelle und (technische) Möglichkeiten zur Abgabe von bestimmten Meldungen einzurichten. Dieser Beitrag soll sich dem Thema widmen, ob man die Anforderungen des LkSG und des HinSchG gemeinsam umsetzen kann, oder ob zwei separate Meldesysteme eingerichtet werden müssen. Dazu sollen einige ausgewählte Gemeinsamkeiten und Unterschiede der Regime analysiert werden.

2. Gemeinsamkeiten und Unterschiede

2.1. Verpflichtete Stellen

Die beiden Gesetze unterscheiden sich bereits bei der Größenordnung der Unternehmen, die betroffen sind. Während das LkSG nur vergleichsweise große Unternehmen trifft (aktuell mit 3.000 Mitarbeiterinnen, ab 2024 mit 1.000 Mitarbeiterinnen), sind nach dem HinSchG bereits deutlich kleinere Unternehmen verpflichtet (bei Inkrafttreten mit 250 Mitarbeiterinnen, ab Dezember 2023 mit 50 Mitarbeiterinnen). Aber Achtung: Die Mitarbeiterzahlen werden unterschiedlich berechnet. Da beim LkSG die Mitarbeiterinnen des Konzerns zusammengezählt werden, ist dieser Schwellenwert ggf. schneller erreicht als gedacht. Beim HinSchG kommt es jedoch auf die einzelne Rechtseinheit an – dann muss aber auch jedes Unternehmen im Konzern, das diese Grenze überschreitet, eine Meldestelle einrichten.

2.2. Sachlicher Anwendungsbereich

Auch hinsichtlich des sachlichen Anwendungsbereichs ergeben sich Unterschiede. Beide Gesetze sehen einen abgeschlossenen Katalog an zulässigen Themenbereichen vor, zu denen Meldungen gemacht werden können. Diese Kataloge überschneiden sich nur teilweise (z.B. beim Thema Mindestlohn). Da die Sachbearbeiterin aber ohnehin überprüfen muss, ob das von der Melderin angegebene Rechtsgebiet zutrifft und ob es in den sachlichen Anwendungsbereich des jeweiligen Gesetzes fällt, steht dies einer gemeinsamen Meldestelle nicht entgegen.

2.3. Meldende Personen

Beide Gesetze sprechen als Whistleblowerin bzw. Beschwerdeführerin nicht jedermann an, sondern nur diejenigen, die im beruflichen Kontext Informationen von Verstößen gegen die betroffenen Rechtsnormen erfahren.

Während das Beschwerdesystem nach LkSG jedoch auch außerhalb des Unternehmens zugänglich sein muss – insbesondere für die Mitarbeiterinnen in der Lieferkette –, reicht es für das Hinweisgebersystem aus, wenn der Zugang nur intern ermöglicht wird, z.B. über das Intranet. Es ist jedoch empfehlenswert, auch hier das Meldesystem für Lieferantinnen zu öffnen – da diese sonst gezwungen wären, extern bei einer Behörde zu melden.

2.4. Personal

In beiden Fällen müssen die Sachbearbeiterinnen, die mit den Hinweisen befasst sind, unabhängig agieren können. Andere Aufgaben dürfen nicht zu Interessenskonflikten führen. D.h. sie dürfen im Fall des LkSG insbesondere nicht Teil des Einkaufs sein, da dort originär Probleme mit der Lieferkette angesiedelt sind. Besser ist es, die Meldestelle bei der Compliance-Abteilung anzusiedeln. Besteht eine solche nicht, bietet sich z.B. die Datenschutzbeauftrage als Zuständige an, da sie bereits eine ähnlich unabhängige Stellung im Unternehmen einnimmt. Zudem müssen die Mitarbeiterinnen über die nötige Fachkunde zur Bearbeitung von Hinweisen bzw. Beschwerden verfügen, also entsprechend geschult werden.

2.5. Verfahrensablauf

Bei beiden Gesetzen muss die meldende Person nach einer gewissen Zeit eine Eingangsbestätigung erhalten. Sofern dies nicht aufgrund einer anonymen Meldung ausgeschlossen ist, muss der Kontakt mit ihr aufrechterhalten werden, während der Sachverhalt geprüft wird. Beim HinSchG ist zudem zwingend nach drei Monaten eine Mitteilung über getroffene Folgemaßnahmen erforderlich.

In beiden Meldeverfahren ist die Vertraulichkeit ein zentraler Leitsatz. Das HinSchG bezweckt den Schutz von Hinweisgeberinnen – und das vor allem auch durch den Schutz ihrer Identität. Deshalb sind in Deutschland sogar anonyme Meldungen zulässig. Doch auch nach dem LkSG sollen die Beschwerdeführerinnen vor Benachteiligungen geschützt werden. Während anonyme Meldungen nach LkSG nicht zwingend vorgesehen sind, empfiehlt sich deshalb auch hier die Möglichkeit der Anonymität.Nach LkSG soll eine Verfahrensordnung veröffentlicht werden, dies ist beim HinSchG dagegen nicht erforderlich. Nichtsdestotrotz muss adäquat über das Verfahren informiert werden, ebenso ist eine zumindest interne Verfahrensanweisung sinnvoll, um den geordneten Ablauf der Hinweisbearbeitung zu gewähren.

3. Fazit


Wenn ein Unternehmen sowohl nach LkSG als auch nach HinSchG verpflichtet ist, ergibt eine gemeinsame Umsetzung der Beschwerdesysteme Sinn. So wird nicht nur der organisatorische und technische Aufwand der verantwortlichen Stelle geringer gehalten, sondern auch bei Whistleblowerinnen und Beschwerdeführerinnen Verwirrung und Unübersichtlichkeit vermieden. Um die Anforderungen beider Gesetze zu erfüllen, sollte man sich bei der Umsetzung dafür jeweils an den strengeren Vorgaben orientieren. Da jedoch verschiedene sachliche Anwendungsbereiche und eine unterschiedliche Bearbeitung der Meldungen vorgesehen sind, müssen getrennte Verfahrensabläufe organisiert werden. Auch für kleinere Unternehmen kann es sinnvoll sein, die Hinweisgebermeldekanäle für Beschwerden nach LkSG zu öffnen. So können sie nicht nur Probleme frühzeitig erkennen, sondern auch gegenüber den eigenen (potentiell nach LkSG verpflichteten) Kunden signalisieren, dass sie menschenrechts- und umweltbezogene Aspekte ernst nehmen. Dabei müssen sie jedoch nicht alle Voraussetzungen des LkSG erfüllen, sondern können sich nach dem HinSchG richten.

Autorin: Tanja Linebach

Jahresrückblick Compliance 2014: Was wichtig war

Compliance rückt immer mehr in den Fokus des Gesetzgebers und der Gerichte. Im Jahr 2014 hat sich besonders mit dem „Neubürger-Urteil“ ein beachtenswerter Präzedenzfall ereignet. Auch die weit fortgeschrittenen Pläne für ein Unternehmensstrafrecht sind Teil dieser Entwicklung.

Das Neubürger-Urteil: Darum ist Compliance wichtig!

Im viel beachteten „Neubürger-Urteil“ wurde ein ehemaliges Vorstandsmitglied der Siemens AG zu einer Schadenersatzzahlung von 15 Mio. EUR verurteilt. Die Richter des Landgerichts München I sahen es als erwiesen an, dass der beklagte Ex-Vorstand es versäumt hatte ein funktionierendes Compliance-System zu etablieren und zu kontrollieren. Hierfür wäre er als verantwortliches Vorstandsmitglied zuständig gewesen.

Private Haftung ausgeweitet

Mit diesem Urteil haben die Richter die private Haftung von Unternehmensorganen ausgeweitet. Erstmalig verurteilte ein deutsches Gericht den Vorstand eines deutschen Unternehmens zu einer derart hohen Schadensersatzzahlung. Zudem stellte das Gericht ausdrücklich klar, dass eine Compliance-Pflicht für Unternehmen besteht. Vorstandsmitglieder bzw. Geschäftsführer müssen auch gegenseitig darauf bedacht sein ihre Compliance-Pflicht zu erfüllen, da unter Umständen auch eine Schadensersatzpflicht gegenüber dem Unternehmen entstehen kann, wenn ein Mitglied des Vorstandes bzw. der Geschäftsführung seinen Pflichten nicht ordnungsgemäß nachkommt.

Keine Alternative bei Gesetzesverstößen

Die Richter stellten außerdem klar, dass ein Unternehmen bei Gesetzesverstößen keine Alternative hat. Die Verantwortlichen müssen Gesetzesverstößen zwingend nachgehen und alles Mögliche unternehmen, um eine Aufklärung und Beendigung zu erreichen.

 

Unternehmensstrafrecht – ja, nein, vielleicht?

Die Diskussion um ein eigenes Unternehmensstrafrecht wird in Deutschland schon länger geführt. Allerdings wurde die Debatte durch die Vorlage eines Gesetzentwurfes zu einem eigenen Verbandsstrafrecht durch die Landesregierung von Nordrhein-Westfalen erneut befeuert. Auf diesen Entwurf reagierten der Bundesverband der Unternehmensjuristen (BUJ) und das Deutsche Institut für Compliance e.V. (DICO). Im vergangenen Jahr haben wir uns den drei Vorschlägen gewidmet.

Von Zwangsauflösung bis Ordnungswidrigkeit – Die Vorschläge gehen weit auseinander

Die Vorschläge zu einem eigenen Unternehmensstrafrecht gehen sehr weit auseinander. Während das Land Nordrhein-Westfalen eigenes Verbandsstrafrecht einführen will lehnen diesen Schritt der BUJ und das DICO ab. Der BUJ will an Stelle eines Verbandsstrafrechts das bestehende Ordnungswidrigkeitenrecht anpassen, wobei auch eine Straffreiheit enthalten sein soll, wenn Unternehmen ernsthaft gegen Complianceverstöße vorzugehen.

Das Land NRW will in seinem Verbandsstrafrecht harte Sanktionen verankern, die bis zur Zwangsauflösung des Unternehmens reichen können. Auch der Ausschluss von Subventionen und der Vergabe von öffentlichen Aufträgen, sowie Eintrag in das Bundeszentralregister wurden von der Landesregierung ins Spiel gebracht.

Einen dritten Weg will das DICO gehen. Mit der Vorlage eines Entwurfes zu einem Compliance-Anreiz-Gesetz (CompAG) wird die eigentliche Zielsetzung aller drei Vorschläge in den Fokus gerückt: die Schaffung effektiver und ordnungsgemäßer Compliance-Strukturen in Unternehmen. Um das zu erreichen setzt das DICO auf Anpassungen des Ordnungswidrigkeitenrechts und will ebenfalls auf die Schaffung eines eigenen Unternehmens- bzw. Verbandsstrafrechts verzichten.

 

Datenschutz im Arbeitsrecht: Das hat sich getan und sollte von der Compliance beachtet werden

2014 hat sich auch im Bereich unserer Spezialfelder einiges getan. Hervorzuheben sind besonders die Auswirkungen der Rechtsprechung zum Datenschutz auf das Arbeitsrecht. Compliance-Abteilungen sollten gerade beim Umgang mit Kündigungen prozessuale Risiken im Blick haben.

Das Risiko eines Beweisverwertungsverbotes

Beweisverwertungsverbote im Prozess sind selten. Wenn höchstrichterlich ein solches Verbot angenommen wird, sollte man daher besonders darauf achten. Das Bundesarbeitsgericht (BAG) hat im vergangenen Jahr einen solchen Fall klargestellt. Dem Risiko eines Beweisverwertungsverbotes setzt sich ein Arbeitgeber im Kündigungsprozess aus, wenn für die Kündigung herangezogene Daten unter Verstoß des Datenschutzrechts (Alternative 1) bzw. Verletzung des Allgemeinen Persönlichkeitsrechts (Alternative 2) gewonnen wurden. Im Falle von Alternative 1 kann sich ein Beweisverwertungsverbot „unmittelbar aus § 32 BDSG“ ergeben. Einen solchen Verstoß erblickt das BAG auch bei rein tatsächlichen Handlungen, wie einer Spindkontrolle eines diebstahlverdächtigen Arbeitnehmers ohne dessen Wissen. Dieser Fall lag der Entscheidung des BAG zum Beweisverwertungsverbot zugrunde. Sollte nach der Alternative 2 kein Verstoß gegen das BDSG vorliegen, aber das Allgemeine Persönlichkeitsrecht des Betroffenen anderweitig verletzt werden, nimmt das Gericht ebenfalls ein Beweisverwertungsverbot an, insbesondere da das erneute Vorbingen der Informationen im Prozess eine fortgesetzte Verletzung des Persönlichkeitsrechtes darstellen würde.

Kommt das Unternehmensstrafrecht? Wir stellen drei Vorschläge vor

Im Zusammenhang mit den immer häufiger in den Fokus der Öffentlichkeit tretenden Compliance-Pflichten von Unternehmen bzw. deren Leitung ist ein eigenes Unternehmensstrafrecht immer wieder gefordert worden. Bisher können nur natürliche Personen Täter im strafrechtlichen Sinne sein. Wir stellen drei ausgereifte Reformvorschläge vor, die dies ändern könnten.

Unternehmensstrafrecht schon länger in der Diskussion

Ein spezielles Unternehmensstrafrecht und Verbandsstrafrecht befindet sich schon seit längerem in der Diskussion, die nicht nur Juristen an den Universitäten betrifft. Ein solches Strafrecht für juristische Personen könnte in näherer Zukunft Realität werden. Bislang werden Verstöße gegen Compliance-Pflichten nur nach Maßgabe des Ordnungswidrigkeitengesetzes (OWiG) und im Wesentlichen mit Geldbußen geahndet. Aktuell liegen drei Reformvorschläge von der staatlichen Verwaltung, der rechtlichen Praxis und aus der Wirtschaft vor, die unterschiedliche Ansätze verfolgen.

1. Der Gesetzentwurf des Landes Nordrhein-Westfalen

Von der Landesregierung Nordrhein-Westfalen stammt der Vorschlag, um ein eigenes Unternehmensstrafrecht zu schaffen, ein Verbandsstrafgesetzbuch (VerbStrG) einzuführen. Danach könnten sich Unternehmen bei Verletzung von Compliance-Pflichten selbst strafbar machen. Als „Verbandsstrafen“ sieht der Entwurf eine breite Palette unterschiedlicher Sanktionen vor: eine Verbandsgeldstrafe, eine Verbandsverwarnung mit Strafvorbehalt und die zwingende Öffentliche Bekanntmachung der Verurteilung.

Des Weiteren sieht der Entwurf weitere „Verbandsmaßregelungen“ vor. Obwohl dieser Begriff harmloser anmutet, als der der „Verbandsstrafe“, sind gerade hier harte Sanktionen für Unternehmen und Verbände vorgesehen: Ausschluss von Subventionen, Ausschluss von der Vergabe öffentlicher Aufträge und als letztes Mittel die erzwungene Auflösung des Unternehmens bzw. Verbandes.

Ähnliche wie das bestehende Strafrecht sieht der Entwurf auch Möglichkeiten zum Absehen von Strafe (z.B. „Schadenswiedergutmachung“, „erhebliche Milderungsgründe“), die Möglichkeit der Bewährung unter Auflagen (z.B. „Verbesserung von Compliance-Strukturen“, „Zahlungen an gemeinnützige Vereinigungen“) und die Eintragung in das Bundeszentralregister vor.

Als Vorbild dient diesem Entwurf das am 1.1.2006 in Kraft getretene österreichische Verbandsverantwortlichkeitsgesetz (VbVG).

2. Der Vorschlag des Bundesverbandes der Unternehmensjuristen (BUJ)

Der Gesetzgebungsvorschlag des BUJ versteht sich explizit als Gegenvorschlag zum nordrhein-westfälischen Gesetzentwurf. Der Vorschlag will ausdrücklich kein eigenes Unternehmensstrafrecht bzw. Verbandsstrafrecht und fordert stattdessen die Anpassung des bestehenden Ordnungswidrigkeitenrechts. Besonderes Augenmerk legt der Vorschlag dabei auf Änderungen der §§ 30 und 130 OWiG.

Hauptaugenmerk des Vorschlags ist es, die Compliance-Maßnahmen eines Unternehmens haftungsrechtlich zu würdigen und den Unternehmen einen Anreiz für eine präventive Einführung von Compliance-Maßnahmen sowie aktive und vorbehaltlose Zusammenarbeit mit den Strafverfolgungsbehörden zu bieten. Entscheidend für die Vermeidung der Haftung eines Unternehmens wären somit die von diesem geschaffene Compliance-Struktur und die Effizienz der zuständigen Abteilung.

Sanktionen wie die des nordrhein-westfälischen Entwurfs sieht dieser Vorschlag nicht vor. Entsprechend der Orientierung am Ordnungswidrigkeitenrecht sieht der Vorschlag lediglich Geldbußen vor. Darüber hinaus soll zusätzlich die Möglichkeit der Straffreiheit geschaffen werden, wenn Unternehmen Gesetzesverstöße selbst anzeigen. Ein Unternehmensstrafrecht soll nach dieser Ansicht überflüssig sein.

3. Der Vorschlag des Deutschen Instituts für Compliance e.V. (DICO)

Das DICO geht mit seinem Vorschlag einen dritten Weg. Es hat ein sogenanntes Compliance-Anreiz-Gesetzes (CompAG) entworfen und rückt damit die eigentliche Zielsetzung aller drei Vorschläge in den Mittelpunkt: die Schaffung von Anreizen für Unternehmen, geeignete und ordnungsgemäße Compliance-Strukturen zu bilden und Maßnahmen zu ergreifen.

Wie der zweite Vorschlag der Unternehmensjuristen möchte auch das DICO auf die Schaffung von einem eigenen Unternehmensstrafrecht bzw. Verbandsstrafrecht verzichten. Ohnehin ähnelt der Vorschlag des DICO dem des BUJ. So will auch das DICO durch das CompAG Veränderungen bzw. Konkretisierungen des Ordnungswidrigkeitenrechts einführen, um ein insgesamt dreistufiges Sanktionssystem zu implementieren. Die Unternehmen haften demnach wie bisher bei Fehlen ausreichender Compliance-Maßnahmen (1. Stufe). Der Gesetzgebungsvorschlag sieht hierzu eine Konkretisierung der erforderlichen Aufsichtsmaßnahmen in § OWIG § 130 Abs. OWIG vor (2. Stufe). Ebenso ist eine Milderung oder gar ein Verzicht von Sanktionen vorgesehen, wenn sich das betroffene Unternehmen ernsthaft und ausreichend um geeignete Compliance-Maßnahmen bemüht hat (3. Stufe).

Es bleibt abzuwarten, wie sich die Diskussion und das Gesetzgebungsverfahren weiter entwickeln. Über Neuigkeiten zu diesem Thema werden wir Sie informieren.

 

 

BGH schränkt Haftung von Geschäftsführern ein

Der Bundesgerichtshof (BGH) hat in einem Urteil vom 18.6.2014 (Az. I ZR 242/12) die persönliche Haftung von Geschäftsführern bei Wettbewerbsverstößen der Gesellschaft eingeschränkt. Der Geschäftsführer soll nur noch dann haften, wenn er persönlich an der unlauteren Wettbewerbshandlung beteiligt war oder verpflichtet gewesen wäre, einzugreifen.

Mit dieser Entscheidung ist der BGH von seiner ursprünglichen Linie abgerückt, die eine persönliche Haftung bereits dann bejahte, wenn der Geschäftsführer bloße Kenntnis vom Wettbewerbsverstoß hatte und diesen nicht durch organisatorische Maßnahmen verhinderte (ständige Rechtsprechung seit Urteil v. 26.9.1985 – Az. I ZR 86/83).

BGH verneint generelle Organhaftung

Nach der neuesten Rechtsprechung kann eine persönliche Haftung des Geschäftsführers bei Wettbewerbsverstößen nicht mehr aus der abstrakten generellen Organhaftung des Geschäftsführers abgeleitet werden, die den Geschäftsführer allgemein für den Geschäftsbetrieb verantwortlich macht. In Zukunft kann ein Geschäftsführer für Wettbewerbsverstöße seiner Mitarbeiter nur noch persönlich haftbar gemacht werden, wenn er sie nach besonderen deliktsrechtlichen Grundlagen hätte verhindern müssen (sog. Garantenstellung). Weiterhin kann er persönlich haftbar gemacht werden, wenn er an den Wettbewerbsverstößen selbst beteiligt gewesen ist.

Pflicht zur ordnungsgemäßen Geschäftsführung nur gegenüber Gesellschaft

Die gesetzliche Pflicht des Geschäftsführers (§ 43 Abs. 1 GmbHG) bzw. des Vorstandes (§ 93 Abs. 1 S. 1 AktG) zur ordnungsgemäßen Geschäftsführung besteht lediglich gegenüber der Gesellschaft und nicht gegenüber etwaigen Dritten. Gerade aus dieser Pflicht der ordnungsgemäßen Geschäftsführung wurden bisher persönliche Haftungsansprüche Dritter gegen den Geschäftsführer abgeleitet. Da diese Pflicht aber, wie der BGH nun urteilte, eben nur gegenüber der Gesellschaft gelte, kann daraus von nun an keine persönliche Haftung bei Wettbewerbsverstößen mehr begründet werden.

Haftung kann sich auch anders ergeben

Grundsätzlich hat der BGH mit diesem Urteil die persönliche Haftung von Geschäftsführern beschränkt, die sich aus der generellen Organhaftung ergeben können. Es muss, damit eine Haftung bejaht werden kann, ein Grund vorliegen, der über die bloße Verantwortlichkeit des Geschäftsführers zu einem ordnungsgemäßen Geschäftsbetrieb hinausgeht. Solche Gründe könnten aus dem Bereich der Compliance stammen. Geschäftsführer einer GmbH bzw. Vorstände einer AG sind verpflichtet, Schaden von ihrem Unternehmen abzuwenden. Zudem kann auch ein Verstoß gegen die Pflicht ein ordnungsgemäßes Compliance-System aufzubauen, dass eventuell Wettbewerbsverstöße durch Mitarbeiter verhindert oder gemindert hätte, eine persönliche Haftung begründen. Als Beispiel für eine solche prinzipielle Bedeutung eines funktionierenden Compliance-Systems und etwaige Folgen zeigt das sog. „Neubürger-Urteil“ des Landgerichts München I (Newsletter 9/2014).

Wer haftet bei kartellrechtlichen Verstößen vor dem Hintergrund eines Wechsels des Mutterkonzerns?

Ist ein Tochterunternehmen an einem Kartell beteiligt und wechselt es während des Bußgeldverfahrens der Kommission den Mutterkonzern, haften beide Mutterkonzerne. Diese Ansicht der Europäischen Kommission hat der Europäische Gerichtshof bestätigt.

Ist ein Tochterunternehmen eines Konzerns an einem Kartell beteiligt und wird das Tochterunternehmen noch vor dem Bußgelderlass der Kommission aus dem alten Mutterkonzern aus- und in einen neuen, fremden Mutterkonzern eingegliedert, bspw. durch Verkauf, stellt sich die Frage nach der Haftung des alten und neuen Mutterkonzerns.

Der Europäische Gerichtshof (EuGH) hat nun geurteilt, dass durchaus mehrere Mutterkonzerne für kartellrechtliche Verstöße des Tochterunternehmens haften können. Dies ist der Fall, wenn die Kommission nachweisen kann, dass die jeweiligen Mutterkonzerne während der Dauer des Kartells mit dem betroffenen Tochterunternehmen eine wirtschaftliche Einheit gebildet haben. Es kommt folglich nicht darauf an, ob das Tochterunternehmen vor Eingliederung in den neuen Mutterkonzern bereits am Kartell teilgenommen hat. Auch wenn der Bußgelderlass der Kommission nach Ausgliederung des betroffenen Tochterunternehmens ergeht, entlässt das den ehemaligen Mutterkonzern nicht aus der Haftung. Entscheidend ist, ob das Tochterunternehmen während der Teilnahme am Kartell in einer wirtschaftlichen Einheit mit dem Mutterkonzern gewesen ist. Wenn ja, ergibt sich daraus die jeweilige Haftung.

Aus der Ansicht der Kommission und des EuGH ergibt sich folglich, dass es zu zwei gesamtschuldnerischen Strafen kommt: der erste Mutterkonzern gesamtschuldnerisch mit dem Tochterunternehmen, sowie der zweite Mutterkonzern gesamtschuldnerisch mit dem Tochterunternehmen. Der erste Mutterkonzern kann sich somit nicht aus der Haftung „stehlen“, indem er vor Erlass des Bußgeldbescheides das Tochterunternehmen abstößt.