Newsletter Technologie & Kommunikation
Geschrieben von
Ausgabe 4
Der Frühling lässt nicht nur Pflanzen aus dem Boden sprießen, sondern auch spannende Themen aus der Tech&Comms-Welt. Insbesondere wird die EU-Verbandsklagerichtlinie in absehbarer Zeit in deutsches Recht umgesetzt werden. Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen!
Save the Date: Am 15. September 2023 findet wieder unser IT LawCamp in Frankfurt statt!
Nachrichten
BNetzA zu Machine-to-Machine Kommunikation
Die Bundesnetzagentur (BNetzA) hat ihre Sichtweise zur Einordnung von Machine-to-Machine (M2M)-Kommunikation als Telekommunikationsdienst veröffentlicht. Ihrer Beurteilung nach ist die einer M2M-Kommunikation zugrundeliegende Signalübertragung regelmäßig ein Telekommunikationsdienst, nicht aber die M2M-Kommunikation an sich. Der Anbieter der M2M-Kommunikation biete jedoch dann auch den zugrundeliegenden Signalübertragungsdienst an, wenn er hierüber einen eigenständigen Vertrag mit dem Endkunden abschließe oder er die Signalübertragung auch zur Erbringung weiterer Dienste nutze, etwa eines Internetzugangsdienstes oder eines interpersonellen Kommunikationsdienstes.
Die Einordnung der BNetzA finden Sie auf bundesnetzagentur.de.
BNetz A veröffentlicht Jahresbericht zur Breitbandmessung
Die Bundesnetzagentur (BNetzA) hat ihren Jahresbericht 2021/2022 zur Breitbandmessung veröffentlicht. Darin zieht die BNetzA ein nach wie vor ernüchterndes Fazit. Im Mobilfunk erhielten der Auswertung zufolge nur 23,2% der Nutzer mindestens die Hälfte der vertraglich vereinbarten maximalen Downloadleistung. Bei nur 3% wurde diese voll erreicht (im Vergleich zu 2,6% 2020/2021). Im Festnetz erhielten 84,4% der Nutzer mindestens die Hälfte der vertraglich vereinbarten maximalen Downloadleistung, 42,3% die volle Leistung.
Weitere Informationen finden Sie auf bundesnetzagentur.de.
Irland kurz vor der Umsetzung des EKEK
Am 2.3.2023 hat der irische Präsident das neue irische Telekommunikationsgesetz ("ComReg Act 2023") unterzeichnet. Damit steht auch Irland kurz vor der Umsetzung des Europäischen Kodex für die Elektronische Kommunikation (RL(EU) 2018/1972, "EKEK"). Der ComReg Act 2023 ist zunächst nur teilweise in Kraft, da ein Teil noch durch Ministerien umgesetzt werden muss. Dies soll voraussichtlich noch im 2. Quartal 2023 geschehen. Daneben ist nur noch die Umsetzung Polens ausstehend.
Weitere Informationen finden Sie auf der Website des irischen Parlaments und in unserem Implementation Tracker.
EuGH zur Abberufung von Datenschutzbeauftragten nach dem BDSG
Der EuGH hat über die Vereinbarkeit des BDSG mit der DSGVO entschieden (Az. C-453/21 und C-560/21). Konkret ging es in den Verfahren um die Voraussetzungen zur Abberufung eines (betrieblichen) Datenschutzbeauftragten. Nach § 6 BDSG ist die Abberufung des Datenschutzbeauftragten für nichtöffentliche Stellen nur unter den Voraussetzungen des § 626 BGB zulässig. Art. 38 DGSVO hingegen sieht zur Abberufung des Datenschutzbeauftragten lediglich vor, dass sie nicht wegen der Erfüllung seiner Aufgaben erfolgen darf. Nach Ansicht des EuGH dürfen die Mitgliedsstaaten strengere Vorgaben treffen, wenn sie der Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies sei durch die nationalen Gerichte sicherzustellen. Grundsätzlich stehe § 6 BDSG damit aber der DSGVO nicht entgegen.
Weitere Informationen finden Sie hier.
Data Act auf der Zielgeraden
Das Europäische Parlament hat am 14. März ihre Version des Data Acts angenommen. Zentraler Regelungsgehalt sind die nicht-personenbezogenen Daten, die aus vernetzten Produkten (Internet der Dinge, Chatbots etc.) gewonnen werden. Der Gesetzesentwurf soll einerseits die Hindernisse für die Verbreitung von solchen Daten beseitigen und so die Innovation und den Wettbewerb fördern. Andererseits sollen die Nutzer der Daten privilegiert und geschützt werden, indem sie auf die erhobenen Daten zugreifen und diese weitergeben können. Der Rat der EU hat sich am 24. März auf einen gemeinsamen Standpunkt geeinigt und fordert darin kleinere allgemeine Ausbesserungen. Eine grundlegende Änderung des Entwurfs ist nicht zu erwarten.
Weitere Informationen finden Sie zur Abstimmung des Parlaments bei Euractiv und zur Position des Rates auf heise.de und der Website des Rates der EU.
Umsetzung der EU-Verbandsklagerichtlinie in Deutschland
Am 29. März hat das deutsche Bundeskabinett den von Justizminister Marco Buschmann vorgelegten Entwurf eines Verbandsklagenrichtlinienumsetzungsgesetzes (VRUG) gebilligt. Damit wird die Möglichkeit der sog. „Abhilfeklage“ für Verbände in das deutsche Recht implementiert. Qualifizierte Verbraucherverbände sollen damit gleichartige Leistungsansprüche von mindestens 50 Verbrauchern bei Gericht unmittelbar einklagen können. Verbraucher können sich bis zu zwei Monate nach dem ersten mündlichen Verhandlungstag für eine Verbandsklage anmelden. Die Einführung der Verbandsklage bedeutet eine grundlegende Änderung im deutschen Recht, wonach Verbraucherschutzverbände bisher nur im Wege der Musterfeststellungsklage auf Feststellung des Bestehens bestimmter Ansprüche klagen konnten. Mit der Verbandsklage können Verbände unmittelbar auf Leistung klagen, ähnlich dem US-Modell der Sammelklage. Das Gesetz soll am 25. Juni 2023 in Kraft treten.
Weitere Informationen finden Sie bei LTO und auf der Website des BMJ.
DSA: Aufsichtsgebühr für Betreiber großer Plattformen und Suchmaschinen
Die EU-Kommission hat am 02. März einen nachgeordneten Rechtsakt zum Digital Service Act verabschiedet. Darin werden sehr große Plattformen und Suchmaschinen verpflichtet, sich an den Kosten ihrer Überwachung durch die Kommission zu beteiligen. Die Zahl der monatlich aktiven Nutzer entscheidet dabei darüber, wie hoch die zu zahlende Summe ist.
Weitere Informationen finden Sie bei heise.de.
EDSA: Stellungnahme zum EU-US "Data Privacy Framework"
Am 28. Februar hat der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme zum EU/US Transatlatic Privacy Framework verabschiedet. Konkret geht es um den Angemessenheitsbeschluss der EU-Kommission über den neuen Rechtsakt zur Übermittlung von personenbezogenen Daten zwischen der EU und den USA. Die europäischen Datenschutzbehörden loben in ihrem Beschluss die Erweiterung der datenschutzrechtlichen Prinzipien durch Änderungen im US-Recht, insbesondere den „Executive Order 14086“ des US-Präsidenten und die Verbesserung beim Zugang zu Rechtsbehelfen. Defizite sehen sie aber weiterhin bei dem fehlenden Richtervorbehalt für Überwachungsanordnungen nach dem „FISA“-Act, und den nach wie vor undurchsichtigen Vorschriften zur Massenüberwachung. Dennoch sieht der EDSA eine Verabschiedung des Angemessenheitsbeschlusses durch die EU-Kommission nach Bestätigung durch das EU-Parlament als wahrscheinlich an.
Weitere Informationen finden Sie bei heise.de, die Stellungnahme (in englischer Sprache) auf der Website des EDSA.
Elektronische Patientenakte soll neuer Standard werden
Das Bundesgesundheitsministerium hat am 9. März zwei neue Gesetzesvorhaben zur Digitalisierung des Gesundheitswesens vorgestellt. Das Erste (sog. „Digitalgesetz“) soll bis Ende 2024 die elektronische Patientenakte für alle gesetzlich Versicherten einrichten. Dabei soll für diese eine Opt-out-Möglichkeit bestehen. Das Zweite (sog. „Gesundheitsdatennutzungsgesetz“) zielt vor allem auf die Errichtung eines Forschungsdatenzentrums, in dem die Gesundheitsdaten gesammelt werden. Für Forschungszwecke sollen Zugangsanträge zu diesen Daten gestellt werden können.
Weitere Informationen finden sie auf heise.de und auf NDR.de.
NOYB legt Beschwerde gegen politisches Microtargeting ein
Die Nichtregierungsorganisation NOYB um den Datenschutzaktivisten Max Schrems hat bei deutschen Datenschutzbehörden Beschwerden gegen politische Parteien eingereicht. NOYB wirft den Parteien CDU, SPD, B90/Die Grünen, AfD, Die Linke und ÖDP vor, bei der Bundestagswahl 2021 auf Facebook personalisierte Wahlwerbung mittels „Microtargeting“ geschaltet zu haben. In Zusammenarbeit mit der TV-Sendung „ZDF Magazin Royale“ hatte NOYB Microtargeting-Daten von Freiwilligen vor der Bundestagswahl 2021 protokolliert und festgestellt, dass die Parteien Facebook-Usern gezielt Wahlwerbung auf Grundlage ihrer Vorlieben geschaltet haben. NOYB sieht darin eine rechtswidrige Verarbeitung von sensiblen Daten nach Art. 9 DSGVO, da es sich um Daten handele, aus denen politische Meinungen hervorgehen.
Weitere Informationen finden Sie bei Heise Online und auf der Website von NOYB.
EU-Verbraucherschutz plant freiwillige Initiative für Einwilligungsverwaltungssysteme
Die Generaldirektion für Justiz und Verbraucherschutz der EU-Kommission hat eine Initiative zur Erprobung von Einwilligungsverwaltungssystemen angekündigt. Einwilligungsverwaltungssysteme (engl. Personal Information Management Systems, „PIMS“) sollen Endnutzern die Möglichkeit geben, Cookie-Einwilligungen in Voreinstellungen abzugeben. Dies soll die Menge an Cookie-Einwilligungsbannern beim Navigieren durch das Internet reduzieren oder diese sogar obsolet machen. Die Einwilligung ist jedoch an strenge Voraussetzungen durch die ePrivacy-Richtlinie und die DSGVO geknüpft. Eine zufriedenstellende Lösung kann möglicherweise erst mit der ePrivacy-Verordnung gefunden werden. Als ersten Schritt organisiert die Generaldirektion für Justiz und Verbraucherschutz eine Reihe von Diskussionsrunden mit diversen Interessengruppen wie Verlegern, Werbetreibenden, Anbietern digitaler Plattformen und Verbraucherschutzgruppen. Das erste Treffen soll am 28. April stattfinden.
Weitere Informationen finden Sie auf heise.de und auf Euractiv.
EU-KI-Verordnung: General Purpose AI als Hochrisiko-Technologie?
Am 21.04.2021 hat die EU-Kommission einen Vorschlag für eine „KI-Verordnung“ veröffentlicht. Deren Verabschiedung ist aber weiterhin nicht in Sicht. Zu diesem Vorschlag gab es 2021 zahlreiche Stellungnahmen europäischer Institutionen und er wurde 2021/2022 mehrfach im Rat erörtert. Allerdings kam es noch nicht zu einer notwendigen ersten Lesung im Parlament auf die noch die Billigung durch den Rat folgen muss. Nun kommt erschwerend die Diskussion um den Umgang mit sog. General Purpose AI (wie ChatGPT) hinzu. Dabei wird diskutiert, ob sie besonders reguliert oder sogar als Hochrisiko-Technologie eingestuft werden müssen. Eine Einigung besteht nur beim Verbot der Massenüberwachung, sodass erwartet werden kann, dass das Gesetzgebungsverfahren (noch länger) andauern wird.
Weitere Informationen finden Sie Heise Online und der Website der EU.
Events
Simon Assion mit DAV-Seminar: Die neuen Regeln für datenbasierte Geschäftsmodelle
Data Act, Data Governance Act, Digital Services Act, Digital Markets Act, das neue Schuldrecht für digitale Produkte, TTDSG… Sind Sie auch überfordert von der Vielzahl neuer rechtlicher Pflichten, die auf Ihr digitales Geschäftsmodell anwendbar sind? Damit sind sie nicht alleine. Das DAV-Seminar macht einen Rundumschlag durch das neue Digitalrecht und behandelt gleichzeitig aktuelle Problemstellungen und Fragen zu datenbasierten Geschäftsmodellen und zum „Internet der Dinge“. Behandelt wird dies aus Perspektive der juristischen Praxis, insbesondere in Bezug auf Vertragsgestaltung und Compliance.
Referent: Dr. Simon Assion
Ort: relexa Hotel, Lurgiallee 2, 60439 Frankfurt a. M.
Datum und Uhrzeit: 10.05.2023, 13:30 - 19:00 Uhr
Weitere Informationen und Anmeldung
IT LawCamp 2023
Was wir bieten:
Ein BarCamp, das sich auf einschlägige und aktuelle Rechts-, Datenschutz- und IKT-Themen konzentriert und das erste IT LawCamp in Deutschland ist. Nach zwei Jahren digitaler Ausrichtung freuen wir uns auf die Wiederaufnahme als Präsenzveranstaltung mit spannenden Vorträgen, lebendigen Diskussionen sowie den persönlichen Ideenaustausch.
Das Programm wird erst zu Beginn des Tages im morgendlichen Kick-Off-Meeting mit allen Teilnehmenden finalisiert. Jede:r LawCamper:in hat die Möglichkeit, einen eigenen Vortrag oder Workshop anzubieten. Abhängig von dem Interesse der Teilnehmenden werden entsprechende Räume und Zeitslots zugeteilt. Die Form der Beiträge ist frei: Vorträge, Diskussionsrunden, Fishbowls oder Workshops bieten sich an – Sie haben die Wahl.
Wen wir einladen:
Sie! Alle Unternehmensvertreter:innen, die sich mit IT, Telekommunikation, Medien, Internet und/oder Datenschutz-Fragen befassen.
Worüber wir sprechen:
Über alles, was unseren klassischen Rechtsbereich aus den Angeln hebt: Technische Innovationen, Disruptionen und andere Entwicklungen mit Blick über den Tellerrand.
Ort: Frankfurt a. M.
Datum: 15.09.2023
Weitere Informationen und Anmeldung
Veröffentlichungen und Vorträge
Mascha Grundmann zur Haftung für Verletzung von Markenrechten durch Dritte
Unsere Partnerin Mascha Grundmann hat sich in einer Urteilsanmerkung in der „Europäischen Zeitschrift für Wirtschaftsrecht“ mit der Entscheidung des EuGH zur Haftung von Online-Marktplätzen für Markenrechtsverletzungen durch Drittanbieter auseinandergesetzt. Sie fasst die Entscheidung des EuGH zusammen und ordnet diese in die bisherige Rechtsprechung des EuGH ein. Zuletzt gibt sie einen Ausblick über mögliche Praxisfolgen des Urteils. [EuZW 2023, 230]
Frederik Thiering zur Rechtsprechung von EuGH und BGH zum Markenrecht
Unser Partner Dr. Frederik Thiering hat sich in der Zeitschrift „Gewerblicher Rechtsschutz und Urheberrecht“ mit der Rechtsprechung des EuGH und des BGH im Markenrecht seit dem Jahr 2021 beschäftigt. Er gibt einen Überblick über die relevanten Entscheidungen, fasst dessen Kerninhalte zusammen und ordnet sie den unterschiedlichen Bereichen des Markenrechts zu. [GRUR 2023, 201]
Thomas Hey und Anna Kubitz zum außerbetrieblichen Arbeiten
Unser Partner Thomas Hey und unsere Referendarin Anna Kubitz haben sich in der Zeitschrift „Betriebs-Berater“ dem Thema „außerbetriebliches Arbeiten“ gewidmet. Sie stellen zunächst die Trennung zwischen Telearbeit, alternierender Telearbeit, mobiler Arbeit und Homeoffice dar und gehen sodann auf unterschiedliche arbeitsrechtliche Bestimmungen ein und wie sie je nach Art des Arbeitsplatzes umzusetzen sind. Insbesondere gehen sie auf die Anwendbarkeit des ArbSchG und der ArbStättV bei Telearbeit und mobiler Arbeit ein. [BB 2023, 629]
Nils Lölfing zu sektorübergreifender KI-Regulierung
Unser Associate Dr. Nils Lölfing hat sich im „Tagesspiegel“ mit dem Thema KI-Regulierung durch die EU auseinandergesetzt. Er geht hierbei kritisch auf den sektorübergreifenden Ansatz des EU-Gesetzgebers bei der KI-Regulierung ein und zeigt die Vorteile von sektorspezifischer Regulierung, insbesondere mit Blick auf Rechtssicherheit und Innovation, ein. Den Standpunkt finden Sie hier. [Tagesspiegel v. 1.3.2023]
Neuauflage des Shorthose [Hrsg.]: Guide to EU and UK Pharmaceutical Regulatory Law: Emma Drake zu Pharma-Datenschutz
Die 8. Auflage des von unserer Partnerin Sally Shorthose herausgegebenen „Guide to EU and UK Pharmaceutical Regulatory Law“ wurde veröffentlicht. Unsere Associate Emma Drake hat gemeinsam mit Clara Clark Nevola in der neuen, 8. Auflage das Kapitel zum Datenschutz im Pharma-Sektor verfasst. [Shorthose, Guide to EU and UK Pharmaceutical Regulatory Law]
On Air - der Bird & Bird Podcast
Martin Schimke zum Sportrecht
Unser Partner Prof. Dr. Martin Schimke gibt uns in der neuen Folge unseres Bird&Bird-Podcasts „On Air“ einen Einblick in das Fachgebiet des Sportrechts. Wir reden mit ihm über die Rechtsgrundlagen des Sportrechts, das Verhältnis vom Verbandsrecht zum Strafrecht und über seine Arbeit beim Schiedsgerichtshof. Außerdem diskutieren wir mit ihm über das Dopinggesetz und Herr Schimke gibt uns eine Einschätzung zur Effektivität dieses Gesetzes.
Den Podcast finden Sie auf iTunes, Spotify und Deezer.
Neu auf unserer Website
Impact of the EU's AI Act proposal on automated and autonomous vehicles
AI is considered as the main enabler for assisted, automated and autonomous driving. Although the EU´s AI Act* proposal for high-risk AI systems does not – despite its cross-sectoral approach – directly apply to automated and autonomous vehicles (hereafter “AVs”) and their AI components, several of the AI Act´s accountability requirements will also apply to AVs. This is because they will be introduced to AVs in the future through delegated acts of the Commission under the type-approval framework for motor vehicles.
We will discuss below what this could mean for OEMs as well as traditional automotive and in-vehicle software suppliers. This article will also outline why the AI Act requirements for AVs have the potential to significantly impact the way AVs and their AI-based safety components are developed going forward.
China's Data Export Framework Completed with Release of Standard Contract
On 22 February 2023, the Cyberspace Administration of China (“CAC”) released the long-awaited standard contract (“Standard Contract”) for personal information export and an accompanying regulation (“Regulation”), seven months after it published the first draft for consultation. The Regulation takes effect from the 1 June and provides for a six-month rectification period. In this article, we highlight the key provisions of the Standard Contract and the Regulation and set out our observations on the proposed measures.
Weiterlesen
DSA-Targeted advertising aimed at minors: a future ban?
In 2022, more than 60 countries - including all European Union ("EU") member states, the United States, the United Kingdom, Canada and Japan - signed the Declaration for the Future of the Internet and committed to promoting online safety to make the internet a safe and secure space for everyone, especially children. This Declaration directly echoes the European Digital Services Act (DSA) which prohibits online platforms from showing targeted advertisements to minors based on the use of their personal data.
The implementation of the ban is anything but straightforward and raises many questions: how will it apply to different actors? How will it be possible to know with certainty that users are over 18 when serving them targeted advertising? Will they have to use age verification systems?
Weiterlesen
Irish Government has published The General Scheme of the Digital Services Bill 2023
On 20 March 2023 the General Scheme of the Digital Services Bill 2023 was released by the Department of Enterprise, Trade and Employment. The Digital Services Bill will support, at a national level, the Digital Services Act (Regulation (EU) 2022/2065) which came into force on 16 November 2022. Some of the DSA had immediate effect when it came into force, but the broader application of the DSA in all Member States takes effect from 17 February 2024.
The Digital Services Bill 2023 is necessary to provide effect for certain provisions of the Digital Services Act, where the EU regulation does not directly apply, such as the designation and empowerment of a competent authority.
Artificial intelligence: EU lawmakers debate how to respond to rise of ChatGPT
The European Commission’s Proposal for an Artificial Intelligence Act is a designed to create a regulatory framework for the use of AI in the European Union, in conformity with EU values. Following the adoption of the Council’s General Approach on 6 December 2022, the European Parliament is close to agreeing on its internal position on this proposal regulation. The forthcoming three-way negotiations (“trilogue”) between the European Parliament, Council and Commission will see EU lawmakers trying to reach a final position on sensitive issues such as the definition of an AI system, biometric identification technologies and how to respond to the rise of sophisticated chat boxes such as ChatGPT.
Weiterlesen
Cybersecurity: Swedish Presidency proposes major changes to the European Cyber Resilience Act
The current Swedish Presidency of the EU Council recently circulated new compromise texts on certain provisions of the proposal for a new European Cyber Resilience Act (“Cyber Resilience Act”), including inter alia major changes to the classification of digital products and clarification of the interplay between the Act with other legislation. The proposal for a Cyber Resilience Act presented by the Commission on 15 September 2022, introduces horizontal mandatory cybersecurity requirements for products with digital elements that are not specific to sectors, throughout their whole lifecycle. The aim of the Cyber Resilience Act is to protect consumers and businesses from products with inadequate security features.
Weiterlesen
Gigabit Infrastructure Act aims to increase connectivity in the EU
On 22 February, the European Commission published a long-awaited proposal for a Gigabit Infrastructure Act (GIA). The GIA aims to contribute to the cost-efficient and timely deployment of very high-capacity networks to meet the increasing connectivity needs across the European Union. To this end, the Commission aims to facilitate better access to the physical infrastructure of network operators and public institutions, better coordination of civil works and uniform and digitally accessible permit procedures. In addition, the rules pertain to making new and renovated buildings “fibre ready”.
Weiterlesen
The EU Digital Services Act (DSA) has finally been published in the EU Official Journal
The EU Digital Services Act (DSA) was finally published in the EU Official Journal on 27 October 2022, which marks the end of its adoption process.
Instagram, Facebook and WhatsApp at the EDPB
Alex Jameson provides his insights on the recent supervisory authority decisions involving Meta, the DPC and the EDPB for Privacy & Data Protection journals.
"Transparency is central" - but perhaps only if you care to read: what you need to know about Experian's appeal at the First Tier Tribunal
On 20 February 2023, the First Tier Tribunal (“FTT”) ruled on Experian’s appeal of the Information Commissioner’s enforcement notice, imposed back in October 2020. Although the FTT’s findings are not binding precedent – and the current Information Commissioner has announced that there will be a further appeal to the Upper Tribunal - the judgment prompts various reflections for privacy professionals, on UK GDPR transparency requirements, on the FTT’s willingness to take business interests into account and on the ICO’s ability to take meaningful enforcement action.
Blogartikel
Mediawrites
'Legal but harmful' in the Online Safety Bill - gone but not forgotten?
Jeremy Wright
