it-recht

Kategorie: IT-Recht

Mal was Intelligentes aus Brüssel – Die europäische KI-Verordnung kommt!

Am 14.06.2023 hat sich das Europäische Parlament nach langen Diskussionen auf einen „Vorschlag für eine Verordnung… zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union“ verständigt. Es wird erwartet, dass das Projekt KI-Gesetz („Artificial Intelligence Act“ oder kurz AI-Act) noch Ende 2023 abgeschlossen werden kann.

Das Thema ist dank ChatGPT nicht mehr nur Hollywood-Fiktion, sondern längst faszinierende und manchmal auch beunruhigende Realität. Obwohl sonst schnell der Vorwurf der Überregulierung durch die EU erhoben wird, kann es in diesem Bereich nicht schaden, wenn man den technischen Quantensprung so schnell und detailliert wie möglich mit Vorschriften in die richtigen Bahnen lenkt. Es gilt, Risiken für die Anwender zu minimieren, Rechte zu sichern und notfalls welche zu schaffen. Zugleich brauchen Unternehmen dringend Rechtssicherheit, wenn es um den Einsatz von KI geht. Je nach Branche werden unterschiedlich starke Auswirkungen von Technik und Recht spürbar sein.

Dieser Artikel soll zunächst einen Überblick über die zu erwartende Rechtsentwicklung geben, in weiteren Artikeln werden wir ein Licht auf die einzelnen Rechtsbereiche und Branchen werfen.

Wie lautet die Geschichte hinter dem KI-Gesetz?

Auch wenn es den Anschein hat, dass die EU mit dem KI-Gesetz erst spät auf die Entwicklungen bei ChatGPT & Co. reagiert hat, so reicht die Historie doch weiter zurück. Schon 2018 gab es auf europäischer Ebene ein Strategiepapier, 2019 einen Bericht einer Expertenkommission und 2020 das „Weißbuch zur Künstlichen Intelligenz“ der EU-Kommission. Letztere hatte den ersten Entwurf zum KI-Gesetz im April 2021 präsentiert. Allerdings hat die rasante Entwicklung der letzten Monate die Diskussionen rund um den Verordnungsentwurf nachvollziehbar beeinflusst, so dass bis zuletzt noch um die endgültige Fassung gerungen wird.

Der Rat der EU veröffentlichte am 06.12.2022 eine allgemeine Ausrichtung zum Verordnungs-Vorschlag. Am 27.04.2023 einigte sich das Parlament auf eine Stellungnahme, die leitenden Ausschüsse stimmten am 11.05.2023 über den Entwurf ab. Im EU-Parlament erfolgte im Juni 2023 dann eine finale Abstimmung, wieder mit erheblichen Änderungen. Die KI-Verordnung soll noch 2023 in Kraft treten, die meisten Vorschriften gelten dann allerdings erst nach weiteren 24 Monaten. Zuvor werden noch Gespräche mit den Mitgliedsstaaten über den finalen Verordnungstext geführt, so dass nachvollziehbar ist, dass sich dieser Beitrag nur mit der aktuellen Fassung beschäftigen kann – Änderungen also vorbehalten.

Die ausgegebenen Ziele des KI-Gesetzes klingen anfänglich widersprüchlich: Es soll transparente Regeln für den Umgang mit KI-gesteuerten Systemen schaffen, jedweden schädlichen Einfluss beschränken sowie Grundrechte der Bürger sichern. Allerdings will man zugleich den EU-weiten Wettbewerb fördern und Überregulierung vermeiden, so dass Europa bei der weltweiten Entwicklung nicht abgehängt wird. Beide Ansinnen werden am Ende zu einem Kompromiss nötigen, der nicht ohne Kritik bleiben kann.

Wer ist vom KI Gesetz betroffen?

Wer glaubt, von der Regulierung seien nur „Large Language Models“ wie ChatGPT betroffen, der irrt nachhaltig. Nach der im KI-Gesetz bewusst weit gefassten Definition handelt es sich bei KI um ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeitet und für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die die physische oder virtuelle Umgebung beeinflussen. Diese Begriffsbestimmung ist sehr weit gefasst und nimmt nach dem letzten Entwurf bewusst nicht Bezug auf Software. Daher sind von der Verordnung auch Bereiche tangiert, in denen KI schon jetzt wie selbstverständlich im Hintergrund wichtige Aufgaben erfüllt. Virtuelle Assistenten, Chatbots und Empfehlungsdienste bei Streaminganbietern sind ebenso betroffen wie Spamfilter und intelligente Hilfen im Marketing oder Recruiting. Der Einsatz von KI in der Medizin bei der Diagnose von Krankheiten sei zusätzlich hervorgehoben, den Bogen zum Autonomen Fahren oder dem Metaverse wollen wir an dieser Stelle gar nicht erst spannen.

Die KI-Verordnung soll in der derzeitig bekannten Fassung für alle Anbieter und Anwender von KI-Systemen gelten. Das gilt unabhängig davon, ob diese in der Union oder in einem Drittland niedergelassen sind. Für Händler, Einführer von KI-Systemen, Bevollmächtigte von Anbietern von KI-Systemen sowie Hersteller bestimmter Produkte ist der Anwendungsbereich ebenso eröffnet, wenn diese in der Union niedergelassen oder ansässig sind. Die insoweit geltenden Regelungen sind vergleichbar mit dem Marktortprinzip aus der DSGVO.

Was wird geregelt?

Grundlegend für das Verständnis der KI-Verordnung ist der Gedanke des risikobasierten Ansatzes: Um feststellen zu können, welche Compliance- und Informationspflichten durch Unternehmen einzuhalten sind, ist die jeweilige KI-Technologie unter Berücksichtigung der Zweckbestimmung und der konkreten Anwendungsrichtlinien zu kategorisieren. Von einem geringeren Risiko bis zum hohen Risiko kann gewählt werden. Liegt allerdings ein unannehmbares Risiko vor, ist die Anwendung strikt untersagt – so wie nach dem letzten Stand des Entwurfs auch die biometrische Massenüberwachung. Für Hochrisiko-KI-Systeme hält die Verordnung sodann in der Folge eine Menge Pflichten bereit.

Neu im Juni 2023 hinzugekommen ist in Art. 4 des Entwurfs ein Katalog von Prinzipien für alle KI-Systeme. Demnach geht man über die Vorgabe freiwilliger Verhaltenskodizes hinaus und verlangt von den Betroffenen des Gesetzes die Einhaltung nachvollziehbarer Grundsätze:

  • Menschliches Handeln und menschliche Aufsicht bedeutet, dass KI-Systeme als Werkzeug entwickelt und verwendet werden, das den Menschen dient, die Menschenwürde und die persönliche Autonomie achtet und so funktioniert, dass es von Menschen angemessen kontrolliert und überwacht werden kann.
  • Technische Robustheit und Sicherheit bedeutet, dass KI-Systeme so entwickelt und verwendet werden, dass unbeabsichtigte und unerwartete Schäden minimiert werden und dass sie im Fall unbeabsichtigter Probleme robust und widerstandsfähig gegen Versuche sind, die Verwendung oder Leistung des KI-Systems so zu verändern, dass dadurch die unrechtmäßige Verwendung durch böswillige Dritte ermöglicht wird.
  • Privatsphäre und Datenqualitätsmanagement bedeutet, dass KI-Systeme im Einklang mit den geltenden Vorschriften zum Schutz der Privatsphäre und zum Datenschutz entwickelt und verwendet werden und dabei Daten verarbeiten, die hohen Qualitäts- und Integritätsstandards genügen.
  • Transparenz bedeutet, dass KI-Systeme so entwickelt und verwendet werden müssen, dass sie angemessen nachvollziehbar und erklärbar sind, wobei den Menschen bewusst gemacht werden muss, dass sie mit einem KI-System kommunizieren oder interagieren, und dass die Nutzer ordnungsgemäß über die Fähigkeiten und Grenzen des KI-Systems und die betroffenen Personen über ihre Rechte informiert werden müssen.
  • Vielfalt, Diskriminierungsfreiheit und Fairness bedeutet, dass KI-Systeme in einer Weise entwickelt und verwendet werden, die unterschiedliche Akteure einbezieht und den gleichberechtigten Zugang, die Geschlechtergleichstellung und die kulturelle Vielfalt fördert, wobei diskriminierende Auswirkungen und unfaire Verzerrungen, die nach Unionsrecht oder nationalem Recht verboten sind, verhindert werden.
  • Soziales und ökologisches Wohlergehen bedeutet, dass KI-Systeme in nachhaltiger und umweltfreundlicher Weise und zum Nutzen aller Menschen entwickelt und verwendet werden, wobei die langfristigen Auswirkungen auf den Einzelnen, die Gesellschaft und die Demokratie überwacht und bewertet werden.

Für Hochrisiko-KI-Systemen gibt es im KI-Gesetz u.a. in den Artikeln 8 bis 15 spezielle Anforderungen, die Anbieter von so genannten Basismodellen setzen diese Grundsätze durch die in den Artikeln 28 bis 28b festgelegten Anforderungen um. Alle anderen KI-Systeme erfüllen die Prinzipien durch Einhaltung der für sie geltenden Bestimmungen im KI-Gesetz bzw. durch darauf abgestimmte technische Spezifikationen.

Zum speziellen Thema der Transparenz ist von jedem Anbieter von KI-Systemen, die für die Interaktion mit natürlichen Personen bestimmt sind, sicherzustellen, dass die natürliche Person, die einem KI-System ausgesetzt ist, rechtzeitig, klar und verständlich darüber informiert wird, dass sie es mit einem KI-System zu tun hat. Das gilt nur dann nicht, wenn dies ist aufgrund der Umstände und des Kontexts der Nutzung offensichtlich ist. Zu den in diesem Zusammenhang geschuldeten Informationen sollen nach dem letzten Entwurfsstand u.a. die Frage nach der menschlichen Aufsicht und die Einspruchsmöglichkeit in Bezug auf Entscheidungen gehören.

Nicht unwichtig ist auch, dass nach Art. 4b des Entwurfs bei allen Beteiligten eine ausreichende KI-Kompetenz herbeigeführt werden soll. Dafür haben die Mitgliedstaaten in der Breite zu sorgen, aber auch die einzelnen Anbieter und Betreiber müssen sicherstellen, dass u.a. ihre Mitarbeitenden „über ein ausreichendes Maß an KI-Kompetenz verfügen“. Es wird sicher spannend, diese Anforderung mit Leben zu füllen.

Für die Freunde der Allgemeinen Geschäftsbedingungen bei Anbietern von Hochrisiko-KI-Systeme gibt es mit Art. 28a des Entwurfs noch ein besonderes Schmankerl, nämlich eine Liste von missbräuchlichen Vertragsklauseln, die man einem KMU oder einem Startup im Zusammenhang mit dem System nicht einseitig auferlegen kann.

Was wird nicht geregelt?

Das sicherlich für viele Unternehmen relevante Thema der Haftung ist nicht Gegenstand der KI-Verordnung. Man darf sich aber nicht zu früh freuen: Dafür hat die Kommission im September 2022 u.a. einen Entwurf zu einer Richtlinie über KI-Haftung veröffentlicht. Mit Elementen wie der Kausalitätsvermutung und dem erleichterten Zugang zu Beweismitteln möchte diese Richtlinie sicherstellen, dass Opfer von durch KI-Technologie verursachten Schäden in gleicher Weise entschädigt werden, als wenn dies unter anderen Umständen geschehen wäre. Mit den Auswirkungen dieser Richtlinie beschäftigt sich noch eingehend ein Folgebeitrag.

Was ist zu tun?

Das Ringen um die letztlich geltende Fassung ist noch nicht abgeschlossen. Die einen bemängeln eine Überregulierung, die anderen verlangen nach noch mehr Schutz der Grundrechte. Welche Verpflichtungen am Ende auf die beteiligten Unternehmen wirklich zukommen, kann noch nicht seriös vorhergesagt werden. Größere Änderungen sind allerdings nach dem bisherigen zähen Ringen nicht mehr zu erwarten. Eins scheint jedenfalls sicher: In Analogie zur Datenschutz-Grundverordnung wird die Zeit bis zur Geltung der weitreichenden Regelungen trotz des zweijährigen Geltungsaufschubs am Ende wieder sehr knapp bemessen sein. Es geht für Anbieter und Anwender nicht nur um die Erfüllung von Informationspflichten, sondern um eine grundlegende Risikoeinschätzung und ggf. um die Neuausrichtung von Herstellungs- und Anwendungsprozessen. Je eher die oben dargestellten Grundsätze verinnerlicht und umgesetzt sind, desto besser wird man in Zukunft aufgestellt sein.

Recht auf Datenkopie – Neues vom EuGH

Noch immer herrscht in vielen Unternehmen so etwas wie Alarmstimmung, wenn Anträge auf Auskunft nach Artikel 15 Datenschutzgrundverordnung (DSGVO) eingehen. Das gilt besonders bei Auskunftsbegehren von gekündigten Mitarbeitern – oder solchen, die diesen Status anstreben. Der Schrecken liegt dabei weniger in der Aufzählung der Kategorien der verarbeiteten Daten mitsamt der Verarbeitungszwecke, da dies bei einem gepflegten Verarbeitungsverzeichnis keine große Sache sein sollte. Kopfzerbrechen bereitet vielmehr regelmäßig die mit dem Auskunftsersuchen verbundene Forderung nach Kopien der personenbezogenen Daten im Sinne des Artikel 15 Absatz 3 DSGVO. Bei Anträgen von langjährigen Mitarbeitern, Geschäftspartnern oder Kunden ist schon der Aufwand beim Sammeln der relevanten Dokumente immens. Da E-Mails, Briefe, Protokolle etc. wiederum regelmäßig personenbezogene Daten von Dritten sowie ggf. Geschäftsgeheimnisse beinhalten, wird in der Praxis meistens dann noch viel Zeit investiert, um Wörter und Passagen zu schwärzen. Die Frage ist, ob dieser ganze Aufwand wirklich immer nötig ist.

Das Recht des Betroffenen nach Artikel 15 Absatz 3 DSGVO

Nach Artikel 15 Absatz 3 DSGVO stellt der Verantwortliche „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“. Form und Frist zu diesem Anhängsel zur Auskunft ergeben sich aus Artikel 12 DSGVO. Ansonsten ist rund um das Recht auf Datenkopie einiges umstritten. Der wesentliche Streit dreht sich darum, was denn eigentlich Kopie in diesem Sinne bedeutet: Müssen ganze Dokumente oder gar Datenbanken zur Verfügung gestellt werden oder genügt es, wenn das konkrete personenbezogene Datum ohne Kontext mitgeteilt wird.

Der Betroffene soll durch die Auskunft des Verantwortlichen die Rechtmäßigkeit der Verarbeitungen überprüfen können. Zu diesem Zweck erzwingt Art. 15 DSGVO eine weitestgehende Transparenz, wozu auch der Einblick in die konkreten Verarbeitungen gehörten soll.

Die Meinung des EuGH…

Der EuGH hat nun in seinem Urteil vom 04.05.2023 (Az. C‑487/21) festgehalten, dass der Betroffene gemäß Art. 15 DSGVO das Recht hat, eine originalgetreue und verständliche Reproduktion aller vorhandenen Daten zu erhalten. Allerdings: Dokumente bzw. Datenbanken ganz oder in Auszügen muss man nur dann in Kopie herausgeben, wenn es unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. „Kopie“ meint in diesem Zusammenhang nämlich nicht das Dokument an sich, sondern die personenbezogenen Daten, die darin zu finden sind.

…und warum das eine gute Nachricht für Verantwortliche ist

Die verantwortlichen Unternehmen werden darüber nicht auf den ersten Blick jubeln. Schließlich obliegt die Einschätzung dieser Unerlässlichkeit natürlich zunächst dem Verantwortlichen, weil er auf die Anfrage des Betroffenen reagieren muss. Es droht immer noch der Aufwand, bei jedem einzelnen Dokument, in dem ein personenbezogenes Datum des Betroffenen zu lesen ist, prüfen zu müssen, ob die Rechtmäßigkeit der Verarbeitung nur mittels des gesamten oder Teil des Dokuments geprüft werden kann.

Andererseits muss man bedenken, dass Unternehmen nun dazu neigen können, die ganze Sache erheblich zu vereinfachen: Der Betroffene erhält nur eine Darstellung der konkreten personenbezogenen Daten als Kopie, Dokumente dazu werden zunächst gar nicht herausgerückt – möge doch der Betroffene im zweiten Schritt darlegen, warum er den gesamten Kontext für seine Einschätzung der Rechtmäßigkeit braucht. Gerade im Streit mit Arbeitnehmern, die sich im Kündigungsprozess über den Kopieanspruch brisante Informationen besorgen möchten, könnte man dank EuGH den Informationsgehalt der Unterlagen erheblich reduzieren. Das DSGVO-Schwert, das Rechtsanwälte gern vorm Arbeitsgericht schwingen, würde zusehends stumpfer werden.

Betroffene sehen schwarz

Wenig hilfreich erscheint der Tipp des EuGH, dass bei der Auskunftserteilung die Rechte und Freiheiten anderer zu berücksichtigen sind – das steht so auch schon in Art. 15 Absatz 4 DSGVO. Auch der Hinweis, dass diese Berücksichtigung nicht dazu führen dürfe, dass der betroffenen Person jegliche Auskunft verweigert wird, steht im Satz 6 des 63. Erwägungsgrunds zur DSGVO. Wann nun geistiges Eigentum, Geschäftsgeheimnisse oder schlicht personenbezogen Daten Dritter dazu führen dürfen, dass Wörter und ganze Passagen in einem Dokument geschwärzt werden, kann man mit diesen Allgemeinplätzen nicht im Einzelfall beantworten.

Andererseits hilft die Festlegung des EuGH in Bezug auf den Kopie-Begriff bei der vorzunehmenden Abwägung: Wenn der Betroffene die personenbezogenen Daten eines Dritten z.B. in einer E-Mail nicht sehen muss, um zu ergründen, ob sein Datum rechtmäßig verarbeitet wird, spricht nichts dagegen, die Daten des Dritten zu schwärzen, da sie gar nicht Teil der Datenkopie sein müssen. Man darf davon ausgehen, dass diese und ähnliche Fragen die Gerichte noch viele Jahre beschäftigen werden.

Sonderfall Patientenakte?

Eine der Fälle, die in Zukunft auch noch vom EuGH entschieden werden müssen, basiert auf dem Vorlagebeschluss des BGH vom 29.08.2022 (Az. VI ZR 1352/20). Da geht es u.a. um die für Ärzte nicht unerhebliche Frage, ob man Patienten für eine Kopie der Patientenakte zur Kasse bitten darf (so ausdrücklich § 630g Absatz 2 Satz 2 BGB) oder ob die Kostenfreiheit aus Artikel 12 Absatz 5 Satz 1 DSGVO vorgeht. Vor dem Hintergrund der oben dargestellten EuGH-Entscheidung möchte man folgende Antwort orakeln: Da eine Kopie der Daten nicht unbedingt ein ganzes Dokument darstellen muss, müsste der Arzt den Patienten vor die Wahl stellen dürfen: Kopien von Daten aus der Patientenakte mit mehr oder weniger Kontext gibt es kostenlos, eine komplette Aktenkopie gibt es nur gegen Entgelt. Dass der gemeine Bürger bei einer solchen Auswahl verwirrt den Kopf schütteln wird, scheint gewiss – aber so ist es in rechtlichen Dingen leider oft.

Fazit

Unternehmen, die zur Beantwortung von Auskunftsanfragen bereits Prozesse aufgesetzt haben, sollten diese nach den letzten EuGH-Urteilen auf den Prüfstand stellen – die anderen sollten einen solchen Prozess dringend aufsetzen. Zunächst muss man sich fragen, wie unter Berücksichtigung aller geschäftlichen Umstände des Verantwortlichen grundsätzlich mit Forderung nach Kopien umgegangen werden muss: Bei welchen Verarbeitungen von Mitarbeiter- oder Kundendaten liegt es in der Natur der Sache, dass die reinen Daten ohne das sie beinhaltende Dokument nicht ausreichend sein werden? Sodann muss man festlegen, ob man im Rahmen der Bearbeitung eines konkreten Kopiebegehrens eher eine rechtssichere aber dafür aufwändigere Reaktion zeigen möchte, die eben weiter die Übermittlung ganzer Dokumente vorsieht, oder ob dies eher zur Ausnahme gekürt werden soll. Egal, ob es um diese grundlegenden Weichenstellungen oder um die Hilfe bei der konkreten Auskunft geht: Wir von MKM stehen Ihnen immer professionell und kompetent mit Rat und Tat zur Seite.

ChatGPT – Rechtliche Herausforderungen im KI-Zeitalter

Manch einer witzelt, man solle doch erst einmal die natürliche Intelligenz stabilisieren, bevor man sich an die künstliche wagt. Davon abgesehen ist die Entwicklung der künstlichen Intelligenz (KI, AI) nicht aufzuhalten. Mehr noch: Sie hat in der letzten Zeit dermaßen an Fahrt aufgenommen, dass es vielen Beobachtern schwindelig wird. Wir können im Augenblick nur vermuten, wie sich unser Leben in den nächsten Jahren aufgrund des Fortschritts verändern wird. Und wie meist hinkt die Rechtsordnung der technischen Entwicklung meilenweit hinterher.

Gerade ChatGPT („Chat Generative Pre-trained Transformer“), der selbstlernende Chatbot von OpenAI, ist aus der Sicht vieler Unternehmern schon jetzt sehr attraktiv – wir sparen uns an dieser Stelle, die KI-Anwendung näher zu beschreiben. Die Entwicklung des Tools gipfelte kürzlich in der Version 4.0, die nicht mehr kostenfrei, aber dafür noch wesentlich leistungsfähiger sein soll. Es ist höchste Zeit, die rechtlichen Probleme beim Einsatz von ChatGPT zu beleuchten, da vor dem Einsatz von KI-gestützten Tools Haftungs- und anderen Fragen geklärt werden sollten.

Die Sache mit dem Copyright

Zum Einstieg lohnt sich der Blick auf eine naheliegende Schwierigkeit, die sich bei näherer Betrachtung in zwei Unterprobleme aufteilt: Zum einen muss man sich fragen, ob man bei der Verwendung der automatisch generierten Texte nicht zumindest teilweise das Urheberrecht eines Dritten verletzt. Es erscheint nicht ausgeschlossen, dass sich im Text – wenn auch zufällig – Passagen befinden, die wortgleich bereits anderweitig veröffentlicht sind. Zum anderen sollte der Verwender wissen, dass es zumindest nach dem bisherigen Stand der Diskussion schwierig wird, andere Dritte von der Verwendung der eigens generierten Texte abzuhalten – denn sie sind in der Regel keine urheberrechtlich geschützten Werke, da sie nicht durch einen Menschen geschaffen wurden. Wer also ein kreatives Marketing betreibt und dazu KI-Texte verwendet, sollte bei schmissigen Slogans aus der KI-Küche gleich an Markenschutz denken, um sich abzusichern.

Probleme mit Datenschutz und Geschäftsgeheimnissen

Bekannterweise sperrte die italienische Datenschutzbehörde ChatGPT kurzerhand, auch in anderen Ländern steht die Anwendung auf dem Prüfstand. Die deutsche Datenschutzkonferenz (DSK), bestehend aus den Landes- und dem Bundesbeauftragten für Datenschutz, prüfen noch eingehend, wie sie sich zum Verhältnis von ChatGPT zur DSGVO positionieren sollen.

Was es den Datenschützern so schwer macht, ist, dass die KI trotz anderslautender Bekundungen (Stichwort: OpenAI) überwiegend eine intransparente Blackbox ist. Von außen ist der Algorithmus nicht zu durchschauen, Quellen und Verwendungen von enthaltenen personenbezogenen Daten bleiben unklar. Eine relativ offensichtliche Hürde, die Datenschutz-Folgeabschätzung, die nach nach Art. 35 DGSVO bei einer solch bahnbrechenden Technik obligatorisch ist, muss eigentlich vor der erstmaligen Datenverarbeitung genommen werden – das gilt übrigens auch für den Anwender!

Angesichts der unklaren Verwendung der Daten durch OpenAI sollte auch tunlichst davon abgesehen werden, Geschäftsgeheimnisse für ChatGPT zugänglich zu machen: Zum einen können die Informationen dadurch den Schutzstatus nach dem GeschGehG verlieren, zum anderen ist eine Aneignung der Geheimnisse durch Dritte durchaus denkbar. Vor der erstmaligen Verwendung der KI-Unterstützung sowie in regelmäßigen Abständen sollten Mitarbeiter zu diesen Gefahren zwingend geschult werden.

Unternehmen sollten nicht vergessen, dass ChatGPT sekündlich mit Daten gefüttert wird und nicht selten auch wieder welche ausspuckt. Unternehmen, die KI-gestützt arbeiten möchten und solche Anbieter verwenden, sollten es grundsätzlich vermeiden, in solche Systeme personenbezogene Daten über Mitarbeiter, Kunden etc. einzugeben – insbesondere besonders geschützte Daten i.S. des Art. 9 DSGVO. Sollte es dennoch zu Datenschutzverletzungen kommen, drohen Geldbußen sowie die Geltendmachung von Ansprüchen durch Betroffene. Im Augenblick sollte der Blick fortwährend den Veröffentlichungen der Datenschutzbehörden gelten: Wird die Nutzung von ChatGPT auch hierzulande untersagt, ist die gleichwohl fortgesetzte Nutzung bereits Grund genug für eine Haftung.

Es menschelt – die rechtsverletzende Maschine

Die Maschine lernt letztlich vom menschlichen Verhalten. Es bedarf keiner großen Lebenserfahrung, um zu wissen, dass eine stark angepasste KI in der Lage ist, nicht nur moralisch verwerfliche, sondern auch strafwürdige Texte von sich zu geben. Wie man festgestellt hat, kann ChatGPT nicht nur versehentlich Unwahres verfassen, sondern auch bewusst lügen, um gesteckte Ziele zu erreichen. Die Komplexität heutiger Anforderungen an Political Correctness kommt erschwerend hinzu, wenn man als Unternehmen mit Formulierung nach außen auftritt: diskriminierende Äußerungen werden schnell publik, der Ruf wird mitunter irreparabel geschädigt.

Wenn man ChatGPT zum Thema Diskriminierung befragt, kommt die richtige Antwort, dass das KI-Sprachmodell gar nicht in der Lage ist, jemanden zu diskriminieren – es fehlt schlicht an einer Täterschaft. Die Organisation, die KI-Technologie einsetzt, beißen dann aber am Ende die sprichwörtlichen Hunde. Zu empfehlen ist daher, den Einsatz von KI damit zu vergleichen, dass man mit seinen Kindern irgendwo zu Besuch ist: man muss schon aufpassen, was sie erzählen. Umgesetzt bedeutet das, dass es eben Menschen als Aufpasser geben muss, die den Einsatz der KI in nicht zu großen Abständen evaluieren und jede Möglichkeit nutzen, um schädlichen Output im Ansatz zu verhindern. Gleichzeitig ist das Risiko von Rufschädigung, Geldbußen und Ansprüchen Dritter vor dem Einsatz von KI eingehend zu bewerten und der Nutzen vor dem Hintergrund möglicher Rechtsverletzungen ganz bewusst abzuwägen.

Blick in die Zukunft

In den nächsten Jahren wird die gesamte Riege der Gewaltenteilung auf die technische Entwicklung reagieren müssen: Die Gesetzgebung hat nicht die Zeit für lange ethische Diskussionen, zu groß sind die rechtlichen Unsicherheiten für die Anwender und die Betroffenen. Die Behörden versuchen derweil mit dem gegebenen Handwerkszeug, insbesondere dem Schwert des Datenschutzes, bedenklichen Entwicklungen zu begegnen – die Reichweite der Maßnahmen ist erfahrungsgemäß allerdings eher begrenzt. Nach einem zu langen Zeitraum werden dann Gerichte in vielen Einzelfällen zu einer gewissen Rechtssicherheit beitragen. Die Geschichte zeigt indes, dass alle staatlichen Maßnahmen vieles können, nur eines nicht: den Fortschritt aufhalten.

Bleiben Sie mit uns immer auf dem neuesten Stand der Entwicklungen. Vertrauen Sie auch in Sachen künstlicher Intelligenz lieber den Menschen von MKM.


Autor: Andree Hönninger (Rechtsanwalt I Fachanwalt für IT-Recht)

Abmahnwelle Google Fonts – Kein Anspruch auf Schadensersatz

Das Landgericht München I befand in seinem Urteil vom 20.01.2022, Az. 3 O 17493/20, dass die automatische Übermittlung von IP-Adressen bei der Nutzung des Dienstes Google Fonts ohne vorherige Einwilligung rechtswidrig ist, und sprach dem Kläger unter anderem Schadensersatz in Höhe von 100,00 € zu.

Anschließend brach in Deutschland eine regelrechte Abmahnwelle los. Die betroffenen Unternehmen wurden mittels anwaltlicher Abmahnung aufgefordert eine Unterlassungserklärung abzugeben und einen Betrag von 170,00 € als Schadensersatz zu zahlen.

Wir haben unseren Mandanten und Kunden geraten, die Abmahnungen zu ignorieren, da wir diese für unbegründet hielten. Unsere Auffassung wurde nun durch das Landgericht München I durch Urteil vom 30.03.2023, Az. 4 O 13063/22, bestätigt. Ob dieses Urteil rechtskräftig ist, ist jedoch nicht bekannt.

Kein Anspruch auf Unterlassung

Das LG München I stellt im Wege der negativen Feststellungsklage zunächst fest, dass seitens der Abmahner kein Anspruch auf Unterlassung besteht, da die rechtlichen Voraussetzungen für einen solchen Unterlassungsanspruch im konkreten Fall nicht vorlagen. Dabei urteilte das Gericht – aufgrund der ursprünglichen Entscheidung vom 20.01.2022 wenig überraschend – fest, dass die dynamische Einbindung von Google Fonts gegen das Datenschutzrecht verstößt, wenn die Webseitenbesucher nicht vorab in die Übermittlung der IP-Adresse an Google einwilligen.

Jedoch erkennt das LG München I, dass es an der erforderlichen konkreten Betroffenheit des Abmahnenden fehlte. Das Gericht merkte an, dass der Abmahnende die Webseiten der abgemahnten Unternehmen nicht selbst besuchte, sondern vielmehr einen Web-Crawler einsetzte, um solche Webseiten aufzufinden, die Google Fonts dynamisch eingebunden hatten. Das Gericht führt hierzu prägnant aus:

„Wer Websites gar nicht persönlich aufsucht, kann persönlich auch keine Verärgerung oder Verunsicherung über die Übertragung seiner IP-Adresse an die Fa. Google in den USA verspüren.“

Selbst wenn der Abmahner jedoch tatsächlich alle Webseiten der Abgemahnten Unternehmen selbst besucht hätte, so wären die Voraussetzungen des Unterlassungsanspruch nach der Ansicht des LG München I dennoch nicht gegeben. Hier begründet das Gericht, dass jemand, der gezielt eine Situation aufsuche, bei der eine Persönlichkeitsverletzung droht, um direkt im Anschluss daraus eigene Ansprüche zu begründen, gerade nicht schutzbedürftig ist.

Zudem erkannte das Gericht fest, dass die Abmahnungen allein der Gewinnerzielungsabsicht dienten und es dem Abmahner gerade nicht um das Aufzeigen und das Verfolgen eines datenschutzrechtlichen Missstands ging. Auch hier wird das Gericht in seiner Formulierung deutlich:

„Das Gericht erachtet es für kaum denkbar, dass eine Privatperson nur aus Verärgerung über einen aus ihrer Sicht gegebenen und weit verbreiteten Datenschutzverstoß von Website-Betreibern den mit der Versendung von mindestens 100.00 Abmahnschreiben verbundenen Aufwand auf sich nehmen wird, nur um auf den von ihm gesehenen Missstand beim Datenschutz aufmerksam zu machen.“

Da die Abmahnung jedenfalls rechtsmissbräuchlich erfolgte, konnte sich das Gericht weitere Ausführungen zum Unterlassungsanspruch sparen.

Kein Anspruch auf Schadensersatz

Der Anspruch auf Schadensersatz in Höhe von 170,00 € besteht nach Ansicht des Gerichts aus den vorgenannten Gründen ebenfalls nicht. In der Rechtsprechung ist derzeit umstritten, ob Angstgefühle bzw. Verunsicherungen für sich genommen ausreichen, um einen entsprechenden Anspruch nach Art. 82 DSGVO zu begründen. Im konkreten Fall kommt es nach Ansicht des LG München I auf die Klärung dieser Rechtsfrage gar nicht an, da der Abmahner durch den Einsatz eines Webcrawlers nicht in seinen Gefühlen verletzt werden konnte. Das Gericht führt hierzu aus:

„Wer gar nicht weiß, welche Websites „in seinem Namen“ besucht werden, kann sich überhaupt nicht individuell Gedanken dazu machen, dass ihm aus der Übertragung seiner IP-Adresse Unannehmlichkeiten entstehen könnten.“

Im Übrigen wäre auch ein Anspruch auf Schadensersatz aufgrund wegen des Rechtsmissbrauchs ausgeschlossen.

Fazit

Das LG München I hat die Abmahnwelle mit seinem Urteil vom 20.01.2022 mutmaßlich losgetreten und mit Urteil vom 30.03.2023 nicht nur die Google Fonts Abmahnwelle endgültig beendet, sondern die Hürden für Massen-Abmahnungen im Datenschutzrecht sehr hoch gesetzt.Auch wenn der dynamische Einsatz von Google Fonts ohne Einwilligung rechtswidrig ist, können Abmahnende hierdurch nicht „an das schnelle Geld“ gelangen, indem massenhaft (nach Angaben des Prozessvertreters der „IG Datenschutz“ übrigens eine „niedrige sechsstellige Zahl“) versendet werden.

Autor: Fabian Dechent (Rechtsanwalt)

Wir beschweren uns – aber wo? Meldesysteme nach LkSG und HinSchG

1. Hintergrund


Das Thema ESG (Environment, Social, Governance) wird gesellschaftlich immer wichtiger. Darauf reagiert auch der Gesetzgeber, weshalb im Jahr 2023 zwei (mit immensem bürokratischem Aufwand verbundene) Gesetze zur Stärkung von Nachhaltigkeit und Compliance in Kraft treten.

Bereits seit dem 01.01.2023 gilt das Lieferkettensorgfaltspflichtengesetz (kurz Lieferkettengesetz oder LkSG). Es soll für Transparenz und nachhaltige, faire Arbeitsbedingungen sorgen, indem große Unternehmen Verantwortung für die Menschenrechte und Umwelt nicht nur im eigenen Geschäftsbereich, sondern auch in ihrer Lieferkette übernehmen – d. h. auch außerhalb Deutschlands. Teil dieser Verantwortung ist ein Beschwerdesystem, bei dem eigene Mitarbeiterinnen, Lieferantinnen und deren Mitarbeiterinnen Verstöße gegen die Vorgaben des LkSG melden können, so z. B. bei unsicheren Arbeitsbedingungen.

Ebenfalls 2023, jedoch voraussichtlich erst im Mai oder Juni, tritt das Hinweisgeberschutzgesetz (kurz HinSchG) in Kraft. Hierdurch sollen sog. Whistleblowerinnen, die auf bestimmte Missstände in Unternehmen und Behörden aufmerksam machen, geschützt werden. Dafür müssen alle verpflichteten Stellen Meldestellen und -kanäle einrichten, über die Whistleblowerinnen Hinweise abgeben können, z. B. zu Korruptionsfällen.

Beide Gesetze erfordern es also, eine zuständige Stelle und (technische) Möglichkeiten zur Abgabe von bestimmten Meldungen einzurichten. Dieser Beitrag soll sich dem Thema widmen, ob man die Anforderungen des LkSG und des HinSchG gemeinsam umsetzen kann, oder ob zwei separate Meldesysteme eingerichtet werden müssen. Dazu sollen einige ausgewählte Gemeinsamkeiten und Unterschiede der Regime analysiert werden.

2. Gemeinsamkeiten und Unterschiede

2.1. Verpflichtete Stellen

Die beiden Gesetze unterscheiden sich bereits bei der Größenordnung der Unternehmen, die betroffen sind. Während das LkSG nur vergleichsweise große Unternehmen trifft (aktuell mit 3.000 Mitarbeiterinnen, ab 2024 mit 1.000 Mitarbeiterinnen), sind nach dem HinSchG bereits deutlich kleinere Unternehmen verpflichtet (bei Inkrafttreten mit 250 Mitarbeiterinnen, ab Dezember 2023 mit 50 Mitarbeiterinnen). Aber Achtung: Die Mitarbeiterzahlen werden unterschiedlich berechnet. Da beim LkSG die Mitarbeiterinnen des Konzerns zusammengezählt werden, ist dieser Schwellenwert ggf. schneller erreicht als gedacht. Beim HinSchG kommt es jedoch auf die einzelne Rechtseinheit an – dann muss aber auch jedes Unternehmen im Konzern, das diese Grenze überschreitet, eine Meldestelle einrichten.

2.2. Sachlicher Anwendungsbereich

Auch hinsichtlich des sachlichen Anwendungsbereichs ergeben sich Unterschiede. Beide Gesetze sehen einen abgeschlossenen Katalog an zulässigen Themenbereichen vor, zu denen Meldungen gemacht werden können. Diese Kataloge überschneiden sich nur teilweise (z.B. beim Thema Mindestlohn). Da die Sachbearbeiterin aber ohnehin überprüfen muss, ob das von der Melderin angegebene Rechtsgebiet zutrifft und ob es in den sachlichen Anwendungsbereich des jeweiligen Gesetzes fällt, steht dies einer gemeinsamen Meldestelle nicht entgegen.

2.3. Meldende Personen

Beide Gesetze sprechen als Whistleblowerin bzw. Beschwerdeführerin nicht jedermann an, sondern nur diejenigen, die im beruflichen Kontext Informationen von Verstößen gegen die betroffenen Rechtsnormen erfahren.

Während das Beschwerdesystem nach LkSG jedoch auch außerhalb des Unternehmens zugänglich sein muss – insbesondere für die Mitarbeiterinnen in der Lieferkette –, reicht es für das Hinweisgebersystem aus, wenn der Zugang nur intern ermöglicht wird, z.B. über das Intranet. Es ist jedoch empfehlenswert, auch hier das Meldesystem für Lieferantinnen zu öffnen – da diese sonst gezwungen wären, extern bei einer Behörde zu melden.

2.4. Personal

In beiden Fällen müssen die Sachbearbeiterinnen, die mit den Hinweisen befasst sind, unabhängig agieren können. Andere Aufgaben dürfen nicht zu Interessenskonflikten führen. D.h. sie dürfen im Fall des LkSG insbesondere nicht Teil des Einkaufs sein, da dort originär Probleme mit der Lieferkette angesiedelt sind. Besser ist es, die Meldestelle bei der Compliance-Abteilung anzusiedeln. Besteht eine solche nicht, bietet sich z.B. die Datenschutzbeauftrage als Zuständige an, da sie bereits eine ähnlich unabhängige Stellung im Unternehmen einnimmt. Zudem müssen die Mitarbeiterinnen über die nötige Fachkunde zur Bearbeitung von Hinweisen bzw. Beschwerden verfügen, also entsprechend geschult werden.

2.5. Verfahrensablauf

Bei beiden Gesetzen muss die meldende Person nach einer gewissen Zeit eine Eingangsbestätigung erhalten. Sofern dies nicht aufgrund einer anonymen Meldung ausgeschlossen ist, muss der Kontakt mit ihr aufrechterhalten werden, während der Sachverhalt geprüft wird. Beim HinSchG ist zudem zwingend nach drei Monaten eine Mitteilung über getroffene Folgemaßnahmen erforderlich.

In beiden Meldeverfahren ist die Vertraulichkeit ein zentraler Leitsatz. Das HinSchG bezweckt den Schutz von Hinweisgeberinnen – und das vor allem auch durch den Schutz ihrer Identität. Deshalb sind in Deutschland sogar anonyme Meldungen zulässig. Doch auch nach dem LkSG sollen die Beschwerdeführerinnen vor Benachteiligungen geschützt werden. Während anonyme Meldungen nach LkSG nicht zwingend vorgesehen sind, empfiehlt sich deshalb auch hier die Möglichkeit der Anonymität.Nach LkSG soll eine Verfahrensordnung veröffentlicht werden, dies ist beim HinSchG dagegen nicht erforderlich. Nichtsdestotrotz muss adäquat über das Verfahren informiert werden, ebenso ist eine zumindest interne Verfahrensanweisung sinnvoll, um den geordneten Ablauf der Hinweisbearbeitung zu gewähren.

3. Fazit


Wenn ein Unternehmen sowohl nach LkSG als auch nach HinSchG verpflichtet ist, ergibt eine gemeinsame Umsetzung der Beschwerdesysteme Sinn. So wird nicht nur der organisatorische und technische Aufwand der verantwortlichen Stelle geringer gehalten, sondern auch bei Whistleblowerinnen und Beschwerdeführerinnen Verwirrung und Unübersichtlichkeit vermieden. Um die Anforderungen beider Gesetze zu erfüllen, sollte man sich bei der Umsetzung dafür jeweils an den strengeren Vorgaben orientieren. Da jedoch verschiedene sachliche Anwendungsbereiche und eine unterschiedliche Bearbeitung der Meldungen vorgesehen sind, müssen getrennte Verfahrensabläufe organisiert werden. Auch für kleinere Unternehmen kann es sinnvoll sein, die Hinweisgebermeldekanäle für Beschwerden nach LkSG zu öffnen. So können sie nicht nur Probleme frühzeitig erkennen, sondern auch gegenüber den eigenen (potentiell nach LkSG verpflichteten) Kunden signalisieren, dass sie menschenrechts- und umweltbezogene Aspekte ernst nehmen. Dabei müssen sie jedoch nicht alle Voraussetzungen des LkSG erfüllen, sondern können sich nach dem HinSchG richten.

Autorin: Tanja Linebach

Neue Verordnung zum Geoblocking

Mit der Verordnung (EU 2018/302) hat das Europäische Parlament Regelungen zum Verbot der Beschränkung aus Gründen der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung des Kunden getroffen.

Was ist Geoblocking?

Beim Geoblocking verwehrt ein Anbieter einem Kunden, der aus einem anderen Mitgliedstaat der EU stammt und grenzüberschreitende Geschäfte tätigen möchte, den Zugang zur Online-Benutzeroberfläche, wie zum Beispiel einer Internetseite.

Somit ist jede Form die den Kunden auf Grund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung beschränkt, als Geoblocking zu sehen.

Was muss man beachten?

Mit der Verordnung wird es den Betreibern von Online-Shops untersagt, den Kunden auf Grund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes seiner Niederlassung durch technische Mittel (oder auf anderem Wege) zu sperren oder zu beschränken. Konkret bedeutet dies, dass der Anbieter den Kunden nicht Anhand der IP-Adresse, GPS Daten oder anderen den Ort (= geografische Lage) bestimmenden Parametern einschränken darf.

So muss der Anbieter, der einen Kunden auf eine andere Länderseite oder mobile Anwendung umleiten will, welche sich von der unterscheidet (z.B. durch Sprache oder Layout) auf die der Kunde ursprünglich zugreifen wollte, dessen Zustimmung einholen und ihm die Möglichkeit einräumen, wieder auf die Ursprungsseite zurückzugelangen.

Außerdem wird es dem Online-Händler untersagt, bei Kunden aus den oben genannten Gründen für unterschiedliche Regionen unterschiedliche allgemeine Geschäftsbedingungen anzuwenden. Jedem Kunden müssen die gleichen Möglichkeiten zustehen.

Das Gleiche gilt für die vom Anbieter akzeptierten Zahlungsmethoden.  Der Anbieter kann nicht auf Grund des Standortes des Zahlungskontos, des Ortes der Niederlassung des Zahlungsdienstleisters oder des Ausstellungsorts des Zahlungsinstruments innerhalb der EU unterschiedliche Bedingungen für Zahlungsvorgänge anwenden.

Die EU-Kommission stellt auf ihrer Homepage eine weitreichende Information zur Geoblocking-Verordnung zu Verfügung, in der anhand konkreter Beispiele die einzelnen Artikel genauer erläutert werden.

Was passiert bei Nicht-Beachtung?

Gemäß §126 Telekommunikationsgesetz (TKG) kann die Bundesnetzagentur bei Verstößen eine Stellungnahme und Abhilfe fordern. Hierbei kann ein Zwangsgeld von bis zu 500.000€ festgesetzt werden.  Ebenfalls kann ein Bußgeld von bis zu 300.000€ verhängt werden, §149 Abs. 2 Nr. 2 TKG.

Bei Verstößen wird neben dem TKG auch das Gesetz gegen den unlauteren Wettbewerb (UWG) Anwendung finden. Verstöße fallen unter die §§ 3 und 3a des UWG. Somit können Verantwortliche auf Unterlassen und Schadensersatz in Anspruch genommen werden.

Kostenpflichtige Rufnummern im Impressum rechtswidrig

Das OLG Frankfurt/M. hat in einem Berufungsverfahren bestätigt, dass kostenpflichtige Rufnummern im Impressum rechtswidrig sind, wenn sie an der zulässigen Obergrenze für Verbindungspreise gem. § 66d Abs. 1 TKG liegen (Urteil v. 2.10.2014 – Az. 6 U 219/13).

Kostenpflichtige Mehrwertnummer im Impressum

Dem Urteil liegt folgender Sachverhalt zugrunde:

Die Beklagte, die u.a. einen Internetversandhandel betreibt, führte in ihrem Impressum neben Anschrift, Rechtsform und Vertretungsberechtigtem als Kontakt eine kostenpflichtige Mehrwertnummer an. Auch unter der Rubrik „Kontakt“ wurde lediglich auf diese Nummer verwiesen, sowie ein Kontaktformular bereitgestellt, dass auf das Email-Programm des Besuchers verlinkt war. Die Kosten der Mehrwertnummer betrugen 0,49 € aus dem Festnetz und bis zu 2,99 € aus dem Mobilfunknetz pro Minute. Die Klägerin vertrat die Ansicht, dass die Beklagte gegen ihre Pflicht aus § 5 Abs.1 Nr. 2 TMG (Telemediengesetz) verstoße, eine unmittelbare, schnelle und effiziente Kommunikation neben der elektronischen Kontaktaufnahme zu ermöglichen (siehe auch Art. 5 Abs. 1 lit. c) RL 2000/31/EG „Richtlinie über den elektronischen Geschäftsverkehr“). Die Beklagte vertrat die Ansicht, dass „effizient“ in diesem Sinne nur unter zeitlichen Aspekten verstanden werden könne, mithin der Verbraucher unmittelbar zu einer Kommunikationsleistung gelangen könne. Dies sei laut der Beklagten bei Telefonaten immer der Fall.

„Effiziente Kommunikation“ beschränkt sich nicht nur auf zeitliche Aspekte

Bei ihrer Argumentation bezog sich die Beklagte auf ein Urteil des Europäischen Gerichtshofs (EuGH, Urteil v. 16.10.2008 – Az. C 298/07), das ihrer Meinung nach ihre Ansicht bestätigte. Das OLG Frankfurt/M. verneinte jedoch die Ansicht der Beklagten und schloss sich dem LG Frankfurt/M. an. Der EuGH habe vielmehr im besagten Urteil gar nicht zu dieser Frage Stellung bezogen. Demnach beschränkt sich eine „effiziente Kommunikation“ nicht nur auf zeitliche Aspekte. Das OLG vertritt die Ansicht, dass „Effizienz“ sehr wohl auch ökonomische Aspekte der Kontaktaufnahme beinhalte. Folglich sei bei der Bereitstellung einer kostenpflichtigen Kontaktaufnahme auch darauf zu achten, dass der Verbraucher nicht durch zu hohe Kosten von einer Kontaktaufnahme abgehalten werde. Dies sei aber jedenfalls dann der Fall, wenn sich die Kosten der Obergrenze des zugelassenen Rahmens nach § 66d Abs. 1 TKG nähern, der sich auf drei Euro pro Minute beläuft.

Wettbewerbswidrigen Vorteil erlangt

Durch die Nutzung hätte die Beklagte zudem einen rechtswidrigen Wettbewerbsvorteil erlangt, so die Richter des OLG. Diesen erblickten die Richter in potenziellen Kostenersparnissen der Beklagten, durch die mögliche „Abschreckung“ der Verbraucher durch die kostenpflichtige Mehrwertnummer, im Vergleich mit ihren Mitbewerbern. Ebenso könnte die Beklagte durch derart hohe Kosten für die Anrufe eventuell Nebeneinnahmen generieren. Beides widerspreche den „verbraucherpolitischen Zielen“ des § 5 TMG.
Da immer noch nicht höchstrichterlich geklärt ist, ob eine kostenpflichtige Mehrwertnummer im Impressum, unabhängig von der Höhe ihrer Kosten überhaupt rechtmäßig ist, hat das OLG Frankfurt/M. die Revision zum Bundesgerichtshof zugelassen. Eine entsprechende Tendenz ist dem Urteil des OLG auch nicht zu entnehmen. Das OLG stellt lediglich fest, dass weder dem Wortlaut des § 5 TMG noch der RL 2000/31/EG zu entnehmen ist, dass die bereitgestellte Kontaktmöglichkeit für den Verbraucher kostenlos sein muss (vgl. dazu auch Spindler in: Spindler/Schmitz/Geis, TDG 2004, Rn. 26 zu § 6 TDG). Ob die Beklagte in Revision geht stand noch nicht fest.

Was heißt das für Anbieter von Telemedien?

Für Anbieter von Telemedien (z.B. Internetseiten) bedeutet das Urteil nicht, dass automatisch alle kostenpflichtigen Nummern in Impressen rechtswidrig wären. Das Gericht hat hinsichtlich dieser Frage sogar ausdrücklich festgestellt, dass die Wortlaute der in Frage kommenden Vorschriften keine für den Verbraucher kostenlose Kontaktmöglichkeit verlangen. Allerdings ist bei der Höhe der Kosten Vorsicht geboten. Jedenfalls wenn die Kosten an der Obergrenze des § 66d Abs. 1 TKG angesiedelt sind, gehen die Gerichte von einer Abschreckung der Verbraucher zur Kontaktaufnahme aus und betrachten dies als rechtswidrig. Wer auf der sicheren Seite sein möchte, sollte ein kostenlose Telefonnummer in seinem Impressum bereitstellen.
Fraglich bleibt somit, wie hoch die Kosten für eine kostenpflichtige Nummer sein dürfen. Das OLG Frankfurt/M. lehnt eine Entscheidung diesbezüglich in seinem Urteil ab, da diese Frage nicht Gegenstand des Verfahrens ist. Insofern kann noch keine Ratschläge gegeben werden, wie hoch eine Gebühr nun ausfallen darf. Anzunehmen ist, dass eine Gebühr nur so hoch sein darf, wie sie keinen Verbraucher von der Kontaktaufnahme abhält. Was das genau bedeutet muss wohl noch höchstrichterlich geklärt werden.