Ausblick auf das IT-Recht im Jahr 2021

Das Jahr 2021 wird in vielerlei Hinsicht und nicht zuletzt für das IT-Recht spannend. Die Coronakrise wird sich dank zunehmend verfügbarer Impfstoffe voraussichtlich entspannen, aber auch weiterhin erhebliche Auswirkungen auf Wirtschaft und Politik haben. Am 26. September wird die Bundestagswahl stattfinden. Für das IT-Recht ein wichtiges Datum, denn hierzulande gilt das sogenannte Diskontinuitätsprinzip.

Es besagt, dass alle bis zum Ablauf ­einer Legislaturperiode nicht abgeschlossenen Gesetzgebungsvorhaben automatisch beendet werden. Sie müssten in der folgenden Legislaturperiode erneut von vorne starten. Und wegen Corona sind bereits jetzt zahlreiche Vorhaben in Verzug. Die Zeit könnte knapp werden, denn kurz vor der Bundestagswahl ist auch für den Gesetzgeber Sommerpause – und eben Wahlkampf.

Die Klassiker: Überwachung und kein Ende

Derzeit wird unter dem Stichwort der ­Terrorismusbekämpfung erneut über die Ausweitung von Überwachungsmöglichkeiten für Strafverfolgungsbehörden und Geheimdienste diskutiert. Konkret geht es um die Ende-zu-Ende-Verschlüsselung von Kommunikationsdiensten wie Signal, WhatsApp, Threema oder Facebook. Auf EU-Ebene erwägen die Verantwortlichen eine Pflicht für Diensteanbieter, den Behörden einen Generalschlüssel zu übergeben, mit dem diese jederzeit und un­bemerkt die Kommunikation zwischen Personen einsehen können. Das Vorhaben trifft bei Datenschützern, Bürgerrechtlern und Experten für IT-Sicherheit auf erbitterten Widerstand.

Dies gilt auch für die geplante verstärkte Nutzung von Staatstrojanern, über die in Deutschland nachgedacht wird. Damit ließe sich Kommunikation abfangen, bevor sie für den Transport zum Empfänger verschlüsselt wird. Die Diskussion dürfte im Jahr 2021 noch an Vehemenz zunehmen.

Auch die unendliche Geschichte über die rechtliche Zulässigkeit einer anlass­losen Vorratsdatenspeicherung dürfte im kommenden Jahr in die nächste Runde gehen. Jüngst hat der wissenschaftliche Dienst des Bundestages ein Gutachten hierzu erstellt. Die Juristen kommen darin zu dem Schluss, dass angesichts der Rechtsprechung insbesondere des Europäischen Gerichtshofs (EuGH) eine solche Form der Vorratsdatenspeicherung „kaum Bestand haben dürfte“. Der EuGH wird 2021 über eine Vorlage des Bundesverwaltungsgerichts entscheiden, in der es konkret um diese Fragen gehen wird, und voraussichtlich die bislang geltenden, aber ausgesetzten deutschen Regelungen für rechtswidrig erklären.

Ein für das IT-Recht brisantes Gesetzgebungsverfahren umfasst die derzeitige Diskussion um ein „Gesetz zur Anpassung des Urheberrechts an die Erfordernisse des digitalen Binnenmarkts“. Bis Anfang Juni 2021 müssen mehrere EU-Richtlinien in nationales Recht umgesetzt werden. Konkret geht es um die „Online-SatCab-Richtlinie“ über die Onlineverwertung von Rund­funkprogrammen sowie insbesondere die „Richtlinie über das Urheberrecht im Binnenmarkt“.

Mitverantwortung für Verstöße

Plattformbetreiber sollen demzufolge gesetzlich in die Verantwortung genommen werden, wenn sie nicht auf Hinweise der Rechteinhaber auf Urheberrechtsverstöße bei hochgeladenen Inhalten reagieren. Bagatellnutzungen geschützter Werke etwa im Rahmen von User Generated Content sollen aber zulässig sein. Auch das in Deutschland bereits eingeführte Leistungsschutzrecht der Presseverleger wird nach Maßgabe der EU-Vorgaben im Detail geändert.

Für die Bereiche maschinelles Lernen und künstliche Intelligenz sind Regelungen zum Text und Data Mining geplant. In diesem Bereich soll eine kostenfreie Nutzung rechtmäßig zugänglicher Werke erlaubt werden, soweit der Rechteinhaber dem nicht widerspricht. Im Gesetz soll Text und Data Mining auch definiert werden als „die automatisierte Analyse von einzelnen oder mehreren digitalen oder digitalisierten Werken, um daraus Informationen insbesondere über Muster, Trends und Korrelationen zu gewinnen“. 

Neuregelungen soll es auch für das Streaming von Radio- und Fernsehsendungen sowie deren Verfügbarkeit in Mediatheken geben. Bei dem Gesetzgebungsvorhaben handelt es sich „um die größte Urheberrechts-Reform seit zwei Jahrzehnten, die zugleich dazu dient, das Urheberrecht an die Erfordernisse des digitalen Binnenmarktes in der Europäischen Union anzupassen“, schreibt das Bundesjustizministerium auf seiner Webseite. Vor Kurzem ist die deutsche EU-Ratspräsidentschaft mit einem weiteren Anlauf für die Anpassung der in die Jahre gekommenen E-Privacy-Richtlinie aus dem Jahr 2002 gescheitert. Sie hat als Spezialgesetz im Bereich der elektronischen Kommunikation vor der DSGVO Vorrang. Ein wesentlicher Grund für das Scheitern war der Vorschlag, Cookies nicht mehr aus „berechtigtem Interesse“ zuzulassen. Er fiel bei den Vertretern anderer EU-Staaten durch. Nun soll es auf deutscher Ebene mit einem Telekommunikations-Telemedien-Datenschutz-Gesetz eine rein nationale Regelung geben. Sie soll in diesem Bereich endlich Klarheit und Rechts­sicherheit schaffen.

Seit 2015 gilt das IT-Sicherheitsgesetz, das später durch Rechtsverordnungen wie insbesondere die KRITIS-Verordnung konkretisiert wurde. Seit April 2019 wird öffentlich über eine Neufassung diskutiert. Dieses sogenannte IT-Sicherheitsgesetz 2.0 soll unter anderem Regelungen zu Meldepflichten enthalten und den Einsatz kritischer Komponenten von nicht vertrauenswürdigen Herstellern in bestimmten Bereichen untersagen.

Es legt außerdem Pflichten für „Unternehmen im öffentlichen Interesse“ fest, beispielsweise IT- oder IT-Sicherheitsunternehmen, erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) und verschärft Vorschriften für Telekommunikations- und Telemedienanbieter. Das BSI soll künftig auch ein freiwilliges IT-Sicherheitskennzeichen vergeben können. Bei den Bußgeldern soll es ähnlich der DSGVO einen Strafrahmen von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Unternehmensumsatzes geben.

Bremse für „Super-Marktbeherrscher“

Das sogenannte GWB-Digitalisierungsgesetz soll das Kartellrecht stärken, um Marktmissbrauch großer Unternehmen effektiv bekämpfen zu können. Internet- und datenbasierte Geschäftsmodelle bergen das Risiko einer Marktkonzentration. So soll es Unternehmen mit Zugang zu marktrelevanten Daten zukünftig untersagt sein, andere Marktteilnehmer zu diskriminieren oder ihnen unter bestimmten Voraussetzungen den Zugang zu Daten und Informationen zu verweigern. Der Gesetzgeber hat hier unter anderem „Super-Marktbeherrscher“ wie Facebook, Google, Amazon und Co. vor Augen.

Internetgiganten müssen teilen lernen

Aber auch in anderen Bereichen könnte die Gesetzesnovelle Unternehmen zwingen, Big Data mit der Konkurrenz zu teilen. Bei einer Anhörung des Bundestages Ende November 2020 betonte Arndt Mundt, der Präsident des Bundeskartellamts, die Novelle sei „ungemein hilfreich für das Kartellamt“. Auch Industrievertreter und Rechtswissenschaftler äußerten sich meist positiv, unter anderem über die geplante „Zähmung der Internetgiganten“.

Das Jahr 2021 wird auf EU-Ebene und in den einzelnen Mitgliedsstaaten eine Diskussion bringen, wie bestehende Gesetze insbesondere zur Haftung und Verantwortlichkeit im Bereich der künstlichen Intelligenz, beispielsweise beim autonomen Fahren, angepasst werden sollen. Bevor steht ebenfalls die Aktualisierung der EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) sowie ihre Umsetzung in nationales Recht. Überarbeitet wird derzeit auch die EU-Richtlinie über Corporate Social Responsibility (CSR). Insbesondere soll nachhaltiges wirtschaftliches Handeln, etwa im Bereich Umwelt, verpflichtend werden, was beispielsweise Ansätzen der „Green IT“ weiteren Auftrieb verleihen könnte.

Eine große Bedeutung kommt der Diskussion auf EU-Ebene zum jüngst veröffentlichten Gesetzesentwurf eines EU Data Governance Act zu. Laut Binnenmarkt-Kommissar Thierry Breton soll der gesetzliche Rahmen dazu beitragen, „dass Europa zum weltweiten Datenkontinent Nummer eins“ wird. Daten sollen künftig beispielsweise über Datentreuhänder verwaltet und nicht mehr direkt an Amazon, Google, Facebook und Co. übermittelt werden. Das soll gewährleisten, dass sie „im Einklang mit den europäischen Werten und Grundrechten behandelt werden“. Daneben soll das Datenspenden zu gemeinnützigen Zwecken erleichtert werden, etwa im Rahmen der Bekämpfung der Coronapandemie. Um Datenteilung geht es auch bei der geplanten erleichterten Weiterverwendung von Daten, die bei öffentlichen Einrichtungen gespeichert sind.

Weitere gesetzliche Regelungen sind für den Verbraucherschutz beim Kauf von Software und Apps sowie auf Onlinemarktplätzen geplant. Gewährleistungsrechte soll es danach zukünftig auch für „digitale Inhalte“ geben. Dies soll auch gelten, wenn Verbraucher etwa auf sozialen Netzwerken mit ihren personenbezogenen Daten „bezahlen“. Geregelt werden zudem Updateverpflichtungen für digitale Produkte, erweiterte Informationspflichten insbesondere für Onlinemarktplätze und mehr.

Am 31. Dezember 2020 um 23 Uhr britischer Zeit endet die Übergangsfrist für den Austritt des Vereinigten Königreichs aus der Europäischen Union zum 31. Januar 2020. Das Land gilt dann etwa im Anwendungsbereich der Datenschutz-­Grundverordnung nicht mehr automatisch als eines mit einem angemessenen Datenschutzniveau. Das ist aber erforderlich, um personenbezogene Daten rechtssicher und vergleichsweise unbürokratisch bei Vorliegen der sonstigen Voraussetzungen an Unternehmen in Großbritannien übermitteln zu können.

Erklärt die EU-Kommission das britische Datenschutzniveau für nicht ausreichend, müsste das Land wie andere Drittstaaten, beispielsweise die Vereinigten Staaten, behandelt werden und Datenübermittlungen könnten de facto nur auf Grundlage der genehmigten Standard­datenschutzklauseln erfolgen. Zum Redaktionsschluss war weiterhin unklar, ob es den Verhandlungsführern noch gelingt, rechtzeitig vor Jahresende einen „Brexit-­Deal“ zwischen der EU und dem Vereinigten Königreich auszuhandeln.

Was nicht geregelt wird

Neben Gesetzgebungsverfahren ist auch interessant, was nicht gesetzlich geregelt werden soll. Seit Jahren herrscht bei vielen Unternehmen und IT-Spezialisten Unsicherheit, ob Freelancer bei längerer Tätigkeit für einen Auftraggeber als deren Angestellte eingestuft werden. In einem solchen Fall von Scheinselbstständigkeit werden oftmals für etliche Jahre Sozialversicherungsbeiträge beim Auftrag­geber beziehungsweise Arbeitgeber nacherhoben. Das gilt auch dann, wenn der IT-Freelancer das selbst gar nicht wünscht.

Das Bundesarbeitsministerium lehnt Regelungen für nur eine Branche als „zu starr“ ab. Es verweist darauf, dass die Sozialversicherung „neben dem Schutz des Einzelnen dem Schutz der Solidargemeinschaften verpflichtet“ ist. Damit sind unter anderem die vom Branchenverband Bitkom erhobenen Forderungen nach Rechtssicherheit für die Betroffenen vom Tisch. Spätestens im Rahmen der Koali­tionsverhandlungen einer künftigen Bundesregierung dürfte das Thema aber wieder eine Rolle spielen.

Ebenfalls vom Tisch ist das vor einigen Monaten angekündigte weitreichende Recht auf Homeoffice. Nach Kritik von Arbeitgebern und vom Koalitionspartner CDU hat Bundesarbeitsminister Heil kürzlich eingelenkt und spricht nun nur noch davon, „gemeinsam einen modernen Rahmen für mobile Arbeit beschließen“ zu wollen. Arbeitnehmer sollen danach zumindest einen „Erörterungsanspruch“ gegen ihren Arbeitgeber haben, wenn sie ganz oder zeitweilig ins Homeoffice wechseln wollen. Kritiker wollen dies komplett Arbeitgebern und Arbeitnehmern überlassen und verweisen auf die „neue Normalität in der Arbeitswelt“, die die Coronapandemie bereits geschaffen hat und die ohnehin nachhaltig wirken werde.

Fazit

Im IT-Recht bleibt es spannend, auch im kommenden Jahr. Neben Gesetzgebungsvorhaben auf nationaler und EU-Ebene dürften auch der Brexit und der Wechsel im Weißen Haus Auswirkungen haben. Möglicherweise gelingt es etwa mit der neuen US-Regierung, eine DSGVO-kompatible Nachfolgeregelung zum gescheiterten EU-US Privacy Shield zu vereinbaren.

Durch das näher rückende Ende der laufenden Legislaturperiode herrscht Hektik in Berlin, denn laufende Gesetzgebungsverfahren müssen vor Herbst 2021 zum Abschluss gebracht werden. Nach der wie immer von Lobbyarbeit geprägten Bundes­tagswahl folgen dann Koalitionsverhandlungen, die wie früher zahlreiche Gesetzgebungsvorhaben im Bereich des IT-­Rechts umfassen dürften.

Auch auf die EU-Ebene muss man schauen: Der jüngst veröffentlichte „Aktionsplan für geistiges Eigentum“ der EU verspricht spannende Diskussionen über die Anpassung der rechtlichen Rahmenbedingungen im IT-Recht, etwa in den Bereichen Datenwirtschaft, KI, Blockchain und IoT. (ur@ix.de)

Tobias Haar, Rechtsanwalt, LL.M. (Rechtsinformatik), MBA,

ist Rechtsanwalt mit Schwerpunkt IT-Recht bei Vogel & Partner in Karlsruhe.