Verwendete Dienste und Cookies

Unsere Website nutzt Cookies, um Ihre Nutzungserfahrung zu verbessern. Einige Cookies sind essentiell für das Funktionieren und Managen der Seite, während andere für anonyme Statistiken oder personalisierte Inhalte verwendet werden. Bitte beachten Sie, dass bei eingeschränkter Cookie-Nutzung bestimmte Webseitenfunktionen beeinträchtigt sein können.

Weitere Informationen: Impressum, Datenschutz

Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen oder z.B. Ihre Cookie-Einstellungen speichern. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Diese Kategorie kann nicht deaktiviert werden.
  • Name:
    ukie_a_cookie_consent_manager
  • Domain:
    blomstein.com
  • Zweck:
    Speichert die Cookie-Einstellungen der Website-Besucher.
  • Name:
    blomstein_session
  • Domain:
    blomstein.com
  • Zweck:
    Der Session-Cookie ist für das grundlegende Funktionieren der Website unerlässlich. Er ermöglicht es den Nutzern, durch die Website zu navigieren und ihre grundlegenden Funktionen zu nutzen.
  • Name:
    XSRF-TOKEN
  • Domain:
    blomstein.com
  • Zweck:
    Dieser Cookie dient der Sicherheit und hilft, Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. Er ist technisch notwendig.
Diese Cookies sammeln Informationen darüber, wie Sie eine Website nutzen, z. B. welche Seiten Sie besucht und auf welche Links Sie geklickt haben.
  • Name:
    _ga
  • Domain:
    blomstein.com
  • Zweck:
    Das Google Analytics Cookie _ga wird verwendet, um Benutzer zu unterscheiden, indem es eine eindeutige Identifikationsnummer für jeden Besucher vergibt. Diese Nummer wird bei jedem Seitenaufruf an Google Analytics gesendet, um Nutzer-, Sitzungs- und Kampagnendaten zu sammeln und die Nutzung der Website statistisch auszuwerten. Das Cookie hilft Website-Betreibern zu verstehen, wie Besucher mit der Website interagieren, indem es Informationen anonym sammelt und Berichte generiert.
  • Name:
    _ga_*
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _ga_[container_id], spezifisch für Google Analytics 4 (GA4), dient der Unterscheidung von Website-Besuchern durch Zuweisung einer einzigartigen ID für jede Sitzung und jeden Nutzer. Es ermöglicht die Sammlung und Analyse von Daten über das Nutzerverhalten auf der Website in anonymisierter Form. Dies umfasst das Tracking von Seitenaufrufen, Interaktionen und dem Weg, den Nutzer auf der Website zurücklegen, um Website-Betreibern tiefere Einblicke in die Nutzung ihrer Seite zu geben und die Benutzererfahrung zu verbessern.
  • Name:
    _gid
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gid ist ein von Google Analytics gesetztes Cookie, das dazu dient, Benutzer zu unterscheiden. Es weist jedem Besucher der Website eine einzigartige Identifikationsnummer zu, die bei jedem Seitenaufruf an Google Analytics gesendet wird. Dies ermöglicht es, das Nutzerverhalten auf der Website über einen Zeitraum von 24 Stunden zu verfolgen und zu analysieren.
  • Name:
    _gat_gtag_UA_77241503_1
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gat_gtag_UA_77241503_1 ist Teil von Google Analytics und Google Tag Manager und wird verwendet, um die Anfragerate zu drosseln, d.h., es begrenzt die Datensammlung auf Websites mit hohem Verkehrsaufkommen. Dieses Cookie ist mit einer spezifischen Google Analytics-Property-ID (in diesem Fall UA-77241503-1) verknüpft, was bedeutet, dass es für die Leistungsüberwachung und -steuerung der Datenerfassung für diese spezielle Website-Property eingesetzt wird.

Cyber-Security und Kartellrecht – aus Fehlern lernen

17.11.2020

Wettbewerbskommissarin Margrethe Vestager wandte sich kürzlich mit einer öffentlichkeitswirksamen Warnung an Automobilbauer, gegen die wegen Kartellabsprachen im Zusammenhang mit dem Abgas-Skandal ermittelt wird. Diese Warnung könnte auch für Unternehmen gelten, die im Bereich der Cyber-Security kooperieren wollen. Automobilbranche und Cyber-Security? Auf den ersten Blick mag es verblüffen, Parallelen zwischen einer der traditionsreichsten Industrien und dem vergleichsweise jungen und abstrakten Gebiet der Cyber-Security zu ziehen. Doch beide Bereiche stehen vor disruptiven technischen Herausforderungen, die Unternehmen nur gemeinsam bewältigen können. Aus den jüngsten Erfahrungen des Automobilsektors lassen sich hilfreiche Lehren auch über die Branche hinweg ziehen.

Cyber-Security: Nur gemeinsam stark?

Digitalisierung, das Internet of Things (IoT) und eine Vielzahl neuer digitaler Technologien bergen erhebliche Chancen für nahezu sämtliche Industrien, aber auch neue Herausforderungen im Bereich Cyber-Security. Die Kosten von Cyberangriffen für die Weltwirtschaft werden für das Jahr 2021 auf 6 Bio. Dollar geschätzt. Während künftig zwar auch staatliche Interventionen und Standards eine Rolle spielen werden – etwa das durch den EU Cybersecurity Act eingeführte EU-weite Cybersicherheitszertifizierungssystem – tragen Wirtschaftsteilnehmer einen Großteil der Kosten für Cyber-Security selbst. Es liegt nahe, dass Unternehmen das Thema gemeinsam angehen, um die immensen Kosten für Cyber-Security auf viele Schultern zu verteilen. Auch die schiere Anzahl von Milliarden vernetzter digitaler Geräte innerhalb der EU machen eine Kooperation von Herstellern unumgänglich, um Sicherheit und Interoperabilität zu gewährleisten.

Die Notwendigkeit einer solchen Zusammenarbeit wird mehr und mehr erkannt: Partner aus Wirtschaft, Politik und Wissenschaft haben im Februar 2018 die Initiative „Charter of Trust“ ins Leben gerufen. Über die gesamte Wertschöpfungskette sollen Mindeststandards festgelegt und die gemeinsame Forschung im Bereich der Cyber-Security vorangetrieben werden. Auch das Unternehmen Huawei macht sich immer wieder für gemeinsame Cyber-Security-Standards im Telekommunikationsbereich stark. Und auch auf dem Cyber Security Summit der Münchener Sicherheitskonferenz 2019 stand die Multi-Stakeholder-Kooperation gegen Cyber-Attacken und Desinformation im Fokus.

Verstärkte Kooperationen im Bereich Cyber-Security sollen Informationsasymmetrien gegenüber Angreifern kompensieren und typische Angriffsmuster identifizieren. Dynamische Risiken wie Datendiebstahl, Phishing, Erpressung, Industriespionage und Sabotage erfordern oft gemeinsame Lösungen. Doch kann die Kooperation selbst zum Risiko werden?

Das mahnende Beispiel der Automobilbranche

Es lohnt ein vergleichender Blick auf die Automobilbranche, die seit längerem ebenfalls vor Herausforderungen steht, die sie nur kooperativ bewältigen kann. Vor allem steigende Umweltschutz-Standards erfordern neuartige Konzepte, die sich oft nur branchenweit umsetzen lassen. Wettbewerber haben hier schnell die Notwendigkeit von Kooperationen begriffen. Ihr Beispiel zeigt jedoch deutlich, dass Unternehmen sich bereits vor einer Zusammenarbeit die kartellrechtlichen Grenzen veranschaulichen sollten.

Kartellverfahren der jüngeren Vergangenheit verdeutlichen, dass gerade vermeintlich rein technische Kooperationen von Wettbewerbern das Risiko bergen, wettbewerbswidrige Absprachen zu begünstigen: Eine Vielzahl von Verfahren gegen Automobilzulieferer wurde schon mit Bußgeldern im dreistelligen Millionenbereich beendet. Aktuell wirft die Europäische Kommission namhaften deutschen Automobilherstellern vor, jahrelang gegen EU-Kartellrecht verstoßen zu haben. In einem als „Fünferkreis“ bezeichneten Arbeitskreis erörterten die Hersteller technische Themen wie gemeinsame Qualitätsanforderungen und Prüfverfahren sowie den Austausch technischer Expertise und die Bündelung von Entwicklungsanstrengungen im Bereich Fahrzeugsicherheit. Unter dem Stichwort Umweltschutz diskutierten die Hersteller außerdem, wie technische Lösungen zur Abgasreinigung implementiert werden könnten. Gerade Letzteres könnte ihnen nun zum Verhängnis werden.

Die Europäische Kommission wirft den Herstellern in einem laufenden Verfahren vor, gegen EU-Kartellrecht verstoßen zu haben. Sie sollen sich darauf verständigt haben, den Wettbewerb bei der Entwicklung von Technologien zur Reinigung der Emissionen von Diesel- und Benzin-Pkw einzuschränken. Nun wird geprüft, ob die mutmaßlichen Kartellanten Verbrauchern die Möglichkeit verwehrt haben, umweltfreundlichere Fahrzeuge zu kaufen, obwohl entsprechende Technologien längst verfügbar waren.

Wie führt der Bogen nun zurück auf Wettbewerber, die im Bereich Cyber-Security kooperieren wollen? Um nicht in den Verdacht einer Kartellabsprache zu geraten, sollten auch sie sich die eingangs zitierte Warnung von Margrethe Vestager zu Herzen nehmen: „Unternehmen können auf viele Arten zusammenarbeiten, um die Qualität ihrer Produkte zu verbessern. Die EU-Wettbewerbsvorschriften verbieten ihnen jedoch, Absprachen zu treffen, die genau das Gegenteil bewirken sollen, nämlich ihre Produkte nicht zu verbessern und bei der Qualität nicht miteinander in Wettbewerb zu treten.“

Cyber-Security-Entwicklung: Was es zu beachten gilt

Gemeinsame Forschung und Entwicklung kann effizienzsteigernd sein und wird deshalb kartellrechtlich privilegiert. Durch Kooperationen im Bereich Cyber-Security könnten Marktteilnehmer Synergieeffekte nutzen, Innovationskraft bündeln und die Marktreife neuer Lösungen schnell vorantreiben.

Beschränkt sich die Zusammenarbeit aber nicht auf die reine Forschung und Entwicklung neuer Sicherheitsprodukte, -standards oder -strategien, kann sie wettbewerbsrechtlich kritisch sein. Die Grenzen zwischen wettbewerbsfördernden Forschungs – und Entwicklungsvereinbarungen für völlig neue Produkte und ihre Nutzung zur kartellrechtswidrigen Verhaltensabstimmung oder zur Abschottung von Schlüsseltechnologien sind mitunter fließend.

In der Praxis erstrecken sich Kooperationen regelmäßig auf die Verwertung der Forschungsergebnisse durch gemeinsames Marketing, Lizensierung oder Produktion. Vor allem unter Wettbewerbern erfordert dies eine sorgfältige kartellrechtliche Prüfung. Welche Marktanteile halten die Kooperationspartner? Wem und zu welchen Konditionen wird Zugang zum gewonnenen Know-how gewährt? Ist eine eigene Parallelforschung erlaubt? Wird (potentieller) Wettbewerb beeinträchtigt? Ist gar eine unzulässige Marktverschließung zu befürchten? Oder stehen effizienzsteigernde Effekte im Vordergrund, die eine gemeinsame Forschung und Vermarktung ermöglichen?

Kooperationspartner sollten Forschungs- und Entwicklungsvorhaben schon im Vorfeld kartellrechtlich überprüfen. Auch sollten sie bereits vor Kooperationen robuste Compliance-Systeme etablieren. Nur so können sie sicherstellen, dass kartellrechtlich zulässige Zusammenarbeit nicht im Lauf der Zeit zu einer unzulässigen Verhaltensabstimmung wird.

Neue Technologien und Standards: Wie Unternehmen Fallstricke vermeiden

Bestenfalls führt eine kartellrechtlich zulässige Zusammenarbeit dann zu neuen Schlüsseltechnologien und innovativen technischen Standards für Cyber-Security. Das Beispiel der Automobilhersteller zeigt jedoch, dass auch hier große Risiken liegen. Werden Standards oder Schlüsseltechnologien branchenweit oder entlang der gesamten Wertschöpfungskette etabliert, ist trotz Innovationsgewinnen regelmäßig Vorsicht geboten.

Vereinheitlichte Sicherheitsstandard können etwa den Anreiz für Innovation und Weiterentwicklung hemmen. Eine marktweit etablierte Schlüsseltechnologie kann Entwicklern anderer Technologien den Zutritt zum Markt verwehren. Das Risiko einer solchen Marktverschließung steigt weiter, wenn technische Spezifizierungen vereinheitlicht werden, für die Patente oder sonstige geistige Eigentumsrechte bestehen. Ohne Zugang zu den relevanten Technologien könnten Wettbewerber gänzlich vom Wettbewerb ausgeschlossen werden.

Wettbewerbsverstöße können in der Praxis am ehesten durch Transparenz vermieden werden. Auch sollten alle betroffenen Unternehmen die Möglichkeit erhalten, bereits bei der Festlegung eines Cyber-Security-Standards mitzuwirken und Alternativtechnologien vorzuschlagen. Wenn Wettbewerber nicht auf alternative Technologien ausweichen können, verlangt das Kartellrecht unter bestimmten Voraussetzungen, dass allen Marktteilnehmern gleichberechtigter Zugang zum Standard gewährt wird. Der Rechteinhaber muss sich dann verpflichten, die Sicherheitstechnologie zu fairen, zumutbaren und diskriminierungsfreien Bedingungen zu erteilen (sogenannte FRAND-Selbstverpflichtung). Auf diesem Weg können dritte Unternehmen Zugangsansprüche zu essentiellen Technologien auch gegen mächtigere Wettbewerber durchsetzen. Ob ein solcher Anspruch besteht, erfordert eine dezidierte Einzelfallprüfung. Erfasst der Zugangsanspruch überdies Datensammlungen – im Bereich Cyber-Security nicht ganz unwahrscheinlich –, müssen Unternehmen kartellrechtliche und datenschutzrechtliche Vorgaben in Einklang bringen.

Ausblick

Die Erfahrungen des Automobilsektors zeigen, wie wichtig es für Unternehmen ist, technische Kooperationen mit Wettbewerbern schon vorab gut vorzubereiten. Beim Kampf gegen Cyberbedrohungen sollten sie rechtliche Anforderungen immer im Blick behalten und neben ihrer Sicherheitsinfrastruktur kartellrechtliche Compliance-Strukturen sorgfältig überprüfen. Kooperationen bergen insofern eine Vielzahl kartellrechtlicher Herausforderungen – selbst wenn sie (vermeintlich) auf Innovationsgewinne ausgelegt sind. Zuletzt sollten Unternehmen auch die geplante 10. GWB-Novelle im Auge behalten. Diese sieht nach dem aktuellen Entwurf des Bundeswirtschaftsministeriums u.a. kartellrechtliche Zugangsansprüche zu Daten sowie erleichterte Voraussetzungen für den Erlass einstweiliger Maßnahmen im Digitalbereich durch das Bundeskartellamt vor.

BLOMSTEIN wird die weiteren Entwicklungen beobachten und darüber informieren. Wenn Sie Fragen zu den potenziellen Auswirkungen der Cyber-Security auf Ihr Unternehmen oder Ihre Branche haben, stehen Ihnen Dr. Anna Huttenlauch, Dr. Max Klasse und Philipp Trube jederzeit gern zur Verfügung.

zurück zur Übersicht