TCI Partner Stephan Schmidt spricht auf 3. Cyber-Sicherheitskongress
TCI Rechtsanwälte

Cybersicherheit ist Chefsache und Cybersicherheit gehört auf die Mainstage.

Am 18.04.24 um 10:30 Uhr wird der Mainzer TCI Partner Stephan Schmidt daher in Ingelheim beim 3. Cyber-Sicherheitskongress des BVMW Mainz -Bingen auf der Mainstage über „Neue Regelungen im Cybersicherheitsrecht – Neue Anforderungen an Unternehmen und Geschäftsführung“ sprechen.

Zudem gibt es im Rahmen eines Kamingesprächs Gelegenheit ihm und anderen Experten Fragen zur NIS-2 Richtlinie, dem geplanten aber verzögerten deutschen Umsetzungsgesetz (NIS2UmsuCG), weiteren europäischen Rechtsakten zur Cybersicherheit und allen aktuellen Fragen des IT-Sicherheitsrechts zu stellen.

Anmeldung sind über die Kongressseite möglich.

TCI-Partner Dr. Thomas Stögmüller hält Grundlagenseminar zur DSGVO
TCI Rechtsanwälte

Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hält am 10. April 2024 ein Grundlagenseminar zur Datenschutzgrundverordnung (DSGVO). Das 2,5-stündige Online-Seminar erfolgt im Rahmen der Fortbildung der Rechtsanwaltskammer München und richtet sich an Rechtsanwältinnen und Rechtsanwälte (nähere Informationen unter https://seminare.rak-muenchen.de/65004-12-grundlagenseminar-dsgvo-5655763/). Neben einem generellen Überblick über die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung werden auch aktuelle Themen wie das Auskunftsrecht, Anforderungen an Cookies, die Datenübermittlung in die USA und die jüngste EuGH-Rechtsprechung zum Schadensersatzanspruch unter der DSGVO behandelt.

TCI Partner Schmidt von der WirtschaftsWoche als Legal All Star 2023 ausgezeichnet
TCI Rechtsanwälte

Die WirtschaftsWoche hat erneut die Auszeichnung „Legal All Stars“ vergeben, bei der in jedem der 31 Rechtgebiete lediglich drei Anwältinnen oder Anwälte benannt werden. Im diesjährigen Ranking hat die WirtschaftsWoche unseren Mainzer Partner Stephan Schmidt als „Legal All Star 2023“ ausgezeichnet. In einem mehrstufigen Auswahlverfahren setzte er sich gegen die anderen Nominierten durch und erreichte den 1. Platz im Bereich IT-Recht.


Das Handelsblatt Research Institute (HRI) verschickte für die WirtschaftsWoche fast 26.000 Befragungen an Wirtschaftsanwält:innen. Die größte Gruppe stellen Anwält:innen für Gesellschafts- und Arbeitsrecht mit je mehr als 5600 Teilnehmenden, die kleinste Medizinrecht mit 511 Jurist:innen aus 333 Kanzleien. In die Riege der Legal All Stars schafften es insgesamt 92 Anwält:innen aus 63 Kanzleien. Zunächst wurden die Anwält:innen nach den renommiertesten Konkurrenten in ihrem Gebiet befragt, dann stimmte eine Jury aus Unternehmensjurist:innen, Professor:innen, Prozessfinanzierer:innen und Berater:innen ab, gewichtete und ergänzte.

Das komplette Ranking findet sich in Ausgabe 13 der Wirtschaftswoche vom 22.03.2024 und hier online.

Microsoft 365 und kein Ende
TCI Rechtsanwälte

Der „Dauerbrenner“ Microsoft 365 beschäftigt nach wie vor die Datenschutz-Aufsichtsbehörden. Nun hat sich der Europäische Datenschutzbeauftragte (EDPS) zu Wort gemeldet, der als unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der EU zuständig ist.

Mit einer Entscheidung vom 11. März 2024 (https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en) hat der EDPS der EU-Kommission angewiesen, bis zum 9. Dezember 2024

  • alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben und die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen und
  • die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.

Die Entscheidung des EDPS stellt nicht auf die DSGVO, sondern auf die Verordnung 2018/1725 ab. Dabei handelt es sich um das Datenschutzrecht für Organe und Einrichtungen der EU. Die Verordnung entspricht jedoch inhaltlich weitgehend der DSGVO.

Nach der Meinung des EDPS hat die Kommission nicht ausreichend geprüft und vereinbart, welche personenbezogenen Daten von Microsoft zu welchen Zwecken verarbeitet und an Subunternehmer übermittelt werden.

Der Kommission wurde insbesondere aufgegeben,

  • ein „Transfer-Mapping“ durchzuführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien erfolgen. Dies soll auch Weiterübermittlung (onward transfers) beinhalten, d.h. die gesamte, von Microsoft eingesetzte Subunternehmer-Kette:

appraise […] what personal data will be transferred to which recipients in which third countries and for which purposes, thereby […] obtaining the minimum information necessary to determine whether any supplementary measures are required to ensure the essentially equivalent level of protection […]

Die Datenübermittlung an Subunternehmer in Drittländer ohne angemessenes Schutzniveau ist zu unterlassen.

  • ausdrücklich festzulegen, welche Daten zu welchen Zwecken von Microsoft verarbeitet werden und dabei den Zweckbindungsgrundsatz zu berücksichtigen:

sufficiently determine the types of personal data collected under the […] agreement concluded with Microsoft […] in relation to each of the purposes of the processing so as to allow those purposes to be specified and explicit; ensure that the purposes for which Microsoft is permitted to collect personal data [….] are specified and explicit; provide sufficiently clear documented instructions for the processing […]”.

Es muss transparent geregelt werden, welche Daten zu welchen Zwecken vereinbart werden. Diese Verarbeitungen müssen natürlich rechtmäßig sein. Insbesondere soll durch klare und detaillierte Regelungen sichergestellt werden, dass die Daten von Microsoft wirklich nur im Auftrag der Kommission genutzt werden.

Die Kritikpunkte des EDPS entsprechen dabei zum Teil der Kritik der deutschen Aufsichtsbehörden, die zuletzt in der „Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“ vom 2.11.2022 veröffentlicht wurde (https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf). Es bleibt abzuwarten, welche praktischen Konsequenzen die Entscheidung des EDPS für deutsche Unternehmen haben wird und ob die deutschen Aufsichtsbehörden die Entscheidung zum Anlass nehmen werden, ihre eigene Prüfungspraxis zu verschärfen.

„Gefangen“ im Cloud-Vertrag? Der Data Act erleichtert Provider Switching
TCI Rechtsanwälte

Das Problem

„Begin with the end in mind“: Diesen Grundsatz übersehen viele Kunden, wenn sie einen Cloud-Vertrag oder einen Vertrag über SaaS, IaaS oder PaaS abschließen. Der Vertragsschluss auf der Basis von Standardkonditionen der Anbieter ist vergleichsweise einfach. Der Ausstieg aus dem Vertrag stößt aber häufig auf Probleme, weil sich im Vertrag keine oder nur unzureichende Regelungen zum Wechsel vom bisherigen Provider zu einen neuen Provider finden. Zu Unterstützungspflichten des Providers bei Vertragsbeendigung und bei der Überführung der Services auf einen Dritten sowie zu einer diesbezüglichen Vergütung ist häufig nichts geregelt. Hier ist der Anwender derzeit auf das Entgegenkommen des Anbieters angewiesen. Dies führt für den Anwender zu einer schwierigen „Lock-In“-Situation.

Abhilfe durch den Data Act

Durch den im Januar 2024 in Kraft getretenen Data Act soll es nun Abhilfe geben. Ziel des Data Act ist es, den Wechsel zwischen einzelnen Providern oder von einem Provider zurück zu den Systemen des Anwenders zu erleichtern. Die Hindernisse für einen wirksamen Wechsel, insbesondere die vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse sollen beseitigt werden. Der Data Act sieht in den Art. 23 ff. hierzu zahlreiche Regelungen vor. Hierbei handelt es sich um unmittelbar geltendes Gesetzesrecht.

Adressaten der Regelungen

Adressaten der Regelungen sind Anbieter von sogenannten „Datenverarbeitungsdiensten“. Dieser Begriff ist weit zu verstehen. Erfasst wird eine beträchtliche Zahl von Diensten mit einer großen Bandbreite an unterschiedlichen Anwendungszwecken, Funktionen und technischen Strukturen. Hierunter fallen Dienste, die eines oder mehrere der folgenden Modelle anbieten: Infrastructure-as-a-Service“ (IaaS), „Platform-as-a-Service“ (PaaS) und „Software-as-a-Service“ (SaaS). Aber auch andere Varianten zählen dazu, wie z.B. „Storage-as-a-Service“ und „Database-as-a-Service“.

Verpflichtungen der Provider

Die Provider treffen weitreichende Verpflichtungen. So zwingt sie das Gesetz, in dem Vertrag mit dem Anwender bestimmte Vertragsklauseln zu dessen Schutz zu vereinbaren, z.B. die Regelung einer Wechselmöglichkeit auf Verlangen, die Verpflichtung zur Leistung angemessener Unterstützung oder auch Regelungen zu Wechselentgelten. Des Weiteren treffen den Anbieter u.a. Informationspflichten und die Verpflichtung, technische Vorkehrungen zur Ermöglichung eines Wechsels vorzunehmen. Für die Provider bedeutet dies, dass sie ihre Verträge entsprechend anpassen und die erforderlichen Prozesse und technischen/organisatorischen Maßnahmen treffen müssen.

Ausgenommene Datenverarbeitungsdienste

Von den weitreichenden Pflichten der Provider sind Datenverarbeitungsdienste ausgenommen, die für den Anwender „maßgeschneidert“ wurden und die nicht im größeren Maßstab über den Dienstleistungskatalog des Anbieters im Markt offeriert werden. Die Pflichten gelten auch nicht für Dienste, die nicht als Vollversion, sondern zu Test-und Bewertungszwecken und für einen begrenzten Zeitraum bereitgestellt werden.

Zeitliche Geltung der Bestimmungen

Die entsprechenden Bestimmungen des Data Act gelten ab dem 12. September 2025. Den Providern bleibt deshalb für die Umsetzung und die Anpassung der entsprechenden Verträge noch etwas Zeit. Es ist aber nicht unwahrscheinlich, dass die entsprechenden Regelungen des Data Act bereits zeitlich eine gewisse Vorwirkung entfalten: Viele Anwender werden vermutlich Wert darauf legen, dass die vom Data Act geforderten vertraglichen Regelungen bereits jetzt in Neuverträge aufgenommen werden.

Der Widerrufsbutton kommt
TCI Rechtsanwälte

Verbraucher können online schnell und einfach Verträge abschließen. In Zukunft soll das auch für die Ausübung des Widerrufsrechtes gelten. Dazu wird der Widerrufsbutton geschaffen. Die EU macht neue Vorgaben für Online-Shops.

(mehr …)
SAP-Verträge: Seminar der DSAG-Academy mit Dr. Michael Karger
TCI Rechtsanwälte

Dr. Michael Karger ist Referent des Seminars der DSAG-Academy „SAP-Verträge verstehen und gestalten: Rechtliche Grundlagen, wichtige Regelungen, Fallstricke“. Das Seminar findet am 14.03.2024 als Präsenztraining in Leimen statt.

Ziel des Seminars ist es, den Teilnehmenden einen Überblick zur Struktur der „SAP-Vertragswelt“ zu geben, sie mit den Grundzügen der unterschiedlichen Vertragswerke im On Premise-Kontext und für Cloud-Services vertraut zu machen und einzelne, besonders wichtige rechtliche Bestimmungen zu erläutern. Angesprochen werden auch die Themen S/4 HANA Conversion, RISE with SAP sowie die neuen KI-Bedingungen.

Das Seminar ist schon weitgehend ausgebucht. Es findet voraussichtlich ein weiterer Termin später im Jahr 2024 statt.

Dr. Thomas Stögmüller referiert zu gesetzlichen Mindestrechten des berechtigten Nutzers von Computerprogrammen
TCI Rechtsanwälte

Rechtsanwalt Dr. Thomas Stögmüller, LL.M. (Berkeley), Partner bei TCI Rechtsanwälte, hält auf den Kölner Tagen IT-Recht 2024 am 8. März 2024 einen Vortrag zum Thema „Computerprogramme: Gesetzliche Mindestrechte des berechtigten Nutzers“. Er erörtert hierbei die für die rechtmäßige Nutzung von Computerprogrammen wesentlichen Fragen wie insbesondere, welche Nutzungen im Regelfall zur „bestimmungsgemäßen Benutzung“ gehören und welche Benutzungshandlungen vom sog. „zwingenden Kern“ des § 69d Abs. 1 UrhG abgedeckt sind. Dies ist vor allem bei der Frage einer zulässigen „indirekten“ Nutzung von Software sowie beim Outsourcing von erheblicher rechtlicher und wirtschaftlicher Bedeutung.

Weitere Informationen zu den „Kölner Tagen IT-Recht 2024“, deren Co-Tagungsleitung Rechtsanwalt Dr. Michael Karger, Partner bei TCI Rechtsanwälte inne hat, sind unter https://www.otto-schmidt.de/seminare/koelner-tage/koelner-tage-it-recht zu finden.  

Rechtsanwalt Dr. Thomas Stögmüller referiert zu aktuellen Entwicklungen unter der DSGVO
TCI Rechtsanwälte

Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner bei TCI Rechtsanwälte München, gibt bei der Rechtsanwaltskammer München ein Update zur Datenschutz-Grundverordnung (DSGVO) und zeigt aktuelle Entwicklungen mit Schwerpunkt im Medienbereich auf. Ein Schwerpunkt des Referats sind jüngere Gerichtsentscheidungen zu Datenschutzhinweisen und der Datenübermittlung an ein Drittland sowie der neue EU-U.S. Data Privacy Framework.

Das Seminar findet am 28.02.2024 als Webinar statt und richtet sich an Rechtsanwältinnen und Rechtanwälte mit Schwerpunk im Medienrecht oder IT-Recht.

TCI auf den Kölner Tagen IT-Recht 2024
TCI Rechtsanwälte

Wir freuen uns, dass TCI auch in diesem Jahr auf den Kölner Tagen IT-Recht des Verlags Dr. Otto Schmidt (07.03. und 08.03.2024) vertreten ist.

Dr. Michael Karger (TCI München) übernimmt gemeinsam mit Frau Prof. Dr. Sibylle Gierschmann (Gierschmann Legal, Hamburg) die Leitung der Tagung. Dr. Thomas Stögmüller referiert zum Thema „Computerprogramme: Gesetzliche Mindestrechte des berechtigten Nutzers“.

Die Hybrid-Tagung unter dem Titel „Von der Datenbeschaffung bis zur Lizenz“ deckt eine Vielzahl aktueller Themen des IT-Rechts ab, darunter:

  • EU-Datenstrategie und rechtliche Umsetzung (u.a. Data Governance Act, Data Act)
  • Datenüberlassungs-Verträge im Lichte des Data Act
  • Datenbeschaffung durch Data Scraping
  • AI Act: Herausforderungen für die Praxis
  • Ethics und Compliance by Design in IT-Verträgen
  • Globale Perspektive: Wettstreitende Regulierungsmodelle (USA, EU, China)
  • Softwarekomponenten als urheberrechtliche Schutzgegenstände
  • Gesetzliche Mindestrechte an Computerprogrammen
  • Patentierbarkeit von Software und KI-Systemen
  • Neues IT-Sicherheitsrecht: Relevanz für IT-Verträge
  • „Digitale Produkte“ als Vertragsgegenstand

Die Tagung ist ein „Muss“ für alle Praktiker, die sich mit der Digitalstrategie auf europäischer und globaler Ebene auseinandersetzen. Sie liefert konkrete Hilfestellungen zur Vertragsgestaltung und gibt ein Update zu den neusten rechtlichen Entwicklungen im IT-Recht.

Ein Themenschwerpunkt ist der Zugang zu Daten sowie der Umgang mit der Regulierung von KI. Dabei legt die Veranstaltung Wert darauf, nicht nur die europäische Strategie zur Regulierung des Datenrechts, sondern auch die globale Perspektive auf wettstreitende Regulierungsmodelle zu berücksichtigen. Ungeachtet der Regulierungsfragen geht die Tagung auf konkrete rechtliche Fragen beim Einsatz von KI-Systemen ein und arbeitet die insoweit naheliegenden Anforderungen an die Vertragsgestaltung heraus. Zudem gehen die Referenten auf umstrittene Fragen zum Urheber- und Patentschutz von IT-Systemen ein. Konkret wird es auch bei der Gestaltung von IT-Verträgen unter dem Blickwinkel des neuen IT-Sicherheitsrechts oder im Hinblick auf digitale Produkte.

Zielgruppe: Rechtsanwälte, Richter, Justiziare und IT-Verantwortliche in Unternehmen, Behörden und Verbänden.

Viele Teilnehmerinnen und Teilnehmer schätzen an den Kölner Tagen IT die ebenso professionelle wie kollegiale und informelle Atmosphäre als Grundlage für Erfahrungsaustausch und Networking.

Weitere Informationen zur Veranstaltung finden Sie hier https://www.otto-schmidt.de/koelner-tage-it-recht.