TCI-Partner Dr. Thomas Stögmüller berichtet über aktuelle Entwicklungen im IT-Recht

In der Ausgabe Nr. 52/2024 der Neuen Juristischen Wochenschrift (NJW) berichtet Dr. Thomas Stögmüller, Rechtsanwalt und Fachanwalt für Informationstechnologierecht, über aktuelle Entwicklungen im IT-Recht im Jahr 2024. Der Beitrag gibt einen umfassenden Überblick über die neuen EU-Gesetze von der KI-Verordnung bis zum Cyber Resilience Act und beleuchtet wichtige Gerichtsentscheidungen wie etwa des EuGH zur Urheberrechtsverletzung durch „Cheat-Software“.

Der Cyber Resilience Act der EU tritt in Kraft – neue Cybersicherheitsanforderungen für Software und vernetzte Produkte

Am 10. Dezember 2024 ist der „Cyber Resilience Act“ (CRA, der deutsche Name lautet „Cyberresilienz-Verordnung“) der EU in Kraft getreten. Mit dieser Verordnung werden europaweit erstmalig horizontal geltende Cybersicherheitsvoraussetzungen für Produkte mit digitalen Elementen gesetzlich normiert. Vernetzte Produkte wie Heimkameras, Kühlschränke, Fernsehgeräte und Spielzeug müssen hiernach „cybersicher“ sein, bevor sie in Verkehr gebracht werden, und auch über ihren gesamten Lebenszyklus hinweg bleiben. Um diese Cybersicherheit zu belegen, müssen sie künftig mit einer CE-Kennzeichnung versehen sein.

Zwar gelten die wesentlichen Regelungen der Verordnung erst ab dem 11. Dezember 2027, sodass Unternehmen eine großzügige Übergangsfrist haben, ihre in das Internet eingebundenen Produkte an die neuen Regelungen anzupassen. Doch da Produktentwicklungszyklen mehrere Monate bis Jahren dauern können, soll bereits jetzt auf einige wesentliche Anforderungen unter dem CRA hingewiesen werden:

– Der Anwendungsbereich des CRA ist äußerst weit und umfasst Software, in das Internet eingebundene Hardware wie intelligente Haushaltsgeräte (Stichwort „Internet of Things“) und Cloud-Dienste, die es den Nutzern ermöglichen, Geräte aus der Ferne zu steuern

– Hersteller, die ein Produkt mit digitalen Elementen in den Verkehr bringen, müssen dieses gemäß den grundlegenden, im CRA näher spezifizierten Cybersicherheitsanforderungen konzipieren, entwickeln und herstellen

– Grundlegende Cybersicherheitsanforderungen umfassen beispielsweise, sicherzustellen, dass Schwachstellen durch Sicherheits-Updates behoben werden können, dass geeignete Kontrollmechanismen bestehen, die Schutz vor unbefugtem Zugriff bieten, dass die Vertraulichkeit und Integrität gespeicherter und übermittelter Daten geschützt wird und dass den Nutzern die Möglichkeit geboten wird, alle Daten und Einstellungen dauerhaft sicher und einfach zu löschen

– Während der Supportdauer des Produkts ist dessen Cybersicherheitsrisiko zu bewerten, zu dokumentieren und ggf. zu aktualisieren

– Hersteller müssen Schwachstellen während der erwarteten Lebensdauer des Produkts oder über mindestens fünf Jahre ermitteln, beheben und entsprechende Sicherheits-Updates bereitstellen

– Hersteller müssen ein Konformitätsbewertungsverfahren durchführen (lassen) und, sofern das Produkt mit digitalen Elementen den grundlegenden Cybersicherheitsanforderungen genügt, eine CE-Kennzeichnung anbringen

– Produkte mit digitalen Elementen, die mit einem höheren Cybersicherheitsrisiko behaftet sind – als „wichtige Produkte mit digitalen Elementen“ bezeichnet – unterliegen einem strengeren Konformitätsbewertungsverfahren; dies gilt etwa für Betriebssysteme, Passwort-Manager, VPN, Modems für die Internetanbindung, intelligente Türschlösser, Babyphones, Alarmanlagen und Wearables

– Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle dem zuständigen nationalen Computer-Notfallteam (Computer Security Incident Response Team – CSIRT) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) über eine einheitliche Meldeplattform melden

– Der CRA enthält Ausnahmen und spezielle Regelungen für freie Software und Open Source Software

Haftung des Franchise-Gebers für wettbewerbswidriges Verhalten des Franchise-Nehmers

Das Landgericht Augsburg hatte sich in einem Hauptsacheverfahren (Az. 081 O 1161/23) mit der Frage auseinanderzusetzen, ob ein Franchise-Geber für das wettbewerbswidrige Verhalten seines Franchise-Nehmers haften und mit einstehen muss. Das Gericht bejahte die Haftung des Franchise-Gebers gemäß § 8 Absatz 2 UWG.

I.   Sachverhalt

Der selbständige Franchise-Nehmer eines Fitnessstudio-Franchise-Systems hatte zur Anhebung der Mitgliedsbeiträge bei den laufenden Studioverträgen seiner Bestandmitglieder am Drehkreuz im Eingangsbereich der Studios Aushänge angebracht, in denen er die Gründe und den Umfang der Preiserhöhung erläuterte. Die Aushänge enthielten zudem folgende Passage: „Für Deine Zustimmung kannst Du ganz unkompliziert unser Drehkreuz passieren“, wobei das Passieren des Drehkreuzes für die Mitglieder unumgänglich war, um Zutritt zum Studio zu erhalten.

Der Franchise-Geber hatte von dieser Aktion weder Kenntnis, noch hatte er eine solche Maßnahme veranlasst oder gar daran mitgewirkt. Die Franchise-Verträge enthielten kartellrechtlich korrekt die Regelung, dass der Franchise-Nehmer in seiner Preisgestaltung frei ist, der Franchise-Geber aber Höchstpreise vorgeben kann.

Sowohl der Franchise-Nehmer als auch der Franchise-Geber wurden von einem Verbraucherverband mit der Begründung abgemahnt, die fingierte Zustimmung zu einer Preiserhöhung durch das Passieren des Drehkreuzes im Studio des Franchise-Nehmers stelle eine aggressive geschäftliche Handlung im Sinne des Gesetzes gegen den unlauteren Wettbewerb (UWG) dar. Sowohl gegen den Franchise-Nehmer als auch gegen den Franchise-Geber wurde eine einsteilige Verfügung zur Unterlassung dieser geschäftlichen Handlung erwirkt. Der Franchise-Nehmer akzeptierte die Verfügung durch Abschlusserklärung, nicht aber der Franchise-Geber, woraufhin der Verbraucherverband den Unterlassungsanspruch auf Grundlage der Haftungsnorm des § 8 Absatz 2 UWG im Hauptsacheverfahren vor dem Landgericht Augsburg weiter verfolgte.

II.   Rechtlicher Rahmen

Nach § 8 Absatz 1 UWG kann auf Beseitigung und Unterlassung in Anspruch genommen werden, wer eine unzulässige geschäftliche Handlung im Rahmen des UWG vornimmt. Absatz 2 dieser Vorschrift besagt, dass diese Ansprüche auch gegen den Inhaber eines Unternehmens begründet sind, wenn die Zuwiderhandlungen im Unternehmen von einem Mitarbeiter oder Beauftragten begangen werden.

Bereits mit Urteil vom 05.04.1995 hatte der BGH entschieden, dass der Franchise-Geber „Beauftragter“ des Franchise-Nehmers im Sinne dieser gesetzlichen Regelung sein kann,

  • wenn die Handlung, deren Unterlassung verlangt wird, innerhalb des Betriebsorganismus des Franchise-Gebers begangen wurde,
  • der Erfolg der Handlung zumindest auch dem Franchise-Geber zugutekommt und
  • dem Franchise-Geber ein bestimmender Einfluss auf die Tätigkeit eingeräumt ist – es genügt, wenn er sich einen solchen hätte sichern können -, in deren Bereich das beanstandete Verhalten fällt.

III.   Entscheidung des Gerichts

Das Landgericht Augsburg gab dem Unterlassungsanspruch des Verbraucherverbandes in seinem Urteil vom 06.10.2023 statt und bejahte die Haftung des Franchise-Gebers aus § 8 Absatz 2 UWG, obwohl das „Ob“ und „Wie“ von Preiserhöhungen einzig und allein in den Entscheidungsbereich des Franchise-Nehmers fällt und der Franchise-Geber mit dieser Aktion nichts zu tun hatte.

Das Vorliegen der Voraussetzung, dass die geschäftliche Handlung im (erweiterten) Betriebsorganismus des Franchise-Gebers stattgefunden haben muss, bejahte das Gericht unter Hinweis darauf, dass der Franchise-Geber als Systemzentrale zahlreiche Unterstützungs- und Beratungsleistungen erbringt, eine zentrale Webseite betreibt und sich zumindest im Bereich der Werbung und des Marketings Einflussmöglichkeiten durch den Erlass von Systemrichtlinien vorbehält.

Den Einwand, dass es dem Franchise-Geber gerade im Bereich der Preisgestaltung des Franchise-Nehmers kartellrechtlich untersagt sei, Einfluss zu nehmen, wies das Gericht mit dem Hinweis zurück, dass es bei der beanstandeten Maßnahme gerade nicht um die Preisgestaltung gegangen sei, sondern um die (wettbewerbswidrige) Umsetzung einer Preiserhöhung.

Auch wenn die Aktion unbestritten zu einer erheblichen Verärgerung bei den Kunden des Franchise-Nehmers geführt hat und eine Schädigung der Marke und des Rufs des Franchise-Systems darstellte, bejahte das Gericht das „Zugutekommen“ auch für den Franchise-Geber. Hier argumentiert das Gericht, dass der Franchise-Geber bei umsatzabhängigen laufenden Franchise-Gebühren mittelbar von erhöhten Mitgliedsbeiträgen des Franchise-Nehmers profitiert hätte. Dem ruf- und markenschädigenden Verhalten des Franchise-Nehmers könne der Franchise-Geber aufgrund der vertraglichen Verpflichtung des Franchise-Nehmers, gerade ein solches Verhalten zu unterlassen, Einhalt gebieten.

Die Einflussnahme des Franchise-Gebers auf die Tätigkeit des Franchise-Nehmers sieht das Landgericht darin, dass sich der Franchise-Geber vertraglich – und kartellrechtlich zulässig – die Vorgabe von Höchstpreisen vorbehalten habe.

Folgt man der Argumentation des Landgerichts Augsburg, wäre schon aufgrund der Verwirklichung lauterkeitsrechtlicher Tatbestandmerkale durch einen Franchise-Nehmer stets auch die Haftung des Franchise-Gebers gemäß § 8 Absatz 2 UWG anzunehmen. Dies ist kritisch zu sehen. Der Franchise-Geber ging im vorliegenden Fall in Berufung, die Entscheidung des OLG München bleibt abzuwarten.

TCI-Partner Dr. Thomas Stögmüller hält Grundlagenseminar zur DSGVO

Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hält am 6. November 2024 ein Grundlagenseminar zur Datenschutzgrundverordnung (DSGVO). Das 2,5-stündige Online-Seminar erfolgt im Rahmen der Fortbildung der Rechtsanwaltskammer München und richtet sich an Rechtsanwältinnen und Rechtsanwälte (nähere Informationen unter https://seminare.rak-muenchen.de/65004-13-grundlagenseminar-dsgvo-9509010/). Neben einem generellen Überblick über die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung werden auch aktuelle Themen wie Künstliche Intelligenz und Datenschutz, Anforderungen an Cookies, die Datenübermittlung in die USA und die jüngste EuGH-Rechtsprechung zur Klagebefugnis von Wettbewerbern und zum Schadensersatzanspruch unter der DSGVO behandelt.

E-Mobility; ab dem 14. April 2025 neue Vorgaben für E-Ladesäulenbetreiber gemäß Art. 20 Abs. 2 und 3 der Verordnung (EU) 2023/1804 („AFIR“)

Gemäß Art. 20 Absätze 2 und 3 der Verordnung (EU) 2023/1804 über den Aufbau der Infrastruktur für alternative Kraftstoffe (AFIR) müssen Betreiber von öffentlich zugänglichen Ladepunkten (Charge Point Operator – CPO) ab dem 14. April 2025 neue Vorgaben in Bezug auf die Bereitstellung von Daten umsetzen.

Diese Anforderung hat den Hintergrund, dass die Datenbereitstellung von grundlegender Bedeutung dafür ist, dass die Ladeinfrastruktur ordnungsgemäß funktioniert. Gemäß Art. 20 Abs. 1 benennen die Mitgliedstaaten eine ID-Registrierungs-Organisation („IDRO“). Die IDRO vergibt und verwaltet bis zum 14. April 2025 individuelle Identifizierungscodes („ID“): Mithilfe dieses individuellen Identifizierungscodes können die Betreiber von Ladepunkten und E-Mobilitätsdienstleister identifiziert werden.

Die Betreiber von öffentlich zugänglichen Ladepunkten oder – gemäß den vertraglichen Vereinbarungen – deren Eigentümer haben dafür zu sorgen, dass statistische und dynamische Daten über die betriebene Ladeinfrastruktur oder die damit verbundenen Dienstleistungen kostenfrei zur Verfügung gestellt werden. Unter die statistischen Daten fallen insbesondere die geografische Lage der Ladepunkte, Anzahl der Anschlüsse, Kontaktdaten des Eigentümers und des Betreibers der Ladestation, Betriebszeiten, Stromart (AC/DC), maximale Ladeleistung (kW) der Ladestation bzw. des Ladepunkts sowie ID-Codes mindestens des Betreibers des Ladepunkts. Zu den dynamischen Daten zählen der Betriebszustand (betriebsbereit/außer Betrieb), die Verfügbarkeit (im Betrieb/nicht in Betrieb), der Ad-hoc-Preis und die Angabe, ob der Fahrstrom zu 100 % aus erneuerbaren Quellen geliefert wird (Ja/Nein).

Ferner hat jeder Betreiber bzw. – gemäß den getroffenen vertraglichen Vereinbarungen – der Eigentümer der Ladepunkte eine Anwendungsprogrammierschnittstelle (API) einzurichten, die einen freien und uneingeschränkten Zugang zu den vorgenannten Daten bietet, und den nationalen Zugangspunkten Informationen über diese API zu übermitteln.

Bis zum 31.12.2024 haben die Mitgliedstaaten sicherzustellen, dass diese Daten allen Nutzern, insbesondere E-Mobility Service-Providern (eMSP) und E-Mobility Usern, in offener und nichtdiskriminierender Weise zugänglich gemacht werden. Ziel dieser Vorgaben ist die Schaffung eines einheitlichen Rechtsrahmens und einheitlicher Standards in Bezug auf die Datenbereitstellung zur Nutzung der Elektromobilität, als eine von vielen Maßnahmen, um die Errichtung von Ladeinfrastruktur für Elektrofahrzeuge in Europa voranzubringen.

Diese neuen europarechtlichen Vorgaben sind bei der Gestaltung von Verträgen im Bereich der Erbringung von Betriebsleistungen des CPO bzw. eMSP umzusetzen.

SAP Cloud-Verträge und VertRäge zu Rise: Vortrag von Dr. Michael Karger auf dem DSAG-Jahreskongress 2024

Nach einer Einführung von Michael Bloch, Fachvorstand der DSAG für Lizenzen, Vertragswesen und Support, referiert TCI-Partner Dr. Michael Karger am 16.10.2024 auf dem DSAG-Jahreskongress in Leipzig zu SAP Cloud-Verträgen und Verträgen zu RISE with SAP. Themen sind u.a.:

  • Grundstruktur von Cloud-Verträgen
  • Herausforderungen: Umfang, Transparenz, Dynamik
  • Vergütung: Zahlungskonditionen, Erhöhung
  • Verfügbarkeit der Cloud Services und SLA
  • Exit-Management, Cloud Switching und Data Act
  • Datenschutz: Neues SAP DPA
  • NIS-2-Richtlinie
  • AI
  • RISE: Stilllegung von On-Premise Software
  • RISE: Guthaben als Transformation Incentive

In Anschluss: RISE with SAP – Was erwartet uns als Kunde? Vortrag von Michael Scheel, EnBw Energie Baden-Württemberg AG.

Und schließlich: Auf GruppenR(E)ISE mit der DSAG – Paneldiskussion zum Thema RISE und der vertraglichen Reise in die Cloud mit:

  • Myrja Schumacher, HONICO Systems GmbH
  • Florian Ascherl, EY GmbH & Co. KG
  • Dr. Michael Karger, TCI Rechtsanwälte München
  • Dr. Michael Sandmeier, Sandmeier Consulting GmbH
  • Michael Scheel, EnBw Energie Baden-Württemberg AG
  • Christine Grimm, DSAG-Fachvorständin Transformation & Sustainability
  • Michael Bloch, DSAG-Fachvorstand für Lizenzen, Verträge und Support
  • Moderation; Claus Krüsken 

Hier der Link zum Programm des DSAG-Jahreskongresses: DSAG-Jahreskongress 2024 (plazz.net)

Thomas Stögmüller hält Impulsreferat zu KI beim CulturiaCamp 2024

Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtsanwälte München hält auf dem CulturiaCamp 2024 am 10. Oktober 2024 ein Impulsreferat zum Thema „Künstliche Intelligenz und deren Anwendung aus rechtlicher Sicht“. Das vom CommClubs Bayern e.V. durchgeführte CulturiaCamp 2024 steht unter dem Motto „Kommunikationswirtschaft X Künstliche Intelligenz“. 32 Talente aus allen Regionen Bayerns und allen Bereichen der Kommunikations- und Kreativwirtschaft kommen dabei für zwei Tage im Werksviertel München zusammen, um in interdisziplinären Teams realisierbare Lösungen zu finden. Nähere Informationen unter https://culturiacamp.com/.

Münchner SAP Tage 2024:  Aktuelles zu SAP On-Premise-Verträgen und zu SAP-Cloud-Verträgen

Dr. Michael Karger referiert am 26.09.2024 bei den Münchner SAP Tagen zum Thema „Aktuelles zur SAP-On-Premise- und Cloud-Lizensierung.“ Themen sind u.a.:

  • Überblick über die SAP-Vertragslandschaft
  • On Premise: Erhöhung der Vergütung für Pflege und Support zum 01.01.2025
  • Cloud-Verträge:
    • Vertragsdokumente
    • Leistungsbeschreibung
    • Implementierungsleistungen
    • Wechsel zu einem anderen Cloud-Anbieter und Data Act
    • Neues DPA

Weitere Informationen zu den Münchner SAP Tagen 2024 finden Sie hier: http://www.sap-tage.de/201.html

Dr. Thomas Stögmüller referiert zu „Immaterialgüterrechtlicher Schutz KI-generierter Werke“

Am 26. September 2024 findet im Tagungs- und Veranstaltungshaus Alte Mensa der Georg-August-Universität Göttingen von 11:00 – 18:00 Uhr die wissenschaftliche Tagung „Daten — Information — Recht“ zu Ehren von Prof. Dr. Andreas Wiebe, LL.M. (Virginia) anlässlich seines 65. Geburtstages statt. Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtsanwälte wird dort einen Vortrag zum Thema „Immaterialgüterrechtlicher Schutz KI-generierter Werke“ halten.

Tagungsprogramm und Anmeldung unter: www.forum-iprecht.de

SAP-Verträge On Premise und Cloud): Seminar der DSAG-Academy mit Dr. Michael Karger

Dr. Michael Karger ist Referent des im halbjährlichen Turnus stattfindenden Seminars der DSAG-Academy „SAP-Verträge verstehen und gestalten: Rechtliche Grundlagen, wichtige Regelungen, Fallstricke“. Das Seminar findet am 16.09.2024 als Präsenztraining in Leimen statt.

Ziel des Seminars ist es, den Teilnehmenden einen Überblick zur Struktur der „SAP-Vertragswelt“ zu geben, sie mit den Grundzügen der unterschiedlichen Vertragswerke im On Premise-Kontext und für Cloud-Services vertraut zu machen und einzelne, besonders wichtige rechtliche Bestimmungen zu erläutern. Angesprochen werden auch die Themen S/4 HANA Conversion und RISE with SAP, Cloud-Switching nach dem Data Act sowie der IT-Sicherheitsrecht (NIS-2-Richtlinie und neues BSIG).

Das Seminar ist schon weitgehend ausgebucht. Es findet voraussichtlich ein weiterer Termin im Frühjahr 2025 statt.