SAP-Verträge On Premise und Cloud): Seminar der DSAG-Academy mit Dr. Michael Karger

Dr. Michael Karger ist Referent des im halbjährlichen Turnus stattfindenden Seminars der DSAG-Academy „SAP-Verträge verstehen und gestalten: Rechtliche Grundlagen, wichtige Regelungen, Fallstricke“. Das Seminar findet am 16.09.2024 als Präsenztraining in Leimen statt.

Ziel des Seminars ist es, den Teilnehmenden einen Überblick zur Struktur der „SAP-Vertragswelt“ zu geben, sie mit den Grundzügen der unterschiedlichen Vertragswerke im On Premise-Kontext und für Cloud-Services vertraut zu machen und einzelne, besonders wichtige rechtliche Bestimmungen zu erläutern. Angesprochen werden auch die Themen S/4 HANA Conversion und RISE with SAP, Cloud-Switching nach dem Data Act sowie der IT-Sicherheitsrecht (NIS-2-Richtlinie und neues BSIG).

Das Seminar ist schon weitgehend ausgebucht. Es findet voraussichtlich ein weiterer Termin im Frühjahr 2025 statt.

Neues vom EuGH zum datenschutzrechtlichen Schadensersatz

Gemäß Art 82 Abs. 1 DSG-VO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz.

In zwei Vorabentscheidungsersuchen hatte sich das Amtsgericht München an den EuGH gewandt, um die Auslegung von Art. 82 der DS-GVO zu klären, insbesondere in Bezug auf die Höhe des Schadensersatzes sowie die Definitionen von „immateriellem Schaden“ und „Identitätsdiebstahl bzw. -betrug“.

Mit dem nunmehr ergangenen Urteil vom 20.06.2024 in den Rechtssachen C‑182/22 und C‑189/22 (Scalable Capital GmbH) hat der EuGH seine Rechtsprechung zum Datenschutz-Schadensersatz erneut um einige Grundsätze angereichert, die sich wie folgt zusammenfassen lassen:

  • Nicht jeder Verstoß gegen die DS-GVO führt zu einem Schadensersatzanspruch nach Art. 82 DS-GVO.
  • Ein Schadensersatzanspruch nach Art. 82 DS-GVO setzt im Kern dreierlei voraus:

(1) einen Verstoß gegen die DSG-VO

(2) einen materiellen oder immateriellen „Schaden“ 

(3) einen Kausalzusammenhang zwischen dem Schaden und dem Rechtsverstoß

wobei alle drei Voraussetzungen kumulativ vorliegen müssen.

  • Die Darlegungs- und Beweislast für diese drei Voraussetzungen liegt beim Anspruchsteller.  
  • Eine „Bagatellgrenze“, die überschritten sein muss, um einen Schadenersatzanspruch zu begründen, gibt es nicht.
  • Ein abstrakter Kontrollverlust über Daten stellt nicht automatisch einen immateriellen Schaden im Sinne von § 82 DS-GVO dar. Hinzukommen muss zumindest eine objektiv begründete Befürchtung, dass die Daten, über die der Anspruchsteller die Kontrolle verloren hat, missbräuchlich verwendet wurden oder künftig verwendet werden. 
  • Der durch eine Verletzung des Datenschutzes verursachte Schaden ist seiner Natur nach nicht weniger schwerwiegend, als eine Körperverletzung.
  • Art. 82 DS-GVO erfüllt keine Straf-, sondern eine Ausgleichsfunktion.
  • Art 82 DS-GVO verlangt nicht, dass der Grad der Schwere oder eine etwaige Vorsätzlichkeit des Verstoßes bei der Bemessung der Höhe des Schadenersatzes zu berücksichtigen sind.
  • Die nationalen Gerichte sind nicht gehindert, einen Schadenersatz in geringer Höhe zuzusprechen, wenn und soweit dieser Schadenersatz den jeweiligen Schaden in vollem Umfang ausgleicht.
  • Art. 82 DS-GVO hindert den Verantwortlichen, dessen Haftung unterstellt wird, nicht, sich durch den Nachweis, dass ihm die Handlung, die den Schaden verursacht hat, nicht zurechenbar ist, zu exkulpieren.
  • Der Begriff „Identitätsdiebstahl“ ist nur dann erfüllt, wenn ein Dritter die Identität einer Person, die von einem Datendiebstahl betroffen ist, tatsächlich angenommen hat. Jedoch ist ein Schadensersatz nicht nur auf Fälle beschränkt, in denen der Datendiebstahl nachweislich zu einem Identitätsdiebstahl oder ‑betrug geführt hat.

Diese (erweiterten) Grundsätze werden sich – wie üblich zeitversetzt – in den Entscheidungen der nationalen Gerichte, insbesondere auch der Arbeitsgerichte, widerspiegeln. Aktuelle Beispiele hierfür sind:

  • LAG Nürnberg vom 25.1.2023 – 4 Sa 201/22 („Die verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 Abs. 1 DSGVO stellt als solche keinen immateriellen Schaden dar“).
  • LAG Baden-Württemberg vom 05.03.2024 – 15 Sa 45/23 („Allein der Kontrollverlust über Daten stellt nicht automatisch einen immateriellen Schaden im Sinne von § 82 DS-GVO dar“).
  • LAG Düsseldorf vom 07.03.2024 – 11 Sa 808/23 („Nicht jeder Verstoß gegen Auskunftsansprüche aus der DSGVO verursacht „automatisch“ einen Schaden“).

Fazit: Das Urteil des EuGH vom 20.06.2024 verdeutlicht, dass die Anforderungen an die Geltendmachung und Durchsetzung von Schadensersatzansprüchen in Fällen von DS-GVO-Verstößen nicht zu unterschätzen sind. Andererseits besteht kein Grund zur Annahme, dass es bei § 82 DS-GVO nur um „symbolische“ Beträge geht.

Das KI-Gesetz der EU tritt in Kraft – was Unternehmen nun beachten müssen

Die „Verordnung über Künstliche Intelligenz“ – kurz „KI-Gesetz“ – der Europäischen Union wurde am 13. Juni 2024 erlassen. Sie tritt 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft und die Vorschriften gelten – mit einigen wenigen Ausnahmen – nach einer Übergangsfrist von zwei Jahren.

Bedeutsam ist bereits die Definition der „KI-Systeme“, die durch das KI-Gesetz reguliert werden:

„KI-System“ bezeichnet „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“

Das KI-Gesetz erfasst nicht nur Anbieter sondern auch Betreiber von KI-Systemen in der EU. „Betreiber“ sind u.a. Unternehmen, Behörden und Einrichtungen, die ein KI-System in eigener Verantwortung beruflich verwenden.

Das KI-Gesetz verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines Schadens für die Gesellschaft ist, desto strenger sind die Vorschriften.

– Das KI-Gesetz verbietet bestimmte KI-Praktiken bzw. KI-Systeme generell, etwa Systeme zur kognitiven Verhaltensmanipulation, Sozialkreditsysteme und KI-Systeme, die biometrische Daten nutzen, um auf die Rasse, Religion, politische Einstellung, Gewerkschaftszugehörigkeit oder sexuelle Ausrichtung einer Person zu schließen, da ihr Risiko als unannehmbar gilt.

Nicht verbotene KI-Systeme werden nach Risiken kategorisiert:

– Hochrisiko-KI-Systeme: Darunter fallen bspw. KI-Systeme, die beim Betrieb kritischer Infrastruktur, im Personalmanagement, zur Bonitätsbewertung oder von einem Gericht bei der Rechtsanwendung verwendet werden. Für diese müssen bestimmte Anforderungen eingehalten werden, wie etwa die Einrichtung eines Risikomanagementsystems. Trainings-, Validierungs- und Testdatensätze müssen bestimmten Qualitätskriterien entsprechen. Eine menschliche Aufsicht muss sichergestellt werden. Hochrisiko-KI-Systeme bedürfen einer Konformitätsbewertung und CE-Kennzeichnung und in bestimmten Fällen muss vor ihrer Inbetriebnahme eine Grundrechte-Folgenabschätzung erfolgen.

– KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck: Das KI-Gesetz regelt auch die Verwendung von KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck („general-purpose AI“ – GPAI), zu denen bekannte Large Language Modelle wie ChatGPT zählen. Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen u.a. bestimmte Transparenzanforderungen erfüllen, das EU-Urheberrecht einhalten und eine Zusammenfassung der Trainingsdaten veröffentlichen. Für GPAI-Modelle mit systemischen Risiken gelten strengere Vorschriften.

– KI-Systeme mit begrenztem Risiko: Für diese bestehen je nach Verwendungszweck und Risiko Transparenzpflichten. Dies umfasst insbesondere eine Offenlegung, dass der Inhalt durch KI generiert wurde.

Die Geldbußen für Verstöße gegen das KI-Gesetz können bis zu 35 Millionen EUR oder – im Falle von Unternehmen – bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.

Der Einsatz von KI-Systemen in Unternehmen hat in den letzten Monaten rapide zugenommen. Da das KI-Gesetz sowohl für Anbieter als auch für Betreiber von KI-Systemen gilt, sollten Unternehmen, die KI anbieten oder einsetzen, prüfen, ob sie sich rechtskonform verhalten und welchen Risiken sie ausgesetzt sind. Dies umfasst insbesondere:

– Kategorisierung des eingesetzten KI-Systems unter dem KI-Gesetz

– Je nach Kategorisierung Ermittlung und Einhaltung der Pflichten unter dem KI-Gesetz wie bspw. Transparenzanforderungen

– Einhaltung des Urheberrechts insbesondere in Bezug auf Trainingsdaten, den Input bzw. Prompt und den Output

– Einhaltung des Datenschutzrechts, wenn in KI-Systeme personenbezogene Daten eingegeben und durch diese verarbeitet werden

– Abschätzung der Haftungsrisiken beim Einsatz von KI-Systemen, etwa im Falle eines fehlerhaften Outputs, der durch das Unternehmen verwendet wird

– Prüfung der Vertragsbedingungen des Anbieters des KI-Systems

Online-Vortrag „NIS-2: Rechtliche Anforderungen und Managementverantwortlichkeiten“

Mit der NIS-2-Richtlinie der EU werden für große Teile der Wirtschaft gesetzliche Pflichten zur Erreichung eines hohen Cybersicherheitsniveaus normiert. In Deutschland sind davon schätzungsweise ca. 30.000 Unternehmen betroffen. Die Richtlinie ist bis zum 17. Oktober 2024 in deutsches Recht umzusetzen.

Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtanwälte referiert hierzu online auf dem DiMitEx-ExpertDay „NIS-2 kommt!“ am 6. Juni 2024. In seinem Vortrag behandelt er u.a.:

– Wer ist von NIS-2 betroffen?

– Welche rechtlichen Anforderungen an die Cybersicherheit bringt NIS-2 mit sich?

– Was müssen Betreiber kritischer Anlagen besonders beachten?

– Welche Pflichten und Verantwortlichkeiten hat die Geschäftsleitung?
– Welche Sanktionen drohen bei Verstößen?

– Wie ist der Stand des Gesetzgebungsverfahrens in Deutschland?

Weitere Informationen und Anmeldung unter https://event.gotowebinar.com/event/c48fa5a1-63c0-46ae-b2a8-e27d950d04b0

Ist Ihre GbR auf dem aktuellen Stand?

Die Gesellschaft bürgerlichen Rechts (GbR) spielt häufig im Bereich der Existenzgründung eine Rolle. Sie stellt für zwei oder mehr Gründer die einfachste und unkompliziertes Rechtsform dar, gemeinsam ein Unternehmen zu etablieren. Am 1. Januar 2024 traten mit dem Gesetz zur Modernisierung des Personengesellschaftsrechts (MoPeG) auch neue gesetzliche Regelungen für die GbR in Kraft. Insbesondere die durch die Rechtsprechung bereits anerkannte Rechtsfähigkeit der GbR (BGH, Urteil v. 29.01.2001 – II ZR 331/00) ist nun gesetzlich verankert. Da die rechtlichen Änderungen ohne Übergangsregelung auch für bereits bestehende GbR-Gesellschafter gelten, sollten diese prüfen, ob Handlungsbedarf besteht.

I.  Unterscheidung nicht rechtsfähige und rechtsfähige GbR

Das Gesetz unterscheidet jetzt in § 705 BGB zwischen der nicht rechtsfähigen und der rechtsfähigen Gesellschaft. Bislang wurde die Rechtsfähigkeit der GbR nur durch die Rechtsprechung anerkannt.

Die nicht rechtsfähige GbR (sog. „Innengesellschaft“) ist nicht unternehmerisch tätig und verfügt über kein Vermögen. Sie nimmt nicht am Rechtsverkehr teil, sondern dient den Gesellschaftern lediglich zur Ausgestaltung ihrer Rechtsverhältnisse untereinander.

Anders die rechtsfähige GbR (sog. „Außengesellschaft“), die am Rechtsverkehr teilnimmt. Die GbR selbst ist Trägerin von Rechten und Pflichten, sie wird Vertragspartei, kann selbst Rechte erwerben und Verbindlichkeiten eingehen und ist Schuldnerin oder Gläubigerin daraus folgender Ansprüche. Das Vermögen der GbR wird der Gesellschaft selbst zugeordnet, das Gesamthandsprinzip, wonach die Gesellschafter über das von ihrem Privatvermögen rechtlich getrennte Vermögen der Gesellschaft nur gemeinschaftlich verfügen konnten, gilt nicht mehr. Im Zivilprozess ist die GbR parteifähig, sie kann im eigenen Namen klagen oder verklagt werden. Die Klage gegen einzelne Gesellschafter ist daneben weiterhin möglich.

Die GbR gilt als rechtsfähig, wenn sie nach dem gemeinsamen Willen der Gesellschafter am Rechtsverkehr teilnehmen soll. Die Rechtsfähigkeit wird vermutet, wenn Gegenstand der GbR der Betrieb eines Unternehmens unter gemeinschaftlichem Namen ist. Neu ist, dass die GbR im Verhältnis zu Dritten erst entsteht, sobald sie mit Zustimmung aller Gesellschafter am Rechtsverkehr teilnimmt, spätestens aber mit ihrer Eintragung im Gesellschaftsregister.

II.  Eintragung im Gesellschaftsregister

Das Gesellschaftsregister ist ein neu geschaffenes Register für die GbR. Es wird von den Amtsgerichten, die auch für die Handels-, Genossenschafts-, Partnerschafts- und Vereinsregister zuständig sind, geführt.

Es besteht zwar nach wie vor keine allgemeine Eintragungspflicht für die GbR – diese steht weiterhin als einfache, formlos zu gründende Gesellschaftsform zur Verfügung -, in bestimmten Fällen wird die Eintragung allerdings zu einem faktischen Zwang, da die GbR die Registrierung vornehmen muss, um ihre Handlungsfähigkeit zu behalten. Dies betrifft vor allem Neueintragungen im Grundbuch, beispielsweise wenn die Gesellschaft ein Grundstück erwerben möchte, ferner die Eintragung einer GbR als Gesellschafterin einer Personenhandelsgesellschaft oder eingetragenen GbR sowie in die Gesellschafterliste einer GmbH nach § 40 GmbHG. Der Verkauf oder Erwerb eines GmbH-Anteils durch eine nicht eingetragene GbR kann nicht in die Gesellschafterliste eingetragen werden, was problematisch ist, da die Gesellschafterliste Legitimationswirkung hat: Die GbR gilt gegenüber der GmbH erst dann als Gesellschafterin, wenn die Eintragung in die Gesellschafterliste erfolgt ist. So lange ist die GbR beispielsweise von der Beschlussfassung in der Gesellschafterversammlung der GmbH ausgeschlossen.

Mit der Eintragung im Gesellschaftsregister ist die GbR verpflichtet, den Namenszusatz „eingetragene Gesellschaft bürgerlichen Rechts“ oder „eGbR“ zu führen. Andere Rechtsformzusätze sind unzulässig. Haftet keine natürliche Person als Gesellschafter, weil beispielsweise alle Gesellschafter GmbHs sind, muss zusätzlich eine Kennzeichnung der Haftungsbeschränkung erfolgen, wie z. B. GmbH & Co. eGbR.

Der Name der GbR kann dabei aus den Namen eines oder mehrerer Gesellschafter, einer Fantasiebezeichnung oder in Kombination mit einer Sach- oder Branchenbezeichnung gebildet werden. Für die Zulässigkeit des Namens gelten die firmenrechtlichen Vorschriften des Handelsgesetzbuchs, insbesondere § 18 HGB.

Die Eintragung im Gesellschaftsregister bedarf der notariellen Anmeldung. Jede Änderung im Gesellschafterbestand, bei der Vertretungsbefugnis oder beim Sitz der eGbR muss erneut notariell angemeldet werden. Eine Rückkehr der eGbR zu einer nicht registrierten GbR durch Löschung im Gesellschaftsregister ist nicht möglich, vielmehr muss die eGbR dafür liquidiert werden. Die eGbR kann aber ihren Status ändern und dadurch eine andere Rechtsform annehmen, die beispielsweise in das Handelsregister eingetragen wird. Wächst das Unternehmen, kann beispielsweise aus einer zunächst kleingewerblichen GbR ein kaufmännischer Geschäftsbetrieb werden. Die GbR wird in diesem Fall „automatisch“ zu einer oHG (sog. „Statuswechsel“) und muss in das Handelsregister eingetragen werden, die Eintragungspflicht ist dann Folge der Kaufmannseigenschaft. Daneben ist es möglich, dass sich die eGbR in einer anderen Rechtsform organisiert, z. B. einer KG oder GmbH.

III.  Einige wichtige Unterschiede zwischen eGbR und GbR

Neu ist die Regelung zum Sitz der eGbR: So können die Gesellschafter einen beliebigen Ort als Sitz im Inland vereinbaren (sog. „Vertragssitz“), auch wenn es sich dort nicht um den Verwaltungssitz handelt, an dem die Geschäfte tatsächlich geführt werden. Dadurch wird es der eGbR ermöglicht, die gesamte Geschäftstätigkeit ins Ausland zu verlegen.

Bisherige Auflösungsgründe, die in der Person eines Gesellschafters begründet sind, z. B. Kündigung oder Tod, führen nunmehr nicht mehr zur Auflösung der Gesellschaft, sondern lediglich zum Ausscheiden des betroffenen Gesellschafters. Scheidet ein Gesellschafter aus, hat dieser Anspruch auf eine Abfindung, die sofort in voller Höhe von den verbleibenden Gesellschaftern zu zahlen ist, wofür die verbleibenden Gesellschafter persönlich und unbeschränkt haften. Vertraglich kann hier aber auch Ratenzahlung vereinbart werden.

Sofern Gesellschafter einer GbR nicht wollen, dass diese Neuregelungen für ihren Gesellschaftsvertrag gelten, müssen sie eine wichtige Frist beachten: Die vor dem 1. Januar 2024 geltenden Auflösungstatbestände sind mangels anderweitiger vertraglicher Vereinbarung weiter anzuwenden, wenn ein Gesellschafter bis zum 31. Dezember 2024 die Anwendung dieser Vorschriften gegenüber der Gesellschaft schriftlich verlangt, bevor innerhalb dieser Frist ein zur Auflösung der Gesellschaft oder zum Ausscheiden eines Gesellschafters führender Grund eintritt. Das Verlangen kann durch einen Gesellschafterbeschluss zurückgewiesen werden.

IV.  Ergebnis

Aufgrund der Registerpublizität entsteht Transparenz über die Existenz und Identität der eGbR sowie über die Vertretungsbefugnis. Dies führt zu mehr Rechtssicherheit und stärkt das Vertrauen der Vertragspartner. Zu beachten ist allerdings, dass die Eintragung im Gesellschaftsregister den Status der GbR als Kleingewerbe im Übrigen nicht ändert, die Gesellschaft wird dadurch keineswegs zu einem kaufmännischen Handelsgewerbe.

TCI-Partner Dr. Thomas Stögmüller hält Grundlagenseminar zur DSGVO

Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hält am 10. April 2024 ein Grundlagenseminar zur Datenschutzgrundverordnung (DSGVO). Das 2,5-stündige Online-Seminar erfolgt im Rahmen der Fortbildung der Rechtsanwaltskammer München und richtet sich an Rechtsanwältinnen und Rechtsanwälte (nähere Informationen unter https://seminare.rak-muenchen.de/65004-12-grundlagenseminar-dsgvo-5655763/). Neben einem generellen Überblick über die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung werden auch aktuelle Themen wie das Auskunftsrecht, Anforderungen an Cookies, die Datenübermittlung in die USA und die jüngste EuGH-Rechtsprechung zum Schadensersatzanspruch unter der DSGVO behandelt.

„Gefangen“ im Cloud-Vertrag? Der Data Act erleichtert Provider Switching

Das Problem

„Begin with the end in mind“: Diesen Grundsatz übersehen viele Kunden, wenn sie einen Cloud-Vertrag oder einen Vertrag über SaaS, IaaS oder PaaS abschließen. Der Vertragsschluss auf der Basis von Standardkonditionen der Anbieter ist vergleichsweise einfach. Der Ausstieg aus dem Vertrag stößt aber häufig auf Probleme, weil sich im Vertrag keine oder nur unzureichende Regelungen zum Wechsel vom bisherigen Provider zu einen neuen Provider finden. Zu Unterstützungspflichten des Providers bei Vertragsbeendigung und bei der Überführung der Services auf einen Dritten sowie zu einer diesbezüglichen Vergütung ist häufig nichts geregelt. Hier ist der Anwender derzeit auf das Entgegenkommen des Anbieters angewiesen. Dies führt für den Anwender zu einer schwierigen „Lock-In“-Situation.

Abhilfe durch den Data Act

Durch den im Januar 2024 in Kraft getretenen Data Act soll es nun Abhilfe geben. Ziel des Data Act ist es, den Wechsel zwischen einzelnen Providern oder von einem Provider zurück zu den Systemen des Anwenders zu erleichtern. Die Hindernisse für einen wirksamen Wechsel, insbesondere die vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse sollen beseitigt werden. Der Data Act sieht in den Art. 23 ff. hierzu zahlreiche Regelungen vor. Hierbei handelt es sich um unmittelbar geltendes Gesetzesrecht.

Adressaten der Regelungen

Adressaten der Regelungen sind Anbieter von sogenannten „Datenverarbeitungsdiensten“. Dieser Begriff ist weit zu verstehen. Erfasst wird eine beträchtliche Zahl von Diensten mit einer großen Bandbreite an unterschiedlichen Anwendungszwecken, Funktionen und technischen Strukturen. Hierunter fallen Dienste, die eines oder mehrere der folgenden Modelle anbieten: Infrastructure-as-a-Service“ (IaaS), „Platform-as-a-Service“ (PaaS) und „Software-as-a-Service“ (SaaS). Aber auch andere Varianten zählen dazu, wie z.B. „Storage-as-a-Service“ und „Database-as-a-Service“.

Verpflichtungen der Provider

Die Provider treffen weitreichende Verpflichtungen. So zwingt sie das Gesetz, in dem Vertrag mit dem Anwender bestimmte Vertragsklauseln zu dessen Schutz zu vereinbaren, z.B. die Regelung einer Wechselmöglichkeit auf Verlangen, die Verpflichtung zur Leistung angemessener Unterstützung oder auch Regelungen zu Wechselentgelten. Des Weiteren treffen den Anbieter u.a. Informationspflichten und die Verpflichtung, technische Vorkehrungen zur Ermöglichung eines Wechsels vorzunehmen. Für die Provider bedeutet dies, dass sie ihre Verträge entsprechend anpassen und die erforderlichen Prozesse und technischen/organisatorischen Maßnahmen treffen müssen.

Ausgenommene Datenverarbeitungsdienste

Von den weitreichenden Pflichten der Provider sind Datenverarbeitungsdienste ausgenommen, die für den Anwender „maßgeschneidert“ wurden und die nicht im größeren Maßstab über den Dienstleistungskatalog des Anbieters im Markt offeriert werden. Die Pflichten gelten auch nicht für Dienste, die nicht als Vollversion, sondern zu Test-und Bewertungszwecken und für einen begrenzten Zeitraum bereitgestellt werden.

Zeitliche Geltung der Bestimmungen

Die entsprechenden Bestimmungen des Data Act gelten ab dem 12. September 2025. Den Providern bleibt deshalb für die Umsetzung und die Anpassung der entsprechenden Verträge noch etwas Zeit. Es ist aber nicht unwahrscheinlich, dass die entsprechenden Regelungen des Data Act bereits zeitlich eine gewisse Vorwirkung entfalten: Viele Anwender werden vermutlich Wert darauf legen, dass die vom Data Act geforderten vertraglichen Regelungen bereits jetzt in Neuverträge aufgenommen werden.

SAP-Verträge: Seminar der DSAG-Academy mit Dr. Michael Karger

Dr. Michael Karger ist Referent des Seminars der DSAG-Academy „SAP-Verträge verstehen und gestalten: Rechtliche Grundlagen, wichtige Regelungen, Fallstricke“. Das Seminar findet am 14.03.2024 als Präsenztraining in Leimen statt.

Ziel des Seminars ist es, den Teilnehmenden einen Überblick zur Struktur der „SAP-Vertragswelt“ zu geben, sie mit den Grundzügen der unterschiedlichen Vertragswerke im On Premise-Kontext und für Cloud-Services vertraut zu machen und einzelne, besonders wichtige rechtliche Bestimmungen zu erläutern. Angesprochen werden auch die Themen S/4 HANA Conversion, RISE with SAP sowie die neuen KI-Bedingungen.

Das Seminar ist schon weitgehend ausgebucht. Es findet voraussichtlich ein weiterer Termin später im Jahr 2024 statt.

Dr. Thomas Stögmüller referiert zu gesetzlichen Mindestrechten des berechtigten Nutzers von Computerprogrammen

Rechtsanwalt Dr. Thomas Stögmüller, LL.M. (Berkeley), Partner bei TCI Rechtsanwälte, hält auf den Kölner Tagen IT-Recht 2024 am 8. März 2024 einen Vortrag zum Thema „Computerprogramme: Gesetzliche Mindestrechte des berechtigten Nutzers“. Er erörtert hierbei die für die rechtmäßige Nutzung von Computerprogrammen wesentlichen Fragen wie insbesondere, welche Nutzungen im Regelfall zur „bestimmungsgemäßen Benutzung“ gehören und welche Benutzungshandlungen vom sog. „zwingenden Kern“ des § 69d Abs. 1 UrhG abgedeckt sind. Dies ist vor allem bei der Frage einer zulässigen „indirekten“ Nutzung von Software sowie beim Outsourcing von erheblicher rechtlicher und wirtschaftlicher Bedeutung.

Weitere Informationen zu den „Kölner Tagen IT-Recht 2024“, deren Co-Tagungsleitung Rechtsanwalt Dr. Michael Karger, Partner bei TCI Rechtsanwälte inne hat, sind unter https://www.otto-schmidt.de/seminare/koelner-tage/koelner-tage-it-recht zu finden.  

Rechtsanwalt Dr. Thomas Stögmüller referiert zu aktuellen Entwicklungen unter der DSGVO

Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner bei TCI Rechtsanwälte München, gibt bei der Rechtsanwaltskammer München ein Update zur Datenschutz-Grundverordnung (DSGVO) und zeigt aktuelle Entwicklungen mit Schwerpunkt im Medienbereich auf. Ein Schwerpunkt des Referats sind jüngere Gerichtsentscheidungen zu Datenschutzhinweisen und der Datenübermittlung an ein Drittland sowie der neue EU-U.S. Data Privacy Framework.

Das Seminar findet am 28.02.2024 als Webinar statt und richtet sich an Rechtsanwältinnen und Rechtanwälte mit Schwerpunk im Medienrecht oder IT-Recht.