Cybersicherheit ist Chefsache und Cybersicherheit gehört auf die Mainstage.
Am 18.04.24 um 10:30 Uhr wird der Mainzer TCI Partner Stephan Schmidt daher in Ingelheim beim 3. Cyber-Sicherheitskongress des BVMW Mainz -Bingen auf der Mainstage über „Neue Regelungen im Cybersicherheitsrecht – Neue Anforderungen an Unternehmen und Geschäftsführung“ sprechen.
Zudem gibt es im Rahmen eines Kamingesprächs Gelegenheit ihm und anderen Experten Fragen zur NIS-2 Richtlinie, dem geplanten aber verzögerten deutschen Umsetzungsgesetz (NIS2UmsuCG), weiteren europäischen Rechtsakten zur Cybersicherheit und allen aktuellen Fragen des IT-Sicherheitsrechts zu stellen.
Anmeldung sind über die Kongressseite möglich.
Die WirtschaftsWoche hat erneut die Auszeichnung „Legal All Stars“ vergeben, bei der in jedem der 31 Rechtgebiete lediglich drei Anwältinnen oder Anwälte benannt werden. Im diesjährigen Ranking hat die WirtschaftsWoche unseren Mainzer Partner Stephan Schmidt als „Legal All Star 2023“ ausgezeichnet. In einem mehrstufigen Auswahlverfahren setzte er sich gegen die anderen Nominierten durch und erreichte den 1. Platz im Bereich IT-Recht.
Das Handelsblatt Research Institute (HRI) verschickte für die WirtschaftsWoche fast 26.000 Befragungen an Wirtschaftsanwält:innen. Die größte Gruppe stellen Anwält:innen für Gesellschafts- und Arbeitsrecht mit je mehr als 5600 Teilnehmenden, die kleinste Medizinrecht mit 511 Jurist:innen aus 333 Kanzleien. In die Riege der Legal All Stars schafften es insgesamt 92 Anwält:innen aus 63 Kanzleien. Zunächst wurden die Anwält:innen nach den renommiertesten Konkurrenten in ihrem Gebiet befragt, dann stimmte eine Jury aus Unternehmensjurist:innen, Professor:innen, Prozessfinanzierer:innen und Berater:innen ab, gewichtete und ergänzte.
Das komplette Ranking findet sich in Ausgabe 13 der Wirtschaftswoche vom 22.03.2024 und hier online.
Der Mainzer TCI Partner Stephan Schmidt hat gemeinsam mit Dr. Udo Krauthausen von der Kanzlei Cadenberg (Gesellschaftsrecht) die Gesellschafter der Fasihi GmbH beim Verkauf an die BASF Digital Solutions GmbH beraten.
Mit dem Abschluss der Transaktion wird im Laufe des ersten Quartals 2024 gerechnet.
Digitalisierungsspezialist Fasihi GmbH
Die Fasihi GmbH (Ludwigshafen) ist ein anerkannter Spezialist in der Informations- und Kommunikationstechnologie und bietet effiziente Lösungen zur Optimierung und Digitalisierung von Geschäftsprozessen. Sie stellt der BASF bereits seit über 30 Jahren Softwarelösungen zur Verfügung.
BASF Digital Solution GmbH erwirbt Fasihi GmbH
Die BASF Digital Solutions GmbH erwirbt mit der Fasihi GmbH und der von dieser entwickelten Software auf das Unternehmen zugeschnittene Lösungen, die bereits in vielen Bereichen der BASF im Einsatz sind.
BASF profitiert von der langjährigen Erfahrungen und Kenntnissen über die BASF-Organisation und deren spezifischen Prozessen. BASF plant, die Gesellschaft Fasihi als Tochtergesellschaft der BASF Digital Solutions GmbH weiterzuführen.
Begleitung durch TCI Rechtsanwälte Mainz
Rechtsanwalt Schmidt berät die Fasihi GmbH bereits seit mehr als 15 Jahren zu IT- und datenschutzrechtlichen Fragestellungen. In der Vergangenheit betreute und verhandelte er auch die Kooperations- und Lizenzverträge zwischen der Fasihi GmbH und BASF.
Der Gründer der Fasihi GmbH, Saeid Fasihi, der nach Abschluss der Transaktion in den Ruhestand wechseln wird, zur Zusammenarbeit mit RA Schmidt:
„Ich bedanke mich für die jahrelange, vertrauensvolle und kompetenten Beratung der Fasihi GmbH durch Rechtsanwalt Schmidt und sein Team. Rechtsanwalt Schmidt hat uns von Anfang stets gut beraten und mit Ihm haben wir unser Erfolgsprodukt, dass Fasihi Enterprise Portal, 2004 eingeführt. Mit seiner Beratung beim Verkauf an die BASF schließt sich nun dieser Kreis.“
Am 30. Januar 2024 veranstaltet die Fachzeitschrift connect professional einen Webinar-Thementag rund um das Thema NIS2-Richtlinie. Mit dabei ist unser Mainzer Partner Stephan Schmidt, der erläutern wird, was es bei der Umsetzung der NIS-2-Richtline – insbesondere mit Blick auf die Besonderheiten der deutschen Umsetzung – zu beachten gibt, warum die geplanten Regelungen zumindest teilweise eine Handlungsanweisung in Sachen Cybersicherheit sind und warum es wichtig ist, sich frühzeitig mit diesen zu befassen.
Alle Informationen und kostenfreie Anmeldung unter https://event.gotowebinar.com/event/4b11413b-ef3d-428f-abf6-499c6ed2442e.
Sie wollen den Überblick im Cybersicherheitsrecht behalten?
Dann greifen Sie doch zur Textsammlung Cybersicherheitsrecht unseres Mainzer Partners Stephan Schmidt. Diese ist jetzt in der Schriftenreihe des Compliance-Berater im renommierten Verlag Fachmedien Recht und Wirtschaft erschienen und im gut sortierten Fachhandel erhältlich.
Die Textsammlung ist als gedrucktes Buch sowie als E-Book erhältlich.
https://shop.ruw.de/Cybersicherheitsrecht-Textsammlung/978-3-8005-1893-7
Zum 01.11.2023 hat sich das Team von TCI Rechtsanwälte in Mainz mit Helena Golla und Martin Rätze verstärkt. Die Fachanwältin für gewerblichen Rechtsschutz und der Wirtschaftsjurist wechseln gemeinsam von der Kanzlei Wienke & Becker. TCI Rechtsanwälte bietet damit den Mandanten des auf Wirtschaftsrecht spezialisierten Teils der Kanzlei, die zum Ende des Jahres ihre Tätigkeit beendet, eine neue Anlaufstelle. Wienke & Becker Partner Rolf Becker wird TCI Rechtsanwälte in der Zukunft beratend zur Seite stehen. Hiermit möchte TCI Rechtsanwälten allen Mandanten weiterhin eine exzellente rechtliche Beratung und Unterstützung bieten.
Helena Golla berät überwiegend im Bereich des gewerblichen Rechtsschutzes (Wettbewerbsrecht, Werberecht, Urheberrecht, Markenrecht, IT-Recht etc.), Lebensmittelrecht und im E-Commerce. Sie hat in Köln und Madrid studiert und verfügt über einen Master of Laws – LL.M. im gewerblichen Rechtsschutz der Heinrich-Heine-Universität Düsseldorf. Seit Januar 2016 ist sie Fachanwältin für gewerblichen Rechtsschutz.
Martin Rätze studierte Deutsches und Europäisches Wirtschaftsrecht an der Universität Siegen einschließlich zweier Auslandssemester an der National & Kapodistrian University Athens, Griechenland, welches er 2008 als Diplom-Wirtschaftsjurist abschloss. Anschließend war er bis Juli 2018 bei der Trusted Shops GmbH tätig und beriet dort Online-Händler bei der Umsetzung der gesetzlichen Vorgaben. Er unterstützt überwiegend in der Beratung von Mandanten im E-Commerce- und Wettbewerbsrecht sowie im Datenschutzrecht. Er ist vom TÜV zertifizierter Datenschutzbeauftragter.
Gründungspartner Stephan Schmidt betont: „Mit Helena Golla und Martin Rätze gelingt uns ein Ausbau unseres Beratungsangebots insbesondere im Bereich gewerblicher Rechtsschutz, E-Commerce und Datenschutz. Beide ergänzen mit ihrer langjährigen Erfahrung hervorragend unser Team. Mit dieser Erweiterung bekräftigt TCI Rechtsanwälte sein Engagement, erstklassige rechtliche Dienstleistungen im Bereich IT-Recht und gewerblicher Rechtsschutz anzubieten und auf die steigende Nachfrage nach Expertise im E-Commerce-Recht und Datenschutzrecht zu reagieren.“
Stephan Schmidt erläutert in der Fachpublikation Kommunikation und Recht 11/2023 die neuen europäische Anforderungen im Cybersicherheitsrecht und gibt einen Überblick über die NIS2-Richtlinie.
(mehr …)
Das Landesarbeitsgericht Baden-Württemberg hatte kürzlich darüber zu entscheiden, ob einem Arbeitnehmer ein datenschutzrechtlicher Schadensersatzanspruch zusteht, wenn die Arbeitgeberin Foto- und Filmaufnahmen, auf denen der Arbeitnehmer zu sehen ist, nach dessen Ausscheiden aus dem Unternehmen zu Werbezwecken weiterverwendet.
Unzulässige Bildernutzung nach Vertragsende
Das Gericht entschied in diesem Fall, dass die Arbeitgeberin durch die unrechtmäßige Weiterverwendung der Foto- und Filmaufnahmen über das Arbeitsvertragsende hinaus, ein „das Persönlichkeitsrecht des Arbeitnehmers erheblich verletzendes Verhalten an den Tag gelegt habe“ und dem Arbeitnehmer daher ein Schadensersatzanspruch in Höhe von 10.000 € zustehe (LAG Baden-Württemberg, Urteil vom 27. Juli 2023, Az. 3 Sa 33/22).
Arbeitgeber stellen sich nun zu Recht die Frage, wie sie sich in einem solchen Fall vor möglichen Schadenersatzansprüchen ehemaliger Arbeitnehmer schützen können.
Rechtsgrundlage für die Nutzung von Mitarbeiterfotos
Um diese Frage beantworten zu können, ist zunächst zu beleuchten, auf welcher Rechtsgrundlage die Nutzung der Mitarbeiterfotos und -videos erfolgt. Denn bekanntlich handelt es sich bei Fotos und Videos, auf denen Personen erkennbar abgebildet sind, um personenbezogene Daten im Sinne der DSGVO. Daraus folgt, dass diese nur verarbeitet, also genutzt werden dürfen, wenn dies auf der Grundlage eines in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestandes erfolgt.
Als Erlaubnistatbestände kommen in der genannten Konstellation die Einwilligung (lit. a), eine vertragliche Vereinbarung (lit. b) oder das Vorliegen eines berechtigten Interesses (lit. f) in Betracht.
Einwilligung der Mitarbeiter
Geht man die einzelnen Erlaubnistatbestände durch, stellt man fest, dass sich bei der Einwilligung (lit. a) gleich zwei Probleme stellen. Zum einen bezüglich der Freiwilligkeit und zum anderen im Zusammenhang mit der Widerruflichkeit der Einwilligung.
Aufgrund des Abhängigkeitsverhältnisses des Arbeitnehmers vom Arbeitgeber kann dieser seine Einwilligung in der Regel nicht freiwillig erteilen. Selbst wenn er sie ausnahmsweise freiwillig erteilen könnte, führt das Recht, sie jederzeit frei widerrufen zu können, dazu, dass die Position des Arbeitgebers keineswegs gesichert ist.
Widerruft der Arbeitnehmer die einmal erteilte Einwilligung, kann sich der Arbeitgeber für die Zukunft nicht mehr auf diesen Erlaubnistatbestand berufen.
Konkret bedeutet dies: Hat der Arbeitnehmer während seines Arbeitsverhältnisses in die Verwendung von Foto- und Filmaufnahmen zu Werbezwecken eingewilligt, so gilt diese Einwilligung nur so lange, sie nicht widerrufen wird.
Berechtigte Interessen des Arbeitgebers?
Denkbar wäre nun, in einem solchen Fall den Auffangtatbestand (lit. f) heranzuziehen und ein berechtigtes Interesse des Arbeitgebers an der Weiterverwendung der Aufnahmen zu bejahen.
Allerdings wird es schwerlich möglich sein, die wirtschaftlichen Interessen des Arbeitgebers an der Weiterverwendung von Werbematerialien gegen das Persönlichkeitsrecht des Arbeitnehmers zu Gunsten des Arbeitgebers abzuwägen.
Allein der Umstand, dass der Arbeitnehmer z.B. inzwischen für einen Konkurrenten des Arbeitgebers tätig ist (so im Fall des LAG Baden-Württemberg), muss letztlich zum Überwiegen der Interessen des Arbeitnehmers führen.
Insgesamt ist Arbeitgebern eher davon abzuraten, sich in solchen Fällen auf ein berechtigtes Interesse zu berufen, da dieser Erlaubnistatbestand tatsächlich nicht geeignet ist, als Regel für eine Vielzahl von Fällen zu gelten. Vielmehr bedarf es stets einer Abwägung der widerstreitenden Interessen im Einzelfall.
Praxistipp: Vertragliche Vereinbarung
Zu raten ist Arbeitgebern daher, in solchen Fällen eine vertragliche Vereinbarung (lit. b) mit dem jeweiligen Arbeitnehmer über die Anfertigung und Nutzung von Foto- und Filmaufnahmen zu Werbezwecken zu treffen.
In dieser Vereinbarung kann sowohl die Verwendung der Aufnahmen als auch deren Nutzung über die Beendigung des Arbeitsverhältnisses hinaus DSGVO-konform geregelt werden. Zu beachten ist jedoch, dass die Vereinbarung für den Arbeitnehmer vorteilhaft sein muss.
Das heißt, sie darf sich nicht darauf beschränken, dem Arbeitgeber Nutzungsrechte an den Aufnahmen einzuräumen, ohne dass der Arbeitnehmer dafür eine angemessene Gegenleistung erhält. Denn ist dies der Fall, stellt sich im Grunde das gleiche Problem wie bei der Freiwilligkeit der Einwilligung, was die vertragliche Vereinbarung letztlich angreifbar machen würde.
Sie haben Fragen zu diesem Thema oder zu datenschutzrechtlichen Themen im Allgemeinen? Benötigen Sie Unterstützung bei der Umsetzung datenschutzrechtlicher Maßnahmen? Wir unterstützen Sie gern. Sprechen Sie uns an.
Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS-2-Richtlinie) umgesetzt haben. Mit der Umsetzung kommen neue umfangreiche Pflichten auf Unternehmen zu und es sind Unternehmen betroffen, die bisher von derartigen Anforderungen nicht betroffen waren.
(mehr …)
Die EU-Kommission hat am 10.07.2023 die auch als „Trans-Atlantic-Data-Privacy-Framework“ (TADPF) bezeichnete Adäquanzentscheidung für den sicheren Datenverkehr zwischen der EU und den USA verabschiedet. Nach „Safe Harbor“ und „Privacy Shield“ soll dieser dritte Anlauf nun auch die Anforderungen des EuGH erfüllen und transatlantische Datentransfers sind wieder relativ unbürokratisch möglich. Es ist aber davon auszugehen, dass auch dieses Abkommen wieder vor dem EuGH landen wird.
Das TADPF führt für US-amerikanische Datenempfänger neue verbindliche Sicherheitsvorkehrungen ein. Dazu gehören die Beschränkung des Zugangs zu Daten von EU-Bürgern durch US-Geheimdienste auf das Notwendige und Angemessene sowie die Einrichtung des Data Protection Review Court – DPRC, also einer Prüfungsinstanz, zu der Betroffene auch dann Zugang haben, wenn sie keine US-Bürger sind. Das DPRC kann bei Verstößen auch die Löschung der Daten anordnen.
Das TADPF soll regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll innerhalb eines Jahres nach Inkrafttreten des TADPF stattfinden.
Wie und wann wirkt das TADPF?
Das TADPF ist ein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO und gilt im Grunde ab sofort. Für Datenexport an US-amerikanische Empfänger sind daher keine zusätzlichen Legitimationsinstrumente, wie zum Beispiel Standard-Vertragsklauseln (SCC), mehr erforderlich, da die USA nun wieder als sicheres Drittland gelten. Allerdings müssen Unternehmen in den USA eine Selbstzertifizierung vornehmen und sich damit verpflichten, bestimmte Datenschutzverpflichtungen einzuhalten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es schon beim Vorgänger Privacy Shield und es wird sicher noch einige Tage dauern, bis die ersten Unternehmen zertifiziert sind. Der aktuelle Stand kann ab dem 17.07.2023 unter https://www.dataprivacyframework.gov/s/ eingesehen werden.
Es gilt hier also zunächst abzuwarten und bei Neuverträgen zu prüfen, ob der Datenempfänger bereits zertifiziert ist. Nur wenn dies der Fall ist, wirkt das TADPF.
Was passiert mit Verträgen, welche die SCC nutzen?
Bei bestehenden Verträgen sollte dann, wenn der Datenempfänger unter TADPF zertifiziert ist, geprüft werden ob eine Anpassung des Vertrages notwendig ist. Oft wird eine Anpassung gar nicht notwendig sein, weil die SCC nur nachrangig für den Fall gelten, dass ein Datenempfänger in einem Staat ohne Angemessenheitsbeschluss seinen Sitz hat. Wenn nun der Datenempfänger in den USA sitzt und eine TADPF Zertifizierung vorweisen kann, gelten bei dieser Konstellation die „normalen“ Regeln des Data Processing Agreements (DPA) und die SCC kommen schlicht nicht mehr zur Anwendung. Eine Anpassung des Vertrages ist dann nicht nötig.
Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich nicht einer Zertifizierung nach TADPF, bleibt es bei den bisherigen Regelungen, also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA). Die Nutzung solcher Anbieter wird aber nicht allein dadurch ausgeschlossen, dass keine Selbstzertifizierung erfolgt.
Weiterer Anpassungsbedarf durch das TADPF
Das TADPF bzw. die Nutzung von Datenempfängern, welche dem TADPF unterliegen und die damit verbundene Umstellung des Transferinstruments von SCC auf TADPF, macht unter Umständen Anpassungen an Datenschutzhinweisen (Art. 13, 14 DSGVO), in AV-Verträgen, bei Datenschutz-Folgenabschätzungen und im Verarbeitungsverzeichnis notwendig. Hier müssen die Verantwortlichen ihre Dokumentation auf entsprechenden Anpassungsbedarf prüfen.
