TCI berät zusammen mit MUTTER & KRUCHEN und WKGT die Aareon AG bei dem Erwerb des PropTech wohnungshelden GmbH

Die Transaktion: Die Aareon AG, Europas führendes Unternehmen für Immobiliensoftware und digitale Lösungen hat sämtliche Geschäftsanteile am PropTech wohnungshelden GmbH, München, erworben. Mit dieser Akquisition setzt die Aareon AG ihren Wachstumskurs fort und ergänzt mit der digitalen Lösung für die Wohnungsvermittlung ihr Produktportfolio in Deutschland.

Die Unternehmen: Die wohnungshelden GmbH mit Sitz in München wurde 2016 gegründet und ist auf die digitale Wohnungsvermittlung spezialisiert. Sie bietet eine Softwarelösung, durch deren Einsatz Wohnungsunternehmen ihren gesamten Vermietungsprozess digitalisieren können. Inzwischen setzen Unternehmen mit insgesamt mehr als 750.000 Wohneinheiten die Lösung von wohnungshelden ein. Die wohnungshelden GmbH wird ihre Wachstumsstrategie auch als Teil der Aareon Gruppe mit dem bestehenden Management und einem eigenständigen Marktauftritt fortsetzen.

Die Aareon Gruppe ist ein internationales Unternehmen mit Standorten in der DACH-Region, Finnland, Frankreich, Großbritannien, den Niederlanden, Norwegen und Schweden. Die Aareon Gruppe beschäftigt über 1.800 Mitarbeiter, davon mehr als ein Drittel in ihren internationalen Tochtergesellschaften. Im Jahr 2020 erzielte die Aareon Gruppe einen Umsatz von rund 258 Mio. EUR und ein Adjusted EBITDA von 62 Mio. EUR.

„Als führender Technologieanbieter für die europäische Immobilienwirtschaft ist es unser Anliegen, unsere Kunden bei ihrem digitalen Transformationsprozess zu unterstützen und ihnen dabei zu helfen, ihre Geschäftsprozesse optimal zu managen. Mit der digitalen Lösung von wohnungshelden bauen wir unser Angebotsportfolio rund um den digitalen Vermietungsprozess weiter aus.“ sagt Dr. Manfred Alflen, Vorstandsvorsitzender der Aareon AG.

TCI-Partner Stephan Schmidt hat gemeinsam mit Joscha Falkenhagen ihm Rahmen der Transaktion die Due Diligence in den Bereichen IT, IP, Datenschutz und Commercial durchgeführt und beim Kaufvertrag beraten und verhandelt.

Daneben haben MUTTER & KRUCHEN (Corporate/M&A) sowie Warth & Klein Grant Thornton AG (Steuern/Finanzen) die Transaktion für die Aareon AG beraten.

1.000 EUR Schadensersatz gemäß Art. 82 DSGVO aufgrund unterlassener Auskunft über personenbezogene Daten des Arbeitnehmers

A. Entscheidung des Gerichts

Das LAG Hamm verpflichtete einen Arbeitgeber gemäß Art. 82 DSGVO Schadensersatz in Höhe von 1.000 EUR an eine Arbeitnehmerin zu zahlen, da sie einen immateriellen Schaden erlitten habe, weil der Arbeitgeber Ihrem Auskunftsverlangen nicht nachgekommen wurde. Die fehlende Kontrolle über die Daten stelle einen Schaden dar.

Der Entscheidung des LAG Hamm liegt ein Rechtsstreit einer Arbeitnehmerin mit Ihrem ehemaligen Arbeitgeber zugrunde. Die Klägerin machte im Wege einer Stufenklage zunächst einen Auskunftsanspruch über die geleistete Arbeitszeit geltend, um später einen Anspruch auf Auszahlung von zu vergütenden Überstunden geltend machen zu können. Zugleich machte sie außergerichtlich einen Auskunftsanspruch gemäß Art. 15 DSGVO, über sämtliche gespeicherten Daten, insbesondere über geleistete Arbeitszeit geltend.

Nachdem der Arbeitgeber sechs Monate lang keine Auskunft über die geleisteten Arbeitszeiten erteilte, erweiterte die Klägerin in erster Instanz ihre Klage auf Schadensersatzansprüche gemäß Art. 82 DSGVO, da die unterlassene Auskunftserteilung zugleich ein Unterlassen der Auskunftserteilung personenbezogener Daten darstelle. Hierdurch sei ihr ein immaterieller Schaden entstanden.

Das LAG Hamm gab der Klage, als Berufungsinstanz, teilweise statt.

Es bejahte grundsätzlich die Möglichkeit der Geltendmachung von Schadensersatz. Auch die durch einen Arbeitgeber erfassten Arbeitszeiten der Arbeitnehmer stellten personenbezogene Daten dar, die durch den Arbeitgeber verarbeitet würden. Zur Verarbeitung gehöre nach Art. 4 Ziff. 2 DSGVO insbesondere das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung und die Verwendung der Daten. Der Arbeitgeber verarbeite zwangsläufig personenbezogene Daten der Arbeitnehmer, wie das Bestehen und die Dauer einer Arbeitsfähigkeit, die Gewährung von Urlaubsansprüchen oder auch über Leistungs- und Verhaltensdaten. Daher bestünde gemäß Art. 15 DSGVO ein Anspruch auf Erteilung einer Auskunft über diese Daten.

Das Gericht stellte fest, dass auch ein zwischen den Parteien bestehendes Arbeitsverhältnis die Geltendmachung dieses Auskunftsanspruches nicht ausschließe. Der Auskunftsanspruch sei ein Grundrecht nach Art. 8 Abs. 2 GRCh, Art. 6 Abs. 1 EUV und gehöre zur „Magna Charta“ der Betroffenenrechte (Lemke, der Datenschutzrechtliche Auskunftsanspruch im Arbeitsverhältnis, NJW 2020, 1841ff).

Der Begriff des Schadens im Sinne von Art. 82 DSGVO sei in der DSGVO nicht hinreichend genug definiert, um den vorliegenden Sachverhalt in der notwendigen Art und Weise beurteilen zu können. Auch die Auslegung des Schadensbegriffes in der Rechtsprechung des EuGHs sei noch nicht geklärt worden. Die Literatur spreche sich für ein weites Verständnis des Schadensbegriffs aus. Die Details und der genaue Umfang des Anspruchs seien jedoch unklar.

Da der DSGVO nicht entnommen werden könne, dass ein Schadensersatzanspruch nur im Falle eines qualifizierten Verstoßes geltend gemacht werden könne, gebe es keine Anhaltspunkte für die Annahme einer Erheblichkeitsschwelle. Um den Zielen der Verordnung zu entsprechen, müsse man den Begriff des immateriellen Schadens der DSGVO so auslegen, dass dieser nicht nur in einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von (dem Berufsgeheimnis unterliegenden) Daten, der unbefugten Aufhebung der Pseudonymisierung, oder anderen wirtschaftlichen oder gesellschaftlichen Nachteilen liegen könne. Vielmehr stelle es auch schon einen immateriellen Schaden dar, daran gehindert zu werden, die eigenen personenbezogenen Daten zu kontrollieren.

Eine Kontrolle der personenbezogenen Daten habe die Klägerin im vorliegenden Falle nicht gehabt, da die Arbeitgeberin keine Auskunft darüber erteilt habe, „ob“ sie überhaupt personenbezogene Daten verarbeitet habe, welche Kategorien die Verarbeitung betreffe, ob die Daten formalisiert verarbeitet wurden, ob die Daten an Dritte weitergereicht wurden und wie lange diese nach Beendigung des Arbeitsverhältnisses weiter gespeichert würden.

Für das Bestehen eines Anspruchs auf immateriellen Schadensersatz sei eine Schwere der Beeinträchtigung nicht erforderlich. Diese könne jedoch bei der Höhe des Anspruchs berücksichtigt werden. Auch die individuelle Schwere der Beeinträchtigung sei bei der Höhe des Schadenersatzanspruches mit zu berücksichtigen.

Bei der Ermittlung der angemessenen Schadensersatzhöhe habe das Gericht berücksichtigt, wie lange die Beklagte dem Auskunftsanspruch nicht nachkam und wie konsequent die Klägerin den Anspruch verfolgt habe.

Im vorliegenden Fall sei zwar eine Zeitspanne von sechs Monaten vergangen, ohne dass dem Auskunftsanspruch nachgekommen worden sei, die Klägerin habe gerichtlich jedoch nur den Anspruch auf Schadensersatz geltend gemacht und den Anspruch auf Erteilung der Auskunft nicht vollumfänglich weiterverfolgt. Vielmehr habe sie den Anspruch für erledigt erklärt, nachdem sie Informationen über ihre geleisteten Überstunden hatte. Dies zeige, dass der Umstand, dass sie keine Kontrolle über ihre personenbezogene Daten habe, sie nicht besonders belaste und die Nachhaltigkeit des Auskunftsverlangens zweifelhaft sei. Insgesamt erachtete das Gericht deshalb nur einen Schadensersatz in Höhe von 1.000 EUR für angemessen.

Inwieweit die Höhe der Finanzkraft bei der Höhe des Schadensersatzanspruches zu berücksichtigen sei, könne im vorliegenden Fall dahinstehen, da von keiner der Parteien Angaben hierzu getätigt wurden.

B. Stellungnahme

Unter Berücksichtigung der Ziele der DSGVO, den aus einer Verarbeitung von personenbezogenen Daten entstehenden Risiken möglichst umfassend zu begegnen und die Möglichkeiten des Rechtsschutzes so effizient wie möglich zu gestalten, erscheint die vorliegende Entscheidung konsequent.

Verantwortliche im Sinne der DSGVO sind durch diese Auslegung dazu gehalten, Auskunftsansprüchen tatsächlich zu entsprechen, da sie andernfalls befürchten müssen, auf Schadensersatz in Anspruch genommen zu werden. Das Urteil stellt insofern zugleich auch eine Stärkung der Arbeitnehmerrechte dar. Das LAG stellt klar, dass auch Arbeitnehmer diese Auskunft geltend machen können. Nicht nur im Zusammenhang mit der Geltendmachung von Überstunden, sondern auch zur reinen Schaffung eines Überblicks über verarbeitete Daten, kann der Anspruch auf Auskunft geltend gemacht werden.

Zugleich verkennt das Gericht jedoch nicht, dass nicht jeder missachtete Anspruch auf Auskunft eine schwerwiegende Beeinträchtigung darstellt und das Weiterverfolgen der Auskunftsansprüche ein Indiz dafür darstellt, ob es den Betroffenen tatsächlich auf die Erlangung der Kontrolle über die eigenen personenbezogenen Daten ankommt. Durch die Berücksichtigung der Schwere der Beeinträchtigung bei der Schadenshöhe, verhindert das LAG trotz des Gewährens von immateriellem Schadensersatz eine Klagewelle aufgrund von Bagatellen.  

EuGH erleichtert Vorgehen von Datenschutzbehörden gegen Konzerne

In einem Urteil vom 15. Juni 2021 (Az. C-645/19 – Facebook) hat der EuGH einige wichtige Weichenstellungen für das Vorgehen von Datenschutzbehörden gegen Konzerne vorgenommen.

Sachverhalt

Der Entscheidung lag ein Fall zu Grunde, in dem die belgische Datenschutzbehörde wegen Verarbeitung personenbezogener Daten von Internetnutzern in Belgien mittels Cookies, Social Plugins und Pixeln gegen die Facebook Inc., die Facebook Ireland Ltd. sowie die in Belgien ansässige Facebook Belgium BVBA eine gerichtliche Unterlassungsklage erhoben hatte. Die Klage war in erster Instanz erfolgreich. Facebook hatte vorgetragen, dass die Facebook Ireland Ltd. die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet habe. Die Niederlassung in Belgien sei, so Facebook, in erster Linie gegründet worden, um Beziehungen zu den Organen der Union zu unterhalten, und nur in zweiter Linie, um an in Belgien ansässige Personen gerichtete Werbe- und Marketingmaßnahmen des Konzerns zu fördern. Das Berufungsgericht erklärte sich allerdings für unzuständig, soweit die Klage gegen die Facebook Inc. und die Facebook Ireland Ltd. gerichtet war.

Hintergrund

Aus steuerlichen Gründen haben viele global agierende Unternehmen wie Facebook, Google oder Amazon ihre Europazentrale in bestimmten EU-Ländern wie Irland oder Luxemburg. Dort werden zumeist auch die personenbezogenen Daten der Nutzer verarbeitet. Im Juli 2021 haben sich allerdings die Finanzminister der G20-Staaten auf eine globale Steuerreform mit 15% Mindeststeuern für große Unternehmen geeinigt, um den Wettbewerb dieser Steueroasen um Investitionen und Schaffung von Arbeitsplätzen mittels steuerlicher Anreize zu beenden. Daher wird sich künftig die Frage stellen, nach welchen Kriterien solche Unternehmen dann den Sitz ihrer Europazentrale auswählen werden. Vielleicht danach, in welchem Land die Datenschutzbehörde am wenigsten streng ist, wenn diese Unternehmen in großem Umfang personenbezogene Daten verarbeiten? Wohl kaum, denn der EuGH hat dem Forum Shopping in Bezug auf Datenschutzbehörden nunmehr einen Riegel vorgeschoben.

Rechtlicher Rahmen gemäß DSGVO

Art. 56 DSGVO sieht vor, dass die Aufsichtsbehörde, in deren geografischem Zuständigkeitsbereich ein Verantwortlicher für Datenverarbeitung seine Hauptniederlassung oder seine einzige Niederlassung hat, als federführende Aufsichtsbehörde für die grenzüberschreitende Datenverarbeitung des Verantwortlichen zuständig ist. Die Zusammenarbeit der Datenschutzbehörden bei grenzüberschreitender Datenverarbeitung ist in den Artikeln 60 ff. DSGVO geregelt.

Nicht federführende Behörde darf selbst tätig werden

Der EuGH entschied, dass die nicht federführende Aufsichtsbehörde (hier: die belgische Aufsichtsbehörde) selbst tätig werden kann, wenn die federführende Aufsichtsbehörde (hier: die irische Aufsichtsbehörde) entschieden hat, sich mit dem Fall nicht selbst zu befassen. Weiter führte der EuGH aus, dass eine Klage der tätigkeitsbefugten nicht federführenden Aufsichtsbehörde (der belgischen Aufsichtsbehörde) nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche, gegen den die Klage erhoben wird, im Hoheitsgebiet der nicht federführenden Behörde eine Hauptniederlassung oder eine andere Niederlassung hat. Es kommt lediglich darauf an, ob der Verantwortliche eine Niederlassung (irgendwo) im Unionsgebiet hat. Die Klage der belgischen Aufsichtsbehörde gegen die Facebook Belgium BVBA setzt also nicht voraus, dass die Facebook Ireland Ltd. als für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortlicher in Belgien eine Hauptniederlassung oder eine andere Niederlassung hat.

Untrennbare Verbindung mit der Datenverarbeitung durch andere Konzerngesellschaft

Das Kernargument des EuGH lautet wie folgt: Die Tätigkeit der Facebook Belgium BVBA sei untrennbar mit der Datenverarbeitung durch die Facebook Ireland Ltd. verbunden, und deshalb erfolge die Datenverarbeitung durch die Facebook Ireland Ltd. (auch) „im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen“ im Sinne von Art. 3 Abs. 1 DSGVO. Die Datenverarbeitung durch die Facebook Ireland Ltd. erfolgt also auch durch die Facebook Belgium BVBA und damit auch auf belgischem Boden. Deshalb, so der EuGH, kann eine Aufsichtsbehörde, die nicht die federführende Behörde ist, ihre Klage sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet – was hier indes nicht der Fall war –, als auch gegenüber einer anderen Niederlassung des Verantwortlichen erheben, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt.

Demnach durfte die belgische Aufsichtsbehörde ihre Klage also gegen die Facebook Belgium BVBA erheben, obwohl Facebook vorgetragen hatte, dass für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Unionsgebiet ausschließlich die Facebook Ireland Ltd. verantwortlich sei. Jede Konzerngesellschaft, deren Tätigkeit mit der Datenverarbeitung durch eine andere Konzerngesellschaft „untrennbar verbunden“ ist, kann für Verstöße gegen die DSGVO in Anspruch genommen werden.

Fazit: Keine Berufung auf interne Konzernstrukturen

Damit hat der EuGH dem Versuch, sich durch Verweis auf interne Konzernstrukturen einem Verfahren wegen Verletzung von Datenschutzrecht zu entziehen, eine Absage erteilt.

Schutz von Geschäftsgeheimnissen – Was sind „angemessene Geheimhaltungsmaßnahmen“?

In Deutschland gilt seit 2019 das Geschäftsgeheimnisgesetz (GeschGehG), das in Umsetzung der EU-Geschäftsgeheimnisrichtlinie geschaffen wurde und die bis dahin geltenden §§ 17-19 UWG ablöste. Dieses Gesetz brachte einige Neuerungen mit sich, zu denen erste gerichtliche Entscheidungen vorliegen.

I.       Gesetzliche Regelung des Geschäftsgeheimnisses

Ein Geschäftsgeheimnis ist nach § 2 Nr. 1 GeschGehG eine Information,

a)      die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert ist und

b)     die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und

c)      bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Zu den Geschäftsgeheimnissen zählen beispielsweise Konstruktionspläne, Algorithmen, Prototypen oder Rezepturen sowie geschäftliche Informationen wie Know-how Dokumentationen, Kundenlisten, Businesspläne oder Werbestrategien.

Bei den „angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“ handelt es sich um eine Obliegenheit. Wird ihr der Inhaber der Information nicht gerecht, verliert er den Geheimnisschutz. Zwar wurde auch in der Vergangenheit ein Geheimhaltungswille verlangt, er wurde aber vermutet und musste nicht durch konkrete Geheimhaltungsmaßnahmen dokumentiert und im Streitfall nachgewiesen werden.

II.     Unterlassungsklage gegen einen Wettbewerber

In einem ersten Fall zum Geschäftsgeheimnisgesetz, der inzwischen dem BGH zur Entscheidung vorliegt, hatte das OLG Hamm (Urteil vom 15.09.2020 – 4 U 177/19) darüber zu befinden, ob der Inhaber eines Geschäftsgeheimnisses – ein international führender Anbieter einer Vielzahl von Bahnbaumaschinen – ausreichende Sicherheitsvorkehrungen zum Schutz seiner Geschäftsgeheimnisse getroffen hatte. Das OLG Hamm sah die Voraussetzungen des § 6 GeschGehG, wonach der Inhaber eines Geschäftsgeheimnisses den Rechtsverletzer bei Wiederholungsgefahr auf Unterlassung in Anspruch nehmen kann, als nicht erfüllt an und wies die Unterlassungsklage des Unternehmens gegen einen Konkurrenten, dem ehemalige Angestellte des Unternehmens Konstruktionspläne überlassen hatten, ab.

III.    Was sind „angemessene Geheimhaltungsmaßnahmen“?

Das OLG Hamm stellte zunächst fest, dass offenbleiben könne, ob es sich bei den Zeichnungen überhaupt um ein Geschäftsgeheimnis handelt, denn es verneinte bereits die Frage, ob angemessene Geheimhaltungsmaßnahmen getroffen worden waren.

Das Gericht führt aus, dass es sich bei der „Angemessenheit“ um ein flexibles und offenes Tatbestandsmerkmal handle und die Verhältnismäßigkeit gegeben sein müsse. Dabei setze die Angemessenheit keinen „optimalen Schutz“ voraus, weil andernfalls der Geheimnisbegriff zu stark eingeschränkt würde. Somit müssen einerseits nicht die nach den Umständen bestmöglichen und sichersten Maßnahmen ergriffen werden, andererseits könne es aber auch nicht genügen, dass ein Unternehmer nur ein Minimum an Schutzvorkehrungen ergreife.

Die Angemessenheit bestimme sich nach den konkreten Umständen des Einzelfalls. Für die rechtliche Bewertung sei auf die Sichtweise eines objektiven und verständigen Betrachters aus denjenigen (Fach-)Kreisen abzustellen, die üblicherweise mit dieser Art von Information umgehen. Um die Angemessenheit zu bestimmen, seien insbesondere folgende Wertungskriterien zu berücksichtigen:

  • Art und wirtschaftlicher Wert des Geschäftsgeheimnisses
  • Kosten für die Geheimhaltungsmaßnahmen
  • Grad des Wettbewerbsvorteils durch die Geheimhaltung
  • Schwierigkeiten der Geheimhaltung
  • konkrete Gefährdungslage
  • Unternehmensgröße und Leistungsfähigkeit des Unternehmens
  • Wirtschaftsbranche und dort branchenübliche Sicherheitsmaßnahmen.

Der Art und dem wirtschaftlichen Wert des Geheimnisses komme dabei eine besondere Bedeutung zu. Die Kosten für die Geheimhaltungsmaßnahmen müssen in einem vernünftigen Verhältnis zum Wert des Geschäftsgeheimnisses stehen, wobei sich kein festes Kosten-Wert-Verhältnis angeben lasse. Dabei sei die Schwelle der Unangemessenheit jedenfalls dann überschritten, wenn die Kosten für die Schutzmaßnahmen den Wert des Geschäftsgeheimnisses übersteigen würden. In Bezug auf die Unternehmensgröße und die Leistungsfähigkeit eines Unternehmens lasse sich festhalten, dass von einem weltweit tätigen Unternehmen größere und finanziell aufwändigere Sicherheitsvorkehrungen erwartet werden können als von einem Handwerksbetrieb mit wenigen Angestellten.

IV.    Bereits umgangene Sicherungsvorkehrungen sind nicht mehr „angemessen“

Das Gericht führt aus, dass Sicherungsvorkehrungen den Anforderungen nicht genügen, wenn sie – wie im vorliegenden Fall – bereits mehrfach umgangen worden sind, ohne dass das Unternehmen darauf angemessen reagiert hätte. In Anbetracht der Bedeutung des Geschäftsgeheimnisses sei es zwingend erforderlich, jedem Hinweis auf eine Umgehung sorgfältig nachzugehen und das Sicherheitskonzept zeitnah anzupassen oder Sanktionen zu ergreifen.

Zwar habe das Unternehmen umfassende Sicherungsmaßnahmen (EDV-Sicherheitsrichtlinie, reglementierter Zugriff zum sog. PZA und Geheimhaltungsvereinbarungen mit Lizenznehmern) getroffen und diese auch nachgewiesen. Allerdings seien diese bereits in der Vergangenheit mehrfach umgangen worden, ohne dass trotz deutlicher Anhaltspunkte dafür eine angemessene Reaktion des Unternehmens erfolgt sei. Dies belege, dass die Sicherungsmaßnahmen gerade nicht angemessen gewesen seien.

V.     Fazit und Empfehlung für Unternehmen

Aus der neuen Gesetzeslage erwächst für Unternehmer die Pflicht, ein angemessenes Management der Geschäftsgeheimnisse zu entwickeln, mit dem sensible Informationen identifiziert, bewertet und technisch, organisatorisch sowie rechtlich ausreichend geschützt werden. Unternehmen, die bereits Maßnahmen nach der Datenschutzgrundverordnung umgesetzt haben, dürften einen Vorsprung haben. Dennoch bleibt im Einzelfall zu prüfen, ob je nach Geschäftsgeheimnis „angemessene Maßnahmen“ zum Schutz vorliegen.

Wichtig ist eine regelmäßige Bestandsaufnahme und gegebenenfalls Nachjustierung: Wo im Unternehmen gibt es welche Arten von Geschäftsgeheimnissen und wer hat damit welchen Umgang? Im Anschluss ist zu prüfen, wie diese angemessen geschützt bzw. im Fall einer bereits erfolgten Umgehung besser geschützt werden können. Unternehmen sind gut beraten, in den nachfolgenden Schritten vorzugehen:

  • Bestandsaufnahme und Ermittlung der zu schützenden Informationen
  • Kategorisierung nach Schutzwürdigkeit in einem Geheimnisschutzkonzept
  • Überprüfung bestehender Schutzvorkehrungen
  • Festlegung angemessener Schutzmaßnahmen und Dokumentation
  • Verfolgung von Hinweisen auf Umgehung und Anpassung bzw. Sanktion bei Verstößen

Im Ergebnis greift dann ein wesentlich besserer Geheimnisschutz als nach altem Recht. Neben Schadenersatz, Unterlassung und Auskunft können nun insbesondere auch Ansprüche auf Vernichtung, Herausgabe sowie Rückruf durchgesetzt werden.

TCI feiert 10-jähriges Jubiläum und setzt Erfolgskurs fort

Mit der Gründung im Juli 2011 entstand der Boutique-Kanzleiverbund TCI an den Standorten Berlin, Mainz und München.

TCI hat den Branchenfokus in den Bereichen „Technology“, „Communication“, „Information“, auf denen die Kurzbezeichnung und Marke „TCI“ beruht. Die rechtlichen Beratungsschwerpunkte liegen im technologiebezogenen Vertragsrecht und der Prozessführung einschließlich Schiedsverfahren, im IT-Recht, im Telekommunikationsrecht, im Vergabe- und Kartellrecht, im Franchise- und Vertriebsrecht, Arbeitsrecht, Urheberrecht sowie gewerblichen Rechtsschutz. Mit jeweils mehreren Jahren Berufserfahrung, welche die Gründungspartnerinnen und -partner von TCI zuvor in anderen spezialisierten Wirtschaftskanzleien und namhaften Großkanzleien gesammelt hatten, wollten sie ihre Vision einer Boutique-Kanzlei verwirklichen, in der namhafte, im Markt bekannte Anwaltspersönlichkeiten auf der Grundlage einer demokratischen Innenstruktur mit flacher Hierarchie zusammenarbeiten. Dieses Erfolgsrezept hat sich vollumfänglich bewährt.

Truiken Heydn TCI Gründungspartnerin hierzu: „Wir bedanken uns bei unseren Mandanten und den vielen Kollegen, die uns immer wieder empfehlen, für das entgegengebrachte Vertrauen. Wir freuen uns, dass sich der Ansatz einer Boutique-Kanzlei in den 10 Jahren bewährt hat und wir werden ihn konsequent weiterverfolgen. Dies erlaubt uns, uns auf Kerngebiete zu konzentrieren und unseren Mandanten den bestmöglichen Service zu bieten. Rechtsbereiche, die wir selbst nicht bearbeiten, decken wir durch Kooperationen mit anderen Kanzleien ab. Dies ermöglicht uns, den Mandanten über unsere Fokussierung hinaus zu unterstützen und eröffnet viele weitere Vorteile einer Zusammenarbeit mit anderen Kanzleien. Ein Beispiel hierfür sind unsere Kooperationen im M&A-Umfeld.“

Mittlerweile ist das Experten-Team des Kanzleiverbunds auf 14 Partnerinnen und Partner sowie 3 Associates gewachsen. TCI und ihre Anwälte konnten sich in der Kanzleigeschichte zahlreiche nationale und internationale Auszeichnungen (z.B. Best Lawyers, FOCUS, Who’s Who Legal) sichern. Daneben haben sie sich einen Namen als Fachautoren, Lehrbeauftragte und Referenten gemacht.

Neuerscheinung „Mein Franchise-System“ mit Gastbeitrag von Ruth Dünisch

Mit „Mein Franchise-System – Gründung, Entwicklung, Expansion“ ist diesen Monat ein neues Buch für angehende Franchise-Geber und Franchise-Manager erschienen, das kompaktes Praxiswissen und zahlreiche Tipps zum Aufbau und Lebenszyklus eines Franchise-Systems enthält. Die Autoren, die österreichische Rechtsanwältin, Dr. Nina Ollinger, und ihr Mann und Unternehmensberater, Dr. Thomas Ollinger, haben ihre langjährigen Erfahrungen in diesem Bereich auf anschauliche Weise zusammengetragen. In einem Gastbeitrag unserer Partnerin Ruth Dünisch werden die Aspekte und Besonderheiten des deutschen Marktes und des deutschen Rechts beleuchtet.

Das Buch will Franchise-Interessierten einen Überblick über die rechtlichen und wirtschaftlichen Rahmenbedingungen von der Planung eines Franchise-Systems über die Gründung, Entwicklung bis hin zur Expansion vermitteln. Franchising als Vertriebssystem mit selbständigen Partnern stellt besondere Anforderungen an Unternehmer, deren Ziel es ist, mit dieser komplexen Vertriebsform eine konsequente Expansionsstrategie zu verfolgen.

Das 214-seitige Buch (ISBN 978-3-7083-I368-9) ist im Neuen Wissenschaftlichen Verlag, Wien, erschienen und kann über gabriela.atlas@medien-logistik.at bezogen werden.

Neue EU-Standardvertragsklauseln für den internationalen Datentransfer

Die Europäische Kommission hat am 4. Juni 2021 neue Standardvertragsklauseln für den internationalen Datentransfer beschlossen. Dabei hat sie die neuen Anforderungen der Datenschutz-Grundverordnung (DSGVO) sowie die Vorgaben aus dem „Schrems-II“-Urteils des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 berücksichtigt.

Der EuGH erklärte mit seinem Urteil vom 16. Juli 2020 den „Privacy Shield“-Beschluss für ungültig, auf dessen Grundlage personenbezogene Daten in die USA übermittelt werden konnten. Er äußerte sich darüber hinaus auch zu den bisherigen Standardvertragsklauseln, welche für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU genutzt werden können, und hielt diese zwar für grundsätzlich geeignet. Diese grundsätzliche Geeignetheit wird vom EuGH allerdings dadurch eingeschränkt, dass die Parteien auch bei vereinbarten Standardvertragsklauseln sicherstellen müssen, dass wirksame Durchsetzungsmöglichkeiten für Betroffenenrechte bestehen, und ggf. zusätzliche technische, vertragliche und organisatorischen Maßnahmen vereinbart werden müssen. Wir hatten die Entscheidung des EuGH untersucht und erste Handlungsempfehlungen gegeben: https://www.tcilaw.de/eugh-erklaert-mit-urteil-in-sachen-schrems-ii-den-privacy-shield-beschluss-fuer-unwirksam/

Mit den neuen Standardvertragsklauseln stellt die EU-Kommission anstelle separater Klauseln ein übergreifendes Instrumentarium zur Verfügung, das eine breite Palette von Transferszenarien abdeckt. Sie sollen ein praktisches Werkzeug für die Einhaltung des „Schrems II“-Urteils darstellen, samt einer Übersicht der verschiedenen Maßnahmen, die Unternehmen ergreifen müssen, um diesem Urteil nachzukommen, sowie Beispiele möglicher „zusätzlicher Maßnahmen“ wie Verschlüsselung, die Unternehmen erforderlichenfalls ergreifen können. Zudem bieten sie aufgrund eines modularen Ansatzes mehr Flexibilität bei komplexen Verarbeitungsketten, sowie die Möglichkeit, dass die Klauseln auch mehr als zwei Parteien nutzen können.

Die neuen Standardvertragsklauseln treten am 27. Juni 2021 in Kraft und drei Monate später, nämlich zum 27. September 2021 werden die bisherigen Standardvertragsklauseln aufgehoben, sodass ab diesem Datum nur noch die neuen Standardvertragsklauseln verwendet werden dürfen. Für Verträge, die vor dem 27. September 2021 auf Grundlage der bisherigen Standardvertragsklauseln geschlossen wurden, besteht ein Übergangszeitraum von 15 Monaten.

Zwar bieten die neuen Standardvertragsklauseln den Vorteil, verschiedene Szenarien des Datentransfers in Drittländer besser abbilden zu können und die Anforderungen des „Schrems II“-Urteils umzusetzen. Jedoch ist ihre Anwendung und Umsetzung deutlich komplexer als bisher.

Handelsblatt/Best Lawyers zeichnet 9 TCI Anwälte/-innen aus; Dr. Michael Karger „Lawyer of the Year“ für Information Technology Law (Bayern)

Das Handelsblatt hat in seiner Ausgabe vom 25.06.2021 das aktuelle Ranking des US-Fachverlags Best Lawyers zu den besten Anwälten in Deutschland veröffentlicht.

Der Münchener Partner Dr. Michael Karger wird als „Lawyer of the Year“ für IT-Recht / Information Technology Law (Region Bayern) empfohlen. Deutschlandweit erhielten insgesamt nur sechs Anwältinnen/Anwälte diese Auszeichnung. Grund ist ihre aktuell herausragende Stellung im Markt.

Außerdem wurden insgesamt 9 Partnerinnen und Partner von TCI in die Liste der „Besten Anwälte des Jahres 2021“ für folgende Rechtsgebiete aufgenommen:

Die meisten der genannten Anwältinnen und Anwälte werden im Ranking von Best Lawyers bereits seit Jahren gelistet. Neu hinzugekommen ist seit diesem Jahr der Berliner Partner Carsten Gerlach für den Bereich IT-Recht.

Mit der Empfehlung „Lawyer of the Year“ wurden in den letzten Jahren bereits folgende Partner/-innen ausgezeichnet:

  • 2022: Dr. Michael Karger – Information Technology Law (Bayern)
  • 2018: Dr. Truiken J. Heydn – International Arbitration (Bayern)
  • 2014-2015: Stephan Schmitt – Information Technology Law (Frankfurt am Main)
  • 2013: Dr. Truiken J. Heydn – Litigation (München)
  • 2012: Andreas Stadler – Information Technology Law (München)

Der US-Verlag Best Lawyers ermittelt exklusiv für das Handelsblatt die renommiertesten Rechtsberater in Deutschland. In einem Peer-to-Peer-Verfahren werden Wirtschaftsanwälte gefragt, welche Wettbewerber sie besonders empfehlen können. Die Auszeichnungen durch Handelsblatt/Best Lawyers reflektieren die hohe Reputation und Visibilität von TCI im Rechtsmarkt.

EuGH-Urteil: Keine öffentliche Wiedergabe der urheberrechtlich geschützten Inhalte durch den Betreiber einer Internetplattform, bei rechtswidrigem Hochladen durch Nutzer

– Lediglich bei einem Beitragen des Betreibers, über das Bereitstellen hinaus, erfolgt eine öffentliche Wiedergabe.

Der Gerichtshof der Europäischen Union hatte über mehrere, durch den Bundesgerichtshof (Deutschland) vorgelegte, Fragen zu entscheiden. Diese beziehen sich auf zwei Klagen gegen YouTube wegen rechtswidrig hochgeladener Inhalte.

A. Entscheidung des Gerichts

Der Gerichtshof hatte darüber zu entscheiden, inwieweit die Betreiber von Internetplattformen hafteten, wenn urheberrechtlich geschützte Werke von Nutzern rechtswidriger Weise auf die entsprechende Plattform hochgeladen wurden. Eine Beurteilung der aktuellen Rechtslage gemäß der Richtlinie 2019/790 fand noch nicht statt, vielmehr waren die Auslegung der Richtlinien 200/31 und 2004/48 für die Entscheidung relevant.

Nichtsdestotrotz stellte der die große Kammer des Gerichtshofs fest, dass „beim gegenwärtigen Stand des Unionsrechts“ grundsätzlich keine öffentliche Wiedergabe der von Nutzern unbefugt hochgeladenen Inhalte erfolge.

Eine „Handlung der Wiedergabe“ liege prinzipiell dann vor, wenn Kunden, in Kenntnis der Folgen, ein geschütztes Werk zugänglich gemacht werde, dass diese ansonsten nicht abrufen könnten. Nach der (zum Handlungszeitraum geltenden) Richtlinie 2001/29 erfolgte eine „öffentliche Wiedergabe“ deshalb nur dann, wenn der Betreiber über die Bereitstellung der Plattform hinaus zur rechtswidrigen Veröffentlichung beitrage.

Eine Wiedergabe finde dann statt, wenn der Betreiber trotz Kenntnis der Rechtswidrigkeit untätig bleibe oder wenn er weiß oder wissen müsste, dass seine Plattform im Allgemeinen durch Nutzer zur Veröffentlichung geschützter Inhalte genutzt werde und dennoch keine geeigneten technischen Maßnahmen zum Schutz des Urheberrechts ergreife. Auch dann, wenn er an der Auswahl der Hochgeladenen Inhalte beteiligt sei, fördere er dessen öffentliche Zugänglichmachung vorsätzlich und nehme insofern eine öffentliche Wiedergabe vor.

Der Gerichtshof entschied zudem, ob eine Haftungsbefreiung nach der Richtlinie 200/31 für den Betreiber möglich war. Im Falle eines rein passiven Handelns des Betreibers sei eine Haftungsbefreiung laut dem Gerichthof möglich. Sofern Kenntnis von rechtswidrigen Handlungen bestehe, sei eine Haftungsbefreiung dagegen ausgeschlossen.

Schließlich entschied der Gerichtshof, dass die Tatsache, dass ein Urheberrechtsinhaber dem Betreiber nach nationalem Recht eine Rechtsverletzung melden müsse und nur ein gerichtliches Verfahren einleiten könne, wenn dieser untätig bleibe, mit der Richtlinie 2001/29 konform sei. Die nationalen Gerichte müssten aber dafür sorgen, dass keine unverhältnismäßigen Schäden durch zusätzliche Wartezeit entstehen.

B. Stellungnahme

Da sich die Entscheidung noch auf die Richtlinie 2001/29 über das Urheberrecht, die Richtlinie 2000/31 über den elektronischen Geschäftsverkehr und die Richtlinie 2004/48 zur Durchsetzung der Rechte des geistigen Eigentums, nicht aber auf die aktuelle Richtlinie 2019/790 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt bezieht, ist nach der Presseerklärung noch unklar, welche Relevanz das Urteil für Urheberrechtsinhaber und Betreiber von Plattformen haben wird.

Die Formulierung „beim gegenwärtigen Stand des Unionsrechts“ lässt darauf schließen, dass der EuGH nicht nur eine Auslegung der konkreten genannten Richtlinien vorgenommen habe, sondern darüber hinaus Grundsätze in Bezug auf die öffentliche Wiedergabe aufgestellt habe, die auch bei aktueller Rechtslage zu beachten sind.

Insbesondere die Fragen, wann ein Betreiber wissen muss, dass seine Plattform für das rechtswidrige Hochladen von Inhalten genutzt wird und wie die geeigneten technischen Maßnahmen aussehen könnten, die dieser dann ergreifen müsse, bleiben bisher unklar. Für die Betreiber von online Plattformen sind diese Fragen von erheblicher Relevanz.

Es bleibt daher bis zur Veröffentlichung des vollständigen Urteils abzuwarten, welche Folgen dieses für Urheberrechtsinhaber und Betreiber haben wird.

Das deutsche AGB-Recht behindert die Digitalisierung

In der aktuellen Jubiläumsausgabe des Betriebsberaters vom 14.6.2021 plädiert unsere Partnerin Dr. Truiken Heydn für eine Entschärfung der AGB-Kontrolle in B2B-Verträgen. Das deutsche AGB-Recht unterwirft Verträge zwischen Unternehmen einer nahezu ebenso strengen AGB-Kontrolle wie Verbraucherverträge. Anhand zahlreicher Beispiele aus dem Bereich Digitalisierung wie z.B. Software as a Service, Cloud Computing, Internet of Things, Industrie 4.0 und agile Methoden wird dargelegt, wie das die deutsche Wirtschaft im internationalen Wettbewerb behindert. Es wird ein konkreter Vorschlag für die Änderung des Gesetzes unterbreitet, um dieses Hindernis für die Digitalisierung in Deutschland zu beseitigen. Der Aufsatz kann hier heruntergeladen werden: