Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS-2-Richtlinie) umgesetzt haben. Mit der Umsetzung kommen neue umfangreiche Pflichten auf Unternehmen zu und es sind Unternehmen betroffen, die bisher von derartigen Anforderungen nicht betroffen waren. Die Europäische Union reagiert mit der NIS-2-Richtlinie und dem ebenfalls in den Startlöchern stehenden Cyber Resilience Act auf die fortschreitende Bedrohungslage und setzt verbindliche Standards zur Cybersicherheit.
Wer ist betroffen?
Dem Anwendungsbereich der NIS-2-Richtlinie unterfallen alle Unternehmen, die über 50 Personen beschäftigen, einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Mio. EUR haben und einem der in der Richtlinie genannten kritischen Sektoren unterfallen. Und hier zeigt sich bereits die erste deutliche Erweiterung, den es wurden sowohl neue wesentliche Sektoren wie z.B. die Verwaltung von IKT-Diensten eingeführt, als auch Ergänzungen der bisherigen Sektoren vorgenommen. Auch bei den wichtigen Sektoren gab es deutliche Erweiterungen. So fällt künftig die Herstellung von Waren in allen Bereichen in diese Sektoren.
Was ist zu tun?
Art. 21 der NIS-2-Richtlinie regelt, ähnlich der DSGVO, dass die betroffenen Einrichtungen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten“. Die Richtlinie sieht dazu in Art. 21 Absatz 2 Mindestmaßnahmen vor, zu denen auch „Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“ sowie „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ gehören. Unternehmen müssen daher über ein funktionierendes Incident Response Management verfügen, welches zum einen Präventionsmaßnahmen und zum anderen angemessene Notfallmaßnahmen und einen gesicherten Prozess für den Umgang mit Sicherheitsvorfällen sicherstellt.
Der NIS-2-Richtlinie unterliegende Einrichtungen müssen zudem zukünftig Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung der Dienste hat melden. In besonders schweren Fällen müssen auch die Nutzer und ggfs. sogar die Öffentlichkeit informiert werden. Betroffene Einrichtungen müssen daher prüfen, ob die Krisenkommunikation die gesetzlichen Pflichten erfüllen kann.
Chefsache Cybersecurity
Nach der NIS-2-Richtlinie trägt die Geschäftsführung des Unternehmens die zentrale Verantwortung für das Risikomanagement und die Umsetzung von Cybersicherheitsmaßnahmen. Sie muss daher verpflichtend an Cybersicherheits-Schulungen und sicherstellen, dass Awareness-Maßnahmen durchgeführt und auch allen Mitarbeitenden entsprechende Schulungen angeboten werden. In Fällen der Nichteinhaltung droht eine persönliche Haftung der Geschäftsführung.
Kontroll- und Sanktionsmaßnahmen
Mit der NIS-2-Richtlinie erhalten die nationalen Behörden eine Vielzahl an Kontroll- und Sanktionsmöglichkeiten. Darüber hinaus werden die nationalen Behörden auch befugt sein, Warnungen über Verstöße herauszugeben. So haben Behörden auch das Recht öffentliche Warnungen über Verstöße zu Einrichtungen herauszugeben. Bei Verstößen drohen Unternehmen zudem Bußgelder von bis zu 10 Mio. EUR oder 2% des gesamten weltweiten Jahresumsatzes.
Sie wollen wissen, ob Sie von der NIS-2-Richtlinie betroffen sind oder haben Fragen? Benötigen Sie Unterstützung bei der Umsetzung von Maßnahmen? Wir unterstützen Sie gern. Sprechen Sie uns an.
In seinem Urteil vom 26.4.2023, Rs. T-557/20 hat sich der Europäische Gerichtshof (EuG) mit der Frage der Relativität des Personenbezugs beschäftigt. Das Urteil räumt mit einigen Missverständnissen auf, die im Zusammenhang mit dem bekannten „Breyer“-Urteil des EuGH zum Personenbezug von IP-Adressen (EuGH v. 19.10.2016, C 582/14) entstanden sind.
1. Pseudonymisierung und Anonymisierung von Daten
Wie kann man pseudonyme und anonyme Daten unterscheiden?
Pseudonyme Daten können nur unter Hinzuziehung zusätzlicher Informationen einer spezifischen betroffenen Person zugeordnet werden. Diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die Zuordnung nicht bzw. nicht ohne weiteres erfolgen kann (Art. 4 Nr. 5 DSGVO). Pseudonymisierung bedeutet also, dass z. B. ein Name durch ein Pseudonym – einen Code, eine Nummer usw. – ersetzt wird. Allerdings können die Pseudonyme mit Hilfe von Zusatzinformationen wieder entschlüsselt und personenbeziehbar gemacht werden.
Bei anonymen Daten ist eine solche „Entschlüsselung“, also die Herstellung eines Personenbezugs, nicht oder nicht mit vertretbarem Aufwand möglich (vgl. Erwägungsgrund 26 der DSGVO). Anonyme Daten gelten deshalb nicht mehr als personenbezogene Daten und unterfallen nicht mehr der DSGVO.
2. Sachverhalt
In dem vom EuG entschiedenen Fall hatte der Einheitliche Abwicklungsausschuss (SRB) Daten an Deloitte weitergeleitet, bei denen personenidentifizierende Merkmale durch alphanumerische Codes ersetzt wurden. Der SRB konnte diese Codes konkreten Personen zuordnen. Deloitte hatte keinen Zugriff auf die Codes und konnte keinen Personenbezug der Daten herstellen.
Der Europäische Datenschutzbeauftragte (EDSB) hielt die Daten pauschal für personenbeziehbar. Nach Auffassung des EDSB sei der Umstand, dass Deloitte keinen Zugang zu den vom SRB gespeicherten Informationen zur Rückidentifizierung gehabt habe, unbeachtlich. „Pseudonymisierte“ Daten blieben dies selbst dann, wenn sie an einen Dritten übermittelt würden, der nicht über die zusätzlichen Informationen verfüge.
Dagegen klagte der SRB mit dem Argument, dass es sich zumindest für Deloitte nicht um personenbeziehbare Daten handele und die DSGVO insoweit nicht anwendbar sei.
3. Relativität des Personenbezugs
Im Kern geht es um die Frage, ob die „Personenbeziehbarkeit“ von Daten relativ oder absolut zu beurteilen ist – ob es also dem jeweils Verantwortlichen mit vertretbaren Mitteln möglich sein muss, einen Personenbezug herzustellen („relativer“ Personenbezug) oder ob es ausreicht, dass irgendjemand über diese Mittel verfügt („absoluter“ Personenbezug).
Der EuG hat sich im Ergebnis der Argumentation des SRB angeschlossen: es kommt darauf an, ob der jeweils Verantwortliche – hier also Deloitte – über die zusätzlichen Informationen verfügt, anhand deren eine Rückidentifizierung von Personen möglich ist.
Dies steht nicht im Widerspruch zum „Breyer“-Urteil des EuGH. Darin stellte sich die Frage, ob eine dynamische IP-Adresse für den Anbieter einer Website ein personenbezogenes Datum darstellt. Über die zur Identifizierung des Nutzers anhand einer IP-Adresse erforderlichen Zusatzinformationen verfügt üblicherweise nicht der Anbieter der Website, sondern der Internetzugangsanbieter des jeweiligen Nutzers. Zu prüfen war nach Auffassung des EuGH in diesem Fall, ob die Möglichkeit, eine IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise vom Website-Betreiber zur Bestimmung der betreffenden Person eingesetzt werden kann. Der EuGH ging also ebenfalls von der Relativität des Personenbezugs aus.
Der EuG führt aus (Rn. 99, 100 des Urteils):
„[Es kann] die Situation von Deloitte mit der des Anbieters von Online-Mediendiensten im Sinne des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), verglichen werden, soweit sie über Informationen […] verfügte, bei denen es sich nicht um Informationen handelte, die sich auf eine „identifizierte natürliche Person“ bezogen, da es nicht möglich war, anhand des auf jeder Antwort vermerkten alphanumerischen Codes unmittelbar die natürliche Person zu identifizieren, die den Fragebogen ausgefüllt hatte. Zum anderen kann die Situation des SRB mit der des Internetzugangsanbieters in jener Rechtssache verglichen werden, da feststeht, dass nur der SRB über die zusätzlichen Informationen – nämlich über den alphanumerischen Code und die Identifizierungsdatenbank – verfügte, anhand deren die betroffenen Anteilseigner und Gläubiger identifiziert werden können, die den Fragebogen ausgefüllt haben.
Somit war es gemäß der oben in Rn. 91 angeführten Rn. 44 des Urteils vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779), Sache des EDSB, zu prüfen, ob für Deloitte die an sie übermittelten Stellungnahmen personenbezogene Daten waren.“
Diese Prüfung der Personenbeziehbarkeit der Daten aus Sicht von Deloitte hat der EDSB nicht vorgenommen. Der EuG hat damit der Klage des SRB stattgegeben. Ob vorliegend Deloitte tatsächlich über Mittel für eine Rückidentifizierung verfügte und diese hinreichend wahrscheinlich war, hat der EuG nicht mehr geprüft.
Die EU-Kommission hat am 10.07.2023 die auch als „Trans-Atlantic-Data-Privacy-Framework“ (TADPF) bezeichnete Adäquanzentscheidung für den sicheren Datenverkehr zwischen der EU und den USA verabschiedet. Nach „Safe Harbor“ und „Privacy Shield“ soll dieser dritte Anlauf nun auch die Anforderungen des EuGH erfüllen und transatlantische Datentransfers sind wieder relativ unbürokratisch möglich. Es ist aber davon auszugehen, dass auch dieses Abkommen wieder vor dem EuGH landen wird.
Das TADPF führt für US-amerikanische Datenempfänger neue verbindliche Sicherheitsvorkehrungen ein. Dazu gehören die Beschränkung des Zugangs zu Daten von EU-Bürgern durch US-Geheimdienste auf das Notwendige und Angemessene sowie die Einrichtung des Data Protection Review Court – DPRC, also einer Prüfungsinstanz, zu der Betroffene auch dann Zugang haben, wenn sie keine US-Bürger sind. Das DPRC kann bei Verstößen auch die Löschung der Daten anordnen.
Das TADPF soll regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll innerhalb eines Jahres nach Inkrafttreten des TADPF stattfinden.
Wie und wann wirkt das TADPF?
Das TADPF ist ein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO und gilt im Grunde ab sofort. Für Datenexport an US-amerikanische Empfänger sind daher keine zusätzlichen Legitimationsinstrumente, wie zum Beispiel Standard-Vertragsklauseln (SCC), mehr erforderlich, da die USA nun wieder als sicheres Drittland gelten. Allerdings müssen Unternehmen in den USA eine Selbstzertifizierung vornehmen und sich damit verpflichten, bestimmte Datenschutzverpflichtungen einzuhalten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es schon beim Vorgänger Privacy Shield und es wird sicher noch einige Tage dauern, bis die ersten Unternehmen zertifiziert sind. Der aktuelle Stand kann ab dem 17.07.2023 unter https://www.dataprivacyframework.gov/s/ eingesehen werden.
Es gilt hier also zunächst abzuwarten und bei Neuverträgen zu prüfen, ob der Datenempfänger bereits zertifiziert ist. Nur wenn dies der Fall ist, wirkt das TADPF.
Was passiert mit Verträgen, welche die SCC nutzen?
Bei bestehenden Verträgen sollte dann, wenn der Datenempfänger unter TADPF zertifiziert ist, geprüft werden ob eine Anpassung des Vertrages notwendig ist. Oft wird eine Anpassung gar nicht notwendig sein, weil die SCC nur nachrangig für den Fall gelten, dass ein Datenempfänger in einem Staat ohne Angemessenheitsbeschluss seinen Sitz hat. Wenn nun der Datenempfänger in den USA sitzt und eine TADPF Zertifizierung vorweisen kann, gelten bei dieser Konstellation die „normalen“ Regeln des Data Processing Agreements (DPA) und die SCC kommen schlicht nicht mehr zur Anwendung. Eine Anpassung des Vertrages ist dann nicht nötig.
Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich nicht einer Zertifizierung nach TADPF, bleibt es bei den bisherigen Regelungen, also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA). Die Nutzung solcher Anbieter wird aber nicht allein dadurch ausgeschlossen, dass keine Selbstzertifizierung erfolgt.
Weiterer Anpassungsbedarf durch das TADPF
Das TADPF bzw. die Nutzung von Datenempfängern, welche dem TADPF unterliegen und die damit verbundene Umstellung des Transferinstruments von SCC auf TADPF, macht unter Umständen Anpassungen an Datenschutzhinweisen (Art. 13, 14 DSGVO), in AV-Verträgen, bei Datenschutz-Folgenabschätzungen und im Verarbeitungsverzeichnis notwendig. Hier müssen die Verantwortlichen ihre Dokumentation auf entsprechenden Anpassungsbedarf prüfen.
Seit 1. Januar 2023 ist das „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten“ (Lieferkettensorgfaltspflichtengesetz – LkSG) in Kraft (siehe hierzu näher https://www.tcilaw.de/das-neue-lieferkettensorgfaltspflichtengesetz/). Auch wenn IT-Unternehmen nicht im Fokus des Gesetzes stehen, gilt es auch für sie, und Verbote wie das der Missachtung der Koalitionsfreiheit oder des Vorenthaltens eines angemessenen Lohns können auch für IT-Unternehmen relevant sein.
Das LkSG ist zwar unmittelbar nur auf Unternehmen mit Sitz oder Zweigniederlassung in Deutschland anzuwenden, die in der Regel mindestens 3.000 Arbeitnehmer in Deutschland beschäftigen. Dies wird auf viele kleine und mittlere IT-Unternehmen in Deutschland nicht zutreffen. Allerdings können diese sog. „unmittelbarer Zulieferer“ (wie in § 2 Abs. 7 LkSG definiert) für ihre Kunden sein. Wenn ein Kunde unter des LkSG fällt, muss er gegenüber seinen unmittelbaren Zulieferern „angemessene Präventionsmaßnahmen“ nach § 6 Abs. 4 LkSG verankern, insbesondere:
1. die Berücksichtigung der menschenrechtsbezogenen und umweltbezogenen Erwartungen bei der Auswahl eines unmittelbaren Zulieferers,
2. die vertragliche Zusicherung eines unmittelbaren Zulieferers, dass dieser die von der Geschäftsleitung des Unternehmens verlangten menschenrechtsbezogenen und umweltbezogenen Erwartungen einhält und entlang der Lieferkette angemessen adressiert,
3. die Durchführung von Schulungen und Weiterbildungen zur Durchsetzung der vertraglichen Zusicherungen des unmittelbaren Zulieferers nach Nummer 2,
4. die Vereinbarung angemessener vertraglicher Kontrollmechanismen sowie deren risikobasierte Durchführung, um die Einhaltung der Menschenrechtsstrategie bei dem unmittelbaren Zulieferer zu überprüfen.
Zudem haben Unternehmen im Rahmen ihres Risikomanagements nach § 5 Abs. 1 LkSG eine angemessene Risikoanalyse durchzuführen, um die menschenrechtlichen und umweltbezogenen Risiken auch bei ihren unmittelbaren Zulieferern zu ermitteln.
Dies führt dazu, dass auch IT-Unternehmen, die nicht unter das LkSG fallen, aber ihre Leistungen gegenüber Kunden erbringen, auf die das LkSG Anwendung findet, sich mit den Anforderungen aus dem LkSG an unmittelbare Zulieferer befassen und damit rechnen müssen, von ihren Kunden zur Einhaltung deren „Grundsatzerklärung“ über die Menschenrechtsstrategie (s. § 6 Abs. 2 LkSG) aufgefordert zu werden. Ferner zu vertraglichen Zusicherungen, dass das IT-Unternehmen die von der Geschäftsleitung des Kunden verlangten menschenrechtsbezogenen und umweltbezogenen Erwartungen einhält und entlang der Lieferkette angemessen adressiert. Ggf. wird auch die Zustimmung zur Durchführung von Schulungen und Audits gefordert. Hierauf können sich IT-Unternehmen angemessen vorbereiten, etwa durch Aufbereitung von nach dem LkSG relevanten Informationen, eine Selbsteinschätzung unter dem LkSG und Mitarbeiterschulungen.
Mit einiger Verspätung wird die EU-Whistleblower-Richtlinie nun auch in Deutschland umgesetzt, nachdem nach einer weiteren Runde durch den Bundestag das überarbeitete Hinweisgeberschutzgesetz (HinSchG) am 02.07.2023 in Kraft treten wird. Betroffen sind zunächst Unternehmen mit mehr als 250 Beschäftigten, für die es keine weiteren Übergangsfristen gibt. Für Unternehmen mit mehr als 50 Beschäftigten gelten die neuen Regelungen dann ab dem 17.12.2023. Nach § 12 Abs. 1 Satz 2 und 3 HinSchG gilt die Verpflichtung auch für öffentliche Stellen und auch Unternehmen, die nicht von der gesetzlichen Verpflichtung betroffen sind, sollten über die Einrichtung einer Meldestelle nachdenken, da diese natürlich auch eine Alternative zu Meldungen an öffentliche Stellen darstellen kann.
Das Hinweisgeberschutzgesetz schützt Hinweisgeber. Dies sind Personen, “die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach diesem Gesetz vorgesehenen Meldestellen melden oder offenlegen“. Des Weiteren werden “Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind“.
Betroffene Unternehmen müssen eine interne Meldestelle einrichten, die mündliche oder schriftliche Meldungen ermöglicht. Personen, die Meldungen entgegennehmen und bearbeiten, müssen unabhängig sein und über die erforderliche Fachkunde verfügen. Da diese Anforderungen gerade für kleinere Unternehmen oft nicht leicht umzusetzen sind, können sich Unternehmen eines Ombudsmanns bedienen, also beispielsweise einen Rechtsanwalt mit der Einrichtung und dem Betrieb einer Meldestelle beauftragen.
TCI Rechtsanwälte unterstützt daher Unternehmen bei der Einrichtung eines Whistleblower-Systems und diese können die interne Meldestelle an uns delegieren. Wir kümmern uns dann um die Entgegennahme und fristgerechte Bearbeitung der Meldungen. Im Rahmen unseres Angebotes stellen wir Unternehmen auch Mustertexte zur Information der Mitarbeitenden über die Meldestelle und weitere Pflichtinformationen nach HinSchG und DSGVO sowie eine Musterdokumentation für das Verarbeitungsverzeichnis nach Art. 30 DSGVO zur Verfügung.
Gerne zeigen wir Ihnen anhand einer Demoversion, wie diese einfache und intuitive Lösung in Zusammenarbeit mit Whistleblower Software funktioniert. Im Fokus unserer Lösung stehen Benutzerfreundlichkeit, höchste Sicherheit und Konformität mit dem Hinweisgeberschutzgesetz in Deutschland sowie DSGVO-Konformität. Die Lösung ist mehrsprachig, so dass auch internationale Unternehmensteile abgebildet werden können. Den Link zu unserem eigenen System finden Sie hier.
Bei Interesse nehmen Sie bitte Kontakt mit uns auf.
Heutzutage stellt fast jedes Unternehmen auf seiner Website nicht nur grundlegende Informationen über seine Aktivitäten und Kontaktdaten, sondern auch einen Bereich für das Team mit einer Darstellung der Mitarbeiter bereit. So können Kunden oder Geschäftspartner erfahren, wer die Ansprechpartner in den einzelnen Abteilungen des Unternehmens sind. Das Hinzufügen eines Fotos eines Mitarbeiters kann sicherstellen, dass die Kommunikation nicht zu unpersönlich wirkt. Allerdings können Mitarbeiterfotos mehr Informationen enthalten, als es auf den ersten Blick scheint.
Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten
Die Veröffentlichung von Mitarbeiterbildern kann Bedenken hinsichtlich des Schutzes personenbezogener Daten aufwerfen. Insbesondere stellt sich die Frage, ob die Veröffentlichung von Mitarbeiterbildern zu einer Veröffentlichung „besonderer Kategorien personenbezogener Daten“ nach Art. 9 DSVGO führt. Art. 9 DSGVO stellt besondere Anforderungen an die Verarbeitung personenbezogener Daten, aus denen die ethnische oder rassische Herkunft hervorgeht oder die Informationen über den Gesundheitszustand enthalten. Kann ein Foto solche besonders sensiblen Daten enthalten, auch wenn diese sich nur indirekt aus dem Foto ergeben? Das Äußere, die Hautfarbe, kann z.B. Hinweise auf ethnische Herkunft und Rassenzugehörigkeit geben. Das Tragen einer Brille informiert über Kurzsichtigkeit und ist damit eine Information über den Gesundheitszustand. Symbole wie beispielsweise Kreuze können auf eine religiöse Konfession hinweisen. Ist das aber ausreichend um Mitarbeiterfotos als besonders geschützte Daten im Sinne von Art. 9 DSGVO zu qualifizieren?
Rechtsprechung EuGH, 01.08.2022 – C-184/20
Zu diesem Thema hat sich der Gerichtshof in seinem Urteil vom 1. August 2022 geäußert. Im vorliegenden Fall ging es um Inhalte, die indirekt Rückschlüsse auf sensible Daten (in diesem Fall die sexuelle Orientierung) natürlicher Personen zuließen und auf der Website einer Behörde veröffentlicht waren. Dabei hat der EuGH den Begriff der „besonderen Kategorien personenbezogener Daten“ weit ausgelegt. Auch Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, werden von Art. 9 Abs. 1 DSGVO erfasst, da andernfalls die praktische Wirksamkeit des Art. 9 DSGVO und der damit bezweckte Schutz der Grundrechte und Grundfreiheiten natürlicher Personen beeinträchtigt würde (Rn. 127 des Urteils).
Folgt man dieser Auffassung, können auch Fotos „besondere Kategorien personenbezogener Daten“ enthalten, wenn die Fotografie eines Mitarbeiters Merkmale enthält, die indirekt auf sensible Informationen hinweisen bzw. wenn aus der Fotografie solche Merkmale hervorgehen. Das bedeutet, dass in diesem Fall Art. 9 DSGVO Anwendung findet.
Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt, es sei denn es liegt eine Einwilligung vor (Art. 9 Abs. 1a DSGVO) oder die Verarbeitung dieser besonders geschützten Daten ist im Rahmen des Arbeitsverhältnisses erforderlich (§ 26 Abs. 3 BDSG).
Die Veröffentlichung von Mitarbeiterfotos wird aber i.d.R. nicht zwingend erforderlich sein. Natürlich gibt es Berufe, in denen die Veröffentlichung von Bildern notwendig ist, z.B. als Model oder Schauspieler – das sind aber Ausnahmefälle. Sie bedarf deshalb (fast) immer der Einwilligung der betroffenen Mitarbeiter. Die Einwilligung muss freiwillig und informiert sein und sollte am besten in schriftlicher Form erfolgen (dies ist zwar nicht zwingend, aber empfehlenswert). Wenn das Foto bestimmte Merkmale enthält, die als besonders sensible Daten betrachtet werden könnten, sollten diese in der Einwilligung ausdrücklich erwähnt werden. Wichtig ist, dass die Einwilligung freiwillig und ohne Zwang erfolgt. Eine Ablehnung der Einwilligung zur Veröffentlichung darf nicht mit Nachteilen für die betroffenen Mitarbeiter verbunden sein.
Die Mitgliederversammlung der Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein (davit) hat am 27.04.2023 den Mainzer TCI Partner Stephan Schmidt in den Geschäftsführenden Ausschuss gewählt. Der Geschäftsführende Ausschuss besteht aus sieben Mitgliedern und führt die Geschäfte der davit. Er wird alle zwei Jahre gewählt.
Stephan Schmidt engagiert sich bereits seit vielen Jahren als Gebietsleiter der davit und damit für die ideellen und wirtschaftlichen Interessen der IT-Anwaltschaft. Gemeinsam mit Dr. Thomas Lapp organsiert er den Frankfurter IT-Rechtstag, der eine feste Institution unter den bundesweit stattfindenden IT-Rechtstagen ist und sich insbesondere durch seinen interdisziplinären Ansatz auszeichnet.
Wir wünschen Stephan Schmidt viel Spaß und Erfolg bei seiner neuen Aufgabe.
Diese Frage hat unser Mainzer Partner Stephan Schmidt im Rahmen einer Interviewreihe den Gastgebern der Reihe Michael Rohrlich und Marc Oliver Thoma beantwortet. Er hat dabei über seine Ausbildung und was er eigentlich in San Diego gemacht hat, aber auch über den Beginn seiner Tätigkeit als selbstständiger Rechtsanwalt und aktuelle Themen gesprochen. Herausgekommen ist ein kurzweiliges Gespräch, mit dem einen oder anderen Einblick in die Tätigkeit eines IT- und Datenschutzrechtlers.
Das Gespräch ist hier bei YouTube abrufbar.
Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner bei TCI Rechtsanwälte München, gibt bei der Rechtsanwaltskammer München ein Update zur Datenschutz-Grundverordnung (DSGVO) und zeigt aktuelle Entwicklungen mit Schwerpunkt im Medienbereich auf. Er geht dabei u.a. auf die aktuellen Anforderungen von Datenschutzbehörden und Gerichten an Cookies ein, stellt die rechtlichen Voraussetzungen für die Datenübermittlung an ein Drittland und den neuen EU-U.S. Data Privacy Framework dar und erläutert zahleiche neue Gerichtsentscheidungen zum Datenschutz.
Das Webinar richtet sich an Rechtsanwältinnen und Rechtanwälte mit Schwerpunk im Medienrecht oder IT-Recht. Nähere Informationen:
Die Europäische Kommission veröffentlichte am 23. Februar 2022 den Entwurf des Data Act. Der Data Act-Entwurf regelt die Bereitstellung von Daten durch den Dateninhaber für den Nutzer, für Dritte und für öffentliche Stellen und beinhaltet rechtliche Rahmenbedingungen für den Datenzugang und die Datennutzung. Hintergrund der Regelung ist, dass es bisher keine gesetzliche Regelung zur Datenhoheit gibt und alle Beteiligten auf einen freiwilligen Austausch angewiesen sind.
Mit dem Data Act-Entwurf will die Europäische Kommission nun klarstellen, wer Daten wirtschaftlich verwerten darf und unter welchen Bedingungen dies erfolgt. Zudem werden Sonderregelungen für Kleinst-, Klein- und mittlere Unternehmen sowie sog. „Gatekeeper“ getroffen.
Grundlegender Inhalt des Data Act-Entwurfs
Der Entwurf regelt den Austausch nutzergenerierter Daten zwischen Unternehmen und zwischen Verbrauchern und Unternehmen. Große Teile der von Unternehmen und von Verbrauchern im Zusammenhang mit vernetzten Geräten und digitalen Diensten gesammelten Daten muss zukünftig technisch und rechtlich den Nutzern zugänglich gemacht werden, welche die Daten anschließend an Dritte weitergeben können.
Die Regelungen des Entwurfs umfassen zum Beispiel Produktanforderungen für einen leichten und sicheren Datenzugang („access by design and by default“), vorvertragliche Informationspflichten und die Notwendigkeit einer Nutzungsvereinbarung zwischen Dateninhaber und Nutzer, Datenzugangsansprüche und -bereitstellungspflichten sowie Regelungen zur Datenübermittlung durch den Dateninhaber an Dritte auf Veranlassung des Nutzers. Geregelt werden aber auch Anforderungen an entsprechende Gegenleistungen (z.B. Fairness, Angemessenheit) und Kriterien für missbräuchliche Vertragsklauseln um kleinere Unternehmen zu schützen.
Ergänzend soll es Regelungen für die Übermittlung von Daten an öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU in Notsituationen geben. Der Entwurf sieht darüber hinaus vor, dass die Europäische Kommission unverbindliche Mustervertragsbedingungen für Datenzugang und Datennutzung bereitstellen soll. Über Sanktionen bei Verstößen sollen die Mitgliedstaaten dann entsprechende Vorschriften erlassen.
Adressaten des Data Act-Entwurfs
Der Data Act-Entwurf gilt für
- alle Hersteller von Produkten und Erbringer verbundener Dienste, die in der EU in Verkehr gebracht werden, und die Nutzer solcher Produkte oder Dienste;
- Dateninhaber, die Empfängern in der EU Daten bereitstellen;
- Datenempfänger in der EU, denen Daten bereitgestellt werden;
- öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU.
Ähnlich der DGSVO sollen die Regelungen auch auf Unternehmen mit Sitz außerhalb der EU Anwendung finden, wenn diese Kunden in der EU entsprechende Dienste anbieten.
Ausblick
Europäisches Parlament und der Rat haben ihre Positionen zum Entwurf beschlossen und fordern ebenso wie die Mitgliedsstaaten diverse Änderungen. In den weiteren Verhandlungen wird es insbesondere um den Anwendungsbereich des Data Act, die Sicherstellung des Schutzes von Geschäftsgeheimnissen, Vergütungsfragen und Regelungen zum Anbieter-Wechsel bzw. des Schutzes vor missbräuchlichen Vertragsklauseln gehen. Am 29. März 2023 fand der erste Trilog statt. Da die Positionen von Rat und Parlament jedoch nicht allzu weit auseinanderliegen, wird allgemein mit einer Einigung noch vor der Sommerpause oder kurz nach dieser gerechnet.
