IT-Compliance: Neuauflage des juristischen Leitfadens von Trend Micro klärt aktuelle Fragen

Trend Micro, einer der weltweit führenden Anbieter für Cybersicherheitslösungen, stellt die Neuauflage seines juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmenvor. Dieser gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind. Der Leitfaden wurde im Zuge von NIS2 und DORA von TCI Partner Dr. Thomas Stögmüller überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.

Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister. Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.

„Wir freuen uns, dass wir auch für die neue Auflage des juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro. „NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien wie XDR (Extended Detection & Response) und ASRM (Attack Surface Risk Management) ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“

Download des Leitfadens: https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html?utm_source=pr&utm_medium=referral&utm_campaign=cm_corporate_lg_e_de_int_juristischer+leitfaden_2024

Das KI-Gesetz der EU tritt in Kraft – was Unternehmen nun beachten müssen

Die „Verordnung über Künstliche Intelligenz“ – kurz „KI-Gesetz“ – der Europäischen Union wurde am 13. Juni 2024 erlassen. Sie tritt 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft und die Vorschriften gelten – mit einigen wenigen Ausnahmen – nach einer Übergangsfrist von zwei Jahren.

Bedeutsam ist bereits die Definition der „KI-Systeme“, die durch das KI-Gesetz reguliert werden:

„KI-System“ bezeichnet „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“

Das KI-Gesetz erfasst nicht nur Anbieter sondern auch Betreiber von KI-Systemen in der EU. „Betreiber“ sind u.a. Unternehmen, Behörden und Einrichtungen, die ein KI-System in eigener Verantwortung beruflich verwenden.

Das KI-Gesetz verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines Schadens für die Gesellschaft ist, desto strenger sind die Vorschriften.

– Das KI-Gesetz verbietet bestimmte KI-Praktiken bzw. KI-Systeme generell, etwa Systeme zur kognitiven Verhaltensmanipulation, Sozialkreditsysteme und KI-Systeme, die biometrische Daten nutzen, um auf die Rasse, Religion, politische Einstellung, Gewerkschaftszugehörigkeit oder sexuelle Ausrichtung einer Person zu schließen, da ihr Risiko als unannehmbar gilt.

Nicht verbotene KI-Systeme werden nach Risiken kategorisiert:

– Hochrisiko-KI-Systeme: Darunter fallen bspw. KI-Systeme, die beim Betrieb kritischer Infrastruktur, im Personalmanagement, zur Bonitätsbewertung oder von einem Gericht bei der Rechtsanwendung verwendet werden. Für diese müssen bestimmte Anforderungen eingehalten werden, wie etwa die Einrichtung eines Risikomanagementsystems. Trainings-, Validierungs- und Testdatensätze müssen bestimmten Qualitätskriterien entsprechen. Eine menschliche Aufsicht muss sichergestellt werden. Hochrisiko-KI-Systeme bedürfen einer Konformitätsbewertung und CE-Kennzeichnung und in bestimmten Fällen muss vor ihrer Inbetriebnahme eine Grundrechte-Folgenabschätzung erfolgen.

– KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck: Das KI-Gesetz regelt auch die Verwendung von KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck („general-purpose AI“ – GPAI), zu denen bekannte Large Language Modelle wie ChatGPT zählen. Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen u.a. bestimmte Transparenzanforderungen erfüllen, das EU-Urheberrecht einhalten und eine Zusammenfassung der Trainingsdaten veröffentlichen. Für GPAI-Modelle mit systemischen Risiken gelten strengere Vorschriften.

– KI-Systeme mit begrenztem Risiko: Für diese bestehen je nach Verwendungszweck und Risiko Transparenzpflichten. Dies umfasst insbesondere eine Offenlegung, dass der Inhalt durch KI generiert wurde.

Die Geldbußen für Verstöße gegen das KI-Gesetz können bis zu 35 Millionen EUR oder – im Falle von Unternehmen – bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.

Der Einsatz von KI-Systemen in Unternehmen hat in den letzten Monaten rapide zugenommen. Da das KI-Gesetz sowohl für Anbieter als auch für Betreiber von KI-Systemen gilt, sollten Unternehmen, die KI anbieten oder einsetzen, prüfen, ob sie sich rechtskonform verhalten und welchen Risiken sie ausgesetzt sind. Dies umfasst insbesondere:

– Kategorisierung des eingesetzten KI-Systems unter dem KI-Gesetz

– Je nach Kategorisierung Ermittlung und Einhaltung der Pflichten unter dem KI-Gesetz wie bspw. Transparenzanforderungen

– Einhaltung des Urheberrechts insbesondere in Bezug auf Trainingsdaten, den Input bzw. Prompt und den Output

– Einhaltung des Datenschutzrechts, wenn in KI-Systeme personenbezogene Daten eingegeben und durch diese verarbeitet werden

– Abschätzung der Haftungsrisiken beim Einsatz von KI-Systemen, etwa im Falle eines fehlerhaften Outputs, der durch das Unternehmen verwendet wird

– Prüfung der Vertragsbedingungen des Anbieters des KI-Systems

Der Transparency and Consent String (TC-String) als personenbezogenes Datum

Werbung im Internet bietet zahlreiche Möglichkeiten – und ist ein lukratives Geschäft. Dabei werden auch zahlreiche personenbezogene Daten der Nutzer verarbeitet, was den Datenschutzbehörden ein Dorn im Auge ist. Eine aktuelle EuGH-Entscheidung hat sich damit auseinandergesetzt.

Der EuGH (Urt. v. 07.03.2024 – C-604/22 – IAB Europe/Gegevensbeschermingsautoriteit) hat entschieden, dass der sog. Transparency & Consent String (TC-String) ein personenbezogenes Datum ist und dass IAB Europe und die Teilnehmenden am Transparency & Consent Framework (TCF) gemeinsame Verantwortliche i.S.d. der DSGVO sind.

In der aktuellen Ausgabe der WRP 2024, 790 bespricht Stephan Schmidt diese Entscheidung des EuGH und ihre Auswirkungen auf die Praxis.

Transparency & Consent Framework (TCF)

Das TCF ist ein Rahmenwerk aus verschiedenen Richtlinien, Protokollen und vertraglichen Verpflichtungen, welches ermöglicht die Präferenzen von Nutzern anhand deren Einwilligungen in Datenverarbeitungen zu erkennen und speichern.

Gespeichert wird das im sog. TC-String.

Verfahren der Datenschutzbehörde

Wegen dieses TC-Strings und des TCF gingen bei der belgischen Datenschutzbehörde zahlreiche Beschwerden ein.

Die Behörde forderte IAB Europe dazu auf, das Verfahren DSGVO-konform zu gestalten und verhängte eine Geldbuße.

Hiergegen ging IAB Europe gerichtlich vor. Der Appellationshof Brüssel legte schließlich dem EuGH zwei Fragen zur Vorabentscheidung vor.

Entscheidung des EuGH

Der EuGH entschied, dass der TC-String ein personenbezogenes Datum ist und dass IAB Europe und die jeweiligen Verwender gemeinsame Verantwortliche im Sinne der DSGVO sind.

Auswirkungen auf die Praxis

Welche Auswirkungen diese Entscheidung des EuGH auf die Praxis hat, hat Stephan Schmidt ausführlich in der WRP dargestellt.

Den Aufsatz können Sie hier im Volltext abrufen.

Online-Vortrag „NIS-2: Rechtliche Anforderungen und Managementverantwortlichkeiten“

Mit der NIS-2-Richtlinie der EU werden für große Teile der Wirtschaft gesetzliche Pflichten zur Erreichung eines hohen Cybersicherheitsniveaus normiert. In Deutschland sind davon schätzungsweise ca. 30.000 Unternehmen betroffen. Die Richtlinie ist bis zum 17. Oktober 2024 in deutsches Recht umzusetzen.

Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtanwälte referiert hierzu online auf dem DiMitEx-ExpertDay „NIS-2 kommt!“ am 6. Juni 2024. In seinem Vortrag behandelt er u.a.:

– Wer ist von NIS-2 betroffen?

– Welche rechtlichen Anforderungen an die Cybersicherheit bringt NIS-2 mit sich?

– Was müssen Betreiber kritischer Anlagen besonders beachten?

– Welche Pflichten und Verantwortlichkeiten hat die Geschäftsleitung?
– Welche Sanktionen drohen bei Verstößen?

– Wie ist der Stand des Gesetzgebungsverfahrens in Deutschland?

Weitere Informationen und Anmeldung unter https://event.gotowebinar.com/event/c48fa5a1-63c0-46ae-b2a8-e27d950d04b0

Stellungnahme des Europäischen Datenschutzausschusses zu „Pay-or-Consent“-Modelle

Im November 2023 führte Meta, der Konzern hinter Facebook und Instagram, ein „Pay or Consent“-Modell ein. Seitdem müssen die Nutzenden entweder eine Gebühr entrichten oder sie müssen dem Tracking durch Meta zustimmen. Dies erfolgte als Reaktion auf die Entscheidung C-252/21 des EuGHs („Bundeskartellamt“-Entscheidung), der nur eine Einwilligung als ausreichende Rechtsgrundlage für das Tracking durch Meta angesehen hat.

1. Stellungnahme des EDSA

Aufgrund datenschutzrechtlicher Bedenken haben die Datenschutzbehörden der Niederlande, Norwegens und Deutschlands (Hamburg) diesbezüglich den Europäischen Datenschutzausschuss (EDSA) angerufen. Dieser hat daraufhin im April 2024 eine Stellungnahme zu eben diesen „Pay or Consent“-Modellen veröffentlicht. Darin positioniert er sich zur Wirksamkeit der Einwilligung zur Verarbeitung personenbezogener Daten zum Zwecke der verhaltensbezogenen Werbung im Rahmen von Zustimmungs- oder Bezahlmodellen („Pay or Consent“-Modellen), die von großen Online-Plattformen eingesetzt werden.

In der Stellungnahme vertritt der EDSA die Auffassung, dass bei großen Online-Plattformen die Einwilligung unwirksam sei, wenn der Nutzer lediglich die Wahl zwischen einer kostenpflichtigen und einer kostenlosen Option in Verbindung mit Tracking zu Werbezwecken hat.

Vorab stellt der EDSA klar, dass sich seine Stellungnahme auf die Zulässigkeit von Zustimmungs- oder Bezahlmodellen bei großen Online-Plattformen beschränkt, die anhand ihrer Nutzerzahlen, ihrer Marktposition sowie der verarbeiteten Datenmenge zu definieren sein. Dieses Verständnis dürfte jedenfalls sehr große Online-Plattformen im Sinne des Digital Services Acts (Art. 33 ff.) sowie Gatekeeper im Sinne des Digital Markets Act (Art. 2 Abs. 1) umfassen, während im Übrigen den Plattformbetreibern selbst die Prüfung überlassen bleibt, ob sie vom Anwendungsbereich der Stellungnahme umfasst sind.

In seiner Kernthese führt der EDSA sodann aus, dass es in den meisten Fällen für große Online-Plattformen nicht möglich sein wird, die Anforderungen der DSGVO an eine wirksame Einwilligung zu erfüllen, wenn sie die Nutzer nur vor die Wahl stellen, entweder der Verarbeitung personenbezogener Daten zu Zwecken der verhaltensbezogenen Werbung zuzustimmen oder eine Gebühr zu zahlen, um Zugang zu den angebotenen Diensten zu erhalten.

In diesem Rahmen äußert der EDSA insbesondere Zweifel an der Freiwilligkeit der Einwilligung. Die derzeitige Vorgehensweise großer Online-Plattformen geht für die Nutzer der Dienste mit Nachteilen einher, die die Freiwilligkeit der Einwilligung ausschließt. Zum einen dürfen die erhobenen Gebühren nicht so hoch sein, dass die Betroffenen tatsächlich daran gehindert sind, eine freie Entscheidung zu treffen, zum anderen kann der Ausschluss von bestimmten Diensten etwa soziale oder berufliche Nachteile mit sich bringen. Auch im Hinblick auf die Punkte eines möglichen Machtungleichgewichts zwischen Betroffenen und Verantwortlichen, der Konditionalität, sowie der Granularität sieht der EDSA die Freiwilligkeit der Einwilligung in den meisten Fällen als nicht gegeben an. Im Kontext der Konditionalität ist zu beleuchten, ob eine Einwilligung erforderlich ist, um Zugang zu Waren oder Dienstleistungen zu erhalten, obwohl die Verarbeitung nicht für die Erfüllung des Vertrages erforderlich ist. Die Granularität setzt voraus, dass die betroffene Person frei wählen kann, welchen Zweck der Verarbeitung sie akzeptiert, anstatt mit einer Einwilligungsanfrage konfrontiert zu werden, die mehrere Zwecke bündelt. Das Angebot (nur) einer kostenpflichtigen Alternative zu dem Dienst, der die Verarbeitung zu Zwecken der verhaltensbezogenen Werbung voraussetzt, könne für die Verantwortlichen nicht der Standardweg sein. Vielmehr sollten die Verantwortlichen in Erwägung ziehen eine gleichwertige Alternative anzubieten, bei der keine personenbezogenen Daten zu Zwecken der verhaltensbezogenen Werbung werden und die im Idealfall nicht gebührenpflichtig ist. Dieser Faktor sei besonders wichtig bei der Bewertung einer gültigen Einwilligung nach der DSGVO.

Sollten die Verantwortlichen eine Gebühr erheben, sollten sie in einer Fall-zu-Fall-Prüfung untersuchen, ob, und wenn in welcher Höhe, eine Gebühr angemessen ist. Dabei erinnert der EDSA daran, dass personenbezogene Daten nicht als handelbare Ware betrachtet werden können und, dass die Verantwortlichen berücksichtigen sollten, dass das Grundrecht auf Datenschutz nicht in ein Merkmal umgewandelt werden darf, für dessen Inanspruchnahme die betroffenen Personen bezahlen müssen.

2. Kritik an der Rechtsauffassung des EDSA

Mit dieser Stellungnahme erteilt der EDSA also dem derzeit von großen Online-Plattformen praktizierten Zustimmungs- oder Bezahlmodell eine Absage. Die Stellungnahme des EDSA zeichnet jedoch ein realitätsfernes und paternalistisches Bild. Es wird das Bild eines unmündigen Verbrauchers impliziert, der das Ausmaß seiner Entscheidungen nicht überblicken kann und den es vor sich selbst zu schützen gilt. Der EDSA-Vorsitzenden Anu Talus zufolge „stimmen die meisten Nutzer der Verarbeitung zu, um einen Dienst zu nutzen und sie verstehen nicht die vollen Auswirkungen ihrer Entscheidungen.“ Dieser Ansatz steht im Widerspruch zur Datensouveränität des Einzelnen. Grundsätzlich kann nach der Digitale-Inhalte-Richtlinie und den daraufhin eingeführten §§ 312 Abs. 1a, 327 Abs. 3 BGB jeder frei über seine Daten verfügen und eben auch mit ihnen bezahlen. Indem der EDSA sich gegen das Konzept von Daten als Zahlungsmittel ausspricht, schlägt er eine gegensätzliche Linie zur Datenstrategie der EU und auch der Bundesregierung ein, die die Datennutzung und den Datenschutz in ein harmonisches Gleichgewicht bringen wollen. „Daten gegen Leistung“ ist ein gesetzlich niedergeschriebenes, anerkanntes Prinzip. Zudem scheint der EDSA zu verkennen, dass es auch in der digitalen Welt zur Bereitstellung von Dienstleistungen und Waren einer Gegenleistung bedarf. Eine Zahlungsunwilligkeit oder auch -unfähigkeit führt sowohl in der digitalen als auch in der analogen Welt nicht zur Unzulässigkeit des angewandten Modells.

Auch wenn der EDSA auf den ersten Blick mit seiner Stellungnahme an die oben genannte „Bundeskartellamt“-Entscheidung des EuGH anknüpft, widerspricht er ihm letztlich. Die durch den EuGH akzeptierte kostenpflichtige Alternative scheint ihm nicht auszureichen, um der Freiwilligkeit der Einwilligung zu genügen. Dem geforderten dritten Modell fehlen jedoch die klaren Umrisse. Die aufgeführten Kriterien und Bewertungsmaßstäbe sind offen und allgemein gehalten und schaffen keine Rechtssicherheit.

3. Anwendbarkeit auch auf andere Verantwortliche?

Die EDSA-Stellungnahme richtet sich ausdrücklich nur an große Online-Plattformen. Die Argumente des EDSA gegen ein „pay or consent“-Modell sind jedoch auch auf andere Konstellationen übertragbar. Wenn beispielsweise, wie vom EDSA behauptet, personenbezogene Daten nicht „handelbar“ sind, würde dies einem „pay or consent“-Modell auch dann entgegenstehen, wenn es sich beim Anbieter nicht um eine „große Online-Plattform“ im Sinne des DSA oder DMA handelt.

So verbleibt eine große Unsicherheit auf Seiten der Verantwortlichen. Der EDSA hat es leider versäumt, die Rechtssicherheit zu schaffen. Es bleibt abzuwarten, wie Meta und Co. reagieren. Es bleibt aber auch abzuwarten, wie sich die EDSA-Stellungnahme auf vergleichbare Geschäfts- und Einwilligungsmodelle andere Verantwortlicher auswirkt.

TCI-Partner Dr. Thomas Stögmüller hält Grundlagenseminar zur DSGVO

Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hält am 10. April 2024 ein Grundlagenseminar zur Datenschutzgrundverordnung (DSGVO). Das 2,5-stündige Online-Seminar erfolgt im Rahmen der Fortbildung der Rechtsanwaltskammer München und richtet sich an Rechtsanwältinnen und Rechtsanwälte (nähere Informationen unter https://seminare.rak-muenchen.de/65004-12-grundlagenseminar-dsgvo-5655763/). Neben einem generellen Überblick über die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung werden auch aktuelle Themen wie das Auskunftsrecht, Anforderungen an Cookies, die Datenübermittlung in die USA und die jüngste EuGH-Rechtsprechung zum Schadensersatzanspruch unter der DSGVO behandelt.

Microsoft 365 und kein Ende

Der „Dauerbrenner“ Microsoft 365 beschäftigt nach wie vor die Datenschutz-Aufsichtsbehörden. Nun hat sich der Europäische Datenschutzbeauftragte (EDPS) zu Wort gemeldet, der als unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der EU zuständig ist.

Mit einer Entscheidung vom 11. März 2024 (https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en) hat der EDPS der EU-Kommission angewiesen, bis zum 9. Dezember 2024

  • alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben und die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen und
  • die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.

Die Entscheidung des EDPS stellt nicht auf die DSGVO, sondern auf die Verordnung 2018/1725 ab. Dabei handelt es sich um das Datenschutzrecht für Organe und Einrichtungen der EU. Die Verordnung entspricht jedoch inhaltlich weitgehend der DSGVO.

Nach der Meinung des EDPS hat die Kommission nicht ausreichend geprüft und vereinbart, welche personenbezogenen Daten von Microsoft zu welchen Zwecken verarbeitet und an Subunternehmer übermittelt werden.

Der Kommission wurde insbesondere aufgegeben,

  • ein „Transfer-Mapping“ durchzuführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien erfolgen. Dies soll auch Weiterübermittlung (onward transfers) beinhalten, d.h. die gesamte, von Microsoft eingesetzte Subunternehmer-Kette:

appraise […] what personal data will be transferred to which recipients in which third countries and for which purposes, thereby […] obtaining the minimum information necessary to determine whether any supplementary measures are required to ensure the essentially equivalent level of protection […]

Die Datenübermittlung an Subunternehmer in Drittländer ohne angemessenes Schutzniveau ist zu unterlassen.

  • ausdrücklich festzulegen, welche Daten zu welchen Zwecken von Microsoft verarbeitet werden und dabei den Zweckbindungsgrundsatz zu berücksichtigen:

sufficiently determine the types of personal data collected under the […] agreement concluded with Microsoft […] in relation to each of the purposes of the processing so as to allow those purposes to be specified and explicit; ensure that the purposes for which Microsoft is permitted to collect personal data [….] are specified and explicit; provide sufficiently clear documented instructions for the processing […]”.

Es muss transparent geregelt werden, welche Daten zu welchen Zwecken vereinbart werden. Diese Verarbeitungen müssen natürlich rechtmäßig sein. Insbesondere soll durch klare und detaillierte Regelungen sichergestellt werden, dass die Daten von Microsoft wirklich nur im Auftrag der Kommission genutzt werden.

Die Kritikpunkte des EDPS entsprechen dabei zum Teil der Kritik der deutschen Aufsichtsbehörden, die zuletzt in der „Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“ vom 2.11.2022 veröffentlicht wurde (https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf). Es bleibt abzuwarten, welche praktischen Konsequenzen die Entscheidung des EDPS für deutsche Unternehmen haben wird und ob die deutschen Aufsichtsbehörden die Entscheidung zum Anlass nehmen werden, ihre eigene Prüfungspraxis zu verschärfen.

„Gefangen“ im Cloud-Vertrag? Der Data Act erleichtert Provider Switching

Das Problem

„Begin with the end in mind“: Diesen Grundsatz übersehen viele Kunden, wenn sie einen Cloud-Vertrag oder einen Vertrag über SaaS, IaaS oder PaaS abschließen. Der Vertragsschluss auf der Basis von Standardkonditionen der Anbieter ist vergleichsweise einfach. Der Ausstieg aus dem Vertrag stößt aber häufig auf Probleme, weil sich im Vertrag keine oder nur unzureichende Regelungen zum Wechsel vom bisherigen Provider zu einen neuen Provider finden. Zu Unterstützungspflichten des Providers bei Vertragsbeendigung und bei der Überführung der Services auf einen Dritten sowie zu einer diesbezüglichen Vergütung ist häufig nichts geregelt. Hier ist der Anwender derzeit auf das Entgegenkommen des Anbieters angewiesen. Dies führt für den Anwender zu einer schwierigen „Lock-In“-Situation.

Abhilfe durch den Data Act

Durch den im Januar 2024 in Kraft getretenen Data Act soll es nun Abhilfe geben. Ziel des Data Act ist es, den Wechsel zwischen einzelnen Providern oder von einem Provider zurück zu den Systemen des Anwenders zu erleichtern. Die Hindernisse für einen wirksamen Wechsel, insbesondere die vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse sollen beseitigt werden. Der Data Act sieht in den Art. 23 ff. hierzu zahlreiche Regelungen vor. Hierbei handelt es sich um unmittelbar geltendes Gesetzesrecht.

Adressaten der Regelungen

Adressaten der Regelungen sind Anbieter von sogenannten „Datenverarbeitungsdiensten“. Dieser Begriff ist weit zu verstehen. Erfasst wird eine beträchtliche Zahl von Diensten mit einer großen Bandbreite an unterschiedlichen Anwendungszwecken, Funktionen und technischen Strukturen. Hierunter fallen Dienste, die eines oder mehrere der folgenden Modelle anbieten: Infrastructure-as-a-Service“ (IaaS), „Platform-as-a-Service“ (PaaS) und „Software-as-a-Service“ (SaaS). Aber auch andere Varianten zählen dazu, wie z.B. „Storage-as-a-Service“ und „Database-as-a-Service“.

Verpflichtungen der Provider

Die Provider treffen weitreichende Verpflichtungen. So zwingt sie das Gesetz, in dem Vertrag mit dem Anwender bestimmte Vertragsklauseln zu dessen Schutz zu vereinbaren, z.B. die Regelung einer Wechselmöglichkeit auf Verlangen, die Verpflichtung zur Leistung angemessener Unterstützung oder auch Regelungen zu Wechselentgelten. Des Weiteren treffen den Anbieter u.a. Informationspflichten und die Verpflichtung, technische Vorkehrungen zur Ermöglichung eines Wechsels vorzunehmen. Für die Provider bedeutet dies, dass sie ihre Verträge entsprechend anpassen und die erforderlichen Prozesse und technischen/organisatorischen Maßnahmen treffen müssen.

Ausgenommene Datenverarbeitungsdienste

Von den weitreichenden Pflichten der Provider sind Datenverarbeitungsdienste ausgenommen, die für den Anwender „maßgeschneidert“ wurden und die nicht im größeren Maßstab über den Dienstleistungskatalog des Anbieters im Markt offeriert werden. Die Pflichten gelten auch nicht für Dienste, die nicht als Vollversion, sondern zu Test-und Bewertungszwecken und für einen begrenzten Zeitraum bereitgestellt werden.

Zeitliche Geltung der Bestimmungen

Die entsprechenden Bestimmungen des Data Act gelten ab dem 12. September 2025. Den Providern bleibt deshalb für die Umsetzung und die Anpassung der entsprechenden Verträge noch etwas Zeit. Es ist aber nicht unwahrscheinlich, dass die entsprechenden Regelungen des Data Act bereits zeitlich eine gewisse Vorwirkung entfalten: Viele Anwender werden vermutlich Wert darauf legen, dass die vom Data Act geforderten vertraglichen Regelungen bereits jetzt in Neuverträge aufgenommen werden.

Rechtsanwalt Dr. Thomas Stögmüller referiert zu aktuellen Entwicklungen unter der DSGVO

Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner bei TCI Rechtsanwälte München, gibt bei der Rechtsanwaltskammer München ein Update zur Datenschutz-Grundverordnung (DSGVO) und zeigt aktuelle Entwicklungen mit Schwerpunkt im Medienbereich auf. Ein Schwerpunkt des Referats sind jüngere Gerichtsentscheidungen zu Datenschutzhinweisen und der Datenübermittlung an ein Drittland sowie der neue EU-U.S. Data Privacy Framework.

Das Seminar findet am 28.02.2024 als Webinar statt und richtet sich an Rechtsanwältinnen und Rechtanwälte mit Schwerpunk im Medienrecht oder IT-Recht.

TCI auf den Kölner Tagen IT-Recht 2024

Wir freuen uns, dass TCI auch in diesem Jahr auf den Kölner Tagen IT-Recht des Verlags Dr. Otto Schmidt (07.03. und 08.03.2024) vertreten ist.

Dr. Michael Karger (TCI München) übernimmt gemeinsam mit Frau Prof. Dr. Sibylle Gierschmann (Gierschmann Legal, Hamburg) die Leitung der Tagung. Dr. Thomas Stögmüller referiert zum Thema „Computerprogramme: Gesetzliche Mindestrechte des berechtigten Nutzers“.

Die Hybrid-Tagung unter dem Titel „Von der Datenbeschaffung bis zur Lizenz“ deckt eine Vielzahl aktueller Themen des IT-Rechts ab, darunter:

  • EU-Datenstrategie und rechtliche Umsetzung (u.a. Data Governance Act, Data Act)
  • Datenüberlassungs-Verträge im Lichte des Data Act
  • Datenbeschaffung durch Data Scraping
  • AI Act: Herausforderungen für die Praxis
  • Ethics und Compliance by Design in IT-Verträgen
  • Globale Perspektive: Wettstreitende Regulierungsmodelle (USA, EU, China)
  • Softwarekomponenten als urheberrechtliche Schutzgegenstände
  • Gesetzliche Mindestrechte an Computerprogrammen
  • Patentierbarkeit von Software und KI-Systemen
  • Neues IT-Sicherheitsrecht: Relevanz für IT-Verträge
  • „Digitale Produkte“ als Vertragsgegenstand

Die Tagung ist ein „Muss“ für alle Praktiker, die sich mit der Digitalstrategie auf europäischer und globaler Ebene auseinandersetzen. Sie liefert konkrete Hilfestellungen zur Vertragsgestaltung und gibt ein Update zu den neusten rechtlichen Entwicklungen im IT-Recht.

Ein Themenschwerpunkt ist der Zugang zu Daten sowie der Umgang mit der Regulierung von KI. Dabei legt die Veranstaltung Wert darauf, nicht nur die europäische Strategie zur Regulierung des Datenrechts, sondern auch die globale Perspektive auf wettstreitende Regulierungsmodelle zu berücksichtigen. Ungeachtet der Regulierungsfragen geht die Tagung auf konkrete rechtliche Fragen beim Einsatz von KI-Systemen ein und arbeitet die insoweit naheliegenden Anforderungen an die Vertragsgestaltung heraus. Zudem gehen die Referenten auf umstrittene Fragen zum Urheber- und Patentschutz von IT-Systemen ein. Konkret wird es auch bei der Gestaltung von IT-Verträgen unter dem Blickwinkel des neuen IT-Sicherheitsrechts oder im Hinblick auf digitale Produkte.

Zielgruppe: Rechtsanwälte, Richter, Justiziare und IT-Verantwortliche in Unternehmen, Behörden und Verbänden.

Viele Teilnehmerinnen und Teilnehmer schätzen an den Kölner Tagen IT die ebenso professionelle wie kollegiale und informelle Atmosphäre als Grundlage für Erfahrungsaustausch und Networking.

Weitere Informationen zur Veranstaltung finden Sie hier https://www.otto-schmidt.de/koelner-tage-it-recht.