TCI-Partner Dr. Thomas Stögmüller berichtet über aktuelle Entwicklungen im IT-Recht

In der Ausgabe Nr. 52/2024 der Neuen Juristischen Wochenschrift (NJW) berichtet Dr. Thomas Stögmüller, Rechtsanwalt und Fachanwalt für Informationstechnologierecht, über aktuelle Entwicklungen im IT-Recht im Jahr 2024. Der Beitrag gibt einen umfassenden Überblick über die neuen EU-Gesetze von der KI-Verordnung bis zum Cyber Resilience Act und beleuchtet wichtige Gerichtsentscheidungen wie etwa des EuGH zur Urheberrechtsverletzung durch „Cheat-Software“.

Der Cyber Resilience Act der EU tritt in Kraft – neue Cybersicherheitsanforderungen für Software und vernetzte Produkte

Am 10. Dezember 2024 ist der „Cyber Resilience Act“ (CRA, der deutsche Name lautet „Cyberresilienz-Verordnung“) der EU in Kraft getreten. Mit dieser Verordnung werden europaweit erstmalig horizontal geltende Cybersicherheitsvoraussetzungen für Produkte mit digitalen Elementen gesetzlich normiert. Vernetzte Produkte wie Heimkameras, Kühlschränke, Fernsehgeräte und Spielzeug müssen hiernach „cybersicher“ sein, bevor sie in Verkehr gebracht werden, und auch über ihren gesamten Lebenszyklus hinweg bleiben. Um diese Cybersicherheit zu belegen, müssen sie künftig mit einer CE-Kennzeichnung versehen sein.

Zwar gelten die wesentlichen Regelungen der Verordnung erst ab dem 11. Dezember 2027, sodass Unternehmen eine großzügige Übergangsfrist haben, ihre in das Internet eingebundenen Produkte an die neuen Regelungen anzupassen. Doch da Produktentwicklungszyklen mehrere Monate bis Jahren dauern können, soll bereits jetzt auf einige wesentliche Anforderungen unter dem CRA hingewiesen werden:

– Der Anwendungsbereich des CRA ist äußerst weit und umfasst Software, in das Internet eingebundene Hardware wie intelligente Haushaltsgeräte (Stichwort „Internet of Things“) und Cloud-Dienste, die es den Nutzern ermöglichen, Geräte aus der Ferne zu steuern

– Hersteller, die ein Produkt mit digitalen Elementen in den Verkehr bringen, müssen dieses gemäß den grundlegenden, im CRA näher spezifizierten Cybersicherheitsanforderungen konzipieren, entwickeln und herstellen

– Grundlegende Cybersicherheitsanforderungen umfassen beispielsweise, sicherzustellen, dass Schwachstellen durch Sicherheits-Updates behoben werden können, dass geeignete Kontrollmechanismen bestehen, die Schutz vor unbefugtem Zugriff bieten, dass die Vertraulichkeit und Integrität gespeicherter und übermittelter Daten geschützt wird und dass den Nutzern die Möglichkeit geboten wird, alle Daten und Einstellungen dauerhaft sicher und einfach zu löschen

– Während der Supportdauer des Produkts ist dessen Cybersicherheitsrisiko zu bewerten, zu dokumentieren und ggf. zu aktualisieren

– Hersteller müssen Schwachstellen während der erwarteten Lebensdauer des Produkts oder über mindestens fünf Jahre ermitteln, beheben und entsprechende Sicherheits-Updates bereitstellen

– Hersteller müssen ein Konformitätsbewertungsverfahren durchführen (lassen) und, sofern das Produkt mit digitalen Elementen den grundlegenden Cybersicherheitsanforderungen genügt, eine CE-Kennzeichnung anbringen

– Produkte mit digitalen Elementen, die mit einem höheren Cybersicherheitsrisiko behaftet sind – als „wichtige Produkte mit digitalen Elementen“ bezeichnet – unterliegen einem strengeren Konformitätsbewertungsverfahren; dies gilt etwa für Betriebssysteme, Passwort-Manager, VPN, Modems für die Internetanbindung, intelligente Türschlösser, Babyphones, Alarmanlagen und Wearables

– Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle dem zuständigen nationalen Computer-Notfallteam (Computer Security Incident Response Team – CSIRT) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) über eine einheitliche Meldeplattform melden

– Der CRA enthält Ausnahmen und spezielle Regelungen für freie Software und Open Source Software

Neue Analyse zur Umsetzung der NIS-2-Richtlinie in Deutschland in RDi Recht Digital

In der Ausgabe 11/2024 der Fachzeitschrift Recht Digital (RDi) ist der Artikel unseres Partners Stephan Schmidt zum Thema „Der Regierungsentwurf zur NIS-2-Richtlinie – Richtliniengetreue Umsetzung oder deutscher Sonderweg?“ erschienen. Der Aufsatz beleuchtet den kürzlich veröffentlichten Entwurf zur Umsetzung der EU-Richtlinie für Cybersicherheit in deutsches Recht, der mit dem geplanten „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ wesentliche Änderungen für Unternehmen und öffentliche Einrichtungen vorsieht. Der Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie zielt wie diese darauf ab, die Sicherheitsstandards für Netz- und Informationssysteme in der gesamten Europäischen Union zu verbessern. Schmidt analysiert in seinem Artikel detailliert die verschiedenen Aspekte des Entwurfs und geht darauf ein, wie Deutschland beabsichtigt, die EU-Vorgaben umzusetzen.

Besonders interessant ist dabei die Frage, inwieweit der deutsche Gesetzgeber nationale Besonderheiten in die Umsetzung einfließen lässt und ob diese möglicherweise über die Anforderungen der NIS-2-Richtlinie hinausgehen. Schmidt erläutert die geplanten Maßnahmen der Bundesregierung und hebt hervor, dass der Entwurf nicht nur eine Wiedergabe des Richtlinientextes darstellt, sondern auch spezielle nationale Anpassungen enthält. Diese Anpassungen betreffen insbesondere den Anwendungsbereich und die Pflichten für betroffene Unternehmen, die zum Teil strenger gefasst sind als die in der EU-Richtlinie vorgesehenen Anforderungen. Zudem analysiert Schmidt, welche Bereiche des Gesetzesentwurfs noch Verbesserungen benötigen, um sicherzustellen, dass die Umsetzung den europäischen Vorgaben entspricht.

Der Beitrag ist auch über beck-online abrufbar (Paywall).

E-Mobility; ab dem 14. April 2025 neue Vorgaben für E-Ladesäulenbetreiber gemäß Art. 20 Abs. 2 und 3 der Verordnung (EU) 2023/1804 („AFIR“)

Gemäß Art. 20 Absätze 2 und 3 der Verordnung (EU) 2023/1804 über den Aufbau der Infrastruktur für alternative Kraftstoffe (AFIR) müssen Betreiber von öffentlich zugänglichen Ladepunkten (Charge Point Operator – CPO) ab dem 14. April 2025 neue Vorgaben in Bezug auf die Bereitstellung von Daten umsetzen.

Diese Anforderung hat den Hintergrund, dass die Datenbereitstellung von grundlegender Bedeutung dafür ist, dass die Ladeinfrastruktur ordnungsgemäß funktioniert. Gemäß Art. 20 Abs. 1 benennen die Mitgliedstaaten eine ID-Registrierungs-Organisation („IDRO“). Die IDRO vergibt und verwaltet bis zum 14. April 2025 individuelle Identifizierungscodes („ID“): Mithilfe dieses individuellen Identifizierungscodes können die Betreiber von Ladepunkten und E-Mobilitätsdienstleister identifiziert werden.

Die Betreiber von öffentlich zugänglichen Ladepunkten oder – gemäß den vertraglichen Vereinbarungen – deren Eigentümer haben dafür zu sorgen, dass statistische und dynamische Daten über die betriebene Ladeinfrastruktur oder die damit verbundenen Dienstleistungen kostenfrei zur Verfügung gestellt werden. Unter die statistischen Daten fallen insbesondere die geografische Lage der Ladepunkte, Anzahl der Anschlüsse, Kontaktdaten des Eigentümers und des Betreibers der Ladestation, Betriebszeiten, Stromart (AC/DC), maximale Ladeleistung (kW) der Ladestation bzw. des Ladepunkts sowie ID-Codes mindestens des Betreibers des Ladepunkts. Zu den dynamischen Daten zählen der Betriebszustand (betriebsbereit/außer Betrieb), die Verfügbarkeit (im Betrieb/nicht in Betrieb), der Ad-hoc-Preis und die Angabe, ob der Fahrstrom zu 100 % aus erneuerbaren Quellen geliefert wird (Ja/Nein).

Ferner hat jeder Betreiber bzw. – gemäß den getroffenen vertraglichen Vereinbarungen – der Eigentümer der Ladepunkte eine Anwendungsprogrammierschnittstelle (API) einzurichten, die einen freien und uneingeschränkten Zugang zu den vorgenannten Daten bietet, und den nationalen Zugangspunkten Informationen über diese API zu übermitteln.

Bis zum 31.12.2024 haben die Mitgliedstaaten sicherzustellen, dass diese Daten allen Nutzern, insbesondere E-Mobility Service-Providern (eMSP) und E-Mobility Usern, in offener und nichtdiskriminierender Weise zugänglich gemacht werden. Ziel dieser Vorgaben ist die Schaffung eines einheitlichen Rechtsrahmens und einheitlicher Standards in Bezug auf die Datenbereitstellung zur Nutzung der Elektromobilität, als eine von vielen Maßnahmen, um die Errichtung von Ladeinfrastruktur für Elektrofahrzeuge in Europa voranzubringen.

Diese neuen europarechtlichen Vorgaben sind bei der Gestaltung von Verträgen im Bereich der Erbringung von Betriebsleistungen des CPO bzw. eMSP umzusetzen.

Unsere Partnerin Dr. Truiken Heydn hat die neuen Kapitel zu Schiedsverfahren, IT-Litigation und typischen Streitpunkten in IT-Streitigkeiten in der neuen Auflage des Praxishandbuchs Softwarerecht von Marly verfasst, die heute erschienen ist. Das Praxishandbuch Softwarerecht gilt seit vielen Jahren als die „Bibel“ des Softwarerechts. Die Kapitel geben einen Überblick für alle Juristen, die mit einem gescheiterten IT-Projekt konfrontiert sind. Auch wer IT-Verträge verfasst und der Streitbeilegungsklausel die notwendige Aufmerksamkeit widmen will, findet dort eine Fülle an nützlichen und praktischen Informationen.

TCI Rechtsanwälte und Rechtsanwalt Stephan Schmidt im Kanzleimonitor 2024/25 ausgezeichnet

TCI Rechtsanwälte und Rechtsanwalt Stephan Schmidt wurden im aktuellen Kanzleimonitor 2024/25 des diruj Deutsches Institut für Rechtsabteilungen und Unternehmensjuristen für ihre Expertise im IT-Recht und Datenschutzrecht ausgezeichnet. TCI Rechtsanwälte konnte sich unter den führenden Kanzleien in beiden Rechtsgebieten platzieren. Rechtsanwalt Stephan Schmidt wurde als einer der führenden Anwälte sowohl im Bereich IT-Recht als auch im Datenschutzrecht gelistet.

Der Kanzleimonitor basiert auf einer umfassenden Befragung von Unternehmensjuristen und Rechtsabteilungen. Für die aktuelle Ausgabe 2024/2025 wurden 9.868 Empfehlungen aus 649 Unternehmen ausgewertet. Die Empfehlungen stammen ausschließlich von Unternehmensjuristen, die ihre Erfahrungen mit externen Rechtsberatern teilen. Durch dieses Konzept liefert der Kanzleimonitor einen wertvollen Überblick über die Mandatierungspraxis deutscher Unternehmen.

„Wir freuen uns sehr über diese erneute Auszeichnung“, kommentiert Stephan Schmidt. „Sie bestätigt unsere Arbeit und die langjährige Zusammenarbeit mit unseren Mandanten in den hochspezialisierten Rechtsgebieten IT-Recht und Datenschutz. Sie motiviert uns, unsere Mandanten auch weiterhin auf höchstem Niveau zu beraten.“

Münchner SAP Tage 2024:  Aktuelles zu SAP On-Premise-Verträgen und zu SAP-Cloud-Verträgen

Dr. Michael Karger referiert am 26.09.2024 bei den Münchner SAP Tagen zum Thema „Aktuelles zur SAP-On-Premise- und Cloud-Lizensierung.“ Themen sind u.a.:

  • Überblick über die SAP-Vertragslandschaft
  • On Premise: Erhöhung der Vergütung für Pflege und Support zum 01.01.2025
  • Cloud-Verträge:
    • Vertragsdokumente
    • Leistungsbeschreibung
    • Implementierungsleistungen
    • Wechsel zu einem anderen Cloud-Anbieter und Data Act
    • Neues DPA

Weitere Informationen zu den Münchner SAP Tagen 2024 finden Sie hier: http://www.sap-tage.de/201.html

Dr. Thomas Stögmüller referiert zu „Immaterialgüterrechtlicher Schutz KI-generierter Werke“

Am 26. September 2024 findet im Tagungs- und Veranstaltungshaus Alte Mensa der Georg-August-Universität Göttingen von 11:00 – 18:00 Uhr die wissenschaftliche Tagung „Daten — Information — Recht“ zu Ehren von Prof. Dr. Andreas Wiebe, LL.M. (Virginia) anlässlich seines 65. Geburtstages statt. Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtsanwälte wird dort einen Vortrag zum Thema „Immaterialgüterrechtlicher Schutz KI-generierter Werke“ halten.

Tagungsprogramm und Anmeldung unter: www.forum-iprecht.de

SAP-Verträge On Premise und Cloud): Seminar der DSAG-Academy mit Dr. Michael Karger

Dr. Michael Karger ist Referent des im halbjährlichen Turnus stattfindenden Seminars der DSAG-Academy „SAP-Verträge verstehen und gestalten: Rechtliche Grundlagen, wichtige Regelungen, Fallstricke“. Das Seminar findet am 16.09.2024 als Präsenztraining in Leimen statt.

Ziel des Seminars ist es, den Teilnehmenden einen Überblick zur Struktur der „SAP-Vertragswelt“ zu geben, sie mit den Grundzügen der unterschiedlichen Vertragswerke im On Premise-Kontext und für Cloud-Services vertraut zu machen und einzelne, besonders wichtige rechtliche Bestimmungen zu erläutern. Angesprochen werden auch die Themen S/4 HANA Conversion und RISE with SAP, Cloud-Switching nach dem Data Act sowie der IT-Sicherheitsrecht (NIS-2-Richtlinie und neues BSIG).

Das Seminar ist schon weitgehend ausgebucht. Es findet voraussichtlich ein weiterer Termin im Frühjahr 2025 statt.

Cybersicherheit im Finanzsektor – Welche Auswirkungen hat DORA auf IT-Dienstleiser im Bankensektor? 

Rechtsgrundlage 

Mit DORA (Digital Operational Resilience Act, https://eur-lex.europa.eu/eli/reg/2022/2554/oj) verfolgt die Europäische Union das Ziel, ein einheitliches Regelwerk für den gesamten Finanzsektor in Bezug auf IKT-Risiken und Cybersicherheit zu schaffen. Damit soll der europäische Finanzmarkt vor technischen Risiken geschützt werden. Die DORA-Verordnung findet ab dem 17. Januar 2025 Anwendung. Sie ist in Bezug auf Cybersicherheit für die Finanzbranche lex spezialis und gilt damit vorrangig zur NIS2-Richtlinie. 

Zielgruppe 

DORA richtet sich in erster Linie an Finanzunternehmen und regelt die Anforderungen an das IKT-Risikomanagement. 

Darüber hinaus hat DORA auch erhebliche Auswirkungen auf den Teil der IT-Branche, der sogenannte IKT-Dienstleistungen für den Finanzsektor erbringt (IKT-Dienstleister). Hierbei wird weiter unterschieden zwischen Drittanbietern (IKT-Drittdienstleister) und gruppeninternen Dienstleistern (gruppeninterne IKT-Dienstleister) unterschieden. 

Darüber hinaus gibt es sogenannte kritische IKT-Drittdienstleister (Art. 31 DORA). Das sind Dienstleister, die von der ESA nach den Kriterien des Art. 31 Abs. 2 DORA als kritisch eingestuft wurden. Näheres regeln delegierte Rechtsakte. Kritische ITK-Drittdienstleister werden über ihre Einstufung informiert.  

IKT-Dienstleistungen 

Die Definition der betroffenen Dienstleistungen ist sehr weit gefasst. Diese umfassen „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“. 

Auswirkung auf IKT-Drittdienstleister 

Während sich der weit überwiegende Teil der Regelungen von DORA (wie schon bei der MaRisk) sich an die Finanzunternehmen richtet und diese in die Pflicht nimmt, setzt DORA auch für Dienstleister neue Maßstäbe. 

Dies geschieht zunächst indirekt im Kapitel V mit Regelungen, die Finanzunternehmen zum Management des IKT-Drittparteienrisikos zu beachten haben. Zu den Risiken zählen mögliche Abhängigkeiten aber auch Risiken aus vertraglichen Vereinbarungen. Es wird klargestellt, dass die Finanzunternehmen selbst in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen aus der DORA und dem anwendbaren Finanzdienstleistungsrecht verantwortlich sind. Hieraus leitet sich eine umfangreiche Steuerungs- und Überwachungspflicht ab. Diese besteht vor allem im Management der Risiken, sich aus der Einbindung Dritter ergeben.  

In der Folge sehen sich IKT-Drittdienstleister mit zusätzlichen vertraglichen Anforderungen konfrontiert. Diese ergeben sich insbesondere aus Art. 30 DORA, einem umfangreichen Katalog von zu regelnden Vertragsbestimmungen. 

Darüber hinaus fallen kritische IKT-Drittdienstleister künftig direkt unter den Aufsichtsrahmen von DORA (Kapitel V, Abschnitt II, Artikel 31 bis 44). Dies hat zur Folge, dass die Aufsichtsbehörde direkt auf die kritischen IKT-Drittdienstleister zugreifen kann (z.B. Auskunftsersuchen, Untersuchungen vor Ort). Bei nicht kritischen IKT-Dienstleistern kann dies nur auf Grundlage von vertraglich vereinbarten Pflichten zwischen dem IKT-Drittdienstleister und dem Finanzunternehmen erfolgen (z.B. Auditrechte). 

Anforderungen an Verträge 

Da also nur ein Teil der IKT-Dienstleister (die kritischen) der direkten Regulierung durch die Aufsicht unterliegt, kommt den vertraglichen Regelungen eine hohe Bedeutung zu. Dies ist an sich nicht neu, da bereits die MaRisk Vorgaben für die Vertragsbeziehungen bei Auslagerungen gemacht haben. Neu ist die Definition der erfassten IKT-Drittdienstleistungen sowie der Detailierungsgrad der erforderlichen Vertragsbestandteile sowie deren Manifestierung auf Gesetzesebene. 

Während Art. 30 DORA zwar vorgibt, welche Bereiche geregelt werden müssen, ist nicht für alle Regelungspunkte zwingend vorgeschrieben, wie sie zu regeln sind. Teilweise ergeben sich bestimmte Mindestanforderungen an die Regelungen allerdings auch aus anderen finanzaufsichtsrechtlichen Regelungen.  

Zudem ist Art. 30 DORA zweistufig aufgebaut, so dass es allgemeine Anforderungen für alle IKT-Dienstleistungen gibt und erhöhte Anforderungen für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Hierbei bezieht sich der Begriff kritisch nicht auf den Dienstleister selbst, sondern auf die Kritikalität der Dienstleistungen. 

Eine erste Folge dürfte sein, dass vertragliche Regelungen künftig deutlich umfangreicher sein müssen. Dies bezieht sich nicht nur auf die „typischen“ Vertragsklauseln, sondern auch auf die Spezifizierung von z.B. Leistungsinhalten, Leistungsorten, Verfügbarkeiten. Zudem wird dem Datenschutz eine besondere Stellung eingeräumt. 

Allgemeine Auswirkung auf die Leistungserbringung 

Die Übertragung von Aufgaben und Anforderungen an Dienstleister wird aber vor allem dazu führen, dass Dienstleister einen höheren Aufwand und damit zusätzliche Kosten haben werden. Um diese abzudecken, wird es notwendig sein, die Vertragsgestaltung eng mit der Preisgestaltung zu verknüpfen.