TCI Rechtsanwälte berät die Nimbus Beteiligungsgesellschaft im IT- und Datenschutzrecht bei dem Erwerb eines Teils des Kerngeschäfts der EISENMANN

Die Transaktion: Nimbus erwirbt das gesamte Service- Ersatzteilgeschäft des Geschäftsbereich Paint&Assembly der EISENMANN-Gruppe und führt auch das Projekt- und Retrofit-Geschäft fort.

Die mit dem Insolvenzverwalter Joachim Exner erzielte Investorenlösung umfasst neben dem gesamten Service- Ersatzteilgeschäft auch die Fortführung des Projekt- und Retrofit-Geschäftes der Eisenmann-Sparte Paint&Assembly. „Mit dem Verkauf bleiben nicht nur ein wesentlicher Teil des Kerngeschäfts und der Technologie von Eisenmann sondern auch 110 Arbeitsplätze erhalten“, betonte Exner. „Er stellt vor allem auch sicher, dass die weltweit über 500 Eisenmann-Lackieranlagen weiter mit Service und Ersatzteilen bedient werden – und zwar über die gesamte Produktpalette.“

Erwerber ist der niederländische Beteiligungsfonds Nimbus, die u.a. auch am Anlagenbauer für Oberflächentechnik Sturm Gruppe, Salching, beteiligt ist. Nimbus ist auf die Übernahme von Unternehmen in Turn-Around-Situationen spezialisiert „Nimbus ist ein Investor, der strategisch hervorragend zu Eisenmann passt“, betonte Exner. „Die Gruppe verfügt über ausgeprägtes Branchen-Know-how im Anlagebau.“

Unter Federführung des langjährigen Beraters von Nimbus, Rechtsanwalt und Notar Oliver Thum, haben Stephan Schmidt, TCI Rechtsanwälte Mainz (IT-Recht und Datenschutz), Georg Melzer, Frankfurt am Main (Arbeitsrecht), Markus Fünning, Kanzlei PLUTA, Ulm (Insolvenzrecht) und Florian Heim, Wunderlich & Heim, München (IP-Recht), die als Asset Deal strukturierten Akquisitionen auf Seiten von Nimbus beraten.

Insolvenzverwalter Exner wurde von einem Team von Clifford Chance, Frankfurt a.M. beraten.

Thum, Melzer und Schmidt stehen Nimbus regelmäßig schon seit langem in den deutschen Transaktionen von Nimbus beratend zur Seite. Fünning war das erste Mal auf Seiten von Nimbus tätig, Heim wurde als Berater der Sturm Gruppe für die komplexen patent- und lizenzrechtlichen Themen dieser Transaktion mandatiert.

5 Tipps zur Wah­rung des Da­ten­schut­zes und des Schut­zes von Ge­schäfts­ge­heim­nis­sen bei der Home Of­fice-Nut­zung

Mit der Covid-19-Krise hat die Bedeutung der Home Office-Nutzung stark zugenommen und das Arbeiten von zu Hause oder von unterwegs wird auch künftig vermehrt erfolgen. Allerdings ist dies anfällig gegen Datenschutzverstöße und es besteht die Gefahr, dass der Schutz von Geschäftsgeheimnissen verletzt wird.

Nachfolgend gibt Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), fünf Tipps für Unternehmen, wie diese bei der Home Office-Nutzung den Datenschutz wahren und ihre Geschäftsgeheimnisse schützen können.

1. IT-Sicherheit

Im Rahmen der Corporate Governance haben Vorstand bzw. Geschäftsführung die Einhaltung der gesetzlichen Bestimmungen zu gewährleisten und für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen. Wesentlich ist hierbei die Sicherstellung von Datenschutz und IT-Sicherheit. Dies gilt auch und gerade für die Home Office-Nutzung.

Bei einer Verletzung der Datenschutz-Grundverordnung (DSGVO) drohen erhebliche Sanktionen wie Schadensersatzansprüche, aufsichtsrechtliche Maßnahmen der Datenschutzbehörde und Geldbußen, die bis zu 4 % des gesamten weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro betragen können.

Im Rahmen der IT-Sicherheit muss das Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit seiner IT-Systeme sicherzustellen. Für Home Office-Anwendungen bedeutet das u.a. eine wirksame und aktuelle Internet Security-Lösung und den Einsatz geeigneter Sicherheitsmaßnahmen wie Passwortschutz, 2-Faktor-Authentifizierung und ein Virtual Private Network. Zudem müssen sichere Lösung für Web-Konferenzen verwendet oder diese entsprechend konfiguriert werden, um zu vermeiden, dass bspw. nicht zugelassene oder unbekannte Personen daran teilnehmen.

2. Abschluss einer Vereinbarung zur Auftragsverarbeitung

Cloud Provider und Anbieter von Web-Konferenzen müssen unter Berücksichtigung deren DSGVO-Konformität und deren TOM sorgfältig ausgewählt werden und das Unternehmen muss mit ihnen eine  Vereinbarung zur Auftragsverarbeitung schließen, die den Anforderungen des Art. 28 DSGVO entspricht.

3. Wahrung der Schutzes von Geschäftsgeheimnissen

Durch das Geschäftsgeheimnis-Schutzgesetz, das seit 26. April 2019 in Kraft ist, sind die Anforderungen an das Vorliegen eines Geschäftsgeheimnisses gestiegen, insbesondere muss es „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ sein. Problematisch ist dies bspw. bei Web-Konferenzen, bei denen Geschäftsgeheimnisse Gegenstand sind, so dass der Teilnehmerkreis streng begrenzt sowie Aufzeichnung und Dokumentenaustausch unterbunden werden sollte. Zudem sollten externe Teilnehmer mittels einer Vertraulichkeitsvereinbarung bzw. eines Non-Disclosure Agreement (NDA) zur Geheimhaltung verpflichtet werden.

Unternehmen sollten zur Wahrung ihrer Geschäftsgeheimnisse generell entsprechende personelle, rechtliche, technische und organisatorische Maßnahmen treffen und unternehmensspezifische Schutzkonzepte und Schutzstrategien implementieren. Andernfalls droht der Verlust des Geschäftsgeheimnisschutzes.

4. Übermittlung nur auf Need-to-Know-Basis

Sowohl hinsichtlich der Übermittlung personenbezogener Daten als auch von Geschäftsgeheimnissen gilt, dass der Empfängerkreis möglichst eng sein soll. Nur solche Mitarbeiter und externen Geschäftspartner, die diese Informationen unbedingt benötigen, dürfen Zugriff darauf haben, d.h. diese Informationen sind nur auf „Need-to-Know-Basis“ zu übermitteln. Unternehmen sollten daher die Zugriffsrechte auf sensible Informationen prüfen und ggf. anpassen. Gerade bei der Home Office-Nutzung besteht nämlich das Risiko, dass einmal abgerufene Daten dauerhaft die Unternehmenssphäre verlassen, wenn sie von einem Mitarbeiter auf dessen eigenem Rechner lokal gespeichert werden. 

5. Schulung der Mitarbeiter

Mitarbeiter müssen hinsichtlich der gestiegenen Risiken bzgl. Datenschutz und Schutz von Geschäftsgeheimnissen sensibilisiert und geschult werden. Arbeiten zu Hause birgt größere Risiken, dass unbefugte Dritte – hierzu gehören auch Familienmitglieder und Besucher – Unternehmensinformationen zur Kenntnis nehmen. Klare Verhaltensanweisungen wie z.B. Sperren des Rechners bei Verlassen des Arbeitsplatzes, laufende Aktualisierung des Antiviren-Schutzes und Überprüfung des Kamerafeldes vor Beginn einer Videokonferenz sind dringend zu empfehlen.

Zum Thema „Datenschutz & Geschäftsgeheimnisse im Home-Office in der Covid-19-Krise“ gibt Dr. Thomas Stögmüller auch im DIKT Expertentalk mit Dr. Nikolai A. Behr nähere Auskunft: https://youtu.be/HwhXQS9zxRw

Da­ten­schutz wäh­rend der Co­ro­na-Kri­se – Was ist bei Gäs­te­lis­ten in der Gas­tro­no­mie zu be­ach­ten?

Aktuell finden eine Reihe von Lockerungen statt, die schrittweise wieder zurück zur Normalität führen sollen. Diese stellen jedoch ihrerseits ungewohnte Belastungen für die Betroffenen dar und bringen zugleich rechtliche Herausforderungen mit sich.

Auch der Gastronomiebetrieb soll wieder unter Einschränkungen ermöglicht werden. Diese betreffen neben den allgemeinen Vorsorgemaßnahmen wie Abstandsregelungen oder der Tragepflicht eines Mund-Nasen-Schutzes in einigen Bundesländern auch eine Pflicht zur Erhebung und Speicherung des Namens, der Telefonnummer sowie des exakten Zeitraums des Besuchs.

Wie muss diese Datenerhebung ausgestaltet werden und dürfen Gäste trotzdem bedient werden, wenn sie sich weigern ihre Daten anzugeben?

Je nach Bundesland sind die Regelungen unterschiedlich ausgestaltet. Manche Bundesländer haben eine Pflicht zur Erhebung der Daten eingeführt, andere dagegen nur eine Empfehlung. Gastwirte sollten sich über die exakten, für sie geltenden Vorschriften beispielsweise auf der Webseite ihres Bundeslandes informieren. Eine Sammlung der Verordnungen der verschiedenen Bundesländer finden Sie unter Anderem auch auf www.lexcorona.de.

Eine ausdrückliche Pflicht zur Erhebung der Daten jedes einzelnen Gastes haben die Bundesländer Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Schleswig-Holstein und Thüringen eingeführt. Mecklenburg-Vorpommern und das Saarland haben eine Pflicht zur Erhebung der Daten einer Person pro Haushalt, bzw. Gruppe eingeführt. Bayern, durch die Reservierungspflicht ebenfalls.

In den Bundesländern, in denen keine Regelung getroffen wird oder lediglich eine Empfehlung ausgesprochen wird, steht es den Gastwirten frei, ob sie die Daten vorsorglich dennoch erheben möchten. Ob gemäß Art. 6 Abs. 1 lit. a) DSGVO eine Rechtfertigung durch eine Einwilligung der Gäste, in den Bundesländern ohne Pflicht, vorliegen kann, ist dann fraglich, wenn der Gastwirt ansonsten die Bedienung verweigert, da die Datenerhebung nicht zwingend für die Tätigkeit vorliegen muss. Jedenfalls liegt aber auch für diese Gastwirte aktuell eine Rechtfertigung dieser Datenerhebung gemäß Art. 6 Abs. 1 lit. f) DSGVO vor. Bei Abwägung der entgegenstehenden Interessen überwiegt das Interesse des Gastwirtes am Gesundheitsschutz seiner Kunden, das jedem Betroffenen auch zugutekommt. Zudem steht es Personen frei das entsprechende Restaurant nicht zu besuchen, wenn sie keine Erhebung ihrer Daten in Kauf nehmen möchten.

Wie die Datenerhebung genau ausgestaltet werden soll oder was die Gastwirte dabei zwingend beachten müssen, wurde nicht geregelt. Im Folgenden sollen einige Hinweise aufgestellt werden.

1.       Informierung der Kunden über die Datenerhebung und Speicherung

Der Gastwirt sollte die Kunden über Rechtsgrundlage zur Datenerhebung und Speicherung informieren. Diese stellt Art. 6 Abs. 1, lit. c) DSGVO in Verbindung mit der Verordnung des Landes dar, wenn diese den Gastwirt zur Datenerhebung verpflichtet. Wenn der Gastwirt nicht verpflichtet ist und die Datenerhebung auf freiwilliger Basis der Kunden erfolgt, ist sie durch eine Einwilligung gemäß Art. 6 Abs. 1, lit. a) DSGVO rechtmäßig. Wenn der Gastwirt nicht zur Erhebung verpflichtet ist, den Restaurantbesuch aber dennoch von der Zurverfügungstellung der Daten abhängig macht, ist sie, solange eine erhöhte Gefahr der Ansteckung besteht, nach Art. 6 Abs. 1, lit. f) DSGVO rechtmäßig. Der Gastwirt muss dann aber gegebenenfalls nachweisen können, dass er vor der Erhebung eine Interessenabwägung zwischen den Rechten der betroffenen Kunden auf informationelle Selbstbestimmung und ihrem Gesundheitsschutz vorgenommen hat.  

Weiterhin muss der Gastwirt die Kunden darüber informieren, wie lange die Daten gespeichert bleiben und dass sie hinterher gelöscht oder vernichtet werden.  In den Fällen, in denen die Erhebung durch eine Verordnung verpflichtend ist, muss der Gastwirt diese Dauer angeben. Auch in den übrigen Fällen sollte die Dauer der Speicherung drei bis vier Wochen nicht überschreiten, da hinterher der Zweck der Speicherung wegfällt.

2.       Schutz der Daten

Die Gastwirte sind, als Verantwortliche für die Daten, dazu verpflichtet, diese ausreichend zu schützen. Falls die Daten in Papierform vorliegen, sollten sie nicht offen herumliegen, sondern verschlossen aufbewahrt werden. In digitaler Form sollten übliche Sicherheitsstandards eingehalten werden und auch bei der Löschung dürfen sie nicht noch im Papierkorb verbleiben, wo sie eventuell durch Dritte eingesehen werden könnten.

Der Schutz der Daten beginnt aber bereits beim Schutz gegenüber den anderen Kunden. Jeder Kunde sollte seine Daten also einzeln übermitteln oder abgeben können. Nur eine Tabelle zu verwenden, in die sich alle Kunden des jeweiligen Tages einzutragen haben ist dagegen nicht erlaubt, weil sie allen übrigen Kunden ebenfalls die Einsichtnahme und den Zugriff auf die Daten gewähren würde. An dieser Stelle muss die Anlage der CoronaSchVO NRW kritisiert werden, die die Erhebung in Form von auf den Tisch liegenden Listen vorschreibt. Diese Formulierung ist bestenfalls irreführend und damit datenschutzrechtlich höchst problematisch.

3.       Umfang und Zweck der Datenerhebung

Wichtig ist, dass nur die gesetzlich vorgeschriebenen Daten erhoben werden. Für zusätzliche Daten, wie Anschriften, liegt keine Rechtfertigung vor. Auch bei der freiwilligen Datenerhebung sollte diese auf das Minimum beschränkt sein, das notwendig ist, um den Zweck der Erhebung zu erfüllen: Die Person im Falle der Erkrankung eines anderen Kunden über das Risiko zu informieren. Insofern ist auch der Scan oder die Anfertigung von Kopien des Personalausweises nicht erlaubt, weil damit der Umfang der Datenerhebung überschritten würde.

Festzuhalten bleibt: Bei aller Notwendigkeit der Vorsichtsmaßnahmen sollte der Datenschutz nicht aus dem Fokus geraten und kann mit einfacher Organisation gewährleistet bleiben.

(Beitrag ist mit Unterstützung von RA Joscha Falkenhagen verfasst worden)

Se­mi­nar zu Web 2.0, Web 3.0 und In­dus­trie 4.0 von Dr. Tho­mas Stög­mül­ler und Dr. Mi­cha­el Kar­ger

Die Rechtsanwälte von TCI Dr. Thomas Stögmüller und Dr. Michael Karger halten ein Seminar zum Recht des Web 2.0, Web 3.0 und der Industrie 4.0 Das Ganztagesseminar findet am 7. Oktober 2016 in Düsseldorf statt und wird von der DeutscheAnwaltAkademie veranstaltet.

Web 2.0, Web 3.0 und Industrie 4.0: Diese Begriffe stehen für die Erweiterung des sozialen und öffentlichen Raumes durch das Internet und dessen Vernetzung mit Cyber Physical Systems. Immer mehr Funktionalitäten verknüpfen „offline“ und „online“, IT und physische Welt. Diese zukunftsweisenden Technologien werfen eine große Bandbreite rechtlicher Fragen auf, die die Dozenten, die beide Partner bei TCI Rechtsanwälte München und Fachanwälte für Informationstechnologierecht sind, erörtern werden.

Die Themenschwerpunkte umfassen u.a. die Abgrenzung zwischen Telemedien und Telekommunikation, Datenschutz samt Datenschutz-Grundverordnung und Datensicherheit, die Rolle, Verantwortlichkeit und Haftung von Diensteanbietern, Fragen des Urheberrechts, des Persönlichkeitsrechts, des Wettbewerbsrechts und des Markenrechts sowie ein Überblick zu neuen Entwicklungen und rechtlichen Themen.