TCI Partner Schmidt von der WirtschaftsWoche als Legal All Star 2023 ausgezeichnet

Die WirtschaftsWoche hat erneut die Auszeichnung „Legal All Stars“ vergeben, bei der in jedem der 31 Rechtgebiete lediglich drei Anwältinnen oder Anwälte benannt werden. Im diesjährigen Ranking hat die WirtschaftsWoche unseren Mainzer Partner Stephan Schmidt als „Legal All Star 2023“ ausgezeichnet. In einem mehrstufigen Auswahlverfahren setzte er sich gegen die anderen Nominierten durch und erreichte den 1. Platz im Bereich IT-Recht.


Das Handelsblatt Research Institute (HRI) verschickte für die WirtschaftsWoche fast 26.000 Befragungen an Wirtschaftsanwält:innen. Die größte Gruppe stellen Anwält:innen für Gesellschafts- und Arbeitsrecht mit je mehr als 5600 Teilnehmenden, die kleinste Medizinrecht mit 511 Jurist:innen aus 333 Kanzleien. In die Riege der Legal All Stars schafften es insgesamt 92 Anwält:innen aus 63 Kanzleien. Zunächst wurden die Anwält:innen nach den renommiertesten Konkurrenten in ihrem Gebiet befragt, dann stimmte eine Jury aus Unternehmensjurist:innen, Professor:innen, Prozessfinanzierer:innen und Berater:innen ab, gewichtete und ergänzte.

Das komplette Ranking findet sich in Ausgabe 13 der Wirtschaftswoche vom 22.03.2024 und hier online.

Microsoft 365 und kein Ende

Der „Dauerbrenner“ Microsoft 365 beschäftigt nach wie vor die Datenschutz-Aufsichtsbehörden. Nun hat sich der Europäische Datenschutzbeauftragte (EDPS) zu Wort gemeldet, der als unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der EU zuständig ist.

Mit einer Entscheidung vom 11. März 2024 (https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en) hat der EDPS der EU-Kommission angewiesen, bis zum 9. Dezember 2024

  • alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben und die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen und
  • die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.

Die Entscheidung des EDPS stellt nicht auf die DSGVO, sondern auf die Verordnung 2018/1725 ab. Dabei handelt es sich um das Datenschutzrecht für Organe und Einrichtungen der EU. Die Verordnung entspricht jedoch inhaltlich weitgehend der DSGVO.

Nach der Meinung des EDPS hat die Kommission nicht ausreichend geprüft und vereinbart, welche personenbezogenen Daten von Microsoft zu welchen Zwecken verarbeitet und an Subunternehmer übermittelt werden.

Der Kommission wurde insbesondere aufgegeben,

  • ein „Transfer-Mapping“ durchzuführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien erfolgen. Dies soll auch Weiterübermittlung (onward transfers) beinhalten, d.h. die gesamte, von Microsoft eingesetzte Subunternehmer-Kette:

appraise […] what personal data will be transferred to which recipients in which third countries and for which purposes, thereby […] obtaining the minimum information necessary to determine whether any supplementary measures are required to ensure the essentially equivalent level of protection […]

Die Datenübermittlung an Subunternehmer in Drittländer ohne angemessenes Schutzniveau ist zu unterlassen.

  • ausdrücklich festzulegen, welche Daten zu welchen Zwecken von Microsoft verarbeitet werden und dabei den Zweckbindungsgrundsatz zu berücksichtigen:

sufficiently determine the types of personal data collected under the […] agreement concluded with Microsoft […] in relation to each of the purposes of the processing so as to allow those purposes to be specified and explicit; ensure that the purposes for which Microsoft is permitted to collect personal data [….] are specified and explicit; provide sufficiently clear documented instructions for the processing […]”.

Es muss transparent geregelt werden, welche Daten zu welchen Zwecken vereinbart werden. Diese Verarbeitungen müssen natürlich rechtmäßig sein. Insbesondere soll durch klare und detaillierte Regelungen sichergestellt werden, dass die Daten von Microsoft wirklich nur im Auftrag der Kommission genutzt werden.

Die Kritikpunkte des EDPS entsprechen dabei zum Teil der Kritik der deutschen Aufsichtsbehörden, die zuletzt in der „Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“ vom 2.11.2022 veröffentlicht wurde (https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf). Es bleibt abzuwarten, welche praktischen Konsequenzen die Entscheidung des EDPS für deutsche Unternehmen haben wird und ob die deutschen Aufsichtsbehörden die Entscheidung zum Anlass nehmen werden, ihre eigene Prüfungspraxis zu verschärfen.

Noch 500 Tage – Webseiten und Barrierefreiheit nach dem BFSG

Zum 28.6.2025 müssen die Pflichten aus dem Barrierefreiheitsstärkungsgesetz (BFSG) umgesetzt werden. Das BFSG dient der Implementierung der EU-Richtlinie 2019/882, “European Accessibility Act, in Deutschland. Beide Regelungen sowie die Verordnung zum Barrierefreiheitsstärkungsgesetz vom 22.6.2022 (BFSGV) sollen es ermöglichen, dass Verbraucher und Nutzer wesentliche Produkte und Dienstleistungen des täglichen Lebens barrierefrei nutzen können.

Webseiten und Webshops

Gemeinsam mit Ria Weyprecht, der Inhaberin von stolperfrei.digital Consulting, beleuchte ich aus dem Gesetz folgende Anforderungen in Deutschland. Wir betrachten dabei die Vorgaben für Internetseiten und Webshops aus technischer und rechtlicher Sicht.

  • Was ist der Zweck?
  • Welche Webseiten fallen unter Dienstleistungen im elektronischen Geschäftsverkehr
  • Wer ist verpflichtet?
  • Gibt es Ausnahmen?
  • Wie funktioniert die Umsetzung?
  • Gibt es fachliche und technische Vorgaben?

Antworten hierauf und auf weitere Fragen finden Sie in unserem Artikel:

Vollständiger Artikel auf versandhandesrecht.de

Produkte

Das BFSG geht aber über die Anwendbarkeit auf Webseiten weit hinaus. Nach § 1 Abs. 2 BFSG müssen bestimmte Produkte barrierefrei angeboten werden. Dies gilt vor allem für:

  • Hardwaresysteme (einschließlich Betriebssystem) für Verbraucher
  • Näher bestimmte Selbstbedienungsterminals (z.B. Zahlungsterminals, Geldautomaten, Fahrausweisautomaten)
  • Bestimmte Verbraucherendgeräte und E-Book-Lesegeräte

Das heißt unter anderem, dass künftig auch Geräte wie PC, Tabletts, Smartphones, die (auch) für Verbraucher bestimmt sind, barrierefrei sein müssen.

Sonstige Dienstleistungen

Neben die Auswirkungen auf Webseiten sind auch weitere Dienstleistungen betroffen. Hierzu zählen insbesondere:

  • Telekommunikationsdienste (zu einem großenTeil)
  • Bestimmte Elemente von Personenbeförderungsdiensten
  • Bankdienstleistungen für Verbraucher
  • E-Books
  • Andere Dienstleistungen im elektronischen Geschäftsverkehr 

Barrierefreiheit auf mehreren Ebenen

Für die Anbieter kann dies im Einzelfall bedeuten, dass Barrierefreiheit auf mehreren Ebenen umzusetzen ist. So muss in Bezug auf ein E-Book sowohl der Reader als auch das E-Book als auch die Webseite oder App, über die es vertrieben wird, den Anforderungen des BFSG genügen.

Anbieter und Händler müssen jetzt handeln, um ihre Produkte und Dienstleistungen rechtzeitig anzupassen. Sollten die Anforderungen an die Barrierefreiheit nicht erfüllt werden, darf die Leistung ab dem 28.6.2025 nicht mehr erbracht werden.

Wir stehen Ihnen gerne für Fragen zum BFSG zur Verfügung.

Der Mainzer TCI Partner Stephan Schmidt hat gemeinsam mit Dr. Udo Krauthausen von der Kanzlei Cadenberg (Gesellschaftsrecht) die Gesellschafter der Fasihi GmbH beim Verkauf an die BASF Digital Solutions GmbH beraten.

Mit dem Abschluss der Transaktion wird im Laufe des ersten Quartals 2024 gerechnet.

Digitalisierungsspezialist Fasihi GmbH

Die Fasihi GmbH (Ludwigshafen) ist ein anerkannter Spezialist in der Informations- und Kommunikationstechnologie und bietet effiziente Lösungen zur Optimierung und Digitalisierung von Geschäftsprozessen. Sie stellt der BASF bereits seit über 30 Jahren Softwarelösungen zur Verfügung.

BASF Digital Solution GmbH erwirbt Fasihi GmbH

Die BASF Digital Solutions GmbH erwirbt mit der Fasihi GmbH und der von dieser entwickelten Software auf das Unternehmen zugeschnittene Lösungen, die bereits in vielen Bereichen der BASF im Einsatz sind.

BASF profitiert von der langjährigen Erfahrungen und Kenntnissen über die BASF-Organisation und deren spezifischen Prozessen. BASF plant, die Gesellschaft Fasihi als Tochtergesellschaft der BASF Digital Solutions GmbH weiterzuführen.

Begleitung durch TCI Rechtsanwälte Mainz

Rechtsanwalt Schmidt berät die Fasihi GmbH bereits seit mehr als 15 Jahren zu IT- und datenschutzrechtlichen Fragestellungen. In der Vergangenheit betreute und verhandelte er auch die Kooperations- und Lizenzverträge zwischen der Fasihi GmbH und BASF.

Der Gründer der Fasihi GmbH, Saeid Fasihi, der nach Abschluss der Transaktion in den Ruhestand wechseln wird, zur Zusammenarbeit mit RA Schmidt:

„Ich bedanke mich für die jahrelange, vertrauensvolle und kompetenten Beratung der Fasihi GmbH durch Rechtsanwalt Schmidt und sein Team. Rechtsanwalt Schmidt hat uns von Anfang stets gut beraten und mit Ihm haben wir unser Erfolgsprodukt, dass Fasihi Enterprise Portal, 2004 eingeführt. Mit seiner Beratung beim Verkauf an die BASF schließt sich nun dieser Kreis.“

Stephan Schmidt informiert beim Webinar-Thementag der connect professional über die NIS2-Richtlinie

Am 30. Januar 2024 veranstaltet die Fachzeitschrift connect professional einen Webinar-Thementag rund um das Thema NIS2-Richtlinie. Mit dabei ist unser Mainzer Partner Stephan Schmidt, der erläutern wird, was es bei der Umsetzung der NIS-2-Richtline – insbesondere mit Blick auf die Besonderheiten der deutschen Umsetzung – zu beachten gibt, warum die geplanten Regelungen zumindest teilweise eine Handlungsanweisung in Sachen Cybersicherheit sind und warum es wichtig ist, sich frühzeitig mit diesen zu befassen.

Alle Informationen und kostenfreie Anmeldung unter https://event.gotowebinar.com/event/4b11413b-ef3d-428f-abf6-499c6ed2442e.

2-Tages-Webinar EVB-IT: Vertiefung und praktische Anwendung im Vergabeverfahren – 06. + 07.09.2023

Am Mittwoch und Donnerstag (jeweils 3 Stunden; 10 – 13 Uhr) folgt das Vertiefungs-Webinar zum Thema EVB-IT. Auch dieses wird von Norman Müller seit Jahren regelmäßig durchgeführt.

Die EVB-IT, die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen, sind mit Vertretern der IT-Industrie abgestimmte Vertragsbedingungen der Öffentlichen Hand, die diese zur Beschaffung von IT-Leistungen einsetzt. Die EVB-IT werden von einer Arbeitsgruppe aus Vertretern des Bundes, der Länder und von Gemeinden unter Leitung des Bundesministeriums des Innern, für Bau und Heimat erstellt und dann mit einer Delegation des BITKOM verhandelt. Die bisherigen Vertragstypen konnten im Ergebnis dieser Verhandlungen stets einvernehmlich veröffentlicht werden.

Die EVB-IT haben zwischenzeitlich die Vorgängerbedingungen, namentlich die „Besonderen Vertragsbedingungen für die Beschaffung DV-technischer Anlagen und Geräte“ (BVB) fast vollständig abgelöst. Die EVB-IT selbst existieren teilweise auch bereits in der zweiten Version. So wurden seit 2015 fast alle klassischen EVB-IT erfolgreich überarbeitet und in Version 2.0 veröffentlicht.

Sowohl im Bund als auch in den Ländern ist die Anwendung der EVB-IT bzw. der noch geltenden BVB aufgrund des Haushaltsrechts verbindlich vorgegeben. Für den Bund ergibt sich dies aus der Verwaltungsvorschrift zu § 55 BHO, in den Ländern aus der jeweiligen LHO und auf kommunaler Ebene zumeist aus entsprechenden Anwendungserlassen.

Dieses Webinar ist vor allem für Praktiker gedacht, die bereits Erfahrung im Umgang mit den EVB-IT haben, über Grundlagenwissen verfügen und ihre vorhandenen Kenntnisse vertiefen möchten.

Die Teilnehmer werden nach einer kurzen Einführung mit ausgewählten EVB-IT Vertragstypen im Detail vertraut gemacht. Breiten Raum nehmen die Übungen der praktischen Verwendung der EVB-IT und deren sinnvolle Einbeziehung in das Vergabeverfahren ein. Die Teilnehmer lernen insbesondere

  • wann welche EVB-IT Anwendung finden können und welche Spielräume hier bestehen
  • den praktischen Umgang mit den EVB-IT Vertragsformularen,
  • sinnvolle Ergänzungen und Änderungen der Standardregelungen
  • die Verwendung der EVB-IT im Vergabeverfahren, z.B.
    • wie die EVB-IT und die weiteren Vergabeunterlagen im Vergabeverfahren zusammenwirken und aufeinander abgestimmt werden
    • wie Preisblätter, Leistungsbeschreibungen und Bewertungsmatrices zur Verwendung mit den EVB-IT erstellt werden sollten
  • wie typische Fehler beim Ausfüllen der Vertragsformulare, bei der Änderung bzw. beim Hinzufügen eigener Regelungen und bei der Verwendung im Vergabeverfahren vermieden werden können.

Weitere Informationen zum Inhalt des Webinars finden Sie hier.

Die Anmeldung können Sie auf der Webseite des Führungskräfte Forums des Behördenspiegels vornehmen oder klicken Sie hier.

davit Mitglieder wählen TCI Partner in Geschäftsführenden Ausschuss

Die Mitgliederversammlung der Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein (davit) hat am 27.04.2023 den Mainzer TCI Partner Stephan Schmidt in den Geschäftsführenden Ausschuss gewählt. Der Geschäftsführende Ausschuss besteht aus sieben Mitgliedern und führt die Geschäfte der davit. Er wird alle zwei Jahre gewählt.

Stephan Schmidt engagiert sich bereits seit vielen Jahren als Gebietsleiter der davit und damit für die ideellen und wirtschaftlichen Interessen der IT-Anwaltschaft. Gemeinsam mit Dr. Thomas Lapp organsiert er den Frankfurter IT-Rechtstag, der eine feste Institution unter den bundesweit stattfindenden IT-Rechtstagen ist und sich insbesondere durch seinen interdisziplinären Ansatz auszeichnet.

Wir wünschen Stephan Schmidt viel Spaß und Erfolg bei seiner neuen Aufgabe.

Wie kommt man eigentlich zum IT-Recht?

Diese Frage hat unser Mainzer Partner Stephan Schmidt im Rahmen einer Interviewreihe den Gastgebern der Reihe Michael Rohrlich und Marc Oliver Thoma beantwortet. Er hat dabei über seine Ausbildung und was er eigentlich in San Diego gemacht hat, aber auch über den Beginn seiner Tätigkeit als selbstständiger Rechtsanwalt und aktuelle Themen gesprochen. Herausgekommen ist ein kurzweiliges Gespräch, mit dem einen oder anderen Einblick in die Tätigkeit eines IT- und Datenschutzrechtlers.

Das Gespräch ist hier bei YouTube abrufbar.

Kölner Tage IT-Recht

Wir freuen uns, auch dieses Jahr wieder aktiv bei den Kölner Tagen IT-Recht mitzuwirken: Dr. Truiken Heydn als Co-Tagungsleiterin und Dr. Michael Karger als Referent zum Thema Auslagerung in die US-Cloud aus Kunden-Perspektive.

Dr. Stefan Brink ist seit dem 1. Dezember 2016 der Landesbeauftragte für den Datenschutz des Landes Baden-Württemberg. Er hat an unserem TCI-Datenschutztag vom 22.09.2022 in einer interaktiven Diskussionsrunde Näheres zu den Aufgaben der datenschutzrechtlichen Aufsichtsbehörden sowie zum aktuellen Stand des internationalen Datentransfers ausgeführt.

Was macht eigentlich eine datenschutzrechtliche Aufsichtsbehörde?

Die Aufsichtsbehörde ist seit 2018 besonders intensiv in der Beratung unterwegs und berät Bürger, Unternehmen und Behörden – insbesondere in letzter Zeit zur Corona-Verordnung, zu Bildungsplattformen und Proctoring an Hochschulen. Ein weiterer Schwerpunkt ist die Beratung von Unternehmen und Vereinen mit Themen wie 3G am Arbeitsplatz, Lohnfortzahlung im Quarantänefall sowie die Zusammenarbeit mit Institutionen.

In Zahlen lässt sich festhalten, dass der LfDI Baden-Württemberg circa 5000 Beschwerden und 3000 Datenpannenmeldungen pro Jahr erhält. Bei den Datenpannenmeldungen hat ein enormer Anstieg stattgefunden – nicht nur aufgrund der erweiterten Meldepflichten der DSGVO, sondern u.a. wegen neuer Sicherheitslücken wie z.B. die MS Exchange-Sicherheitslücke in 2021. Deutschland ist europaweit das Land mit den meisten Datenpannenmeldungen – vermutlich nicht, weil die IT in Deutschland besonders unsicher ist, sondern eher aufgrund der starken Aufsichts- sowie Melde-„Kultur“.

Auch die Beschwerden haben sich zwischen 2016 und 2021 verdoppelt. Besonders Betroffenen-Themen, wie Beschäftigten-Datenschutz (gleichermaßen im öffentlichen und privaten Sektor) vermehren sich.

Aufgrund dieser hohen Zahlen setzt Baden-Württemberg vermehrt auf automatisierte Kontrollen und Bescheide. Zudem verhängt die Aufsichtsbehörde vorrangig Bußgelder in Fällen, die auch vor Gericht voraussichtlich Aussicht auf Erfolg haben, um die Arbeitslast zu verringern. Vor Gericht haben vorwiegend einfach strukturierte Fälle, die nachweisbar sowie prüfbar sind, eher Aussicht auf Erfolg. Ferner besteht in Baden-Württemberg eine strikte Trennung zwischen der Beratung und den Bußgeldverfahren. Zwischen diesen Abteilungen fließen keine Informationen. Dies ermöglicht es Bürgern und Unternehmen sich zu informieren, ohne gleich ein Bußgeld befürchten zu müssen.

Europäische Perspektiven

Der europäische Datenschutzausschuss arbeitet und funktioniert nach Aussage von Dr. Brink gut. Alle sechs Wochen finden Treffen der europäischen Aufsichtsbehörden der Mitgliedstaaten statt. Es wird dabei versucht, weitestgehend einen einheitlichen Vollzug im Datenschutz zu realisieren. Dies ist jedoch ein langer Prozess, da es sich letztlich um die Vereinheitlichung der europäischen Verwaltungskultur handelt.

Auch wenn noch Nachbesserungsbedarf an der DSGVO besteht, sind bereits informelle (Kommunikation mit US-Unternehmen) wie auch formale (Anordnungen/Bußgelder) Vollzugserfolge zu sehen. Allerdings wird die Uneinheitlichkeit des Vollzugs und der Rechtsprechung in den europäischen Ländern zum Teil ausgenutzt. Zum Beispiel wird ein deutscher Richter vermutlich kein Bußgeld verhängen, wenn der Beklagte belegen kann, dass in einem anderen Land für seine Handlung kein Bußgeld verhängt werden würde. Zurzeit ist ein Wachstum bei dem Gesamtumfang an Bußgeldern sowie deren Höhe in Europa zu sehen. Im Vergleich zum Vorjahr liegt bereits eine Erhöhung von rund 50% vor. Das mag auch daran liegen, dass sich einige Aufsichtsbehörden im EU-Ausland aus den eingetriebenen Bußgeldern (mit-)finanzieren.

Außereuropäische Datentransfers – Schrems II und die Perspektiven

Zum Dauerbrennerthema der Datenübermittlung in das Nicht-EU-Ausland und zur Schrems II-Problematik wird voraussichtlich für Mitte 2023 eine Lösung in Form des „Trans-Atlantic Data Privacy Frameworks“ erwartet – jedenfalls hinsichtlich Datentransfers in die USA.

Bis dahin gilt leider nach wie vor:

  • Geeignete Garantien (Art. 46 DSGVO) durch Standarddatenschutzklauseln und Binding Corporate Rules (BCR) (Art. 47 DSGVO) sind nach Schrems II problematisch.
  • Ausnahmetatbestände (Art. 49 DSGVO), insbesondere die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO, sind nur schwer umzusetzen. Eine „informierte Einwilligung“ erfordert eine gute Kenntnis der anderen Landes-Rechtsordnung sowie ständige Aktualisierungen aufgrund neuer Gesetze und Rechtsprechung im jeweiligen Zielland. Nach Auffassung der Aufsichtsbehörden soll zudem die Einwilligung nur in Ausnahme- bzw. Einzelfällen zur Anwendung kommen.

Die derzeit beliebten TIA (Transfer Impact Assessment) sind nach Auffassung von Dr. Brink von eher zweifelhaftem Nutzen. TIA sind in der Welt des Datenschutzes relativ neu – es handelt sich um eine Risikobewertung für Datenübermittlung in unsichere Drittländer. Die Risikobewertung – vor allem die Prüfung der Rechtslage im „Zielland“ – erfordert jedoch einen unverhältnismäßig hohen Aufwand. Dabei ist auch zu beachten, dass die TIA ein dauerhafter Prozess ist und diese regelmäßig überprüft werden muss: schließlich können sich Gesetze und Rechtsprechung im Zielland ändern. Die meisten Aufsichtsbehörden gehen bei der Prüfung von Auslandsübermittlung jedoch mit Augenmaß vor und sind sich ihres Ermessenspielraums bewusst. Zurückhaltung wird oft dann ausgeübt, wenn der Auslands-Dienstleister „alternativlos“ ist, d.h. wenn es keine zumutbaren Alternativangebote ohne Transferproblematik gibt. Verantwortliche sollten deshalb dringend intern dokumentieren, weshalb sie auf einen bestimmten Auslands-Dienstleister angewiesen sind.