Wir freuen uns, auch dieses Jahr wieder aktiv bei den Kölner Tagen IT-Recht mitzuwirken: Dr. Truiken Heydn als Co-Tagungsleiterin und Dr. Michael Karger als Referent zum Thema Auslagerung in die US-Cloud aus Kunden-Perspektive.
Dr. Stefan Brink ist seit dem 1. Dezember 2016 der Landesbeauftragte für den Datenschutz des Landes Baden-Württemberg. Er hat an unserem TCI-Datenschutztag vom 22.09.2022 in einer interaktiven Diskussionsrunde Näheres zu den Aufgaben der datenschutzrechtlichen Aufsichtsbehörden sowie zum aktuellen Stand des internationalen Datentransfers ausgeführt.
Was macht eigentlich eine datenschutzrechtliche Aufsichtsbehörde?
Die Aufsichtsbehörde ist seit 2018 besonders intensiv in der Beratung unterwegs und berät Bürger, Unternehmen und Behörden – insbesondere in letzter Zeit zur Corona-Verordnung, zu Bildungsplattformen und Proctoring an Hochschulen. Ein weiterer Schwerpunkt ist die Beratung von Unternehmen und Vereinen mit Themen wie 3G am Arbeitsplatz, Lohnfortzahlung im Quarantänefall sowie die Zusammenarbeit mit Institutionen.
In Zahlen lässt sich festhalten, dass der LfDI Baden-Württemberg circa 5000 Beschwerden und 3000 Datenpannenmeldungen pro Jahr erhält. Bei den Datenpannenmeldungen hat ein enormer Anstieg stattgefunden – nicht nur aufgrund der erweiterten Meldepflichten der DSGVO, sondern u.a. wegen neuer Sicherheitslücken wie z.B. die MS Exchange-Sicherheitslücke in 2021. Deutschland ist europaweit das Land mit den meisten Datenpannenmeldungen – vermutlich nicht, weil die IT in Deutschland besonders unsicher ist, sondern eher aufgrund der starken Aufsichts- sowie Melde-„Kultur“.
Auch die Beschwerden haben sich zwischen 2016 und 2021 verdoppelt. Besonders Betroffenen-Themen, wie Beschäftigten-Datenschutz (gleichermaßen im öffentlichen und privaten Sektor) vermehren sich.
Aufgrund dieser hohen Zahlen setzt Baden-Württemberg vermehrt auf automatisierte Kontrollen und Bescheide. Zudem verhängt die Aufsichtsbehörde vorrangig Bußgelder in Fällen, die auch vor Gericht voraussichtlich Aussicht auf Erfolg haben, um die Arbeitslast zu verringern. Vor Gericht haben vorwiegend einfach strukturierte Fälle, die nachweisbar sowie prüfbar sind, eher Aussicht auf Erfolg. Ferner besteht in Baden-Württemberg eine strikte Trennung zwischen der Beratung und den Bußgeldverfahren. Zwischen diesen Abteilungen fließen keine Informationen. Dies ermöglicht es Bürgern und Unternehmen sich zu informieren, ohne gleich ein Bußgeld befürchten zu müssen.
Europäische Perspektiven
Der europäische Datenschutzausschuss arbeitet und funktioniert nach Aussage von Dr. Brink gut. Alle sechs Wochen finden Treffen der europäischen Aufsichtsbehörden der Mitgliedstaaten statt. Es wird dabei versucht, weitestgehend einen einheitlichen Vollzug im Datenschutz zu realisieren. Dies ist jedoch ein langer Prozess, da es sich letztlich um die Vereinheitlichung der europäischen Verwaltungskultur handelt.
Auch wenn noch Nachbesserungsbedarf an der DSGVO besteht, sind bereits informelle (Kommunikation mit US-Unternehmen) wie auch formale (Anordnungen/Bußgelder) Vollzugserfolge zu sehen. Allerdings wird die Uneinheitlichkeit des Vollzugs und der Rechtsprechung in den europäischen Ländern zum Teil ausgenutzt. Zum Beispiel wird ein deutscher Richter vermutlich kein Bußgeld verhängen, wenn der Beklagte belegen kann, dass in einem anderen Land für seine Handlung kein Bußgeld verhängt werden würde. Zurzeit ist ein Wachstum bei dem Gesamtumfang an Bußgeldern sowie deren Höhe in Europa zu sehen. Im Vergleich zum Vorjahr liegt bereits eine Erhöhung von rund 50% vor. Das mag auch daran liegen, dass sich einige Aufsichtsbehörden im EU-Ausland aus den eingetriebenen Bußgeldern (mit-)finanzieren.
Außereuropäische Datentransfers – Schrems II und die Perspektiven
Zum Dauerbrennerthema der Datenübermittlung in das Nicht-EU-Ausland und zur Schrems II-Problematik wird voraussichtlich für Mitte 2023 eine Lösung in Form des „Trans-Atlantic Data Privacy Frameworks“ erwartet – jedenfalls hinsichtlich Datentransfers in die USA.
Bis dahin gilt leider nach wie vor:
- Geeignete Garantien (Art. 46 DSGVO) durch Standarddatenschutzklauseln und Binding Corporate Rules (BCR) (Art. 47 DSGVO) sind nach Schrems II problematisch.
- Ausnahmetatbestände (Art. 49 DSGVO), insbesondere die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO, sind nur schwer umzusetzen. Eine „informierte Einwilligung“ erfordert eine gute Kenntnis der anderen Landes-Rechtsordnung sowie ständige Aktualisierungen aufgrund neuer Gesetze und Rechtsprechung im jeweiligen Zielland. Nach Auffassung der Aufsichtsbehörden soll zudem die Einwilligung nur in Ausnahme- bzw. Einzelfällen zur Anwendung kommen.
Die derzeit beliebten TIA (Transfer Impact Assessment) sind nach Auffassung von Dr. Brink von eher zweifelhaftem Nutzen. TIA sind in der Welt des Datenschutzes relativ neu – es handelt sich um eine Risikobewertung für Datenübermittlung in unsichere Drittländer. Die Risikobewertung – vor allem die Prüfung der Rechtslage im „Zielland“ – erfordert jedoch einen unverhältnismäßig hohen Aufwand. Dabei ist auch zu beachten, dass die TIA ein dauerhafter Prozess ist und diese regelmäßig überprüft werden muss: schließlich können sich Gesetze und Rechtsprechung im Zielland ändern. Die meisten Aufsichtsbehörden gehen bei der Prüfung von Auslandsübermittlung jedoch mit Augenmaß vor und sind sich ihres Ermessenspielraums bewusst. Zurückhaltung wird oft dann ausgeübt, wenn der Auslands-Dienstleister „alternativlos“ ist, d.h. wenn es keine zumutbaren Alternativangebote ohne Transferproblematik gibt. Verantwortliche sollten deshalb dringend intern dokumentieren, weshalb sie auf einen bestimmten Auslands-Dienstleister angewiesen sind.
Sabine Brumme, Rechtsanwältin und Partnerin von TCI Rechtsanwälte, wurde zum Sommersemester 2022 zur Lehrbeauftragten der h_da, Hochschule Darmstadt ernannt. Sie hält im Rahmen des Studiengangs Informationsrecht (LL.B.) die Vorlesung „IT-Recht II“.
Mit der EU-Whistleblower-Richtline EU 2019/1937 vom 23.10.2019 verpflichteten sich die Mitgliedsstaaten Unternehmen mit mindestens 250 Mitarbeitern* vorzuschreiben, eine Hinweisgeberstelle für Rechtsverstöße im Unternehmen einzurichten. Ab dem 17.12.2023 soll die Verpflichtung auch auf kleinere Unternehmen, mit mehr als 50 Mitarbeitern, erweitert werden.
Die Umsetzung der Richtlinie in nationales Recht sollte bis zum 17.12.2021 erfolgen. Diese Frist wurde allerdings vom deutschen Gesetzgeber verpasst, u. a., weil keine Einigung über den Umfang der zu meldenden Verstöße herrschte. Wegen fehlender Umsetzungen leitete die Europäische Kommission anschließend gegen Deutschland sowie gegen 25 weitere Mitgliedsstaaten Vertragsverletzungsverfahren ein. Die fehlenden Umsetzungen erzeugen nun eine gewisse Rechtsunsicherheit für Unternehmen.
Inhalt der Whistleblower-Richtlinie
Die Richtlinie sieht vor, dass Mitarbeiter bei den einzurichtenden Hinweisgeberstellen anonym melden können, wenn sie im Unternehmen Verstöße gegen EU-Recht empfinden. Hierdurch sollen Rechtsverstöße besser aufgedeckt und unterbunden werden und die Möglichkeiten der Rechtsdurchsetzung für die Betroffenen verbessert werden.
Eine weitergehende Verpflichtung kann die Europäische Union mangels Gesetzgebungskompetenz nicht vorschreiben. Den Mitgliedsstaaten soll es aber freistehen, die Hinweisgeberstellen auch auf Verstöße gegen nationales Recht zu erweitern.
Die neue Bundesregierung kündigte an, die Richtlinie im ersten Quartal 2022 durch den Erlass eines „Hinweisgeberschutzgesetzes“ (HinSchG) umsetzen zu wollen. Dabei sollen Mitarbeiter tatsächlich die Möglichkeit erhalten, nicht nur empfundene Verstöße gegen EU-Recht, sondern auch gegen deutsches Recht oder sonstiges erhebliches Fehlverhalten melden zu können.
Da Hinweisgeber sich beim Bekanntwerden von Meldungen innerhalb ihres Unternehmens unbeliebt machen könnten, sieht die Whistleblower-Richtlinie in Art. 19, 20 und 21 einen Schutz vor Repressalien wie Kündigungen oder Versetzungen vor. Auch diese Schutzmaßnahmen sollen im „HinSchG“ wohl inhaltlich noch erweitert werden.
Weder die Details der geplanten Ausgestaltung dieses Schutzes und hierdurch entstehender zusätzlicher Pflichten eines Arbeitgebers noch die weitere Ausgestaltung der deutschen Umsetzung sind jedoch bisher bekannt. Etwa ob innerhalb eines Konzerns eine zentrale Hinweisgeberstelle für die Mitarbeiter sämtlicher Gesellschaften ausreicht oder jede Gesellschaft eine eigene Stelle einrichten muss.
Folgen der fehlenden Umsetzung
Da Deutschland die Frist zur Umsetzung und Ausgestaltung der Richtlinie in deutsches Recht verpasst hat, stellt sich für Unternehmen hierzulande nun die Frage, ob sie nun dennoch verpflichtet sind, bereits jetzt eine Hinweisgeberstelle einzurichten, was entweder intern oder auch extern erfolgen kann.
Prinzipiell kann eine nicht umgesetzte EU-Richtlinie nach dem Ende der Umsetzungsfrist selbst eine unmittelbare Wirkung entfalten. Dafür muss die Richtlinie von der EU so genau bestimmt worden sein, dass die Handlungspflicht bereits eindeutig ist. Sie darf auch nicht von zusätzlichen Bedingungen abhängig sein oder zu ihrer Anwendung weitere Rechtsvorschriften bedürfen. All diese Bedingungen dürften bei der EU-Whistleblower-Richtline vorliegen.
Dennoch kann sich ein Bürger nur gegenüber dem Staat auf die nicht umgesetzte Richtlinie berufen, nicht jedoch gegenüber anderen Privatpersonen. Momentan kann sich ein Arbeitnehmer also beispielsweise noch nicht auf den erweiterten Kündigungsschutz berufen, sodass Unternehmen durch die fehlende Umsetzung keine negativen Konsequenzen entstehen. Zugleich müssen staatliche Organisationen aber bereits jetzt eine Hinweisgeberstelle einrichten, bei der Verstöße gegen EU-Recht gemeldet werden können.
Fazit
Momentan sind Unternehmen noch nicht verpflichtet, Hinweisgeberstellen vorzuhalten. Zudem ist die Ausgestaltung des geplanten Hinweisgeberschutzgesetzes noch unklar. Dennoch ist es für Unternehmen sinnvoll, gerade in Konzernstrukturen, die Einrichtung entsprechender Stellen bereits jetzt vorzubereiten, da diese aufwändig und zeitintensiv sein könnte. Bei der Einrichtung einer Hinweisgeberstelle sind u. a. auch datenschutzrechtliche Rahmenbedingungen zu schaffen, z. B. eine sichere Möglichkeit der Kommunikation mit der Hinweisgeberstelle. Im Einzelfall ist zudem eine sog. Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen, die grundsätzlich erforderlich ist bei einer Form der Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wenn man berücksichtigt, dass über die Hinweisgeberstelle ggf. Daten über potenziell strafrechtlich relevantes Verhalten verarbeitet werden und für den Hinweisgeber zudem das greifbare Risiko besteht, dass seine Anonymität nicht geschützt wird, dann erscheint eine Datenschutz-Folgenabschätzung somit notwendig, ebenso wie eine Abstimmung mit dem betrieblichen Datenschutzbeauftragten.
*Aus Gründen der vereinfachten Lesbarkeit wird lediglich die grammatikalisch männliche Form genannt, gemeint sind jedoch Beschäftigte jeder Geschlechteridentität.
Die Transaktion: Die Aareon AG, Europas führendes Unternehmen für Immobiliensoftware, hat am 10. Oktober 2021 einen Vertrag zum Erwerb von hundert Prozent der Anteile an der GAP Gesellschaft für Anwenderprogramme und Organisationsberatung mbH („GAP-Group“) unterzeichnet. Mit dieser Akquisition stärkt die Aareon Gruppe ihre Marktposition in Deutschland und erweitert ihr Angebotsportfolio um die branchenspezifische ERP-Software immotion.
„Mit der Akquisition der GAP-Group erweitern wir unser ERP-Angebot in Deutschland. Die GAP-Kunden können künftig von einem größeren Produktportfolio profitieren, beispielsweise im Hinblick auf weitere digitale Lösungen, die wir gemeinsam integrieren und anbieten werden.“ sagt Dr. Manfred Alflen, Vorstandsvorsitzender der Aareon AG.
Die GAP-Group wird auch unter dem Dach der Aareon Gruppe mit einem eigenständigen Marktauftritt vertreten sein.
TCI hat ihm Rahmen der Transaktion die Due Diligence in den Bereichen IT, IP, Datenschutz und Commercial durchgeführt und beim Kaufvertrag beraten und verhandelt. Zudem haben MUTTER & KRUCHEN (Gesellschaftsrecht), ALTENBURG (Arbeitsrecht) sowie Warth & Klein Grant Thornton AG (Steuern/Finanzen) die Akquisitionen für die Aareon AG beraten.
Die Unternehmen:
Aareon ist der führende Anbieter von ERP-Software und digitalen Lösungen für die europäische Immobilienwirtschaft und ihre Partner. Das Unternehmen digitalisiert die Branche mit nutzerorientierten Softwarelösungen. Diese vereinfachen und automatisieren Prozesse, unterstützen nachhaltiges und energieeffizientes Handeln und vernetzen die Prozessbeteiligten.
Europaweit verwalten rund 4.000 Kunden des Technologieführers mehr als 11 Mio. Einheiten. Die Aareon Gruppe ist ein internationales Unternehmen mit Standorten in der DACH-Region, Finnland, Frankreich, Großbritannien, den Niederlanden, Norwegen und Schweden. In Rumänien ist Aareon mit einer Entwicklungsgesellschaft tätig. Die Aareon Gruppe beschäftigt über 1.800 Mitarbeiter, davon mehr als 40 % in ihren internationalen Tochtergesellschaften. Im Jahr 2020 erzielte Aareon einen Umsatz von 258 Mio. € und ein Adjusted EBITDA von 62 Mio. €.
Die GAP-Group gehört seit 40 Jahren zu den führenden Herstellern branchenspezifischer Unternehmenssoftware in der Wohnungswirtschaft. Das Leistungsangebot umfasst insbesondere das moderne ERP-System immotion, integrierte Services, Portallösungen sowie Beratungs- und Supportleistungen.
Die WirtschaftsWoche zeichnet TCI Rechtsanwälte als „TOP Kanzlei IT-Recht 2021“ aus und empfiehlt Dr. Michael Karger und Stephan Schmidt jeweils als „TOP Anwalt IT-Recht 2021“.
Die WirtschaftsWoche hat die TOP Kanzleien für IT-Recht 2021 und 33 TOP Anwältinnen und Anwälte für IT-Recht 2021 ermittelt. Zum wiederholten Mal wurde TCI Rechtsanwälte als TOP Kanzlei und Dr. Michael Karger als TOP Anwalt ausgezeichnet. Erstmals wurde in diesem Jahr auch der Mainzer Partner Stephan Schmidt in dieses exklusive Ranking aufgenommen.
Das Ranking basiert auf einer Umfrage des Handelsblatt Research Institute unter über 1070 Juristen aus 152 Kanzleien nach ihren renommiertesten Kollegen im IT-Recht und Datenschutzrecht. Nach Bewertung der Jury setzten sich für das IT-Recht 24 Kanzleien mit 33 Anwälten. Zur Jury gehörten Thomas Karst (Rolls-Royce), Philipp Haas (Bosch), Claas Westermann (RWE) und Achim Schunder (C.H. Beck Verlag).
Das Ranking ist auf Seite 95 der 32. Ausgabe der WirtschaftsWoche vom 06.08.2021 veröffentlicht.
Die Transaktion: Nimbus erwirbt das gesamte Service- Ersatzteilgeschäft des Geschäftsbereich Paint&Assembly der EISENMANN-Gruppe und führt auch das Projekt- und Retrofit-Geschäft fort.
Die mit dem Insolvenzverwalter Joachim Exner erzielte Investorenlösung umfasst neben dem gesamten Service- Ersatzteilgeschäft auch die Fortführung des Projekt- und Retrofit-Geschäftes der Eisenmann-Sparte Paint&Assembly. „Mit dem Verkauf bleiben nicht nur ein wesentlicher Teil des Kerngeschäfts und der Technologie von Eisenmann sondern auch 110 Arbeitsplätze erhalten“, betonte Exner. „Er stellt vor allem auch sicher, dass die weltweit über 500 Eisenmann-Lackieranlagen weiter mit Service und Ersatzteilen bedient werden – und zwar über die gesamte Produktpalette.“
Erwerber ist der niederländische Beteiligungsfonds Nimbus, die u.a. auch am Anlagenbauer für Oberflächentechnik Sturm Gruppe, Salching, beteiligt ist. Nimbus ist auf die Übernahme von Unternehmen in Turn-Around-Situationen spezialisiert „Nimbus ist ein Investor, der strategisch hervorragend zu Eisenmann passt“, betonte Exner. „Die Gruppe verfügt über ausgeprägtes Branchen-Know-how im Anlagebau.“
Unter Federführung des langjährigen Beraters von Nimbus, Rechtsanwalt und Notar Oliver Thum, haben Stephan Schmidt, TCI Rechtsanwälte Mainz (IT-Recht und Datenschutz), Georg Melzer, Frankfurt am Main (Arbeitsrecht), Markus Fünning, Kanzlei PLUTA, Ulm (Insolvenzrecht) und Florian Heim, Wunderlich & Heim, München (IP-Recht), die als Asset Deal strukturierten Akquisitionen auf Seiten von Nimbus beraten.
Insolvenzverwalter Exner wurde von einem Team von Clifford Chance, Frankfurt a.M. beraten.
Thum, Melzer und Schmidt stehen Nimbus regelmäßig schon seit langem in den deutschen Transaktionen von Nimbus beratend zur Seite. Fünning war das erste Mal auf Seiten von Nimbus tätig, Heim wurde als Berater der Sturm Gruppe für die komplexen patent- und lizenzrechtlichen Themen dieser Transaktion mandatiert.
Unsere Partnerin Dr. Truiken J. Heydn erhielt vom Handelsblatt/Best Lawyers die Auszeichnung „Anwalt des Jahres 2017“ für den Bereich „Internationale Schiedsgerichtsbarkeit“. Darüber hinaus wurde sie erneut auch für die Bereiche „Schiedsverfahren / Streitbeilegung / Mediation“ sowie „Prozessführung“ ausgezeichnet.
Für den Bereich IT-Recht erhielten unsere Partner Dr. Andreas Stadler, Dr. Michael Karger, Dr. Thomas Stögmüller sowie Stephan Schmidt erneut Auszeichnungen. Unser Partner Harald Krüger wurde erneut im Bereich Arbeitsrecht ausgezeichnet.
Die komplette Liste können Sie hier abrufen.
Nach 2015 und 2016 wird TCI auch das 3. Göttinger Forum IT-Recht am 22. und 23. Februar 2017 sponsern, das von den Lehrstühlen Prof. Dr. Andreas Wiebe, LL.M., Prof. Dr. Gerald Spindler und Prof. Dr. Torsten Körber, LL.M. ausgerichtet wird. Das Thema der mit hochkarätigen Experten besetzen Veranstaltung lautet „Mit Recht in die digitale Zukunft – Die Welt wird smart“. Das Programm und die Anmeldung sind der Homepage des Veranstalters www.goettingen-itrecht.de zu entnehmen.
