Unsere Partnerin Dr. Truiken Heydn hat die neuen Kapitel zu Schiedsverfahren, IT-Litigation und typischen Streitpunkten in IT-Streitigkeiten in der neuen Auflage des Praxishandbuchs Softwarerecht von Marly verfasst, die heute erschienen ist. Das Praxishandbuch Softwarerecht gilt seit vielen Jahren als die „Bibel“ des Softwarerechts. Die Kapitel geben einen Überblick für alle Juristen, die mit einem gescheiterten IT-Projekt konfrontiert sind. Auch wer IT-Verträge verfasst und der Streitbeilegungsklausel die notwendige Aufmerksamkeit widmen will, findet dort eine Fülle an nützlichen und praktischen Informationen.

TCI Rechtsanwälte und Rechtsanwalt Stephan Schmidt im Kanzleimonitor 2024/25 ausgezeichnet

TCI Rechtsanwälte und Rechtsanwalt Stephan Schmidt wurden im aktuellen Kanzleimonitor 2024/25 des diruj Deutsches Institut für Rechtsabteilungen und Unternehmensjuristen für ihre Expertise im IT-Recht und Datenschutzrecht ausgezeichnet. TCI Rechtsanwälte konnte sich unter den führenden Kanzleien in beiden Rechtsgebieten platzieren. Rechtsanwalt Stephan Schmidt wurde als einer der führenden Anwälte sowohl im Bereich IT-Recht als auch im Datenschutzrecht gelistet.

Der Kanzleimonitor basiert auf einer umfassenden Befragung von Unternehmensjuristen und Rechtsabteilungen. Für die aktuelle Ausgabe 2024/2025 wurden 9.868 Empfehlungen aus 649 Unternehmen ausgewertet. Die Empfehlungen stammen ausschließlich von Unternehmensjuristen, die ihre Erfahrungen mit externen Rechtsberatern teilen. Durch dieses Konzept liefert der Kanzleimonitor einen wertvollen Überblick über die Mandatierungspraxis deutscher Unternehmen.

„Wir freuen uns sehr über diese erneute Auszeichnung“, kommentiert Stephan Schmidt. „Sie bestätigt unsere Arbeit und die langjährige Zusammenarbeit mit unseren Mandanten in den hochspezialisierten Rechtsgebieten IT-Recht und Datenschutz. Sie motiviert uns, unsere Mandanten auch weiterhin auf höchstem Niveau zu beraten.“

Neues zu „pay-or-consent“-Modellen

In Ergänzung zum Artikel zur Stellungnahme des Europäischen Datenschutzausschusses zu „pay-or-consent“-Modellen vom 31.05.2024:

Parallel zum Europäischen Datenschutzausschuss (EDSA) befasst sich mittlerweile auch die Europäische Kommission mit den „pay-or-consent“-Modellen von Meta, dem Konzern hinter Facebook und Instagram. Sie hat bereits am 25. März 2024 ein Verfahren gegen Meta eingeleitet. Die Kommission untersucht, ob Meta mit ihrem „pay-or-consent“-Modell gegen das Gesetz über digitale Märkte (DMA) verstößt.

Gesetz über digitale Märkte

Das Gesetz über digitale Märkte beschäftigt sich mit dem Wettbewerb im digitalen Raum. Unternehmen mit einer marktbeherrschenden Stellung in bestimmten Bereichen der Internetwirtschaft gelten als Gatekeeper und müssen sich so verhalten, dass sie den Wettbewerb nicht verhindern. Meta wurde im Rahmen des DMA als Gatekeeper eingestuft  und muss daher strenge Regeln einhalten, um Wettbewerb zu ermöglichen. Aufgrund ihrer starken Stellung auf digitalen Märkten können Gatekeeper ihrer großen Nutzerzahl Dienstleistungsbedingungen auferlegen, die es ihnen ermöglichen, riesige Mengen personenbezogener Daten zu sammeln. Damit sind sie gegenüber Wettbewerbern, die keinen Zugang zu einer solch großen Datenmenge haben, deutlich im Vorteil, was zu hohen Hürden für die Online-Werbung und Diensten für soziale Netze geführt hat.

Meta hatte im Rahmen dessen das „pay-or-okay“-Modell eingeführt, bei dem die Nutzer von Meta-Netzwerken in der EU zwischen einem monatlichen Abonnement einer werbefreien Version oder dem kostenlosen Zugang zu einer Version dieser sozialen Netze mit personalisierten Anzeigen wählen mussten.

Untersuchung durch EU-Kommission

Margarethe Vestager, die für Wettbewerbspolitik zuständige Vizepräsidentin der Europäischen Kommission, sagte im Rahmen einer Pressekonferenz dazu: „Wir haben den Verdacht, dass die von den drei Unternehmen [Google, Apple und Meta] vorgeschlagenen Lösungen nicht vollständig im Einklang mit dem DMA stehen.“

Die Untersuchung wird voraussichtlich innerhalb von 12 Monaten nach der Eröffnung abgeschlossen sein, die Kommission hat jedoch bereits im Juli vorläufige Ergebnisse in einer Pressemitteilung veröffentlicht. Darin hat sie nun vorläufig festgestellt, dass Metas „pay-or-okay“-Modelle gegen das Gesetz über digitale Märkte verstößt.
Im Mittelpunkt der Untersuchung steht Art. 5 Abs. 2 des Gesetzes über digitale Märkte. Danach müssen Gatekeeper die Einwilligung der Nutzer in die Zusammenführung der Daten aus dienstübergreifenden Systemen einholen und dem Endnutzer dabei eine spezifische Wahl geben. Verweigert ein Nutzer eine solche Einwilligung, so sollten sie Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative haben. Gatekeeper dürfen den Dienst oder bestimmte Funktionalitäten nicht von der Einwilligung der Nutzer abhängig machen. Die von Meta angebotene Alternative zur Datenverarbeitung ist laut der Kommission nicht gleichwertig und zugleich weniger personalisiert. Somit sei eine ungezwungene Einwilligung der Nutzer zu der Zusammenführung ihrer Daten nicht möglich.

Die Kommission hat sich damit der Einschätzung des EDSA angeschlossen, indem sie die „pay-or-okay“-Modelle von Meta in ihrer derzeitigen Ausgestaltung als nicht zulässig ansieht und ausführt, dass das Abo-Modell die Nutzenden zwingt, der Verarbeitung ihrer persönlichen Daten zuzustimmen und sie einer weniger personalisierten, aber gleichwertigen Version der sozialen Netzwerke von Meta beraubt.

In Reaktion auf diese vorläufigen Ergebnisse hat Meta nun die Möglichkeit, seine Verteidigungsrechte wahrzunehmen, indem es die Unterlagen der Untersuchung prüft und schriftlich zu den vorläufigen Ergebnissen Stellung nimmt. Sollte sich die vorläufige Auffassung der Kommission im Endergebnis bestätigen, würde die Kommission einen Beschluss erlassen, in dem sie feststellt, dass das Modell von Meta nicht mit Art. 5 Abs. 2 des Gesetzes über digitale Märkte vereinbar ist. Im Fall einer Nichteinhaltung kann die Kommission Geldbußen in Höhe von bis zu 10% des weltweiten Jahresumsatzes des Konzerns verhängen. Bei systematischer Missachtung des Gesetzes kann die Kommission zusätzliche Abhilfemaßnahmen anordnen, wie den Verkauf des Unternehmens oder von Unternehmensteilen. Zunächst setze man jedoch seine „konstruktive Zusammenarbeit mit Meta fort, um einen zufriedenstellenden Weg hin zu einer wirksamen Einhaltung der Vorschriften zu finden.“

Anwendbarkeit auf andere Unternehmen

Die Untersuchung der Kommission konzentriert sich in diesem Fall auf Meta als große Online-Plattform und Gatekeeper im Sinne des Gesetzes über digitale Märkte und bewertet die Situation im Licht des Wettbewerbsrechts. Daraus ergibt sich der große Kritikpunkt der Kommission, dass Plattformen, wie Meta aufgrund ihrer großen Reichweite den Nutzenden bislang beliebige Geschäftsbedingungen aufdrücken und so große Datenmengen anhäufen können. Darauf stützt sich die Bewertung der Modelle als unzulässig. Dies ist ein Kriterium, das kleinere Plattformen und solche, die nicht als Gatekeeper eingestuft sind, meist nicht erfüllen. Der mögliche Vorteil, der sich nach Einschätzung der Kommission gegenüber anderen Wettbewerbern daraus ergeben kann, kann sich folglich nicht realisieren.

Somit kann die wettbewerbsrechtliche Einschätzung der Zulässigkeit von „pay-or-okay“-Modellen nicht ohne weiteres auf Plattformen, die nicht als Gatekeeper gelten, übertragen werden, da sie bereits die grundlegenden Kriterien nicht erfüllen, auf denen diese Einschätzung basiert. Wie jedoch im vorangegangenen Artikel aufgezeigt, werden die „pay-or-okay“-Modelle auch datenschutzrechtlich kritisch beurteilt, wonach sich wiederum eine Relevanz für kleinere Plattformen ergeben kann.



IT-Compliance: Neuauflage des juristischen Leitfadens von Trend Micro klärt aktuelle Fragen

Trend Micro, einer der weltweit führenden Anbieter für Cybersicherheitslösungen, stellt die Neuauflage seines juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmenvor. Dieser gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind. Der Leitfaden wurde im Zuge von NIS2 und DORA von TCI Partner Dr. Thomas Stögmüller überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.

Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister. Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.

„Wir freuen uns, dass wir auch für die neue Auflage des juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro. „NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien wie XDR (Extended Detection & Response) und ASRM (Attack Surface Risk Management) ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“

Download des Leitfadens: https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html?utm_source=pr&utm_medium=referral&utm_campaign=cm_corporate_lg_e_de_int_juristischer+leitfaden_2024

TCI Partner Stephan Schmidt spricht auf 3. Cyber-Sicherheitskongress

Cybersicherheit ist Chefsache und Cybersicherheit gehört auf die Mainstage.

Am 18.04.24 um 10:30 Uhr wird der Mainzer TCI Partner Stephan Schmidt daher in Ingelheim beim 3. Cyber-Sicherheitskongress des BVMW Mainz -Bingen auf der Mainstage über „Neue Regelungen im Cybersicherheitsrecht – Neue Anforderungen an Unternehmen und Geschäftsführung“ sprechen.

Zudem gibt es im Rahmen eines Kamingesprächs Gelegenheit ihm und anderen Experten Fragen zur NIS-2 Richtlinie, dem geplanten aber verzögerten deutschen Umsetzungsgesetz (NIS2UmsuCG), weiteren europäischen Rechtsakten zur Cybersicherheit und allen aktuellen Fragen des IT-Sicherheitsrechts zu stellen.

Anmeldung sind über die Kongressseite möglich.

TCI Partner Schmidt von der WirtschaftsWoche als Legal All Star 2023 ausgezeichnet

Die WirtschaftsWoche hat erneut die Auszeichnung „Legal All Stars“ vergeben, bei der in jedem der 31 Rechtgebiete lediglich drei Anwältinnen oder Anwälte benannt werden. Im diesjährigen Ranking hat die WirtschaftsWoche unseren Mainzer Partner Stephan Schmidt als „Legal All Star 2023“ ausgezeichnet. In einem mehrstufigen Auswahlverfahren setzte er sich gegen die anderen Nominierten durch und erreichte den 1. Platz im Bereich IT-Recht.


Das Handelsblatt Research Institute (HRI) verschickte für die WirtschaftsWoche fast 26.000 Befragungen an Wirtschaftsanwält:innen. Die größte Gruppe stellen Anwält:innen für Gesellschafts- und Arbeitsrecht mit je mehr als 5600 Teilnehmenden, die kleinste Medizinrecht mit 511 Jurist:innen aus 333 Kanzleien. In die Riege der Legal All Stars schafften es insgesamt 92 Anwält:innen aus 63 Kanzleien. Zunächst wurden die Anwält:innen nach den renommiertesten Konkurrenten in ihrem Gebiet befragt, dann stimmte eine Jury aus Unternehmensjurist:innen, Professor:innen, Prozessfinanzierer:innen und Berater:innen ab, gewichtete und ergänzte.

Das komplette Ranking findet sich in Ausgabe 13 der Wirtschaftswoche vom 22.03.2024 und hier online.

Microsoft 365 und kein Ende

Der „Dauerbrenner“ Microsoft 365 beschäftigt nach wie vor die Datenschutz-Aufsichtsbehörden. Nun hat sich der Europäische Datenschutzbeauftragte (EDPS) zu Wort gemeldet, der als unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der EU zuständig ist.

Mit einer Entscheidung vom 11. März 2024 (https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en) hat der EDPS der EU-Kommission angewiesen, bis zum 9. Dezember 2024

  • alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben und die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen und
  • die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.

Die Entscheidung des EDPS stellt nicht auf die DSGVO, sondern auf die Verordnung 2018/1725 ab. Dabei handelt es sich um das Datenschutzrecht für Organe und Einrichtungen der EU. Die Verordnung entspricht jedoch inhaltlich weitgehend der DSGVO.

Nach der Meinung des EDPS hat die Kommission nicht ausreichend geprüft und vereinbart, welche personenbezogenen Daten von Microsoft zu welchen Zwecken verarbeitet und an Subunternehmer übermittelt werden.

Der Kommission wurde insbesondere aufgegeben,

  • ein „Transfer-Mapping“ durchzuführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien erfolgen. Dies soll auch Weiterübermittlung (onward transfers) beinhalten, d.h. die gesamte, von Microsoft eingesetzte Subunternehmer-Kette:

appraise […] what personal data will be transferred to which recipients in which third countries and for which purposes, thereby […] obtaining the minimum information necessary to determine whether any supplementary measures are required to ensure the essentially equivalent level of protection […]

Die Datenübermittlung an Subunternehmer in Drittländer ohne angemessenes Schutzniveau ist zu unterlassen.

  • ausdrücklich festzulegen, welche Daten zu welchen Zwecken von Microsoft verarbeitet werden und dabei den Zweckbindungsgrundsatz zu berücksichtigen:

sufficiently determine the types of personal data collected under the […] agreement concluded with Microsoft […] in relation to each of the purposes of the processing so as to allow those purposes to be specified and explicit; ensure that the purposes for which Microsoft is permitted to collect personal data [….] are specified and explicit; provide sufficiently clear documented instructions for the processing […]”.

Es muss transparent geregelt werden, welche Daten zu welchen Zwecken vereinbart werden. Diese Verarbeitungen müssen natürlich rechtmäßig sein. Insbesondere soll durch klare und detaillierte Regelungen sichergestellt werden, dass die Daten von Microsoft wirklich nur im Auftrag der Kommission genutzt werden.

Die Kritikpunkte des EDPS entsprechen dabei zum Teil der Kritik der deutschen Aufsichtsbehörden, die zuletzt in der „Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“ vom 2.11.2022 veröffentlicht wurde (https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf). Es bleibt abzuwarten, welche praktischen Konsequenzen die Entscheidung des EDPS für deutsche Unternehmen haben wird und ob die deutschen Aufsichtsbehörden die Entscheidung zum Anlass nehmen werden, ihre eigene Prüfungspraxis zu verschärfen.

Noch 500 Tage – Webseiten und Barrierefreiheit nach dem BFSG

Zum 28.6.2025 müssen die Pflichten aus dem Barrierefreiheitsstärkungsgesetz (BFSG) umgesetzt werden. Das BFSG dient der Implementierung der EU-Richtlinie 2019/882, “European Accessibility Act, in Deutschland. Beide Regelungen sowie die Verordnung zum Barrierefreiheitsstärkungsgesetz vom 22.6.2022 (BFSGV) sollen es ermöglichen, dass Verbraucher und Nutzer wesentliche Produkte und Dienstleistungen des täglichen Lebens barrierefrei nutzen können.

Webseiten und Webshops

Gemeinsam mit Ria Weyprecht, der Inhaberin von stolperfrei.digital Consulting, beleuchte ich aus dem Gesetz folgende Anforderungen in Deutschland. Wir betrachten dabei die Vorgaben für Internetseiten und Webshops aus technischer und rechtlicher Sicht.

  • Was ist der Zweck?
  • Welche Webseiten fallen unter Dienstleistungen im elektronischen Geschäftsverkehr
  • Wer ist verpflichtet?
  • Gibt es Ausnahmen?
  • Wie funktioniert die Umsetzung?
  • Gibt es fachliche und technische Vorgaben?

Antworten hierauf und auf weitere Fragen finden Sie in unserem Artikel:

Vollständiger Artikel auf versandhandesrecht.de

Produkte

Das BFSG geht aber über die Anwendbarkeit auf Webseiten weit hinaus. Nach § 1 Abs. 2 BFSG müssen bestimmte Produkte barrierefrei angeboten werden. Dies gilt vor allem für:

  • Hardwaresysteme (einschließlich Betriebssystem) für Verbraucher
  • Näher bestimmte Selbstbedienungsterminals (z.B. Zahlungsterminals, Geldautomaten, Fahrausweisautomaten)
  • Bestimmte Verbraucherendgeräte und E-Book-Lesegeräte

Das heißt unter anderem, dass künftig auch Geräte wie PC, Tabletts, Smartphones, die (auch) für Verbraucher bestimmt sind, barrierefrei sein müssen.

Sonstige Dienstleistungen

Neben die Auswirkungen auf Webseiten sind auch weitere Dienstleistungen betroffen. Hierzu zählen insbesondere:

  • Telekommunikationsdienste (zu einem großenTeil)
  • Bestimmte Elemente von Personenbeförderungsdiensten
  • Bankdienstleistungen für Verbraucher
  • E-Books
  • Andere Dienstleistungen im elektronischen Geschäftsverkehr 

Barrierefreiheit auf mehreren Ebenen

Für die Anbieter kann dies im Einzelfall bedeuten, dass Barrierefreiheit auf mehreren Ebenen umzusetzen ist. So muss in Bezug auf ein E-Book sowohl der Reader als auch das E-Book als auch die Webseite oder App, über die es vertrieben wird, den Anforderungen des BFSG genügen.

Anbieter und Händler müssen jetzt handeln, um ihre Produkte und Dienstleistungen rechtzeitig anzupassen. Sollten die Anforderungen an die Barrierefreiheit nicht erfüllt werden, darf die Leistung ab dem 28.6.2025 nicht mehr erbracht werden.

Wir stehen Ihnen gerne für Fragen zum BFSG zur Verfügung.

Der Mainzer TCI Partner Stephan Schmidt hat gemeinsam mit Dr. Udo Krauthausen von der Kanzlei Cadenberg (Gesellschaftsrecht) die Gesellschafter der Fasihi GmbH beim Verkauf an die BASF Digital Solutions GmbH beraten.

Mit dem Abschluss der Transaktion wird im Laufe des ersten Quartals 2024 gerechnet.

Digitalisierungsspezialist Fasihi GmbH

Die Fasihi GmbH (Ludwigshafen) ist ein anerkannter Spezialist in der Informations- und Kommunikationstechnologie und bietet effiziente Lösungen zur Optimierung und Digitalisierung von Geschäftsprozessen. Sie stellt der BASF bereits seit über 30 Jahren Softwarelösungen zur Verfügung.

BASF Digital Solution GmbH erwirbt Fasihi GmbH

Die BASF Digital Solutions GmbH erwirbt mit der Fasihi GmbH und der von dieser entwickelten Software auf das Unternehmen zugeschnittene Lösungen, die bereits in vielen Bereichen der BASF im Einsatz sind.

BASF profitiert von der langjährigen Erfahrungen und Kenntnissen über die BASF-Organisation und deren spezifischen Prozessen. BASF plant, die Gesellschaft Fasihi als Tochtergesellschaft der BASF Digital Solutions GmbH weiterzuführen.

Begleitung durch TCI Rechtsanwälte Mainz

Rechtsanwalt Schmidt berät die Fasihi GmbH bereits seit mehr als 15 Jahren zu IT- und datenschutzrechtlichen Fragestellungen. In der Vergangenheit betreute und verhandelte er auch die Kooperations- und Lizenzverträge zwischen der Fasihi GmbH und BASF.

Der Gründer der Fasihi GmbH, Saeid Fasihi, der nach Abschluss der Transaktion in den Ruhestand wechseln wird, zur Zusammenarbeit mit RA Schmidt:

„Ich bedanke mich für die jahrelange, vertrauensvolle und kompetenten Beratung der Fasihi GmbH durch Rechtsanwalt Schmidt und sein Team. Rechtsanwalt Schmidt hat uns von Anfang stets gut beraten und mit Ihm haben wir unser Erfolgsprodukt, dass Fasihi Enterprise Portal, 2004 eingeführt. Mit seiner Beratung beim Verkauf an die BASF schließt sich nun dieser Kreis.“

Stephan Schmidt informiert beim Webinar-Thementag der connect professional über die NIS2-Richtlinie

Am 30. Januar 2024 veranstaltet die Fachzeitschrift connect professional einen Webinar-Thementag rund um das Thema NIS2-Richtlinie. Mit dabei ist unser Mainzer Partner Stephan Schmidt, der erläutern wird, was es bei der Umsetzung der NIS-2-Richtline – insbesondere mit Blick auf die Besonderheiten der deutschen Umsetzung – zu beachten gibt, warum die geplanten Regelungen zumindest teilweise eine Handlungsanweisung in Sachen Cybersicherheit sind und warum es wichtig ist, sich frühzeitig mit diesen zu befassen.

Alle Informationen und kostenfreie Anmeldung unter https://event.gotowebinar.com/event/4b11413b-ef3d-428f-abf6-499c6ed2442e.