Maßgebliche Kriterien zur Berechnung von Datenschutzbußgeldern
erschienen in Deutscher AnwaltSpiegel, Ausgabe 2/2021, S. 6-9
Maßgebliche Kriterien zur Berechnung von Datenschutzbußgeldern
Hier abrufbar.
Einer der besten Rechtsanwälte im Gewerblichen Rechtsschutz in Deutschland.
Kurz vor Ablauf der vereinbarten Brexit-Übergangsfrist Ende Dezember 2020 haben die Europäische Union (EU) und Großbritannien (UK) doch noch zueinander gefunden und den Entwurf eines Handels- und Kooperationsabkommens beschlossen. Der im Deutschen 1390 Seiten starke Vertrag (abrufbar hier) muss noch ratifiziert werden, ist jedoch bereits vorläufig bis zum 28. Februar 2021 anwendbar und hat das Schreckens-Zenario eines harten Brexit gerade noch abgewendet.
Auch im Hinblick auf den Datenschutz enthält das Abkommen eine kurze, wenn auch wichtige Regelung, deren Inhalt und Bedeutung im Folgenden kurz vorgestellt werden soll.
Voraussetzungen für den internationalen Datentransfer
Zum besseren Verständnis der Regelungen im Abkommen möchten wir kurz in die Voraussetzungen des internationalen Datentransfers einführen:
Für das europäische Datenschutzrecht spielt es eine bedeutende Rolle, wo ein Verantwortlicher personenbezogene Daten verarbeitet. Innerhalb der EU geht die Datenschutzgrundverordnung (DSGVO) davon aus, dass in jedem Mitgliedsstaat ein angemessenes Datenschutzniveau herrscht und Daten beliebig zwischen den Mitgliedsstaaten übermittelt werden können.
Sobald Daten jedoch von einem Verantwortlichen in der EU in einen Nicht-EU-Staat (sog. Drittstaat) übermittelt werden sollen, stellt die DSGVO besondere Anforderungen: Nach Art. 44 DSGVO muss in diesem Fall eine Rechtsgrundlage für den Datentransfer bestehen. In Frage kommen dabei in erster Linie:
Im Falle eines harten Brexit hätten europäische Verantwortliche wohl oder übel hauptsächlich auf SCC zurückgreifen müssen. Dies wäre aufgrund der Entscheidung des Europäischen Gerichtshofs (EuGH) in Sachen „Schrems II“ aus Mitte 2020 (Rs. C 311/18) jedoch alles andere als einfach geworden. Der EuGH hat mit seiner Entscheidung nämlich hohe Hürden für den Einsatz der SCC formuliert, die vom Europäischen Datenschutzausschuss im November 2020 konkretisiert wurden.
Datenschutzrechtliche Regelungen des neuen Abkommens
In Abschnitt 7 des Abkommens unter „Artikel FINPROV.10A: Übergangsbestimmung für die Übermittlung personenbezogener Daten an das Vereinigte Königreich“ finden sich die datenschutzrechtlichen Regelungen, die europäische Verantwortliche zunächst einmal froh stimmen dürften.
Für die Dauer von vier Monaten nach Inkrafttreten des Abkommens gilt UK nicht als Drittland, so dass Daten aus Europa erst einmal weiterhin ohne besondere Vorkehrungen übertragen werden können. Der Zeitraum verlängert sich um weitere zwei Monate, sofern keine der Vertragsparteien widerspricht. Effektiv wurde damit also eine Übergangsfrist von sechs Monaten geschaffen, in der Großbritannien so behandelt wird, als gehörten sie weiter zur EU. Während dieser Zeit will die EU-Kommission, wie in der am 26. Dezember 2020 veröffentlichen gemeinsamen Erklärungen von EU und UK, einen Angemessenheitsbeschluss prüfen.
Rechtmäßigkeit der Regelung und Reaktion der DSK
Bereits kurz nach der Veröffentlichung des Abkommens gab es die ersten Stimmen, die die Rechtmäßigkeit der datenschutzrechtlichen Regelung anzweifelten. Teilweise wurde dabei vorgebracht, die DSGVO kenne in ihrem fünften Kapitel kein System, nach dem die EU-Kommission schlicht beschließen könne, Nicht-EU-Staaten seien nicht als Drittstaaten zu behandeln. Andere verwiesen dagegen auf den völkerrechtlichen Charakter des Abkommens.
Diese Überlegungen dürfen von Unternehmensverantwortlichen als dogmatische Diskussionen ohne praktische Relevanz betrachtet werden, denn die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) hat als Reaktion auf das Abkommen in ihrer Pressemitteilung vom 28. Dezember 2020 festgestellt, dass ein Datentransfer nach Großbritannien auf Basis des Abkommens vorerst weiter möglich ist. Von den Aufsichtsbehörden haben die Verantwortlichen also nichts zu befürchten, wenn sie dem Abkommen entsprechend verfahren.
Ausblick und Praxishinweis
Unternehmensverantwortliche stellen sich nun die Frage, wie es nach dem Ende der sechsmonatigen Übergangsfrist weitergeht. Es gibt zwei denkbare Szenarien:
Wir gehen derzeit davon aus, dass die Verabschiedung eines Angemessenheitsbeschlusses eher wahrscheinlich ist. Hierfür sprechen vor allem politische und wirtschaftliche Gründe. Der Effekt eines umfangreichen und differenzierten Handelsabkommens, das den wirtschaftlichen Austausch zwischen den beiden eng verflochtenen Handelszonen sicherstellen soll, würde untergraben, wenn die Unternehmen in Punkto Datentransfer keine echte Rechtssicherheit hätten. Hieran ändert vermutlich auch wenig, dass zahlreiche Datenschützer sich entschieden dagegen aussprechen, dass UK als datenschutzrechtlich sicheres Drittland eingestuft wird.
Sollte das Szenario 2 eintreten (wofür u.a. die Zugriffsrechte amerikanischer Geheimdienste im Rahmen des Cloud-Act sprechen könnten), stellt sich die Frage, ob und wenn ja wie man sich auf diesen Fall nun vorbereiten kann und sollte. Folgende Maßnahmen sollten erwogen werden:
Alles in allem bedeutet das Abkommen für die Verantwortlichen sechs Monate Ruhe und die Hoffnung, dass im Anschluss an die Übergangsphase ein Angemessenheitsbeschluss für Großbritannien stehen wird. Geht es nach den Unternehmen, muss eine Situation wie sie derzeit im Hinblick auf die USA besteht, um jeden Preis verhindert werden. Schließlich ist Großbritannien für europäische Unternehmen auch digital ein wichtiger Partner.
Wirkungen des Brexit-Abkommens
Eine Unionsmarke bzw. ein Gemeinschaftsgeschmacksmuster (zusammengefasst „Schutzrecht“) bietet Schutz in sämtlichen Mitgliedsstaaten der EU. Nach Vollzug des Brexits gilt das Vereinigte Königreich als „Drittland“ außerhalb der EU, sodass eine Unionsmarke bzw. ein Gemeinschaftsgeschmacksmuster dort keinen direkten Schutz mehr bieten.
Das Brexit-Abkommen hat auf die bereits zuvor bestandene Rechtslage zum Schutz der Marken- und Designrechte keine größeren Auswirkungen. Zwar sieht das Abkommen in u.a. 57 Artikeln zum Geistigen Eigentum verschiedene Regelungen vor, kurzfristige Änderungen in Bezug auf die Anmeldung, Registrierung und Durchsetzung von Marken- und Designrechten sind dort nicht enthalten.
Was bedeutet das für Sie bzw. Ihr Schutzrecht?
Relevanz hat der Brexit bspw. auch auf
soweit diese sich auf das Vereinigte Königreich erstrecken (sollen).
Was sollten Sie jetzt im Hinblick auf Ihre Markenrechte und Designs tun?
Bei noch nicht abschließend eingetragenen Anmeldungen sowie gänzlich neuen Anmeldungen von Unionsmarken und Gemeinschaftsgeschmacksmustern sollten Schutzrechtsinhaber überlegen, ob Sie den Schutz Ihrer Rechte auf Großbritannien erweitern möchten.
In vielen Fällen bedarf es zukünftig eines Ansprechpartners mit Sitz in Großbritannien, über den die Korrespondenz des Amtes geführt wird. LUTZ | ABEL arbeitet insoweit mit ausgewählten britischen Kanzleien zusammen.
Sofern Lizenz- und Abgrenzungsvereinbarungen auch im Vereinigten Königreich gelten sollen, ist bei diesen zu prüfen, ob ggf. eine Ergänzungsvereinbarung erforderlich ist.
Erst letzte Woche stellte der Europäische Datenschutzausschuss (EDSA – das Gremium der europäischen Datenschutzaufsichtsbehörden) seine Guidelines für zusätzliche Schutzmaßnahmen bei internationalem Datentransfer vor. Wie heute bekannt wurde, ist Microsoft das erste der großen US-Tech-Unternehmen, das auf diese Leitlinien reagiert und zusätzliche Schutzmaßnahmen für Unternehmenskunden sowie Kunden aus dem öffentlichen Sektor implementiert. Microsoft teilt in einer Stellungnahme mit, dass man ab sofort weitere vertragliche Verpflichtungen gegenüber den Kunden eingehen werde, die das Datenschutzniveau bei internationalem Datentransfer absichern sollen.
Konkret nimmt Microsoft folgende Ergänzungen vor: Die bestehenden, in die Kundenverträge implementierten Standarddatenschutzklauseln werden um eine Zusatzvereinbarung namens „Additional Safeguards Addendum to Standard Contractual Clauses“ ergänzt. Diese ist hier abrufbar.
Kerninhalt der Zusatzvereinbarung sind zwei vertragliche Garantien, die Microsoft erteilt:
Damit greift Microsoft einige der vorgeschlagenen Schutzmaßnahmen vom EDSA sowie von anderen Datenschutzaufsichtsbehörden, wie dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW), auf.
In einer ersten Stellungnahme äußert sich der LfDI BW erfreut über die Schritte von Microsoft und sieht diese als Signal in die Branche. Gleichzeitig weißt er darauf hin, dass damit die generelle Transferproblematik in die USA nicht gelöst werde, „denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“ Eine ähnliche Bewertung durch andere Behörden lassen die oben angesprochenen Leitlinien des EDSA (Rz. 48) vermuten, in denen es heißt, dass vertragliche und organisatorische Maßnahmen allein wohl nicht ausreichen werden, um staatliche Zugriffe zu verhindern.
Laut Aussage des LfDI BW wird sich die deutsche Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der Länder und des Bundes) noch vor Ende des Jahres zusammensetzen und die Gespräche zu Microsoftprodukten fortsetzen.
Auch wenn die Wirksamkeit der von Microsoft neu getroffenen Maßnahmen abzuwarten bleibt, ist das Signal an die gesamte US-Tech-Branche und die Politik auch unserer Meinung nach eindeutig: Es müssen praxisnahe Lösungen für den internationalen Datentransfer gefunden werden. Die US-Anbieter können die Probleme und Risiken ihrer europäischen Kunden in Folge der „Schrems II“-Entscheidung des Europäischen Gerichtshofs nicht weiter ignorieren und sich auf den alleinigen Abschluss der Standarddatenschutzklauseln zurückziehen.
erschienen in Deutscher AnwaltSpiegel, Ausgabe 2/2021, S. 6-9
Maßgebliche Kriterien zur Berechnung von Datenschutzbußgeldern
Hier abrufbar.
erschienen in Datenschutz Praxis 01 2021, S. 15 ff.
Kundendaten bei Asset Deals — was verlangt die DSGVO?
Werbung ohne jede Personalisierung funktioniert nicht gut. Deshalb möchten Unternehmen bei M&A-Transaktionen auch Kundendaten erwerben. Lesen Sie, im Beitrag wie sich die datenschutzrechtlichen Hindernisse bei einer Übertragung dieser Daten überwinden lassen.
Gastbeitrag erschienen im Deutschen Anwaltsspiegel (03.05.2017)
Dr. André Schmidt, Leiter der Praxisgruppe IT-Recht und Datenschutz, veranschaulicht in diesem Beitrag das lizenzrechtlich sehr relevante Thema “indirekte Nutzung” von SAP-Software anhand eines aktuellen Urteils aus UK.
Unternehmen, die vermeintlich ausreichend SAP-Lizenzen erworben haben, müssen mitunter nach Vorstellung von SAP in einem erheblichen Umfang eine Nachlizenzierung vornehmen, was im Beispielsfall ca. 65 Mio € kosten kann.
Den vollständigen Beitrag finden Sie online.
Verlag Dr. Otto Schmidt
Hrsg.: Oelschlägel / Scholz
Das in erster Auflage unter dem Titel "Handbuch Versandhandelsrecht, E-Commerce, M-Commerce, Katalog" erschienene Werk hat in der zweiten, neu überarbeiteten Auflage einen neuen Titel erhalten: "Rechtshandbuch Online-Shop". Damit soll der Schwerpunkt des Inhalts deutlicher hervorgehoben werden, da der Onlinehandel in der Praxis gegenüber dem Versandhandel in Form des klassischen Katalogversandhandels immer weiter an Bedeutung gewinnt.
Die in diesem Zusammenhang auftretenden Rechtsfragen werden in systematischer Weise für die mit dieser Thematik befassten Praktiker aufgearbeitet. Angefangen bei den vielfältigen Erscheinungsformen des Online-Versandhandels über die Gestaltung eines Webshops, den Datenschutz und die besonderen Formen des Online-Vertriebs, Apps, Handelsplattformen wie eBay oder Amazon als auch die Besonderheiten beim Zahlungsverkehr werden ebenso Marketing- und Vertriebsfragen sowie wettbewerbs- und urheberrechtliche Fragestellungen behandelt. Dabei sind insbesondere die neue Datenschutz-Grundverordnung als auch die 2. UWG-Novelle bereits berücksichtigt.
Fundierte Erläuterungen sowie Muster, Hinweise, Praxistipps und Checklisten helfen dem Praktiker, schnell und rechtssicher eine Antwort auf seine Fragen zu finden
Das Handbuch “Handbuch zum Versandhandelsrecht” ist unter anderem erhältlich im Beck Shop: www.beck-shop-de
erschienen im IT-Rechts-Berater (ITRB) 2015 (72 – 76) gemeinsam mit Dr. Kay Oelschlägel
Verlag Dr. Otto Schmidt
Hrsg.: Oelschlägel / Scholz
Das Versandhandelsrecht ist ein immer noch junges Rechtsgebiet, das durch seine Vielschichtigkeit jeden Berater vor große Herausforderungen stellt. Hinzu kommt, dass zahlreiche Gesetze, auch gesetzliche Neuerungen und Entscheidungen, hohe Ansprüche an die Rechtsberatung stellen.
Um schnell Antworten auf alle Fragen zu dieser anspruchsvollen Materie zu erhalten, greifen Sie am besten gleich zu dem neuen Werk von Oelschlägel/Scholz. Hier erfahren Sie aus erster Hand von Beratern erfolgreicher Online-Versandhändler alles, was Sie für die verlässliche Rechtsberatung Ihrer Mandanten benötigen – von der Shopgestaltung bis hin zur Lösung rechtlicher Störfälle.
Praxistipps, Muster, Hinweise und Checklisten runden dieses umfassende Handbuch ab. Natürlich wurde auch die am 1.8.2012 in Kraft getretene „Button-Lösung“ eingearbeitet.
Die vielfältigen Themen zum Versandhandel sind umfassend dargestellt:
Das Handbuch “Handbuch zum Versandhandelsrecht” ist unter anderem erhältlich im Beck Shop: www.beck-shop.de
erschienen in MarkenR – Zeitschrift für deutsches, europäisches und internationales Kennzeichenrecht, Heft 11-12/2012 (444-449) gemeinsam mit Dr. Geert Johann Seelig
erschienen im IP-Rechts-Berater 2011 (278-280) gemeinsam mit Dr. Geert Johann Seelig
Verlag C.H. Beck
Das Werk beschäftigt sich mit der rechtlichen Zulässigkeit von Screen-Scraping und Webcrawling durch Preissuchmaschinen. Diese gewinnen beim Onlineshopping einen zunehmend größeren Einfluss. Es gibt jedoch Onlineshops, die ihre Angebote aus vertriebs- und marketingstrategischen Gründen nicht bei Preissuchmaschinen gelistet sehen möchten. Einige Preissuchmaschinen widersetzen sich diesem Willen und listen gleichwohl die Produktangebote solcher Onlineshops. Sie gewinnen die Angebotsdaten der Onlineshops, indem sie diese automatisiert durch "Webrobots" (Spider, Webcrawler, Screen-Scraper) aus den Onlineshop-Datenbanken extrahieren. Mithilfe von Screen-Scrapern können Preissuchmaschinen sogar Kundenbestellungen bei den Onlineshops ausführen, ohne dass der Kunde selbst den Onlineshop besuchen muss. Anlass für das hier vorgestellte Werk sind divergierende instanzgerichtliche Entscheidungen, die bisher zu diesem Themenkreis ergangen sind.
Zielgruppe
Das Werk richtet sich gleichermaßen an Praktiker und Wissenschaftler aus dem juristischen Bereich, insbesondere an Rechtsanwälte und Justiziare.
Das Fachbuch "Virtuelles Hausrecht und Webrobots" ist unter anderem erhältlich im Beck-Shop: www.beck-shop.de
erschienen in GRUR 10/2009 (809-913) gemeinsam mit Dr. Cornelius Renner