Data.Law
Willkommen im ARQIS Blog, unserem zuverlässigen Informationskanal für juristische Themen und branchenspezifische Innovationen.
In unserer "Big Law Boutique"-Kategorie finden Sie gebündelte Expertise zu unseren Fokusgruppen-Themen. Ob Sie nach fundierten rechtlichen Einblicken in diese Bereiche suchen oder sich über aktuelle Entwicklungen informieren möchten – wir teilen unser Fachwissen und unsere Expertise, um Ihnen wertvolle Informationen zu liefern.
Zusätzlich finden Sie in unserem "Innovation Blog" die neuesten Entwicklungen in den Bereichen ESG und Metaverse. Erfahren Sie, wie die Rechtsbranche innovative Konzepte nutzt und welche rechtlichen Herausforderungen und Möglichkeiten damit einhergehen. Wir bieten Ihnen Einblicke in wegweisende Projekte, nachhaltige Lösungsansätze und zukunftsorientierte Strategien.
Am Freitag, dem 7. Oktober, hat US-Präsident Biden eine sogenannte Executive Order unterzeichnet, um personenbezogene Daten aus der EU besser zu schützen. Durch diese Executive Order will die USA die im Urteil durch den EuGH in Sachen Schrems-II bemängelten Datenschutzverstöße beheben.
Was ist der Inhalt der Executive Order? Adressiert die Executive Order alle vom EuGH aufgeworfenen Probleme? Kann man jetzt wieder personenbezogene Daten in die USA transferieren, ohne SCC abschließen und ein TIA durchführen zu müssen?
1. Inhalt der Executive Order
Im März hatten sich die EU und die USA bereits auf ein EU-US Data Privacy Framework geeinigt. Inhalt dieses Frameworks waren neue Regelung für einen EU-US Datentransfer bezogen auf Unternehmen und den nachrichtendienstlichen Zugriff auf solche transferierten Daten. Mit der nun veröffentlichte Executive Order setzt die USA den vereinbarten nachrichtendienstlichen Teil des Frameworks um. Kernpunkte sind ein verbesserter Schutz für personenbezogene Daten und verbesserte Rechtsschutzmöglichkeiten. Eine Executive Order ist dabei kein Gesetz, sondern eine bindende Verwaltungsanweisung an alle Beamte der US-Regierung.
Die Executive Order enthält zunächst neue Regelungen zum Schutz personenbezogener Daten. Die Überwachung darf nur für in der Executive Order benannte Ziele erfolgen und muss zusätzlich erforderlich und verhältnismäßig sein, wobei die Privatsphäre und Grundrechte aller natürlichen Personen zu berücksichtigen sind. Die Nachrichtendienste haben daher ihre internen Verfahren an diese Grundsätze anzupassen. Überwacht wird dies durch einen Compliance-Beauftragten, den jeder Nachrichtendienst zu benennen hat.
Die Executive Order sieht ferner Rechtsschutz für die Verletzung von US-Recht und damit auch der Grundsätze der Erforderlichkeit und Verhältnismäßigkeit bei der Überwachung vor. Dieser Prozess hat zwei „Instanzen“: Zunächst erfolgt eine Untersuchung durch eine unabhängige Stelle in einer den Nachrichtendiensten übergeordneten Behörde, die bindend über einen Gesetzesverstoß entscheiden kann. Auf zweiter Ebene wird ein eigenes Gericht geschaffen. Dieses kann ebenfalls bindend und unparteiisch die Entscheidungen der vorherigen Stelle untersuchen und besteht aus Richtern außerhalb der US-Regierung.
2. Bewertung der Executive Order
Der nachrichtendienstliche Teil von Privacy Shield führte 2020 zur Schrems-II-Entscheidung. Die neue Executive Order hat somit eine besondere Brisanz. Insgesamt ist die Executive Order trotz einiger Schwächen als Schritt in die richtige Richtung zu werten; sie hängt entscheidend von der praktischen Umsetzung ab.
Zunächst ist der Rechtsschutz zu loben. Es wird eine Aufsicht über die Geheimdienste geschaffen, die unabhängig und bindend über Gesetzesverstöße entscheidet. Hier kann jedoch das Risiko bestehen, dass sich die Geheimdienste an vielen Stellen auf Geheimhaltung berufen und somit ein effektiver Rechtsschutz scheitert.
Positiv hervorzuheben ist auch, dass nun die typischerweise in europäischen Rechtsordnungen genutzten Begriffe Erforderlichkeit und Verhältnismäßigkeit genutzt werden. Dies legt nahe, dass ein europäisches Verständnis von Datenschutz Einzug halten soll. Allerdings bleibt unklar, ob die EU und die USA in der praktischen Anwendung das gleiche Verständnis von diesen Begriffen an den Tag legen.
Kritikwürdig ist auch, dass die Executive Order die bestehenden Überwachungsprogramme nicht direkt modifiziert. Dies kann die Executive Order aber auch nicht, weil sie keine Gesetzeskraft hat. Darüber hinaus ist unklar, welche Nachrichtendienste und Programme genau von der Executive Order erfasst werden. Dementsprechend wird bezweifelt, ob die Executive Order allein zu Änderungen bei den Nachrichtendiensten führen kann.
3. Folgen der Executive Order für den Datentransfer in die USA
Durch die Unterzeichnung der Executive Order ändert sich für europäische Unternehmen, die Daten in die USA übermitteln, erst einmal wenig. Die USA ist weiterhin ein Land ohne gleichwertiges Schutzniveau. Dementsprechend sind zur Übertragung von Daten wie bisher geeignete Garantien (in aller Regel Standardvertragsklauseln) samt Transfer Impact Assessment (TIA) und zusätzlicher Maßnahmen, die die Einhaltung der Pflichten aus den Standardvertragsklauseln ermöglichen sollen, notwendig.
Bereits jetzt kann die Executive Order aber im Rahmen eines TIA Berücksichtigung finden. Bei einem solchen sind die Rechtslage und rechtlichen Gepflogenheiten sowie das Risiko eines Zugriffs durch Behörden auf die Daten in den USA zu bewerten. Auch bei der Wahl der notwendigen zusätzlichen Maßnahmen muss die Executive Order beachtet werden und kann möglicherweise dazu führen, dass weniger zusätzliche Maßnahmen zur Herstellung eines angemessenen Datenschutzniveaus erforderlich sind.
Geeigneten Garantien inkl. TIA wären erst dann nicht mehr notwendig, wenn die EU-Kommission einen sogenannten Angemessenheitsbeschluss erlässt, in dem festgestellt wird, dass die USA einen gleichwertigen Schutz für die Grundrechte wie die DSGVO gewährleisten. Mit einem solchen Angemessenheitsbeschluss kann frühestens in einem halben Jahr gerechnet werden. Dass ein solcher ergeht und dieser auch, im Gegensatz zu seinen Vorgängern, vor dem EuGH Bestand hat, ist keinesfalls sicher. Max Schrems hat bereits zu erkennen gegeben, dass er die Executive Order für ihn nicht ausreichend hält. Er hat daher angekündigt, auch gegen das neue Framework zu klagen.
Zusammengefasst ist die Executive Order daher ein weiterer Schritt hin zu einem neuen EU-US Data Privacy Framework. Ob dieses Framework dann Bestand hat oder wie Safe Harbour und Privacy Shield durch den EuGH für ungültig erklärt werden, bleibt abzuwarten.
Die gesamte Thematik „Datenübermittlung in die USA“ ist ein datenschutzrechtlicher Dauerbrenner, der mit der Unterzeichnung der Executive Order eine neue spannende Nuance erhalten hat. Wir informieren Sie selbstverständlich über alle weiteren Entwicklungen und beraten Sie gerne bei sämtlichen Fragen zum Thema Datentransfer und Datenschutz.
Autor: Daniel Schlemann, LL.M.
In den letzten Jahren werden immer mehr Unternehmen Opfer von Cyberattacken. Insbesondere seit dem Ukraine-Krieg sehen wir hier nochmal einen Zuwachs. Unternehmen müssen daher unverzüglich tätig werden und ihre Cyberabwehr verstärken. Doch wo beginnen und wie kann hier das Data.Law Team von ARQIS unterstützen?
IT-Security: Startpunkt jeder Cyberabwehr ist eine funktionierende IT-Security. Zusammen mit unseren Partnern haben wir schon mehreren großen Unternehmen hierbei geholfen.
Datenschutz: Daneben ist ein funktionierendes Datenschutzmanagement ein wichtiger Schritt hin zur Cyberabwehr. IT Security geht nicht ohne Datenschutz.
Bug-Bounty-Programm: Mit Unterstützung von White Knights Schwachstellen schon vor Hackern finden und beseitigen. Doch was ist hier rechtlich zu beachten? Wir helfen gerne.
Forensics und IT-Recovery: Zusammen mit unseren Partnern unterstützen wir Sie bei der Wiederherstellung der Systeme.
Verhandlungen: Wenn wichtige Daten verschlüsselt/gelöscht wurden oder gedroht wird, diese ins Internet zu stellen, unterstützen wir bei Verhandlungen mit den Angreifern. Oft helfen Verhandlungen auch nur, um wichtige Zeit zu gewinnen. Gerade bei Ransomware-Attacken hilft Unternehmen jeder Tag, um Schwachstellen zu beseitigen und Systeme wiederherzustellen.
Autor: Daniel Schlemann, LL.M.
Es ist 5 nach 12: Neue Standarddatenschutzklauseln (SCC) für Datentransfer in die USA oder andere Nicht-EU/EEA Staaten müssen seit dem 27. September 2021 verwendet werden.
Übertragen Sie mit Ihrem Unternehmen Daten in die USA oder andere Nicht-EU/EEA Staaten (z.B. bei Cloud-Diensten, Newsletter-Versand, Datenbanken, B2B-Verträgen)?
Dann gelten für Sie neue datenschutzrechtliche Anforderungen, die – für neue Verträge – bereits zum 27. September 2021 umgesetzt werden mussten.
Ansonsten können Bußgelder drohen. Und: die deutschen Datenschutzbehörden haben dafür auch bereits eine Task Force gebildet.
Der Hintergrund:
Das Datenschutzabkommen EU/USA „Privacy Shield“ hat der Europäische Gerichtshof (EuGH) bereits vor einiger Zeit für ungültig erklärt (Schrems II-Urteil).
Seither ist der Datentransfer in die USA und andere Nicht-EU/EEA Staaten deutlich erschwert. Denn diese werden aus datenschutzrechtlicher Sicht als unsicheres Drittland für Datentransfers aus der EU betrachtet.
Mittlerweile hat die EU-Kommission neue SCC auf den Weg gebracht, die Datentransfers in solche unsicheren Drittländer legitimieren können.
Für deutsche Unternehmen bedeutet das:
- Die neuen SCC müssen abgeschlossen werden!
- Alte SCC müssen ersetzt werden!
- Eine Transfer-Folgenabschätzung (Transfer-Impact-Assessment „TIA“) muss vorgenommen, dokumentiert und den Datenschutzaufsichtsbehörden auf deren Anfrage vorgelegt
- werden werden!
- Das gilt für neue Verträge bereits seit dem 27. September 2021.
- Altverträge mit den alten SCC müssen bis spätestens Ende 2022 aktualisiert werden.
ABER auch bei Altverträgen gilt:
Ein möglichst zeitnaher Wechsel auf die neuen SCC bietet Vorteile und wird zum Teil auch von Vertragspartnern eingefordert.
In jedem Fall sollten Sie daher prüfen, auf welcher Grundlage Sie Daten in die USA oder andere Nicht-EU/EEA Staaten übertragen und ob hier Handlungsbedarf besteht.
Autorin: Lisa-Marie Niklas
Dies entschied das Landgericht Köln mit dem von ARQIS erstrittenen Urteil vom 21.09.2021 (Az. 33 O 68/20) und gab damit der Klage des Logistikunternehmens DACHSER statt.
Die Hersteller von Modellwaren bedürfen bei dem Aufdruck einer bekannten Marke eines Dienstleisters dessen Zustimmung. Andernfalls stellt die Benutzung der Marke eine Rufausbeutung dar (§ 14 Abs. 2 Nr. 3 MarkenG).
Die Klage wendete sich gegen die Benutzung der Marke „DACHSER“ auf Modellen eines Lkws und einer Lagerhalle. Die Beklagte – ein Hersteller von Modellbauwaren – hatte die Marken auf ihren Produkten aufgedruckt, ohne DACHSER Mitsprachemöglichkeiten bei der Gestaltung der Modelle einzuräumen.
Das Gericht führt mit seinem Urteil die von EuGH (???????????????????????? ???????????? 25.01.2007 – ????-48/05 – ???????????????? ???????????????? ???????? ./. ???????????????????? ????????) und BGH (???????????????????????? ???????????? 14. ???????????????????????? 2010 – ???? ???????? 88/08 – ????????????????-???????????????????? ????????) entwickelten Grundsätze zur Benutzung von Marken im Modellbau fort und setzt ihnen zugleich klare Grenzen.
Nach der Rechtsprechung von EuGH und BGH ist die Benutzung eines Herstellerzeichens (z.B. der Opel-Blitz) zur realitätsgetreuen Nachbildung des Originals unerlässlich. Das LG Köln entschied nun, dass dies nicht gleichsam für die Marken von Dienstleistern gilt. Im Unterschied zu Herstellerzeichen, unterliegt der Aufdruck eines bestimmten Dienstleisters der freien Wahl des Modellherstellers und ist nicht durch einen „Anspruch auf Realitätstreue“ gerechtfertigt.
Autor: Rolf Tichy
Gerade für die Weihnachtsfeiertage besteht nach Ansicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) ein erhöhtes Risiko, Opfer eines Ransomeware-Angriffs zu werden (BSI und BKA).
Damit Sie die Feiertage in Ruhe genießen können, ist es daher wichtig
- organisatorische Schritte zum Schutz vor möglichen Datenschutzverstößen zu ergreifen,
- mit technischen Maßnahmen die IT -Sicherheit und den Datenschutz zu gewährleisten und
- bestehende IT-Systeme regelmäßig zu aktualisieren, um Sicherheitslücken zu schließen!
Gerade im Zusammenhang mit mobiler Arbeit ist dies besonders wichtig. Denn hier ist das Risiko eines Datenverlustes deutlich höher, als dies bei einer Tätigkeit im Büro der Fall ist.
Sollte es doch zu einem IT-Sicherheitsvorfall kommen, hat das BSI die wichtigsten Erste-Hilfe-Maßnahmen zusammengestellt: BSI.
Planen Sie technische und organisatorische Maßnahmen zum Datenschutz und zur Gewährleistung der IT-Sicherheit und haben Sie einen Betriebsrat? Dann vergessen Sie nicht, diesen rechtzeitig mit einzubinden!
Benötigen Sie Unterstützung? Sprechen Sie uns gerne an: Arbeitsrecht, Mitbestimmung & Datenschutz aus einer Hand: HRLaw DataLaw by ARQIS
Autorin: Lisa-Marie Niklas
Schon das erste Bußgeld wegen eines fehlenden Transfer Impact Assessments (TIA)?
Die norwegische Datenschutzbehörde hat ein Bußgeld in Höhe von knapp EUR 500.000 für eine fehlende Risikoanalyse verhängt. Nicht erst seit Schrems-II müssen Unternehmen Risikoanalysen (Art. 32 Abs. 2 DSGVO) für Datenverarbeitungen und insbesondere für Datentransfers in unsichere Drittländer durchführen und dokumentieren. Da das norwegische Unternehmen gegenüber der Datenschutzbehörde diese Risikoanalyse erst für die Zeit ab Oktober 2019 vorlegen konnte, sah die Behörde hier ein Verstoß gegen Art. 32 DSGVO und verhängte ein Bußgeld.
Da ein TIA wie auch eine Risikoanalyse nach Art. 32 DSGVO vor einer Datenverarbeitung durchgeführt werden muss, drohen hohe Bußgelder für Unternehmen. Ein nachträgliches TIA kann diesen Verstoß nicht heilen.
Daher: Alle Datentransfers in unsichere Drittländer mittels TIA überprüfen und diese Überprüfung verschriftlichen. Es drohen hohe Bußgelder.
Autor: Daniel Schlemann, LL.M.
Dies entschied der Bundesgerichtshof (Beschl. v. 27.05.2021, Az. I ZB 21/20) und bestätigte damit die Entscheidung des Bundespatentgerichts, wonach die Wortmarke „Black Friday“ für die wesentlichen Dienstleistungen des Bereichs „Werbung“ zu löschen ist. Es bestehe hier ein sogenanntes Freihaltebedürfnis, d.h. das Bedürfnis, einen bestimmten beschreibenden Begriff für jedermann zur Beschreibung seiner Waren oder Dienstleistungen freizuhalten.
Der Begriff „Black Friday“ wurde 2013 beim DPMA (Deutsches Patent- und Markenamt) für über 900 unterschiedliche Waren und Dienstleistungen als Wortmarke eingetragen und 2016 von der Superunion Holdings Ltd mit Sitz in Hongkong übernommen, die sodann im großen Stil Händler abmahnte, die mit der Marke Werbung machten.
Zahlreiche Händler, darunter als einer der ersten auch wegbereitend ein Mandant von ARQIS, hatten daraufhin vor dem DPMA die Löschung der Marke beantragt. Der Begriff „Black Friday“ bezeichnet den Freitag nach Thanksgiving, der von Händlern dazu genutzt wird, mit Rabatten, Sonderangeboten und Geschenken zu werben. Die Bezeichnung beschreibt ein Shopping-Event und bezieht sich nicht auf ein bestimmtes Unternehmen, so dass – so die Meinung Vieler – niemand berechtigt sein sollte, diesen Begriff für Werbung zu monopolisieren. Gegen eine entsprechend stattgebende Löschungsentscheidung des DPMA (siehe Pressemitteilung) legte die Markeninhaberin Beschwerde beim Bundespatentgericht ein. Das Bundespatentgericht entschied, dass in Bezug auf den Begriff „Black Friday“ ein Freihaltebedürfnis zumindest für bestimmte Bereiche besteht, darunter Rabattaktionen für Elektro- und Elektronikwaren sowie für Werbedienstleister. Die dagegen gerichtete Rechtsbeschwerde hat der Bundesgerichtshof nun zurückgewiesen.
Allerdings ist der Streit um die Marke „Black Friday“ damit noch nicht ganz vom Tisch, denn nach dem Beschluss des BPatG sollte der markenrechtliche Schutz für über 900 weitere Waren und Dienstleistungen bestehen bleiben. Hier läuft derzeit das Berufungsverfahren vor dem Kammergericht Berlin zu der Entscheidung des LG Berlin (Urt. v. 15.04.21, Az. 52 O 320/1), welches die Marke wegen Nichtbenutzung für verfallen erklärte.
Autor: Rolf Tichy