Langjährige Erfahrung
Die Betreuung von Unternehmen der IT-Branche sowie von Unternehmen in IT-Rechtsfragen, ist für uns kein Neuland, sondern gehört seit Ende der 90er Jahre zum Tagesgeschäft. Wir verfügen daher über langjähriges Branchen- und Technik-Know-how.
Professionelles Netzwerk
Bei technischen Spezialfragen und komplexen Projekten können wir zudem auf ein Netzwerk externer Berater zurückgreifen, um für unsere Mandanten Lösungen zu finden, die nicht nur rechtlich rund sind.
Mehr als IT-Recht
Die Betreuung von Unternehmen der IT-Branche beschränkt sich dabei nicht nur auf das IT-Recht, sondern wir bieten eine umfassende Betreuung aus einer Hand. Wir helfen Ihnen mit Rat und Tat bei der Gründung Ihres Unternehmens, im laufenden Geschäft und auch bei Kauf und Verkauf von Unternehmen.
Kontakt
+49 (0) 40 357 662 0
Dr. Oliver Gießler
giessler@hanselaw.de
Claudia Bischof, LL.M
bischof@hanselaw.de
Rechtliche Fallstricke umgehen
Outsourcing, Cloud, Beschaffung von Hard- und Software, Anpassungen von Softwarelösungen, Wartung und Support, Lizenzen, Kooperationen, Waterfall oder agile Entwicklung – für rechtliche Fallstricke muss das IT-Vorhaben nicht komplex sein.
Präventive Regelungen
Dabei ist IT-Recht nicht nur das Wissen um bewährte rechtliche Lösungen. Vielmehr zeigt die Erfahrung, dass neben Rechtsfragen weit mehr geklärt werden muss. Wir erleben, dass Kunden und Lieferanten oft nicht dieselbe Sprache sprechen – und am Ende ohne klare Leistungsbeschreibung über vieles streiten können. Wir bieten entsptrechende Lösungen, dabei beraten wir allumfassend und präventiv.
Kontakt
+49 (0) 40 357 662 0
Dr. Oliver Gießler
giessler@hanselaw.de
Claudia Bischof, LL.M
bischof@hanselaw.de
Komplex, aber lösbar
Datenschutz – nur wenige andere Rechtsbegriffe lösen bei den Betroffenen ähnliche Befürchtungen aus. Rechtliche Vorgaben, die selten so richtig auf die Schnelllebigkeit und Komplexität von Geschäftsmodellen oder IT-Lösungen passen und dazu Formulierungen, die auch beim dritten Durchlesen weder prägnant noch eingängig sind. Hinzu kommt die DSGVO, die für die Betroffenen häufig mehr Fragen als Antworten mit sich bringt.
Doch wer sich, wie wir, in der Materie auskennt, kann Lösungen bieten, die Theorie und Praxis unter einen Hut bringen.
Wir unterstützen Sie bei der datenschutzrechtlichen Konzeptionierung und Prüfung von Produkten und Webseiten, bei Datenschutzfolgeabschätzungen, Erstellung von Datenschutzhinweisen oder Einwilligungserklärungen und bei allen anderen Vorhaben oder Nöten rund um den Datenschutz.
Kontakt
+49 (0) 40 357 662 0
Dr. Oliver Gießler
giessler@hanselaw.de
Claudia Bischof, LL.M
bischof@hanselaw.de
Formalisiertes Spiel
Die öffentliche Hand vergibt IT-Projekte in formalisierten Vergabeverfahren. Schon kleine Fehler können dabei weitreichende Konsequenzen haben. Für Bieter droht der Ausschluss von der Vergabe, der Vergabestelle die Überprüfung ihres Vergabeverfahrens durch die Vergabekammer. Vergabestellen und Bieter sind daher gut beraten, sich an die gesetzlichen Spielregeln zu halten.
Wir unterstützen insbesondere Dienstleister und begleiten sie durch das Vergabeverfahren auf Bieterseite. Sprechen Sie uns an, wenn Sie als Dienstleister erwägen an einem Vergabevergabeverfahren teilzunehmen oder Sie einen prüfenden Blick auf die Einhaltung der Verfahrensregeln benötigen.
Kontakt
+49 (0) 40 357 662 0
Claudia Bischof, LL.M
bischof@hanselaw.de
Fremdwort IT-Compliance
IT-Compliance – viele sprechen darüber, aber viele wissen auch nicht, was genau gemeint ist. Compliance ist „Einhaltung, Befolgung, Erfüllung, Einwilligung”, so steht es im Wörterbuch. Für Unternehmen geht es darum, einschlägige Gesetze zu befolgen. Aber auch bereits im Vorfeld Risiken zu erkennen – und entsprechend geeignete Kontrollsysteme einzuführen.
Schadensfolgen vermeiden
Der unvorbereitete Ausfall der Unternehmens-IT ist kein Vorfall mehr, der heutzutage einfach hingenommen wird. Da die Prozesse vernetzt sind, können die Schadensfolgen schnell beträchtliche Höhen erreichen. Entsprechend können Unternehmens- und IT-Leitung auf Schadenersatz verklagt werden. Doch diese Haftung lässt sich abwehren.
Zur Unternehmens-Compliance gehören auch Fragen zur IT-Security sowie der Schutz von Unternehmensdaten vor unerlaubten Zugriffen und vieles mehr. Wir unterützen unsere Mandanten, angemessene Lösungen für jeden dieser Bereiche zu finden.
Kontakt
+49 (0) 40 357 662 0
Dr. Oliver Gießler
giessler@hanselaw.de
Claudia Bischof, LL.M
bischof@hanselaw.de
Fallstrick IT-Verfahren
Gerichtsverfahren mit dem Schwerpunkt IT sind eine Sache für sich: Richter, die sich sonst mit Baurecht beschäftigen, haben in der Regel wenig Verständnis für technische Hintergründe. Entsprechend wird oft ein Sachverständiger in den Rechtsstreit einbezogen: So betritt ein weiterer Akteur die Spielfläche, der gern für Überraschungen sorgt. An erster Stelle steht daher für uns, im Vorfeld alles zu tun, um gerichtliche Streitigkeiten zu vermeiden.
Frühzeitige Vorbereitung zahlt sich aus
Wenn sich Gerichtstermine nicht mehr vermeiden lassen, dann sollten Mandanten gut vorbereitet sein. Die Praxis zeigt, dass strategische Fehler meist in einer Phase gemacht werden, in der der Anwalt noch nichts von seinem zukünftigen Mandanten ahnt.
Wir empfehlen unseren Mandanten daher, sich frühzeitig an uns zu wenden. Wir unterstützen sie bei der Suche nach Lösungen und leiten die nötigen Schritte ein, um Beweise zu sichern und ihre Interessen zu vertreten. Und selbstverständlich gehen wir dann für unsere Mandanten vor Gericht.
Kontakt
+49 (0) 40 357 662 0
Dr. Oliver Gießler
giessler@hanselaw.de
Claudia Bischof, LL.M
bischof@hanselaw.de
Umfassende Begleitung und Beratung
Das Auslagern von IT-Systemen ist nichts Neues. Auch nicht für uns. Seien es kleinere Projekte wie die Auslagerung des Mailservers, seien es größere Projekte wie das Outsourcen von SAP oder die Übertragung der gesamten IT auf einen externen Dienstleister. Auch wer ein Rollback plant und wieder insourcen möchte, ist bei uns in den besten Händen.
Wir stehen unseren Mandanten bei Out- und Insourcing nicht nur mit dem IT-rechtlichen Know-how zu Seite, sondern kennen auch die Fallstricke im Arbeits- und Steuerrecht.
Kontakt
+49 (0) 40 357 662 0
Dr. Oliver Gießler
giessler@hanselaw.de
Claudia Bischof, LL.M
bischof@hanselaw.de
Die deutschen Datenschutzaufsichtsbehörden haben sich umfangreich zur Gestaltung von Telemedien (insbesondere Webseiten und Apps) wegen der sog. Cookie-Banner, Consent Layer usw. geäußert. Ich würde davon ausgehen, dass für Ihre Angebote Änderungsbedarf besteht und stehe gerne zur Verfügung, wenn Sie keinen Streit mit Aufsichtsbehörden riskieren wollen (auch wenn er im Einzelfall berechtigt sein könnte).
Wer zuvor ein eigenes Informationsinteresse hat, findet nachfolgend eine Darstellung.
Worum geht es?
Welche Relevanz hat diese Orientierungshilfe?
Orientierungshilfen der DSK sind keine Gesetze, nach der Reinheit der Lehre sind sie nicht einmal zur Auslegung von Gesetzen hinzuzuziehen. Gleichwohl sind sie relevant, denn sie geben die Auffassung der Aufsichtsbehörden wieder und man weiß, wo welche Konfliktlinien lauern können. Dies ist nicht nur relevant hinsichtlich der Bußgeldpraxis der Aufsichtsbehörden, sondern auch für eventuelle Schadensersatzforderungen von Betroffenen bei einer unrechtmäßigen Verarbeitung personenbezogener Daten. Die Rechtsprechung zu entsprechenden Schadensersatzforderungen lässt klare Linien noch vermissen, aber das Pendel schlägt eher zu Lasten der Verantwortlichen. Aufgrund anstehender Entscheidungen des EuGH wird es zeitnah hoffentlich (mehr) Rechtssicherheit geben.
Daneben verlangen zahlreiche Anbieter von Analyse, Remarketing etc. Tools, dass Nutzer diese entsprechend den gesetzlichen Vorgaben in ihre Angebote einbinden. Kündigungen wegen der Nichteinhaltung dieser Vorgaben sind zwar sehr selten, aber am Ende könnte ggf. auch der Anbieter Schadensersatzforderungen und Bußgelder durchreichen, wenn er wegen Fehlern des Kunden in Anspruch genommen wird.
Zusammenfassung
Für einen schnellen Überblick hier die wesentlichen Eckpunkte, die Details werden im Anschluss dargestellt.
Details
Was sind Cookies o.ä. nach dem TTDSG?
§ 25 TTDSG ist technikneutral. Das Gesetz stellt nicht darauf ab, ob Cookies, Pixel etc. verwendet werden, sondern es reicht jedes Speichern von Informationen auf einer „Endeinrichtung des Endnutzers“ oder der Zugriff auf Informationen, die auf der Endeinrichtung gespeichert sind. Endeinrichtung sind z.B. Browser oder Smartphone. Erfasste Handlungen sind z.B. Speichern und Auslesen von Cookies, Fingerprinting, Pixel, Skripte, Hardware-Gerätekennungen, Werbe-Identifikationsnummern, Telefonnummern, Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation. Und Achtung: Das Einwilligungserfordernis besteht unabhängig davon, ob das Cookie o.ä. personenbezogene Daten beinhaltet!
Wann liegt kein Zugriff im Sinne des TTDSG vor?
Ein Zugriff setzt eine gezielte und nicht durch die Endnutzer veranlasste Übermittlung von Informationen voraus. Werden ausschließlich Informationen ausgelesen, die ein Browser aktiv übermittelt, ist das kein Zugriff im Sinne des TTDSG. Die Verarbeitung z.B. der öffentlichen IP-Adresse der Endeinrichtung, die Adresse der aufgerufenen Website (URL), des User-Agent-String mit Browser- und Betriebssystem-Version oder die im Browser eingestellte Sprache, können also ohne Einwilligung nach TTDSG verarbeitet werden. Aber Achtung: Hier können gleichwohl personenbezogene Daten vorliegen und deren Verarbeitung könnte im Einzelfall eine Einwilligung nach DSGVO verlangen (kann, muss nicht).
Das Speichern und Auslesen von Cookies o.ä. ist nur dann ohne Einwilligung gestattet, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Das Merkmal „unbedingt erforderlich“ ist dabei eng auszulegen und dies nach Meinung der Aufsichtsbehörden maßgeblich aus Sicht des Nutzers, nicht des Betreibers (das teile ich so pauschal nicht, aber im Regelfall kommt es darauf nicht an).
Technisch erforderlich bedeutet wirklich „erforderlich“ für den technischen Betrieb, also könnte ein Cookie z.B. für einen Chat auf einer Webseite erst gesetzt werden, wenn der Nutzer den Chat in Anspruch nimmt. Gleiches gilt für Warenkörbe, Zahlungsfunktionen, Voreinstellungen, Login-Status etc..
Zusätzlich ist zu prüfen, ob die Speicherdauer des Cookies auf das Erforderliche beschränkt ist. So wäre ein Cookie zum Login-Status z.B. nur dann nicht als Session-Cookie zu speichern, wenn der Nutzer beim Login eine Checkbox gesetzt hat, angemeldet bleiben zu wollen.
Da es hier auf den Einzelfall ankommt, kann ich Sie nur auf die individuelle Beratung verweisen. Wer die Handreichung der DSK selber durcharbeiten möchte, findet in dieser auf den Seiten 19 bis 27 umfangreiche Hinweise.
Ablehnung so einfach wie Zustimmung, Nutzer nicht nerven
Ich weiß, dass dies manchen wehtut, aber ich teile die Auffassung der Aufsichtsbehörden, dass das Ablehnen der Einwilligung ebenso einfach möglich sein muss, wie das Erteilen. Gestaltungen, bei denen z.B. mit „Einstellungen vornehmen“ auf eine 2. Ebene verlinkt wird, in der alle nicht technisch erforderlichen Dienste deaktiviert sind, sodass man dort mit Klick auf „OK“ o.ä. nicht erforderliche Cookies ablehnt, sind danach unzureichend. Rechtsprechung ist mir dazu zwar nicht bekannt, aber ich wäre überrascht, wenn die Aufsichtsbehörden nicht Recht bekämen, denn der BGH deutet dies in der Planet49 Entscheidung entsprechend an.
Ferner gilt „Nein, heißt Nein.“ Wenn der Nutzer die Einwilligung abgelehnt hat, kann er nicht beliebig häufig um seine Zustimmung gebeten werden, bis er entnervt aufgibt und zustimmt. Wo hier die Grenzen genau zu ziehen sind, werden die Gerichte entscheiden müssen, aber ich würde eher daraufsetzen, dass ein Wiederholen der Anfrage nur selten möglich sein wird.
Einfacher Widerruf der Einwilligung
Der Widerruf einer Einwilligung muss ebenso einfach möglich sein wie die Erteilung. Wurde die Einwilligung mittels eines Consent Layers o.Ä. eingeholt, ist es nach Auffassung der Aufsichtsbehörden unzulässig, wenn zunächst eine Datenschutzerklärung aufgerufen und dann in dieser zu der richtigen Stelle gescrollt werden muss, um zu einer Widerrufsmöglichkeit zu gelangen. Den Ansprüchen der Aufsichtsbehörden würde ein Link genügen, der wie Impressum oder Datenschutzhinweise ein unmittelbares Aufrufen des Consent Layers ermöglicht, um dort eine erteilte Einwilligung wirksam (!) modifizieren oder widerrufen zu können. Das Merkmal „wirksam“ verlangt eine technische Gestaltung, dass die entsprechenden Dienste nicht mehr genutzt werden und Cookies ggf. nicht mehr erneuert werden dürfen. Ob ein Löschen der Cookies verlangt werden kann, ist im Einzelfall auch technisch zu prüfen. Ich halte es indes auch für vertretbar, den Widerruf in den Datenschutzhinweisen zu ermöglichen, wenn 1. der Link zu diesen entsprechend benannt wird und 2. die Möglichkeit zum Widerruf sich gleich zu Beginn der Datenschutzhinweise befindet.
Bündeln von Einwilligungen
Im Regelfall wird nicht nur eine Einwilligung in das Speichern oder Auslesen eines Cookies o.ä. erforderlich sein, sondern mittels diesen sollen personenbezogene Daten z.B. für Analyse- oder Werbezwecke verarbeitet werden. Es bedarf daher ggf. zusätzlich einer Einwilligung nach DSGVO, sofern nicht ein anderer Rechtsgrund die Verarbeitung der personenbezogenen Daten gestattet. Die Aufsichtsbehörden sehen es als zulässig an, diese Einwilligungen zu kombinieren, wenn dem Nutzer bewusst ist, dass er verschiedene Einwilligungen erteilt. Die Texte in den Consent Layern sind entsprechend zu formulieren, damit die Einwilligungen sowohl den Vorgaben des TTDSG als auch der DSGVO genügen; und das wird textlastig.
Die Information nach TTDSG muss umfassen:
Wenn gleichzeitig eine Einwilligung nach DSGVO erforderlich ist (z.B. Analyse oder Werbung), sind die vorstehenden Informationen ferner so zu gestalten, dass die konkreten Zwecke der Folgeverarbeitung präzise beschrieben werden. Also z.B.: Google setzt Cookie für Funktion X, Speicherdauer Y, mit einer Lebensdauer Z und Dritten haben keinen Zugriff auf diesen. In dem Cookie werden personenbezogene Daten ABC gespeichert und diese zu den Zwecken XYZ verarbeitet (der Text, den man schon aus Datenschutzhinweisen kennt).
Und nun kommt es: Die DSK meint, dass eine Einwilligung im Regelfall nicht hinreichend informiert erfolgt, wenn Nutzer in einem Consent Layer eine Detailansicht öffnen müssen, um zu verstehen, worauf sich ihre Einwilligung bezieht. Das würde bedeuten, dass die erste Ebene des Consent Layers textlastig werden muss. Indes erkennt auch die DSK, dass solche Textwüsten niemanden helfen würden. Grundsätzlich sei es daher möglich, Consent Layer mehrschichtig zu gestalten, also detailliertere Informationen erst auf einer zweiten Ebene des mitzuteilen, zu der Nutzer über einen Button oder Link gelangen. Wenn jedoch bereits auf der ersten Ebene des Banners ein Button existiert, mit dem eine Einwilligung für verschiedene Zwecke erteilt werden kann, müssen auch auf dieser ersten Ebene konkrete Informationen zu allen einzelnen Zwecken enthalten sein. „Konkret“ bedeutet für mich jedoch nicht abschließend, sondern hinreichend und wer Details wissen möchte, muss z.B. zusätzlichen Text öffnen.
Einwilligung in einzelne Zwecke
Nach Auffassung der Aufsichtsbehörden muss datenschutzrechtlich die Möglichkeit bestehen, in unterschiedliche Verarbeitungszwecke separat einwilligen zu können. Das schlägt natürlich auch auf die Einwilligung nach TTDSG durch, denn die Einwilligung, z.B. in das Setzen eines Cookies, hat auch den Einsatz der entsprechenden Verarbeitung zur Folge (z.B. Cookie für Retargeting). Begründet wird dies mit Erwägungsgrund 43 der DSGVO. Danach gilt eine Einwilligung nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist. Abgesehen davon, dass Erwägungsgründe keine gesetzliche Wirkung entfalten, ist Knackpunkt das Merkmal „angebracht“. Ich habe daher erhebliche Zweifel, ob man wirklich verlangen kann, dass z.B. eine Einwilligung für Werbezwecke nicht für alle Dienste ganz oder gar nicht erteilt werden kann, sondern die Möglichkeit bestehen muss, sich Werbedienste auszusuchen. Da wird es ggf. zu gerichtlichen Klärungen kommen müssen.
Sie sehen, es gibt vermutlich auch bei Ihnen einiges zu tun. Wir stehen gerne zur Verfügung.
Am 8.3.2018 legte die Europäische Kommission einen Aktionsplan vor, mit dem sie die Chancen nutzen will, die sich aus technologiegestützten Innovationen bei Finanzdienstleistungen ergeben.
Geht es nach dem Willen der EU Kommission, soll Europa zum globalen FinTech Zentrum werden, das Unternehmen und Anlegern in der EU die Möglichkeit bietet, die Vorteile des Binnenmarkts in diesem schnelllebigen Sektor bestmöglich zu nutzen. So soll es der vorgestellte Aktionsplan dem Finanzsektor ermöglichen, die raschen Fortschritte bei neuen Technologien wie Blockchain, künstliche Intelligenz und Cloud-Diensten für sich zu nutzen.
Der FinTech-Aktionsplan
Der Finanzsektor wird von der EU Kommision als größte Nutzer digitaler Technologien und eine maßgebliche Triebkraft des digitalen Wandels in der Wirtschaft angesehen.
Der Aktionsplan sieht insgesamt 19 Schritte vor, um die Expansion innovativer Geschäftsmodelle zu fördern, die Cybersicherheit zu erhöhen und die Integrität des Finanzsystems zu stärken. Ein Ausblick:
Die Crowdfunding-Verordnung
Ein weiterer Schritt sind neue Regelungen zum Crowdfunding: Mit dem Vorschlag der Kommission wird es für Crowdfundung-Plattformen einfacher, ihre Dienstleistungen EU-weit anzubieten und den Zugang zu dieser innovativen Finanzierungsform für Unternehmen mit Finanzierungsbedarf zu verbessern. Nach ihrer Verabschiedung durch das Europäische Parlament und den Rat wird die vorgeschlagene Verordnung dafür sorgen, dass die Plattformen auf der Grundlage eines einheitlichen Regelwerks ein EU-Label beantragen können. Damit werden sie ihre Dienstleistungen in der gesamten EU anbieten dürfen. Anleger auf Crowdfunding-Plattformen werden durch klare Regeln für die Offenlegung von Informationen, für die Governance und für das Risikomanagement und durch eine kohärente Beaufsichtigung geschützt.
Kontakt:
040 357 662-0
Volkhard Neumann
neumann@hanselaw.de