Newsletter - Technologie & Kommunikation

Unser Newsletter „Technologie & Kommunikation“ informiert Sie monatlich über rechtliche Nachrichten aus der Branche sowie über Neuigkeiten von Bird & Bird. In den untenstehenden Kategorien finden Sie unsere neuesten Inhalte aus dem Mai 2019.

Sollten Sie Fragen haben, stehen wir Ihnen jederzeit gerne zur Verfügung. 

Download Newsletter

Abonnieren Sie den monatlichen Newsletter - Technologie & Kommunikation hier
Bitte senden Sie die sich öffnende E-Mail an die angegebene Adresse. Sie erhalten nachfolgend eine automatisierte E-Mail, mit der Sie Ihre Anmeldung bestätigen. Diese Anmeldung können Sie jederzeit widerrufen.

Nachrichten

  • Der EuGH entscheidet am 5. Juni und am 13. Juni über die TKG-Regulierung von sog. OTT-Diensten
    Zwei wichtige Urteile für die Telekommunikationsbranche stehen bevor: Am 5. Juni und am 13. Juni wird der Europäische Gerichtshof (EuGH) darüber entscheiden, ob sog. „OTT-Dienste“ der Telekommunikationsregulierung unterfallen. Dies ist bislang umstritten. In dem Urteil am 5. Juni wird es um einen Fall aus Belgien gehen, bei dem die Telekommunikationsregulierung des Internet-Telefoniedienstes „Skype Out“ im Zentrum stand (Rs. C-142/18). Am 13. Juni entscheidet der EuGH dann über die Einordnung des E-Mail-Dienstes „Google Mail“. Dieses Verfahren stammt aus Deutschland und geht auf eine Initiative der Bundesnetzagentur zurück (Rs. C-193/18). Sollte der EuGH entscheiden, dass diese Dienste als Telekommunikationsdienste einzuordnen sind, wird es voraussichtlich zeitnah zu Durchsetzungsmaßnahmen der Bundesnetzagentur auch gegen vergleichbare „OTT“-Dienste kommen. Betroffene Unternehmen sollten die Urteile abwarten und falls notwendig schnell Maßnahmen ergreifen.

  • Ein Jahr DSGVO: Gemischte Bilanz bei den Unternehmen
    Ein Jahr nach Einführung der DSGVO ziehen viele Unternehmen eine gemischte Zwischenbilanz. „Das Bewusstsein für Datenschutz ist auf allen Seiten höher. Das ist positiv. Dennoch: Im Rahmen der ausstehenden Überprüfung muss die Politik sagen, wo Bürokratie abgebaut und Unklarheiten im Text beseitigt werden. Gleichzeitig sollten Datenschutzbehörden noch stärker den Dialog mit den Unternehmen suchen und ihnen alltagsnahe Hilfestellungen zur Hand geben“, kommentiert beispielsweise Bitkom-Präsident Achim Berg das letzte Jahr. Und nicht nur in den Unternehmen bleibt die DSGVO eine Dauerbaustelle: Auch die gesetzliche Anpassung der deutschen Gesetze durch das „2. Datenschutzanpassungs- und Umsetzungsgesetz“ verzögert sich weiter. Weiterhin befasst sich der Bundestag mit dem Gesetzesentwurf, hinter den Kulissen wird verhandelt. Wann das Gesetz verabschiedet werden soll, ist derzeit nicht absehbar.

  • KJM widerruft die Anerkennung von JusProg – werden Sendezeiten im Internet notwendig?
    Mit Entscheidung vom 15. Mai 2019 hat die Kommission für Jugendmedienschutz (KJM) entschieden, dass das Jugendschutzprogramm JusProg zukünftigt nicht mehr als „geeignetes Jugendschutzprogramm“ anerkannt wird. Die KJM setzte sich damit über eine Entscheidung der Jugendschutz-Selbstkontrolleinrichtung FSM hinweg, die JusProg noch als geeignet anerkannt hatte. Kernpunkt der Kritik der KJM ist dabei, dass JusProg nur auf wenigen technischen Plattformen laufe. Der Rückruf der Anerkennung hat für Internetanbieter weitreichende Folgen. Denn laut der – fragwürdigen – Auffassung der KJM müssen Anbieter, die ihre „Jugendschutzpflichten“ nach § 5 des JMStV bisher über eine technische Kennzeichnung ihrer Angebote erfüllt haben, zukünftig zu anderen Methoden greifen. Dazu zählt beispielsweise die Nutzung eines Alterskontrollsystems oder die zeitweise Abschaltung der Inhalte im Wege von „Sendezeiten“. Die Entscheidung der KJM ist rechtlich fragwürdig, und die FSM hat hiergegen auch bereits Rechtsschutz vor dem Verwaltungsgericht Berlin gesucht. Fragwürdig ist außerdem auch die Auffassung der KJM, dass Internetanbieter zukünftig keine verhältnismäßige Möglichkeit mehr haben sollen, ihren Jugendschutzpflichten nachzukommen – es sei denn durch Zugangssperren oder „Sendezeiten“. Diese Frage werden nun Gerichte zu entscheiden haben.

  • Belgischer Gerichtshof legt EuGH Fragen zum „One Stop Shop“ vor
    Mit Entscheidung vom 8. Mai 2019 hat der Belgische Cour d‘appel in einem Verfahren gegen Facebook Ireland Ltd. dem EuGH Fragen zur Regelung zur Federführenden Aufsichtsbehörde („one-stop-shop“) nach der DSGVO vorgelegt. In dem Verfahren geht es um datenschutzgerechtes Tracking und um social plug-ins. Das Gericht ersucht Auslegungshilfe aber insbesondere zu der Frage, ob eine nationale Behörde – wie hier die Belgische Datenschutzbehörde (BPDB) – neben der federführenden irischen Aufsichtsbehörde befugt ist, ein eigenes gerichtliches Verfahren im Falle der grenzüberschreitenden Datenverarbeitungen gegen Facebook einzuleiten. Das Ergebnis dieser Vorlageentscheidung wird für alle multi-national tätigen Unternehmen von großer Bedeutung sein. Die Vorlagefragen des Gerichts im Einzelnen sind online verfügbar (inoffizielle englische Übersetzung). Unser belgisches Datenschutzteam hat zu dem Vorlageverfahren einen ausführlichen Artikel veröffentlicht.

  • KG (Berlin) zu AGB und Datenschutzerklärung von Google
    Mit Urteil vom 21. März 2019 hat das Berliner Kammergericht (KG) verschiedene Klauseln aus den Nutzungsbedingungen und aus der Datenschutzerklärung von Google für rechtswidrig gehalten (Az. 23 U 268/13). Die Klauseln stammen aus dem Jahr 2012, allerdings hat das KG auf diese die aktuelle Rechtslage und damit die DSGVO angewendet. Das KG kommt bei einer Reihe von Klauseln zu dem Ergebnis, dass diese von grundlegenden Wertungen der DSGVO abweichen und deshalb unwirksam sind (§ 307 Abs. 2 Nr. 1 BGB). Insbesondere wendet das KG die AGB-Kontrolle auch auf die Datenschutzerklärung von Google an, obwohl diese formal nicht Bestandteil des Vertrags war. Argument: Google habe in den Nutzungsbedingungen gesagt, aus der Datenschutzerklärung ergebe sich, wie Google „mit personenbezogenen Daten verfahre, wenn die Dienste genutzt würden“. Deshalb unterfalle auch die Datenschutzerklärung der AGB-Kontrolle. Das Gericht gestand dem klagenden Verbraucherzentrale Bundesverband (vzbv) demzufolge einen Unterlassungsanspruch zu. Das Urteil ist im Volltext online verfügbar. Es ist nicht rechtskräftig; nach Angaben des vzbv hat Google Nichtzulassungsbeschwerde zum BGH eingelegt.

  • Bundesamt für Justiz bereitet Klage gegen soziales Netzwerk wegen Verstoßes gegen das NetzDG vor
    Laut Medienberichten bereitet das Bundesamt für Justiz (BfJ) erstmals eine „Klage“ gegen ein soziales Netzwerk wegen Verstößen gegen das NetzDG vor. Dieses unternehme trotz Userbeschwerden zu wenig gegen Hasskommentare und „Fake News“. Das soziale Netzwerk verstoße damit gegen das 2017 in Kraft getretene Netzwerkdurchsetzungsgesetz. Um welches soziale Netzwerk es sich genau handelt und ob und wann ein Bußgeldbescheid ergeht, lassen die Medienberichte offen. Weitere Informationen finden Sie hier und hier.

  • Europäischer Datenschutzausschuss verabschiedet Leitlinien zur Interpretation des Art. 6 Abs. 1 lit. b DSGVO
    Am 9. April 2019 hat das European Data Protection Board (EDPB) „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen“ verabschiedet und diese zur Konsultation auf seine Webseite gestellt. Nach Art. 6 Abs. 1 b DSGVO ist die Verarbeitung personenbezogener Daten zulässig, soweit dies zur Vertragserfüllung erforderlich ist. Zur Beurteilung dessen soll es laut den neuen Leitlinien nicht allein darauf ankommen, was vertraglich vereinbart wurde. Zusätzlich sollen die in Art. 5 DSGVO verankerten Datenschutzgrundsätze wie Sparsamkeit, Fairness und Transparenz die Grundlage einer wertenden Entscheidung sein. Eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung könne etwa grundsätzlich nicht auf die Rechtsgrundlage „Vertragserfüllung“ gestützt werden.

  • EU-Urheberrechtsreform verabschiedet
    Der EU-Ministerrat hat am 15. April 2019 die umstrittene EU-Urheberrechtsreform passieren lassen. Das EU-Parlament hatte die Reform bereits Ende März verabschiedet. Das Reformvorhaben novelliert den zwanzig Jahre alten EU-Rechtsrahmen für Urheberrecht. Insbesondere die durch die Reform eingeführte strengere Haftung von Plattforminhabern für User-Uploads (Art. 17) stand im Fokus der Kritik. Kritiker befürchten, dass diese zum Einsatz von Filtersystemen („Upload Filter“) führen wird. Auch das in Art. 15 der Richtlinie normierte EU-weite Presse-Leistungsschutzrecht ist umstritten. Den EU-Staaten bleibt nunmehr Zeit bis zum Frühjahr 2021, um die Richtlinie in nationales Recht umzusetzen. Zur EU-Urheberrechtsreform haben wir auf unserem Blog „MediaWrites“ eine Reihe von Artikeln veröffentlicht.

  • EU-Richtlinie: Erleichterungen des Geoblockings für Fernseh- und Hörfunkprogramme
    Das EU-Parlament hat am 28. März 2019 den Entwurf einer Richtlinie für Fernseh-und Hörfunkprogramme verabschiedet. Diese soll den grenzüberschreitenden Zugang zu Fernseh-und Radioproduktionen erleichtern und ergänzt die bereits bestehende Kabel- und Satellitenrichtlinie.

    Die neue Richtlinie wird es Rundfunksendern ermöglichen – ohne Geoblocking – in allen EU-Mitgliedstaaten ihre Programme anzubieten. Hierzu wird das Sendestaatsprinzip aus der Satelliten- und Kabelrichtlinie auf Online-Fernsehen ausgeweitet. Das bedeutet, dass Lizenzen für gesendete Inhalte nur für das Land eingeholt werden müssen, in dem diese direkt übertragen werden. Bestimmte Programminhalte wie Sportereignisse nimmt die Richtlinie ausdrücklich hiervon aus.


  • EU-Parlament verabschiedet EU Cybersecurity Act
    Das EU-Parlament hat am 12. März 2019 den Cybersecurity Act verabschiedet. Die zentralen Inhalte der neuen Verordnung sind zum einen die Einführung eines Systems zur Zertifizierung von Cybersicherheit und zum anderen neue Vorgaben zu den gestärkten Kompetenzen der EU-Sicherheitsbehörde ENISA (Art. 1).

    Künftig sollen europaweit geltende Cybersicherheitszertifikate in den Sicherheitsstufen „niedrig“, „mittel“ und „hoch“ verfügbar sein. Diese sollen die Abwehrfähigkeit von Cyberrisiken für die zertifizierten Dienste, Produkte und Prozesse gegenüber Endnutzern ausweisen. Die Cybersicherheitszertifizierung soll grundsätzlich freiwillig sein. Die EU Kommission kann jedoch festlegen, dass bestimmte Arten von IKT-Produkten oder -Diensten durch ein europäisches Gesetz einer Pflichtzertifizierung unterliegen (Art. 56 Nr. 3). Der Cybersecurity Act stärkt außerdem die Rolle der ENISA, indem er ihr ein ständiges Mandat erteilt und ihre finanziellen und personellen Ressourcen verstärkt.

Kommentare

Neue Ära im Geheimnisschutz: Hohe Anforderungen an Unternehmen

Gertrud Romeis und Florian Keßenich, beide Bird & Bird Hamburg

Unternehmen müssen ihre Konzepte zum Schutz von Geschäftsgeheimnissen überprüfen und sich auf die neuen Anforderungen des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) einstellen. Denn nur so können sie auch in Zukunft sicherstellen, dass ihre Geschäftsgeheimnisse davor geschützt sind, unerlaubt erlangt, genutzt oder offengelegt zu werden. Das neue Gesetz setzt die Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung um. Das GeschGehG ist bereits vom Bundestag und Bundesrat beschlossen und wird in Kürze in Kraft treten.  

Was ist ein Geschäftsgeheimnis?

Mit dem GeschGehG wird der Begriff des „Geschäftsgeheimnisses“ erstmals in einem Gesetz definiert. Damit eine Information fortan als geschütztes Geschäftsgeheimnis gilt, müssen folgende Voraussetzungen erfüllt sein: 

  • erstens darf die Information den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, nicht allgemein bekannt oder ohne weiteres zugänglich sein, 
  • zweitens muss die Information einen eigenen wirtschaftlichen Wert haben und
  • drittens muss das Unternehmen – und hier wird ein Schutzkonzept benötigt – die Information zum Gegenstand „von den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ machen.
Was sind angemessene Geheimhaltungsmaßnahmen?

Das Gesetz beantwortet diese Frage nicht. In der Gesetzesbegründung wird auf die Möglichkeit physischer Zugangsbeschränkungen sowie vertraglicher Sicherheitsmechanismen verwiesen. Je nach Einzelfall und insbesondere Art und Wert der Information muss das Unternehmen sowohl organisatorische (z. B. Information wird nur solchen Mitarbeitern und nur in solchen Teilen zugänglich gemacht, wie diese die Information für ihre Arbeit benötigen), als auch technische (z. B. Verschlüsselung beim digitalen Versand von Informationen)  und rechtliche Maßnahmen (z. B. Vertraulichkeitsvereinbarung in Arbeitsverträgen oder in Verträgen mit anderen Unternehmen) ergreifen. 

Warum ein Schutzkonzept?

Die technischen, organisatorischen und rechtlichen Maßnahmen müssen ineinander greifen und zuverlässig in die Abläufe des Unternehmens integriert sein. Im Streitfall müssen Unternehmen in der Lage sein, anhand eines – am besten schriftlich dokumentierten – Konzepts zu zeigen, welche Geschäftsgeheimnisse mit welchen Maßnahmen geschützt wurden. Die aktuell schon vorhandenen Prozesse und Maßnahmen sollten in enger Zusammenarbeit von Fachabteilungen, IT-Abteilung, Datenschutzbeauftragtem und Rechtsabteilung überprüft und wo notwendig verändert und aufeinander abgestimmt werden. Je größer der Wert der Information ist, desto umfangreichere Maßnahmen sollten ergriffen werden. In rechtlicher Hinsicht ist insbesondere zu betonen, dass sog. „catch all“-Klauseln (Klauseln, die z. B. in Arbeitsverträgen die Verschwiegenheitspflicht auf sämtliche geschäftlichen und betrieblichen Tatsachen ausdehnen, die dem Arbeitnehmer während des Arbeitsverhältnisses bekannt werden) nicht mehr ausreichend sein werden. Vielmehr müssen in Geheimhaltungsvereinbarungen, z. B. mit Mitarbeitern, geheimzuhaltende Tatsachen spezifisch adressiert werden, um diese zum geschützten Geschäftsgeheimnis zu machen. 

Fazit

Aus rein rechtlicher Sicht läutet das GeschGehG eine neue Ära ein. Aus praktischer Sicht hat sich weit weniger geändert. Auch aktuell schon müssen Unternehmen ihre Geschäftsgeheimnisse ausreichend durch präventive Maßnahmen zu schützen; zum einen um eine unberechtigte Entwendung zu verhindern und zum anderen um den erheblichen Beweisschwierigkeiten nach einer unberechtigten Entwendung zu begegnen. Mit dem GeschGehG erlegt der Gesetzgeber dem Inhaber eines Geschäftsgeheimnisses auf, im Einzelnen darzulegen, welche Informationen Geschäftsgeheimnisse sind und welche Maßnahmen er zu deren Schutz getroffen hat. 


IT-Sicherheitsgesetz 2.0 – die wichtigsten Änderungen

Mehmet Baki Alacayir, Bird & Bird Düsseldorf

Am 27. März 2019 hat das Bundesministerium des Innern, für Bau und Heimat („BMI“) den Referentenentwurf zum IT-Sicherheitsgesetz 2.0 – (IT-SiG 2.0) veröffentlicht („Entwurf“). Dieser Entwurf enthält zahlreiche Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik („BSI-Gesetz“) und anderer Bundesgesetze (u.a. StGB, TKG und TMG), um den gestiegenen Gefahren im Bereich der Cyber- und Informationssicherheit zu begegnen. Insbesondere vor dem Hintergrund des erheblich erweiterten Anwendungsbereichs des neuen BSI-Gesetzes empfiehlt sich für die Praxis eine rechtzeitige Vorbereitung auf die neuen Regelungen. Im Folgenden ein Überblick zu den aus unserer Sicht wichtigsten Änderungen und Neuerungen:

Erweiterter Anwendungsbereich

Im Entwurf zählt die Abfallwirtschaft im BSI-Gesetz nunmehr zu den „kritischen Infrastrukturen“. Neu ist auch die Kategorie der „Infrastrukturen im besonderen öffentlichen Interesse“, die den kritischen Infrastrukturen gleichgestellt werden. Umfasst sind hier u.a. Unternehmen aus der Rüstungsindustrie, Kultur und Medien, börsliche Infrastrukturen sowie Unternehmen von erheblicher volkswirtschaftlicher Bedeutung. Es ist nicht ausgeschlossen, dass weitere Branchen (u.a. Automobil- und Chemiebranche) im finalen Gesetzestext enthalten sein werden. Darüber hinaus kann das Bundesamt für Sicherheit in der Informationstechnik („BSI“) auch sonstigen Unternehmen mit sog. „Cyberkritikalität“ im Einzelfall Pflichten auferlegen.

Erweiterte materielle Pflichten

Hinzugekommen sind zahlreiche neue Pflichten für die Adressaten des BSI-Gesetzes. Unter anderem müssen Betreiber kritischer Infrastrukturen sich beim BSI registrieren, haben eine jederzeit erreichbare Kontaktstelle zu benennen und Systeme zur Angriffserkennung zu nutzen und dem BSI bestimmte Informationen herauszugeben. Hersteller von IT-Produkten und Hersteller von sog. „KRITIS-Kernkomponenten“ sollen bei Relevanz für kritische Infrastrukturen oder Infrastrukturen im besonderen öffentlichen Interesse erhebliche Störungen der Verfügbarkeit und Integrität der Produkte an das BSI melden. Weiterhin sollen Anbieter von TK-Diensten und Telemediendiensten unter anderem auch „Data Breaches“ in eigenen Systemen sowie Fälle, in denen der eigene Dienst zur rechtswidrigen Weitergabe oder Veröffentlichung rechtswidrig erlangter Daten genutzt wird, direkt dem BKA (zusätzlich zur Meldung bei Datenschutzbehörden) melden. Gegenüber TK-Diensteanbietern kann das BSI im Falle von Störungen des Datenverkehrs auch anordnen, den Datenverkehr einzuschränken/umzuleiten oder selbst Softwareupdates auf den betroffenen Geräten durchzuführen. 

Erweiterte Kompetenzen des BSI

Das BSI erhält weitgehende Untersuchungsbefugnisse. Nach dem Entwurf darf die Behörde u.a. in allen öffentlich erreichbaren IT-Systemen Sicherheitsrisiken feststellen und auswerten sowie nach Sicherheitslücken in am Markt erhältlichen Produkten suchen. Auch wird ein (freiwilliges) IT-Sicherheitszeichen eingeführt. Damit kann ein Hersteller dokumentieren, dass sein Produkt bestimmte Sicherheitseigenschaften aufweist. In regelmäßigen Abständen sowie anlassbezogen soll das BSI überprüfen, ob die Vorgaben des IT-Sicherheitskennzeichens weiterhin eingehalten werden.

Erweiterung der Sanktionen und der Kompetenzen der Strafverfolgungsbehörden 

Schließlich sieht der Entwurf Änderungen des Straf- und Strafverfahrensrechts vor. Unter anderem vorgesehen sind neue Qualifikationstatbestände für Computerstraftaten. Zudem soll der Strafrahmen von Datenstraftaten an die veränderte Gefährdungslage angepasst (d.h. angehoben) werden. Auch wird die Höhe der Bußgelder für Verstöße gegen die Pflichten aus dem BSI-Gesetz auf das DSGVO-Niveau angehoben, sodass Geldbußen von bis zu 10 bzw. 20 Mio. Euro oder von bis zu 2% bzw. 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes möglich sind. Daneben erhalten Strafverfolgungsbehörden erweiterte Handlungsbefugnisse: diese sollen unter bestimmten Voraussetzungen Zugriff auf Nutzerkonten in TK- und Telemediendiensten erhalten, einschließlich der Befugnis, diese Nutzerkonten unter der Identität des Verdächtigen im Kontakt mit Dritten zu nutzen. Schließlich wird unter bestimmten Voraussetzungen eine Herausgabepflicht des Verdächtigen hinsichtlich seiner Zugangsdaten eingeführt.

Events

  • Innovative Open Source-Leaderships

    Wussten Sie schon, ...?

    … dass die meisten „contributions“ zu Freier und Open Source Software („FOSS“) heute von Unternehmen gemacht werden?

    … dass immer mehr Unternehmen Open Source Programm Offices einrichten, deren zentrale Aufgabe es ist, unternehmensintern entwickelte Software zu identifizieren, die als FOSS an jedermann lizenziert werden kann?

    Haben Sie Ihr FOSS-Potenzial schon entdeckt?

    In unserem Seminar wollen wir sowohl die rechtlichen Rahmenbedingungen von „contributions“ und „project leadership“ betrachten, als auch über die praktischen Prozesse und die Motivation der Unternehmen diskutieren, an FOSS-Projekten mitzuarbeiten oder sogar eine Führungsrolle zu übernehmen. Hierzu stellen Ihnen unsere externen Sprecher den sog. „Outbound-Prozess“ der SAP SE vor, der für „contributions“ zu FOSS-Projekten zu durchlaufen ist. Weiterhin gibt uns der Project Lead für Scantool FOSSology und Software Catalogue Systems SW360 einen spannenden Einblick in das unternehmerische Tooling für FOSS-Prozesse. Im Anschluss daran lassen wir das Seminar mit einer gemeinsamen Diskussion und einem kleinen Get-together ausklingen. 

    Datum: 25. Juni 2019, 16:00-20:00 Uhr
    Ort: Bird & Bird LLP, Maximiliansplatz 22, 80333 München

Zur Anmeldung >> 

Veröfffentlichungen und Vorträge

  • Update des „General Guide to the GDPR“ und des GDPR Implementation tracker
    Anlässlich des 1. Geburtstages der DSGVO haben wir unsere Handreichung zur DSGVO, „Guide to the General Data Protection Regulation“ auf den neuesten Stand gebracht. Die Handreichung bietet einen vollständigen Überblick über alle Abschnitte der DSGVO. In der aktuellsten Fassung berücksichtigt der Guide auch Entwicklungen im Recht der Mitgliedsstaaten. Die Handreichung kann hier heruntergeladen werden. Einen Überblick über das Recht in den EU-Mitgliedsstaaten gibt der Bird & Bird GDPR Implementation Tracker.

  • Zukunftsmodell Aufgabenprivatisierung: Datenschutz als Rahmen
    Die Autoren Dr. Jan Byok, LL.M. und Anna Horschik nahmen die in jüngster Zeit durch Sicherheitslücken entfachten Diskussionen zur privatisierten Fluggastkontrolle zum Anlass, in der Fachzeitschrift „pvt – POLIZEI VERKEHR + TECHNIK“ (Ausgabe 08/2018, S. 49-51) einen Überblick über die rechtlichen Rahmenbindungen bei der Zuhilfenahme privatwirtschaftlicher Anbieter zu geben. Die Betätigungsfelder würden für Sicherheitsbehörden stetig komplexer und der Auslastungsgrad nehme zu, weshalb der Bedarf am Einsatz hochtechnologischer Einsatzmittel steige. Dies belege die Zusammenarbeit mit dem Privatsektor bei der Analyse von DNA-Proben, beim Auslesen von Datenträgern und dem Eskortieren von Gefahrguttransporten. Bei der Zuhilfenahme privater Dienstleister müssten die Sicherheitsbehörden insbesondere die Vorgaben des Vergaberechts sowie des Datenschutzrechts einhalten. Vor allem die auftragsbezogene Weitergabe personenbezogener Daten unterliege als Auftragsverarbeitung hohen datenschutzrechtlichen Hürden (Art. 22 der Richtlinie (EU) 2016/680 zur Strafverfolgung; § 52 BSDG).

  • Fahndungsmöglichkeiten der Polizeibehörden durch Nutzung von Mautdaten
    Die Autoren Dr. Jan Byok, LL.M. und Anna Horschik in der Fachzeitschrift „pvt – POLIZEI VERKEHR + TECHNIK“ (Ausgabe 01/2019, S. 22-24) über die Frage, inwieweit Ermittlungsbehörden die seit Einführung des deutschen Mautsystems 2005 zu Abrechnungszwecken erhobenen Verkehrsdaten für Fahndungszwecke nutzen dürfen. Diese stellt sich vor dem Hintergrund jüngster durch österreichische Mautdaten ermöglichte Ermittlungserfolge. Zu prognostizieren sei, dass der Gesetzgeber die im Bundesfernstraßenmautgesetz vorgesehene Nutzungsberechtigung ausschließlich für Abrechnungszwecke perspektivisch auch für Fahndungszwecke öffnen werde. 

  • Automatische Gesichtserkennung als polizeiliche Standardmaßnahme
    Die softwarebasierte, automatische Gesichtserkennung wird sich – wie einst das Fingerabdruckverfahren – in die Reihe der Standardinstrumente der Sicherheits- und Ordnungsbehörden einfügen. Dr. Jan Byok, LL.M. und Anna Horschik beleuchten in der Fachzeitschrift „pvt – POLIZEI VERKEHR + TECHNIK“ (Ausgabe 02/2019, S. 17-19) das rechtliche Spannungsfeld zwischen Grundrechtseingriffen und der Kriminalitätsbekämpfung, welches beim Zugriff auf Echtzeit-Bildmaterial aus Gründen der Gefahrenabwehr oder Strafverfolgung entsteht. Hierbei bedarf das unterschiedslose Auswerten biometrischer Daten eines jeden Passanten einer hinsichtlich Anlass, Zweck und Grenzen der Datenverarbeitung besonders detaillierten gesetzlichen Grundlage. Der Bund und die Länder haben ihre jeweiligen Sicherheits- und Ordnungsgesetze dabei insbesondere an die Vorgaben der Richtlinie (EU) 2016/680 zum Schutz bei der Verarbeitung personenbezogener Daten zum Zweck der Strafverfolgung anzupassen. 

  • Datenschutzrechtliche (Un-)Zulässigkeit polizeilicher Verkehrsüberwachung
    Mit Urteil vom 13. März 2019 (Az.: 7 A 849/19) entschied des Verwaltungsgericht Hannover,  dass die durch das Land Niedersachsen eingeführten abschnittsbezogenen Geschwindigkeitskontrollen mittels Streckenradar (Projekt „Section Control“) datenschutzrechtlich unzulässig sind. Dies zum Anlass nehmend zeigen Dr. Jan Byok, LL.M. und Dr. Benjamin Wübbelt in der Fachzeitschrift „pvt – POLIZEI VERKEHR + TECHNIK“ (Ausgabe 03/2019, S. 16-19) auf, welchen verfassungsrechtlichen Anforderungen eine gesetzliche Ermächtigungsgrundlage genügen muss, um das Erfassen und Auswerten von Fahrzeugkennzeichen durch erstmals in Deutschland eingesetzte Abschnittskontrollen zu ermöglichen. Technisch realisiert wird diese, indem die Messanlage durch Laserdetektoren beim Ein- und Ausfahren aus einem Streckenabschnitt die Kennzeichen erfasst und die gefahrene Durchschnittgeschwindigkeit errechnet. Das Land Niedersachsen verspricht sich hiervon, bei herkömmlichen punktuellen Messungen auftretende abrupte Bremsmanöver zu verhindern, den Verkehrsfluss zu harmonisieren und hierdurch die Verkehrssicherheit zu erhöhen.

  • Bird & Bird veranstaltete 2. Cyberkonferenz in Kooperation mit der Commerzbank AG
    Am 16. Mai 2019 veranstaltete Bird & Bird LLP Düsseldorf die von Dr. Jan Byok, LL.M. moderierte zweite Cyberkonferenz in Kooperation mit der Commerzbank AG. Diese bezweckte, Unternehmen auf die gegenwärtigen Gefahren für betriebliche Cyber Security Prozesse durch Hacking-Angriffe und Cyber-Erpressungen aufmerksam zu machen. Gegen hieraus resultierende  Datenverluste, Betriebsspionage und Wiederherstellungsaufwand boten die Vortragenden praxisgerechte Lösungen an, um eine ganzheitliche Cyber Security Infrastruktur zu schaffen. Dr. Benjamin Wübbelt nahm das anstehende einjährige Jubiläum der seit dem 25. Mai 2018 geltenden DSGVO zum Anlass, um eine Bestandsaufnahme aus Unternehmenssicht zu entwerfen. Zahlreiche bereits verhängte Bußgelder belegen, dass Unternehmen das Erfordernis der Cybersicherheit aus datenschutzrechtlicher Sicht unbedingt ernstnehmen müssen.

Neu auf der Website


  • Silicon Valley Research tour - a summary
    Lawyers from Bird & Bird's San Francisco and London offices have been participating in the 23rd Ntegra US Research Tour of Silicon Valley. The tour started informally on Sunday with a visit to San Francisco to see some of the sites the city has to offer, as the delegates looked forward to an interesting and varied agenda over the coming days.

    Read more

  • Your company’s most sensitive data may be vulnerable to theft from within. Here’s what to do about it
    In January 2019, Jizhong Chen, an engineer in Apple’s autonomous car division, was spotted covertly snapping pictures in a restricted area. 

    Read more

  • Mehr Freiheit für Crowdfunding
    Der deutsche Gesetzgeber erweitert die Ausnahme für Crowdfunding. Im Rahmen der notwendigen Gesetzesänderungen, die mit der am 21. Juni 2019 in Kraft tretenden EU-Prospektverordnung einhergehen, soll auch das Vermögensanlagegesetz geändert werden. Die dortigen Änderungen betreffen insbesondere die Regelungen zum Crowdfunding (Schwarmfinanzierung) und basieren auf den Erfahrungen der BaFin aus ihrer Aufsichtspraxis.

    Weiterlesen

  • PSD2/ZAG: Starke Kundenauthentifizierung bei Lastschriften
    Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in einem Hinweis für Verbraucher klargestellt, dass Lastschriftzahlungen im Internet in der Regel keine starke Kundenauthentifizierung gem. § 55 Abs.1 Nr. 3 ZAG (Zahlungsdiensteaufsichtsgesetz) voraussetzen. Die BaFin verdeutlicht damit ihre Auslegung einer Stellungnahme der European Banking Authority (EBA), deren Inhalt auch so gedeutet werden konnte, dass eine starke Kundenauthentifizierung erforderlich sei. 

    Weiterlesen

  • EU: The interplay of PSD2 and GDPR - some select issues
    It can be argued that the principle purposes of the General Data Protection Regulation (Regulation (EU) 2016/679) ('GDPR') and the Payment Services Directive (Directive (EU) 2015/2366) ('PSD2') are in contrast with one another, as the PSD2 enacts data sharing requirements for financial service providers, whilst the GDPR gives individuals greater control over their data and restricts the freedoms to share it. Financial entities have therefore experienced concern with regard to overlapping provisions in the two pieces of legislation. Scott McInnes and Guadalupe Sampedro, of Bird & Bird LLP, provide insight into the key areas of overlap between the PSD2 and the GDPR, and share their views on how entities might navigate the same. 

    Read the full article here

  • Big Data & Issues & Opportunities: Competition
    In the fourteenth article of the Bird & Bird “Big Data & Issues & Opportunities” series our Belgian Associates Julien Debussche, Jasmien César, Bróna Heenan and our Partner Benoit van Asbroeck focus on the impact of big data on different aspects of EU competition law and seek to create more clarity on when and how the ownership or (mis)use of (big) data can give rise to competition law issues.

    Read more

  • Das neue deutsche Geschäftsgeheimnisgesetz – No pain, no gain!
    Mit fast einem Jahr Verspätung hat der Bundestag am 21. März 2019 den von der Bundesregierung eingebrachten Entwurf eines Geschäftsgeheimnisgesetzes (GeschGehG) verabschiedet, der die entsprechende EU-Richtlinie 2016/943 zum Schutz von Geschäftsgeheimnissen umsetzt. Grund für die verzögerte Umsetzung waren insbesondere unterschiedliche Auffassungen der Bundestagsfraktionen hinsichtlich des Anwendungsbereichs des Gesetzes in Bezug auf Journalisten, Whistleblower sowie Arbeitnehmer.

    Weiterlesen

  • Big Data & Issues & Opportunities: Data Sharing Agreements
    In the thirteenth article of the Bird & Bird “Big Data & Issues & Opportunities” series our Belgian Associates Jasmien César, Julien DebusscheIsis De Moortel and our Partner Benoit van Asbroeck focus on data sharing agreements, the rules that may apply to these agreements arising both from the law and from contractual obligations established by the parties, and of the guidance issued by the European Commission in this respect.

    Read more

  • A million PLN fine for GDPR
    On 26 March, the President of the Personal Data Protection Office in Poland (UODO) announced the first administrative fine under the GDPR in the amount of approx. PLN 1 million (approx. EUR 230,000). The fine was imposed on a data broker for not providing approx. 6.6 million sole traders with its privacy notice.

    Read more


  • Data mining, AI and Media: A brave new world?
    As the real world continues to take surreal twists and turns, our imaginations have been captured by something seemingly not-of-this-world: artificial intelligence (AI). The mainstream press has become preoccupied, asking whether we should tax AI? Can we hold AIs to ethical standards? Is AI racist/sexist/leading us into a Kafkaesque future? What does AI mean for the future of work and social equality? And, inevitably, will AI take our jobs and turn on us?

    Read more

  • Digitale Identitäten und Datenschutz & Blockchain
    Die Blockchain-Technologie gestattet einen ganz neuen Ansatz im Umgang mit digitalen Identitäten und personenbezogenen Daten.

    Weiterlesen

  • Bird & Bird gewinnt in-house Counsel als neuen Partner in Hamburg
    Bird & Bird LLP gewinnt zu Mitte März 2019 den Rechtsanwalt Hartmut Hörner (52) als Partner für die Praxisgruppe Commercial mit den Sektorschwerpunkten Tech & Comms, Financial Services und Life Sciences. 

    Weiterlesen