Notizen für die Mandantschaft

Veröffentlicht am

Geheimnisschutz: E2E im Conferencing

Mittelständische Unternehmen nehmen die Herausforderungen der Situation an – dazu zählt oft auch die Auswahl eines Tools für Online-Conferencing. Obwohl viel darüber geschrieben wird und viele Konferenzen über unterschiedliche Anbieter stattfinden, sind die Auswahlkriterien nicht leicht zu erfassen. Der gemäß gesetzlicher Anforderung sorgfältig handelnde Kaufmann muss viele Aspekte bedenken, wie

Verfügbarkeit und Dienstqualität,
Kosten,
Verständlichkeit des Nutzer-Interfaces,
Kenntnisse der Mitarbeiter, die z.B. zur schnellen Eingewöhnung und Problembehebung beitragen können.

Kommt es zum Thema Sicherheit, insbesondere dem Schutz vor Ausspähung, wird es „ungemütlich aufwändig“ bei der Betrachtung der Angebote. Für wirksamen Geheimnisschutz sind wichtig:

Die Nutzung von Verschlüsselungsstandards (z.B. AES, TLS) und
die Gewährung der Durchgängigkeit der Verschlüsselung (E2E oder nicht)

Die E2E-Thematik ist wesentlich: Es reicht nicht aus, sich damit zu befassen, ob eine Verschlüsselungstechnik angewendet wird. Der anzustrebende Schutz des Geschäftsgeheimnisses wird nur gesichert sein, wenn eine Verschlüsselung von einem Ende zum anderen Ende der Übertragungsleitung stattfindet. Diese end-to-end oder E2E-Verschlüsselung lässt nicht zu, dass ein Diensteanbieter (d.h. auch ein dort eingeschleuster Mitarbeiter ) geheime Inhalte abgreift. Anmerkung: Als Jurist kennt man die Diskussion um E2E von der Einführung der Technik des elektronischen Anwaltspostfachs beA.

Insbesondere ist darauf hinzuweisen, dass geprüft werden muss, ob E2E-Verschlüsselung Anwendung findet und für welche Dienste des Dienstleisters das der Fall ist – denn es ist nicht sichergestellt, dass eine E2E-Verbindung, die für den Austausch von Texten über ein Team-Modul angewendet wird, auch für den Videokonferenz-Kontakt in der Team-Software genutzt wird.

Fazit:
Die Frage der Unternehmensführung an die eigene Abteilung IT/Technik/Security oder an externe Dienstleister muss primär die effektive Verschlüsselung von Medien-Daten zwischen Endgeräten betreffen, zumindest dort wo Geheimnisschutz notwendig ist. Anderenfalls droht die Organhaftung wegen mangelhafter Organisation. Aus juristischer Sicht ist davor zu warnen Geschäftskommunikation zwischen Mitarbeitern vorschnell als trivial (und nicht schutzwürdig) zu bewerten. Inwieweit einfache Kommunikationsinhalte interessant für Angreifer sein können, lässt sich aktuellen Berichten entnehmen. Auch kleinere Unternehmen müssen diese Gefährdungsszenarien in ihre Erwägungen einstellen.


Veröffentlicht am

IT: Ihr Vertragspartner ist KRITIS?

Werk- und Dienstleister der IT-Branche für kritische Infrastrukturen stehen vielen Regelwerken gegenüber, die ihr Vertragspartner erfüllen muss. In den Sektoren

  • Energie,
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser und Ernährung,
  • Finanz- und Versicherungswesen

sind ab einer gewissen Unternehmensgröße des Kunden von ihm Sicherheitsvorkehrungen (u.a.) im Hinblick auf die IT zu treffen. Was bedeutet das für den Vertragspartner:

Wie sonst im Werkvertragsrecht, wenn nichts abweichendes geregelt ist, gilt es (mindestens) den Stand der Technik zu erreichen. Für die Betreiber kritischer Infrastrukturen gibt es dazu spezielle Anforderungen. Die Basis der KRITIS-Einordnung und der Pflichten sind das IT-Sicherheitsgesetz und die Rechtsverordnung dazu:
IT Sicherheitsgesetz
Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)

Branchenspezifische Sicherheitsstandards (B3S) spielen eine besondere Rolle als Maßstab des zu erfüllenden Sicherheitslevels/des geforderten Standes der Technik. Einige B3S finden sie hier:
B3S Verzeichnis

Die Unternehmensführung des Vertragspartners eines Unternehmens im Bereich kritischer Infrastrukturen soll vorsorglich – zur Meinung von Rechtsstreitigkeiten – bei Vertragsannahme und der Ausführung davon ausgehen, dass die „eingekauften“ Leistungen zur Erfüllung der KRITIS-Pflichten tauglich sind. Beide Vertragsparteien müssen sich über die einschlägigen Normen bewusst werden, z.B. auch aus DIN, ISO, DKE, ISO/IEC oder abzuleiten aus B3C.

Zu beachten ist, dass spezielle Bereiche wie der TK-Netzbetrieb Sonderregelungen unterliegen. Dazu ist auf die IT-Sicherheitskataloge der Bundesnetzagentur hinzuweisen:
Sicherheitskataloge BNA

Dazu zählt z.B. der IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz. In dessen Rahmen fällt die Vorgabe, dass der Anlagenbetreiber die Konformität seines Informationssicherheits-Managementsystem (ISMS) mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat einer akkreditierten Zertifizierungsstelle nachweisen muss. Im Zitat:

Dementsprechend haben Betreiber von Energieanlagen, die durch die BSI- Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, ein ISMS zu implementieren, das den Anforderungen der DIN EN ISO/IEC 27001 in der jeweils geltenden Fassung genügt.

Zum Standard: Abstract in EN

Veröffentlicht am

Künftiger Differenzierungsbedarf bei Corona-Regelungen

Zahlreiche Unternehmer fühlen sich durch die Corona-Regelungen in ihrer Freiheit eingeschränkt und sehen den Bestand der Betriebe gefährdet. Es geht rechtlich um den Schutzgedanken, der in den Artikeln 12 und Art. 14 des Grundgesetzes festgeschrieben ist, im Einzelnen um das „Recht am eingerichteten und ausgeübten Gewerbebetrieb“.

Tatsächlich bestehen an der Grundlage der Corona-Verordnung der Regierung des Landes Baden-Württemberg Zweifel. Massive Eingriffe in Grundrechte von Bürgern stehen in der Demokratie berechtigterweise unter dem Parlamentsvorbehalt. Der Verwaltungsgerichtshof Mannheim hat in einem einstweiligen Verfahren Bedenken an der Verordnungsgrundlage geäußert. Er entscheidet gemäß § 4 des Ausführungsgesetzes zur Verwaltungsgeichtsordnung Baden-Württemberg über Normenkontrollanträge:

§ 4 Normenkontrollverfahren
DER Verwaltungsgerichtshof entscheidet in der Besetzung von fünf Richtern im Rahmen seiner Gerichtsbarkeit über die Gültigkeit von Satzungen und Rechtsverordnungen der in § 47 Abs. 1 Nr. 1 VwGO genannten Art sowie von anderen im Range unter dem Landesgesetz stehenden Rechtsvorschriften.

Auch wenn bisherige juristische Angriffe gegen die Verordnung im einstweiligen Rechtsschutz wenig erfolgreich waren, ist der Zeitablauf zu berücksichtigen und damit die wachsende Möglichkeit der Exekutive, den Grundrechen zur Geltung zu verhelfen. Sachverhalte sind zweckorientiert, evtl. branchenspezifisch, aufzuarbeiten und aktives Einrichten von Gesundheitssicherungen (auch organisatorische) durch Unternehmer muss erkannt werden und entsprechende Ausnahmen von Pauschalverboten ermöglicht werden. Die Verhältnismäßigkeit des Eingriffs in Grundrechte erfordert, dass staatlich angeordnete Maßnahmen angemessen sind. Maßnahmen mit präventiver Wirkung sind dem Gesetzgeber zum Gesundheitsschutz zwar möglich. Wenn der Präventionszweck aber anders sichergestellt werden kann, muss die Verordnung eine hinreichende Öffnungsklausel vorsehen. Sonst könnte das Unrecht durch den Gesetzgeber zu Amtshaftungsansprüchen führen, wenn grundrechtliche Schutzpflichten durch den Gesetzgeber verletzt wurden, die dem Staat zu schützen gerade obliegen oder wenn eine evidente Pflichtverletzung vorliegt.

Veröffentlicht am

DSE nach OLG Stuttgart

Zur aktuellen Entscheidung des OLG Stuttgart (2 U 257/19) zu datenschutzrechtlichen Informationspflichten:

Im Urteil vom 27.2.2020 hat sich das für unseren Gerichtsbezirk zuständige OLG Stuttgart zur Abmahnbarkeit von fehlenden Darstellungen zum Datenschutz geäußert. Werden personenbezogene Daten bei der betroffenen Person erhoben, hat der Verantwortliche zur Erhebung der Daten Informationen zu erteilen. Die genauen Informationspflichten sind der DSGVO (u.a.) zu entnehmen und hängen teils davon ab, ob bestimmte Umstände vorliegen. Abmahnbar sind nach der Interpretation dieser Entscheidung jedenfalls Verstöße gegen die Pflichten zur Darstellung von:

  • Namen und
  • Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO);
  • Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
  • Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO);
  • Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO);
  • das Bestehen eines Rechts auf 
    • Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie 
    • auf Berichtigung 
    • oder Löschung
    • oder auf Einschränkung der Verarbeitung oder
    • eines Widerspruchsrechts gegen die Verarbeitung 
    • sowie des Rechts auf Datenübertragbarkeit (Artikel 13 Absatz 2 lit. b DSGVO); 
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO) und
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, 
  • ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO).

Diese Rechtsansicht der Richter des OLG ist zu berücksichtigen, bis der BGH in der Revision oder das OLG in künftiger Entscheidung anderes äußert.

Zahlreiche weitere Angaben, die nicht oder ungenau gemacht werden, können zu Abmahnungen führen. Der Mandantschaft wird zunächst geraten insbesondere die oben aufgeführten Punkte zu prüfen oder prüfen zu lassen. Das OLG Stuttgart weist in seiner Entscheidung auch auch auf

Artikel 13 Absatz 1 lit. a (2. Alt.)

Artikel 13 Absatz 1 lit. b

Artikel 13 Absatz 1 lit. d

Artikel 13 Absatz 1 lit. e

Artikel 13 Absatz 1 lit. f

Artikel 13 Absatz 2 lit. c

Artikel 13 Absatz 2 lit. f

Artikel 13 Absatz 3

hin. Siehe dazu den unmittelbar in Deutschland anwendbaren Normtext der Datenschutzgrundverordnung hier: LINK

Veröffentlicht am

Corona und die Geschäftsführer-Pflichten

Aktuell kommt oft die Frage auf, wie sich die Geschäftsführung eines in Baden-Württemberg oder Bayern ansässigen Unternehmens angesichts erheblicher Infektionszahlen mit COVID-19 verhalten soll. Grundsätzlich ergibt sich aus dem Gesetz, dass Geschäftsführer nach § 618 BGB eine allgemeine Fürsorgepflicht haben und in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anwenden müssen, § 43 I GmbHG. Dies beinhaltet verschiedenste (u.a. Sorgfalts-) Pflichten, insbesondere Pflichten

  • zur Erneuerung der unternehmerischen Planung auf Grund etwa veränderter Logistik-, Absatz- und Personalsituationen, denn das bisherige business judgement kann auf Grund aktueller Informationsgrundlagen falsch geworden sein, vgl. § 93 I S. 2 AktG – dies gilt aktuell insbesondere für Unternehmen mit den Märken China und Italien
  • zum Schutz der geordneten Abläufe und dabei insbesondere zum Gesundheitsschutz, inklusive der Prüfung und ggfls. Neuordnung von Betriebsabläufen und die Ermöglichung eines situationsangemessenen Hygiene-Niveaus. Dabei ist auf die Regeln im Arbeitsschutzrecht hinzuweisen, die es nicht erst seit der Corona-Gefahr gibt, z.B. § 4 ArbSchG

„Der Arbeitgeber hat bei Maßnahmen des Arbeitsschutzes von folgenden allgemeinen Grundsätzen auszugehen:
1. Die Arbeit ist so zu gestalten, daß eine Gefährdung für das Leben sowie die physische und die psychische Gesundheit möglichst vermieden und die verbleibende Gefährdung möglichst gering gehalten wird;
2. Gefahren sind an ihrer Quelle zu bekämpfen;
3. bei den Maßnahmen sind der Stand von Technik, Arbeitsmedizin und Hygiene sowie sonstige gesicherte arbeitswissenschaftliche Erkenntnisse zu berücksichtigen; …“

(Hervorhebungen durch den Verfasser RA Fink)

Die Änderung von Arbeitsabläufen durch räumliche Trennung zum Zweck des Gesundheitsschutzes kann übrigens nebenbei auch Anforderungen des Geheimnisschutzes (GehSchG) sowie des Datenschutzes (DSGVO, BDSG) zu mehr Geltung verhelfen. Zahlreiche Hinweise zur Pandemieplanung gibt das Handbuch betriebliche Pandemieplanung.

Da Geschäftsführer, die ihre Obliegenheiten verletzen, der Gesellschaft für Schäden nach § 43 I GmbHG haften, darf die Unternehmensführung finanzielle Ansprüche der Gesellschaft nicht außer Acht, insbesondere nicht verfristen lassen, z.B. aus § 56 Infektionsschutzgesetz. In Absatz V S. 2 ist die Antragsvoraussetzung geregelt:

„Die ausgezahlten Beträge werden dem Arbeitgeber auf Antrag von der zuständigen Behörde erstattet.“

Es gibt in dieser Corona-Sondersituation einiges (nicht nur aus juristischer Sicht) zu bedenken. Die obigen Ausführungen sind nur punktuelle Hinweise zu ausgewählten Rechtsfragen.

Die Kanzlei Fink wünscht allen Unternehmenslenkern und deren Mitarbeitern in der Mandantschaft gute Gesundheit.

Veröffentlicht am

US-Business: Sanktionslisten

US-Unternehmen fordern im Handelsverkehr vertragliche Compliance-Zusicherungen unter Bezug auf Listen der US-Behörden. Wer auf den Listen steht, hat schlechte Aussichten auf Geschäfte mit den USA. Personen aus den USA ist verboten mit Gelisteten Geschäfte zu machen. Auch wer Gelistete zu Kunden zählt, sollte Vorsicht walten lassen. Informationen zu den Sanktionslisten können Sie z.B. hier erhalten:

Link zur Suchmaschine über die Sanktionsliste des OFAC

Link auf die Liste des UN-Sicherheitsrats

Hier weitere Hinweise zum Thema Sanktionen und Hinweise zum Auffinden der konsolidierten EU-Liste, die europäische Unternehmen generell bei Rechtsgeschäften zu beachten haben.

Veröffentlicht am

Neues Jahr: Hinterlegungsgegenstände prüfen

Zum neuen Jahr ist anzuraten die bestehenden Software-Hinterlegungen inhaltlich zu prüfen und nötigenfalls zu updaten. Was kam inhaltlich dazu? Dabei ist nicht nur an den Quellcode, sondern auch an erläuternde Text-Materialien zu denken, die im Laufe des letzten Jahres entstanden sind oder erworben/lizenziert wurden.

Das IT-Grundschutz CON-Dokument (i.e. eines zu „Konzeption und Vorgehensweisen“) führt in CON.5.A12 Treuhänderische Hinterlegung (CA) aus:

Für geschäftskritische Anwendungen SOLLTE geprüft werden, ob es notwendig ist, diese gegen Ausfall des Herstellers der Anwendung abzusichern. Dabei SOLLTE die treuhänderische Hinterlegung von nicht zum Lieferumfang der Anwendung gehörenden Materialien bei einer Escrow-Agentur erwogen werden, wie z. B. dokumentiertem Code, Konstruktionspläne, Schlüssel, Passwörter. In diesem Falle SOLLTEN die Pflichten der Escrow-Agentur bei der Lagerung und Herausgabe (wann darf das Hinterlegungsgut an wen herausgegeben werden?) vertraglich geregelt werden.

Der Link dazu hier (extern: BSI)

Veröffentlicht am

Gegen Ersatzanspruch nach § 64 Satz 1 GmbHG keine Aufrechnung

Geschäftsführer, die in Krisenzeiten keine Vergütung annehmen, können nicht darauf hoffen, dass ihnen dies die Haftung für Zahlungen nach Zahlungsunfähigkeit oder Überschuldung abnimmt.

§ 64 GmbHG bezweckt für den Fall, dass der Geschäftsführer seiner Massesicherungspflicht nicht nachkommt, sicherzustellen, dass das Gesellschaftsvermögen wieder aufgefüllt wird, damit es im Insolvenzverfahren zur ranggerechten und gleichmäßigen Befriedigung aller Gesellschaftsgläubiger zur Verfügung steht. Diesem Zweck stünde die Aufrechenbarkeit entgegen. Das hat der BGH im Beschluss II ZR 425/18 nochmals klargestellt.

Veröffentlicht am

Treuepflicht bei Stimmabgabe

Der BGH hat sich in der Entscheidung II ZR 275/14 zu Abstimmungsblockaden aus eigennützigen Gründen des Gesellschafters geäußert.

Die Stimmabgabe eines GmbH-Gesellschafters kann treuwidrig sein, wenn der Gesellschafter sein Stimmrecht ausübt, um damit ausschließlich eigennützige Zwecke zu verfolgen.

Die Blockademacht des Gesellschafters darf nicht dazu benutzt werden, um den eigenen Lästigkeitswert in die Höhe zu treiben und so eine Abfindung zu erstreiten. Auch die Schädigung der Mitgesellschafter oder ungerechtfertigte Sondervorteile dürfen nicht sein alleiniges Ziel sein.

Veröffentlicht am

WIPI? WTF?

Ein Umstand, auf den auch die Behörden wiederholt (und teils erfolglos) hinweisen: Im Geschäftsablauf nach Kennzeichenanmeldungen ist Vorsicht geboten. Die Herkunft der Zahlungsanforderungen mit dem Betreff Markenanmeldung ist genau zu sichten. Die befasste Abteilung des Unternehmens muss klären worauf sie zahlt – oder besser nicht zahlt. Ein Irrtum über die Zahlungspflicht kann teuer werden. Das Kleingedruckte unter den „Rechnungen“ wird oft zu spät gelesen oder von den Mitarbeitern nicht in voller Tragweite verstanden. Im Zweifel sollte man beim anmeldenden Anwalt nachfragen, ob die Gebühr berechtigt ist.

Achten Sie insbesondere bei Geschäftspost, die Ihrer Buchhaltungen nach einer Anmeldung beim europäischen Markenamt vorliegt, darauf, ob es sich nur um ein Angebot eines Unternehmens (Branchenregister o.ä.) handelt, oder tatsächlich um Post von DPMA, EUIPO oder WIPO. Unsere Mandantschaft erreichte aktuell ein Postbrief eines „WIPI – World Intellectual Property Institut(s) Kft.“, das Angebote unterbreitet, die nicht auf einen Blick erkennbar sind. Sie dürfen nicht mit den offiziellen Meldungen, hier im Fall des EUIPO, verwechselt werden. Dank Sensibilisierung für diese Fälle kam es in jüngerer Zeit zu keinen Zahlungen von Mandanten der Kanzlei Fink. Die Kommunikation mit dem EUIPO erfolgt durch RA Fink meist elektronisch.

Kontaktdaten des EUIPO: Link