Recht auf den Wechsel zwischen Datenverarbeitungsdiensten: Ein Blick in die Nutzungsbedingungen​

Wechsel zwischen Datenverarbeitungsanbietern

Recht auf den Wechsel zwischen Datenverarbeitungsdiensten: Ein Blick in die Nutzungsbedingungen

Wechsel zwischen Datenverarbeitungsanbietern

Die Datenverordnung (der EU Data Act) hat ein rechtlich durchsetzbares Recht auf den Wechsel zwischen Datenverarbeitungsdiensten eingeführt, das die vertragliche Beziehung zwischen Anbietern von Cloud- und Datenverarbeitungsdiensten und ihren Kunden grundlegend verändert. Dieses Recht ist nicht rein theoretischer Natur. Es wirkt sich unmittelbar darauf aus, wie Datenverarbeitungsdienste konzipiert, bepreist und vertraglich ausgestaltet werden. Für Anbieter begründet die Verordnung konkrete Pflichten. Für Kunden schafft sie klare und durchsetzbare Rechte mit definierten vertraglichen Erwartungen.

Im Kern stellt das Recht auf den Wechsel zwischen Datenverarbeitungsdiensten sicher, dass Kunden ihre Daten, Anwendungen und damit verbundenen Dienste ohne ungerechtfertigte Einschränkungen von einem Anbieter zu einem anderen verlagern können. Dies ist von erheblicher Bedeutung, da eine langfristige Abhängigkeit von einem einzelnen Anbieter (Vendor Lock-inden Wettbewerb verzerren, Innovationen hemmen und Compliance‑Risiken erhöhen kann, insbesondere bei datengetriebenen und KI‑basierten Diensten. Zugleich führt dies für Anbieter zu zusätzlichen Verpflichtungen und zu einer geringeren Planbarkeit im Hinblick auf die langfristige Kundenbindung.

Die entscheidende Frage ist daher nicht, ob ein Wechsel grundsätzlich zulässig ist, sondern ob die Nutzungsbedingungen den Wechsel zwischen Datenverarbeitungsdiensten in der Praxis tatsächlich ermöglichen und die entsprechenden Rechte effektiv durchsetzbar sind.

Was bedeutet das Recht auf den Wechsel zwischen Datenverarbeitungsdiensten nach dem Data Act?

Der Data Act definiert den Wechsel zwischen Datenverarbeitungsdiensten als die Möglichkeit des Kunden, einen Datenverarbeitungsdienst zu beenden und zu einem anderen Anbieter oder zu einer lokalen IT-Infrastruktur (On-Premises) zu wechseln. Dies umfasst den Zugang zu Daten, Metadaten, digitalen Vermögenswerten sowie zu den relevanten technischen Schnittstellen. Das Recht gilt unabhängig davon, ob die Daten vom Kunden selbst, von Maschinen oder durch integrierte Systeme erzeugt wurden.

Ein praktisches Anwendungsbeispiel ist ein Unternehmen, das ein KI-Modell auf einer Cloud-Plattform für Echtzeitanalysen betreibt. Erhöht der Anbieter die Preise, verfehlt er Leistungskennzahlen oder kann er neue Anforderungen des AI Act im Bereich des Risikomanagements nicht erfüllen, muss der Kunde in der Lage sein, den Wechsel zwischen Datenverarbeitungsdiensten effizient zu vollziehen. Als allgemeine Regel sieht der Data Act einen Übergangszeitraum von bis zu 30 Kalendertagen für den Wechsel vor, wobei bei technisch komplexen Konstellationen oder auf Kundenwunsch begründete Verlängerungen zulässig sind.

Die Verordnung verlangt, dass der Wechsel technisch machbar, vertraglich transparent und frei von ungerechtfertigten Verzögerungen erfolgt und die gesetzlich vorgesehenen Fristen eingehalten werden. Anbieter müssen daher sicherstellen, dass sowohl die technische Ausgestaltung ihrer Dienste als auch ihre Vertragsbedingungen den Wechsel zwischen Datenverarbeitungsdiensten nicht behindern.

Der Data Act definiert den Wechsel zwischen Datenverarbeitungsdiensten als die Möglichkeit des Kunden, einen Datenverarbeitungsdienst zu beenden und zu einem anderen Anbieter oder zu einer lokalen IT-Infrastruktur (On-Premises) zu wechseln. Dies umfasst den Zugang zu Daten, Metadaten, digitalen Vermögenswerten sowie zu den relevanten technischen Schnittstellen. Das Recht gilt unabhängig davon, ob die Daten vom Kunden selbst, von Maschinen oder durch integrierte Systeme erzeugt wurden.

Ein praktisches Anwendungsbeispiel ist ein Unternehmen, das ein KI-Modell auf einer Cloud-Plattform für Echtzeitanalysen betreibt. Erhöht der Anbieter die Preise, verfehlt er Leistungskennzahlen oder kann er neue Anforderungen des AI Act im Bereich des Risikomanagements nicht erfüllen, muss der Kunde in der Lage sein, den Wechsel zwischen Datenverarbeitungsdiensten effizient zu vollziehen. Als allgemeine Regel sieht der Data Act einen Übergangszeitraum von bis zu 30 Kalendertagen für den Wechsel vor, wobei bei technisch komplexen Konstellationen oder auf Kundenwunsch begründete Verlängerungen zulässig sind.

Die Verordnung verlangt, dass der Wechsel technisch machbar, vertraglich transparent und frei von ungerechtfertigten Verzögerungen erfolgt und die gesetzlich vorgesehenen Fristen eingehalten werden. Anbieter müssen daher sicherstellen, dass sowohl die technische Ausgestaltung ihrer Dienste als auch ihre Vertragsbedingungen den Wechsel zwischen Datenverarbeitungsdiensten nicht behindern.

Welche Rechte umfasst der Wechsel zwischen Datenverarbeitungsdiensten?

Kunden haben Anspruch auf klare und durchsetzbare Rechte, die über allgemeine Kündigungsregelungen hinausgehen. Diese Rechte wirken sich unmittelbar auf die Gestaltung der Nutzungsbedingungen und Service-Level-Agreements aus und müssen insbesondere Transparenz darüber schaffen, wie und innerhalb welcher Fristen der Wechsel zwischen Datenverarbeitungsdiensten ausgeübt werden kann. Zudem müssen wechselbezogene Entgelte spätestens ab dem 12. Januar 2027 vollständig entfallen, vorbehaltlich der im Data Act vorgesehenen Übergangsregelung.

Zu den zentralen Kundenrechten gehören insbesondere:

  • Zugang zu Daten und digitalen Vermögenswerten in einem strukturierten, gängigen und maschinenlesbaren Format
  • Transparente Verfahren für den Wechsel zwischen Datenverarbeitungsdiensten, einschließlich klarer Fristen und technischer Schritte
  • Begrenzungen von wechselbezogenen Entgelten während der Übergangsphase
  • Unterstützungsleistungen des Anbieters zur Sicherstellung der Dienstkontinuität während der Migration

Ein typisches Beispiel ist ein SaaS-Anbieter mit KI-gestützten Datenverarbeitungsdiensten. Kunden müssen in der Lage sein, trainierte Modelle, Konfigurationsdateien und relevante Protokolle zu extrahieren, ohne durch proprietäre Abhängigkeiten an einem Wechsel zwischen Datenverarbeitungsdiensten gehindert zu werden.

Diese Rechte müssen nicht mehr individuell ausgehandelt werden. Der Data Act verankert sie als regulatorischen Mindeststandard, der in den Nutzungsbedingungen regelmäßig abzubilden ist.

Welche Rolle spielen die Nutzungsbedingungen?

Die Nutzungsbedingungen sind entscheidend dafür, ob das Recht auf den Wechsel zwischen Datenverarbeitungsdiensten tatsächlich wirksam oder lediglich formaler Natur ist. Anbieter müssen vertraglich klar regeln, wie der Wechsel in der Praxis erfolgt, und diese Regelungen müssen den tatsächlichen operativen Abläufen entsprechen. Der Data Act begrenzt ausdrücklich, welche Hindernisse Anbieter ihren Kunden im Zusammenhang mit dem Wechsel zwischen Datenverarbeitungsdiensten auferlegen dürfen. So ist es beispielsweise unzulässig, Kunden daran zu hindern, Verträge mit einem anderen Anbieter desselben Diensttyps abzuschließen oder exportierbare Daten in eine lokale IT-Infrastruktur zu übertragen, selbst wenn die Kunden zuvor kostenlose Test- oder Einführungsangebote genutzt haben.

Der Vertrag muss insbesondere folgende Optionen für den Wechsel zwischen Datenverarbeitungsdiensten vorsehen:

• Wechsel zu einem anderen Anbieter
• Wechsel zu einer lokalen IT-Infrastruktur (On-Premises)
Löschung portabler Daten und digitaler Vermögenswerte

Warum ist vertragliche Klarheit entscheidend?

Unklare oder widersprüchliche Vertragsklauseln bergen erhebliche rechtliche und operative Risiken. Aufsichtsbehörden können prüfen, ob vertragliche Beschränkungen den Wechsel zwischen Datenverarbeitungsdiensten mittelbar beeinträchtigen. Für Anbieter reduziert Klarheit das Streitpotenzial und signalisiert regulatorische Konformität, während sie zugleich einen vorhersehbaren und planbaren Wechselprozess für beide Parteien schafft.

Wie bei anderen EU-Digitalrechtsakten sind die zuständigen Aufsichtsbehörden befugt, Beschwerden zu bearbeiten, Untersuchungen durchzuführen und gegebenenfalls Verwaltungsstrafen zu verhängen.

Typische vertragliche Fallstricke

  • Überlange Kündigungs- oder Ankündigungsfristen, die als technische Erfordernisse getarnt sind
  • Proprietäre Datenformate ohne dokumentierte Exportmöglichkeiten
  • Unbestimmte Verpflichtungen zur „angemessenen Unterstützung“ beim Wechsel zwischen Datenverarbeitungsdiensten

Eine frühzeitige Auseinandersetzung mit diesen Punkten stärkt Vertrauen und Compliance.

Welche Auswirkungen hat der Wechsel zwischen Datenverarbeitungsdiensten auf KI- und Cloud-Dienste?

Bei KI-Diensten gewinnt der Wechsel zwischen Datenverarbeitungsdiensten besondere Bedeutung, da diese auf kontinuierlicher Datenverarbeitung, regelmäßigem Retraining und enger Systemintegration beruhen. Modelle entwickeln sich weiter, regulatorische Anforderungen ändern sich, und Infrastrukturentscheidungen müssen flexibel bleiben.

Ein Beispiel ist ein KI-gestützter Betrugserkennungsdienst in einer Cloud-Umgebung. Werden im Rahmen regulatorischer Prüfungen Defizite bei Transparenz oder Überwachung festgestellt, kann ein kurzfristiger Wechsel zwischen Datenverarbeitungsdiensten erforderlich werden. Der Data Act stellt sicher, dass trainierte Modelle, Datensätze und Inferenz-Pipelines ohne Unterbrechung übertragen werden können.

Zugleich beeinflusst der Wechsel zwischen Datenverarbeitungsdiensten die Architektur von Diensten. Modulare und interoperable Strukturen sind nicht länger optional, sondern strategisch erforderlich. Dies steht im Einklang mit den Anforderungen des AI Act an Governance, Nachvollziehbarkeit und Risikominimierung.

Wie verhalten sich internationale Datenübermittlungen zum Wechsel zwischen Datenverarbeitungsdiensten?

Viele Datenverarbeitungsdienste sind grenzüberschreitend organisiert, sodass der Wechsel zwischen Datenverarbeitungsdiensten häufig internationale Datenübermittlungen einschließt. Der Data Act ersetzt nicht das Datenschutzrecht, stellt jedoch sicher, dass Portabilität und Zugang nicht allein aufgrund geografischer Komplexität eingeschränkt werden.

Ein häufiges Szenario ist der Wechsel von einem Anbieter außerhalb der EU zu einem EU-basierten Anbieter, um rechtliche und jurisdiktionelle Risiken zu reduzieren. Anbieter müssen gewährleisten, dass Daten zurückgeführt, übertragen oder repliziert werden können, ohne Kunden unzulässigen Zugriffsrisiken auszusetzen.

Wie sollten sich Anbieter auf den Wechsel zwischen Datenverarbeitungsdiensten vorbereiten?

Eine wirksame Umsetzung erfordert sowohl rechtliche als auch technische Abstimmung. Anbieter sollten ihr bestehendes Leistungsportfolio daraufhin überprüfen, ob technische Abhängigkeiten den Wechsel zwischen Datenverarbeitungsdiensten erschweren könnten. Die Nutzungsbedingungen sind entsprechend anzupassen und müssen die gesetzlich vorgesehenen Kundenrechte sowie die vorgesehenen Wechselprozesse hinreichend detailliert beschreiben.

Technisch sollten Exportwerkzeuge, Migrationsprozesse und Unterstützungsabläufe dokumentiert werden. Intern ist sicherzustellen, dass Rechts-, Vertriebs- und Technikteams ein gemeinsames Verständnis der Pflichten im Zusammenhang mit dem Wechsel zwischen Datenverarbeitungsdiensten haben.

Eine proaktive Umsetzung reduziert nicht nur Durchsetzungs- und Sanktionsrisiken, sondern stärkt auch die Marktposition und schafft Transparenz gegenüber den Kunden.

Fazit: Data Act Compliance: Neue Pflichten für Anbieter und starke Rechte für Kunden

Das Recht auf den Wechsel zwischen Datenverarbeitungsdiensten verändert die Erwartungen der Kunden und die Pflichten der Anbieter grundlegend. Kunden erhalten durchsetzbare Rechte auf Portabilität, Transparenz und Dienstkontinuität. Anbieter müssen sicherstellen, dass ihre Nutzungsbedingungen und technischen Konzepte diese Rechte vollständig unterstützen. Eine frühzeitige Anpassung an den Data Act ermöglicht es, regulatorische Risiken zu minimieren und zugleich das Vertrauen der Kunden zu stärken.

Als spezialisierte Kanzlei für IT-Recht & E-Commerce sowie Künstliche Intelligenz unterstützen wir Sie gerne dabei, Ihre Cloud-Angebote an die regulatorischen Vorgaben anzupassen. Kontaktieren Sie das Team von Rickert.law, um Ihre Compliance‑Anforderungen zu besprechen und Ihre Verträge über Datenverarbeitungsdienste überprüfen zu lassen.

Häufig gestellte Fragen zum Recht auf den Wechsel zwischen Datenverarbeitungsdiensten

Das Recht ermöglicht es Kunden, ihre Datenverarbeitungsdienste ohne ungerechtfertigte Hindernisse zwischen verschiedenen Anbietern oder Betriebsumgebungen zu verlagern.
Insbesondere Kunden von Cloud- und KI-basierten Diensten profitieren von größerer Flexibilität und einer geringeren Abhängigkeit von einzelnen Anbietern.
Anbieter müssen definierte Unterstützungsleistungen erbringen, um die Kontinuität der Dienste und eine erfolgreiche Migration sicherzustellen.
Während der Übergangsphase sind nur begrenzte und transparente Entgelte zulässig; ab dem 12. Januar 2027 sind wechselbezogene Entgelte grundsätzlich untersagt.
Bestehende Verträge müssen angepasst werden, um die zwingenden Wechselrechte und die entsprechenden Verfahren abzubilden.
Sie überwachen die Einhaltung der gesetzlichen Vorgaben und können bei Einschränkungen des Wechsels zwischen Datenverarbeitungsdiensten eingreifen, etwa durch Untersuchungen oder die Verhängung von Geldbußen.
Regelkonformität reduziert rechtliche Risiken und stärkt die Wettbewerbsfähigkeit in regulierten Märkten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Hinweisgeberschutzgesetz: Interne Meldestellen rechtssicher einrichten

Frau ruft Meldestelle nach dem Hinweisgeberschutzgesetz an

Hinweisgeberschutzgesetz: Interne Meldestellen rechtssicher einrichten

Frau ruft Meldestelle nach dem Hinweisgeberschutzgesetz an

Was Unternehmen und Arbeitgeber seit Juli 2023 verpflichtend umsetzen müssen und warum eine gut aufgestellte Meldestelle weit mehr ist als ein gesetzliches Pflichtprogramm.

Einleitung

Bei vielen Unternehmen und Arbeitgebern besteht noch erheblicher Handlungsbedarf, wenn es um die rechtssichere Einrichtung einer internen Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) geht.

Das Gesetz gilt seit Juli 2023. Wer bis heute keine funktionsfähige Meldestelle betreibt, riskiert nicht nur Bußgelder, sondern verliert im Ernstfall die Kontrolle: Mitarbeitende können sich direkt an externe Behörden wenden, ohne dem Unternehmen die Chance zur internen Klärung zu geben.

Was ist das HinSchG und wen trifft es?

Das HinSchG ist die deutsche Umsetzung der EU-Hinweisgeberrichtlinie (2019/1937). Es schafft einen rechtlichen Rahmen, der Beschäftigten ermöglicht, Verstöße gegen gesetzliche Vorschriften zu melden ohne Repressalien durch den Arbeitgeber befürchten zu müssen.

Die Pflicht trifft alle Beschäftigungsgeber im Sinne des § 3 Abs. 9 HinSchG, unabhängig von der Rechtsform. Erfasst sind juristische Personen des Privatrechts wie GmbH, AG, Verein, Genossenschaft und Stiftung, rechtsfähige Personengesellschaften wie OHG und KG sowie sonstige rechtsfähige Personenvereinigungen. Auch öffentliche Einrichtungen fallen unter das Gesetz.

Zur Einrichtung einer internen Meldestelle verpflichtet sind Unternehmen mit mindestens 50 Beschäftigten. Gezählt wird nach Köpfen, Teilzeitkräfte und befristet Beschäftigte inklusive. Für Grenzfälle gilt eine praktische Faustformel: ein Jahr davor, ein Jahr danach.

Der Begriff der Beschäftigten ist in § 3 Abs. 8 HinSchG bewusst weit gefasst. Er umfasst Arbeitnehmerinnen und Arbeitnehmer, Auszubildende, Beamte, Richterinnen und Richter, Soldatinnen und Soldaten, arbeitnehmerähnliche Personen sowie Menschen in anerkannten Werkstätten für behinderte Menschen. Diese Definition erfüllt einen doppelten Zweck: Sie bestimmt, wer Meldungen erstatten darf, und ist zugleich Grundlage für die Berechnung des Schwellenwertes.

Was bedeutet das HinSchG konkret für Unternehmen?

Missstände und Regelverstöße werden häufig zuerst von denen bemerkt, die mitten im Betrieb stehen. Der Gesetzgeber hat diesen Umstand mit dem HinSchG geregelt sowie einen strukturierten, vertraulichen Meldeweg geschaffen.

Das Gesetz verpflichtet Unternehmen dazu, eine interne Meldestelle einzurichten und dauerhaft zu betreiben, die Identität der hinweisgebenden Person zu schützen, gesetzliche Fristen einzuhalten, anonyme Meldungen zu ermöglichen, eine zuständige meldebeauftragte Person zu benennen und Repressalien gegen Meldende aktiv zu unterbinden.

Welche Verstöße fallen überhaupt in den Anwendungsbereich?

Das HinSchG schützt nicht jede Meldung automatisch. Es kommt entscheidend darauf an, ob der gemeldete Sachverhalt in den sachlichen Anwendungsbereich des Gesetzes fällt, denn nur dann genießt die hinweisgebende Person den vollen gesetzlichen Schutz.

Erfasst sind nach § 3 Abs. 2 HinSchG Handlungen und Unterlassungen, die im Rahmen einer beruflichen, unternehmerischen oder dienstlichen Tätigkeit begangen werden, rechtswidrig sind und einen der in § 2 HinSchG genannten Rechtsbereiche betreffen. Konkret sind das strafbewehrte Verstöße wie Betrug, Bestechung oder Untreue, bußgeldbewehrte Verstöße zum Schutz von Leben, Gesundheit oder Beschäftigtenrechten.

Was ist nicht erfasst?

Nicht erfasst sind rein privates Fehlverhalten ohne Bezug zur beruflichen Tätigkeit sowie unethisches Verhalten ohne konkreten Rechtsverstoß. Für Unternehmen bedeutet das: Die Meldestelle muss eingehende Hinweise sachlich einordnen und bewerten, ob der Anwendungsbereich überhaupt eröffnet ist. Denn davon hängt ab, welche Schutzpflichten ausgelöst werden und wie das weitere Verfahren abläuft.

Keinen Schutz genießt außerdem, wer wissentlich falsche Angaben macht oder grob fahrlässig ohne jeden tatsächlichen Anhaltspunkt meldet. Ein lückenloser Beweis ist hingegen nicht erforderlich: Ein begründeter Verdacht genügt, und wer zumutbare Schritte zur Verifikation unternommen hat, handelt schutzwürdig.

Übersicht: HinschG-Pflichten auf einen Blick

Pflicht Regelung Frist/Schwelle
Interne Meldestelle einrichten § 12 HinSchG Ab 50 Beschäftigten
Eingangsbestätigung § 17 HinSchG binnen 7 Tagen
Rückmeldung zu Folgemaßnahmen § 17 HinSchG binnen 3 Monaten
Anonyme Meldungen ermöglichen § 42 HinSchG seit 01.01.2025
Vertraulichkeit wahren § 9 HinSchG fortlaufend
Repressalien-Verbot § 36 HinSchG mit Beweislastumkehr
Bußgeld bei Verstößen § 40 HinSchG (§§ 30, 130 OWiG) bis zu 50.000 €

Wie richtet man eine interne Meldestelle rechtssicher ein?

Die Pflicht zur Einrichtung einer internen Meldestelle ist das Herzstück des HinSchG. Wie die Stelle betrieben wird, können Unternehmen grundsätzlich selbst entscheiden.

Bei der internen Lösung wird eine geeignete Person im Unternehmen, etwa aus der Compliance, Rechts- oder HR-Abteilung mit der Aufgabe betraut und entsprechend geschult. Entscheidend ist, dass sie weisungsunabhängig handeln kann und keine Interessenkonflikte bestehen.

Bei der externen Lösung beauftragt das Unternehmen einen Dritten, etwa eine Ombudsperson oder einen spezialisierten Dienstleister. Dieser übernimmt den Betrieb der Meldestelle vollständig. Die rechtliche Verantwortung verbleibt jedoch stets beim Unternehmen.

Für viele KMU ist die externe Lösung die pragmatischere Wahl: Sie erfordert (außer der Zahlung einer Vergütung) nicht die Bereitstellung eigener Ressourcen, gewährleistet die notwendige Unabhängigkeit und schafft bei Beschäftigten erfahrungsgemäß mehr Vertrauen.

Was muss die Meldestelle konkret leisten?

Eine rechtssichere Meldestelle ist mehr als ein Postfach. Das Gesetz schreibt einen strukturierten Prozess vor, der eingehalten werden muss:

  1. Eingangsbestätigung binnen 7 Tagen
    Die hinweisgebende Person erhält eine Bestätigung des Eingangs ihrer Meldung.
  2. Prüfung des sachlichen Anwendungsbereich
    Die Meldestelle prüft, ob der gemeldete Sachverhalt in den Schutzbereich des HinSchG fällt.
  3. Laufender Kontakt mit der hinweisgebenden Person und Sachverhaltsaufklärung
    Die hinweisgebende Person wird fortlaufend einbezogen und bei Bedarf um weitere Informationen gebeten.
  4. Folgemaßnahmen und Rückmeldung binnen 3 Monaten
    Als Folgemaßnahmen kommen interne Untersuchungen, die Verweisung an eine Behörde, der Abschluss des Verfahrens oder die Weitergabe an eine spezialisierte interne Einheit in Betracht.

Schutz der hinweisgebenden Personen

Damit das System funktioniert, braucht es vor allem eines: Vertrauen. Beschäftigte melden nur dann, wenn sie sicher sein können, dass ihnen daraus keine Nachteile entstehen. Das HinSchG stellt hierfür einen dreifachen Schutz bereit.

Der Vertraulichkeitsschutz nach § 8 HinSchG stellt sicher, dass die Identität der hinweisgebenden Person gemäß den Vorgaben im Datenschutz ohne deren Zustimmung nicht offenbart werden darf, auch nicht gegenüber der Person, gegen die sich die Meldung richtet.

Der Schutz vor Verantwortlichkeit nach § 35 HinSchG schützt die hinweisgebende Person vor Haftung, selbst wenn sich der gemeldete Verdacht später als unbegründet herausstellt, sofern in gutem Glauben gehandelt wurde.

Das Repressalienverbot nach § 36 HinSchG untersagt jede berufliche Benachteiligung im Zusammenhang mit einer Meldung, von der Kündigung bis zur schlechteren Beurteilung.

Für Arbeitgeber folgt daraus: Es reicht nicht, eine Meldestelle technisch einzurichten. Es muss intern klar sein, dass Meldungen ernst genommen werden und dass niemand, der in gutem Glauben handelt, dafür Konsequenzen zu fürchten hat.

Was Unternehmen bei Verstößen droht

Das HinSchG ist kein zahnloses Gesetz. Wer seine Pflichten vernachlässigt, muss auf mehreren Ebenen mit Konsequenzen rechnen.

Wer vorsätzlich oder fahrlässig keine interne Meldestelle einrichtet, Meldungen behindert, die Vertraulichkeit verletzt oder Repressalien gegen hinweisgebende Personen ergreift, riskiert nach § 40 HinSchG ein Bußgeld von bis zu 50.000 Euro.

Hinweisgebende Personen, die eine Repressalie erleiden, haben darüber hinaus nach § 37 HinSchG Anspruch auf Schadensersatz, materiell wie immateriell. Erschwerend wirkt die Beweislastumkehr nach § 36 HinSchG: Erleidet jemand nach einer Meldung einen beruflichen Nachteil, wird gesetzlich vermutet, dass es sich um eine Repressalie handelt. Der Arbeitgeber muss das Gegenteil beweisen.

Die Einrichtung einer rechtssicheren Meldestelle ist Teil der Leitungsverantwortung. Geschäftsführer und Vorstände, die diese Pflicht vernachlässigen und dem Unternehmen dadurch einen Schaden verursachen, können im Innenverhältnis persönlich haftbar gemacht werden.

Das größte Risiko ist dabei oft das unscheinbarste: Wer keine funktionierende interne Meldestelle betreibt, verliert die Möglichkeit zur internen Klärung. Beschäftigte können sich jederzeit direkt an das Bundesamt für Justiz wenden. Ist es erst so weit gekommen, hat das Unternehmen jeden Einfluss auf den weiteren Verlauf verloren.

So setzen Sie in Ihrem Unternehmen das Hinweisgeberschutzgesetz erfolgreich um

Die rechtlichen Anforderungen sind klar, an der praktischen Umsetzung hapert es häufig. Die folgenden Schritte helfen, das Gesetz strukturiert und rechtssicher umzusetzen.

Schritt 1: Klären Sie, ob Sie verpflichtet sind.

Zählen Sie Ihre Beschäftigten nach Köpfen, Teilzeitkräfte und befristet Beschäftigte inklusive. Wer die Schwelle von 50 Beschäftigten erreicht oder absehbar erreichen wird, sollte jetzt handeln.

Schritt 2: Entscheiden Sie sich für die richtige Lösung.

Interne Besetzung, externe Ombudsperson oder digitales Meldesystem, alle drei Wege sind gesetzlich zulässig. Entscheidend ist, dass die gewählte Lösung Vertraulichkeit, Unabhängigkeit und anonyme Meldungen tatsächlich gewährleistet.

Schritt 3: Legen Sie Prozesse fest und sichern Sie Fristen.

Eine Meldestelle ohne klaren internen Ablauf ist keine. Halten Sie schriftlich fest, wer was bis wann tut. Im Streitfall ist diese Dokumentation Ihr wichtigstes Schutzinstrument.

Schritt 4: Informieren Sie Ihre Belegschaft und schulen Sie Führungskräfte.

Die beste Meldestelle nützt nichts, wenn niemand sie kennt. Führungskräfte müssen zudem das Repressalienverbot kennen und verstehen. Gerade hier entstehen in der Praxis die größten Haftungsrisiken.

Schritt 5: Überprüfen Sie die Meldestelle regelmäßig.

Das HinSchG ist kein einmaliges Projekt. Prüfen Sie mindestens einmal jährlich, ob Ihre Meldestelle noch den gesetzlichen Anforderungen entspricht, insbesondere wenn sich Beschäftigtenzahl, Unternehmensstruktur oder Rechtslage verändert haben.

Fazit

Das Hinweisgeberschutzgesetz stellt Unternehmen vor konkrete Pflichten. Wer sie auf die lange Bank schiebt, zahlt am Ende mehr als der Aufwand der Umsetzung gewesen wäre. Bußgelder, Schadensersatzansprüche und der Verlust der Kontrolle über interne Vorgänge sind keine abstrakten Risiken, sondern reale Konsequenzen.

Eine gut aufgestellte Meldestelle schafft einen vertraulichen Kanal, über den Missstände früh erkannt und intern gelöst werden, bevor sie eskalieren. Das ist kein bürokratischer Mehraufwand, sondern ein handfester Vorteil. Wer jetzt handelt, hat die Wahl. Wer wartet, hat sie bald nicht mehr.

Unser Angebot

Als auf IT-Recht spezialisierte Kanzlei beherrscht RICKERT.LAW nicht nur die technische Implementierung digitaler Meldesysteme, sondern agiert für Sie auch an den entscheidenden Schnittstellen zum Arbeitsrecht und Datenschutz mit fundierter Expertise und langjähriger Erfahrung.

Wir begleiten Sie bei der rechtssicheren Einrichtung und dem laufenden Betrieb Ihrer internen Meldestelle, von der ersten Bestandsaufnahme bis zur vollständigen Implementierung.

Kontaktieren Sie uns gerne für eine Beratung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Urheberrecht und die Haftung von DNS-Resolvern am Beispiel des Quad9-Verfahrens

Copyright-Haftung DNS-Resolver

Urheberrecht und die Haftung von DNS-Resolvern am Beispiel des Quad9-Verfahrens

Copyright-Haftung DNS-Resolver

Ein Meilenstein für die Freiheit der Internet-Infrastruktur, erstritten durch RICKERT.LAW durch Anerkennung der Haftungsprivilegierung eines DNS-Resolvers

Das Urheberrecht steht im digitalen Zeitalter vor der ständigen Herausforderung die Interessen von Rechteinhabern mit der Funktionsfähigkeit der technischen Infrastruktur in Einklang zu bringen. Ein wegweisender Fall ist das Verfahren um den gemeinnützigen DNS-Resolver Quad9. In diesem langjährigen Rechtsstreit hat RICKERT.LAW als Verfahrens- und Prozessbevollmächtigte für Quad9 ein Grundsatzurteil erwirkt, das die Verantwortlichkeit von Internet-Infrastrukturdiensten neu definiert.

Der Hintergrund des Rechtsstreits um urheberrechtliche Unterlassungsaufforderung und Sperranordnungen

Der Fall nahm seinen Anfang als Rechteinhaber aus der Musikindustrie versuchten einen DNS-Resolver-Betreiber direkt für Urheberrechtsverletzungen Dritter haftbar zu machen. Ziel war es Quad9 dazu zu verpflichten, den Zugang zu bestimmten Websites für Nutzer in Deutschland zu sperren und damit mittelbar weltweit, da auf diesen Seiten urheberrechtlich geschützte Inhalte rechtswidrig angeboten wurden.

Ein DNS-Resolver wie Quad9 fungiert jedoch lediglich als ein Telefonbuch des Internets das menschlich lesbare Domainnamen in maschinenlesbare IP-Adressen übersetzt. Der Dienst hostet keine Inhalte und vermittelt keinen direkten Zugang zu den rechtsverletzenden Daten. Dennoch wurde Quad9 in einem ersten Schritt im Wege des einstweiligen Verfügungsverfahrens dazu verpflichtet die Auflösung von Domains zu unterlassen.

Der Weg durch die Instanzen vom Ersturteil bis zum Hauptverfahren

In der ersten Instanz des Hauptverfahrens folgte das Gericht zunächst der Argumentation der Klägerseite. Quad9 wurde verurteilt den Zugriff auf die betroffenen Domains zu unterbinden. Diese Entscheidung sorgte in der Fachwelt für große Besorgnis da sie eine weitreichende Störerhaftung für rein technische Hilfsdienste etablierte, die selbst keinen Bezug zur eigentlichen Rechtsverletzung haben.

Für RICKERT.LAW war klar, dass diese Entscheidung die Grundfesten der digitalen Infrastruktur gefährdet, was immense technische und rechtliche Risiken für alle Intermediäre mit sich brächte.

Der Erfolg im Berufungsverfahren und die Feststellung der Haftungspriviligierung

Mit großer Expertise und einer tiefgehenden Argumentation zur technischen Funktionsweise des Domain Name Systems führte RICKERT.LAW das Verfahren in die Berufungsinstanz. Das Oberlandesgericht Dresden (Urteil v. 05.12.2023 – 14 U 503/23) folgte schließlich der Rechtsauffassung unserer Kanzlei und hob das erstinstanzliche Urteil auf.

Das Gericht stellte klar, dass DNS-Resolver als Diensteanbieter für die reine Durchleitung von Informationen gelten. Damit greift die Privilegierung, die nunmehr insbesondere aus dem Digital Services Act (DSA) folgt.

Neben der täterschaftlichen Haftung prüfte das OLG Dresden auch den Hilfsantrag auf Einrichtung einer DNS-Sperre. Auch hier folgte das Gericht der Rechtsauffassung von RICKERT.LAW und betonte die Wichtigkeit der Subsidiarität.

Rechteinhaber sind demnach verpflichtet, zunächst alle zumutbaren Anstrengungen zu unternehmen, um gegen die Beteiligten vorzugehen, die eine unmittelbare Beziehung zu den rechtswidrigen Inhalten aufweisen. Eine DNS-Sperre darf rechtlich nur als letztes Mittel (Ultima Ratio) in Betracht gezogen werden, um eine Rechtsschutzlücke zu schließen. Im vorliegenden Fall wurde festgestellt, dass die Klägerin nicht ausreichend dargelegt hatte, dass ein direktes Vorgehen gegen die näher an der Verletzung stehenden Beteiligten aussichtslos gewesen wäre.

Bedeutung des Falls Quad9 für digitale Vermittlungsdienste und die IT-Branche

Das durch RICKERT.LAW geführte Verfahren hat Signalwirkung für die gesamte IT-Branche weit über Deutschland hinaus. Es schützt nicht nur DNS-Resolver-Betreiber, sondern stärkt die Position aller technischen Intermediäre wie Registries und Registrare.

RICKERT.LAW Ihre Experten für komplexe Grundsatzverfahren im Digitalrecht

Dieser Fall zeigt, dass RICKERT.LAW über die notwendige juristische Tiefe und das technische Verständnis verfügt um auch gegen große Akteure der Unterhaltungsindustrie wegweisende Siege zu erringen. Wir verteidigen die Rechte von Technologieunternehmen und Infrastrukturbetreibern mit Leidenschaft und strategischem Weitblick.

  • Umfassende Expertise bei der Abwehr unberechtigter Unterlassungsaufforderungen und Sperranordnungen
  • Strategische Prozessführung
  • Spezialisierung auf die Haftung von Intermediären und DNS-Diensten
  • Vertretung von nationalen und internationalen Infrastrukturanbietern
RICKERT.LAW berät und vertritt Unternehmen der Digitalwirtschaft in komplexen Verfahren rund um Intermediärhaftung und Infrastrukturregulierung. Kontaktieren Sie uns gern für eine rechtliche Einschätzung Ihres Anliegens.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Deadline 6. März 2026: Domainbranche muss NIS2-Vorgaben veröffentlichen und Registrierungspflichten erfüllen

Kalender: 6. März 2026: NIS2 Deadline

Deadline 6. März 2026: Domainbranche muss NIS2-Vorgaben veröffentlichen und Registrierungspflichten erfüllen

Kalender: 6. März 2026: NIS2 Deadline

Endspurt für die Domainindustrie – es bleiben noch 3 Tage

Registries, Registare, Reseller und Privacy & Proxy Service Provider müssen bis zum 6. März 2026

  • Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, mit denen sichergestellt wird, dass die Datenbank von Registrierungsdaten genaue und vollständige Angaben enthält und
  • Vorgaben und Verfahren im Hinblick auf die Offenlegung der Domain-Namen-Registrierungsdaten

öffentlich zugänglich machen. Die Regelungen sind in § 49 Abs. 3 und § 50 Abs. 2 BSIG zu finden und gehen auf Art. 28 der NIS2-Richtlinie zurück. Wichtig zu wissen ist, dass die oben genannten Unternehmen im Hinblick auf die Erfüllung der Aufgaben rund um Domain-Registrierungsdaten zusammenarbeiten müssen (§ 51 BSIG).

Zusätzliche Registrierungspflicht beim BSI bis 6. März 2026

Da aller guten Dinge drei sind, weisen wir noch auf die Registrierungspflicht bis zum selben Datum für besonders wichtige Einrichtungen, wichtige Einrichtungen sowie „Domain-Name-Registry-Diensteanbieter“ beim BSI nach § 33 NIS2UmsuCG hin. Die oben genannten Unternehmen sind danach auch meldepflichtig.

Wir helfen Ihnen gerne, die neuen Anforderungen aus NIS2 und BSIG umzusetzen und auch geeignete Vereinbarungen zur Zusammenarbeit zu entwerfen.

Sollten Sie beim anstehenden ICANN Meeting in Mumbai vor Ort sein, vereinbaren Sie gerne mit unserem RA Thomas Rickert einen Termin zu den vorgenannten Themen per Mail an info@rickert.law.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Social Media Konto gesperrt oder Geld vom Zahlungsanbieter eingefroren?

Erschrockene Influencerin, deren Social Media Account gesperrt wurde

Social Media Konto gesperrt oder Geld vom Zahlungsanbieter eingefroren?

Erschrockene Influencerin, deren Social Media Account gesperrt wurde

Für Content Creator, Influencer und digitale Unternehmer ist der Social-Media-Account weit mehr als ein Hobby – er ist die zentrale Erwerbsquelle. Eine plötzliche Accountsperrung auf Instagram, TikTok oder YouTube bedeutet, dass sie von heute auf morgen keinen Zugriff mehr auf die Community haben, keine Werbeeinnahmen erzielen können und kein Geld mehr fließt.

Doch was tun, wenn die Plattform willkürlich sperrt, während gleichzeitig Fake-Accounts unter Ihrem Namen florieren? In diesem Beitrag erfahren Sie, wie Sie sich rechtlich wehren und warum das Urteil von Jan Böhmermann einen wichtigen Meilenstein markiert.

Es ist wichtig zu verstehen, dass Sie das Einfrieren von Guthaben durch Zahlungsanbieter ohne einen triftigen rechtlichen Grund keinesfalls hinnehmen müssen. Da Ihnen ein vertraglicher Anspruch auf die Auszahlung Ihrer Gelder zusteht, ist eine dauerhafte Blockade ohne den Nachweis einer konkreten Rechtsverletzung in den meisten Fällen unzulässig. Diese Einschränkung Ihrer finanziellen Handlungsfähigkeit lässt sich daher oft erfolgreich anfechten, da die Anbieter ihre vertraglichen Pflichten nicht ohne fundierte Grundlage verletzen dürfen.

Willkürliche Sperren und die Ohnmacht gegenüber den Algorithmen

Häufig erfolgt eine Sperrung ohne Vorwarnung. Die Begründungen der Plattformbetreiber sind oft vage: „Verstoß gegen die Gemeinschaftsrichtlinien“ oder „ungewöhnliche Aktivitäten“.

Das Problem ist, dass die Betreiber oft gar nicht auf individuelle Einsprüche oder nutzen Standard-Antworten (z.B. Textbausteine), die am eigentlichen Sachverhalt vorbeigehen. Für jemanden, der seinen Lebensunterhalt mit Content verdient, ist dieser Zustand existenzbedrohend.

Das Urteil zum Fall Jan Böhmermann als wichtiges Signal

Dass man sich gegen die Untätigkeit der Giganten wehren kann, zeigt der prominente Fall von Jan Böhmermann. Er ging gerichtlich gegen einen Plattformbetreiber vor, da ein Fake-Account, ein sogenannter Parodie-Account, trotz Meldung nicht gelöscht wurde.

Das Gericht stellte klar, dass Plattformen handeln müssen, wenn ein Fake-Account die Persönlichkeitsrechte verletzt oder wenn Verwechslungsgefahr besteht. Wenn die Plattform trotz Kenntnis nicht einschreitet, haftet sie. Dieses Urteil stärkt die Rechte aller Personen und macht deutlich, dass Plattformen kein rechtsfreier Raum sind.

Probleme mit Zahlungsanbietern

Das Problem der „willkürlichen Sperre“ endet nicht bei den sozialen Netzwerken. Oftmals sind es Zahlungsdienstleister (wie z.B. PayPal, Stripe), die Guthaben plötzlich einfrieren.

  • Verdacht auf Geldwäsche oder Verstöße gegen interne „Unternehmens-Policies“.
  • Häufig stützen sich diese Anbieter auf unzulässige Klauseln in ihren AGB oder wenden interne Richtlinien an, die auf intransparentem KI-Einsatz basieren.

Eine dauerhafte Einbehaltung durch den Zahlungsdienstleister ist ohne einen konkreten und rechtssicheren Verdacht für einen Verstoß in vielen Fällen absolut unzulässig.

Rickert.Law unterstützt Sie bei digitalen Rechtsstreitigkeiten

Eine unzulässige Accountsperrung oder eingefrorenes Kapital müssen Sie nicht hinnehmen. Die Kanzlei Rickert.Law ist darauf spezialisiert, die Kommunikation mit Plattformbetreibern und Zahlungsanbietern auf Augenhöhe zu führen – und wenn nötig, den Zugang gerichtlich zu erzwingen.

Wir helfen Ihnen bei:

  • Reaktivierung unzulässig gesperrter Social-Media-Profile.
  • Vorgehen gegen Identitätsdiebstahl und Fake-Accounts.
  • Freigabe von eingefrorenen Geldern bei Zahlungsdienstleistern.
  • Prüfung von Zahlungsanbieter-AGB auf ihre rechtliche Wirksamkeit.

Kontaktieren Sie Rickert.Law

Haben Sie ein Problem mit einer Sperrung oder einbehaltenen Zahlungen? Wir prüfen Ihren Fall individuell und setzen Ihre Ansprüche durch.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

NIS-2 und die Lieferkette: Warum Unternehmen jetzt genauer hinschauen müssen

NIS-2 und Lieferkette

NIS-2 und die Lieferkette: Warum Unternehmen jetzt genauer hinschauen müssen

NIS-2 und Lieferkette

Die NIS-2‑Richtlinie bringt weitreichende neue Anforderungen an die Cybersicherheit mit sich. Unternehmen, die unter den Anwendungsbereich von NIS-2 fallen, müssen nicht nur ihre eigenen Prozesse, IT‑Systeme und Sicherheitsmaßnahmen auf ein höheres Sicherheitsniveau bringen, sie müssen auch die Sicherheit ihrer gesamten Lieferkette im Blick behalten.

Gerade die Lieferkette stellt heute häufig einen der größten Einfallstore für Cyberangriffe dar. Angriffe auf Dienstleister oder IT‑Provider sind für Cyberkriminelle attraktiv, weil sie dadurch Zugang zu vielen Unternehmen gleichzeitig erhalten. Bekannte Beispiele aus der Vergangenheit zeigen, dass bereits ein einziges schwaches Glied in der Lieferkette ausreicht, um ein ansonsten gut geschütztes Unternehmen zu kompromittieren.

NIS-2 betrifft nicht nur die betroffenen Unternehmen, sondern auch deren Lieferanten

Über die Anforderung, Sicherheit in der Lieferkette zu gewährleisten, landet die gesetzliche Pflicht der NIS-2-pflichtigen Unternehmen zur Cybersicherheit zumindest als vertragliche Verpflichtung bei allen Lieferanten von NIS-2-pflichtigen Unternehmen. Diese haben daher für Cybersicherheit im Unternehmen zu sorgen, unabhängig davon, ob sie selbst NIS-2‑pflichtig sind oder nicht. Damit können Unternehmen, die eigentlich nicht direkt unter NIS-2 fallen, dennoch mittelbar verpflichtet sein, erhöhte IT‑Sicherheitsstandards einzuhalten – allein deshalb, weil sie Leistungen für ein NIS-2‑pflichtiges Unternehmen erbringen.

Das entspricht auch den Vorgaben aus dem KRITIS‑UmfeldMaßgeblich sind diesbezüglich insbesondere die „Best Practice Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen“ (Version 4.0, UP KRITIS): Wenn der Dienstleister die Themen Informations- und IT-Sicherheit, sowie Datenschutz nicht bereits in seinem Standard-Portfolio ausreichend nach dem Stand der Technik auf dem Niveau für die IT der kritischen Dienstleistungen des jeweiligen Unternehmens unterstützt und nachweist, wird von Branchenverbänden dringend empfohlen, diesen Service nicht einzusetzen.

NIS-2 sorgt damit für die Übertragung dieses Grundsatzes in einen europaweiten, branchenübergreifenden Rechtsrahmen: Lieferanten müssen ein Sicherheitsniveau nachweisen können, das den Anforderungen des Auftraggebers entspricht – ansonsten gefährden sie dessen Compliance.

Warum die Lieferkette ein kritischer Angriffsvektor ist

Viele erfolgreiche Cyberangriffe der letzten Jahre hatten einen ähnlichen Ursprung: Der Angriff erfolgte nicht auf das eigentliche Zielunternehmen, sondern über einen weniger gut geschützten Dienstleister.

Typische Szenarien sind kompromittierte Software‑Updates, manipulierte Cloud‑Dienste oder der Missbrauch von Wartungszugängen. Je stärker Unternehmen vernetzt sind, desto größer ist die Angriffsfläche. NIS-2 setzt deshalb bewusst auf ein ganzheitliches Sicherheitsverständnis und verpflichtet Unternehmen, die Risiken ihrer Lieferanten systematisch zu kontrollieren.

Was Unternehmen jetzt tun müssen: Lieferanten prüfen, Standards definieren, Verträge modernisieren

Um NIS-2‑konform zu handeln, benötigen Unternehmen einen strukturierten Prozess zur Bewertung und Überwachung ihrer Lieferanten. Dazu gehört eine Risikoanalyse der eingesetzten Dienstleister, die Prüfung ihrer technischen und organisatorischen Sicherheitsmaßnahmen sowie eine kontinuierliche Überwachung der Einhaltung dieser Standards.

Ein zentraler Bestandteil der NIS-2‑Compliance ist die vertragliche Absicherung. Unternehmen sollten vertragliche Mindeststandards zur Informationssicherheit festlegen, einschließlich Vorgaben zur Incident‑Meldung, Audit‑Rechten, Sicherheitszertifizierungen und Pflichten für Sub‑Dienstleister. Ohne klare vertragliche Grundlagen – etwa mit IT-Dienstleistern – lässt sich die eigene NIS-2‑Verantwortung kaum rechtssicher erfüllen.

Unterstützung bei NIS-2‑Pflichten: Fokus Lieferkettenprüfung

Viele Unternehmen stehen nun vor der Herausforderung, ihre Lieferantenbeziehungen, ihre Prozesse und ihre Verträge an die Anforderungen von NIS-2 anzupassen. Wir unterstützen Sie dabei umfassend – rechtlich fundiert und praxisorientiert.

Unsere Leistungen umfassen unter anderem:

  • die Analyse Ihrer bestehenden Lieferantenverhältnisse,
  • die Entwicklung eines NIS-2‑konformen Supplier‑Management‑Prozesses,
  • die Erstellung oder Überarbeitung Ihrer Vertragsklauseln,
  • die Prüfung, Bewertung und Auditierung von Dienstleistern sowie
  • die strategische Beratung zur Cybersicherheit entlang der gesamten Lieferkette.

Mit einem klar strukturierten Ansatz stellen Sie sicher, dass Ihre Lieferkette nicht zum Sicherheitsrisiko wird und dass Sie Ihre NIS-2‑Pflichten zuverlässig erfüllen. Wir arbeiten eng mit technischen Sicherheitsanbietern zusammen, um eine reibungslose und ganzheitliche NIS-2‑Compliance sicherzustellen, da diese sowohl juristisches als auch technisches Fachwissen erfordert.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Bußgeld von 300.000 € gegen ein Telekommunikationsunternehmen in NRW

Bußgeld gegen Telekommunikationsunternehmen

Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW verhängt Bußgeld von 300.000 € gegen Telekommunikationsunternehmen

Bußgeld gegen Telekommunikationsunternehmen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW hat ein Bußgeld in Höhe von 300.000 € gegen ein Telekommunikationsunternehmen verhängt. Grund dafür sind Verstöße gegen Auskunftsrechte und die Weigerung des Unternehmens, Transparenz über die Datenverarbeitung herzustellen.

Wiederholte personalisierte Werbung

Das Unternehmen versendete wiederholt personalisierte Werbung für Telefon- und Internetverträge. Was die Betroffenen besonders überraschte: Sie hatten zuvor noch keinen Kontakt zu diesem Unternehmen gehabt. Und dennoch waren in den Werbeschreiben diverse personenbezogene Daten enthalten. Neben der Angabe von Anschrift und Telefonnummer war jeweils ein vorausgefülltes Formular enthalten, das zu den persönlichen Informationen den Auftrag zum Abschluss eines neuen Vertrags sowie die Kündigung des bestehenden Vertrages enthielt. Einzig die IBAN und die Unterschrift der Betroffenen fehlte.

Täuschung durch Namensähnlichkeit

Das werbende Unternehmen machte sich außerdem seine Namensähnlichkeit zu einem bekannten Telekommunikationsanbieter zunutze. Aufgrund der Ähnlichkeit gingen viele Empfänger der Werbung davon aus, es handle sich um eben dieses bekannte Telekommunikationsunternehmen, bei dem viele der Betroffenen bereits einen Vertrag hatten. Unter dieser falschen Annahme füllten sie den restlichen Vertrag aus und der Irrtum fiel erst später auf. Auf Widerrufe und Kündigungen reagierte das Unternehmen mit der Forderung einer Schadensersatzpauschale.

Keine Reaktion auf Auskunftsverlangen, Widersprüche und Löschungsaufforderungen

Nachdem den Betroffenen ihr Irrtum aufgefallen war, forderten viele Betroffenen das Unternehmen dazu auf, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu geben. Diese Anfragen wurden jedoch ebenso ignoriert wie Widersprüche oder die Aufforderungen zur Datenlöschung. Für die Betroffenen blieb daher offen, wie das Unternehmen in Besitz ihrer personenbezogenen Daten gekommen ist bzw. wie nun mit den daten umgegangen werden sollte.

Auch behördlichen Aufforderungen und Erinnerungen kam das Unternehmen nicht nach. Das erklärt auch die Höhe des verhängten Bußgelds von 300.000 €, das sich im Übrigen aus zwei Strafen zu je 100.000 € und 200.000 € zusammensetzt. Ziel der Datenschutzbeauftragten war eine spürbare Sanktion, die das Unternehmen von weiteren Verstößen abhält und für ähnlich gelagerte Fälle abschreckend wirkt. Für diese auf Täuschung ausgelegte Geschäftstaktik und die damit verbundene Verweigerungshaltung im Rahmen der Rechtsdurchsetzung wird das Unternehmen stark kritisiert.

Lesen Sie hier die Veröffentlichung auf der Seite der Landesbeauftragten für Datenschutz und Informationsfreiheit.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Die Gestaltung von IT-Dienstleistungsverträgen

IT- Dienstleisterverträge

Die Gestaltung von IT-Dienstleistungsverträgen

IT- Dienstleisterverträge

Um konkurrenzfähig zu bleiben, müssen Unternehmen auf den digitalen Zug aufspringen. Insbesondere sogenannte KMU, d.h. Kleinst-, kleine und mittlere Unternehmen verfügen regelmäßig nicht über eigene interne Stellen, die sich mit IT-Anforderungen beschäftigen. Daher werden diese Aufgaben oft an externe Dienstleister ausgelagert.

Hierbei müssen dann u.a. auch die Vorgaben eingehalten werden, die durch Vorschriften über den Umgang mit Daten wie die DSGVO oder Anforderungen an die Informationssicherheit wie die ISO 27001 festlegt werden. Verstöße gegen diese Vorschriften können zu Bußgeldern oder Schadensersatzforderungen führen. Daher müssen neben den allgemeinen Anforderungen auch speziell auf Datenschutz und IT-Sicherheit zugeschnittene Aspekte bei Vertragsschluss beachtet werden. Im Folgenden haben wir einige Punkte zusammengefasst, die in jedem Fall Beachtung bei IT-Dienstleistungsverträgen finden sollten.

1. Festlegung der Vertragsart

Zunächst sollte festgelegt werden, was für ein IT-Dienstleistungsvertrag in Betracht kommt und ob besondere Anforderungen an diese Vertragsart gestellt werden. Sobald personenbezogene Daten durch den Dienstleister verarbeitet werden sollen, handelt es sich zudem in der Regel um eine Auftragsverarbeitung, die vertraglich abgesichert werden muss. Es muss dann insbesondere genaustens festgelegt werden, zu welchem Zweck und in welchem Umfang die Daten verarbeitet werden dürfen. Der Auftragsverarbeiter ist weisungsgebunden, was zu einer weiterhin bestehenden Verantwortlichkeit des Auftraggebers führt.

2. Konkrete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten

Der Auftragsverarbeiter muss sich verpflichten, technische und organisatorische Maßnahmen vorzunehmen, die dem Schutz personenbezogener Daten dienen. Es ist sinnvoll, diese Maßnahmen bereits vorab vertraglich so konkret wie möglich festzulegen.

3. Definition der Leistungspflichten

Die jeweiligen Leistungen sollten selbstverständlich auch festgelegt werden. Im Zusammenhang mit Informationstechnik kann auch die Mitwirkung des Unternehmens erforderlich sein, daher sollten die konkreten Mitwirkungs- oder Bereitstellungspflichten ebenfalls definiert werden.

4. Vertraulichkeitsklausel

Unverzichtbar sind auch Vertraulichkeitsklauseln bzw. ein Non-Disclosure Agreement (NDA) zum Schutz sensibler Unternehmensinformationen. In den Klauseln sollte festgelegt werden, welche Informationen als sensibel gelten und was bei unbefugter Nutzung oder Weitergabe dieser Informationen als Sanktion blüht.

5. Haftungsbegrenzungen

Eine Haftungsbegrenzung steht vor allem im Interesse des IT-Dienstleisters. Wichtig ist jedoch, dass zwischen Pflichtverletzungen differenziert wird. So kann beispielsweise nach dem Grad des Verschuldens, also nach vorsätzlichen oder fahrlässigen Pflichtverletzungen unterschieden werden. Möglich ist auch eine Differenzierung nach Art der Pflicht, gegen die Verstoßen wurde. Wichtig ist nur, dass von vornherein feststeht, wer bei welchem Verstoß haftet.

6. Service-Level-Agreement (SLA)

SLA legen das erwartete Leistungsniveau fest, um vor allem im Falle von Schlechtleistung die Geltendmachung von Gewährleistungsrechten zu ermöglichen. Dabei können beispielsweise Leistungsumfang, Reaktionszeit und Schnelligkeit der Bearbeitung im IT-Dienstleistungsvertrag geregelt werden. Das führt einerseits zu einer höheren Transparenz in Bezug auf das Preis-Leistungs-Verhältnis, die Festlegung trägt aber auch zur Streitvermeidung und Streitschlichtung bei.

Rechtssichere IT-Dienstleisterveträge mit RICKERT.LAW

Die angesprochenen Punkte sind nur Beispiele, die in einem IT-Dienstleistungsvertrag geregelt sein sollten. Die Klauseln sind oft komplex und müssen auf die jeweilige Vertragsart und die gewünschte Leistung angepasst werden. Wir empfehlen daher, nicht auf vorformulierte Standardverträge zurückzugreifen, sondern dem Einzelfall entsprechende Klauseln zu verwenden, um beiderseitige Interessen bestmöglich zu berücksichtigen.

Möchten Sie Ihre bestehenden IT-Dienstleistungsverträge überprüfen oder planen Sie, Aufgaben an IT-Dienstleister auszulagern? Sprechen Sie uns an, wir unterstützen Sie gerne bei der Ausarbeitung bzw. Optimierung Ihrer Verträge oder der Prüfung von Verträgen Ihrer potentiellen Dienstleister.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Selbstbestimmungsgesetz im Arbeitskontext: Was HR jetzt wissen und umsetzen sollte

Selbstbestimmungsgesetz im Arbeitskontext

Selbstbestimmungsgesetz im Arbeitskontext: Was HR jetzt wissen und umsetzen sollte

Selbstbestimmungsgesetz im Arbeitskontext

Mit dem Selbstbestimmungsgesetz (SBGG) verändert sich in Deutschland der rechtliche Rahmen für trans* und nicht-binäre Menschen grundlegend. Für Personalabteilungen ist das kein Randthema, sondern etwas, das ganz konkret im Arbeitsalltag ankommt: in Personalakten, IT-Systemen, Gesprächssituationen und in der Unternehmenskultur insgesamt.

Für HR-Verantwortliche geht es dabei um zwei Dinge zugleich: Rechtssicherheit und einen respektvollen, professionellen Umgang mit Beschäftigten, deren Geschlechtsidentität nicht (oder nicht mehr) mit früheren Einträgen übereinstimmt.

Worum geht es beim Selbstbestimmungsgesetz?

Kern des Gesetzes ist die Möglichkeit, Vornamen und Geschlechtseintrag im Personenstandsregister durch eine eigene Erklärung ändern zu lassen und zwar ohne medizinische Gutachten oder langwierige Verfahren. Die Geschlechtsidentität wird damit rechtlich stärker als persönliche, selbstbestimmte Angelegenheit anerkannt.

Sobald eine solche Änderung offiziell erfolgt ist, hat das unmittelbare Auswirkungen auf das Arbeitsverhältnis. Arbeitgeber sind dann verpflichtet, die geänderten Daten zu übernehmen, genauso wie bei einer Namensänderung nach Heirat. Der Unterschied: Hier geht es oft zusätzlich um sehr sensible Informationen, die besonders sorgfältig behandelt werden müssen.

Genderidentität im Arbeitsalltag: Mehr als ein Eintrag im System

Genderidentität ist kein abstrakter Begriff. Im Berufsalltag zeigt sie sich ganz konkret in der Ansprache, in der E-Mail-Adresse und -Signatur, auf der Gehaltsabrechnung, im Intranet-Profil oder auf dem Türschild. Für betroffene Mitarbeitende sind das keine Nebensächlichkeiten, sondern Fragen von Respekt und Zugehörigkeit.

Ein häufiger Fehler ist, das Thema rein technisch zu betrachten („Wir ändern halt den Datensatz“). Tatsächlich hat es aber auch eine soziale Dimension. Wenn eine Person ihren Namen und/oder Geschlechtseintrag ändert, ist das oft ein sehr persönlicher Schritt. HR spielt hier eine Schlüsselrolle, weil Personalabteilungen meist erste Ansprechstelle sind.

Ein professioneller Umgang heißt:

  • den gewählten Namen und die gewünschte Anrede konsequent zu verwenden
  • Informationen nur an die Personen weiterzugeben, die sie wirklich benötigen
  • keine unnötigen Fragen zur privaten oder medizinischen Situation zu stellen.

Nicht jede Information, die „interessant“ wäre, ist auch arbeitsrechtlich relevant.

Antidiskriminierung: Klare Rechtslage, klare Verantwortung

Unabhängig vom Selbstbestimmungsgesetz gilt: Benachteiligungen aufgrund der Geschlechtsidentität sind unzulässig. Das Allgemeine Gleichbehandlungsgesetz (AGG) bietet hier bereits Schutz. Das SBGG verstärkt die praktische Relevanz, weil mehr Menschen ihre Identität auch rechtlich anpassen werden.

Für Unternehmen bedeutet das: Diskriminierung kann nicht nur durch offene Ablehnung passieren, sondern auch durch Nachlässigkeit. Wenn etwa bewusst der alte Name verwendet wird oder Systeme nicht angepasst werden, kann das als respektlos oder sogar diskriminierend empfunden werden.

HR sollte daher:

  • Führungskräfte für das Thema sensibilisieren
  • klar kommunizieren, dass respektvolle Ansprache verbindlich ist
  • funktionierende Beschwerdewege bei Diskriminierung sicherstellen

Eine klare Haltung schützt nicht nur Beschäftigte, sondern auch das Unternehmen.

Pflicht zur Aktualisierung von Dokumenten: Was konkret betroffen ist

Sobald eine rechtswirksame Änderung von Namen oder Geschlecht vorliegt, müssen Arbeitgeber ihre Unterlagen anpassen. Das ist keine Gefälligkeit, sondern Teil der ordnungsgemäßen Personalverwaltung.

Typischerweise betroffen sind:

  • Personalakte
  • Arbeitsvertrag (ggf. durch Zusatzvereinbarung oder Vermerk)
  • Lohn- und Gehaltsabrechnungen
  • Sozialversicherungsdaten
  • betriebliche Altersversorgung
  • E-Mail-Adresse und -Signatur, Nutzerkonten, Telefonverzeichnisse
  • Zutrittskarten, Ausweise, Namensschilder und Visitenkarten

Wichtig ist dabei Geschwindigkeit und Diskretion. Lange Bearbeitungszeiten oder wiederholte Nachfragen nach bereits vorgelegten Nachweisen wirken schnell respektlos. Gleichzeitig gilt, dass frühere Daten nicht unkontrolliert weiter sichtbar bleiben dürfen. Alte Namen oder Geschlechtseinträge sind besonders sensible Informationen.

HR sollte klare interne Abläufe definieren: Wer nimmt die Änderung entgegen? Welche Systeme müssen informiert werden? Wer darf was wissen? Ein strukturierter Prozess verhindert Fehler und unangenehme Situationen für Betroffene.

IT- und HR-Systeme: Oft der Knackpunkt

Viele bestehende Systeme sind historisch binär aufgebaut („männlich/weiblich“) und starr bei Namensfeldern. Spätestens jetzt lohnt sich ein genauer Blick:

  • Können Systeme nicht-binäre Einträge abbilden?
  • Lassen sich Anzeigenamen flexibel anpassen, auch wenn rechtliche Daten noch in Umstellung sind?
  • Werden alte Daten in Auswertungen oder automatisierten Mails weiterverwendet?

HR sollte hier eng mit der IT zusammenarbeiten. Technische Grenzen sind kein Argument, dauerhaft falsche Daten anzuzeigen. Wenn nötig, müssen Übergangslösungen geschaffen werden.

HR-Richtlinien: Jetzt ist ein guter Zeitpunkt zum Nachschärfen

Das Selbstbestimmungsgesetz ist auch ein Anlass, bestehende Richtlinien auf den Prüfstand zu stellen. Viele Unternehmen haben bereits Diversity- oder Antidiskriminierungsleitlinien, aber oft bleiben sie allgemein.

Sinnvolle Ergänzungen können sein:

  • Verfahren zur Änderung von Namen und Geschlechtseinträgen
  • klare Regeln zur Vertraulichkeit
  • Empfehlungen zur geschlechtergerechten Ansprache
  • Schulungen für Führungskräfte und HR
  • Beschreibung von Beschwerdewegen

Wichtig ist: Das Thema sollte nicht als Sonderfall behandelt werden, sondern als Teil professioneller Personalarbeit.

Fazit: Verwaltungsaufgabe – und Kulturfrage

Für HR ist das Selbstbestimmungsgesetz beides: eine konkrete administrative Aufgabe und ein Signal für eine moderne Arbeitskultur. Die Aktualisierung von Dokumenten, Systemen und Verträgen ist Pflicht. Wie das geschieht, ist jedoch eine Frage der Haltung.

Ein strukturierter, diskreter und respektvoller Umgang zeigt Beschäftigten: Ihre Identität wird ernst genommen. Das stärkt Vertrauen und letztlich auch die Bindung ans Unternehmen. Wer hier sauber arbeitet, handelt nicht nur gesetzeskonform, sondern auch im Sinne einer zeitgemäßen, verantwortungsvollen Personalarbeit.

Sie möchten Ihre HR-Prozesse und Richtlinien rechtssicher an das Selbstbestimmungsgesetz anpassen? Wir unterstützen Sie dabei, praxisnahe und gesetzeskonforme Lösungen zu entwickeln, von der Überarbeitung interner Richtlinien bis zur konkreten Umsetzung im Einzelfall.

Sprechen Sie uns an.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

EuGH-Urteil „Russmedia“: Neue DSGVO-Pflichten für Hosting-Anbieter

Verantwortlichkeit von Hostinganbietern - Russmedia

EuGH-Urteil "Russmedia": Neue DSGVO-Pflichten für Hosting-Anbieter

Verantwortlichkeit von Hostinganbietern - Russmedia

Die Verantwortlichkeit von Hosting-Anbietern wurde durch das Urteil des Europäischen Gerichtshofs vom 2. Dezember (Rechtssache C-492(23) (Russmedia)) neu definiert.

Hosting-Anbieter können nunmehr als mitverantwortlich im Sinne der Datenschutzgrund-Verordnung (DSG-VO) für Inhalte gelten, die von Nutzerinnen und Nutzern eingestellt werden.

Durch die Entscheidung sollen die Rechte von Betroffenen gestärkt werden. Verantwortlich für die Verarbeitung personenbezogener Daten gilt, wer über den Zweck deren Verarbeitung entscheidet. Hosting-Anbieter tun dies eigentlich nicht. Die Entscheidung, welche Inhalte eingestellt werden, liegt allein bei den Nutzerinnen und Nutzern, während Hosting-Anbieter lediglich die Plattform hierfür zur Verfügung stellen.

Verantwortlichkeit aufgrund der Allgemeinen Nutzungsbedingungen

Die nun angenommene Mitverantwortlichkeit hat der EuGH folgendermaßen begründet: Einerseits wird durch das Zurverfügungstellen der Plattform die Veröffentlichung der Daten überhaupt erst ermöglicht. Andererseits kam vorliegend hinzu, dass sich die Plattform in den Allgemeinen Nutzungsbedingungen eigene Rechte vorbehalten hatte. Zu den vorbehaltenen Rechten gehörte, die Inhalte zu verwenden, zu verbreiten, zu übertragen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit auch ohne Angabe von Gründen zu löschen. Aus dem Zusammenspiel dieser beiden Komponenten ergibt sich nach Ansicht des EuGH eine Verantwortlichkeit gemeinsam mit den Nutzerinnen und Nutzern, welche personenbezogene Inhalte auf der Plattform einstellen.

Wozu sind Hosting-Anbieter nun verpflichtet?

Aufgrund der Mitverantwortlichkeit treffen Hosting-Anbieter die Pflichten aus der DS-GVO. Davon sind insbesondere Prüfpflichten, ob es sich um sensible Daten handelt, umfasst. Zu prüfen ist auch, ob die veröffentlichten Daten eine andere Person als diejenige, welche die Daten einstellt, betreffen. Dann muss nämlich eine Einwilligung oder eine andere Rechtsgrundlage für die Veröffentlichung vorliegen. Weiter müssen geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergriffen werden. Damit greifen die Pflichten von Hosting-Anbietern nach der DS-GVO bereits früher als die, die sich aus dem Digital Services Act (DSA) ergeben. Gemäß Art. 6 DSA besteht nämlich so lange eine Haftungsprivilegierung für einen Hosting-Anbieter, bis er tatsächliche Kenntnis von einem rechtswidrigen Inhalt erlangt. Als Verantwortlicher im Sinne der DS-GVO muss aber bereits vorab eine Prüfung stattfinden, um die Veröffentlichung rechtswidriger Inhalte zum Schutz der Betroffenen zu verhindern.

Sie sind Hosting-Anbieter und fragen sich, was Sie nun zu beachten haben?

Die Entscheidung des EuGH bedeutet für Hosting-Anbieter eine neue Verantwortlichkeit. Bestand zuvor eine Handlungspflicht erst dann, wenn die Betreiber auf die Rechtswidrigkeit der Inhalte hingewiesen wurden, ist nun ist eine proaktive Überprüfung erforderlich, was wesentlich aufwändiger ist. Unerlässlich ist eine sorgfältige Prüfung, ob sich die durch den EuGH festgelegten Kriterien auf die jeweils angebotenen Dienste übertragen lassen.

Gerne unterstützen wir Sie bei der Prüfung Ihrer Allgemeinen Nutzungsbedingungen sowie Ihrer Pflichten als Hosting-Anbieter.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft