Die Stanton Chase Stuttgart GmbH veranstaltet in Kooperation mit Nasdaq den 14. SC Leadership Dialog zum Thema „Cyber Attacken und deren rechtliche Konsequenzen für das operative und kontrollierende Management" mit den Referenten Diplom-Ingenieur (FH) Thomas Tschersich, Chief Security Officer (CSO) der Deutschen Telekom und CEO Deutsche Telekom Security und Dr. Thomas A. Degen, Fachanwalt für Informationstechnologierecht (IT-Recht), Partner der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, Stuttgart.
In der heutigen Zeit sind Unternehmen aller Größen und Branchen immer stärker von Cyber-Attacken betroffen. Die Folgen können schwerwiegend sein, von Datenverlusten über Image-Schäden bis hin zu empfindlichen Strafen. Die rechtlichen Konsequenzen können dabei auch das operative und kontrollierende Management betreffen.
Die Stanton Chase Stuttgart GmbH möchte mit den Experten aus dem Bereich IT-Sicherheit und Recht den Teilnehmern einen Überblick über die aktuelle Bedrohungslage geben und die rechtlichen Aspekte von Cyberangriffen erläutern. Die Referenten werden auch darauf eingehen, welche Maßnahmen Unternehmen ergreifen sollten, um sich vor solchen Angriffen zu schützen und wie sie im Falle eines Angriffs angemessen reagieren können.
Im Anschluss an die Vorträge haben die Teilnehmer die Möglichkeit, sich bei einem Get-together mit den Referenten und anderen Teilnehmern auszutauschen.
Die Teilnahme ist kostenlos, die Anzahl der Plätze jedoch begrenzt. Donnerstag, 25. Mai 2023 ab 17.00 Uhr in der Galerie von Braunbehrens, Rotebühlstraße 87, 70178 Stuttgart (Feuersee)
Weietre Informationen zum Programm und zu den gastgebenden Referenten sind in der Anlage beigefügt. Über Ihre Anmeldung und Teilnahme freuen wir uns sehr.
In Schulen, Universitäten, gemeinnützigen, karitativen und kirchlichen Einrichtungen werden regelmäßig personenbezogene Daten verarbeitet, auch besonders sensible Kategorien personenbezogener Daten wie Gesundheitsdaten und Daten von Kindern. Diese typischen Umstände erfordern sichere Datenschutzstrukturen und eine nachhaltige, werteorientierte Einbindung des gesamten Personals. Eine transparente Darstellung der Umsetzungen und technischen und organisatorischen Maßnahmen zum Schutz der Daten und der Persönlichkeitsrechte, wie etwa gegenüber Eltern, ist in diesem Bereich auch notwendig.
Die Kanzlei Jordan & Wagner Rechtsanwaltsgesellschaft mbH unterstützt Schulen, Universitäten, gemeinnützige, karitative und kirchliche Einrichtungen, Stiftungen und (Förder-)Vereine insbesondere beim Datenschutzmanagement und als externe Datenschutzbeauftragte (DSB) sowie als Auditoren, Berater und bei Fortbildungen. Angeboten werden z.B. auch Inhouse-Schulungen oder Seminare zum Datenschutzrecht.
Der VDP Verband Deutscher Privatschulen Landesverband Baden-Württemberg e.V. veranstaltet z.B. am 06.07.2023 ein ganztägiges Seminar zum Datenschutzrecht im Haus der Wirtschaft in Stuttgart mit dem Fachreferenten Dr. Thomas A. Degen, Fachanwalt für Informationstechnologierecht (IT-Recht), Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV), Lehrbeauftragter und Prüfer an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW).
Insbesondere Privatschulen haben vielfältige gesetzliche Spezifika zu beachten. Für Institutionen, die einer kirchlichen Trägerschaft angehören, ist nicht durchgängig die Datenschutzgrundverordnung (DSGVO) einschlägig. Vielmehr sind besondere Datenschutzgesetzte anwendbar. Dies betrifft Privatschulen und andere gemeinnützige Bildungseinrichtungen, sofern diese zu kirchlichen Träger- bzw. Stiftungsgesellschaften gehören. Denn Religionsgemeinschaften können ihre verfassungsrechtlich geschützten Bereiche und eigenständigen Zuständigkeiten, etwa auch für private Schulen, in katholischer oder evangelischer Trägerschaft, ohne staatliche Aufsicht selbstständig regeln. Dafür wurden eigenständige Gesetzte verabschiedet. Am 24.05.2018 wurden das Gesetz über den Kirchlichen Datenschutz (KDG) vom 20.11.2017 und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD) vom 15.11.2017 (Datenschutzgesetz der Evangelischen Kirche) beschlossen.
Diese speziellen Gesetzte sind dafür zuständig, in kirchlichen Institutionen den Datenschutz rechtmäßig umzusetzen. Die Datenschutzgesetzte der Kirchen ähneln in weiten Teilen sehr stark der weltlichen DSGVO, welche seit 25.05.2018 anwendbar ist; sie weisen jedoch auch diverse bereichs-/sektorspezifische Besonderheiten auf. Dies betrifft inhaltlich-regulatorische wie aufsichtsrechtliche Aspekte des Datenschutzrechts.
Beispielsweise statuiert § 6 des KDG über die „Rechtmäßigkeit der Verarbeitung personenbezogener Daten“ gemäß Abs. 1, dass die Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn a) dieses Gesetz oder eine andere kirchliche oder eine staatliche Rechtsvorschrift sie erlaubt oder sie anordnet.
Als weiteres Beispiel ist insbesondere das sog. Medienprivileg des im Anwendungsbereich des KDG verantwortlichen kirchlichen Trägers zu nennen nach § 55 des KDG. Bei journalistisch-redaktioneller Berichterstattung, in der Tages- und Fachpresse und in sozialen Medien, können etwa Bilder und Filme zulässig sein, bei denen Betroffene, auch Kinder, gezeigt werden. So haben die Diözesandatenschutzbeauftragten beim Umgang mit Bildern von Minderjährigen erklärt, dass eine pauschale Einwilligung der Sorgeberechtigten nun genügt; unter Umständen braucht es nicht einmal diese. Kurzum: „Die Datenschützer sehen es zwischenzeitlich als zulässig an, für die Veröffentlichung von Fotos eine pauschale Einwilligung der Sorgeberechtigten einzuholen, etwa für ein ganzes Schul- oder Kindergartenjahr oder bestimmte Veranstaltungen wie Sommerlager. Die Einwilligung kann bereits bei der Anmeldung oder am ersten Schul- oder Kitatag eingeholt werden. Damit ändert die Konferenz ihre bisherige Position, gemäß der eine Freigabe jedes einzelnen Bildes durch die Sorgeberechtigten nötig war. (...) Neben der Einwilligung sieht die Konferenz für die Erhebung (Fotografieren) und die Veröffentlichung nun auch eine Interessensabwägung als mögliche Rechtsgrundlage an. Damit kann unter bestimmten Voraussetzungen auch auf eine explizite Einwilligung der Sorgeberechtigten verzichtet werden. Auf der Grundlage einer Interessensabwägung zwischen Einrichtung und Abgebildeten können damit Bilder erhoben und veröffentlicht werden, ohne dass eine Einwilligung eingeholt werden muss. Als Kriterien dafür nennt der Beschluss den § 23 des Kunsturhebergesetzes. (...).“
Das Medienprivileg nach § 55 KDG gehört zu den komplexen Rechtspositionen wegen des schulbuchmäßigen Ausgleichs verschiedener Grundrechtspositionen: Die Kommunikations- und Pressegrundrechte des Art. 5 GG und das Grundrecht auf informationelle Selbstbestimmung (Persönlichkeit, Menschenwürde, Art 1, Art. 2 GG) sollen in gleicher Weise gewährt werden. Das lösen wir Juristen über die praktische Konkordanz. Daraus folgt, dass wegen des Medienprivilegs die individuellen Betroffenenrechte der §§ 14 ff. KDG bestenfalls eingeschränkt geltend gemacht werden können.
Die Kanzlei Jordan & Wagner Rechtsanwälte mbH klärt über die relevanten Datenschutzregeln des besonderen Datenschutz- und Kirchenrechts und hilft den betroffenen Institutionen und deren Geschäftspartnern diese zu verstehen und umzusetzen. Wir sind beispielsweise externe Datenschutzbeauftragte verschiedener privater, kirchlicher wie weltlicher (gemeinnütziger) Träger-, Stiftungsorganisationen, u.a. im Schul- und Hochschulbetrieb.
Ihre Ansprechpartner:
Dr. Thomas A. Degen
Rechtsanwalt und Fachanwalt für Informationstechnologierecht (IT-Recht), Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV), Lehrbeauftragter und Prüfer an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW), Co-Founder und Compliance-Beauftragter der ValueAbler GmbH
Peter Wagner
Rechtsanwalt und Mediator, Geschäftsführer der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, Cert. Monash University, Australia, Mitglied des Vorstands der Rechtsanwaltskammer Stuttgart, Mitglied im International Commerce and Distribution Committee der International Bar Association
Mathias Lang, LL.M.
Rechtsanwalt, Fachanwalt für Informationstechnologierecht (IT-Recht), Master of Laws (LL.M.) Informationsrecht
Dr. Arnd-Christian Kulow
Rechtsanwalt, Zertifizierter Datenschutzbeauftragter – DSB (TÜV-SÜD), Zertifizierter Auditor für Datenschutz – DAS (TÜV-SÜD), Zertifizierter Beauftragter für QM nach DIN EN ISO 9001:2015 (QM-B) (TÜV SÜD)
Marzia Carla Iosini, LL.M.
Avvocato (Mailand) Master of Laws (LL.M.), International Dispute Settlement (MIDS), IHEID und Universität von Genf, Master of Laws (LL.M.) Gewerblicher Rechtsschutz, Heinrich-Heine-Universität Düsseldorf, Master of Laws (LL.M.) Europäisches und Internationales Wirtschaftsrecht, Ludwig-Maximilians-Universität München, Master of Laws, Katholische Universität Mailand
Isabel Ledig-Sturm
Diplom-Juristin, Magister Iuris, Maître en droit, Zertifizierte Datenschutzbeauftragte (DEKRA)
Mit dem Data Governance Act (DGA) oder dem "Daten-Governance-Gesetz“ - so die für die unmittelbar geltende Verordnung missverständliche, aber immer häufiger anzutreffende Bezeichnung – möchte die Europäische Kommission eine neue „Art der Datenverwaltung“ in Europa begründen mit der Zielsetzung des leichteren Datenaustausches zwischen Sektoren und Mitgliedstaaten. Dies soll den gesellschaftlichen Wohlstand sowie das Vertrauen von Bürgern in Unternehmen und deren Datenkontrolle mehren.
Geregelt werden im Wesentlichen drei unterschiedliche Lebensbereiche des Datenmanagements:
die Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die sich im Besitz öffentlicher Stellen befinden (Art. 1 Abs. 1 lit. a DGA),
die Erbringung von Datenvermittlungsdiensten (lit. b) sowie
ein Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten (lit. c).
Der Data Governance Act (Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30.05.2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/172) ist ab dem 24.09.2023 anzuwenden.
Die Auswirkungen des DGA für die Praxis in der IT-Wirtschaft und insbesondere für GAFA (Google, Apple, Facebook & Amazon) und Geschäftspartner in der "(Daten-)Wertschöpfungskette" sowie weitere Aspekte, die durch sonstige neue fankierende EU-Aktionspläne und Gesteze zu berücksichtigen sind - wie durch den Digital Markets Act (DMA) - beleuchten Rechtsanwalt Dr. Thomas A. Degen und Dipl.-Jurist Sebastian Teufel in der apf 4/2023, S. 126 ff. (Boorberg Verlag) in dem Beitrag der Fachreihe "Datenschutz international": "GAFA (Google, Apple, Facebook & Amazon) im Visier - Datenverkehrsregeln und Bündelung europäischer Datenräume durch Data Governance Act"
Die Europäische Kommission hat mit der Richtlinie (EU) 2019/1937 vom 23.10.2019 eine sehr bedeutsame Initiative gestartet zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden zur Verbesserung der Compliance-Kultur in der Wirtschaft.
Regelungszweck ist die Stärkung des Gemeinwohlinteresses und die Eindämmung von Kriminalität und bessere Aufklärung von Gesetzesverstößen durch modere Compliance-Strukturen, v.a. dem Schutz von Hinweisgebern. Denn rechtswidrige Handlungen können in jeder Organisation vorkommen, beispielsweise Betrug, Korruption, sonstiges Fehlverhalten, Fahrlässigkeit. Das kann dem öffentlichen Interesse schaden. Menschen, die bei ihrer Arbeit mit einer Organisation in Kontakt kommen, erfahren von davon häufig als Erste; daher können sie den Fall melden.
Whistleblower, d.h. Hinweisgeber werden als Personen geschützt, wenn sie Informationen über Fehlverhalten, die sie in einem Arbeitskontext erhalten haben, innerhalb der betroffenen Organisation oder einer externen Behörde melden oder gegenüber der Öffentlichkeit offenlegen. Diese tragen zur Vermeidung von Schäden und zur Aufdeckung von Bedrohungen oder Schäden des öffentlichen Interesses bei, die andernfalls unentdeckt blieben. Hintergrund der EU-Richtlinie ist, dass der Schutz von Hinweisgebern in der EU uneinheitlich geregelt ist. Die EU-Whistleblower-Richtlinie soll durch das Hinweisgeberschutzgesetz(HinSchG) in deutsches Recht umgesetzt werden. Das hätte bis 17.12.2021 erfolgen müssen; politisch ist dies noch nicht im nationalen Gesetzgebungsverfahren gelungen. Der Bundesrat hat am 10.02.2023 zum HinSchG die Zustimmung verweigert. Daher wurde seitens der EU ein Vertragsverletzungsverfahren eingeleitet betreffend alle Mitgliedsstaaten, die diese wichtige Initiative verspätet umsetzen. Die nicht fristgerechte Richtlinienumsetzung in deutsches Gesetz bedeutet, dass die EU-Richtlinie nun einstweilen unmittelbar gilt.
Im Kern geht es um die Pflicht zur Einführung eines Meldesystems: So müssen Stellen ab 50 Beschäftigten ein internes Meldesystem einrichten. Für dessen Einrichtung ist für Stellen mit 249 Beschäftigten oder weniger eine Umsetzungsfrist bis zum 17.12.2023 vorgesehen. Stellen mit mehr Beschäftigten müssen sofort handeln.
Bei der Whistleblower-Richtlinie - und dem geplanten HinSchG - geht es im Wesentlich um Tatbestände, die ein Whistleblower melden kann. Im Entwurf des Hinweisgeberschutzgesetzes geht es insbesondere um:
- Verstöße gegen Strafvorschriften
-Bußgeldbewehrte Verstöße, z.B. bzgl. Arbeitsschutz, Gesundheitsschutz, Mindestlohngesetz, Arbeitnehmerüberlassungsgesetz
Praxisfolge: Ein Meldeverfahren mit interner Meldestelle muss in der jeweiligen Betriebsstelle etabliert werden, was beim Compliance-Management-System (CMS) zu berücksichtigen ist. Das betrifft Betriebe mit mehr als 50 Beschäftigten.
Wir unterstützen private Unternehmen wie öffentliche Institutionen bei der Beratung und sachgerechten Umsetzung der Rechtspflichten aus der Whistleblower-Richtlinie und dem geplanten Hinweisgeberschutzgesetz. Unsere Beratung unterstützt die Integration der Rechtspflichten, Workflow- und Compliance-Wirksamkeitskontrolle unter Berücksichtigung der sektror- und branchenspezifischen Bedürfnisse im Einzelfall. Wir geben einen Überblick über analoge und digitale Frameworks und Software-Tools.
Ihre Ansprechpartnerbei der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, Stuttgart:
Peter Wagner, Rechtsanwalt und Mediator, Geschäftsführer, Cert. Monash University, Australia
Dr. Thomas A. Degen, Fachanwalt für Informationstechnologierecht (IT-Recht), Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV), Lehrbeauftragter an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW), Compliance-Beauftragter der ValueAbler GmbH
Dr. Hanns-Georg Pipping, Rechtsanwalt, Fachanwalt für Steuerrecht, Fachanwalt für Handels- und Gesellschaftsrecht, Zertifizierter Wirtschaftsmediator RAK, Compliance Management Beauftragter
Mathias Lang, LL.M., Rechtsanwalt, Fachanwalt für Informationstechnologierecht (IT-Recht), Master of Laws (LL.M.) Informationsrecht
Dr. Arnd-Christian Kulow, Rechtsanwalt, Zertifizierter Datenschutzbeauftragter – DSB (TÜV-SÜD), Zertifizierter Auditor für Datenschutz – DAS (TÜV-SÜD), Zertifizierter Beauftragter für QM nach DIN EN ISO 9001:2015 (QM-B) (TÜV SÜD)
Marzia Carla Iosini, LL.M., Avvocato (Mailand) Master of Laws (LL.M.), International Dispute Settlement (MIDS), IHEID und Universität von Genf, Master of Laws (LL.M.) Gewerblicher Rechtsschutz, Heinrich-Heine-Universität Düsseldorf, Master of Laws (LL.M.) Europäisches und Internationales Wirtschaftsrecht, Ludwig-Maximilians-Universität München, Master of Laws, Katholische Universität Mailand
In unregelmäßigen Abständen erhalten Sie dann informative, relevante Inhalte zu unseren Beratungsschwerpunkten und aktueller Rechtsprechung, zu Gesetzen und Verordnungen, über die Kanzlei sowie zu kommenden Veranstaltungen und Vorträgen. Sie können sich jederzeit abmelden.
