Rückblick 18. Bayerischer IT-Rechtstag 2019
„Back to the roots: IT-Verträge 4.0“

Unter diesem Motto fand am 17. Oktober 2019 der 18. Bayerische IT-Rechtstag statt. Allerdings wohl vorerst letztmalig in den herrschaftlichen, aber platztechnisch nicht erweiterbaren Räumlichkeiten des Akademischen Gesangsvereins München, waren doch bereits um 9 Uhr morgens alle Plätze besetzt.
 

Nach einer freundlichen Begrüßung des Präsidenten des Bayerischen Anwaltsverbands RA Michael Dudek sowie des Vorsitzenden des GfA DAVITRA RA Karsten U Bartels LL.M., gab Prof. Dr. Thomas Riehm von der Universität Passau einen spannenden Überblick über die zunehmende „Europäisierung des IT-Vertragsrechts“. Hierbei ging er vor allem auf das Datenschutzrecht, das IT-Sicherheitsrecht sowie das Softwarevertragsrecht ein. Anschließend stellte er Ansätze einer europäischen Plattformregulierung vor und ging näher auf die bereits erwarteten Leitlinien der Kommission zur (Neu-/Weiter-) Interpretation der ProdHaftRL sowie die ebenfalls erwartete ePrivacy-Verordnung ein. Er schloss mit der Feststellung, dass die unionsrechtlich vorgegebenen Regulierungen im IT-Recht zunehmend zum Erfolgsmodell würden.

RA Karsten U. Bartels, LL.M. von HK2 Rechtsanwälte Berlin begann seinen anschließenden Vortrag „Technische und organisatorische Maßnahmen in der Auftragsverarbeitung nach Art. 28 DSGVO“ mit folgender Bestandsaufnahme: Die bisherigen Vereinbarungen zum technischen Datenschutz hätten bisher zumeist ein unvertretbar schlechtes Niveau, was oft an Fehleinschätzungen der technischen und rechtlichen Anforderungen läge. Im Folgenden ordnete er den Begriff „Stand der Technik“ bzgl. Technisch Organisatorischer Maßnahmen (TOM) iRd Art. 28 und Art. 32 DSGVO als einen objektiven Begriff ein, der über den allgemein anerkannten Regeln der Technik jedoch unterhalb des aktuellen Stands von Wissenschaft und Forschung läge. Erst im Merkmal „unter Berücksichtigung“ befände sich das juristische Eintrittstor, was ein planmäßiges Unterschreiten des Stands der Technik, also „die am Markt verfügbare Bestleistung zur Erreichung eines gesetzlichen IT-Sicherheitszieles“ ermögliche und verlange. Nachfolgend gab er praktische Hinweise zur TOM-Dokumentation unter Berücksichtigung der jeweils unternehmens- sowie AV- bezogenen Verpflichtung des Stands der Technik.
 



Nach einer kurzen Kaffeepause ging es mit einem dogmatisch eingebetteten Vortrag zu „IT-Sicherheit in der Vertragsgestaltung“ von RA Dr. Mansur Pour Rafsendjani, Noerr LLP München, weiter. Zunächst räumte er Überlegungen bzw. Wunschdenken aus der Praxis aus, Cyber-Security sei ein Fall rechtlicher Unmöglichkeit oder höherer Gewalt. Die (Leistungs-) Pflicht sei hingegen die Implementierung von Maßnahmen zum Schutz der IT‐Infrastruktur gegen Cyberangriffe und andere Cyber‐Risiken als eine mögliche Vorsorge‐Pflicht. Es gehe nicht um die Verantwortlichkeit bzgl. der Cyber‐Attacke selbst, sondern um die Unterlassung bzw. nicht ordnungsgemäße Durchführung der IT‐Sicherung. Rechtlich sei die IT‐Sicherheitspflicht entweder als einklagbare Nebenleistungspflicht zu qualifizieren, zumindest, wenn die Parteien dies ausdrücklich oder konkludent vereinbaren würden. Jedenfalls sei sie aber eine Schutzpflicht und somit auch probate Grundlage für einen Schadensersatzanspruch gem. § 280 BGB oder für ein Rücktrittsrecht nach § 324 BGB. Rechtliche Unsicherheiten seien indes immer noch so groß, dass vertragliche Cyberrisk‐Klauseln ungemein wichtig für ein gutes Cyber-Risk-Management und die Verringerung von Rechtsunsicherheit seien.

Anschließend kündigte Herr RA Prof. Dr. Peter Bräutigam, Noerr LLP München der wieder einmal gekonnt enthusiastisch durch den Tag moderierte, Herrn Prof. Dr. Walter „Blockchain“ Blocher als ausgewiesenen Experten zum Thema „Blockchain & Smart Contracts – IT-Infrastrukturverträge“ von der Universität Kassel an. Dieser nahm den Ball gerne auf, und lobte die Möglichkeiten der Blockchain-Technologie als einen wichtigen Baustein für das Internet der Zukunft. So werde es mittels dieser Technologie, deren Funktionsweise er im Folgenden etwas näher vorstellte, erstmals möglich sein, Verzeichnisse zu erstellen, die niemand unilateral bzw. unbemerkt ändern könne. Vor allem im Bereich des Handels mit gebrauchten Software-Lizenzen werde dies spannende Antworten auf die noch andauernde Problematik der Gefahr einer Mehrfachnutzung von Softwarelizenzen nach der UsedSoft Entscheidung des EuGH ermöglichen. Das sog. „double spending“ könnte in concreto durch Software-Lizenzbescheinigungen ausgeschlossen werden. Gleichzeitig machte er den anwesenden RA‘Innen Mut, auch in Zeiten von smart contracts würden Juristen allenfalls bei quantitativen Fragestellungen bestimmter assets obsolet werden können; jedoch nicht hinsichtlich qualitativer Fragen.

Mit diesem positiven Ausblick auf technische Neuerungen ging es in die Mittagspause, wo angeregt über den bisherigen Input diskutiert wurde.
 



Es folgte ein Block zu SCRUM Verträgen:

Zunächst sprach Herr Dr. Frank Sarre, Projective Expert Group GmbH München zu „Kritische Schnittstellen bei SCRUM-Verträgen“. Anschließend stellte Frau RAin Dr. Truiken J. Heydn, TCI Rechtsanwälte München die „Ausgestaltung von SCRUM-Verträgen nach werkvertraglichen Grundsätzen“ vor.
 



Nach einer weiteren Kaffeepause gab Herr RA Dr. Lars Lensdorf, Covington & Burling LLP Frankfurt einen Einblick in „Regulatorische Anforderungen bei der Gestaltung von Cloud-Verträgen“ speziell im Banken-Sektor. IT-Auslagerungen und der Einsatz von Cloud-Leistungen seien zunehmend regulatorischen Rahmenbedingungen ausgesetzt, was aber zumeist mit Blick auf die Bedeutung der IT für den Banken- und Finanzdienstleistungssektor gerechtfertigt sei. Besonders hob er dabei die „Mindestanforderungen an das Risikomanagement“ (MaRisk) der BFin sowie die Guidelines der „European Banking Authority“ (EBA-Guidelines) hervor. Für erstere seien insbesondere die Abgrenzung von wesentlichen/nicht-wesentlichen Auslagerung im Rahmen einer Risikoanalyse entscheidend. Dabei komme es auf bestimmte Parameter besonders an, auf die er näher einging. Wesentliche Vetragsthemen seien neben der Spezifizierung der Leistung u.a. ein Informations-/ Prüfungs-Recht, Weisungsrechte sowie Fragen der Weiterverlagerung und der Vertragsbeendigung.

Der abrundende Schlussvortrag kam Frau RAin Dr. Isabell Conrad, SSW Rechtsanwälte München zu. Im Rahmen ihres Vortrags zu „Verträgen nach Art. 26 DSGVO“ ging sie zunächst auf praktische Anwendungsbeispiele von Joint Control sowie dessen Abgrenzung zu Art. 28 DSGVO und controler-to-controler Datenübermittlungen ein: Dabei allen voran auf die EuGH-Entscheidungen zu „Facebook Fanpage“, „Zeugen Jehovas“ und „Fashion ID“. Es folgten weitere spannende Beispiele aus den „immer noch sehr empfehlenswerten“ WP 203 und 169 der Art. 29 DS-Gruppe sowie von Stimmen aus der Literatur. Wichtig sei, immer wieder zu betonen, dass das Vorliegen eines joint control noch keine Rechtsgrundlage für die Datenübermittlung selbst darstelle. Zudem sei es sehr wichtig, den Haftungsausgleich im Innenverhältnis bei joint control vertraglich zu regeln. Anschließend gab Frau Dr. Conrad anhand des Musters des LfDI BW vom 22.05.2019 Tipps und Formulierungsbeispiele zur Gestaltung von Vertragsklauseln nach Art. 26 DSGVO; auch bei Joint Control im multinationalen Konzern. Sie endete mit einem Ausblick auf Joint Control bei Marktbeherrschern unter Bezugnahme auf die vom BKartA 2018/2019 geprüfte Version der Nutzungsbedingungen von Facebook sowie den sich darauf beziehenden Beschluss des OLG Düsseldorf vom 26.08.2019 und gab ferner einen kurzen Überblick über die bilanz‐ und steuerrechtlichen Implikationen dieses Themenkomplexes.
 



Mit diesem inhaltlichen „Hochreck“ endete der 18. Bayerische IT-Rechtstag, der noch einen „galaähnlichen“ Abschluss bot, wie der Moderator des Tages, RA Prof. Dr. Peter Bräutigam, erfreut zum Abschluss feststellte: Wurden doch drei Exemplare der neuen 3. Auflage von Auer-Reinsdorff/ Conrad, Handbuch IT- und Datenschutzrecht an glückliche Gewinner verlost.

Da bleibt einem eigentlich nur noch, sich auf das nächste Jahr zu freuen!
Simon Tannen, Universität Bayreuth