News-Archiv

News-Archiv

April 2023

GAFA (Google, Apple, Facebook & Amazon) im Visier - Datenverkehrsregeln und Bündelung europäischer Datenräume durch Data Governance Act

Mit dem Data Governance Act (DGA) oder dem "Daten-Governance-Gesetz“ - so die für die unmittelbar
geltende Verordnung missverständliche, aber immer häufiger anzutreffende Bezeichnung – möchte die Europäische Kommission eine neue „Art der Datenverwaltung“ in Europa begründen mit der Zielsetzung des leichteren Datenaustausches zwischen Sektoren und Mitgliedstaaten. Dies soll den gesellschaftlichen Wohlstand sowie das Vertrauen von Bürgern in Unternehmen und deren Datenkontrolle mehren.

Geregelt werden im Wesentlichen drei unterschiedliche Lebensbereiche des Datenmanagements:

  • die Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die sich im Besitz öffentlicher Stellen befinden (Art. 1 Abs. 1 lit. a DGA),
  • die Erbringung von Datenvermittlungsdiensten (lit. b) sowie
  • ein Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten (lit. c).

Der Data Governance Act (Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30.05.2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/172)  ist ab dem 24.09.2023 anzuwenden.

Die Auswirkungen des DGA für die Praxis in der IT-Wirtschaft und insbesondere für GAFA (Google, Apple, Facebook & Amazon) und Geschäftspartner in der "(Daten-)Wertschöpfungskette" sowie weitere Aspekte, die durch sonstige neue fankierende EU-Aktionspläne und Gesteze zu berücksichtigen sind - wie durch den Digital Markets Act (DMA) - beleuchten Rechtsanwalt Dr. Thomas A. Degen und Dipl.-Jurist Sebastian Teufel in der apf 4/2023, S. 126 ff. (Boorberg Verlag) in dem Beitrag der Fachreihe "Datenschutz international":  "GAFA (Google, Apple, Facebook & Amazon) im Visier - Datenverkehrsregeln und Bündelung europäischer Datenräume durch Data Governance Act"

 

EU-Whistleblower-Richtlinie - Meldeverfahren und Compliance-Management-System richtig umsetzen

Die Europäische Kommission hat mit der Richtlinie (EU) 2019/1937 vom 23.10.2019 eine sehr bedeutsame Initiative gestartet zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden zur Verbesserung der Compliance-Kultur in der Wirtschaft.
 
Regelungszweck ist die Stärkung des Gemeinwohlinteresses und die Eindämmung von Kriminalität und bessere Aufklärung von Gesetzesverstößen durch modere Compliance-Strukturen, v.a. dem Schutz von Hinweisgebern. Denn rechtswidrige Handlungen können in jeder Organisation vorkommen, beispielsweise Betrug, Korruption, sonstiges Fehlverhalten, Fahrlässigkeit. Das kann dem öffentlichen Interesse schaden. Menschen, die bei ihrer Arbeit mit einer Organisation in Kontakt kommen, erfahren von davon häufig als Erste; daher können sie den Fall melden.
 
Whistleblower, d.h. Hinweisgeber werden als Personen geschützt, wenn sie Informationen über Fehlverhalten, die sie in einem Arbeitskontext erhalten haben, innerhalb der betroffenen Organisation oder einer externen Behörde melden oder gegenüber der Öffentlichkeit offenlegen. Diese tragen zur Vermeidung von Schäden und zur Aufdeckung von Bedrohungen oder Schäden des öffentlichen Interesses bei, die andernfalls unentdeckt blieben. Hintergrund der EU-Richtlinie ist, dass der Schutz von Hinweisgebern in der EU uneinheitlich geregelt ist. Die EU-Whistleblower-Richtlinie soll durch das Hinweisgeberschutzgesetz (HinSchG) in deutsches Recht umgesetzt werden. Das hätte bis 17.12.2021 erfolgen müssen; politisch ist dies noch nicht im nationalen Gesetzgebungsverfahren gelungen. Der Bundesrat hat am 10.02.2023 zum HinSchG die Zustimmung verweigert. Daher wurde seitens der EU ein Vertragsverletzungsverfahren eingeleitet betreffend alle Mitgliedsstaaten, die diese wichtige Initiative verspätet umsetzen. Die nicht fristgerechte Richtlinienumsetzung in deutsches Gesetz bedeutet, dass die EU-Richtlinie nun einstweilen unmittelbar gilt.

Im Kern geht es um die Pflicht zur Einführung eines Meldesystems: So müssen Stellen ab 50 Beschäftigten ein internes Meldesystem einrichten. Für dessen Einrichtung ist für Stellen mit 249 Beschäftigten oder weniger eine Umsetzungsfrist bis zum 17.12.2023 vorgesehen. Stellen mit mehr Beschäftigten müssen sofort handeln.

Bei der Whistleblower-Richtlinie - und dem geplanten HinSchG - geht es im Wesentlich um Tatbestände, die ein Whistleblower melden kann. Im Entwurf des Hinweisgeberschutzgesetzes geht es insbesondere um:

- Verstöße gegen Strafvorschriften

-Bußgeldbewehrte Verstöße, z.B. bzgl. Arbeitsschutz, Gesundheitsschutz, Mindestlohngesetz, Arbeitnehmerüberlassungsgesetz
 
Praxisfolge: Ein Meldeverfahren mit interner Meldestelle muss in der jeweiligen Betriebsstelle etabliert werden, was beim Compliance-Management-System (CMS) zu berücksichtigen ist. Das betrifft Betriebe mit mehr als 50 Beschäftigten.
 
Wir unterstützen private Unternehmen wie öffentliche Institutionen bei der Beratung und sachgerechten Umsetzung der Rechtspflichten aus der Whistleblower-Richtlinie und dem geplanten Hinweisgeberschutzgesetz. Unsere Beratung unterstützt die Integration der Rechtspflichten, Workflow- und Compliance-Wirksamkeitskontrolle unter Berücksichtigung der sektror- und branchenspezifischen Bedürfnisse im Einzelfall. Wir geben einen Überblick über analoge und digitale Frameworks und Software-Tools.
 

Ihre Ansprechpartner bei der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, Stuttgart:

Peter Wagner, Rechtsanwalt und Mediator, Geschäftsführer, Cert. Monash University, Australia

Dr. Thomas A. Degen, Fachanwalt für Informationstechnologierecht (IT-Recht), Zertifizierter Datenschutzbeauftragter TÜV Süd (DSB-TÜV), Lehrbeauftragter an der Dualen Hochschule Baden-Württemberg Stuttgart (DHBW), Compliance-Beauftragter der ValueAbler GmbH

Dr. Hanns-Georg Pipping, Rechtsanwalt, Fachanwalt für Steuerrecht, Fachanwalt für Handels- und Gesellschaftsrecht, Zertifizierter Wirtschaftsmediator RAK, Compliance Management Beauftragter

Mathias Lang, LL.M., Rechtsanwalt, Fachanwalt für Informationstechnologierecht (IT-Recht), Master of Laws (LL.M.) Informationsrecht

Dr. Arnd-Christian Kulow, Rechtsanwalt, Zertifizierter Datenschutzbeauftragter – DSB (TÜV-SÜD), Zertifizierter Auditor für Datenschutz – DAS (TÜV-SÜD), Zertifizierter Beauftragter für QM nach DIN EN ISO 9001:2015 (QM-B) (TÜV SÜD)

Marzia Carla Iosini, LL.M., Avvocato (Mailand) Master of Laws (LL.M.), International Dispute Settlement (MIDS), IHEID und Universität von Genf, Master of Laws (LL.M.) Gewerblicher Rechtsschutz, Heinrich-Heine-Universität Düsseldorf, Master of Laws (LL.M.) Europäisches und Internationales Wirtschaftsrecht, Ludwig-Maximilians-Universität München, Master of Laws, Katholische Universität Mailand