Digitalisierung und Cloud-ModelleCloud-Provider stellen für Unternehmen aus der Privatwirtschaft und für Anwender*Innen im öffentlichen Sektor (Bundes-, Landes-, Kommunalverwaltungen und öffentliche Unternehmen) zahlreiche attraktive Cloud-Modelle als Innovationsmotor für die digitale Transformation bereit. Vernetzte Dateninfrastrukturen (wie zukünftig das EU-Projekt GAIA-X) ermöglichen einen jederzeitigen, standortunabhängigen Zugriff auf in der Cloud gespeicherte Daten. Hochskalierbar, bedarfsabhängig, kostengünstig und in Echtzeit bieten Cloud-Provider Rechen- und Speicherkapazitäten (Infrastructure-as-a-Service), Entwicklungs- und Ausführungsumgebungen (Platform-as-a-Service) oder standardisierte Anwendungen (Software-as-a-Service) an. Die Cloud-Produkte werden beliebigen Nutzern (Public Cloud), konzerninternen Anwendern (Private Cloud), gemeinsam mit anderen Cloud-Providern (Community Cloud) oder als Kombination (Hybrid Cloud) bereitgestellt. In Rahmen der Vertragsgestaltung kommt dem EVB-IT Cloud große Bedeutung zu.DSGVO-Grundsätze zum DatentransferDer Anwender (Datenexporteur) ist für die Übermittlung und Datenverarbeitung durch den Cloud-Anbieter (Datenimporteuer / Auftragsverarbeiter) verantwortlich. Verarbeitet der Cloud-Provider die Daten außerhalb der EU, greifen die Grundsätze zum Datentransfer in Drittstaaten (Art. 44 ff. DSGVO). Als Erlaubnisgründe kommen ein Angemessenheitsbeschluss der EU-Kommission, geeignete Garantien (etwa Standarddatenschutzklauseln) und Ausnahmeregelungen in Betracht.Besonderheiten für US-Cloud-AnbieterDatenmengen werden an den Cloud-Provider übermittelt und zentral in der Cloud gespeichert. Weltweit verfügen gerade die US-Hyperscaler (Microsoft, Amazon, IBM, Salesforce und Google) über den größten Marktanteil, die höchste Skalierbarkeit und Funktionalität. Bei US-Cloud-Anbietern war lange Zeit unsicher, inwieweit Ermittlungsbehörden auf die in der Cloud gespeicherten Daten zugreifen dürfen. Datenschutzrechtliche Bedenken ergaben sich insbesondere aus Sec. 702 „Foreign Intelligence Surveillance Act“ (FISA), wonach US-Sicherheitsbehörden i. R. d. PRISM- und UPSTREAM-Überwachungsprogramme auf übermittelte Daten zugreifen konnten. Dieses mangelnde Datenschutzniveau in den USA führte zur Unwirksamkeit des Safe-Harbor-Abkommens (Schrems-I). Im Juli 2020 erklärte der EuGH (Schrems-II) auch das Nachfolgeabkommen (EU-US-Privacy-Shield) für unwirksam, weshalb es zwischenzeitlich an einem Angemessenheitsbeschluss für die USA fehlte. Nach Einführung des Trans-Atlantic Data Privacy Framework und einer flankierenden Executive Order zur Begrenzung der Zugriffsrechte der Nachrichtendienste wurde die Datenübermittlung in die USA mit dem Angemessenheitsbeschluss vom 10.07.2023 zumindest im Hinblick auf Unternehmen, die sich dem Selbstzertifizierungsmechanismus des neuen Datenschutzrahmen unterworfen haben, auf eine neue rechtliche Grundlage gestellt. Für nicht-zertifizierte Unternehmen bedarf es weiterhin anderer Lösungen.Lösungen für einen datenschutzkonformen Cloud-EinsatzDie EU-Kommission hat am 04.06.2021 neue Standardvertragsklauseln (SCC) angenommen, die bei Datentransfers angewendet werden können. Sie sollen die EuGH-Vorgaben umsetzen. und berücksichtigen, dass eine Ergänzung dieser SCC‘s durch weitere Klauseln / zusätzliche Garantien („additional safeguards“) erforderlich sein kann. Zukünftig obliegt Verwendern und Aufsichtsbehörden die Prüfpflicht, ob die neuen SCC‘s trotz staatlicher Zugriffsrechte ein angemessenes Datenschutzniveau gewährleisten oder ob zusätzliche Garantien notwendig sind. Hilfestellung bieten hierbei die Empfehlungen des Europäischen Datenschutzausschusses (EDSA).

Achtung, die Auditoren kommen!Die Themen Software-Lizenzmanagement und Software-Lizenzüberprüfung (Audit) verdienen nicht zuletzt aus Compliance-Gründen besondere Beachtung, werden jedoch in Unternehmen und bei der öffentlichen Hand oft vernachlässigt.Zur Vermeidung von Urheberrechtsverletzungen und daraus resultierenden zivilrechtlichen, strafrechtlichen und wirtschaftlichen Folgen für das Unternehmen, die Unternehmensleitung und die Mitarbeiter*Innen, ist ein funktionierendes Lizenzmanagement, d.h. die Etablierung von Prozessen im Unternehmen, die den tatsächlichen, rechtlichen und effizienten Umgang mit Software im Unternehmen absichern, dringend geboten.Dieses Seminar befasst sich mit den Anforderungen, die an das Lizenzmanagement und den Lizenz-Audit zu stellen sind. Es werden die Organisation, Struktur und Prozesse des Lizenzmanagements sowie die Aufgaben von Lizenzmanager*Innen und sonstiger IT-Verantwortlicher ebenso behandelt, wie die vertraglichen und gesetzlichen Grundlagen für eine Lizenzüberprüfung sowie anhand eines Praxisbeispiels der Ablauf einer Lizenzüberprüfung und deren Vorbereitung durch den Lizenznehmer.Urheberrechtshinweis: Alle IT-Recht Seminare und deren Seminarinhalte sind urheberrechtlich geschützt.Cmt Recht Seminar GmbH, Welserstraße 25, 81373 München

Pacta sunt servanda. Dieser das Vertragsrecht prägende Grundsatz verliert in jüngster Zeit an Gültigkeit. Zumindest was die Preisbildung betrifft. Die heftigen Marktturbulenzen der jüngsten Zeit machen deutlich, wie anfällig auch der Bereich der öffentlichen Auftragsvergabe ist. Die Frage der zulässigen Anpassung von Verträgen bei erheblichen Kostensteigerungen mittels Preisanpassungsklauseln gewinnt zunehmend an Bedeutung.Das Seminar stellt die rechtlichen Grundlagen und die Zulässigkeit solcher Klauseln dar und erläutert praxisnah die jüngsten ergangenen Erlasse der zuständigen Ressorts zu deren Anwendung.Wie ermittelt man die Basiswerte, was ist bei Ausschreibungen aber auch schon laufenden Verträgen zu beachten, wann greift die „Unzumutbarkeitsregelung“ des § 313 BGB, wann dürfen Verträge zu Lasten des Auftraggebers (s. § 58 BHO)/LHO) überhaupt angepasst werden, ist der § 132 GWB (Auftragsänderungen) anwendbar, sind Schwerpunkte des Seminars.