Willkommen auf der Internetpräsenz der Kanzlei Derra, Meyer & Partner

Viele Dinge des täglichen Lebens tangieren Bereiche des Rechts, im Privaten sowie im Geschäftlichen gleichermaßen. Es entsteht ein Spannungsgefüge, das mit komplexen Rechtsvorschriften und dementsprechenden Risiken verbunden ist. Als spezialisierte Rechtanwälte, Steuerberater und Sanierungsberater sehen wir unsere Aufgabe darin, Sie bei Ihren Vorhaben partnerschaftlich zu begleiten. Derra, Meyer & Partner Rechtsanwälte PartGmbB vertritt Ihre Interessen in nahezu allen Rechtsgebieten mit einer besonderen Spezialisierung auf den internationalen Rechtsverkehr.

Juristische Vertretung im In- und Ausland

Derra, Meyer & Partner Rechtsanwälte PartGmbB versteht sich als Full-Service-Dienstleister und ist derzeit an elf Kanzleistandorten vertreten. Ausgehend von der Gründung unserer Kanzlei im Jahre 1980 durch Hans-Jörg Derra, begann die Expansion unseres Netzwerks in allen Teilen Deutschlands sowie in Italien und Polen. Durch verschiedene Kooperationen ist es uns möglich, Ihnen darüber hinaus eine anwaltliche Vertretung in Russland und im Baltikum sowie europaweit über unsere Mitgliedschaft im europäischen Anwaltsnetzwerk DIRO anzubieten.

mehr lesen

Unsere Unternehmensphilosophie ist daran ausgerichtet, Potenziale auszuschöpfen – nach diesem Prinzip arbeiten über 40 Berufsträger an der Durchsetzung Ihrer Interessen. Wir begleiten Sie bei Ihrem Anliegen und sorgen dafür, mögliche Risiken weitestgehend abzusichern. Im Verbund von Derra, Meyer & Partner Rechtsanwälte PartGmbB arbeiten spezialisierte Rechtsanwälte, Insolvenzverwalter, Steuerberater und Sanierungsberater stets daran, Chancen und Möglichkeiten für Sie nutzbar zu machen.

Über 30 Jahre Einsatz für die Interessen unserer Mandanten - europaweit

Eines der zentralen Anliegen unserer Tätigkeit ist es, Vertrauen aufzubauen. Wir wollen ein zuverlässiger Ansprechpartner sein für alle inländischen, aber auch grenzüberschreitenden Rechtsangelegenheiten im privaten und geschäftlichen Bereich. Unser Engagement gilt Unternehmern und Privatpersonen, aber ebenso auch Institutionen und Verbänden. Durch über 30 Jahre Erfahrung ist es uns möglich, Kompetenzen genau an der Stelle zu binden, wo sie benötigt werden – an insgesamt acht deutschen Kanzleistandorten sowie mit eigenen Niederlassungen in Italien und Polen. Werden Aspekte des ausländischen Rechts berührt, stellt dies kein Hindernis in der Bearbeitung Ihres Falles dar. Derra, Meyer & Partner setzt im internationalen Rechtsverkehr auf Kooperationen innerhalb der DIRO, einem europäischen Rechtsanwaltsnetzwerk, deren Gesellschafter dmp ist.

Die Berücksichtigung aller juristischen Aspekte – gelebte Praxis bei dmp

Durch das in unseren Büros gebündelte Know-how wissen wir, dass sich im Laufe einer juristischen Auseinandersetzung stets mehrere Optionen ergeben können. Die Fokussierung auf juristisches Wissen, das durch die Fachanwaltstitel vieler unserer Berufsträger nachgewiesen ist, bildet dabei die Basis. Von Fall zu Fall unterstützen wir Sie in allen rechtlichen Aspekten sowohl beratend, als auch vor Gericht oder im Rahmen besonderer Schieds- und Mediationsverfahren.

Die Vielfalt unseres Netzwerks wird durch kulturelle und branchenspezifische Kompetenz unterstrichen. Wir verstehen unsere Tätigkeit als Vermittler in Zeiten einer sich stetig beschleunigenden Globalisierung und Digitalisierung, im Wirtschaftsleben oder dem privaten Umfeld gleichermaßen.

Besondere Schwerpunkte unserer Tätigkeit sind:

  • Grenzüberschreitende Transaktionen und Fragestellungen, mit dem Fokus auf Rechtsverkehr von Deutschland mit Italien, Russland und Polen
  • Insolvenzrecht und Insolvenzberatung
  • Arbeitsrecht
  • Handels- und Gesellschaftsrecht
  • Vertriebsrecht
  • Datenschutz- und IT-Recht
  • Steuer- und Wirtschaftsstrafrecht

Gemäß dem Ansatz eines Full-Service-Dienstleisters sind auch Steuerberater bei Derra, Meyer & Partner tätig, die bei steuerrechtlichen oder betriebswirtschaftlichen Fragestellungen jederzeit hinzugezogen werden können. Soweit erforderlich kooperieren wir auch mit externen Steuerberatern und Wirtschaftsprüfern.

Setzen Sie Ihr Vertrauen in Derra, Meyer & Partner – Ihr starker Partner in allen Rechtsaspekten, privat oder geschäftlich!

News

alle News
09 Aug
2019
Stellenanzeige

Rechtsanwalt, Insolvenzsachbearbeiter, Rechtsanwaltsfachangestellter (jeweils w/m/d)

Voll- oder Teilzeit

Für unsere Büros in Ulm, Dresden, Düsseldorf und Berlin suchen wir Rechtsanwälte zu diversen Schwerpunkten, Insolvenzsachbearbeiter und Rechtsanwaltsfachangestellte (jeweils w/m/d).

Stellenbeschreibungen
08 Aug
2019

Umfang des Auskunftsanspruchs nach Art. 15 DS-GVO

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor ...

mehr lesen

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor, von einem Dritten Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten dieser von einem selbst gespeichert hat. In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der DS-GVO jedoch über die vorher geltenden Bestimmungen des BDSG-alt hinaus.

Umfang der Auskunft

Gemäß Art. 15 Abs. 1 DS-GVO kann der Anfragende als betroffene Person zunächst eine Bestätigung darüber verlangen, ob durch den Verantwortlichen personenbezogene Daten des Anfragenden verarbeitet werden. Bei der Auskunftserteilung ist dabei zu beachten, dass auch eine Negativauskunft zu erteilen ist, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat.

Zudem kann die betroffene Person auch ganz konkrete Auskunft darüber verlangen, welche personenbezogenen Daten im Einzelnen vom Verantwortlichen verarbeitet werden.

Teilurteil des Landgerichts Köln vom 18.03.2019

Das Landgericht Köln hatte darüber zu befinden, in welchem Umfang durch den Verantwortlichen tatsächlich Auskunft zu erteilen ist. Die Parteien stritten darüber, ob die Beklagte in ausreichendem Maße Auskunft über die bei ihr von der Klägerin gespeicherten personenbezogenen Daten erteilt hat. Die Klägerin vertrat dabei die Rechtsauffassung, dass die Beklagte verpflichtet sei, sämtliche gespeicherte Informationen im Rahmen der Auskunftserteilung herauszugeben habe.

Mit Teilurteil vom 18.03.2019, Aktenzeichen 26 O 25/18 entschied das Landgericht Köln, dass das Auskunftsrecht des Art. 15 Abs. 1 DS-GVO jegliche Merkmale umfasst, die die Identifizierbarkeit einer Person ermöglichen. Davon umfasst sind also neben Namen, Anschrift, Telefonnummer, E-Mail-Adresse auch Gesundheitsdaten, Kontoverbindung und Ähnliches. Auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen stellen ebenfalls „personenbezogene Daten“ dar (Erwägungsgrund 63 zur DS-GVO).

Der Auskunftsanspruch erstreckt sich nach zutreffender Rechtsauffassung des Gerichts aber nicht auf sämtliche interne Vorgänge der Beklagten, wie zum Beispiel verfasste Vermerke oder rechtliche Bewertungen und Analysen. Zur Auskunftserteilung gehört ebenfalls nicht, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhält. Der Anspruch aus Art. 15DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und den Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Die Übersendung weiterer Unterlagen ist dagegen nicht vorgesehen und kann daher vom Betroffenen auch nicht verlangt werden.

Weitere Informationspflichten

Zu beachten ist, dass neben der Auskunft über die personenbezogenen Daten selbst vom Verantwortlichen noch weitere Informationen im Rahmen einer vollständigen Auskunft der betroffenen Person mitzuteilen sind.

Nach Art. 15 Abs. 1 DS-GVO sind folgende Informationen ebenfalls mitzuteilen:

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
  • Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen,
  • Bestehen eines Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
  • Bestehen eines Beschwerderechts für die betroffene Person bei der Aufsichtsbehörde,
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Im Falle der Datenübermittlung in Drittländer ist über die insoweit gegebenen Garantien gemäß Art. 46 DS-GVO zu informieren (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR). Keine Drittländer sind die EU-Mitgliedsstaaten und die Vertragsstaaten des EWR.

Es ist daher darauf zu achten, dass der betroffenen Person eine umfassende und vollständige Auskunft erteilt wird, die neben den gespeicherten und verarbeiteten personenbezogenen Daten in jedem Fall auch die weiteren Informationen enthalten muss. Dabei hat die Auskunft gemäß Art. 12 Abs. 1 GS-GVO leicht verständlich in klaren und einfachen Worten zu erfolgen.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 08/2019

 

08 Aug
2019

Entsendung nach Italien – Neues zum Bußgeld

Die Entsendung von Arbeitnehmern nach Italien muss sorgfältig vorbereitet und durchgeführt werden – ansonsten drohen deutliche Bußgelder.

mehr lesen

Die Entsendung von Arbeitnehmern nach Italien muss sorgfältig vorbereitet und durchgeführt werden – ansonsten drohen deutliche Bußgelder.

Das gilt zum Einen, wenn das entsendende Unternehmen förmliche Voraussetzungen missachtet und die Arbeitnehmer nicht rechtzeitig beim Arbeitsministerium anmeldet, die notwendigen Unterlagen nicht bzw. nicht mit italienischer Übersetzung vorhält und die gesetzlich vorgesehenen Ansprechpartner in Italien nicht benennt.

Bußgeldpflicht im Falle einer unechten Entsendung

Problematisch wird es aber insbesondere auch dann, wenn die Beschäftigung des Arbeitnehmers bei italienischen Unternehmen gar nicht die Merkmale einer echten Entsendung erfüllt. Wer in diesem Fall Bußgelder zahlen muss, hat die italienische Arbeitsbehörde INL im Juni diesen Jahres klar gestellt.

Verstößt das entsendende deutsche Unternehmen gegen die „formellen“ Pflichten, wie z.B. die rechtzeitige Anmeldung, dann haftet nur dieses.

Liegt gar kein Fall einer echten Entsendung vor, werden sowohl das entsendende deutsche als auch das aufnehmende italienische Unternehmen kumulativ mit einem Bußgeld belegt.

Entsendung an Betriebsstätte

Wie aber, wenn das deutsche Unternehmen die Arbeitnehmer bei seiner unselbständigen Niederlassung bzw. Betriebsstätte in Italien einsetzt und es sich um eine unechte Entsendung handelt? Ist dann auch mit zwei Bußgeldern – beide im Endeffekt gegen dasselbe Unternehmen – zu rechnen?  

Das wird von der Italienische Arbeitbehörde INL verneint. Für die Frage, ob zwei Bußgelder verhängt werden, komme es darauf an, ob es sich um zwei selbständige Rechtssubjekte handele. Dies sei der Fall, wenn die unternehmerische Einheit in Italien in das Handelsregister eingetragen ist und einen eigenen gesetzlichen Vertreter hat. Ein sog. „preposto“, also ein ernannte Bevollmächtigter, wird nicht als ausreichend angesehen.

Fazit:

Nimmt daher das deutsche Unternehmen eine unechte Entsendung an eine unselbständige Niederlassung bzw. Betriebsstätte in Italien vor, wird nur ein einziges Bußgeld fällig – nämlich gegen das deutsche Unternehmen, nicht aber gegen die unselbständige Niederlassung.

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 08/2019

01 Aug
2019

EuGH-Urteil zu Facebook „Gefällt mir“-Button": Webseitenbetreiber auch verantwortlich

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019, Aktenzeichen C-40/17, zur Rechtmäßigkeit der Implementierung des Facebook „Gefällt mir“-Buttons auf Webseiten geurteilt.

mehr lesen

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019, Aktenzeichen C-40/17, zur Rechtmäßigkeit der Implementierung des Facebook „Gefällt mir“-Buttons auf Webseiten geurteilt.

Worum ging es in dem Rechtsstreit

Dem Urteil ging ein Rechtstreit der Verbraucherzentrale Nordrheinwestfalen gegen einen Online-Händler voraus. Abgemahnt war, dass das Unternehmen einen Social Plugin von Facebook, den sogenannten „Gefällt mir“-Button, auf seiner Webseite implementiert hatte. Dabei werden in der Regel bei Aufruf der Webseite die IP-Adresse des Webseitenbesuchers, die aufgerufenen Inhalte sowie bestimmte Browserinformationen an Facebook übermittelt und dort gespeichert.

In dem Rechtsstreit ging es grundsätzlich um die Frage, ob und wie der Webseitenbetreiber den „Gefällt mir“-Button auf seiner Webseite datenschutzkonform einbinden kann, obwohl durch die Einbindung automatisch personenbezogene Datendes Webseitenbesuchers an Facebook übertragen werden. Konkret hatte der EuGH darüber zu entscheiden, ob der Webseitenbetreiber als datenschutzrechtlicher Verantwortlicher anzusehen ist. Daneben stand aber auch die Frage der Rechtsgrundlage im Raum, wenn auf Grund des „Gefällt mir“-Buttons personenbezogene Daten verarbeitet werden.

Das Urteil: Webseitenbetreiber und Facebook sind datenschutzrechtlich gemeinsam verantwortlich

Der EuGH kommt, wie schon in seinem Urteil vom 05.06.2018 (Aktenzeichen C-210/16) zu den Facebook-Fanpages, zu dem Schluss, dass auch bei der Einbindung des Facebook „Gefällt mir“-Buttons das Unternehmen als Webseitenbetreiber zusammen mit Facebook datenschutzrechtlich gemeinsam verantwortlich sind. Deshalb müssen beide eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen. Eine solche wird bisher von Facebook noch nicht angeboten. 

Der EuGH argumentierte, dass es die Einbindung des „Gefällt mir“-Buttons dem Webseitenbetreiber erlaube, die Werbung für seine Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werden. Das – so der EuGH – ist ein wirtschaftlicher Vorteil, für den das beklagte Unternehmen zumindest stillschweigend der Erhebung personenbezogener Daten der Webseitenbesucher zugestimmt hat.

Für die Datenverarbeitung, die Facebook im Anschluss an die Datenübermittlung vornimmt, sei der Webseitenbetreiber aber nicht verantwortlich. Denn dieser entscheidet dann nicht (mehr) über Zwecke und Mittel dieser weiteren Verarbeitungsvorgänge. Es reicht aber für eine gemeinsame Verantwortlichkeit aus, dass nur ein Teil der Verarbeitungsvorgänge – hier das Erheben und Übermitteln der personenbezogenen Daten – gemeinsam erfolgt, auch wenn der Webseitenbetreiber im Anschluss keinen Einfluss mehr auf die weitere Verarbeitung hat.

Einwilligungserfordernis beim Setzen von Cookies

Streitig war auch die Rechtsgrundlage für das Erheben und Übermitteln der personenbezogenen Daten auf der Unternehmenswebseite. Hierzu führte der EuGH aus, dass er zusammen mit der europäischen Kommission grundsätzlich von einem Einwilligungserfordernis gemäß Art. 5 Abs. 3 der Richtlinie 2002/58/EG ausgehe, sofern auf Grund des Facebook „Gefällt mir“-Buttons Cookies auf dem Endgerät des Webseitenbesuchers gespeichert werden. Eine Einwilligung liege aber dem Sachverhalt nicht zugrunde, da sich der Webseitenbetreiber unstreitig auf ein berechtigtes Interesse beruft. 

Ob in dem konkreten Fall ebenfalls eine Einwilligung notwendig sei, ließ der EuGH offen. Es wird demnach darauf ankommen, ob beim Facebook „Gefällt mir“-Button ein Cookie gesetzt wird oder nicht. Diese technische Frage hat der EuGH dem Oberlandesgericht Düsseldorf als vorlegendem Gericht zur Klärung überlassen. 

Informationspflicht des Webseitenbetreibers

Der EuGH hat darüber hinaus auch nochmals klargemacht, dass den Webseitenbetreiber eine Informationspflicht trifft. Er hat zumindest über den Teil der Datenverarbeitung zu informieren, für den er verantwortlich ist. Die Information muss bei Erhebung der Daten erfolgen, kann also nicht nachträglich durch Facebook erfolgen. Das bedeutet, dass im Falle des Facebook „Gefällt mir“-Buttons der Webseitenbesucher bereits vor Aktivierung datenschutzkonform zu informieren ist.

Fazit 

Das Urteil erging zwar zur Vorgängerrichtlinie der DS-GVO, da die relevanten Normen aber ebenfalls in der DS-GVO übernommen wurden, gelten die Grundsätze des EuGH auch in dieser Hinsicht.

Der EuGH hat entschieden, dass der Betreiber einer Webseite auch für Tools Dritter datenschutzrechtlich verantwortlich sein kann und für das Setzen von technisch nicht notwendigen Cookies möglicherweise eine Einwilligung notwendig ist. Das Urteil hat somit eine Strahlweite, die über den Facebook „Gefällt mir“-Button hinausgeht.

Der Umstand der gemeinsamen Verantwortlichkeit wird so wohl auch für alle anderen Social-Plugin-Dienste wie Instagram, Twitter, GooglePlus oder YouTube gelten. Aber auch die bisherige Cookie-Praxis in Deutschland, die in der Regel ein bloßes Widerspruchsrecht vorsieht, steht auf der Kippe, auch wenn der EuGH diese Frage ausdrücklich dem vorlegenden Gericht zur Klärung überlassen hat. 

Was ist zu tun?

So lange Facebook keine Vereinbarung für gemeinsam Verantwortliche zur Verfügung stellt, besteht das erhöhte Risiko einer Abmahnung, wenn ein Unternehmen einen „Gefällt mir“-Button oder ein vergleichbares Tool auf seiner Webseite einbindet. Denn ohne entsprechende Vereinbarung liegt ohne Zweifel ein Verstoß gegen Art. 26 DS-GVO vor.

 Zudem ist es ratsam, alle Arten von Social-Plugin-Diensten von einer Cookie-Consent Plattform erfassen zu lassen, um eine Einwilligung des Webseitenbesuchers einzuholen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 08/2019

29 Jul
2019

EuGH: Übermittlung von personenbezogenen Daten in die USA

Nutzen Sie Dienstleister oder sonstige Anbieter, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln?

mehr lesen

Nutzen Sie Dienstleister oder sonstige Anbieter, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln? Falls Sie als Unternehmen beispielsweise eine eigene Facebook-Seite (sogenannte Fanpage) betreiben oder in den USA angesiedelte Cloud-Services nutzen, ist dies der Fall. Dann sollten Sie das Verfahren, das dem EuGH gegenwärtig vorliegt, im Auge behalten. Mit einer Entscheidung ist Ende dieses Jahres zu rechnen – und die könnte weitreichende Folgen haben.

Datenübermittlungen durch Facebook

Wenn Sie innerhalb der EU ansässig sind und eine Facebook-Seite betreiben, schließen Sie dazu einen entsprechenden Nutzungsvertrag mit Facebook Ireland Limited, der europäischen Tochter des US-Unternehmens Facebook, Inc. Im Rahmen dieser Nutzung erhebt und verarbeitet zunächst die europäische Facebook-Tochter personenbezogene Daten, die in Irland auf den dort befindlichen Servern gespeichert werden. Anschließend werden diese Daten an Facebook, Inc. in den USA übermittelt und ein weiteres Mal auf den dort befindlichen Servern gespeichert. Einzelheiten über die Datenverarbeitungen gibt Facebook allerdings nicht preis.

EuGH-Verfahren: Facebook und Max Schrems

Der EuGH beschäftigt sich nun erneut mit der Frage, ob Facebook personenbezogene Daten aus der Europäischen Union (EU) in die USA übertragen darf (Rechtssache C-311/18). Dem Verfahren liegt ein Rechtsstreit zwischen Facebook und Max Schrems, einem österreichischen Juristen und Datenschutzaktivisten, zugrunde. Dieser versucht seit Jahren, die Datenübertragungen an das US-Unternehmen Facebook Inc. mit der anschließenden Speicherung der Daten in den USA zu verhindern. Schrems ist der Ansicht, in den USA herrsche ein geringeres, nicht mit dem in der EU vergleichbares Datenschutzniveau. Deshalb dürfe Facebook Ireland Ltd. die erhobenen Daten nicht in die USA übermitteln – unabhängig davon, ob dies auf Grundlage eines Angemessenheitsbeschlusses oder von Standardvertragsklauseln erfolge. Im Zweifel würden beide Instrumente kein angemessenes Schutzniveau in den USA gewährleisten.

Am 9. Juli 2019 verhandelte nun der EuGH über die Frage, ob Facebook auf diesen Grundlagen personenbezogene Daten aus der EU in die USA übertragen darf. Die zu erwartende Entscheidung betrifft damit sogleich die Grundsätze des europäisch-US-amerikanischen Datenverkehrs.

Datenübertragungen nur in sichere Drittländer

Nach der Datenschutz-Grundverordnung (DS-GVO) dürfen personenbezogene Daten nur unter bestimmten Voraussetzungen in Drittländer übertragen werden. Drittländer im Sinne der DS-GVO sind Staaten außerhalb der EU und des Europäischen Wirtschaftsraums (EWR). Zum EWR zählen Island, Liechtenstein und Norwegen.

Personenbezogene Daten dürfen gemäß Artt. 44 ff. DS-GVO nur in ein Drittland übermittelt werden, wenn sichergestellt ist, dass dort generell ein dem Rechtsrahmen der EU gegenüber angemessenes Schutzniveau besteht oder im Einzelfall geeignete Garantien umgesetzt werden, die im konkreten Fall die Einhaltung eines vergleichbaren, angemessenen Schutzniveaus gewährleisten. Ob in einem Drittland generell ein angemessenes Schutzniveau besteht, stellt die Europäische Kommission durch einen Angemessenheitsbeschluss nach Art. 45 DS-GVO fest. Existiert für ein betreffendes Drittland kein solcher Beschluss, dürfen Unternehmen Daten in dieses Drittland nur übertragen, wenn geeignete Garantien nach Art. 46 DS-GVO vorliegen oder eine Ausnahme nach Art. 49 DS-GVO besteht. Zu solchen geeigneten Garantien zählen beispielsweise sogenannte „Binding Corporate Rules“ oder die Standardvertragsklauseln der Europäischen Kommission.

Datenübertragungen in die USA

In Bezug auf die USA besteht zwar ein Angemessenheitsbeschluss der Europäischen Kommission (unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016D1250&from=DE abrufbar). Dieser Beschluss bezieht sich aber lediglich auf das sogenannte EU-US Privacy Shield (auf Deutsch: EU-US-Datenschutzschild). Er hat nicht zur Folge, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde. Beide Instrumente zusammen gewährleisten eine Grundlage für Datenübermittlungen nur an Unternehmen, die nach dem Privacy Shield zertifiziert sind.

Unter dem Privacy Shield ist eine Art informelle Absprache zwischen der EU und den USA zu verstehen, im Rahmen derer die USA der EU die Einhaltung eines dem Datenschutzniveau der EU vergleichbaren Standards zusichert. Es bildet die Grundlage für einen Großteil der Datenübertragungen in die USA. Soweit die Regelungen des Privacy Shields eingehalten werden, kann (bislang) angenommen werden, dass ein angemessenes Schutzniveau in den USA gewährleistet wird. Die Einhaltung dieser Regelungen wird mittels eines Selbstzertifizierungsmechanismus sichergestellt. Knackpunkt ist hier, dass sich US-Unternehmen (durch die US-Regierung) jeweils einzeln nach dem Privacy Shield zertifizieren lassen müssen. Das heißt: Nur an Unternehmen, die eine gültige Privacy Shield-Zertifizierung besitzen (und damit versprechen, die Regelungen zum Datenschutz einzuhalten), dürfen Daten aus der EU übertragen werden (eine offizielle Liste des US-Handelsministeriums ist unter https://www.privacyshield.gov/list abrufbar). Nur dann kann der zuvor genannte Angemessenheitsbeschluss als Grundlage herangezogen werden.

Entscheidung des EuGH

Zwar besitzt auch das US-Unternehmen Facebook, Inc. eine gültige Privacy-Shield-Zertifizierung. Damit könnte die Übertragung also grundsätzlich auf den Angemessenheitsbeschluss der Kommission zum Privacy Shield der USA gestützt werden.

Allerdings sieht Schrems hier ein grundlegendes Problem: US-Unternehmen (auch solche mit einer Privacy Shield-Zertifizierung) sind nach US-Recht verpflichtet, Daten zum Zwecke der nationalen Sicherheit auf Verlangen an die US-Behörden (FBI, NSA) weiterzugeben. Insofern muss infrage gestellt werden, ob durch das Privacy Shield tatsächlich ein angemessenes Datenschutzniveau in den USA besteht. Wird dies verneint, dürfen Daten nicht mehr ohne zusätzliche Garantien (z.B. durch Standardvertragsklauseln) an US-Unternehmen übertragen werden. Diese Frage muss der EuGH nun klären. Zunächst will der zuständige Generalanwalt am EuGH am 12. Dezember 2019 seine Schlussanträge vorlegen. Die Entscheidung des Gerichts bleibt dann mit Spannung zu erwarten.

Das bedeutet:

Konkret in Bezug auf Übertragungen an US-Unternehmen ist die Entscheidung des EuGH mit Spannung zu erwarten. Im Übrigen gilt: Wenn Sie als Unternehmen derartige Dienstleister oder sonstige Anbieter nutzen, beispielsweise soziale Medien zu Kommunikations- oder Werbezwecken sowie Cloudanbieter, die außerhalb der EU/des EWR angesiedelt sind, sollten Sie überprüfen, ob die Voraussetzungen für entsprechende Datenübermittlungen nach der DS-GVO vorliegen. Denn darauf, ob im Hinblick auf das jeweilige Drittland ein Angemessenheitsbeschluss der Kommission vorliegt oder die Datenübermittlung auf sonstige Garantien für Drittlandübermittlungen gestützt wird, muss im Rahmen der Pflichtinformationen nach Artt. 13, 14 DS-GVO hingewiesen werden. Das größte Problem wird hier sein, dass Facebook die Datenverarbeitungen im Einzelnen nicht offenlegt. Darauf, dass sich diese der eigenen Kenntnis entziehen, sollte ebenfalls hingewiesen werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

16 Jul
2019

Zwischenbetrachtung zum „neuen“ Insolvenzanfechtungsrecht (§133 InsO)

Das Anfechtungsreformgesetz (Gesetz zur Verbesserung bei Anfechtungen nach der Insolvenzordnung und dem Anfechtungsgesetz) ist inzwischen seit über 2 Jahren in Kraft.

mehr lesen

Ausgangslage

Das Anfechtungsreformgesetz (Gesetz zur Verbesserung bei Anfechtungen nach der Insolvenzordnung und dem Anfechtungsgesetz) ist inzwischen seit über 2 Jahren in Kraft. Es gilt für alle Insolvenzverfahren, welche ab dem 05.04.2017 eröffnet worden sind. 

§133 InsO neue Fassung (n.F.)

Die Änderungen des Anfechtungsrechts in Insolvenzverfahren betreffen vor allem die Vorschrift des § 133 InsO, welche nachfolgend weitergehend erörtert werden soll.

Bei dieser zentralen Anfechtungsnorm wurde die Anfechtungsfrist auf Zeiträume von bislang 10 Jahren vor Antragstellung auf 4 Jahre vor Antragstellung verkürzt.

Hat hierbei ein Dritter etwas erlangt, was er auch so – in der Art, zu der Zeit – zu beanspruchen hatte (sog. kongruente Deckung), muss der Insolvenzverwalter diesem als Anfechtungsgegner nachweisen, dass er die eingetretene Zahlungsunfähigkeit des Schuldners kannte. Nach dem bis zur Gesetzesänderung geltenden Recht genügte eine Kenntnis einer nur drohenden Zahlungsunfähigkeit.

Schließlich ist neu gesetzlich geregelt worden, dass eine Zahlungsvereinbarung zwischen dem Schuldner und dem Dritten bzw. die Gewährung einer Zahlungserleichterung die Vermutung aufstellt, dass der Dritte die Zahlungsunfähigkeit des Schuldners gerade nicht kannte.

Auswirkungen der Gesetzesänderung auf die Praxis der Insolvenzanfechtung

Verkürzung des Anfechtungszeitraums

Die Verkürzung des Zeitraums der Vorsatzanfechtung nach § 133 InsO auf 4 Jahre stellt nach überwiegender Ansicht keinen signifikanten Einschnitt in das Anfechtungsrecht des Insolvenzverwalters dar, da Fälle mit Anfechtungszeiträumen, welche länger als 4 Jahre zurücklagen eher die Ausnahme darstellten.

Kenntnis der Zahlungsunfähigkeit des Schuldners 

Auch das nunmehrige Erfordernis der Kenntnis der Zahlungsunfähigkeit des Schuldners auf Seiten des Anfechtungsgegners bei sog. kongruenten Deckungen im Rahmen des § 133 InsO dürfte kaum ins Gewicht fallen, weil die Grenze zwischen drohender und eingetretener Zahlungsunfähigkeit oft schmal ist, so dass sich auch im Rahmen der Nachweisführung kaum Neuerungen ergeben werden. Im Regelfall wurde auch nach altem Recht bereits mit einer eintretenden Zahlungsunfähigkeit argumentiert. 

Vermutungsregel des § 133 Abs. 3 Satz 2 InsO 

Deutlich schwieriger ist jedoch die Einordnung der Vermutungsregel in § 133 Abs. 3 Satz 2 InsO. Danach soll die Vermutung gelten, dass ein Dritter, der dem Schuldner eine Zahlungserleichterung gewährt oder mit diesem eine Zahlungsvereinbarung getroffen hat, die Zahlungsunfähigkeit des Schuldners gerade nicht kennt.

Gesetzgeberisches Ziel dieser Neuregelung war es, die Ratenzahlungsbitte des Schuldners gerade nicht als hinreichendes Indiz für die Kenntnis des Anfechtungsgegners von der Zahlungsunfähigkeit des Schuldners ausreichen zu lassen. Hierbei wurde allerdings verkannt, dass der BGH bereits zum alten Recht deutlich zum Ausdruck gebracht hat, dass die Ratenzahlungsbitte als solche kein Problem für den Anfechtungsgegner darstellt und für sich gesehen keinen Schluss auf die (drohende) Zahlungsunfähigkeit beim Schuldner zuließ. Nur dann, wenn im Rahmen der Verhandlungen zwischen Gläubiger und Schuldner zusätzlich die Zahlungsunfähigkeit eingestanden wurde, war dies der Angriffspunkt für eine erfolgreiche Durchsetzung der Anfechtung.

Allgemein wird angenommen, dass infolge der vorgenannten Vermutungsregel dem Insolvenzverwalter die Durchsetzung des Anfechtungsrechts erschwert werden wird. Zumindest wird man von ihm verlangen, ein Bündel an Indizien vorzutragen, um die Vermutungsregel des § 133 Abs. 3 Satz 2 InsO entkräften zu können.

Hierbei dürften nachfolgende Umstände/ Argumentationen dem Insolvenzverwalter bei der Durchsetzung der Anfechtung  zum Vorteil gereichen :

  • Inkongruenz 
  • Die Vermutungsregel greift nur bei kongruenten Deckungen ein. Erhält der Dritte eine inkongruente Deckung, kann der damit begründete „Verdacht“ durch eine Zahlungserleichterung nicht ausgeräumt werden.
  • Verkehrsüblichkeit/ Gepflogenheiten des Geschäftsverkehrs
  • Eine Ratenzahlungsvereinbarung muss zudem verkehrsüblich sein.Dies ist nicht der Fall, wenn sich der Schuldner- ohne die gegen ihn erhobene Forderung abzuwehren – verklagen lässt, nur um die Zahlung herauszuzögern und dem Klagenden eine Ratenzahlung abzuringen. Gleiches gilt, wenn der Anfechtungsgegner dem Schuldner persönlich nahe stand, wenn er Großgläubiger war oder wenn ihm bekannt war, dass die Nichterfüllung seiner Verbindlichkeiten strafbar ist (z.B. Sozialversicherungsträger).
  • Geeignetheit zur Abwendung/ Beseitigung der Zahlungsunfähigkeit 
  • Die Zahlungsvereinbarung muss im Ansatz geeignet sein, um die Zahlungsunfähigkeit zu beseitigen. Geringe Raten – die der Schuldner gerade so noch leisten kann - bei erheblichen Gläubigerforderungen verlängern allenfalls den Prozess des wirtschaftlichen Untergangs. Hier geht der Gläubiger selbst davon aus, das die Zahlungserleichterung im Vornherein ungeeignet ist, die Zahlungsunfähigkeit des Schuldners abzuwenden.
  • Einhaltung der ZahlungsvereinbarungDas Scheitern des ersten Versuchs macht deutlich, das der Schuldner zahlungsunfähig ist, dies lässt sich auch nicht dadurch umgehen, dass die ursprüngliche Vereinbarung modifiziert oder gleichen Inhalts neu abgeschlossen wird.
  • Voraussetzung für die Vermutung ist ferner, dass der Schuldner die Zahlungsvereinbarung auch einhält. Ist dies nicht der Fall – auch wenn er die Ratenzahlung später wieder aufnimmt – kann sich der Gläubiger nicht auf die Vermutung stützen, sondern muss nach der Rechtsprechung des BGH seinerseits den Beweis dafür erbringen, dass der Schuldner seine Zahlungen allgemein wieder aufgenommen hat.

Rechtsanwalt Matthias Ernst

dmp@derra-ba.de

Stand: 07/2019

 

Veranstaltungen

alle Veranstaltungen
12 Dez
2019

Datenschutzverletzungen, Prüfungen, Bußgeld

Referent: Dr. Jens Eckhardt

Veranstalter: Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Ort: Düsseldorf

Programm und Anmeldung
08 Okt
2019

Fortbildungsveranstaltung: IT-Sicherheitsmanagement aus Sicht der DS-GVO

Referent: Dr. Jens Eckhardt

Veranstalter: Datakontext GmbH u. Gesellschaft für Datenschutz und Datensicherheit e.V.

Ort: Berlin

Programm und Anmeldung
26 Sep
2019

Internet Security Days 2019

DS-GVO: Meldepflicht bei Datenpannen (Security Breach Notification) und ihre (Bußgeld-) Risiken

Referent: Dr. Jens Eckhardt

Veranstalter: eco Verband der Internetwirtschaft e.V.

Ort: Brühl bei Köln

Veranstaltungszeitraum:
26.09.2019 bis 27.09.2019

Programm und Anmeldung
12 Sep
2019

Data Privacy 2019

Professionaller Umgang mit Daten in Schweizer Unternehmen im Liche des DSG, der DSGVO und der künftigen ePrivacy Verordnung

Referent: Dr. Jens Eckhardt

Veranstalter: Schulthess Juristische Medien AG

Ort: Bern

Programm und Anmeldung
03 Sep
2019

Düsseldorfer Fachgespräche - DSGVO

Bußgelder und Risiken der Meldepflicht bei Datenpannen

Referent: Dr. Jens Eckhardt

Veranstalter: Sack Fachmedien

Ort: Düsseldorf

Programm und Anmeldung
28 Jun
2019

Datenschutz im Insolvenzverfahren

Referent: Dr. Jens Eckhardt

Veranstalter: Deutsche  Anwalt Akademie

Ort: Köln

Programm und Anmeldung