IT-Recht: ein Zehn-Punkte-Plan für 2010

Die Experten der Kanzlei DLA Piper sehen durch sich wandelnde Technologie und bevorstehende Gesetzesänderungen in den nächsten Monaten auf Firmen einiges zukommen. Um zehn Aspekte sollten sich IT-Verantwortliche 2010 jedoch vorrangig kümmern.

Ob sie es nun wollen oder nicht: IT-Verantwortliche, Administratoren und Geschäftsführer tun inzwischen gut daran, sich neben ihren klassischen Aufgaben auch mit Rechtsprechung und der aktuellen Gesetzeslage zu befassen. Zwar hinkt die Gesetzgebung der Technologie immer einige Jahre hinterher, aber inzwischen hat es der Gesetzgeber geschafft, sich mit den wichtigsten Änderungen durch die neuen Technologien in Wirtschaft und Gesellschaft zu beschäftigen.

Die Folge: Wo einst nach Gutdünken, dem gesunden Menschenverstand oder in Wildwest-Manier agiert werden konnte, gelten jetzt immer mehr Regeln, Gesetze und Vorschriften. Und: Deren Einhaltung und Umsetzung wird zunehmend überprüft, Verstöße zunehmend geahndet. Jan Geert Meents und Thomas Jansen, Partner der internationalen Rechtsanwaltskanzlei DLA Piper^[1] in München haben zehn Punkte zusammengestellt, die es 2010 im Auge zu behalten gilt.

1. Richtlinien für die private Nutzung von Internet und E-Mail

2009 ist die Novelle zum Bundesdatenschutzgesetz^[2] (BDSG) in Kraft getreten. Sie hatte das Ziel, den Datenschutz zu modernisieren und an aktuelle Entwicklungen anzupassen. Es wurden zwar wichtige Änderungen vorgenommen, aber es gibt noch weiteren Ergänzungsbedarf.

Die Bundesregierung beabsichtigt in Kürze einen Gesetzentwurf vorzulegen, mit dem das Gesetz um ein eigenständiges Kapitel "Arbeitnehmerdatenschutz^[3]" ergänzt werden soll. Es sind insbesondere Regelungen zum Datenschutz bei privater Internet- und E-Mail-Nutzung im Unternehmen und zur Datennutzung im Rahmen von Compliance-Prüfungen zu erwarten. Unternehmen sollten daher in Abstimmung mit der Personalabteilung Richtlinien erlassen, die die private Nutzung von Internet und E-Mail am Arbeitsplatz regeln.

2. Neue Anforderungen für die Verarbeitung personenbezogener Daten

Das aktualisierte Bundesdatenschutzgesetz regelt auch die Verarbeitung von personenbezogenen Daten durch Service Provider (die sogenannte Auftragsdatenverarbeitung) neu. So ist in Paragraf 11 BDSG der Mindestinhalt von Verträgen über Auftragsdatenverarbeitung aufgeführt. Der Gesetzgeber betont dabei, dass der Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich bleibt und diese nicht auf den Service Provider abwälzen kann. Unter anderem muss sichergestellt sein, dass externe Dienstleister die gleichen Standards erfüllen, die für den Auftraggeber gelten. Eine Missachtung der Vorschriften wird mit Bußgeldern bis zu 50.000 Euro bestraft.

Vor diesem Hintergrund sollten Unternehmen bestehende Verträge, auf deren Basis personenbezogene Daten verarbeitet werden, auf Übereinstimmung mit den neuen Anforderungen prüfen und gegebenenfalls anpassen lassen. Erste Orientierung kann Auftraggebern und Auftragnehmern ein vom Bitkom^[4] kürzlich vorgestellter, gratis abrufbarer Leifaden^[5] mit Mustervertragsanlage bieten.

3. Datenlecks vermeiden

Eine weitere Neuerung des BDSG: Paragraf 42a^[7] normiert eine Pflicht für Unternehmen, die Öffentlichkeit über die unrechtmäßige Kenntnis personenbezogener Daten zu informieren, wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Im Extremfall hat das betroffene Unternehmen durch halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen über ein Datenleck zu informieren. Dem sollten Unternehmen in jedem Fall vorbeugen, indem sie verlässliche Prozesse etablieren und Verantwortliche benennen, die einen unternehmensweiten Datenschutz effektiv stützen.

Was muss getan werden, um sich gesetzeskonform zu verhalten? Unternehmen sollten folgende Fragen antworten können: Sind alle relevanten Daten hinreichend geschützt? Hier steckt das Problem im Detail: Sind USB-Ports freigeschaltet oder sensible Daten auf Notebooks im Außeneinsatz verfügbar? Wie ist es um die Sicherheit weiterer mobiler Endgeräte wie Blackberrys bestellt?

Empfehlenswert ist es, durch Risikoanalysen zusammen mit der hauseigenen IT-Abteilung oder einem spezialisierten Dienstleister die Gefahr eines Datenverlustes einzuschätzen. Anschließend sollte eine umfassende "IT Security Policy" formuliert werden, die als Handlungsanweisung dient.

4. Personenbezogene Daten sichern

Datenschutzrechtliche Fragen hängen in der Unternehmenspraxis stark mit den Anforderungen an die Datensicherheit zusammen. Ohne entsprechende technisch-organisatorische Maßnahmen kann der vorgesehene Schutz personenbezogener Daten kaum wirksam umgesetzt werden. Dementsprechend werden in einer Anlage zu Paragraf 9 Satz 1 BDSG Maßnahmen beschrieben, deren Umsetzung die Unternehmen bei der Verarbeitung personenbezogener Daten einhalten müssen.

5. Systematisches Archivieren und Löschen

Unternehmen bewegen sich im Spannungsfeld zwischen der Pflicht zur Aufbewahrung von Unterlagen aufgrund von handelsrechtlichen und steuerrechtlichen Vorgaben einerseits und der Verpflichtung zur Löschung und Vernichtung von Daten und Unterlagen aufgrund datenschutzrechtlicher Vorgaben (Grundsatz der Datenvermeidung und Datensparsamkeit) andererseits.

Wenn zusätzlich noch US-amerikanisch geprägte, sogenannte "Data Retention Policies" zur Anwendung kommen, die - häufig unabhängig von den gesetzlichen Vorgaben in Deutschland - unternehmensspezifische Löschungszyklen für elektronische Daten vorschreiben, ist das Chaos perfekt. Daher sollten in diesem Jahr neben Richtlinien zur Archivierung auch Richtlinien zur systematischen Löschung von Dokumenten verabschiedet werden. 6. Missverständnisse ausräumen

Neue Technologien (zum Beispiel Cloud Computing^[8]) werden sich 2010 stark auf die Gestaltung von IT-Service- und IT-Outsourcing-Verträgen auswirken^[9]. Mit zunehmender Nutzung dieser Technologien ist im Rahmen der Vertragsgestaltung verstärkt darauf zu achten, dass die Leistungsbeschreibung und die Vereinbarung von Service Levels den technischen Besonderheiten dieser Technologien Rechnung tragen.

Die vielen unterschiedlichen Auffassungen^[10] über die Leistungen dieser Technologien, bergen die Gefahr, dass die Vertragsparteien Unterschiede über den tatsächlichen Leistungsinhalt erst bei Vertragsdurchführung erkennen. Daher ist es empfehlenswert, die Vertragsinhalte und deren technische Umsetzung detailliert und vollständig zu beschreiben, um Missverständnisse rechtzeitig feststellen und vermeiden zu können. Der Einsatz von neuen Technologien stellt erhöhte Anforderungen an Vertragsgestaltung und -prüfung für Unternehmen.

7. Outsourcing-Verträge: Service Level als Risiko

Bei der Nutzung von Cloud-Technologien werden Unternehmen in diesem Jahr versuchen, sich über Outsourcing-Verträge mit weitreichenden Zusagen zu den Service-Leveln abzusichern. Damit würde eine mangelhafte Leistungsbeschreibung durch unangemessene Service Level kompensiert werden. Das Pferd wird von hinten aufgezäumt und ein Scheitern des Vertrags ist wahrscheinlich.

Daher müssen die Vertragspartner schon bei der Gestaltung und Verhandlung von Verträgen über die Nutzung von Cloud Computing und SaaS dem Reflex widerstehen, rechtliche Risiken und vertragliche Unsicherheiten in unangemessener Weise auf die schwächere Vertragspartei zu verlagern.

8. Virtualisierung: Klartext bei Lizenzrechten

Aufgrund von Kostenvorteilen und verbesserter Ressourcenplanung werden Unternehmen nochmals vermehrt Virtualisierungsprojekte in Angriff nehmen. Bestehende IT-Infrastrukturen werden zu einem Teil oder komplett virtuell ausgerichtet. Da viele Lizenzverträge aber noch keine Virtualisierungsregelung enthalten, besteht Klärungsbedarf.

Es ist wichtig, unbedingt vor der Umsetzung eines Virtualisierungsprojekts die lizenzrechtliche Situation zum Beispiel zur betroffenen Software zu klären. Neben der Transparenz hinsichtlich einer lizenzrechtlichen Zulässigkeit, gilt es im Rahmen eines geplanten Projektes außerdem, Pflege und Support für die Software in der virtuellen Betriebsumgebung sicherzustellen.

9. Vertragsrisiko Cloud Computing

Die Anwendung von Cloud Computing birgt rechtliche Risiken, da es hierfür noch keine allgemeinen Leistungsstandards gibt. Es ist also entscheidend, dass der Vertrag eine sorgfältige Beschreibung der geschuldeten Leistungen enthält.

Unternehmen sollten ein besonderes Augenmerk auf kritische Geschäftsprozesse legen, die in die Cloud verlagert werden sollen. Denn je kritischer diese Prozesse sind, desto höher ist die Abhängigkeit vom Anbieter. Einige wichtige Punkte, die bei der Vertragsgestaltung daher beachtet werden sollten: Maßnahmen zum Business Continuity Management, Eskalationsmanagement, Vergütungskriterien oder auch Regelungen über Teilleistungen und deren Kündigung.

10. IT-Compliance: rechtliche Pflichten der "Cloud"-Parteien

Wer im kommenden Jahr seine IT-Dienste in die virtuelle Wolke verlagern möchte, muss wissen, dass die Verlagerung der Services auch zu einer Verlagerung der tatsächlichen Verantwortung auf den Betreiber der Wolke führt. Die gesetzliche Verantwortung (Organisationspflicht), bleibt jedoch bei der Unternehmensführung (Paragraf 91 II, 93 AktG, Paragraf 43 GmbHG). Konventionelle Vereinbarungen, etwa Auditrechte zur Prüfung der Zutritts-, Zugangs- und Zugriffskontrolle, laufen bei einer virtuellen Wolkenstruktur ins Leere. Maßnahmen der IT-Compliance müssen zwangsläufig vertraglich auf den Cloud-Anbieter übertragen werden. Dazu zählen:

• Pflicht zur Geheimhaltung
• Implementierung verbindlicher Sicherheitskonzepte
• Einhalten von IT-Notfallkonzepten
• Pflichten-Reporting

URLs in diesem Artikel:
[1] = http://www.dlapiper.com
[2] = http://www.zdnet.de/it_business_strategische_planung_was_sich_durch_das_neue_bundesdatenschutzgesetz_aendert_story-11000015-41502020-1.htm
[3] = http://www.zdnet.de/news/wirtschaft_unternehmen_business_datenschutzbeauftragte_kritisieren_entwurf_zum_arbeitnehmerdatenschutzgesetz_story-39001020-41502513-1.htm
[4] = http://www.bitkom.org
[5] = http://www.bitkom.org/de/publikationen/38336_45940.aspx
[6] = http://www.dlapiper.com/
[7] = http://www.zdnet.de/news/wirtschaft_sicherheit_security_neue_informationspflicht_bei_datendiebstahl_tritt_am_1__september_in_kraft_story-39001024-41501368-1.htm
[8] = http://www.zdnet.de/artikel_zum_thema_cloud_computing_thema-39002356-39001558o0o0-1.htm
[9] = http://www.zdnet.de/news/wirtschaft_unternehmen_business_gartner_cloud_computing_wird_wichtigster_it_trend_2010_story-39001020-41516155-1.htm
[10] = http://www.zdnet.de/it_business_technik_cloud_computing_zwischen_wunsch_und_wirklichkeit_story-11000009-39202000-1.htm
[11] = http://www.zdnet.de/galerie/41005206/cloud-computing-in-deutschland.htm#sid=41525358