Foto: Pixelio/ro18ger
Sich im Dickicht rechtlicher Bestimmungen, Verordnungen und Regelungen zurechtzufinden überfordert viele CIOs. Die folgende Checkliste gibt einen Überblick über die Compliance-Themen, mit denen IT-Verantwortliche in den kommenden zwölf Monaten konfrontiert sein werden.
Richtlinien für private Nutzung von Internet und E-Mail aufstellen
Im vergangenen Jahre ist die Novelle zum Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Sie hatte das Ziel, den Datenschutz zu modernisieren und an aktuelle Entwicklungen anzupassen. Es wurden wichtige Änderungen vorgenommen, aber es gibt Ergänzungsbedarf.
Die Bundesregierung beabsichtigt deshalb, in Kürze einen Gesetzentwurf vorzulegen, mit dem das BDSG um ein eigenständiges Kapitel "Arbeitnehmerdatenschutz" ergänzt werden soll. Zu erwarten sind insbesondere Regelungen zum Datenschutz bei privater Internet- und E-Mail-Nutzung im Unternehmen und zur Datennutzung im Rahmen von Compliance-Prüfungen. Unternehmen sollten daher in Abstimmung mit der Personalabteilung Richtlinien erlassen, die die private Nutzung von Internet und E-Mail am Arbeitsplatz regeln.
Personenbezogene Daten richtig verarbeiten
Das neue Bundesdatenschutzgesetz regelt auch den Umgang mit personenbezogenen Daten durch Service-Provider (Auftragsdatenverarbeitung) neu. Der Paragraf 11 BDSG beschreibt den Mindestinhalt von Verträgen zur Auftragsdatenverarbeitung; wie der Gesetzgeber betont, bleibt der Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich und kann sie nicht auf den Service-Provider abwälzen.
Vor diesem Hintergrund sollten Unternehmen bestehende Verträge, auf deren Basis personenbezogene Daten verarbeitet werden, prüfen lassen. Stimmen sie mit den neuen Anforderungen überein? Falls nicht, müssen sie angepasst werden.
Datenlecks unter allen Umständen vermeiden
Eine weitere Neuerung des BDSG: Dessen Paragraf 42a normiert für Unternehmen die Pflicht, die Öffentlichkeit über die unrechtmäßige Kenntnis personenbezogener Daten zu informieren. Das gilt zumindest dann, wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Im Extremfall hat das betroffene Unternehmen durch halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen über ein Datenleck zu informieren.
Dem sollte das Unternehmen in jedem Fall vorbeugen. Dazu muss es verlässliche Prozesse etablieren und Verantwortliche benennen, die einen unternehmensweiten Datenschutz effektiv stützen.
Die Unternehmen sollten folgende Fragen beantworten können: Was muss getan werden, um sich gesetzeskonform zu verhalten? Sind alle relevanten Daten hinreichend geschützt? Hier steckt das Problem im Detail: Sind USB-Ports freigeschaltet oder sensible Daten auf Notebooks im Außeneinsatz verfügbar? Wie ist es um die Sicherheit weiterer mobiler Endgeräte, beispielsweise Blackberrys, bestellt?
Empfehlenswert ist es, zusammen mit der hauseigenen IT-Abteilung oder einem spezialisierten Dienstleister Risikoanalysen vorzunehmen, um die Gefahr eines Datenverlustes einzuschätzen. Anschließend sollte eine umfassende "IT Security Policy" formuliert werden, die als Handlungsanweisung dient.
Personenbezogene Daten nachweislich sichern
Datenschutzrechtliche Fragen hängen in der Unternehmenspraxis stark mit den Anforderungen an die Datensicherheit zusammen. Ohne entsprechende technisch-organisatorische Maßnahmen lässt sich der vorgesehene Schutz personenbezogener Daten kaum wirksam umsetzen.
In einer Anlage zu Paragraf 9 Satz 1 BDSG sind solche Maßnahmen beschrieben. Die Unternehmen müssen diese Vorgaben umsetzen und bei der Verarbeitung personenbezogener Daten einhalten.
Dokumente systematisch archivieren und löschen
In Sachen Dokumenten-Management bewegen sich die Unternehmen in einem Spannungsfeld: Zum einen besteht die Pflicht zur Aufbewahrung von Unterlagen aufgrund handels- und steuerrechtlicher Bestimmungen. Zum anderen müssen bestimmte Daten und Unterlagen aufgrund datenschutzrechtlicher Vorgaben (Grundsatz der Datenvermeidung und Datensparsamkeit) gelöscht und vernichtet werden.
Kommen noch US-amerikanisch geprägte Data Retention Policies zur Anwendung, die - häufig unabhängig von den gesetzlichen Vorgaben in Deutschland - unternehmensspezifische Löschungszyklen für elektronische Daten vorschreiben, so ist das Chaos perfekt. Daher sollten in diesem Geschäftsjahr neben Richtlinien zur Archivierung auch solche zum systematischen Löschen von Dokumenten verabschiedet werden.
Neue Technologien: Missverständnisse ausräumen
Neue Technologien wie Cloud Computing werden sich im kommenden Jahr stark auf IT-Services und die Gestaltung von IT-Outsourcing-Verträgen auswirken: Im Rahmen der Vertragsverhandlung ist verstärkt darauf zu achten, dass die Leistungsbeschreibung und die Vereinbarung von Service-Levels den Besonderheiten der Technologien Rechnung trägt.
Oft bestehen unterschiedliche Auffassungen über die vereinbarten Leistungen, die erst während der Vertragslaufzeit erkannt werden. Die Vertragsinhalte und deren technische Umsetzung sind detailliert und vollständig zu beschreiben, um Missverständnisse rechtzeitig feststellen und vermeiden zu können.
Outsourcing-Verträge: Service-Levels meistern
Bei der Nutzung von Cloud-Techniken werden Unternehmen in diesem Jahr versuchen, sich über die Outsourcing-Verträge mit weitreichenden Service-Levels abzusichern und so eine mangelhafte Leistungsbeschreibung zu kompensieren. Doch damit wird das Pferd von hinten aufgezäumt und ein Scheitern des Vertrags wahrscheinlich. Die Vertragspartner sollten bei der Verhandlung von Verträgen über die Nutzung von Cloud Computing und SaaS (Software as a Service) dem Reflex widerstehen, rechtliche Risiken und vertragliche Unsicherheiten in unangemessener Weise auf die schwächere Vertragspartei zu verlagern.
Virtualisierung: Die Lizenzrechte klären
Aufgrund von Kostenvorteilen und verbesserter Ressourcenplanung nehmen Unternehmen auch in diesem Jahr vermehrt Virtualisierungsprojekte in Angriff. Bestehende IT-Infrastrukturen werden zu einem Teil oder komplett virtuell ausgerichtet.
Doch viele Lizenzverträge enthalten noch keine Virtualisierungsregelung. Hier besteht Klärungsbedarf. Es ist unbedingt erforderlich, vor der Umsetzung eines Virtualisierungsprojekts die lizenzrechtliche Situation, beispielsweise hinsichtlich der eingesetzten Software, zu klären. Dabei gilt es nicht nur, die Zulässigkeit des Softwareeinsatzes zu prüfen, sondern auch, Pflege und Support in der virtuellen Betriebsumgebung sicherzustellen.
Cloud Computing: Vertragsrisiken beherrschen
Ganz allgemein bergen Anwendungen aus der Cloud rechtliche Risiken, weil es hierfür noch keine allgemeinen Leistungsstandards gibt. Entscheidend ist deshalb, dass der Vertrag eine sorgfältige Beschreibung einer geschuldeten Leistung enthält.
Die Unternehmen sollten besonderes Augenmerk auf kritische Geschäftsprozesse legen, die in die Cloud verlagert werden sollen. Denn je kritischer diese Prozesse sind, desto höher ist die Abhängigkeit vom Anbieter. Einige wichtige Punkte, die bei der Vertragsgestaltung beachtet werden sollten, sind:
-
Maßnahmen zum Business-Continuity-Management,
-
Eskalations-Management,
-
Vergütungskriterien oder auch
-
Regelungen über Teilleistungen und deren Kündigung.
IT-Compliance in der Cloud installieren
Wer im kommenden Jahr seine IT-Dienste in die Wolke verlagern möchte, muss eines wissen: Diese Verlagerung gibt die tatsächliche Verantwortung an den Cloud-Betreiber weiter; die gesetzliche Verantwortung (Organisationspflicht), bleibt jedoch bei der Unternehmensführung (Paragraf 91 II, 93 AktG, Paragraf 43 GmbHG). Konventionelle Vereinbarungen, etwa Auditrechte zur Prüfung der Zutritts-, Zugangs- und Zugriffskontrolle, laufen bei einer Cloud-Struktur ins Leere.
Deshalb müssen Maßnahmen der IT-Compliance vertraglich auf den Cloud-Anbieter übertragen werden. Dazu zählen:
-
die Pflicht zur Geheimhaltung,
-
die Implementierung verbindlicher Sicherheitskonzepte,
-
die Einhalten von IT-Notfallkonzepten und
-
Pflichten im Reporting.
Aktuelle Kommentare zum Thema IT-Recht finden Sie auch im IT-Blog "Technology & Sourcing".