Permanente technologische Entwicklungen bedeuten für Unternehmen auch laufende rechtliche Anpassungen. Die Practise Group Technology & Sourcing der internationalen Wirtschaftskanzlei DLA Piper aus München hat auch in diesem Jahre wieder zusammengetragen, welche rechtlichen Hausaufgaben die Unternehmens-IT aktuell zu erledigen hat. Dass einige davon um das Thema Cloud-Computing kreisen, ist sicher kein Zufall. Handelt es sich doch um einen der Megatrends in der IT.
Projektverträge interdisziplinär aufsetzen
Das Projekt-Management des kommenden Jahres wird durch zeitkritische Projekte mit kurzen vertraglichen Laufzeiten gekennzeichnet sein. Das hat seinen Grund in den aktuellen Konsolidierungen innerhalb der IT-Infrastruktur. Entscheider müssen daher besonders auf eine klare Aufgabenteilung zwischen Auftraggeber und Auftragnehmer sowie auf eine transparente Projektstruktur achten.
Das heißt konkret: Verträge sollten so konzipiert sein, dass die Leistungen des Auftragnehmers sowie die jeweiligen Mitwirkungsleistungen beider Partner klar definiert sind. Damit ein Interessensausgleich aller Parteien innerhalb eines knappen Zeitfensters möglich wird, gehören kaufmännische, technische und auch rechtliche Entscheider schon in der Projektierungsphase an einen Tisch.
Hamburger IT-Strategietage 2011
Am 10. und 11. Februar 2011 geht Deutschlands wichtigster IT-Management-Kongress in die neunte Runde: Freuen Sie sich auf Top-Referenten, spannende Vorträge und lebhafte Diskussionen, wenn sich im Hotel Grand Elysee die Tore zu den Hamburger IT-Strategietagen 2011 öffnen.
Risiken im Cloud Computing
Cloud Computing: Datensicherheit hat Priorität eins
Wer 2011 den Cloud-Betrieb aufnehmen will, muss vor allem eins bedenken: Für den Auftraggeber steht die Sicherheit der Daten an erster Stelle. Der Anbieter ist jedoch verpflichtet, geeignete Maßnahmen zur Datensicherheit zu ergreifen und den Auftraggeber über das Sicherheitskonzept zu informieren.
Experten erwarteten für 2011 den zunehmenden Einsatz von Cloud-Diensten. Im Hinblick auf die Sicherheit werden die beteigten Parteien entsprechende Service-Levels vereinbaren. Diese lassen sich leichter einhalten, wenn die Daten nicht in eine Public Cloud, sondern in die Private Cloud ausgelagert werden. Zusätzlich sollte der IT-Entscheider folgende Varianten in Erwägung ziehen: die Auslagerung in eine räumliche begrenzte Cloud, die Verschlüsselung vertraulicher Daten in der Cloud, Auswahl und Kontrolle der Subunternehmer des Cloud-Anbieters.
Cloud Computing: Risiko Datenmigration
Bei aller Euphorie über Cloud Computing werden sich mit zunehmender Verbreitung künftig auch solche Risiken zeigen, die bislang kaum zum Tragen gekommen sind. Das gehört vor allem die technische Abhängigkeit des Anwenders vom Anbieter. Sie tritt dann zutage, wenn die Daten wieder an den Auftraggeber zurückzuführen sind. In diesem Zusammenhang ist darauf zu achten, dass die Mitwirkungsleistung des Anbieters während der Datenmigration vertraglich fixiert ist.
Außerdem sollten sich die Parteien bereits bei Vertragsbeginn auf das Datenformat und die Art und Weise der Rückgabe sowie über die damit verbundenen Kosten einigen. Geht der Vertrag erst einmal zu Ende und ist für den Anbieter erkennbar, dass eine Datenmigration auf ein anderes System bevorsteht, so wird seine Kooperationsbereitschaft niedrig sein. Um also ein Kräftegefälle zu vermeiden, sollte der Anwender von Anfang an auf ausreichende Regelungen achten.
Cloud Computing Speichern der Daten außerhalb des EWR
Viele Unternehmen werden im kommenden Jahr versuchen, die eigene IT-Infrastruktur über die Cloud abzubilden. Dabei ist vor allem auf die datenschutzrechtlichen Anforderungen zu achten. Unternehmen, die Dienste von Cloud-Anbietern in Anspruch nehmen, sollten unbedingt prüfen, in welchem Land die personenbezogenen Daten gespeichert werden und ob der Anbieter das vom deutschen Datenschutzrecht geforderte Schutzniveau gewährleistet.
Länder außerhalb des Europäischen Wirtschaftsraumes gelten datenschutzrechtlich als unsicher. Das sollten die beauftragenden Unternehmen ins Kalkül ziehen, denn sie bleiben für die ausgelagerten personenbezogenen Daten verantwortlich und haften grundsätzlich für Datenlecks.
Gebrauchte Software und Datenschutz
Der Handel mit gebrauchter Software
Im Frühjahr 2011 wird der Bundesgerichtshof darüber entscheiden, ob und unter welchen Voraussetzungen der Handel mit gebrauchter Software und Softwarelizenzen aus zweiter Hand rechtmäßig ist. Es geht darum, welche Beschränkungen des Weitervertriebs von Standardsoftware zulässig sind und in welcher Form Lizenznehmer sich den diesbezüglichen Regelungen in den Lizenzbedingungen beugen müssen.
Rechtssicherheit ist sinnvoll. Die Unternehmen könnten dann ihre Beschaffungsvorgänge daran ausrichten. Im Zuge einer Entscheidung darüber sollten auch Lizenz-Management-Systemen eingeführt werden. Sie können als Grundlage dienen, um die jeweils aktuelle Lizenzsituationen zu bewerten und eine eventuell bestehende Über- beziehungsweise Unterlizenzierungen auszugleichen.
Arbeitnehmerdatenschutz: Vorsicht beim grenzenlosen Datentransfer
Im Zuge einer verstärkten standortübergreifenden Zusammenarbeit von multi-nationalern Unternehmen werden wichtige Betriebsprozesse weiter zentralisiert. Beim grenzüberschreitenden Datentransfer sollten die betroffenen Unternehmen 2011 auf die strengen Anforderungen des deutschen Arbeitnehmerdatenschutzes achten. Das deutsche Datenschutzrecht kennt kein Konzernprivileg und macht die rechtmäßige Übermittlung personenbezogener Daten an eine andere Konzerngesellschaft von denselben Voraussetzungen abhängig wie die Übermittlung an einen fremden Dritten.
Darüber hinaus hat das Konzernunternehmen im Drittland ein angemessenes Datenschutzniveau sicherzustellen - mittels vertraglicher Regelungen. Ist der Datenimporteur in den USA ansässig, empfiehlt sich eine Selbstverpflichtung nach dem "Safe-Harbour-Program".
Social Media und Outsourcing
Compliance: geschäftliche Nutzung sozialer Netzwerke
Im kommenden Jahr müssen sich die Unternehmen gezielt mit Social Media auseinandersetzen. Sie sollten festlegen, in welcher Form sich ihre Mitarbeiter "geschäftlich" in sozialen Netzwerken bewegen dürfen. Meldet sich ein Mitarbeitern mit dem Unternehmensnamen an, muss der Arbeitgeber sicherstellen, dass die Aktion keine nachteiligen Auswirkungen für ihn hat.
Andererseits müssen alle Mitarbeiter, die aus einem geschäftlichen Beweggrund in sozialen Netzwerken aktiv sind, eine einheitliche und stimmige Unternehmensdarstellung gewährleisten. Daher sind Arbeitgeber und Betriebsrat dazu angehalten, eine interne Richtlinie zu verabschieden.
Outsourcing: mehr Provider, mehr Risiken
Die Unternehmen arbeiten vermehrt mit vielen unterschiedlichen Providern zusammen. Damit hat das Management zunehmend die Aufgabe, all diese spezialisierten Dienstleister auch zu steuern - vor allem dann, wenn es bei dieser Koordination um die Kontrolle der rechtlichen Aspekte geht. Je zersplitterter die Provider-Landschaft, desto größer die rechtlichen Risiken.
Daher ist darauf zu achten, die Schnittstellen sauber zu definieren und Klarheit über die jeweiligen Verantwortlichkeiten zu schaffen. Bei einer Multi-Vendor-Strategie müssen Outsourcing-Verträge auf etwaige Schwachstellen untersucht und gegebenenfalls nachverhandelt werden. (qua)
Und was jetzt?
Wo sollte ein mittelständisches Unternehmen beginnen, die Acht-Punkte-Agenda abzuarbeiten? Dazu einer der beiden Autoren des vorstehenden Artikels, Jan Geert Meents:
"Der Geschäftsführer sollte analysieren, welche Aspekte der Rechtsagenda für sein Unternehmen von besonderer Bedeutung sind. Auf Basis dieser Priorisierung ist es empfehlenswert, gemeinsam mit den internen Fachabteilungen wie Inhouse-Justiziar beziehungsweise einem oder mehreren auf IT-Recht spezialisierten Anwälten festzulegen, wie mit den identifizierten Risiken umgegangen werden soll."