IT-Recht 2011: Was Unternehmen tun müssen

1. Projektverträge interdisziplinär aufsetzen

Aufgrund aktueller Konsolidierungen innerhalb der IT-Infrastruktur werden zeitkritische Projekte mit kurzen vertraglichen Laufzeiten das Projektmanagement des kommenden Jahres kennzeichnen. Daher müssen Entscheider besonders auf die klare Aufgabenteilung zwischen Auftraggeber und Auftragnehmer sowie einer transparenten Projektstruktur achten. Das heißt konkret: Verträge müssen so konzipiert werden, dass die Leistungen des Auftragnehmers sowie die jeweiligen Mitwirkungsleistungen beider Partner klar definiert sind. Um einen Interessensausgleich dieser Parteien innerhalb eines knappen Zeitfensters erreichen zu können, müssen kaufmännische, technische und auch rechtliche Entscheider schon in der Projektierungsphase an einen Tisch.

2. Cloud Computing: Datensicherheit hat Prio 1

Mit Aufnahme des Cloud-Betriebes in 2011 muss für den Auftraggeber die Sicherheit der Daten an erster Stelle stehen. Der Anbieter ist verpflichtet, geeignete Maßnahmen zur Datensicherheit zu ergreifen und den Auftraggeber über das Sicherheitskonzept zu informieren. Der zunehmende Einsatz von Cloud-Diensten im Jahr 2011 wird demnach verstärkt dazu führen, dass die Parteien entsprechende Service Levels vereinbaren. Diese lassen sich leichter einhalten, wenn die Daten nicht in eine Public Cloud, sondern in die Private Cloud ausgelagert werden. Zusätzlich sollte der IT-Entscheider folgende Varianten in Erwägung ziehen, will er den Cloud-Betrieb aufnehmen: Auslagerung in eine räumliche begrenzte Cloud, die Verschlüsselung vertraulicher Daten in der Cloud, Auswahl und Kontrolle der Subunternehmer des Cloud-Anbieters.

3. Cloud Computing: Risiko Datenmigration

Bei aller Euphorie über Cloud Computing und die Tatsache, dass entsprechende Dienste an Fahrt gewinnen, werden sich mit zunehmender Verbreitung zukünftig auch Risiken zeigen, die bislang kaum zum Tragen gekommen sind: die technische Abhängigkeit des Anwenders vom Anbieter, die dann zutage tritt, wenn Daten wieder an den Auftraggeber zurückzuführen sind. Hier ist vertraglich besonders auf die Mitwirkungsleistung des Anbieters während der Datenmigration zu achten. Außerdem sollten sich die Parteien bereits bei Vertragsbeginn auf das Datenformat und die Art und Weise der Rückgabe der Daten sowie die damit verbundenen Kosten einigen. Wenn der Vertrag erst einmal zu Ende geht und für den Anbieter erkennbar ist, dass eine Datenmigration auf ein anderes System bevorsteht, wird seine Kooperationsbereitschaft entsprechend niedrig sein. Um dieses Kräftegefälle zu vermeiden, sollte der Anwender bereits bei Vertragsbeginn auf ausreichende Regelungen achten.

4. Cloud Computing im Grenzbereich: Datenspeicherung außerhalb Europas

Unternehmen werden im kommenden Jahr verstärkt versuchen, die eigene IT-Infrastruktur über die Cloud abzubilden. Dabei sollte besonders auf die datenschutzrechtlichen Anforderungen geachtet werden. Unternehmen, die ihre Dienste von Cloud-Anbietern in Anspruch nehmen, sollten unbedingt prüfen, in welchem Land die personenbezogenen Daten gespeichert werden und ob der Anbieter das vom deutschen Datenschutzrecht geforderte Datenschutzniveau gewährleistet. Länder außerhalb des Europäischen Wirtschaftsraumes gelten datenschutzrechtlich als unsicher. Unternehmen bleiben für die ausgelagerten personenbezogenen Daten verantwortlich und haften grundsätzlich für Datenlecks.

5. Der Handel mit gebrauchter Software

Im Frühjahr 2011 wird der Bundesgerichtshof darüber entscheiden, ob und unter welchen Voraussetzungen der Handel mit gebrauchter Software und Software-Lizenzen rechtmäßig ist. Es geht darum, welche Beschränkungen des Weitervertriebs von Standardsoftware zulässig sind und in welcher Form Lizenznehmer sich entsprechenden Regelungen in den Lizenzbedingungen beugen müssen. Unternehmen könnten dann ihre Beschaffungsvorgänge daran ausrichten. Die Einführung von Lizenzmanagement-Systemen sollte im Zuge der Entscheidung erfolgen, und als Grundlage genommen werden, um aktuelle Lizenzsituationen zu bewerten und gegebenenfalls bestehende Über- bzw. Unterlizenzierungen auszugleichen.

6. Arbeitnehmerdatenschutz: Vorsicht beim grenzenlosen Datentransfer

Im Zuge einer verstärkten standortübergreifenden Zusammenarbeit multi-nationaler Unternehmen werden wichtige Unternehmensprozesse weiter zentralisiert. 2011 sollten diese Unternehmen daher bei ihrem grenzüberschreitenden Datentransfer auf die strengen Anforderungen des deutschen Arbeitnehmerdatenschutzes achten. Denn das deutsche Datenschutzrecht kennt kein Konzernprivileg und macht die rechtmäßige Übermittlung personenbezogener Daten an eine andere Konzerngesellschaft von den gleichen Voraussetzungen abhängig, wie die Übermittlung an einen fremden Dritten. Zudem hat das Konzernunternehmen im Drittland ein angemessenes Datenschutzniveau mittels vertraglicher Regelungen sicher zu stellen. Hat der Datenimporteur seinen Sitz in den USA, empfiehlt sich eine Selbstverpflichtung nach dem so genannten “Safe-Harbour-Program”.

7. Compliance – geschäftliche Nutzung sozialer Netzwerke

2011 müssen Unternehmen sich gezielt damit auseinandersetzen, in welcher Form die Mitarbeiter sich “geschäftlich” in sozialen Netzwerken bewegen dürfen. Meldet sich ein Mitarbeitern mit dem Unternehmensnamen an, muss dieses sicherstellen, dass die Aktion keine nachteiligen Auswirkungen für ihn hat. Alle Mitarbeiter, die aus einem geschäftlichen Beweggrund in sozialen Netzwerken aktiv sind, müssen eine einheitliche und stimmige Unternehmensdarstellung gewährleisten. Daher sind Arbeitgeber und Betriebsrat dazu angehalten, eine interne Richtlinie zu verabschieden.