IT- und Datenschutzrecht - Rechtsberatung am Puls der Zeit

Di­gi­ta­li­sie­rung ist das be­herr­schende Thema der Wirt­schaft. Elek­tro­ni­sche Da­ten wer­den mit zu­neh­men­der Ver­net­zung von Ge­schäfts­pro­zes­sen im­mer wich­ti­ger und wert­vol­ler. Sind per­so­nen­be­zo­gene Da­ten be­trof­fen, trägt dem der Ge­setz­ge­ber durch im­mer stren­gere Vor­ga­ben zum Da­ten­schutz Rech­nung. Kein Wun­der also, dass sich auch in der Rechts­be­ra­tung ein Spe­zi­al­ge­biet ent­wi­ckelt hat, das IT-Recht. Bei Eb­ner Stolz be­fas­sen sich der­zeit vier Rechts­anwälte schwer­punktmäßig mit die­sem Rechts­be­reich. Ei­ner da­von ist Dr. Björn Schal­lock, Rechts­an­walt, Fach­an­walt für ge­werb­li­chen Rechts­schutz und Fach­an­walt für IT-Recht. Doch was fällt al­les un­ter den Be­reich des IT-Rechts? Wir ha­ben ihn ge­fragt.

© Dr. Björn Schallock, Rechtsanwalt bei Ebner Stolz in Hamburg

Herr Dr. Schal­lock, ein großes ak­tu­el­les Thema: der Schutz per­so­nen­be­zo­ge­ner Da­ten in Ge­schäfts­pro­zes­sen. Kürz­lich be­rich­te­ten wir in un­se­rer Man­dan­ten­zeit­schrift no­vus über die neue Da­ten­schutz-Grund­ver­ord­nung („DS­GVO“). Um was geht es da?

Die DS­GVO ist eine EU-Ver­ord­nung, die ab dem 25.5.2018 EU-weit, also in je­dem Mit­glieds­staat, un­mit­tel­bar gilt. Ziel der DS­GVO ist es, EU-weit ein ein­heit­li­ches (und ho­hes) Da­ten­schutz­ni­veau zu schaf­fen. Ak­tu­ell hat je­der Mit­glieds­staat ein ei­ge­nes Da­ten­schutz­recht, das nur zum Teil auf EU-Recht be­ruht. Ge­rade im di­gi­ta­len Be­reich ist es aber rea­litätsfern, an Staats­gren­zen Halt zu ma­chen. Es war da­her an der Zeit, das Da­ten­schutz­recht EU-weit zu har­mo­ni­sie­ren. Die DS­GVO be­deu­tet je­doch lei­der einen er­heb­li­chen An­pas­sungs­auf­wand für Un­ter­neh­men. Zu­dem stei­gen die Sank­ti­onsmöglich­kei­ten enorm. Es ist für Un­ter­neh­men da­her es­sen­ti­ell, sich gut be­ra­ten auf die neue Rechts­lage vor­zu­be­rei­ten.

Un­ter­neh­men müssen sich auf die Da­ten­schutz-Grund­ver­ord­nung ein­stel­len. Was ist das Min­destmaß der An­for­de­run­gen, die ab 25.5.2018 zu erfüllen sind?

Es gibt nicht wirk­lich eine Art „Min­dest-An­for­de­rungs­ka­ta­log“ o. ä. und es wäre auch gefähr­lich von einem sol­chen zu spre­chen, da je­des Un­ter­neh­men an­dere Da­ten und auf an­dere Weise ver­ar­bei­tet. Wo­mit sich al­ler­dings je­des Un­ter­neh­men be­schäfti­gen sollte, sind z. B. in­ter­nes Da­ten­schutz­ma­nage­ment, Ver­ar­bei­tungs­ver­zeich­nis, be­trieb­li­che Da­ten­schutz­be­auf­tragte, Verträge zur Auf­trags­ver­ar­bei­tung, Si­cher­stel­lung von In­for­ma­ti­ons­rech­ten. Das Baye­ri­sche Lan­des­amt für Da­ten­schutz­auf­sicht hat einen hilf­rei­chen Fra­ge­bo­gen un­ter https://www.lda.bay­ern.de/me­dia/ds­gvo_fra­ge­bo­gen.pdf veröff­ent­licht, der einen Ein­druck ver­mit­telt, wel­che The­men an­zu­ge­hen sind und in 2018 ver­mut­lich auch als ers­tes von den Da­ten­schutz­behörden überprüft wer­den.

Der Schutz per­so­nen­be­zo­ge­ner Da­ten ist ein Kernstück des IT-Rechts - aber die­ser Be­reich um­fasst doch noch weit mehr. Wel­che Be­rei­che sind das - und wie können Sie Man­dan­ten un­terstützen?

Das IT-Recht um­fasst tatsäch­lich sehr viel mehr, es ist eine Quer­schnitts­ma­te­rie. Klas­si­sche The­men sind Verträge über Soft­ware- und Hard­ware­be­schaf­fung. Wir be­ra­ten Man­da­ten zu den recht­li­chen Fra­gen der Ent­wick­lung, der Li­zen­sie­rung und dem Ver­trieb von Soft­ware so­wie zu­gehöri­ger Hard­ware. Sehr re­le­vant sind zur­zeit bspw. Verträge über Cloud Com­pu­ting und das Out­sour­cing von IT-Leis­tun­gen. Wei­ter­hin gehören natürlich di­verse in­ter­net­be­zo­gene Fra­ge­stel­lun­gen, wie etwa Verträge mit Pro­vi­dern, Do­main­recht und An­for­de­run­gen an die Ge­stal­tung von Web­sei­ten und insb. Web­shops, dazu. Hier be­ra­ten wir z. B. den klas­si­schen Web­shop, aber auch Un­ter­neh­men, die eine Web­seite hos­ten las­sen wol­len oder ihre Do­main ver­tei­di­gen müssen.

Ist da auch „In­dus­trie 4.0“ ein Thema, mit dem Sie sich als IT-Recht­ler be­fas­sen müssen?

Die so­ge­nannte vir­tu­elle Re­vo­lu­tion be­trifft uns IT-Recht­ler natürlich un­mit­tel­bar. Sämt­li­che Ent­wick­lun­gen die­ser neuen In­dus­trie be­ru­hen auf Soft­ware und ha­ben prak­ti­sch im­mer einen um­fang­rei­chen Aus­tausch von Da­ten zum Ge­gen­stand. Das be­trifft ins­be­son­dere un­sere The­men­fel­der Soft­ware-, Hard­ware-, Pro­vi­der­verträge und Da­ten­schutz. In­dus­trie 4.0 schafft span­nende neue An­wen­dungs­fel­der und Her­aus­for­de­run­gen für das IT-Recht. Neue Ge­setze wer­den nicht aus­blei­ben.

Die wie­der in den Bun­des­tag gewählte Par­tei FDP hat im Wahl­kampf mit dem Slo­gan „Di­gi­tal first - Be­den­ken se­cond“ ge­wor­ben. Wie ist Ihre Ein­schätzung, sollte be­den­ken­lo­ser mit dem Thema IT und Da­ten­schutz um­ge­gan­gen wer­den oder sind die mit­un­ter stren­gen An­for­de­run­gen in Recht­set­zung und Recht­spre­chung durch­aus be­rech­tigt?

Über die­sen Satz habe ich mich ge­wun­dert. Ge­rade im Da­ten­schutz stam­men die stren­gen Vor­ga­ben aus dem EU-Recht, da können der deut­sche Ge­setz­ge­ber und die deut­schen Ge­richte we­nig ändern. Natürlich sollte die In­dus­trie mit Hilfe des Ge­setz­ge­bers ganz klar auf Di­gi­ta­li­sie­rung set­zen. „Be­den­ken­los“ sollte man aber nie vor­ge­hen. Ein Bei­spiel: Aus der Sicht der Soft­ware­her­stel­ler ist z. B. klar auf den Schutz von Soft­ware zu ach­ten, aus Sicht der An­wen­der auf die Einräum­ung der er­for­der­li­chen Rechte. An­sons­ten kann ein Soft­ware­her­stel­ler bspw. die un­ge­wollte (un­be­zahlte) mas­sive Nut­zung ei­nes Pro­duk­tes nicht ver­hin­dern oder ein Soft­wa­re­nut­zer muss plötz­lich nach­zah­len, weil er sonst seine Nut­zungsmöglich­keit ver­liert. Da­her: Di­gi­ta­li­sie­rung ja, aber eben gut be­ra­ten.

Wie sieht Ihre IT-recht­li­che Be­ra­tung aus? Können Sie auch un­terstützen, wenn im Vor­feld geklärt wer­den muss, wel­che IT-Sys­teme mit wel­chen Funk­tio­na­litäten in einem Un­ter­neh­men ein­ge­setzt wer­den soll?

Die be­reits ge­nann­ten Be­rei­che des IT-Rechts sind eng ver­zahnt mit an­de­ren Rechts­be­rei­chen und tatsäch­lich auch mit der prak­ti­schen IT. Wir Ju­ris­ten stoßen bei den tech­ni­schen Fra­gen ir­gend­wann an un­sere Gren­zen. So können wir etwa be­ur­tei­len, wel­chen recht­li­chen An­for­de­run­gen ein neues IT-Sys­tem genügen muss. Ob ein zu prüfen­des An­ge­bot al­ler­dings das hält, was es ver­spricht, können wir als „Nicht-Tech­ni­ker“ nicht im­mer be­ur­tei­len. In sol­chen Fällen ar­bei­ten wir bei Eb­ner Stolz eng mit un­se­rem Ge­schäfts­be­reich IT-Re­vi­sion (GBIT) zu­sam­men. Das sind die Spe­zia­lis­ten für IT-Prüfung und IT-Re­vi­sion – die können manch­mal die tech­ni­schen Fra­gen viel bes­ser klären, die wir dann recht­lich be­wer­ten.

Können Sie das an einen Bei­spiel ver­an­schau­li­chen?

Die DS­GVO schreibt z. B. vor, dass Soft- und Hard­ware be­reits so zu ent­wi­ckeln und ein­zu­rich­ten ist, dass möglichst we­nig per­so­nen­be­zo­gene Da­ten er­ho­ben und ver­ar­bei­tet wer­den. Wie ein Sys­tem dort pro­gram­miert ist, können wir nicht be­ur­tei­len. Dann neh­men wir die GBIT-Kol­le­gen dazu – und auch an­ders­herum!

Gibt es auch noch an­dere Be­rei­che, bei de­nen Sie Eb­ner Stolz Kol­le­gen hin­zu­zie­hen?

Im Da­ten­schutz­recht gibt es zum Bei­spiel eine Schnitt­stelle zum Ar­beits­recht: Der Be­triebs­rat hat in der Re­gel ein Mit­be­stim­mungs­recht bei der Einführung ei­nes neuen IT-Sys­tems. Das ist in der Pra­xis gerne ein­mal kriegs­ent­schei­dend. Hier sind wir dank­bar, un­sere Kol­le­gen aus dem Ar­beits­recht hin­zu­zie­hen zu können.

Auch steu­er­recht­lich gibt es überg­rei­fende The­men: Für die Bi­lan­zie­rung ei­ner Soft­ware ist z. B. zu un­ter­schei­den zwi­schen Stan­dard- oder In­di­vi­du­al­soft­ware und ob diese selbst er­stellt oder er­wor­ben wurde. Sie se­hen: Schon wenn ein Un­ter­neh­men eine neue Soft­warelösung an­schaf­fen will, sind meh­rere Rechts­be­rei­che be­trof­fen. Wir sind da­her froh, nicht nur in tech­ni­schen Fra­gen auf den GBIT zurück­grei­fen zu können, son­dern in un­se­rem Hause natürlich auch auf die vie­len ver­sier­ten Kol­le­gen aus der Steu­er­be­ra­tung und der Wirt­schaftsprüfung.

IT, In­ter­net, Da­ten­aus­tausch ma­chen ja nicht an Staats­gren­zen halt. Wie wirkt sich diese In­ter­na­tio­na­lität auf das IT-Recht aus? Können Sie auch in grenzüber­schrei­ten­den Fällen be­ra­ten?

In­ter­na­tio­na­lität wirkt sich er­heb­lich auf die von uns be­ra­te­nen Be­rei­che aus. Deut­sche Un­ter­neh­men nut­zen Soft­warelösun­gen ausländi­scher An­bie­ter oder las­sen Soft­ware im Aus­land her­stel­len oder war­ten. Un­sere er­ste zu klärende Frage ist im­mer, wel­ches Recht über­haupt gilt. Auch wenn Ver­trags­part­ner un­se­rer Man­dan­ten oft ausländi­sches Recht ver­ein­ba­ren wol­len, ra­ten wir dazu deut­sches Recht zu ver­ein­ba­ren. Die Rechte un­se­rer Man­dan­ten las­sen sich da­mit viel bes­ser wah­ren, ge­rade im Kon­flikt­falle. Sollte das ein­mal nicht ge­lin­gen, ha­ben wir aber die Möglich­keit auf ausländi­sche Ko­ope­ra­ti­ons­part­ner zurück zu grei­fen.

Zu­letzt Ihre Ein­schätzung: Wel­chen Stel­len­wert wird das IT-Recht in 10 Jah­ren ha­ben?

Das IT-Recht wird mit der Di­gi­ta­li­sie­rung zwangsläufig im­mer wich­ti­ger wer­den. Je mehr Pro­zesse di­gi­ta­li­siert wer­den und da­mit Soft­ware- und In­ter­net-gestützt statt­fin­den, desto wich­ti­ger wer­den die IT-recht­li­chen Fra­ge­stel­lun­gen. Dazu kommt der Da­ten­schutz, der - vor­ran­gig in der EU, aber zu­neh­mend auch in den USA - im­mer mehr an Stel­len­wert ge­winnt und bei Nicht­be­ach­tung ein großes Sank­ti­ons­ri­siko für Un­ter­neh­men be­deu­tet.