deen
Nexia Ebner Stolz

IT- und Datenschutzrecht - Rechtsberatung am Puls der Zeit

Digitalisierung ist das beherrschende Thema der Wirtschaft. Elektronische Daten werden mit zunehmender Vernetzung von Geschäftsprozessen immer wichtiger und wertvoller. Sind personenbezogene Daten betroffen, trägt dem der Gesetzgeber durch immer strengere Vorgaben zum Datenschutz Rechnung.

Digi­ta­li­sie­rung ist das beherr­schende Thema der Wirt­schaft. Elek­tro­ni­sche Daten wer­den mit zuneh­men­der Ver­net­zung von Geschäft­s­pro­zes­sen immer wich­ti­ger und wert­vol­ler. Sind per­so­nen­be­zo­gene Daten betrof­fen, trägt dem der Gesetz­ge­ber durch immer stren­gere Vor­ga­ben zum Daten­schutz Rech­nung. Kein Wun­der also, dass sich auch in der Rechts­be­ra­tung ein Spe­zial­ge­biet ent­wi­ckelt hat, das IT-Recht. Bei Ebner Stolz befas­sen sich der­zeit vier Rechts­an­wälte schwer­punkt­mä­ßig mit die­sem Rechts­be­reich. Einer davon ist Dr. Björn Schal­lock, Rechts­an­walt, Fach­an­walt für gewerb­li­chen Rechts­schutz und Fach­an­walt für IT-Recht. Doch was fällt alles unter den Bereich des IT-Rechts? Wir haben ihn gefragt.

IT- und Datenschutzrecht - Rechtsberatung am Puls der Zeit© Dr. Björn Schallock, Rechtsanwalt bei Ebner Stolz in Hamburg

Herr Dr. Schal­lock, ein gro­ßes aktu­el­les Thema: der Schutz per­so­nen­be­zo­ge­ner Daten in Geschäft­s­pro­zes­sen. Kürz­lich berich­te­ten wir in unse­rer Man­dan­ten­zeit­schrift novus über die neue Daten­schutz-Grund­ver­ord­nung („DSG­VO“). Um was geht es da?

Die DSGVO ist eine EU-Ver­ord­nung, die ab dem 25.5.2018 EU-weit, also in jedem Mit­g­lieds­staat, unmit­tel­bar gilt. Ziel der DSGVO ist es, EU-weit ein ein­heit­li­ches (und hohes) Daten­schutz­ni­veau zu schaf­fen. Aktu­ell hat jeder Mit­g­lieds­staat ein eige­nes Daten­schutz­recht, das nur zum Teil auf EU-Recht beruht. Gerade im digi­ta­len Bereich ist es aber rea­li­täts­fern, an Staats­g­ren­zen Halt zu machen. Es war daher an der Zeit, das Daten­schutz­recht EU-weit zu har­mo­ni­sie­ren. Die DSGVO bedeu­tet jedoch lei­der einen erheb­li­chen Anpas­sungs­auf­wand für Unter­neh­men. Zudem stei­gen die Sank­ti­ons­mög­lich­kei­ten enorm. Es ist für Unter­neh­men daher essen­ti­ell, sich gut bera­ten auf die neue Rechts­lage vor­zu­be­rei­ten.

Unter­neh­men müs­sen sich auf die Daten­schutz-Grund­ver­ord­nung ein­s­tel­len. Was ist das Min­dest­maß der Anfor­de­run­gen, die ab 25.5.2018 zu erfül­len sind?

Es gibt nicht wir­k­lich eine Art „Min­dest-Anfor­de­rungs­ka­ta­log“ o. ä. und es wäre auch gefähr­lich von einem sol­chen zu spre­chen, da jedes Unter­neh­men andere Daten und auf andere Weise ver­ar­bei­tet. Womit sich aller­dings jedes Unter­neh­men beschäf­ti­gen sollte, sind z. B. inter­nes Daten­schutz­ma­na­ge­ment, Ver­ar­bei­tungs­ver­zeich­nis, betrieb­li­che Daten­schutz­be­auf­tragte, Ver­träge zur Auf­trags­ver­ar­bei­tung, Sicher­stel­lung von Infor­ma­ti­ons­rech­ten. Das Baye­ri­sche Lan­de­s­amt für Daten­schutz­auf­sicht hat einen hil­f­rei­chen Fra­ge­bo­gen unter https://www.lda.bay­ern.de/media/dsgvo_fra­ge­bo­gen.pdf ver­öf­f­ent­licht, der einen Ein­druck ver­mit­telt, wel­che The­men anzu­ge­hen sind und in 2018 ver­mut­lich auch als ers­tes von den Daten­schutz­be­hör­den über­prüft wer­den.

Der Schutz per­so­nen­be­zo­ge­ner Daten ist ein Kern­stück des IT-Rechts - aber die­ser Bereich umfasst doch noch weit mehr. Wel­che Berei­che sind das - und wie kön­nen Sie Man­dan­ten unter­stüt­zen?

Das IT-Recht umfasst tat­säch­lich sehr viel mehr, es ist eine Quer­schnitts­ma­te­rie. Klas­si­sche The­men sind Ver­träge über Soft­ware- und Hard­wa­re­be­schaf­fung. Wir bera­ten Man­da­ten zu den recht­li­chen Fra­gen der Ent­wick­lung, der Lizen­sie­rung und dem Ver­trieb von Soft­ware sowie zuge­hö­ri­ger Hard­ware. Sehr rele­vant sind zur­zeit bspw. Ver­träge über Cloud Com­pu­ting und das Out­sour­cing von IT-Leis­tun­gen. Wei­ter­hin gehö­ren natür­lich diverse inter­net­be­zo­gene Fra­ge­stel­lun­gen, wie etwa Ver­träge mit Pro­vi­dern, Domain­recht und Anfor­de­run­gen an die Gestal­tung von Web­sei­ten und insb. Web­shops, dazu. Hier bera­ten wir z. B. den klas­si­schen Web­shop, aber auch Unter­neh­men, die eine Web­seite hos­ten las­sen wol­len oder ihre Domain ver­tei­di­gen müs­sen.

Ist da auch „Indu­s­trie 4.0“ ein Thema, mit dem Sie sich als IT-Recht­ler befas­sen müs­sen?

Die soge­nannte vir­tu­elle Revo­lu­tion betrifft uns IT-Recht­ler natür­lich unmit­tel­bar. Sämt­li­che Ent­wick­lun­gen die­ser neuen Indu­s­trie beru­hen auf Soft­ware und haben prak­tisch immer einen umfang­rei­chen Aus­tausch von Daten zum Gegen­stand. Das betrifft ins­be­son­dere unsere The­men­fel­der Soft­ware-, Hard­ware-, Pro­vi­der­ver­träge und Daten­schutz. Indu­s­trie 4.0 schafft span­nende neue Anwen­dungs­fel­der und Her­aus­for­de­run­gen für das IT-Recht. Neue Gesetze wer­den nicht aus­b­lei­ben.

Die wie­der in den Bun­des­tag gewählte Par­tei FDP hat im Wahl­kampf mit dem Slo­gan „Digi­tal first - Beden­ken second“ gewor­ben. Wie ist Ihre Ein­schät­zung, sollte beden­ken­lo­ser mit dem Thema IT und Daten­schutz umge­gan­gen wer­den oder sind die mit­un­ter stren­gen Anfor­de­run­gen in Recht­set­zung und Recht­sp­re­chung durch­aus berech­tigt?

Über die­sen Satz habe ich mich gewun­dert. Gerade im Daten­schutz stam­men die stren­gen Vor­ga­ben aus dem EU-Recht, da kön­nen der deut­sche Gesetz­ge­ber und die deut­schen Gerichte wenig ändern. Natür­lich sollte die Indu­s­trie mit Hilfe des Gesetz­ge­bers ganz klar auf Digi­ta­li­sie­rung set­zen. „Beden­ken­los“ sollte man aber nie vor­ge­hen. Ein Bei­spiel: Aus der Sicht der Soft­ware­her­s­tel­ler ist z. B. klar auf den Schutz von Soft­ware zu ach­ten, aus Sicht der Anwen­der auf die Ein­räu­mung der erfor­der­li­chen Rechte. Ansons­ten kann ein Soft­ware­her­s­tel­ler bspw. die unge­wollte (unbe­zahlte) mas­sive Nut­zung eines Pro­duk­tes nicht ver­hin­dern oder ein Soft­wa­re­nut­zer muss plötz­lich nach­zah­len, weil er sonst seine Nut­zungs­mög­lich­keit ver­liert. Daher: Digi­ta­li­sie­rung ja, aber eben gut bera­ten.

Wie sieht Ihre IT-recht­li­che Bera­tung aus? Kön­nen Sie auch unter­stüt­zen, wenn im Vor­feld geklärt wer­den muss, wel­che IT-Sys­teme mit wel­chen Funk­tio­na­li­tä­ten in einem Unter­neh­men ein­ge­setzt wer­den soll?

Die bereits genann­ten Berei­che des IT-Rechts sind eng ver­zahnt mit ande­ren Rechts­be­rei­chen und tat­säch­lich auch mit der prak­ti­schen IT. Wir Juris­ten sto­ßen bei den tech­ni­schen Fra­gen irgend­wann an unsere Gren­zen. So kön­nen wir etwa beur­tei­len, wel­chen recht­li­chen Anfor­de­run­gen ein neues IT-Sys­tem genü­gen muss. Ob ein zu prü­fen­des Ange­bot aller­dings das hält, was es ver­spricht, kön­nen wir als „Nicht-Tech­ni­ker“ nicht immer beur­tei­len. In sol­chen Fäl­len arbei­ten wir bei Ebner Stolz eng mit unse­rem Geschäfts­be­reich IT-Revi­sion (GBIT) zusam­men. Das sind die Spe­zia­lis­ten für IT-Prü­fung und IT-Revi­sion – die kön­nen manch­mal die tech­ni­schen Fra­gen viel bes­ser klä­ren, die wir dann recht­lich bewer­ten.

Kön­nen Sie das an einen Bei­spiel ver­an­schau­li­chen?

Die DSGVO sch­reibt z. B. vor, dass Soft- und Hard­ware bereits so zu ent­wi­ckeln und ein­zu­rich­ten ist, dass mög­lichst wenig per­so­nen­be­zo­gene Daten erho­ben und ver­ar­bei­tet wer­den. Wie ein Sys­tem dort pro­gram­miert ist, kön­nen wir nicht beur­tei­len. Dann neh­men wir die GBIT-Kol­le­gen dazu – und auch anders­herum!

Gibt es auch noch andere Berei­che, bei denen Sie Ebner Stolz Kol­le­gen hin­zu­zie­hen?

Im Daten­schutz­recht gibt es zum Bei­spiel eine Schnitt­s­telle zum Arbeits­recht: Der Betriebs­rat hat in der Regel ein Mit­be­stim­mungs­recht bei der Ein­füh­rung eines neuen IT-Sys­tems. Das ist in der Pra­xis gerne ein­mal kriegs­ent­schei­dend. Hier sind wir dank­bar, unsere Kol­le­gen aus dem Arbeits­recht hin­zu­zie­hen zu kön­nen.

Auch steu­er­recht­lich gibt es über­g­rei­fende The­men: Für die Bilan­zie­rung einer Soft­ware ist z. B. zu unter­schei­den zwi­schen Stan­dard- oder Indi­vi­dual­soft­ware und ob diese selbst ers­tellt oder erwor­ben wurde. Sie sehen: Schon wenn ein Unter­neh­men eine neue Soft­wa­re­lö­sung anschaf­fen will, sind meh­rere Rechts­be­rei­che betrof­fen. Wir sind daher froh, nicht nur in tech­ni­schen Fra­gen auf den GBIT zurück­g­rei­fen zu kön­nen, son­dern in unse­rem Hause natür­lich auch auf die vie­len ver­sier­ten Kol­le­gen aus der Steu­er­be­ra­tung und der Wirt­schafts­prü­fung.

IT, Inter­net, Daten­aus­tausch machen ja nicht an Staats­g­ren­zen halt. Wie wirkt sich diese Inter­na­tio­na­li­tät auf das IT-Recht aus? Kön­nen Sie auch in grenz­über­sch­rei­ten­den Fäl­len bera­ten?

Inter­na­tio­na­li­tät wirkt sich erheb­lich auf die von uns bera­te­nen Berei­che aus. Deut­sche Unter­neh­men nut­zen Soft­wa­re­lö­sun­gen aus­län­di­scher Anbie­ter oder las­sen Soft­ware im Aus­land her­s­tel­len oder war­ten. Unsere erste zu klä­rende Frage ist immer, wel­ches Recht über­haupt gilt. Auch wenn Ver­trag­s­part­ner unse­rer Man­dan­ten oft aus­län­di­sches Recht ver­ein­ba­ren wol­len, raten wir dazu deut­sches Recht zu ver­ein­ba­ren. Die Rechte unse­rer Man­dan­ten las­sen sich damit viel bes­ser wah­ren, gerade im Kon­f­likt­falle. Sollte das ein­mal nicht gelin­gen, haben wir aber die Mög­lich­keit auf aus­län­di­sche Koope­ra­ti­on­s­part­ner zurück zu grei­fen.

Zuletzt Ihre Ein­schät­zung: Wel­chen Stel­len­wert wird das IT-Recht in 10 Jah­ren haben?

Das IT-Recht wird mit der Digi­ta­li­sie­rung zwangs­läu­fig immer wich­ti­ger wer­den. Je mehr Pro­zesse digi­ta­li­siert wer­den und damit Soft­ware- und Inter­net-gestützt statt­fin­den, desto wich­ti­ger wer­den die IT-recht­li­chen Fra­ge­stel­lun­gen. Dazu kommt der Daten­schutz, der - vor­ran­gig in der EU, aber zuneh­mend auch in den USA - immer mehr an Stel­len­wert gewinnt und bei Nicht­be­ach­tung ein gro­ßes Sank­ti­ons­ri­siko für Unter­neh­men bedeu­tet.


nach oben