IT-Recht: ein Zehn-Punkte-Plan für 2010

Ob sie es nun wollen oder nicht: IT-Verantwortliche, Administratoren und Geschäftsführer tun inzwischen gut daran, sich neben ihren klassischen Aufgaben auch mit Rechtsprechung und der aktuellen Gesetzeslage zu befassen. Zwar hinkt die Gesetzgebung der Technologie immer einige Jahre hinterher, aber inzwischen hat es der Gesetzgeber geschafft, sich mit den wichtigsten Änderungen durch die neuen Technologien in Wirtschaft und Gesellschaft zu beschäftigen.

Die Folge: Wo einst nach Gutdünken, dem gesunden Menschenverstand oder in Wildwest-Manier agiert werden konnte, gelten jetzt immer mehr Regeln, Gesetze und Vorschriften. Und: Deren Einhaltung und Umsetzung wird zunehmend überprüft, Verstöße zunehmend geahndet. Jan Geert Meents und Thomas Jansen, Partner der internationalen Rechtsanwaltskanzlei DLA Piper in München haben zehn Punkte zusammengestellt, die es 2010 im Auge zu behalten gilt.

1. Richtlinien für die private Nutzung von Internet und E-Mail

2009 ist die Novelle zum Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Sie hatte das Ziel, den Datenschutz zu modernisieren und an aktuelle Entwicklungen anzupassen. Es wurden zwar wichtige Änderungen vorgenommen, aber es gibt noch weiteren Ergänzungsbedarf.

Die Bundesregierung beabsichtigt in Kürze einen Gesetzentwurf vorzulegen, mit dem das Gesetz um ein eigenständiges Kapitel “Arbeitnehmerdatenschutz” ergänzt werden soll. Es sind insbesondere Regelungen zum Datenschutz bei privater Internet- und E-Mail-Nutzung im Unternehmen und zur Datennutzung im Rahmen von Compliance-Prüfungen zu erwarten. Unternehmen sollten daher in Abstimmung mit der Personalabteilung Richtlinien erlassen, die die private Nutzung von Internet und E-Mail am Arbeitsplatz regeln.

2. Neue Anforderungen für die Verarbeitung personenbezogener Daten

Das aktualisierte Bundesdatenschutzgesetz regelt auch die Verarbeitung von personenbezogenen Daten durch Service Provider (die sogenannte Auftragsdatenverarbeitung) neu. So ist in Paragraf 11 BDSG der Mindestinhalt von Verträgen über Auftragsdatenverarbeitung aufgeführt. Der Gesetzgeber betont dabei, dass der Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich bleibt und diese nicht auf den Service Provider abwälzen kann. Unter anderem muss sichergestellt sein, dass externe Dienstleister die gleichen Standards erfüllen, die für den Auftraggeber gelten. Eine Missachtung der Vorschriften wird mit Bußgeldern bis zu 50.000 Euro bestraft.

Vor diesem Hintergrund sollten Unternehmen bestehende Verträge, auf deren Basis personenbezogene Daten verarbeitet werden, auf Übereinstimmung mit den neuen Anforderungen prüfen und gegebenenfalls anpassen lassen. Erste Orientierung kann Auftraggebern und Auftragnehmern ein vom Bitkom kürzlich vorgestellter, gratis abrufbarer Leifaden mit Mustervertragsanlage bieten.