Softwareverträge
IT-Recht ist die Abkürzung für Informationstechnologierecht, das zusammenfassend auch als Recht der elektronischen Datenverarbeitung beschrieben werden kann. In Zeiten, in denen die Digitalisierung im vollen Gange ist und ein wirtschaftlicher Erfolg eines Unternehmens ohne eine funktionierende IT-Infrastruktur kaum vorstellbar ist, besteht auch ein dringender Bedarf an gesetzlichen Regulierungen.
IT-Verträge, Cloud und SaaS
Im heutigen wirtschaftlichen Leben werden viele Aufgabenbereiche durch bestimmte Softwareprogramme übernommen. Dabei reicht die Bandbreite von Kundenmanagement- bis hin zur Buchhaltungs- und Kommunikationssoftware. Der Softwarebedarf ist dabei bei jedem Unternehmen unterschiedlich. Während die einen mit Standardsoftware (Software von der Stange) gut auskommen, benötigen andere eine spezielle, auf das Unternehmen zugeschnittene, Software. Je spezieller die benötigte Software ist, desto wichtiger ist es, dass die entsprechenden Softwareverträge detailliert geregelt sind.
Neben dem Kauf von Software, sei es eine Standardsoftware oder einer speziell angefertigten Software, werden immer häufiger Softwaredienstleistungen (SaaS) in Anspruch genommen. Auch setzen Unternehmen vermehrt auf Cloud-Dienste von Drittanbietern, anstatt eigene Server zu betreiben. Hierbei werden die Unternehmensdaten auf den Servern eines Dritten abgespeichert, um Kosten zu sparen und in der Hoffnung, dass dort die Daten sicherer sind
Da Unternehmensdaten von essentieller Bedeutung sind, sollte jedes Unternehmen dafür Sorge tragen, dass die entsprechenden Verträge mit den jeweiligen Anbietern wasserdicht sind.
Ich berate bei der Erstellung und Überprüfung von IT-Verträgen aller Art und helfen bei der Durchsetzung Ihrer Rechte im Zusammenhang mit IT-Verträgen.
Datenschutz
Ein weiterer essentieller Bereich des IT-Rechts ist das Datenschutzrecht. Seit ihrer Einführung am 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DSG-VO) in der gesamten EU der gültige Maßstab, wenn es um die rechtmäßige Verarbeitung von personenbezogenen Daten geht.
Was ist die DSG-VO?
Die DSG-VO ist eine Verordnung der Europäischen Union, die in der gesamten EU unmittelbar gilt und die Regeln zum Umgang mit personenbezogenen Daten festlegt. Die DSG-VO gilt dabei auch für Unternehmen, die zwar ihren Sitz nicht in der EU haben, jedoch innerhalb der EU personenbezogene Daten verarbeiten. Die DSG-VO soll dabei den Menschen die Kontrolle über ihre personenbezogenen Daten geben.
Für welche Daten gilt die DS-GVO?
Die DSG-VO regelt den Umgang mit personenbezogenen Daten. Hierunter fallen etwa:
– Name
– Adresse
– E-Mail-Adresse
– Telefonnummer
– Geburtstag
– Kontodaten
– Kfz-Kennzeichen
– Standortdaten
– IP-Adressen
Welche Prinzipien sind in der DSG-VO verankert?
In Zusammenhang mit der Verarbeitung von personenbezogenen Daten gilt nach der DSG-VO ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, wenn kein Erlaubnistatbestand erfüllt ist. Ein solcher Erlaubnistatbestand ist in erster Linie in einer Einwilligung der betroffenen Person zu sehen, für die bestimmte Voraussetzungen erfüllt werden müssen, damit die Einwilligung wirksam ist.
Daneben regelt die DSG-VO weitere Erlaubnistatbestände. Die Verarbeitung von personenbezogenen Daten ist beispielsweise auch dann zulässig, wenn dies für die Erfüllung eines Vertrages mit der betroffenen Person notwendig ist. So ist etwa die Verarbeitung des Namens und der Adresse für den Versand eines im Online-Shop gekauften Artikels notwendig und damit ohne eine ausdrückliche Einwilligung erlaubt. Darüber hinaus kann eine Verarbeitung dann zulässig sein, wenn ein Unternehmen ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten hat und dabei die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. So kann beispielsweise eine Bank bei der Kreditvergabe ein berechtigtes Interesse daran haben, Daten über die Bonität des potentiellen Kreditnehmers einzuholen. Hierbei überwiegen die Interessen der betroffenen Person nicht.
Ferner gilt bei der Verarbeitung der personenbezogenen Daten das Transparenzgebot. Danach müssen Unternehmen umfassend darüber aufklären, welche Daten zu welchem Zweck verarbeitet werden, ob und falls ja, an welche Dritten die Daten weiteregegeben werden und welche Rechte die betroffenen Personen im Zusammenhang mit der Verarbeitung der Daten haben. Diese Aufklärung geschieht in Form einer Datenschutzerklärung, die den betroffenen Personen zur Verfügung gestellt werden muss.
Ein weiteres Prinzip ist das Prinzip der Datensparsamkeit. Danach sollen Unternehmen ausschließlich Daten erheben, die sie für einen bestimmten Zweck benötigen.
Ferner gilt das Prinzip der Datenrichtigkeit. Danach dürfen Unternehmen ausschließlich sachlich richtige Daten erheben und müssen diese auch ständig aktualisieren.
Schließlich gilt das Prinzip der Datensicherheit. Danach müssen Unternehmen unter Berücksichtigung der Umstände des Einzelfalls eine Risikoanalyse durchführen und geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten Daten zu gewährleisten. Dabei richtet sich das Schutzniveau an der Schutzbedürftigkeit der Daten. Welche Maßnahmen in dem Einzelfall dann angemessen sind, orientiert sich am Stand der Technik, an den Implementierungskosten und ähnlichen Umständen. Kurzum, je kritischer die verarbeiteten Daten, desto tiefgreifendere Maßnahmen müssen getroffen werden.
Welche Rechte haben betroffene Personen?
Die betroffenen Personen haben gegen das verarbeitende Unternehmen Ansprüche auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung. Ferner haben sie ein Recht auf Datenübertragbarkeit, das Recht auf Widerspruch gegen die Verarbeitung, das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein sowie das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde.
Was droht bei Verstößen gegen die DSG-VO?
Bei Datenschutzverstößen sieht die DSG-VO Bußgelder von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag am Ende höher ist).
Ich berate als zertifizierter Datenschutzbeauftragter umfassend im Zusammenhang mit der datenschutzrechtlichen Absicherung aller Geschäftsprozesse sowie bei der Erreichung der DSG-VO Konformität bei der Verarbeitung personenbezogenen Daten. Ferner helfe ich Ihnen bei der Erstellung Ihrer Datenschutzerklärung, bei dem Entwurf von Auftragsdatenverarbeitungsverträgen sowie bei allen Fragestellungen des Datenschutzrechts.