Ist Ihr Unternehmen (IT-)rechtlich und datenschutzrechtlich gut vorbereitet?
Durch die Corona-Krise erfährt Digitalisierung in Deutschland einen nie dagewesenen Schub. Durch Kontaktbeschränkungen waren wir alle gezwungen, digitale Technik in allen Lebensbereichen zu nutzen. Beispiele für dieses Phänomen sind unsere berufliche Tätigkeit aus dem Home-Office, Videotelefonie mit Kollegen oder Freunden sowie digitale Freizeitangebote wie Lesungen, Vorträge und digitale Konzertbesuche. Dieser Trend wird nachhaltig bleiben. Das hat auch der Mittelstand erkannt und investiert verstärkt in Digitallösungen. Dabei gibt es IT- und datenschutzrechtliche Herausforderungen. Wie Sie den Trend zur Digitalisierung nutzen und rechtliche Herausforderungen bewältigen, beschreibt dieser Beitrag.
Phänomen Digitalisierung – Vorteile und Herausforderungen
Der Vorteil von Digitallösungen liegt auf der Hand. Damit werden analoge Wertschöpfungs- und Geschäftsprozesse verändert, neu ausgerichtet und in den meisten Fällen optimiert. So kann der Einsatz von Digitallösungen zu einer Effizienzsteigerung und Kostenersparnis führen. Diese Effekte werden zum Beispiel durch die Einsparung von Reisekosten und dem effizienteren Einsatz von Personal und Ressourcen in Betriebsprozessen erzielt. Hieraus ergeben sich auch Synergien für Ihre Kunden, da diese Kosten nicht mehr an Ihre Kunden weiterbelastet werden müssen. Dadurch steigern Sie zwangsläufig die Zufriedenheit Ihrer Kunden.
Herkömmliche Digitallösungen sind etwa Smartphones, Laptops oder Tablets. Diese sind in unserer Lebens- und Arbeitskultur weitgehend etabliert. Vermeintlich neue Digitallösungen, die sich bisher noch nicht in jeder Branche durchgesetzt haben, sind Applikationen und Dienste, wie z.B. Unternehmens-NewsApps, digitale Projektmanagement-Tools wir Jira und Asana oder digitale Marketing Tools (z.B. HubSpot, Marketo, Oktopost).
Viele Unternehmen mussten gerade zu Beginn der Corona Krise schmerzhaft feststellen, dass ihre Geschäftsprozesse nicht für die Arbeit ihrer Mitarbeiter im Home-Office ausgelegt sind. So stellten sich ganz praktische Frage, wie z.B. nach wirksamen Unterschriften zweier vertretungsberechtigter Mitarbeiter, die sich aufgrund des Home-Offices nicht an einem Ort aufgehalten haben. Eine Lösung bieten Tools wie DocuSign oder Adobe Sign, mit deren Hilfe Verträge oder andere wichtige Geschäftsbriefe digital mit qualifizierter elektronischer Signatur unabhängig vom Aufenthaltsort der Geschäftsführung gezeichnet werden können. Ähnliches gilt für Videoconferencing Tools. So stellten viele Unternehmen fest, dass einzelne Abteilungen nicht immer zwingend an einem Ort zusammen sein müssen, um Projekte zu planen und zu besprechen. Stattdessen kann sich die Abteilung mittels Videoconferencing Tools virtuell treffen. Dieser Wandel weg von der analogen hin zu einer digitalen Arbeitswelt vollzieht sich durch Corona gerade sehr dynamisch, weil spätestens seit März 2020 Unternehmen in Deutschland die Notwendigkeit für die Investition in solche Digitallösungen verstanden haben.
Digitallösungen bieten also zahlreiche Vorteile, stellen Unternehmen aber auch vor große IT- und datenschutzrechtliche Herausforderungen. Die rechtlichen Rahmenbedingungen müssen vertretbar sein und für die beabsichtigte Nutzung passen (Stichwort: richtiges Lizenzmodell, ausreichende Verfügbarkeit). Die meisten Digitallösungen verarbeiten außerdem personenbezogene Daten. Ihre Organisation muss daher sicherstellen, dass bei der Beschaffung und Einführung von Digitallösungen datenschutzrechtliche Anforderungen bereits im Auswahlprozess einer Digitallösung berücksichtigt und umgesetzt werden – sonst drohen empfindliche Bußgelder.
Was ist bei der Einführung von Digitallösungen rechtlich zu beachten?
Um Vorteile der Digitalisierung zu nutzen und zu vermeiden, dass diese zum Compliance-Bumerang werden, empfiehlt sich dringend, die Allgemeinen Geschäfts- bzw. Nutzungsbedingungen („Terms of Use“) oder das sog. Master Subscription Agreement (so bezeichnen Anbieter von Mietsoftware und SaaS-Lösungen ihre Verträge, da die angebotenen Services über einen gewissen Zeitraum „abonniert“ werden) sorgfältig zu prüfen. Außerdem müssen Digitallösung datenschutzrechtlich bewertet und ggf. Maßnahmen zur Verbesserung der Datenschutz-Compliance getroffen werden. Das betrifft etwa den Auftragsverarbeitungsvertrag.
Planen Sie eine Vielzahl neuer Digitallösungen einzukaufen, kann es zur Entlastung der eigenen IT, Fach- und Einkaufsabteilung ratsam sein, eigene Einkaufs- oder Projekt-Musterverträge oder zumindest IT-Einkaufsbedingungen und einen Muster-Auftragsverarbeitungsvertrag vorzuhalten und zu versuchen, eigene Vertragsmuster bzw. IT-Einkaufsbedingungen gegenüber dem Anbieter durchzusetzen.
Bei der IT-vertragsrechtlichen Prüfung können Sie die nachfolgenden Checkliste IT Recht als Orientierungshilfe heranziehen. Diese bietet einen ersten Überblick über die IT-rechtlichen Anforderungen von Digitallösungen, ohne einen Anspruch auf Vollständigkeit zu erheben:
Checkliste IT-Recht
- Beim Einkauf digitaler Lösungen muss der Lizenzumfang passen. Achten Sie darauf, dass Sie das für Ihr Unternehmen und Ihren Zweck passende Lizenzmodell auswählen bzw. verhandeln.
- Sofern Sie Software nicht kaufen, sondern nur befristet nutzen wollen (z.B. Miete, SaaS), machen Sie sich Gedanken über Verfügbarkeiten. Gerade bei business-kritischen Anwendungen sollte darauf geachtet werden, dass der Anbieter eine möglichst hohe Verfügbarkeit zusichert. An die Nichteinhaltung dieser Verfügbarkeit sind Rechtsfolgen üblicherweise in Form von sog. Service Credits, die mit einer Vertragsstrafe vergleichbar sind, sowie ein außerordentliches Kündigungsrecht zu knüpfen.
- Schließen sie passende Wartungs- und Supportverträge ab. Über die Vereinbarung sog. Service Levels stellen Sie sicher, dass eine Digitallösung im Falle ihres Ausfalls möglichst rasch wiederhergestellt wird, indem der Anbieter Ihnen z.B. eine 24/7-Erreichbarkeit seiner Support-Hotline zusagt und Sie Reaktions- und im besten Fall auch Lösungszeiten festlegen, innerhalb derer der Anbieter auf Ihr Support-Ticket reagieren (Reaktionszeit) und das von Ihnen aufgezeigte Problem beseitigen (Lösungszeit) muss.
- Von besonderer Bedeutung ist die Frage der Rechteverteilung/-einräumung. Klären Sie daher: Wer ist der Inhaber der Rechte und wer darf die Rechte in welchem Umfang nutzen? Lassen Sie sich eine Digitallösung individuell entwickeln und wollen Sie sich dadurch Vorteile gegenüber Ihren Mitbewerbern sichern, sollten Sie sich Rechte zumindest für einen gewissen Zeitraum ausschließlich einräumen lassen.
- Denken Sie an die Abnahme oder das Erreichen von Milestones und die daran geknüpften Rechtsfolgen. Umfangreichere Softwareprojekte verzögern sich in der Praxis leider häufig. Neben einem guten Projektmanagement sind daher auch Verträge mit klaren Regelungen und Rechtsfolgen zu empfehlen. Dabei können z.B. Vertragsstrafen oder pauschalierter Schadensersatz im Fall des Nichterreichens bestimmter vereinbarter Milestones Anreize für den Anbieter schaffen, rechtzeitig zu leisten. Ihr Projektmanagement muss Projektverzögerungen sauber dokumentieren und den Anbieter ggf. auch noch einmal schriftlich zur Leistung auffordern, um Vertragsstrafen oder pauschalierten Schadensersatz gegenüber dem Anbieter geltend machen zu können.
- Die Gewährleistung und Haftung spielen bei jedem Vertrag eine wichtige Rolle. Auch hierauf sollte ein Augenmerk gelegt werden.
Stellen Sie bei der IT-rechtlichen Prüfung fest, dass die Regelungen Sie als Kunden stark benachteiligen, in dem etwa die Gewährleistung und Haftung des Anbieters weitgehend ausgeschlossen werden, oder z.B. der geregelte Lizenzumfang nicht den von Ihnen beabsichtigten Nutzungszweck erfüllt, weil u.U. ein ausdrückliches Nutzungsrecht für Tochterunternehmen fehlt und die Unterlizenzierung und Übertragung untersagt werden, lohnen sich Verhandlungen mit dem Anbieter. Lassen sich nicht alle Wünsche dabei umsetzen, müssen Sie intern abstimmen, welche Regelungen noch akzeptiert werden können.
Aus datenschutzrechtlicher Sicht sind insbesondere die nachfolgend in der Checkliste Datenschutz aufgeführten Anforderungen aus der DSGVO zu beachten und umzusetzen:
Checkliste Datenschutz
- Anbieter von Digitallösungen werden in den meisten Fällen personenbezogene Daten in Ihrem Auftrag verarbeiten, dann müssen Sie einen Auftragsverarbeitungsvertrags, der die Anforderungen des Art. 28 DSGVO erfüllt, mit dem Anbieter abschließen. Legen Sie ausnahmsweise die Mittel und Zwecke der Verarbeitung gemeinsam mit dem Anbieter fest, sind Sie gemeinsam Verantwortliche und eine Vereinbarung gemäß Art. 26 Abs. 1 S. 1 DSGVO ist mit dem Anbieter abzuschließen. Gemeinsam Verantwortliche sind z.B. nach dem Urteil des EuGH in der Rechtssache C‑210/16 Facebook Fanpage-Betreiber und Facebook.
- Stellen Sie beim Einsatz von digitalen Lösungen von Anbietern aus Drittstaaten (z.B. USA) sicher, dass die Datenübermittlung nur vorbehaltlich geeigneter Garantien (z.B. Angemessenheitsbeschluss, EU-Standardvertragsklauseln, Corporate Binding Rules) im Sinne der DSGVO erfolgt (siehe dazu auch unten unter Exkurs).
- Achten Sie darauf, dass der Anbieter der Digitallösung den datenschutzrechtlichen Grundsatz privacy by design umgesetzt hat, indem seine Lösung datenschutzfreundliche Voreinstellungen ermöglicht sowie Löschroutinen und Zugriffskonzepte vorsieht. Stellen Sie sicher, dass die Digitallösung so konfiguriert ist, dass die datenschutzfreundlichen Voreinstellungen aktiviert sind.
- Sobald Sie personenbezogene Daten verarbeiten, müssen Sie die betroffenen Personen, z.B. Ihre Mitarbeiter oder Ihre Kunden gemäß Art. 13 DSGVO umfassend u.a. über die Zwecke der Datenverarbeitung, die Rechtsgrundlage, Datenempfänger und ihre Betroffenenrechte informieren.
- Schließlich haben Sie auch für die Verarbeitungstätigkeit, die Sie durch die Digitallösung optimieren, ein Verzeichnis mit den Angaben nach Art. 30 DSGVO zu führen. Hierbei bietet sich die Nutzung eines Datenschutzmanagementsystems (z.B. unser Tool PLANIT // PRIMA) an.
- Im Einzelfall etwa bei Verwendung neuer Technologien (z.B. AI) kann die Durchführung einer Datenschutzfolgenabschätzung erforderlich sein (vgl. Art. 35 DSGVO).
Ergibt die datenschutzrechtliche Prüfung, dass der Auftragsverarbeitungsvertrag Regelungen vorsieht, die gegen die DSGVO verstoßen, weil z.B. Auditrechte des Verantwortlichen zu stark eingeschränkt werden oder personenbezogene Daten nach Beendigung der Verträge auch aufgrund von sich aus jeder Rechtsordnung ergebenden Aufbewahrungspflichten weiterhin gespeichert werden können, sind Änderungen des Auftragsverarbeitungsvertrags gegenüber dem Anbieter durchzusetzen. Da auch der Abschluss eines DSGVO-widrigen Auftragsverarbeitungsvertrags bußgeldbewährt ist. In der Checkliste Datenschutz aufgezeigte Informations- und Dokumentationspflichten können Sie intern umzusetzen und sind dabei etwa nicht auf die Mitwirkung des Anbieters angewiesen.
Exkurs: Datentransfers in Nicht-EWR Staaten, insbesondere die USA
Datenübermittlungen insbesondere in die USA, in denen die meisten Anbieter gängiger Digitallösungen oder zumindest ihre Muttergesellschaft ihren Sitz haben, sind seit dem 16. Juli 2020 deutlich erschwert worden. Denn am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in seinem Urteil in der Rechtssache C-311/18 Data Protection Officer v Maximilian Schrems und Facebook Ireland („Schrems II“) das sog. EU-US Privacy Shield für ungültig erklärt. Nach der Rechtsprechung des EuGH können Datenübermittlungen in die USA zurzeit wohl auch nur noch in Ausnahmefällen auf die sog. EU-Standardvertragsklauseln gestützt werden und es bedarf in jedem Fall „zusätzlicher Maßnahmen/Garantien“. Grund hierfür sind die staatlichen Überwachungsprogramme in den USA wie u.a. UPSTREAM und PRISM, die es nahelegen, dass sich US Anbieter von Digitallösungen nicht an die EU-Standardvertragsklauseln halten können, weil sie aufgrund der diesen Programmen zugrundeliegenden Gesetze zur Herausgabe von Daten an US-amerikanische Sicherheitsbehörden gezwungen sind. Sie müssen aber als Verantwortlicher vor einer Datenübermittlung in die USA prüfen und sicherstellen, dass sich der Anbieter als Auftragsverarbeiter an die EU-Standardvertragsklauseln halten kann. Nach der Orientierungshilfe des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg sind „zusätzlichen Maßnahmen/Garantien“ zumindest Verschlüsselung durch eigenverwaltete Schlüssel, die weder der US Anbieter noch der US Geheimdienst brechen können, sowie Anonymisierung. Es scheint auch möglich, Daten in Europa hosten zu lassen, sofern der US-Provider Regionen zur Auswahl stellt, und mit dem Provider zu vereinbaren, dass keine Datentransfers in die USA erfolgen. Der Europäische Datenschutzausschuss prüft zurzeit noch, welche zusätzlichen Maßnahmen ein Verantwortlicher aus rechtlicher, technischer und organisatorischer Sicht ergreifen kann.
Beim Einkauf von Digitallösungen sollte daher stets geprüft werden, ob es eine europäische Alternative zu den meist favorisierten US Produkten gibt. In einigen Bereichen ist dies mittlerweile der Fall. Die sich aus dem Urteil des EuGH ergebenden Unsicherheiten sind andernfalls frühzeitig beim Anbieter zu adressieren und die eigenen Risiken etwa – sofern der Anbieter dies technisch ermöglicht – durch die Auswahl der Region Europa unter Vermeidung von Datenflüssen in die USA zu minimieren.
Fazit
Eine Investition in Digitallösungen lohnt sich durch die aufgezeigten Spar- und Optimierungspotentiale. Wegen der Corona-Pandemie sind reibungslose Geschäftsabläufe in Ihrem Unternehmen ohne die Nutzung von Digitallösungen kaum aufrecht zu erhalten. Bei der Beschaffung sind aber IT- und datenschutzrechtliche Anforderungen einzuhalten und umzusetzen, Anbieter sorgfältig auszuwählen und IT-rechtliche Verträge sowie Auftragsverarbeitungsverträge sorgsam zu prüfen und ggf. zu verhandeln. Außerdem sind datenschutzrechtliche Informations- und Dokumentationspflichten zu erfüllen und insbesondere Datenschutzhinweise sowie ein Verarbeitungsverzeichnis zu erstellen. Die datenschutzrechtliche Entwicklung hinsichtlich der Datenübermittlung in die USA bleibt abzuwarten und sollte von Ihnen oder Ihrem Datenschutzbeauftragten aufmerksam verfolgt werden.