Cloud Computing, Outsourcing, Compliance – diese Herausforderungen bestimmen die tagtägliche Arbeit vieler CIOs im kommenden Jahr. Was es dabei technologisch zu beachten gilt, ist einem IT-Chef in aller Regel klar. Komplizierter sind aber die rechtlichen Probleme, die das Tagesgeschäft aufwirft. Selbst wenn es eine Rechtsabteilung im Unternehmen gibt, kommt die IT um juristische Fragen nicht immer herum. Die international tätige Kanzlei DLA Piper hat die wichtigsten Aufgaben im IT-Recht für 2011 zusammengestellt.
„Der CIO sollte analysieren, welche Aspekte dieser Rechtsagenda für sein Unternehmen von besonderer Bedeutung sind und welche Aspekte eher vernachlässigt werden können“, sagt Dr. Jan Geert Meents, Partner bei DLA Piper. „Ausgehend von einer solchen Prioritätenliste ist es empfehlenswert, gemeinsam mit der Geschäftsleitung und mit der Rechtsabteilung beziehungsweise mit auf IT-Recht spezialisierten Juristen festzulegen, wie mit den identifizierten Risiken umgegangen werden soll.“ Konkret listet DLA Piper acht Herausforderungen auf:
1. Projektverträge interdisziplinär aufsetzen: Die Kanzlei geht davon aus, dass im Projektmanagement in den kommenden Jahren kurze Vertragslaufzeiten vorherrschen – also Konsolidierung der Infrastruktur das Gebot der Stunde bleibt. Entscheider müssten vor diesem Hintergrund auf eine klare Aufgabenteilung zwischen Auftraggeber und Auftragnehmer achten, ebenso auf eine transparente Projektstruktur. Konkret müssten Leistungen und Mitwirkungsleistungen der Partner klar definiert werden. Angesichts der knappen Zeit sollten kaufmännische, technische und rechtliche Entscheider schon in der Projektierungsphase zusammenarbeiten.
2. Cloud Computing – Priorität Datensicherheit: Wie Studien immer wieder zeigen, ist Datensicherheit die Hauptsorge der Anwender beim Cloud Computing. Der Anbieter sei verpflichtet, geeignete Maßnahmen zu ergreifen und den Kunden über das Sicherheitskonzept zu informieren, stellt DLA Piper klar. 2011 sei damit zu rechnen, dass vor diesem Hintergrund verstärkt Service Levels vereinbart würden. Diese seien in einer Private Cloud prinzipiell leichter einzuhalten als in einer Public Cloud.
Darüber hinaus empfiehlt die Kanzlei, die Auslagerung in eine räumlich begrenzte Cloud in Erwägung zu ziehen sowie auf die Verschlüsselung vertraulicher Daten in der Wolke und auf Auswahl und Kontrolle der Subunternehmer des Providers zu achten.
Nicht auf Kooperation der Anbieter setzen!
3. Cloud Computing – Risiko Datenintegration: Die Anwälte stufen die technische Abhängigkeit des Anwenders vom Anbieter als ein Risiko ein, das künftig immer stärker zu Tage treten werde. Insbesondere dann, wenn Daten wieder an den Auftraggeber zurückzuführen seien. Deshalb sollte die Mitwirkungsleistung des Providers während der Migration der Daten vertraglich festgezurrt sein. Ebenso sollten bereits bei Vertragsbeginn das Datenformat, die Art und Weise der Rückgabe sowie die damit verbundenen Kosten vereinbart werden. Denn wenn das Ende der Zusammenarbeit bevorstehe, werde die Kooperationsbereitschaft des Anbieters niedrig sein, so DLA Piper.
4. Cloud Computing – Grenzbereiche: Bei der Abbildung der eigenen IT-Infrastruktur in der Wolke sollte besonders auf datenschutzrechtliche Anforderungen geachtet werden. Unternehmen hätte zu prüfen, in welchem Land personenbezogene Daten gespeichert werden und ob der Anbieter die deutschen Datenschutzrechtbestimmungen einhalte, so die Juristen. Länder außerhalb des Europäischen Wirtschaftsraumes seien datenschutzrechtlich als unsicher einzuordnen. Und im Schadensfalle hafte grundsätzlich das eigene Unternehmen für Datenlecks.
5. Der Handel mit gebrauchter Software: Noch ist unklar, ob und unter welchen Voraussetzungen der Handel mit gebrauchter Software und Lizenzen rechtmäßig ist. Im Frühjahr 2011 werde der Bundesgerichtshof darüber entscheiden, so die Kanzlei. Dann also dürfte feststehen, welche Beschränkungen des Weitervertriebs zulässig sind und welchen Regelungen der Anbieter sich Lizenznehmer beugen müssen. Für die Anwender ist also ein klarer Orientierungsrahmen in Aussicht.
„Die Einführung von Lizenzmanagement-Systemen sollte im Zuge der Entscheidung erfolgen“, rät DLA Piper. Auf dieser Grundlage lasse sich die aktuelle Lizenzsituation bewerten, ein Ausgleich eventueller Über- oder Unterlizenzierungen wäre auf valider Basis möglich.
6. Arbeitnehmerdatenschutz – Vorsicht beim grenzenlosen Datentransfer: Das deutsche Datenschutzrecht kennt kein Konzernprivileg, und das ist nach Einschätzung der Experten für IT-Recht 2011 höchst relevant für viele multi-nationale Unternehmen. Denn für die Zentralisierung wichtiger Prozesse stelle der deutsche Arbeitnehmerdatenschutz eine echte Hürde dar. Die Übermittlung von personenbezogenen Daten an eine andere Konzerngesellschaft unterliegt den gleichen Bedingungen wie der Datentransfer an fremde Dritte.
Social Media benötigt Richtlinien
„Zudem hat das Konzernunternehmen im Drittland ein angemessenes Datenschutzniveau mittels vertraglicher Regelungen sicher zu stellen“, so DLA Piper. Für Konzerne mit Sitz in den USA empfehle sich eine Selbstverpflichtung nach dem sogenannten Safe-Harbour-Program.
7. Compliance – geschäftliche Nutzung sozialer Netzwerke: Social Media ist für Unternehmen ein Hype-Thema, aber kein ungefährliches. 2011 müssten sich Firmen damit befassen, wie sich Mitarbeiter geschäftlich in sozialen Netzwerken bewegen dürfen, meint DLA Piper. Es gelte, nachteilige Auswirkungen für Mitarbeiter zu vermeiden, die im Unternehmensnamen auf Facebook, Twitter und Co. unterwegs seien. Zu gewährleisten sei außerdem eine einheitliche und stimmige Unternehmensdarstellung. Arbeitgeber und Betriebsrat sollten idealerweise eine interne Richtlinie dafür verabschieden, so die Anwälte.
8. Outsourcing – mehr Provider, mehr Risiken: Die Steuerung einer Vielzahl spezialisierter Dienstleister ist anspruchsvoll – auch in rechtlicher Hinsicht. Es sei darauf zu achten, Schnittstellen klar zu definieren und Klarheit über Verantwortlichkeiten zu schaffen, raten die Experten. Überdies müssten bei einer Strategie mit mehreren Providern Outsourcing-Verträge auf Schwachstellen untersucht und gegebenenfalls nachverhandelt werden.