Web Services und Datenschutz – Haftungsfalle für Administratoren? (Teil 2)

Wer haftet?

Die Haftung von leitenden Angestellten und Mitarbeiter eines Unternehmens ergibt sich im Prinzip aus den allgemeinen Regeln des Arbeitsrechts. Dies bedeutet jedoch im Umkehrschluss für den Unternehmer, dass der Gestaltung des Arbeitsvertrages mit dem IT-Verantwortlichen besondere Aufmerksamkeit zukommen sollte. Kritisch muss man hier jedoch sehen, dass Administratoren und IT-Verantwortliche oft nicht die nötige Unterstützung und finanziellen Mittel erhalten, die nötig sind um den gesetzlichen Anforderungen gerecht zu werden. Hier liegt es am Administrator seine Forderungen schriftlich bei der Unternehmensleitung geltend zu machen, um im Streitfall beweisen zu können, dass auf bestimmte Sicherheitslücken oder Missstände hingewiesen wurde, diese aber aus Kostengründen oder anderen firmenpolitischen Entscheidungen nicht behoben wurden.

Grundsätzlich ist es für den Arbeitgeber jedoch nicht erforderlich, dem IT-Verantwortlichen oder Administrator eine ranghohe Stellung im Unternehmen einzuräumen, wie dies beispielsweise bei einem Datenschutzbeauftragten erforderlich ist. Das bedeutet, der IT-Verantwortliche nimmt gegenüber dem Datenschutzbeauftragten – mit dem er übrigens nicht personenidentisch sein darf – eine haftungsrechtlich durchaus privilegiertere Position ein. Eine Haftungsbeschränkung zu Gunsten des IT-Verantwortlichen ist über den Arbeitsvertrag leichter herbeizuführen, als eine Haftungsbeschränkung für einen Datenschutzbeauftragten. Dieser haftet bei schweren Versäumnissen stets auch persönlich.

Mit der Wahrnehmung von IT-Aufgaben beauftragte Dritte haften in der Regel für Pflichtverletzungen aus dem entsprechen Dienst- oder Werkvertrag. So haftet beispielsweise ein extern bestellter Datenschutz- oder IT-Beauftragter direkt aus seinem Vertrag mit dem Auftraggeber. Unternehmen die IT-Outsourcing anbieten müssen sich darüber hinaus an besondere Vorschriften halten. So werden beispielsweise in der Spezialvorschrift des § 11 BDSG spezielle Anforderungen an die Durchführung der Auftragsdatenverarbeitung normiert. Den Auftraggeber wiederrum treffen hier besondere Auswahl- und Überwachungspflichten, die es einzuhalten gilt.

Was tun, wenn Sie als Entwickler im Rahmen eines Projektes darauf stoßen, dass die geplante und beauftragte Entwicklung datenschutzrechtlich bedenklich ist? Sprechen Sie Ihren Auftraggeber aktiv darauf an! Er wird es Ihnen danken und sich darüber freuen einen mitdenkenden Entwickler engagiert zu haben. Zwar ist nicht die Entwicklung an sich ein Haftungsgrund, sondern nur der spätere Einsatz des Programms, aber Sie sollten hier kein Risiko eingehen. Im Bereich der Vertragsgestaltung kann in diesem Zusammenhang nur dazu geraten werden, bereits im Softwareerstellungsvertrag zu regeln, dass seitens des Entwicklers keine Rechtskonformität hinsichtlich der Verwendungsmöglichkeiten des Programms geschuldet wird.

Fazit

Getreu dem Grundsatz „Gefahr erkannt – Gefahr gebannt“ sollten Sie als Administrator und IT-Verantwortlicher bei der Konzeption und dem Betrieb von IT-Systemen und Web Services stets darauf achten, welche Art von Daten gespeichert, verarbeitet und genutzt wird und wer Zugriff auf diese Daten haben muss. Unnötige Zugriffsrechte (Fußnote) sind unter Berufung auf Datenschutzvorschriften auf das gesetzliche Mindestmaß einzuschränken. Um die persönliche Haftung zu vermeiden sollten die als Verantwortlicher stets darauf achten, dass gesetzliche Vorgaben erfüllt werden. Im Zweifelsfall ist es daher immer ratsam den Datenschutzbeauftragten oder einen externen Berater hinzuzuziehen um Datenschutzvorkehrungen überprüfen zu lassen. Die hierfür entstehenden Kosten sind eine gute Investition, da die in diesem Bereich entstehenden Schäden das Unternehmen noch erheblich teurer zu stehen kommen können.


Kontakt: info@brennecke-rechtsanwaelte.de
Stand: 01.09.2007


Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.


Das Referat Datenschutzrecht wird bei Brennecke & Partner Rechtsanwälte betreut von:

Portrait Harald-Brennecke Harald Brennecke, Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz

Rechtsanwalt Harald Brennecke ist im Datenschutzstrafrecht als Strafverteidiger tätig.

Rechtsanwalt Brennecke hat zum Datenschutzrecht veröffentlicht:

  • „17 UWG – Betriebsgeheimnisse und Verrat durch (ehemalige) Mitarbeiter“, 2015, Verlag Mittelstand und Recht, ISBN 978-3-939384-38-0
  • "Einführung in das Datenschutzrecht", Kapitel im E-Business Handbuch für Entscheider, 2. Aufl., ISBN 3.540-43263-9, 2002, Springer-Verlag

Folgende Veröffentlichung von Rechtsanwalt Brennecke ist in Vorbereitung:

  • Einführung in das Datenschutzstrafrecht

Rechtsanwalt Brennecke war an der IHK Karlsruhe als Dozent für Datenschutzrecht tätig. Er ist Dozent für Datenschutzrecht an der DMA Deutsche Mittelstandsakademie.

Er bietet Schulungen, Vorträge und Seminare zu den Themen:

  • Schutz von Kundenadressen und Geschäftsgeheimnissen – 17 UWG in Theorie und Praxis
  • Datenschutzstrafrecht
  • Datenschutz in Franchisesystemen – Die unterschätzte Gefahr für Franchisesysteme

Kontaktieren Sie Rechtsanwalt Harald Brennecke unter:
Mail: brennecke@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28

 

Portrait Tilo-Schindele Tilo Schindele, Rechtsanwalt

Rechtsanwalt Schindele ist seit vielen Jahren im IT-Recht für einen weltbekannten IT-Konzern tätig.  
Er berät seit vielen Jahren Unternehmen auf dem Gebiet des Datenschutzrecht.
Er prüft und erstellt Datenschutzhinweise, Datenverarbeitungsvereinbarungen und Einwilligungserklärungen zwischen Unternehmen und Kunden. Er schult Datenschutzbeauftragte und Geschäftsleitungen in allen Fragen des Datenschutzrechtes. Er berät und prüft Datenschutzrechtsfragen in Bezug auf Auslagerungen und Austausch von Daten im internationalen Verkehr (safe harbour u.a.).

Rechtsanwalt Schindele ist Dozent für Arbeitsrecht an der Dualen Hochschule Stuttgart und Dozent für Datenschutzrecht und Arbeitsrecht an der DMA Deutsche Mittelstandsakademie.

Er bietet Schulungen, Vorträge und Seminare unter anderem zu den Themen:

  • Telematik – Rechtliche Probleme des Datenschutzes
  • Datenverarbeitungsverträge
  • Datenschutz in Arbeitsverhältnissen: Arbeitnehmerüberwachung, Arbeitnehmerdatenspeicherung etc.

Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:  
Mail: schindele@brennecke-rechtsanwaelte.de  
Telefon: 0711-896601-24

 

Portrait Guido-Friedrich-Weiler Guido Friedrich-Weiler, Rechtsanwalt, Fachanwalt für Arbeitsrecht

Rechtsanwalt Weiler berät und schult Arbeitgeber und Betriebsräte in allen Fragen des Arbeitnehmerdatenschutzes. Seine umfassende Lehrerfahrung ermöglicht es ihm, Fachanwälte für Arbeitsrecht in Spezialthemen wie der Arbeitnehmerüberwachung fortzubilden.

Als Trainer ist Guido-Friedrich Weiler bei diversen Dax-30-Unternehmen anerkannter Spezialist, wenn es um arbeitsrechtliche Fragen von Datenschutz, Innenrevision oder Compliance geht. In Kooperation mit IT-Sicherheitsunternehmen und Herstellern von Antivirenprogrammen hält er regelmäßig Vorträge zu rechtskonformem Einsatz von IT-Security.

Er publiziert regelmäßig zu arbeitsrechtlichen Themen, insbesondere zu Fragen der Arbeitnehmerüberwachung.

Von 1999 bis 2006 war Guido-Friedrich Weiler bei der Ernst & Young AG Wirtschaftsprüfungsgesellschaft tätig.

Guido Friedrich-Weiler ist

  • Lehrbeauftragter an der Verwaltungs- und Wirtschaftsakademie Hellweg-Sauerland in Soest
  • Lehrbeauftragter an der F.O.M. Fachhochschule für Ökonomie und Management in Bonn, Köln und Aachen
  • Lehrbeauftragter an der Rheinische Fachhochschule Köln
  • Dozent an der DMA Deutsche Mittelstandsakademie
  • Dozent bei EIDEN JURISTISCHE SEMINARE
  • Vorstand des Bundesverbandes Deutscher Interimmanager und Consultants
  • Lehrbeauftragter bei dem Bildungszentraum der Bundeswehr Mannheim

Ferner ist Herr Weiler Referent für

  • Management Circle
  • Haub & Partner
  • IMW Bildungsinstitut der Mittelständischen Wirtschaft
  • W.A.F. Betriebsrätefortbildung

Er bietet Schulungen, Vorträge und Seminare zu den Themen:

  • Datenschutz und Compliance
  • Arbeitnehmerdatenschutz
  • Überwachung von Arbeitnehmern: Möglichkeiten und Grenzen
  • Kontroll- und Überwachungsmöglichkeiten durch interne Revision
  • Recht für Revisoren
  • Persönliche Haftung des Risikomanagers
  • Betriebsvereinbarungen zum Thema Datenschutz und Videokameras
  • BYOD – Herausforderungen für Arbeitgeber
  • Emailarchivierung

Kontaktieren Sie Rechtsanwalt Guido-Friedrich Weiler unter:
Mail: weiler@brennecke-rechtsanwaelte.de
Telefon: 0221-165377-85

 


Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosDatenschutzrecht