Rechtliche Aspekte der IT Prof. lic. iur. Ursula Sury, Rechtsanwältin
Ziel der Veranstaltung Sensibilisierung der Teilnehmer auf rechtliche Belange des IT-Rechts Teilnehmer erhalten ein Problembewusstsein für Rechtsfragen im Bereich IT Ziel der Veranstaltung ist es, den Teilnehmern, ohne Anspruch auf Vollständigkeit, einen Einblick in einige rechtliche Bereiche zu geben, welche die IT-Sicherheit beeinflussen. Die Teilnehmer sollen beurteilen können, wann Fachpersonen beigezogen werden müssen.
IT-Recht ist eine interdisziplinäre Herausforderung! Technik Recht Management Um das Ziel „Sicherheit in der Informatik“ erreichen zu können, bedarf es einer interdisziplinären Zusammenarbeit. Datensicherheit ist somit nicht die alleinige Aufgabe eines Einzelnen (wie z. Bsp. des Chefs der Informatikabteilung), sondern eine Aufgabe, die ständig und von jedem einzelnen Mitarbeiter wahrgenommen werden muss. Wird diese Pflicht in einem Unternehmen völlig vernachlässigt, so können im Ernstfall auch die Organe einer juristischen Person dafür zur Verantwortung gezogen werden!
Einige rechtliche Aspekte der IT Datenschutz und Datensicherheit Vertragsrecht Urheberrecht Internationales Privatrecht etc. Es handelt sich bei dieser Aufzählung um einige Rechtsgebiete, welche Einfluss auf die IT-Sicherheit haben. So ist beispielsweise bei der Zusammenarbeit mit einem ausländischen Anbieter zu beachten, welches Recht als anwendbar vereinbart wird. Davon hängt wiederum die Gültigkeit einer eventuellen Gerichtstandsvereinbarung ab.
Datenschutz Datenschutz ist Persönlichkeitsschutz! Geschützt werden nicht die Daten als solche, sondern die Person, zu der die Daten gehören.
Personendaten (Art. 3 lit. a DSG ) Alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche oder juristische Person beziehen. Zu den Personendaten zählen somit nicht nur die Haarfarbe, die Augenfarbe und der Name, sondern eventuell auch die Autonummer oder der Domainname sowie die Telefonnummer. Nur wenn Personendaten vollständig anonymisiert sind, muss man bei ihrer Bearbeitung die datenschutzgesetzlichen Vorschriften nicht beachten.
Gesetzliche Grundlagen Eidgenössisches Datenschutzgesetz (DSG) Verordnung zum Eidgenössischen Datenschutzgesetz (VDSG) Kantonale Datenschutzgesetze Das Datenschutzgesetz des Bundes regelt die grundsätzlichen Datenschutzanliegen der natürlichen und juristischen Personen, und zwar von Privatpersonen und Bundesorganen. Die kantonalen Datenschutzgesetze regeln den Schutz personenbezogener Daten, bzw. der Persönlichkeit gegenüber den kantonalen- oder Gemeindebehörden. Sie finden Anwendung auf die Kantone und die anderen Gemeinwesen gemäss §1 des Gesetzes über die Verwaltungsrechtspflege.
Das Bearbeiten von Personendaten (Art. 3 lit. e DSG) Unter Bearbeiten versteht man jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Erheben Aufzeichnen Sammeln Verwenden Umarbeiten Bekannt geben Archivieren oder Vernichten von Daten Auch das blosse „Haben“ von Daten muss somit bereits nach den Grundsätzen des Datenschutzgesetzes erfolgen!
Besonders schützenswerte Personendaten (Art. 3 lit.c DSG ) Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen Diese Personendaten werden vom Gesetzgeber einem besonderen Schutz unterstellt. Bei ihrer Bearbeitung wird auch ein höherer Massstab an die Datensicherheit gelegt.
Persönlichkeitsprofil Zusammenstellung von Daten, welche eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Persönlichkeitsprofile können auf vielfache Weise entstehen: Personaldossier Provider erstellen Nutzerprofile über ihre Kunden etc. Besonders schützenswerte Personendaten und Persönlichkeitsprofile dürfen nicht ohne die Zustimmung des Betroffenen an Dritte weitergegeben werden. Eine Weitergabe kann beispielsweise auch durch die Gewährung des Online-Zugriffs erfolgen. Wenn beispielsweise eine neue Informatiklösung erstellt wird, um Personaldaten eines Grossunternehmens mit mehreren Tochtergesellschaften zentral zu verwalten, wobei den einzelnen Tochtergesellschaften der Online-Zugriff auf diese Daten gewährt wird, so muss die Zustimmung der betroffenen Arbeitnehmer eingeholt werden.
Allgemeine Grundsätze Personendaten dürfen nur rechtmässig beschafft werden, ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Personendaten dürfen nur zu dem Zweck bearbeitet werden, zu dem sie ursprünglich beschafft oder der Behörde bekannt gegeben worden sind. Bei der Bearbeitung von Personendaten muss somit immer das Mittel gewählt werden, welches den geringsten Eingriff in die Persönlichkeitsrechte des Betroffenen darstellt. Der Gesetzgeber sagt nicht, dass nur richtige Daten bearbeitet werden dürfen. Der Grundsatz der Zweckmässigkeit bewirkt somit, dass man Personendaten, welche man zum Abschluss eines Vertrages erhoben hat, nicht ohne Zustimmung des Betroffenen für Marketingzwecke an Dritte weiterverkaufen darf.
Auskunftsrecht (Art. 8 DSG) Jeder kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob dieser Daten über ihn bearbeitet. Die Auskunft muss schriftlich erfolgen und ist in der Regel kostenlos. Wird eine IT-Lösung erstellt, mit welcher personenbezogene Daten auf möglichst effiziente Weise bearbeitet werden sollen, so muss von Anfang an auch der Gesichtspunkt des Auskunftsrechts mitberücksichtigt werden. Denn die maximale Kostenbeteiligung von CHF 300, welche die Verordnung zum DSG für den Fall vorsieht, dass ein besonders grosser Aufwand bei Erteilung der Auskunft erforderlich ist, kann wegen der eigenen „Missorganisation“ nicht geltend gemacht werden.
Datensicherheit (Art. 7 DSG i. V. m. Art. 8-12 VDSG) Die Gesamtheit aller personellen, organisatorischen und technischen Massnahmen, die erforderlich sind, um Daten gegen den Verlust der Vertraulichkeit, der Verfügbarkeit und Integrität angemessen zu schützen (Urs Belser, IT-Security Special, Januar 2002, Seite 36 ff..) Datensicherheit wird häufig mit Datenschutz gleichgestellt, es wird also angenommen, dass sich Datenschutz auf den Einsatz von Firewalls, die Verwendung von Passwörtern, etc. beschränkt. In Wahrheit handelt es sich bei der Datensicherheit aber um die „ Mittel und Massnahmen zur Umsetzung von Datenschutz“.
Rechtliche Aspekte der Datensicherheit Datensicherheit beginnt bereits mit der Gestaltung und dem Abschluss von „sicheren Verträgen“.
Verträge Outsourcing Lizenzvertrag Wartungsvertrag Gemeinsame Softwareentwicklung Es handelt sich um Vertragsarten, welche im Geschäftsleben häufig vorkommen. Im Folgenden sollen einige rechtliche Aspekte genauer betrachtet werden, welche aus der Sicht des Anwenders einer Informatiklösung bereits bei der Gestaltung der Verträge berücksichtigt werden sollten.
Darum prüfe, wer sich ewig bindet! Durch Wartungs- und Weiterentwicklungs-verpflichtungen entstehen oft langjährige vertragliche Beziehungen, die entsprechend zu pflegen sind.
Die wechselseitige Abhängigkeit von Anwender und Anbieter Anwender hat grossen finanziellen Verlust und/oder er kann die Software nicht ohne die Hilfe des Anbieters warten und weiterentwickeln Anbieter hat personelle und finanzielle Ressourcen geplant und erleidet eventuell zum finanziellen Verlust noch Goodwillverlust Kaum ein Unternehmen, ob Anwender oder Anbieter, kann das Scheitern eines IT-Projekts ohne weitreichende Folgen für das Unternehmen verkraften.
Vor Vertragsabschluss Sorgfältige Auswahl des Vertragspartners Einholen von Vergleichsofferten Einholen von Referenzen Ausarbeiten eines durchdachten Vertrages
Der Vertragsinhalt Einige Punkte sollten unabhängig von der Vertragsart in jedem Vertrag berücksichtigt und geregelt werden. Im Folgenden sollen einige Punkte erörtert werden, welche bei allen vorhin angesprochenen Vertragsarten stets zu bedenken sind.
Bestimmen Sie den Vertragsgegenstand! Pflichtenhefte, Detailkonzepte, Offerten, etc. gehören als Anhänge zum Vertragsbestandteil Eine Rangordnung bestimmt, welches Dokument vorgeht Häufig kümmern sich die Parteien um diverse technische Details, vergessen aber zu beschreiben, worum es in dem Vertrag genau geht. Sollte es aus einem solchen Vertrag zu Streitigkeiten kommen, müsste ein Richter nachträglich den ursprünglichen Parteiwillen eruieren.
Gewährleistung und Garantie Welche Rechte bestehen bei Mängeln? Gewährleistungsansprüche gemäss OR können ausgeschlossen werden Garantie ist die vertragliche Verpflichtung zur Behebung von Mängeln in einer bestimmten Frist Es lohnt sich, noch vor Unterzeichnung des Vertrages Garantiebestimmungen auszuhandeln. Nach Ablauf der Garantiefrist sollte ohne Unterbrechung ein Wartungsvertrag zu laufen beginnen! Achtung! Viele IT-Verträge sehen zwar Garantiefristen vor, bestimmen aber gleichzeitig, dass der Wartungsvertrag mit Installation der Software zu laufen beginnt.
Haftungsbestimmungen in den Verträgen beachten! Haftung für Absicht und grobe Fahrlässigkeit kann nicht ausgeschlossen werden Haftung häufig nur für direkte Schäden Haftung für Folgeschäden ist beinahe immer ausgeschlossen Häufig besteht eine summenmässige Beschränkung der Haftung Die Haftungsbestimmungen enthalten regelmässig eine mehr oder weniger starke Beschränkung der Haftung des Anbieters einer IT-Lösung.
Geheimhaltung Geschäfts- und Betriebsgeheimnisse Konventionalstrafen Die „sicherste“ IT-Lösung schützt Sie nicht davor, dass Ihr Vertragspartner am Abend bei einem Bier seinen Kollegen Ihre Geschäftsgeheimnisse preisgibt! Nicht nur die Unternehmen, auch deren Mitarbeiter sollten verpflichtet sein, die gesetzlichen Anforderungen an Datenschutz- und Datensicherheit zu achten.
Escrow Agreement Die Fertigstellung der Software, die Wartung und Weiterentwicklung sind nicht mehr gesichert Anwender muss auf den Quellcode zurückgreifen können, um die ordnungsgemässe Nutzung der Software sicherzustellen Dieser Punkt sollte bereits während der Vertragsverhandlungen diskutiert werden. Je wichtiger das Funktionieren der Software für Ihr Unternehmen ist, umso wichtiger ist die Sicherstellung der Zugriffsmöglichkeit auf den Quellcode für den Fall, dass der Anbieter aus irgend welchen Gründen seinen Pflichten nicht mehr nachkommen kann. Es gibt bereits Unternehmen, welche sich auf die Hinterlegung des Quellcodes spezialisiert haben und diese Dienstleistung im Rahmen eines sog. „Escrow Agreements“ anbieten. Meist verpflichtet sich der Hinterleger dazu, zu überprüfen, ob regelmässig Kopien des Quellcodes hinterlegt werden und ob auf den Bändern oder CD-ROMs auch tatsächlich der vertraglich vereinbarte Code abgespeichert ist.
Schutzrechte Urheberrecht Markenrecht etc. Wird beispielsweise eine neue Softwarelösung erstellt, dann ist es wichtig, bereits vor Vertragsabschluss festzulegen, wem die Rechte daran gehören. Wird nichts anderes vereinbart, dann bleiben die Rechte beim Urheber (somit beim Programmierer der Software).
Welche Rechte hat der Urheber? Der Urheber hat das Recht zu bestimmen, ob, wie und wann sein Werk verwendet werden darf. Der Urheber hat das Recht, als Urheber bezeichnet zu werden. Man bezeichnet diese Rechte auch als Ausschliesslichkeits- oder Monopolrechte. Der Urheber ist immer die natürliche Person, die das Werk geschaffen hat.
Computerprogramme Art. 17 URG kennt eine sog. Legalzession (Übertragung von Gesetzes wegen): Wird in einem Arbeitsverhältnis bei Ausübung dienstlicher Tätigkeit sowie in Erfüllung vertraglicher Pflichten (Pflichtwerk) ein Computerprogramm geschaffen, so ist der Arbeitgeber allein zur Ausübung der ausschliesslichen Verwendungsbefugnisse berechtigt. Achtung! Sollen die Rechte an der Software vollständig an die Kunden weitergegeben werden (Individualsoftware), so muss der Arbeitgeber die Übertragung sämtlicher Rechte mit dem Arbeitnehmer vereinbaren. Das Gesetz gibt dem Arbeitgeber nur das Nutzungsrecht.
Und doch kann man Konflikte nicht ausschliessen! Der Weg vor Gericht ist zeit- und kostenintensiv für beide Parteien und endet häufig mit einem Vergleich! Auch wenn ein sehr guter Vertrag ausgearbeitet wird, kann es zu Konflikten kommen.
Konfliktmanagement Konfliktmanagement in Verträgen vorsehen Neutraler Dritter versucht, gemeinsam mit Parteien Lösung zu finden Kosten werden meist gemeinsam getragen
Zusammenarbeitsvertrag Anbieter und Anwender vereinbaren, auf ein gemeinsames Ziel hinzuarbeiten 2 Anwender schliessen sich zusammen und beauftragen einen Anbieter mit der Erstellung der von ihnen geplanten Lösung Häufig findet man Zusammenarbeitsverträge im Zusammenhang mit der Erstellung von sogenannten „Branchenlösungen“.
Legen Sie den Projektablauf fest! Benennung der Ansprechpartner Regelmässige Sitzungen mit Sitzungsprotokollen schaffen Sicherheit für beide Seiten Bereitstellung von genügend personeller Ressourcen auf beiden Seiten
Wählen sie ein phasenweises Vorgehen! Grobkonzept Detailkonzept Projektentscheid Realisierung Es ist eine Besonderheit von Informatikverträge, dass der Vertragsgegenstand meist nicht bereits vor Vertragsunterzeichnung genau festgelegt werden kann, da sich die endgültige Lösung erst im Verlauf des Projekts ergibt. Um im Streitfall nachweisen zu können, von welchen Vorgaben man ausgegangen ist, sollte phasenweise dokumentiert werden, wie die Lösung auszusehen hat.
Miturheberschaft Beide Parteien müssen gemeinsam bestimmen, was mit dem fertigen Werk passiert Die Weiterentwicklung, die Vermarktung und der Vertrieb erfolgen nur aufgrund von gemeinsamen Beschlüssen Bereits bei Ausarbeitung des Vertrages sollten die Urheberrechte einer Partei übertragen werden Durch die enge Zusammenarbeit von Anwender und Anbieter entsteht oft Miturheberschaft gemäss URG 7.
Outsourcingvertrag Die Übertragung der Betriebsverantwortung eines gesamten Informationssystems vom Kunden (Outsourcer) auf einen Dritten (Outsourcing-Unternehmen)
Was ist besonders zu beachten? Genaue Regelung der Verantwortlichkeiten Kommunikation zwischen Outsourcer und Outsourcing-Unternehmen Vertragsdauer und Kündigungsmöglichkeiten Wenn das Bearbeiten von Daten ausgelagert wird, dann muss der Auftraggeber dafür besorgt sein, dass die Daten dabei nur so bearbeitet werden, wie er es selbst tun dürften und keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.
Lizenzverträge Werden Daten mit Software bearbeitet, welche man bei einem Dritten lizenziert hat, dann sind im Rahmen der Datensicherheit insbesondere die folgenden Punkte zu berücksichtigen: Umfang des Nutzungsrechts Vertragsdauer Kündigungsmöglichkeiten Haftung Gewährleistung und Garantie
Wartungsverträge Anwender ist auf Anbieter angewiesen, da er die Software meist nicht selbst warten kann.
Datensicherheit in Wartungsverträgen Bereitschafts- und Reaktionszeiten müssen mit den Anforderungen des Anbieters übereinstimmen! Escrow Agreement Kündigungsfristen Wartungskosten: eventuell Anpassung nur gebunden an Teuerung
Holen Sie im Zweifelfall fachmännischen Rat! Ziehen Sie zur Ausarbeitung oder zur Überprüfung von Verträgen Fachleute bei! Auch vorgedruckte Verträge müssen Sie nicht als unabänderbar hinnehmen!
Pendente Gesetzgebungsverfahren Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) Bundesgesetz über den elektronischen Geschäftsverkehr Bundesgesetz über den Datenschutz im weiteren zum Teil auch relevant: z. B. Totalrevision der Bundesrechtspflege
Weiterbildungsangebote Institut für Wirtschaftsinformatik Executive Master of Business Information Technology (NDS Wirtschaftsinformatik) Executive Master of Information Security (NDS Informatiksicherheit) Executive Master of Economic Crime Investigation (NDS zur Bekämpfung der Wirtschaftskriminalität) NDS e-Project Management NDS e-Strategies NDK Datenschutz und Informatiksicherheit NDK Internet Enabler NDK e-Business NDK e-Economy Neu: IT-Security Lab (Theorie und Praxis / mehrtägige Workshops)
Ich danke für Ihre Aufmerksamkeit! HINWEISE AUF PUBLIKATIONEN www.advokatinnen.ch WEITERBILDUNGSMÖGLICHKEITEN www.hsw.fhz.ch