IT-Recht und Datenschutzrecht
Rechtliche Anforderungen an die IT und den Datenschutz in Unternehmen
Die Bezeichnung IT-Recht steht für Informationstechnologierecht und beschäftigt sich mit den Rechtsfragen rund um elektronische Datenverarbeitung. Die zugrundeliegenden Technologien haben sich rasant weiterentwickelt und entsprechend wandelte sich über die Zeit auch die Bezeichnung des Rechtsgebiets. So wurde es zunächst als Computerrecht oder EDV-Recht, später dann als Informatikrecht oder Softwarerecht bezeichnet. Von Internet- oder Multimediarecht wurde vor allem gesprochen, wenn es um Rechtsfragen des Internets ging. Heute Ist der Begriff IT-Recht gängig. Besondere Bedeutung kommt in diesem Zusammenhang dem IT-Vertragsrecht, dem Telemedienrecht, dem Urheberrecht und dem Datenschutzrecht zu. Gegenstand des Rechtsgebiets ist vor allem um die Erstellung von Verträgen in den Bereichen der Softwareüberlassung, Softwareerstellung, Softwarevermietung sowie des Software-Leasing, aber auch und gerade in Software as a Service (SAAS) Geschäftsmodellen und in der Erstellung einer maßgeschneiderten Datenschutzerklärung und Vereinbarungen zur gemeinsamen Auftragsverarbeitung. Die Entwicklung des IT-Rechts ist längst nicht abgeschlossen, sondern schreitet bedingt durch die zunehmende Digitalisierung der Wirtschaft weiter voran. Sowohl der europäische als auch der deutsche Gesetzgeber, Behörden und Gerichte setzen sich stetig mit den Fragen des IT-Rechts auseinander. Als Rechtsgrundlagen sind hier insbesondere die Datenschutz-Grundverordnung (DSGVO), das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), die Digitale-Inhalte-Richtlinie (EU) 2019/770, die EVB-IT sowie die Entschließungen, Beschlüsse, Kurzpapiere und Orientierungshilfen der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder relevant.
Datenschutzrecht und Anforderungen der BaFin an die IT Compliance
Neue Technologien bringen stetig neue Chancen für die Wirtschaft und so steht auch der Finanzsektor im Wandel. Die Zukunft und eigentlich auch die Gegenwart der Finanzindustrie sind digital. Die Zahl der FinTech Unternehmen und Startups in diesem Bereich wächst täglich an und Kryptowerte, Blockchain-Technologie und KI-Technologie werfen neue rechtliche Fragen im IT Recht, Urheberrecht, Datenschutzrecht sowie in der IT Sicherheit auf. Bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse kann zur Sicherstellung eines Grundschutzniveaus auf gängige Standards abgestellt werden. Zu diesen zählen beispielsweise der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik und die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization oder auch der Payment Card Industry Data Security Standard (PCI-DSS). Auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) stellt in diversen Rundschreiben stets neue Anforderungen an die IT von beaufsichtigten Unternehmen auf, die diese einhalten müssen, um den aufsichtsrechtlichen Anforderungen an die IT Sicherheit zu genügen. Zu denken ist hier insbesondere an die Mindestanforderungen an das Risikomanagement (MaRisk), die bankaufsichtsrechtlichen Anforderungen an die IT (BAIT) und die Zahlungsdienstaufsichtsrechtlichen Anforderungen an die IT (ZAIT). Ebenfalls relevant sind die Vorgaben des Digital Operational Resilience Act (DORA), die ab dem 17. Januar 2025 Rechtswirkung entfalten. In der MaRisk hat die BaFin unter anderem die Leitlinien der Europäischen Bankaufsichtsbehörde (EBA) umgesetzt. Die MaRisk stellt an Kreditinstitute klare Anforderungen hinsichtlich des Risikomanagements und der IT-Systeme. Diese in der MaRisk festgelegten Anforderungen an die IT werden in der BAIT weiter konkretisiert. In der ZAIT erläutert die BaFin, welche Anforderungen sie an eine ordnungsgemäße Geschäftsführung von Zahlungs- und E-Geld-Instituten mit Blick auf den Einsatz von Informationstechnik und Cybersicherheit stellt. Die ZAIT orientiert sich hierbei an den Anforderungen der BAIT und den Leitlinien der EBA zu Sicherheitsrisikomanagement und Auslagerungen.
Aufsichtsrechtliche Anforderungen an die Auslagerung von IT
Von Auslagerung wird im Aufsichtsrecht gesprochen, wenn es um die um die Auslagerung einzelner Funktionen, ganzer Organisationseinheiten oder von Unternehmensprozessen vom eigenen Unternehmen auf ein anderes geht. In der sich ständig weiterentwickelnden Finanzindustrie wird es immer üblicher, gerade bestimmte Funktionen der IT an spezialisierte Anbieter auszulagern. Hierbei müssen äußerst komplexe Verträge gestaltet werden, die nicht nur den zivilrechtlichen Anforderungen und dem Datenschutz, sondern auch den Anforderungen des Aufsichtsrechts genügen müssen. In diesem Zusammenhang sind insbesondere die Vorgaben aus den Rundschreiben der BaFin (MaRisk, BAIT, ZAIT) und die Vorgaben der European Banking Authority (EBA) zu berücksichtigen. Dies macht es erforderlich, Auslagerungsmaßnahmen genau zu planen und die zugrundeliegenden Verträge und datenschutzrechtlichen Vereinbarungen den Vorgaben entsprechend zu gestalten. Die ausgelagerte Tätigkeit muss klar definiert und der Leistungsbeschreibung erfasst, Informations- und Prüfungsrechte vereinbart und die Kotrollmöglichkeiten der Aufsicht sichergestellt werden. Ferner sind Regelungen zu treffen, die sicherstellen, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen gewahrt werden. Als Ausgangspunt für die IT-Sicherheit gilt, dass im Grundsatz auf die gängigen Standards wie bspw. der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik und die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization abzustellen ist.
Zuständiger Anwalt für Fragestellungen in Bezug auf IT Recht und Datenschutzrecht in unserer Kanzlei ist Rechtsanwalt Anton Schröder.