Pflichten: Software
Auch bei der Anwendung von Software ist das Thema IT-Compliance zu beachten. Software muss so eingesetzt werden, dass personenbezogene Daten geschützt werden, eine ordnungsgemäße Archivierung von E-Mails stattfindet und keine fremden Urheberrechte verletzt werden. Auf dieser Seite finden Sie eine Übersicht zu den entsprechenden Pflichten.
Datenschutz
Gerade beim Einsatz von Software kommt es - oft ungewollt - zur Verletzung datenschutzrechtlicher Vorschriften. Insoweit ist eine Verarbeitung personenbezogener Daten (pD) beispielsweise nach § 4 BDSG nur zulässig, wenn sie durch eine Rechtsvorschrift oder durch die Einwilligung der Betroffenen erlaubt wird. Folgende Grundsätze sind bei der Verarbeitung von pD mittels Software zu beachten:
Die Erhebung von pD ist grundsätzlich zulässig. Unter den Begriff des Erhebens fallen u.a. Kundenbefragungen oder medizinische Untersuchungen.
Die Verarbeitung von pD (Speicherung, Veränderung, Übermittlung an Dritte, Sperrung, Löschung) steht unter einem Erlaubnisvorbehalt, d.h. grundsätzlich ist sie verboten. Die Verarbeitung ist ausnahmsweise erlaubt, wenn
- der Betroffene eingewilligt hat
- ein Tarifvertrag oder eine Betriebsvereinbarung die Verarbeitung erlaubt oder
- eine gesetzliche Vorschrift die Verarbeitung legitimiert.
Für die Einwilligung gilt § 4a BDSG. Hiernach ist zunächst vorab auf den Zweck der Speicherung und Verarbeitung hinzuweisen. Darüber hinaus ist die Einwilligung grundsätzlich in Schriftform zu verlangen; Ausnahmen hierzu existieren im Onlinebereich nach dem Telemediengesetz. Ein klauselmäßiges Einverständnis in AGB zur Telefonwerbung ist unwirksam (BGH XI ZR 76/ 98). Allerdings wird es teilweise im Bereich der Marktforschung und Werbung für zulässig gehalten, wenn der Betroffene es willentlich unterlassen hat, der Speicherung und Verarbeitung seiner Daten durch Setzen eines Kreuzes zu widersprechen, sog. Opt-Out (OLG München 29 U 2769/06, LG Köln 26 O 358/05). Eine mögliche Formulierung einer Einwilligung im Onlinebereich wäre etwa
„Wir möchten Sie darüber informieren, dass Ihre im Rahmen Ihrer Bestellung erhobenen Daten für die Durchführung und Abwicklung der Bestellung genutzt werden. Darüber hinaus möchten wir Ihren Name, Anschrift und Email-Adresse dafür verwenden, um Sie über ähnliche, für Sie interessante Produkte zu informieren. Hierzu brauchen wir Ihre Einwilligung, die Sie uns durch Anklicken des Ja-Buttons geben können. Für die Durchführung Ihrer Bestellung ist die Einwilligung nicht notwendig; Sie können frei darüber entscheiden, ob Sie uns Ihr Einverständnis für die Zusendung weiterer Informationen geben. Sofern Sie die Informationen künftig nicht mehr erhalten wollen, bitten wir um Zusendung einer kurzen Email an XXX.“
Tarifverträge oder Betriebsvereinbarung sind nach allgemeiner Ansicht in der Rechtsprechung (BAG 1 ABR 48/84) als "andere Rechtsvorschriften" i.S.d. § 4 BDSG anzusehen und damit als Ermächtigung in die Speicherung und Verarbeitung von pD zu bewerten. Sehen also Tarifverträge oder Betriebsvereinbarung die Speicherung und Erhebung von bestimmten pD der Mitarbeiter durch den Arbeitgeber vor, so gilt diese Verarbeitung als zulässig.
Es gibt eine Vielzahl an gesetzlichen Regelungen, die eine Speicherung und Verarbeitung pD erlauben. Besondere Relevanz in der Praxis hat § 28 BDSG. Hiernach ist die Verwendung zulässig, wenn
- es der Zweckbestimmung eines Vertragsverhältnisses (Kaufvertrag, Arbeitsvertrag etc.) oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient,
- soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder
- wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.
Die Übermittlung oder Nutzung für einen anderen Zweck ist nach § 28 III BDSG auch zulässig,
- soweit es zur Wahrung berechtigter Interessen eines Dritten oderzur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist, oder
- für Zwecke der Werbung, der Markt- und Meinungsforschung, wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe, Berufs-, Branchen- oder Geschäftsbezeichnung, Namen, Titel, akademische Grade, Anschrift undGeburtsjahr beschränken und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder
- wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
Verarbeitet das Unternehmen die pD geschäftsmäßig (also z.B. Adresshändler, Auskunfteien oder Marktforschungsinstitue), so ist die Verarbeitung nach § 29 BDSG zulässig, wenn
- kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, oder
- die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt.
Die Übermittlung ist in diesem Fall (im Rahmen der Zweckbindung) zulässig, wenn
- der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat oder
- es sich um listenmäßig oder sonst zusammengefasste Daten nach § 28 Abs. 3 Nr. 3 handelt, die für Zwecke der Werbung oder der Markt- oder Meinungsforschung übermittelt werden sollen, und
kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.
Ein gesetzliches Recht zur Übermittlung pD besteht auch gegenüber Behörden, z.B. nach §§ 111 ff.TKG, §§ 101a StPO, § 10 MADG, § 8 BND-Gesetz oder § 8 BVerfSchG.
Elektronische Archivierung
Software wird im Unternehmen auch zur Archivierung von Dokumenten eingesetzt. Soweit es um Aufbewahrungspflichten von nichtdigitalen Dokumenten geht, beachten Sie bitte die Hinweise zur Organisation im Unternehmen. Soweit es jedoch zum Einsatz von Software kommt gelten die nachfolgenden Regeln.
Elektronische Dokumente sind - ebenso wie papiergebundene Dokumente - revisionssicher aufzubewahren. Es gelten hier zunächst die allgemeinen Vorschriften des § 257 HGB und § 147 AO. Nach § 257 III HGB
können Handelsbücher, Inventare, Lageberichte, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, die empfangenen Handelsbriefe, Wiedergaben der abgesandten Handelsbriefe und Belege für Buchungen (Buchungsbelege) elektronisch archiviert werden. Sie müssen während der Aufbewahrungsfrist (Handelsbriefe 6 Jahre, sonstigen Unterlagen 10 Jahre) verfügbar sein und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Ähnliche Pflichten bestehen im Steuerrecht nach
§ 147 II AO.
Zusätzlich zu obigen, allgemeinen Pflichten bestehen jedoch spezielle Anforderungen an die elektronische Archivierung. Anwendbar sind hier die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU).
Nach der GoBS müssen sämtliche zu archivierende, elektronische Dokumente mit einem unveränderbaren Index versehen werden. Die Einrichtung einer Volltextsuche reicht hierfür nicht aus. Weiterhin müssen Geschäftsvorfälle richtig, vollständig und zeitgerecht erfasst sein und sich in ihrer Entstehung und Abwicklung verfolgen lassen (Beleg-, Journalfunktion). Sie sind so zu verarbeiten, dass sie geordnet darstellbar sind und einen Überblick über die Vermögens- und Ertragslage gewährleistet ist (Kontofunktion). Zur Übersicht ist eine Verfahrensdokumentation anzufertigen. Das Verfahren zur Wiedergabe der digitalen Unterlagen in einer Arbeitsanweisung schriftlich niederzulegen. Sowohl die gespeicherten Buchungen sowie die Arbeitsanweisungen müssen jederzeit innerhalb angemessener Frist lesbar gemacht werden können und die hierfür erforderlichen, technischen Hilfsmittel bereitzuhalten.
Auch die GDPdU stellen Regeln für die Prüfbarkeit von digitalen, steuerrelevanten Dokumenten dar, damit eine ordnungsgemäße Steuerprüfung gewährleistet werden kann. Hiernach sind elektronische, steuerrelevante Dokumente auf maschinell verwertbaren Datenträgern zu archivieren. Eine Aufzeichnung auf Mikrofilm reicht daher nicht aus, ebenso wenig die Speicherung in - maschinell nicht lesbaren - PDF-Dateien. Soweit es allerdings nur um Textdokumente geht - die nicht zur Weiterverarbeitung in einem DV-gestützen Buchführungssystem geeignet sind - entfällt die Pflicht zur Archivierung auf maschinell verwertbaren Datenträgern.
Zum Thema E-Mail-Archivierung hat das Finanzministerium eine Richtlinie herausgegeben, die E-Mails den originär digitalen Dokumenten gleichstellt. Auch E-Mails müssen daher maschinell auswertbar vorgehalten werden. Es gelten hier wiederum die Regeln des GoBS, so dass ein unveränderbarer Index zu erstellen ist, unter dem sie bearbeitet und verwaltet werden können. Es empfiehlt sich daher, sämtliche E-Mails, die selbst oder im Anhang steuerrelevante Informationen enthalten, mit einem unveränderbaren Index zu versehen, unter dem das archivierte Dokument verarbeitet und verwaltet werden kann.
Lizenzmanagement
Unter dem Begriff Lizenzmanagement versteht man Prozesse in Unternehmen, die den legalen und effizienten Umgang mit urheberrechtlich gesschützter Software in Unternehmen absichern. Unternehmen sind urheberrechtlich verpflichtet, die erworbene Software nur so zu nutzen, wie es vertraglich in den Lizenzbestimmungen vereinbart ist.
Wurde also lediglich eine einzige Lizenz einer Standardsoftware (z.B. Windows) erworben, so ist es vertraglich untersagt, mit dem Datenträger auf anderen Rechnern (Clients) weitere Installationen vorzunehmen. Eine solche, erweiterte Nutzung unterliegt der Einwilligung des Urhebers bzw. Berechtigten. Der Unternehmer muss also weitere Lizenzen erwerben, wenn die Software auf mehreren Rechnern installiert werden soll.
Da Unternehmen jedoch stets mehrere Softwareprogramme verwenden (System, Officeanwendungen, Bildbearbeitung, Buchhaltung, Verfahrenssteuerung etc.), ist es sinnvoll, ein Lizenzmanagement einzuführen, dass die Einhaltung der eingeräumten Lizenzen überwacht.
Im Rahmen des Lizenzmanagements sind alle installierten Softwareanwendungen unter Bezugnahme auf vorhandene Lizenzen in eine gesonderte Verwaltungssoftware mit Datenbank einzutragen. Die Managementsoftware überwacht sodann die Einhaltung und zeitliche Dauer der aufgeführten Lizenzen und warnt den Bediener vor Lizenzverletzungen - und damit vor drohenden Schadensersatzansprüchen -. Da Lizenzen jedoch häufig Gerätebezogen eingeräumt werden, ist in die Datenbank auch die verwendet und vereinbarte Hardware hinzuzufügen. Kommt es später zu einem Hardwarewechsel, so liefert die Verwaltungssoftware schnell einen Überblick, welche Lizenzen zu erweitern sind.