Karsten Rößner

IT- und Datenschutzrecht

(Zuständigkeiten: RA Karsten Rößner)

RA Rößner ist Mitglied in:

Logo_davit_Mitglied

 

Ich habe mich auf dem Gebiet des „IT-Rechts“, Datenschutzrechts, Urheberrechts und Wettbewerbsrechts spezialisiert und berate u.a. überregional (Hessen, Nordrhein-Westphalen, Sachen, Thüringen) tätige Systemhäuser sowie regionale (Alsfeld, Lauterbach, Vogelsbergkreis, Schwalm-Eder-Kreis) Provider und Onlinehändler. Zudem betreue ich Unternehmen rund um das Thema Datenschutz. Ich bin zudem Datenschutzbeauftragter (TÜV-SÜD) und kann daher als externer Datenschutzbeauftragter bestellt werden.

Das IT-Recht ist ein sich rasant verändernder  Rechtsbereich, der  eine Reihe von auch technischen Herausforderungen und Neuerungen beinhaltet, denen man sich als Anwalt für IT-Recht stellen muss.

Da hier oftmals erhebliche rechtliche Unsicherheiten entstehen können, aber oft Rechtsschutzversicherer diese Bereiche nach bestehenden Verträgen nicht abdecken oder entsprechende Selbstbeteiligungen bestehen, habe ich meist individuell angepasste Rahmenberatungsverträge mit Unternehmern. Somit können auch kurzfristig notwendige Änderungen vorgenommen werden, schnell und unkompliziert.

Ferner gehört zu meinen Tätigkeitsschwerpunkten in Verbindung mit IT-Recht das Urheberrecht und Wettbewerbsrecht. So vertrete ich private Mandaten und Mandantinnen im Bereich des Filesharings wegen erfolgter Abmahnungen. Auch Onlinehändler unterstütze ich bei Abmahnungen wegen Verletzungen gegen Preisangabenverordnung, AGB-Regelungen oder sonstigen Produktbeschreibungen.

Ich überprüfe Webseiten und Onlineshops auf Rechtskonformität. Zudem erstelle ich Ihnen ein passendes Impressum, Widerrufsbelehrungen, Datenschutzerklärungen und sonstige erforderliche Hinweise für Ihre Webseiten.

Außerdem vertrete ich Privatpersonen, die per online Waren bestellt haben und bei der weiteren Kaufabwicklung Mängel oder andere rechtliche Schwierigkeiten auftreten.

Schließlich erstelle ich individuelle IT-Verträge, wie unten aufgezeigt.

Tätigkeit eines Datenschutzbeauftragten

Alle Unternehmen, egal welcher Branche, müssen die Vorschriften des Bundesdatenschutzgesetzes (BDSG) beachten und umsetzen. In den meisten Unternehmen sind zusätzlich wegen der Internet- und eMail-Nutzung auch die Vorgaben des Telemediengesetzes (TMG) sowie Telekommunikationsgesetzes (TMG) zu berücksichtigen. Die Datenschutzaufsichtsbehörde (Landesdatenschutzbeauftragter) des eigenen Bundeslandes überwacht die Einhaltung und kann Bußgeld- und Strafverfahren einleiten, wenn die Vorgaben nicht eingehalten wurden (Bußgelder bis zu 300.000,- €). Der Datenschutzbeauftragte (DSB) im Unternehmen ist die interne Kontrollinstanz, der Landesdatenschutzbeauftragte die externe. Der interne DSB ist nur der Geschäftsleitung unterstellt. Er ist weisungsfrei, aber nicht weisungsbefugt. Er hat beratende Funktion, für die Umsetzung ist und bleibt das Unternehmen selbst verantwortlich.

Wann ist ein Datenschutzbeauftragter einzusetzen?

Unternehmen, in denen 10 oder mehr Personen automatisiert (also per EDV) mit personenbezogenen Daten arbeiten (also Mitarbeiterdaten, Kundendaten, Lieferantendaten usw.), müssen einen DSB benennen, der die erforderliche Fachkunde der Aufsichtsbehörde auf Verlangen nachweisen kann. Werden die personenbezogenen Daten händisch bearbeitet, muss der DSB bestellt werden, wenn mindestens 20 Personen regelmäßig damit Umgang haben, § 4f BDSG. Diese Personen müssen nicht zwingend eigene Mitarbeiter sein, auch externe Dienstleister werden mitgerechnet!

Wer kann als Datenschutzbeauftragter eingesetzt werden?

Das Unternehmen kann eigene Mitarbeiter (interne DSB) einsetzen oder auf externe DSB. Das Gesetz erlaubt beides, setzt aber unbedingt die vorhandene und erforderliche Fachkenntnis auf diesem Gebiet voraus. Interne DSB müssen also entsprechend viele Fachlehrgänge und Fortbildungen besuchen, damit sie der Aufsichtsbehörde gegenüber den Nachweis erbringen können. Zudem hat dieser Mitarbeiter einen besonderen Kündigungsschutz. Nicht bestellt werden dürfen Mitglieder der Geschäftsführung, IT-Administratoren, leitende Angestellte, eigene Rechtsabteilungen, am besten auch keine Betriebsrats-mitglieder u.a. Zudem ist der interne DSB in dem erforderlichen Umfang von seiner sonstigen Arbeitsverpflichtung freizustellen. Die Kosten für die erforderlichen Lehrgänge können beträchtliche Ausmaße einnehmen.

Ein externe DSB bringen die erforderliche Fachkunde bereits mit, muss diese selbstverständlich ebenfalls auf Verlangen der Aufsichtsbehörde nachweisen. Das Unternehmen hat daher keine Kostennachteile durch Schulungen oder Freistellungen eigener Mitarbeiter. In kleinen und mittleren Unternehmen dürfte ein externer DSB sicherlich die sinnvollere und günstigere Variante sein.

Was kostet ein externer Datenschutzbeauftragter?

Diese häufig gestellte Frage ist genauso verständlich, wie unmöglich überschlägig zu beantworten. Warum? Ähnlich schwierig wäre die Frage zu beantworten, was die Errichtung eines Einfamilienhauses kosten könnte. Wie kommt man den Kosten auf die Spur? Ich mache es folgendermaßen: zunächst führen wir ein Telefonat, in welchem ich verschiedene Gegebenheiten abfrage (etwa Unternehmensgröße, Anzahl der Personen, die Umgang mit personenbezogenen Daten haben, Anzahl der EDV-Arbeitsplätze und Organisation der Hardware, welche Person als IT-Administrator Ansprechpartner ist, ob externe Dienstleister im Bereich der EDV/IT eingesetzt werden usw.). Danach versende ich Ihnen einen Fragebogen, der auch von den Aufsichtsbehörden verwendet mit der Bitte, diesen beantwortet an mich zurückzusenden. Ich prüfe dann, ob eine Bestellverpflichtung besteht, ob Meldepflicht vorliegt und was unbedingt und schnell in die Wege zu leiten wäre, damit bei einer Prüfung keine Bußgelder drohen. Für die Auswertung und erste Beratung berechne ich pauschal 250,- € zzgl. Umsatzsteuer.

Im nächsten Schritt wird ein Termin vor Ort mit Ihnen vereinbart (erstes Datenschutzaudit), um bspw. die baulichen Gegebenheiten bzgl. Datenschutz zu sichten, ebenso die Hardware- und Softwareumgebung. Auch Gespräche mit Verantwortlichen und die Klärung meiner Rolle als DSB oder Berater steht dabei an. Dies erfordert nach meiner Erfahrung mindestens einen Tag, da vor allem bei der von Ihnen eingesetzten Software die Übertragungswege der personenbezogenen Daten nachvollzogen werden müssen. Hier werden sogenannte „Mann-Tage“ berechnet (entspricht 6 Stunden). Der Mann-Tag wird meinerseits mit 1.200,- € zzgl. Umsatzsteuer berechnet. Wieviel Mann-Tage erforderlich sind, hängt also etwa von der Komplexität der eingesetzten Hard- und Software ab, aber auch von der Anzahl evtl. Niederlassungen Ihres Unternehmens, der Anzahl der EDV-Arbeitsplätze usw.

Nach dem letzten Audit vor Ort wird meinerseits eine To-Do-Liste erstellt, die dann Stück für Stück umgesetzt wird. Hier werden dann monatliche Pauschalen mit einander vereinbart, die ebenfalls von den oben beschriebenen Faktoren abhängt. Klar ist natürlich, dass die Monatspauschale in einer Praxis oder in einem kleinen Unternehmen erheblich günstiger sein würde, als in einem mittelständischen Unternehmen mit bspw. 800 Mitarbeitern. Allerdings ist die Komplexität der Datenverarbeitung in Ihrem Unternehmen ausschlaggebend, nicht zwingend die Betriebsgröße als solche.

Warum sollten Sie auf mich als externen DSB zurückgreifen?

Ich habe als Datenschutzbeauftragter (TÜV-SÜD) nicht nur die erforderliche Fachkunde durch einen Lehrgang nachgewiesen (das allein ist sicher nicht ausreichend!), sondern habe durch meinen Fachanwaltslehrgang für IT-Recht auch dort bereits zum Thema Datenschutz den gesamten rechtlichen Hintergrund. Diese Fachkunde wurde meinerseits sowohl im Fachanwaltslehrgang, als auch im Lehrgang beim TÜV-SÜD durch erfolgreich abgeschlossene Klausuren nachgewiesen. Zudem kann ich im Hintergrund auf einen angestellten Informatiker zurückgreifen, der mir beim technischen Verständnis beratend zur Seite steht. Weiterhin bin ich Bereich des IT-Rechts/Datenschutzrechts dozierend tätig und kann seit einigen Jahren auf gesammelte Erfahrungen zurückgreifen. Man muss als DSB wissen, welche Fragen zu stellen sind!

Welche Unterlagen werden vom Landesdatenschutzbeauftragten meist angefordert?

Unabhängig von der Branchen und Unternehmensgröße müssen bei externen IT-Dienstleistern Auftragsdatenverarbeitungsvereinbarungen nach § 11 BDSG, technische und organisatorische Maßnahmen gem. § 9 BDSG sowie Anlagen zu § 9, öffentliche Verfahrensverzeichnisse (bis Mai 2018, danach sog. Folgeabschätzungen) nach § 4g BDSG, Erstellen eines Datenschutzmanagements, besondere Datenschutzvereinbarungen mit Mitarbeitern und Dienstleistern (bis hin zu Reinigungsfirmen) i.S.v. § 5 BDSG vorgehalten werden. Das ist zwingend und bei Verstoß erheblich bußgeldbewehrt. Darüber hinaus können aber selbstverständlich noch weitere Maßnahmen notwendig werden, so sind Mitarbeiterschulungen unbedingtes Muss.

Welche Mandanten wollen wir im IT-Recht ansprechen?

  • Jedes Unternehmen mit Internetpräsenz
  • Unternehmen, die Onlineshops betreiben
  • Verbraucher (Privatpersonen)
  • Provider (Access, Hosting, Content)
  • Softwareunternehmen

 

Welche Rechtsdienstleistung bieten wir im Bereich des IT-Rechts an?

  • Die Erstellung und Prüfung von Softwarepflegeverträgen
  • Erstellen von Datenschutzerklärungen, Auftragdatenverarbeitunsvereinbarungen, Datenschutz-Schweigepflichtserkläungen etc.
  • Das Aufsetzen von Hardware-Verträgen und Hardware-Wartungsverträgen
  • Erstellung und Prüfung von AGB´s im Bereich E-Commerce, Softwarepflegeverträge, Hardware-Wartungsverträge
  • Erstellen von IT-Systemverträgen
  • Juristische Begleitung von IT-Projekten
  • Überprüfung von Onlineshops auf Abmahnfestigkeit
  • Domainrecht (DENIC) und Namensrecht
  • Außergerichtliche u. gerichtliche Interessenvertretung im Bereich des Urheberrechts (illegale Downloads von Musikdateien u.ä.)
  • Beratung und umfassende Vertretung im Bereich der IT-Sicherheit am Arbeitsplatz unter datenschutzrechtlichen Gesichtspunkten
  • Rechtliche Tätigkeiten im Bereich Webdesignverträge und Urheberrecht

Welches Einzugsgebiet haben wir im IT-Recht?

Selbstverständlich konzentriert sich der Rechtsbereich IT-Recht nicht auf den Kanzleisitz, sondern ist deutschlandweit ausgerichtet. Daher vertreten wir Mandanten, die von München bis Hamburg, sowie von Wuppertal bis Berlin als IT-Spezialisten tätig sind. Viele Fragen können telefonisch, per E-Mail, per Fax, per Skype oder FaceTime weit gehend gestellt und per Fernkommunikationsmittel beantwortet werden. Selbstverständlich legen wir auch einen großen Wert auf ein persönliches Kennenlernen, trotz aller digitaler Möglichkeiten. Daher machen wir gern auch Hausbesuche, um beispielsweise bei einem ersten Kontakt sich gegenseitig „zu beschnuppern“. Der weitere Verlauf des Mandats kann in den allermeisten Fällen dann vollkommen unkompliziert trotz Entfernungen bewerkstelligt werden. Speziell im IT-Recht ist Schnelligkeit und Präzision gefragt.

Wie rechnen wir im IT-Recht ab?

Sofern wir mit Ihnen keinen Rahmenvertrag haben oder ein solcher für Sie nicht infrage kommt, wird bei uns per Zeiterfassung Minuten genau abgerechnet. Kostentransparenz ist für uns selbst ein ganz wichtiges Anliegen, auf das wir besonderen Wert legen! Wir wollen schließlich Ihr Vertrauen gewinnen und keine negative Bewertung riskieren.

Interdisziplinäre Zusammenarbeit mit IT-Experten

Viele Fragen im IT Recht sind sehr spezifisch, zumal in nahezu jedem Betrieb ganz eigene Anforderungen und Infrastrukturen vorherrschen. Die Kunst liegt zunächst darin, rein fachlich die Zusammenhänge schnell und sicher zu erfassen, um die rechtlichen Aspekte dabei zu begreifen und entsprechende Sicherungsmaßnahmen durch Hinweise, rechtliche Erklärungen und entsprechende Vertragsgestaltungen zu fertigen. Um aber in dem ersten Schritt auch ein technisches Verständnis unsererseits für Ihr Anliegen entwickeln zu können, können wir auf eigene IT-Experten zurückgreifen, die u.a. in den Bereichen Netzwerk, E-Mail, Software-Erstellung seit Jahren tätig sind. Selbstverständlich unter Wahrung der Schweigepflicht können notfalls auch von dort her wichtige Informationen dazu beitragen, die Spezifikationen Ihres Unternehmens zu verstehen und die für Ihren Betrieb notwendigen rechtlichen Strukturen hinsichtlich Datenschutz oder auch Sicherheit gegen Abmahnungen zu installieren.

Diese Kombination hat sich in den letzten Jahren als sehr günstig herausgestellt. Insbesondere wird oft das Thema „Datenschutz“ in Unternehmen mit rollenden Augen zur Kenntnis genommen und eher als störend und unflexibel empfunden. Wir finden mit Ihnen gemeinsam Strategien und Lösungen, um einerseits datenschutzkonform aufzutreten, und andererseits auch die rechtliche Datensicherheit als sinnvolles Marketinginstrument sinnvoll den eigenen Kunden zu präsentieren und zu verkaufen. Wir suchen mit Ihnen dabei natürlich einfache Wege! So können insbesondere Unternehmen, die im Rahmen von IT-Sicherheit unterwegs sind, gerade damit werben, dass eben nicht nur technisch ein maximaler Standard an Sicherheit für die Kunden erbracht wird, sondern eben auch eine rechtliche Sicherheit unter datenschutzrechtlichen Gesichtspunkten voll und ganz berücksichtigt werden. Das löst bei Ihren Kunden erhebliches Vertrauen und zusätzliche Kundenbindung aus. Damit können Sie sich von vielen Mitbewerbern deutlich absetzen, die dieses Kapitel sehr stiefmütterlich behandeln. Und Sie fühlen sich ebenfalls bedeutend wohler!