Allgemeines

Relevante Gesetze und Regelungen für die Planung, Umsetzung und den Betrieb von IT.

Übersicht

Wichtiger Hinweis
Der Autor ist kein Jurist. Die Aufzählungen auf dieser Seite erheben daher keinen Anspruch auf Vollständigkeit und ersetzen auch nicht die Einbindung eines Juristen für Rechtsfragen.

Unternehmens-Gesetze UGB, GmbH, VBVG, UWG

Unternehmensgesetzbuch, GmbH-Gesetz und Bundesabgabenordnung regeln die Verantwortung des Unternehmers im Allgemeinen. Eine Konsequenz ist daraus, dass Buchhaltungsdaten für die gesetzliche Aufbewahrungsfrist von 7 Jahren sicher gespeichert und vor Manipulation geschützt sein müssen.

Das VBVG regelt für juristische Personen (GmbH) die Verfolgung von Straftaten, welche von Mitarbeiter/Managern zugunsten des Unternehmens begangen oder aufgrund von Unterlassung von Sorgfaltspflichten wesentlich erleichtert/ermöglicht wurden. Das bedeutet, dass Unternehmen technische, organisatorische und personelle Maßnahmen zur Vermeidung von Straftaten setzen müssen.

Im UWG ist auch der Umgang mit Geschäftsgeheimnissen geregelt, wobei die Umsetzung sich stark mit den Maßnahmen aus der DSGVO überschneidet und daher gemeinsam geregelt werden sollte.

Die Haftung zur Einhaltung dieser Gesetze liegt beim Geschäftsführer.

EU Datenschutz-Grundverordnung (DSGVO)

In der DSGVO wird der Umgang mit personenbezogenen Daten geregelt. Das betrifft fast jedes Unternehmen, da solche Daten für Mitarbeiter, Kunden und Interessenten gespeichert werden.

Relevant ist das DSGVO auch für Online-Auftritte (Homepage, Webportal), da Cookies und andere techn. Informationen zum Besucher auch personenbezogene Daten sind. Dafür ist das ausdrückliche Einverständnis des Anwenders notwendig. Der Anwender muss auch die Möglichkeit eines Widerrufs seiner Zustimmung haben.

Weitere Informationen dazu bietet die WKO Seite zu Datenschutz.

Netz- und Informationssicherheit (NIS, NISG, NIS2)

Die von der EU initiierte NIS-Richtlinie soll ein hohes IT-Sicherheitsniveau für kritische Infrastruktur und digitale Diensteanbieter sicherstellen.

Für Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von weniger als 10 Mio. EUR ist NIS nicht relevant.

Unter kritische Infrastruktur fallen:

  • Bankwesen
  • Digitale Infrastruktur (Internet Exchange Points, DNS-Dienste, TLD-Name-Registries)
  • Energieversorger
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasserversorgung
  • Verkehrswesen

Als digitale Diensteanbieter wird im NIS folgendes eingeordnet:

  • Online-Marktplätze
  • Online-Suchmaschinen
  • Cloud-Computing Dienste

Die WKO hat dazu eine eigene Informationsseite veröffentlicht.

Medien-, E-Commerce-, Telekommunikations-Gesetze

Jede Website muss in einem Impressum die Verantwortlichen benennen. Weitere Tipps zur Veröffentlichungspflicht gibt’s bei der WKO.

Beim Versand von E-Mails für Marketingzwecke ist zu beachten, dass der Empfänger dem ausdrücklich zustimmen muss (opt-in) und auch eine einfache Möglichkeit haben muss, diese Mails wieder abzubestellen. Weitere Informationen dazu wiederum bei der WKO.

Für Websites und Onlineshops ist auch das DSGVO relevant, da auch IP-Adressen und Cookies unter personenbezogene Daten fallen.

Urheberrecht, Copyright, Trademark

Beachten Sie das Urheberrecht für Medien wie Fotos, Videos, Tonaufnahmen, Logos oder auch Programm-Code für die Veröffentlichung auf Ihrer Website oder im Online-Shop.

Verwenden Sie keine Medien aus dem Internet, wo das Recht der Nutzung nicht eindeutig feststellbar ist.

Medien, welche unter Creative Commons CC0 veröffentlicht wurden, sind lizenzfrei und dürfen auch für kommerzielle Zwecke eingesetzt werden.

Arbeitsrecht

Die private Kommunikation der Mitarbeiter (E-Mails, Telefonate) darf vom Unternehmen nicht eingesehen werden. Ebenso ist eine Videoüberwachung der Mitarbeiter problematisch bzw. in bestimmten Räumen (z.B. WC) verboten.

Am einfachsten ist, wenn das Unternehmen die private Nutzung der Unternehmens-IT verbietet. Das ist heutzutage kaum ein Problem, da fast jeder Mitarbeiter sein Smartphone immer dabei hat und die privaten Angelegenheiten darüber regeln kann.

Wenn Sie die private Nutzung der Unternehmens-IT erlauben (wenn auch nur eingeschränkt), dann sollten Sie die Mitarbeiter zur ausdrücklichen Kennzeichnung der Kommunikation als PRIVAT (z.B. im E-Mail-Betreff) verpflichten.

Vereinbaren Sie mit den Mitarbeitern auch ausdrücklich die Geheimhaltung von Geschäfts- und Kundendaten.

Wenn die Mitarbeiter vom Unternehmen IT-Geräte (Notebook, Tablet, Smartphone) zur Verfügung gestellt bekommen, sollten Sie auch dafür die private Nutzung vereinbaren.

Sie sollten die IT-Nutzung und Geheimhaltung mit den Mitarbeitern in Zusatzdokumenten zum Dienstvertrag vereinbaren, welche Sie ggf. mit dem Betriebsrat vorher abstimmen. Die WKO bietet dazu eine Muster-Vereinbarung.

In die Vereinbarung zur IT-Nutzung kann auch ein Passus zur Einschränkung zur privaten Nutzung von Social Media, Chatten und Surfen während der Arbeitszeit aufgenommen werden. Bedenken Sie jedoch, dass die Einhaltung schwer zu kontrollieren ist.
Die Nutzung von privaten Geräten der Mitarbeiter für berufliche Zwecke ist in der Praxis problematisch und sollte hinsichtlich der möglichen rechtlichen Folgen genau überlegt werden.

Verträge mit Kunden und Lieferanten

Berücksichtigen Sie vertragliche Vereinbarungen mit Dritten, wie z.B.:

  • Einhaltung von gesetzlichen Bestimmungen, welche Sie als Auftragnehmer erfüllen müssen
  • Regelungen für Subunternehmer, z.B. NISG und DSGVO
  • Geheimhaltungsvereinbarungen mit Ihren Kunden oder Lieferanten
Meistens betreffen diese Regelungen auch Ihre Mitarbeiter. Vereinbaren Sie diese ausdrücklich mit den Mitarbeitern in einem Zusatz zum Dienstvertrag.