Relevante Gesetze und Regelungen für die Planung, Umsetzung und den Betrieb von IT.
Übersicht
Unternehmens-Gesetze UGB, GmbH, VBVG, UWG
Unternehmensgesetzbuch, GmbH-Gesetz und Bundesabgabenordnung regeln die Verantwortung des Unternehmers im Allgemeinen. Eine Konsequenz ist daraus, dass Buchhaltungsdaten für die gesetzliche Aufbewahrungsfrist von 7 Jahren sicher gespeichert und vor Manipulation geschützt sein müssen.
Das VBVG regelt für juristische Personen (GmbH) die Verfolgung von Straftaten, welche von Mitarbeiter/Managern zugunsten des Unternehmens begangen oder aufgrund von Unterlassung von Sorgfaltspflichten wesentlich erleichtert/ermöglicht wurden. Das bedeutet, dass Unternehmen technische, organisatorische und personelle Maßnahmen zur Vermeidung von Straftaten setzen müssen.
Im UWG ist auch der Umgang mit Geschäftsgeheimnissen geregelt, wobei die Umsetzung sich stark mit den Maßnahmen aus der DSGVO überschneidet und daher gemeinsam geregelt werden sollte.
Die Haftung zur Einhaltung dieser Gesetze liegt beim Geschäftsführer.
EU Datenschutz-Grundverordnung (DSGVO)
In der DSGVO wird der Umgang mit personenbezogenen Daten geregelt. Das betrifft fast jedes Unternehmen, da solche Daten für Mitarbeiter, Kunden und Interessenten gespeichert werden.
Relevant ist das DSGVO auch für Online-Auftritte (Homepage, Webportal), da Cookies und andere techn. Informationen zum Besucher auch personenbezogene Daten sind. Dafür ist das ausdrückliche Einverständnis des Anwenders notwendig. Der Anwender muss auch die Möglichkeit eines Widerrufs seiner Zustimmung haben.
Weitere Informationen dazu bietet die WKO Seite zu Datenschutz.
Netz- und Informationssicherheit (NIS, NISG, NIS2)
Die von der EU initiierte NIS-Richtlinie soll ein hohes IT-Sicherheitsniveau für kritische Infrastruktur und digitale Diensteanbieter sicherstellen.
Für Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von weniger als 10 Mio. EUR ist NIS nicht relevant.
Unter kritische Infrastruktur fallen:
- Bankwesen
- Digitale Infrastruktur (Internet Exchange Points, DNS-Dienste, TLD-Name-Registries)
- Energieversorger
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasserversorgung
- Verkehrswesen
Als digitale Diensteanbieter wird im NIS folgendes eingeordnet:
- Online-Marktplätze
- Online-Suchmaschinen
- Cloud-Computing Dienste
Die WKO hat dazu eine eigene Informationsseite veröffentlicht.
Medien-, E-Commerce-, Telekommunikations-Gesetze
Jede Website muss in einem Impressum die Verantwortlichen benennen. Weitere Tipps zur Veröffentlichungspflicht gibt’s bei der WKO.
Beim Versand von E-Mails für Marketingzwecke ist zu beachten, dass der Empfänger dem ausdrücklich zustimmen muss (opt-in) und auch eine einfache Möglichkeit haben muss, diese Mails wieder abzubestellen. Weitere Informationen dazu wiederum bei der WKO.
Urheberrecht, Copyright, Trademark
Beachten Sie das Urheberrecht für Medien wie Fotos, Videos, Tonaufnahmen, Logos oder auch Programm-Code für die Veröffentlichung auf Ihrer Website oder im Online-Shop.
Verwenden Sie keine Medien aus dem Internet, wo das Recht der Nutzung nicht eindeutig feststellbar ist.
Arbeitsrecht
Die private Kommunikation der Mitarbeiter (E-Mails, Telefonate) darf vom Unternehmen nicht eingesehen werden. Ebenso ist eine Videoüberwachung der Mitarbeiter problematisch bzw. in bestimmten Räumen (z.B. WC) verboten.
Am einfachsten ist, wenn das Unternehmen die private Nutzung der Unternehmens-IT verbietet. Das ist heutzutage kaum ein Problem, da fast jeder Mitarbeiter sein Smartphone immer dabei hat und die privaten Angelegenheiten darüber regeln kann.
Wenn Sie die private Nutzung der Unternehmens-IT erlauben (wenn auch nur eingeschränkt), dann sollten Sie die Mitarbeiter zur ausdrücklichen Kennzeichnung der Kommunikation als PRIVAT (z.B. im E-Mail-Betreff) verpflichten.
Vereinbaren Sie mit den Mitarbeitern auch ausdrücklich die Geheimhaltung von Geschäfts- und Kundendaten.
Wenn die Mitarbeiter vom Unternehmen IT-Geräte (Notebook, Tablet, Smartphone) zur Verfügung gestellt bekommen, sollten Sie auch dafür die private Nutzung vereinbaren.
Sie sollten die IT-Nutzung und Geheimhaltung mit den Mitarbeitern in Zusatzdokumenten zum Dienstvertrag vereinbaren, welche Sie ggf. mit dem Betriebsrat vorher abstimmen. Die WKO bietet dazu eine Muster-Vereinbarung.
Verträge mit Kunden und Lieferanten
Berücksichtigen Sie vertragliche Vereinbarungen mit Dritten, wie z.B.:
- Einhaltung von gesetzlichen Bestimmungen, welche Sie als Auftragnehmer erfüllen müssen
- Regelungen für Subunternehmer, z.B. NISG und DSGVO
- Geheimhaltungsvereinbarungen mit Ihren Kunden oder Lieferanten