Recht 4.0: Compliance Richtlinien im Zeitalter der Digitalisierung

Wer haftet eigentlich in selbstfahrenden Autos? Wie lassen sich datengetriebene Geschäftsmodelle rechtssicher abbilden? Sind Daten in der Cloud sicher – und was bedeutet die neue DSGVO für deutsche Unternehmen? Im Zuge der Digitalisierung ergeben sich neue Rechtsfragen.

Betroffen sind insbesondere der Datenschutz sowie das Vertrags- und Urheberrecht, aber auch arbeitsrechtliche Aspekte müssen überdacht werden.
 

Rechtliche Unsicherheiten bremsen die Digitalisierung

Smart Data, IoT und Industrie 4.0: Die digitale Transformation bedeutet einen tiefgreifenden Wandel für Unternehmen aller Branchen. Dabei erfordert Digitalisierung nicht nur Investitionen in neue Technologien und effiziente Prozesse, sondern bislang ungekannte rechtliche Herausforderungen erhöhen die Komplexität des Digital Change zusätzlich.

Zahlreiche Compliance-Richtlinien und Gesetze sind neu, viele Fragen noch ungeklärt – mit negativen Folgen für die Wirtschaft: 50 Prozent der Unternehmen sehen rechtliche Unsicherheiten als Hemmnis, sich intensiv auf Digitalisierung einzulassen. Noch mehr Kopfzerbrechen bereiten mit fast 60 Prozent die wachsenden Anforderungen an die IT-Sicherheit.

Neben finanziellen oder gar strafrechtlichen Folgen sind Imageschäden und der damit verbundene Vertrauensverlust bei Verstößen ein enormes Risiko. Die Sensibilisierung für Compliance-Richtlinien ist deshalb unerlässlich und Unternehmen sind gefordert, das nötige Know-how und ein strategisches Compliance-Management aufzubauen.

Wir haben die wichtigsten Handlungsfelder von Compliance im Umfeld der Digitalisierung zusammengestellt.
 

Handlungsfeld Datenschutz

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 wird das alte Bundesdatenschutzgesetz (BDSG) von einem europäisch einheitlichen Rechtsrahmen abgelöst – ein großer Schritt hin zur Harmonisierung im Umgang mit personenbezogenen Daten, aber mit beträchtlichen Veränderungen im Datenschutzgesetz in Deutschland.

Das Spektrum der Regelungen ist breit gefächert und reicht von der Zweckbindung der Datenverarbeitung und dem Recht auf Vergessenwerden über Änderungen am Verfahrensverzeichnis und der Informationspflichten bis hin zu verschärften Vorschriften für die werbliche Ansprache. Nicht zuletzt, da die Bußgelder deutlich erhöht wurden, ist eine Anpassung der Unternehmensprozesse an das neue Gesetz zum Datenschutz unumgänglich. 
 

Handlungsfeld IT-Sicherheit

Je stärker Maschinen, Werkstücke und Systeme vernetzt werden, desto höher wird auch das erforderliche Sicherheitsniveau. Ob Datenspeicherung, Datenzugriff oder Datenaustausch: Digitale Anlagen müssen zuverlässig gegen Ausfälle und Angriffe von außen geschützt werden. Wichtig ist nicht nur der Einsatz adäquater moderner Technologien, sondern auch geschulter Administratoren und sensibilisierter Mitarbeiter.

Neben freiwilligen Richtlinien und Sicherheitsstandards wie ISO 27001, Cobit oder ITIL schreiben zudem diverse Gesetze Verpflichtungen im Bereich der IT-Sicherheit vor: Unter anderem regeln die GoBD die ordnungsgemäße Aufbewahrung von Unterlagen und auch die neue DSGVO schreibt eine Reihe an technischen und organisatorischen Sicherheitsmaßnahmen vor.

Darüber hinaus ergänzt die europäische NIS-Richtlinie das deutsche IT-Sicherheitsgesetz und definiert Maßnahmen für ein hohes gemeinsames Niveau der Cybersicherheit in der EU – nicht nur für kritische Infrastrukturen wie Energieversorger, sondern auch für Anbieter digitaler Dienste wie Cloud-Services und Online-Marktplätze.
 

Handlungsfeld Urheberrecht

Ein weiteres Schlüsselthema der Digitalisierung ist der Umgang mit dem Urheberrecht. Lange Prüfungs- und Freigabeprozesse in Rechtsabteilungen und Patentämtern harmonieren nicht mit kürzeren Innovationszyklen, agilen Methoden, interdisziplinärer Kollaboration und neuen Vervielfältigungstechnologien wie dem 3D-Druck. Wem gehört Wissen? Wie lässt sich geistiges Eigentum unter den Marktbedingungen einer digitalisierten Gesellschaft smart kapitalisieren? Hier sind Unternehmen gefordert, gemeinsam mit Rechtsexperten ein rechtssicheres und gleichzeitig innovationsförderliches Risikomanagement zu entwickeln.
 

Handlungsfeld Vertragsrecht, Haftung und autonome Systeme

Das aktuell geltende deutsche Zivilrecht geht davon aus, dass Willenserklärungen von natürlichen Personen gegenüber anderen natürlichen Personen abgegeben werden. Diese Willenserklärungen sind auch die Grundlage für mögliche Rechtsfolgen.

In Smart Factories hingegen kommunizieren zunehmend Maschinen autonom miteinander, sodass sich die Frage nach der rechtlichen Wirkung dieser Kommunikation stellt: Insbesondere bei selbstlernenden Maschinen und Systemen sind für den Betreiber der Maschine oder des Roboters der Zeitpunkt und Inhalt der „Willenserklärung“ kaum noch vorhersehbar (beispielsweise bei automatisierten Bestellungen). Es ist zu erwarten, dass das Gesetz in den nächsten Jahren mögliche Lücken durch neue Haftungskonzepte schließt.

Ähnlich groß ist die rechtliche Herausforderung für den Bereich des autonomen Fahrens, denn wer zahlt, wenn das selbstfahrende Auto einen Schaden verursacht? Um das neu entstandene gesellschaftliche Risiko angemessen abzusichern, ist eine Ausweitung der für Kraftfahrzeuge geltenden Halterhaftung (7 StVG) im Gespräch.
 

Handlungsfeld Arbeitsrecht

Die Digitalisierung ändert auch zunehmend die Art und Weise, wie Arbeitsleistungen erbracht werden. Smart Factories brechen räumliche, zeitliche und funktionale Grenzen in der Arbeitswelt auf und stellen neue Anforderungen an die Beschäftigten. Arbeit muss künftig nicht mehr zwangsläufig an einem bestimmten Ort oder zu einer festen Zeit erbracht werden. Einerseits wird die mit der Nutzung moderner Kommunikationsmittel verbundene dauernde Erreichbarkeit von vielen Arbeitnehmern als belastend empfunden. Andere Mitarbeiter hingegen schätzen das „Arbeiten 4.0“ und die damit gewonnene Flexibilität. 

Selbstverständlich können Arbeitnehmer nicht völlig frei entscheiden, wann und wo sie arbeiten möchten – bei der Gestaltung der Arbeitsverträge sind deshalb die Regelungen zu Ort und Zeit in Zukunft mit besonderer Sorgfalt zu gestalten. Aktuell lässt das Arbeitszeitgesetz eine Nutzung der gewonnenen Flexibilisierungschancen (noch) nicht zu. Experten erwarten eine Gesetzesreform insbesondere bei der täglichen maximalen Arbeitszeit, den Ruhezeiten und der Sonn- und Feiertagsruhe.

Wichtig, aber häufig übersehen: Die Regelungen der neuen DSGVO betreffen auch den Arbeitnehmerdatenschutz! Bei der Verarbeitung personenbezogener Mitarbeiterdaten ist in Zukunft darauf zu achten, dass die Einwilligung der Beschäftigten schriftlich eingeholt wird und dass bestehende Betriebsvereinbarungen mit der Datenschutzgrundverordnung konform sind.

Auch das Arbeitsrecht im Zusammenhang mit der Mensch-Roboter-Kollaboration erfordert neue Compliance Richtlinien, die noch nicht in vollem Umfang überblickt werden können.
 

Fazit: Compliance Management wird zum Must-Have!

Häufig herrscht in mittelständischen Unternehmen die Meinung vor, dass Compliance-Richtlinien nur für Konzerne gelten oder dass es im Fall eines nicht vorsätzlichen Verstoßes mit einer Verwarnung getan ist. Ein gefährlicher Irrtum! Unternehmen, die „non-compliant“ sind, drohen empfindliche Sanktionen, die von hohen Bußgeldern bis hin zu Haftstrafen reichen.

Ein gut funktionierendes Compliance Management ist deshalb unerlässlich, um Compliance-relevante Prozesse effizient und rechtssicher zu steuern, Risiken vorzubeugen und im Schadensfall die negativen Folgen zu minimieren. Auch mittelständische Entscheider sind gefordert, Änderungen der Rechtslage in den relevanten Handlungsfeldern konsequent zu verfolgen und die operativen betrieblichen Vorgänge rechtssicher und zukunftsweisend zu gestalten.

Wichtig: Die hier vorgestellten Themenfelder zeigen lediglich einen branchenübergreifenden Querschnitt der relevantesten Compliance-Richtlinien. Selbstverständlich gibt es zahlreiche weitere wichtige rechtliche Aspekte, die im Zusammenhang mit der Digitalisierung stehen, wie beispielsweise die Sanktionslistenprüfung oder branchentypische Vorschriften wie das E-Health-Gesetz. Grundsätzlich ist eine externe Beratung empfehlenswert, wenn das Fach-Know-how nicht ausreicht, um einen rechtssicheren Rahmen zu gewährleisten.