| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision |
| softwarebeschaffung [2019/03/27 20:23] – Martin Neldner | softwarebeschaffung [2020/10/07 18:59] – [To DO] Admin |
|---|
| ==== Neuere Entwicklungen ==== | ==== Neuere Entwicklungen ==== |
| |
| Dazu entwickelt sich jedoch ein neuer((So neu ist das Thema eigentlich nicht: Die [[wpde>DATEV]] betrieb bis 1989 ausschließlich und bis in die 1990er Jahre teilweise einen Service, der nach heutigem Verstandnis SaaS war.)) Aspekt: [[Software as a Service]] (kurz SaaS) beziehungsweise weitergefasst [[Cloud Computing]].((Zu den Begrifflichkeiten siehe [[wpde>Software as a Service]] und [[wpde>Cloud Computing]] in der Wikipedia.)) | Dazu entwickelt sich jedoch ein neuer((So neu ist das Thema eigentlich nicht: Die [[https://de.wikipedia.org/wiki/DATEV|DATEV]] betrieb bis 1989 ausschließlich und bis in die 1990er Jahre teilweise einen Service, der nach heutigem Verstandnis SaaS war.)) Aspekt: [[:software_as_a_service|Software as a Service]] (kurz SaaS) beziehungsweise weitergefasst [[:cloud_computing|Cloud Computing]].((Zu den Begrifflichkeiten siehe [[https://de.wikipedia.org/wiki/Software as a Service|Software as a Service]] und [[https://de.wikipedia.org/wiki/Cloud Computing|Cloud Computing]] in der Wikipedia.)) |
| |
| Durch SaaS entsteht juristisch formuliert ein Dauerschuldverhältnis. Wirtschaftlich betrachtet entsteht ein neues Abhängigkeitsverhältnis. Während im "klassischen Modell" der Erwerber einer Software diese theoretisch zeitlich unbegrenzt und praktisch bis zur Obsoleszenz nutzen konnte, besteht diese Nutzungsmöglichkeit nun nur noch für Zeiträume, in denen der Anbieter dieses tatsächlich gestattet, was üblicherweise von vertraglichen Regelungen (und regelmäßigen Zahlungen des Erwerbers) abhängig ist. Das bedeutet, dass der Erwerber einer Software selbst bei einem vertragstreuen Anbieter jederzeit damit rechnen muss, dass der Anbieter sein Recht zur ordentlichen Kündigung wahrnimmt und die Software bzw. allgemeiner der Dienst nach Ablauf der Kündigungsfrist nicht mehr zur Verfügung stehen. Das hat Relevanz nicht nur, wenn sich ein Anbieter aus einem Geschäftsfeld zurückzieht sondern auch und vor allem werden mit der Drohung einer Kündigung Vertragsänderungen durchgesetzt.((Der Worst-Case dürfte die Insolvenz des Dienstleister sein. Siehe [[https://beck-online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fauerreinsdorffconradhdbitdsr_2%2Fcont%2Fauerreinsdorffconradhdbitdsr.glsect13.gliii.gl4.gle.htm&pos=6&hlwords=on|Roth-Neuschild in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, Rn. 137-145]].)) Das können "Preisanpassungen" sein aber auch - für den Datenschutz bedenklicher - neue, problematische Serverstandorte oder gar [[Auftragsverarbeitung|Unter-Auftragsverarbeiter]] in Ländern mit schwach entwickeltem Datenschutz. Es besteht also die Gefahr eines [[wpde>Lock-in-Effekt|Lock-in-Effekts]]. | Durch SaaS entsteht juristisch formuliert ein Dauerschuldverhältnis. Wirtschaftlich betrachtet entsteht ein neues längerfristiges Abhängigkeitsverhältnis. Während im "klassischen Modell" der Erwerber einer Software diese theoretisch zeitlich unbegrenzt und praktisch bis zur Obsoleszenz(technische Überholtheit) nutzen konnte, besteht diese Nutzungsmöglichkeit nun nur noch für Zeiträume, in denen der Anbieter dieses tatsächlich gestattet, was üblicherweise von vertraglichen Regelungen (und regelmäßigen Zahlungen des Erwerbers) abhängig ist. Das bedeutet, dass der Erwerber einer Software selbst bei einem vertragstreuen Anbieter jederzeit damit rechnen muss, dass der Anbieter sein Recht zur ordentlichen Kündigung wahrnimmt und die Software bzw. allgemeiner der Dienst nach Ablauf der Kündigungsfrist nicht mehr zur Verfügung stehen. Das hat Relevanz nicht nur, wenn sich ein Anbieter aus einem Geschäftsfeld zurückzieht sondern auch und vor allem werden mit der Drohung einer Kündigung Vertragsänderungen durchgesetzt.<sup>Lock-in-Effekt|Lock-in-Effekts]]. Überdies besteht die Gefahr, dass in der Insolvenz des Anbieters die Lösung von einem Tag auf den anderen nicht mehr nutzbar ist. |
| |
| Als **zusätzlicher** Aspekt ist bei der Softwarebeschaffung also zu bedenken, ob SaaS oder [[wpde>On Premises]] vorzugswürdig ist. Dafür muss in letzter Konsequenz der Lebenszyklus der zu beschaffenden Software bis zum Schluss durchdacht werden. Das alte [[Gewährleistungsziel]] der [[Verfügbarkeit]] bekommt damit zusätzliche Relevanz. | Als **zusätzlicher** Aspekt ist bei der Softwarebeschaffung also zu bedenken, ob SaaS oder [[wpde>On Premises|]] vorzugswürdig ist. Dafür muss in letzter Konsequenz der Lebenszyklus der zu beschaffenden Software bis zum Schluss durchdacht werden. Das alte [[:gewaehrleistungsziel|Gewährleistungsziel]] der [[:verfuegbarkeit|Verfügbarkeit]] bekommt damit zusätzliche Relevanz. |
| |
| === Kosten === | === Kosten === |
| Daraus ergibt sich ein weiteres bisher eher unbedeutendes Thema, das in kurzer Zeit brisant wurde: Kündigungsfristen. | Daraus ergibt sich ein weiteres bisher eher unbedeutendes Thema, das in kurzer Zeit brisant wurde: Kündigungsfristen. |
| |
| Die gesetzliche Kündigungsfrist beträgt bei der Miete von Software, was nach deutschem Recht bei SaaS die Regel sein dürfte, gemäß [[https://www.gesetze-im-internet.de/bgb/__580a.html|§ 580a]] Abs. 3 Nr. 2 BGB 3(!) Tage.((Vgl. [[https://beck-online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fauerreinsdorffconradhdbitdsr_2%2Fcont%2Fauerreinsdorffconradhdbitdsr.glsect16.gliv.gl1.htm&pos=8&hlwords=on| Redeker in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, Rn. 224]].)) Um das zu verdeutlichen: Am Montag kann mit Wirkung zum Donnerstag 24 Uhr gekündigt werden. Bei einer Einordnung als Dienstvertrag ist die gesetzliche Kündigungsfrist in Abhängigkeit von dem Zeitraum für den die Vergütung bemessen ist auch nicht viel länger, z.B. kann bei einer monatlichen Vergütung gemäß [[https://www.gesetze-im-internet.de/bgb/__621.html|§ 621]] Nr. 3 BGB bis zum 15. eines Monats zum Monatsende gekündigt werden. | Die gesetzliche Kündigungsfrist beträgt bei der Miete von Software, was nach deutschem Recht bei SaaS die Regel sein dürfte, gemäß [[https://www.gesetze-im-internet.de/bgb/__580a.html|§ 580a]] Abs. 3 Nr. 2 BGB 3(!) Tage.((Vgl. [[https://beck-online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fauerreinsdorffconradhdbitdsr_2%2Fcont%2Fauerreinsdorffconradhdbitdsr.glsect16.gliv.gl1.htm&pos=8&hlwords=on|Redeker in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, Rn. 224]])) Um das zu verdeutlichen: Am Montag kann mit Wirkung zum Donnerstag 24 Uhr gekündigt werden. Bei einer Einordnung als Dienstvertrag ist die gesetzliche Kündigungsfrist in Abhängigkeit von dem Zeitraum für den die Vergütung bemessen ist auch nicht viel länger, z.B. kann bei einer monatlichen Vergütung gemäß [[https://www.gesetze-im-internet.de/bgb/__621.html|§ 621]] Nr. 3 BGB bis zum 15. eines Monats zum Monatsende gekündigt werden. |
| |
| Selbst ein eher einfaches IT-System wird sich normalerweise nicht in solch kurzen Fristen zu einem anderen Anbieter übertragen lassen. | Selbst ein eher einfaches IT-System wird sich normalerweise nicht in solch kurzen Fristen zu einem anderen Anbieter übertragen lassen. |
| === Datenportabilität === | === Datenportabilität === |
| |
| Um die etwaigen Wechselfristen so kurz wie möglich zu halten, muss ebenfalls noch in der Beschaffungsphase die [[Datenportabilität]] geprüft werden. Im Verhältnis [[betroffene Person]] zu [[Verarbeiter]] wird das [[Recht auf Datenübertragbarkeit]] bisweilen etwas belächelt, weil es in der Praxis allenfalls ein frommer Wunsch ist. Im professionellen Bereich ist dieses Ansinnen des europäischen Gesetzgebers aber geradezu essentiell geworden: Kann der Anbieter mir meine Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" gemäß [[https://dejure.org/gesetze/DSGVO/20.html|Art. 20]] DSGVO übermitteln und - was nicht in der DSGVO steht- kann ein anderer Anbieter (bzw. bei einer alternativen On-Premises-Lösung die eigene IT-Abteilung) etwas mit diesen Daten anfangen? | Um die etwaigen Wechselfristen so kurz wie möglich zu halten, muss ebenfalls noch in der Beschaffungsphase die [[:datenportabilitaet|Datenportabilität]] geprüft werden. Im Verhältnis [[:betroffene_person|]] zu [[:verarbeiter|Verarbeiter]] wird das [[:recht_auf_datenuebertragbarkeit|Recht auf Datenübertragbarkeit]] bisweilen etwas belächelt, weil es in der Praxis allenfalls ein frommer Wunsch ist. Im professionellen Bereich ist dieses Ansinnen des europäischen Gesetzgebers aber geradezu essentiell geworden: Kann der Anbieter mir meine Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" gemäß [[https://dejure.org/gesetze/DSGVO/20.html|Art. 20]] DSGVO übermitteln und - was nicht in der DSGVO steht- kann ein anderer Anbieter (bzw. bei einer alternativen On-Premises-Lösung die eigene IT-Abteilung) etwas mit diesen Daten anfangen? |
| | |
| | Für den oben angesprochenen Notfall der sofortigen Diensteinstellung (typischerweise in der Insolvenz) sollte geprüft werden, ob eine vollständige oder teilweise Speicherung der Daten, die bei dem Anbieter liegen, auf Systemen möglich und sinnvoll ist, die von dem Anbieter unabhängig sind. Um das an einem Beispiel zu verdeutlichen: Eine Datenschutzmanagement-Software (DSMS) wird die Hauptaufgabe haben, dass darüber das Verzeichnis von Verarbeitungstätigkeiten ([[VVT]]) geführt wird. Die VVT-Einträge könnten und sollten als [[https://de.wikipedia.org/wiki/PDF/A|PDF-A]] auch an das Archiv der Organisation übermittelt werden. |
| |
| ===== To DO ===== | ===== To DO ===== |
| * Datenschutz im Leistungsvertrag verankern. | * Datenschutz im Leistungsvertrag verankern. |
| * Kündigungsfristen bei [[SaaS]] müssen lang genug für die Implementierung einer Ersatzlösung sein, um gegen Änderungswünsche des Vertragspartner, die für den Datenschutz problematisch sind, gewappnet zu sein. | * Kündigungsfristen bei [[SaaS]] müssen lang genug für die Implementierung einer Ersatzlösung sein, um gegen Änderungswünsche des Vertragspartner, die für den Datenschutz problematisch sind, gewappnet zu sein. |
| * [[Auftragsverarbeitung]] ist der [[AV-Vertrag]] möglichst mit dem Hauptvertrag abzuschließen und nicht im Nachhinein. | * Im Falle von [[Auftragsverarbeitung]] ist der [[AV-Vertrag]] möglichst mit dem Hauptvertrag abzuschließen und nicht im Nachhinein. |
| * Vorschlag für [[VVT]] und [[Datenschutzerklärung]] vom Dienstleister unterbreiten zu lassen, ist in vielen Fällen zweckmäßig. | * Vorschlag für [[VVT]] und [[Datenschutzerklärung]] vom Dienstleister unterbreiten zu lassen, ist in vielen Fällen zweckmäßig. |
| * [[Datenportabilität]] in möglichst hohem Umfang sicherstellen durch Tests und rechtliche Absicherung | * [[Datenportabilität]] in möglichst hohem Umfang sicherstellen durch Tests, rechtliche Absicherung und gegebenenfalls tatsächliche anbieterunabhängige (natürlich datenschutzgerechte!) Speicherung |
| | * Exit-Strategie planen (über Kündigungsfristen und Datenportabilität hinaus) |
| |
| ===== Anforderungen ===== | ===== Anforderungen ===== |
| * Archivierung und Löschung | * Archivierung und Löschung |
| |
| | Die Softwareanbieter sollten wenigstens folgende Anforderungen erfüllen: |
| | * Bestellung eines Datenschutzbeauftragten (Wenn ein Datenschutzbeauftragter nach dem [[BDSG]] nicht bestellt werden muss, ist ein Nachweis erforderlich wie der Datenschutz dann sichergestellt wird. In solchen Fällen ist die freiwillige Bestellung eines DSB vorzugswürdig.) |
| | * Bonität |
| ===== Weblinks ===== | ===== Weblinks ===== |
| |
