Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
softwarebeschaffung [2019/02/19 11:47] – angelegt Martin Neldner | softwarebeschaffung [2022/05/19 15:58] (aktuell) – [3. Anforderungen] Admin | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | < | + | ====== |
- | ====== | + | **Softwarebeschaffung** im Sinne dieses Wiki sind der Kauf und die Miete von Standardsoftware, |
+ | Softwarebeschaffung ist für den [[Datenschutz]] ein zentrales Thema, da viele Datenschutzprobleme bei IT-Systemen letztlich daraus resultieren, | ||
- | **Softwarebeschaffung** | + | ===== - Hintergrund ===== |
- | Zu beachtende Punkte: | + | ==== - Klassischer Ansatz ==== |
- | * Datenschutz in der Ausschreibung schon ansprechen | + | Viele Jahre dominierten bei der Softwarebeschaffung Modelle, die rechtlich Kauf- oder Werkvertragscharakter hatten: Der Hersteller liefert eine Software mit den vereinbarten Spezifikationen und der Kunde nimmt die Software ab und zahlt den Preis (Kaufpreis oder Werklohn). Aus Erwerbersicht stand also im Vordergrund, |
- | * Verankerung | + | |
- | * Kündigungsfristen bei SaaS lang genug für Implementierung | + | |
- | {{tag>Entwurf}} | + | **Auch** für den **Datenschutz** mussten daher erforderliche Eigenschaften der Software frühzeitig spezifiziert werden, um Gegenstand des Leistungsvertrages zu werden, der anschließend tatsächlich umzusetzen war. |
+ | |||
+ | Dieser Aspekt der Softwarebeschaffung ist auch nach wie vor aktuell. | ||
+ | |||
+ | ==== - Neuere Entwicklungen ==== | ||
+ | |||
+ | Dazu entwickelt sich jedoch ein neuer((So neu ist das Thema eigentlich nicht: Die [[https:// | ||
+ | |||
+ | Durch SaaS entsteht juristisch formuliert ein Dauerschuldverhältnis. Wirtschaftlich betrachtet entsteht ein neues längerfristiges Abhängigkeitsverhältnis. Während im " | ||
+ | |||
+ | Als **zusätzlicher** Aspekt ist bei der Softwarebeschaffung also zu bedenken, ob SaaS oder [[wpde> | ||
+ | |||
+ | === - Kosten === | ||
+ | |||
+ | Der Vergleich der Kosten ist im klassischen Fall bezogen auf das Gesamtprojekt relativ einfach, weil die Masse der Kosten einmalig bei der Beschaffung anfällt. Eine Berechnung der Kosten je Zeiteinheit ist dagegen schwierig, weil sie maßgeblich von der Einsatzdauer abhängig ist, die jedoch nur mit großer Unsicherheit geschätzt werden kann. | ||
+ | |||
+ | Bei SaaS sind die Kosten (anfänglichen) Kosten je Zeiteinheit dagegen sehr klar. Die Gesamtkosten des Projekts sind dagegen aufgrund der Unsicherheit bei der Einsatzdauer nur schwer zu schätzen. Etwaige Preisänderungen sind dagegen kaum vorhersagbar. | ||
+ | |||
+ | In beiden Fällen kaum prognostizierbar sind zum Zeitpunkt einer Beschaffungsentscheidung die Kosten für die Einführung einer Ersatzlösung. Das wird im klassischen Fall gemildert durch eine relative große Freiheit, den Zeitpunkt des Ersatzes selbst zu bestimmen. Im Falle von SaaS kann dagegen der Zwang zu einer Ersatzlösung zu ungünstigen Zeitpunkten kommen, z.B. wenn aufgrund einer Uneinigkeit zur Einbindung eines Unterauftragnehmers der Vertrag kurzfristig gekündigt wird. Die Durchsetzung elementarer Anforderungen des Datenschutzes kann also plötzlich sehr teuer werden. | ||
+ | |||
+ | === - Kündigungsfristen === | ||
+ | |||
+ | Daraus ergibt sich ein weiteres in der Vergangenheit eher unbedeutendes Thema, das in kurzer Zeit brisant wurde: Kündigungsfristen. | ||
+ | |||
+ | Die gesetzliche Kündigungsfrist beträgt bei der Miete von Software, was nach deutschem Recht bei SaaS die Regel sein dürfte, gemäß [[https:// | ||
+ | |||
+ | Selbst ein eher einfaches IT-System wird sich normalerweise nicht in solch kurzen Fristen zu einem anderen Anbieter übertragen lassen. | ||
+ | |||
+ | Folglich bedarf es **zwingend längerer Kündigungsfristen**, | ||
+ | |||
+ | Die (selbst verschuldete) Unmöglichkeit eines Anbieterwechsels ist kein Entschuldigungsgrund für eine datenschutzwidrige Verarbeitung personenbezogener Daten. | ||
+ | |||
+ | === - Datenportabilität === | ||
+ | |||
+ | Um die etwaigen Wechselfristen so kurz wie möglich zu halten, muss ebenfalls noch in der Beschaffungsphase die [[: | ||
+ | |||
+ | Für den oben angesprochenen Notfall der sofortigen Diensteinstellung (typischerweise in der Insolvenz) sollte geprüft werden, ob eine vollständige oder teilweise Speicherung der Daten, die bei dem Anbieter liegen, auf Systemen möglich und sinnvoll ist, die von dem Anbieter unabhängig sind. Um das an einem Beispiel zu verdeutlichen: | ||
+ | |||
+ | ===== - To Do ===== | ||
+ | |||
+ | Zumindest folgende Punkte sollten im Regelfall bei der Softwarebeschaffung beachtet werden: | ||
+ | |||
+ | * Frühzeitig erste Überlegungen zu einem [[Datenschutzkonzept]] anstellen. | ||
+ | * (Betrieblichen oder behördlichen) [[Datenschutzbeauftragter|Datenschutzbeauftragten]] einbinden. | ||
+ | * Datenschutz schon in der Ausschreibung ansprechen - und zwar möglichst konkret. | ||
+ | * Datenschutz im Leistungsvertrag verankern. | ||
+ | * Kündigungsfristen bei [[SaaS]] müssen lang genug für die Implementierung einer Ersatzlösung sein, um gegen Änderungswünsche des Vertragspartner, | ||
+ | * Im Falle von [[Auftragsverarbeitung]] ist der [[AV-Vertrag]] möglichst mit dem Hauptvertrag abzuschließen und nicht im Nachhinein. | ||
+ | * Vorschlag für [[VVT]] und [[Datenschutzerklärung]] vom Dienstleister unterbreiten zu lassen, ist in vielen Fällen zweckmäßig. | ||
+ | * [[Datenportabilität]] in möglichst hohem Umfang sicherstellen durch Tests, rechtliche Absicherung und gegebenenfalls tatsächliche anbieterunabhängige (natürlich datenschutzgerechte!) Speicherung | ||
+ | * Exit-Strategie planen (über Kündigungsfristen und Datenportabilität hinaus) | ||
+ | |||
+ | ===== - Anforderungen ===== | ||
+ | |||
+ | Software sollte wenigstens folgende Anforderungen erfüllen((Vgl. noch zum BDSG [[https:// | ||
+ | * Zugriffskontrolle, | ||
+ | * Eingabekontrolle, | ||
+ | * Protokollauswertungen, | ||
+ | * Auskunftserteilung, | ||
+ | * Archivierung und Löschung. | ||
+ | |||
+ | Spezifisch bei [[SaaS]] oder hybriden Lösungen sollten folgende Anforderungen erfüllt sein: | ||
+ | |||
+ | * Dokumentation, | ||
+ | * Zertifizierung der IT-Sicherheit des Anbieters, hilfsweise konkrete Dokumentation der Maßnahmen zur IT-Sicherheit, | ||
+ | * falls [[Drittstaatenübermittlung]] vorliegt, | ||
+ | * Benennung der (aller) Drittstaaten, | ||
+ | * Benennung der Rechtsgrundlagen (vgl. Art. 44 ff. DSGVO) für die Übermittlung, | ||
+ | * Dokumentation der Erfüllung aller Anforderungen einer Drittstaatenübermittlung, | ||
+ | * bei Übermittlung in die USA, Erklärung, ob der [[Cloud Act]] Anwendung findet(woraufhin die Zulässigkeit der Übermittlung unter diesem Aspekt intensiv zu prüfen ist) oder aufgrund welcher nachzuweisenden Umstände der Cloud Act keine Anwendung finden soll, | ||
+ | * bei Anbietern mit Sitz in den USA oder mit relevanten Anteilseignern in den USA: Nachweis durch den Anbieter, dass eine Übermittlung in die USA technisch ausgeschlossen ist oder falls die Übermittlung nicht technisch ausgeschlossen ist, vollumfängliche Erfüllung der Anforderungen an Übermittlungen in die USA (siehe oben), | ||
+ | * im Falle von [[Auftragsverarbeitung]]: | ||
+ | * bei hohem Schutzbedarf und soweit für die konkrete Anwendung sinnvoll: Ende-zu-Ende Verschlüsselung. | ||
+ | |||
+ | Die Softwareanbieter sollten wenigstens folgende Anforderungen erfüllen: | ||
+ | * Benennung der für den Anbieter zuständigen Aufsichtsbehörde, | ||
+ | * Bestellung eines Datenschutzbeauftragten, | ||
+ | * Bonität. | ||
+ | * Dokumentation: | ||
+ | |||
+ | Quellen zur Einschätzung von Anbietern und Produkten | ||
+ | * Tätigkeitsbericht und Stellungnahmen der Datenschutzbehörden (Siehe z.B. [[: | ||
+ | * Auskünfte bei [[https:// | ||
+ | ===== - Weblinks ===== | ||
+ | |||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | |||
+ | {{tag>Artikel}} |