Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
softwarebeschaffung [2022/05/16 16:13] – [To DO] Admin | softwarebeschaffung [2022/05/19 15:58] (aktuell) – [3. Anforderungen] Admin |
---|
====== Softwarebeschaffung ====== | ====== - Softwarebeschaffung ====== |
| |
**Softwarebeschaffung** im Sinne dieses Wiki sind der Kauf und die Miete von Standardsoftware, die Herstellung von Individualsoftware sowohl durch die Organisation selbst als auch durch Fremdanbieter aber auch die bloße Nutzung spezifischer IT-Dienstleistungen (Software as a Service - [[SaaS]]) - natürlich alles unter der Voraussetzung, dass [[personenbezogene Daten]] verarbeitet werden. | **Softwarebeschaffung** im Sinne dieses Wiki sind der Kauf und die Miete von Standardsoftware, die Herstellung von Individualsoftware sowohl durch die Organisation selbst als auch durch Fremdanbieter aber auch die bloße Nutzung spezifischer IT-Dienstleistungen (Software as a Service - [[SaaS]]) - natürlich alles unter der Voraussetzung, dass [[personenbezogene Daten]] verarbeitet werden. |
Softwarebeschaffung ist für den [[Datenschutz]] ein zentrales Thema, da viele Datenschutzprobleme bei IT-Systemen letztlich daraus resultieren, dass die Beschaffungsentscheidungen getroffen wurden, ohne den Datenschutz mit zu berücksichtigen. Die Chancen, erfolgreich gemeinsam mit einem IT-Dienstleister zu datenschutzgerechten Lösungen zu gelangen, sind vor Auftragserteilung wesentlich höher als danach. Soweit überhaupt Bereitschaft zu Nachbesserungen nach Vertragsschluss besteht, dann häufig nur mit hohem organisatorischem und gegebenenfalls finanziellem Aufwand. Im Extremfall können irreparable Fehler bei der Softwarebeschaffung dazu führen, dass ein IT-Projekt aus Datenschutzgründen abgebrochen werden muss. | Softwarebeschaffung ist für den [[Datenschutz]] ein zentrales Thema, da viele Datenschutzprobleme bei IT-Systemen letztlich daraus resultieren, dass die Beschaffungsentscheidungen getroffen wurden, ohne den Datenschutz mit zu berücksichtigen. Die Chancen, erfolgreich gemeinsam mit einem IT-Dienstleister zu datenschutzgerechten Lösungen zu gelangen, sind vor Auftragserteilung wesentlich höher als danach. Soweit überhaupt Bereitschaft zu Nachbesserungen nach Vertragsschluss besteht, dann häufig nur mit hohem organisatorischem und gegebenenfalls finanziellem Aufwand. Im Extremfall können irreparable Fehler bei der Softwarebeschaffung dazu führen, dass ein IT-Projekt aus Datenschutzgründen abgebrochen werden muss. |
| |
===== Hintergrund ===== | ===== - Hintergrund ===== |
| |
==== Klassischer Ansatz ==== | ==== - Klassischer Ansatz ==== |
| |
Viele Jahre dominierten bei der Softwarebeschaffung Modelle, die rechtlich Kauf- oder Werkvertragscharakter hatten: Der Hersteller liefert eine Software mit den vereinbarten Spezifikationen und der Kunde nimmt die Software ab und zahlt den Preis (Kaufpreis oder Werklohn). Aus Erwerbersicht stand also im Vordergrund, zu prüfen, ob die Software den vereinarten Spezifikationen entspricht, was sich günstigstenfalls in einer förmlichen Abnahme manifestierte.((Zur Taktik und möglichen Folgen verzögerter Abnahme:[[https://www.haerting.de/neuigkeit/vorsicht-falle-rechtsverlust-durch-verweigerung-der-abnahme-softwarevertraegen|haerting.de:Vorsicht Falle: Rechtsverlust durch Verweigerung der Abnahme in Softwareverträgen]], [[http://web.archive.org/web/20190327140735/https://www.haerting.de/neuigkeit/vorsicht-falle-rechtsverlust-durch-verweigerung-der-abnahme-softwarevertraegen|Seite bei archive.org]] mit Verweis auf [[https://lexetius.com/2014,2076|BGH, Urteil vom 5. 6. 2014 – VII ZR 276/13]], [[http://web.archive.org/web/20190327140615/https://lexetius.com/2014,2076|Seite bei archive.org]].)) Mit der Abnahme sind bekannte und teilweise auch unbekannte IST-Abweichungen vom SOLL-Zustand im Regelfall akzeptiert. | Viele Jahre dominierten bei der Softwarebeschaffung Modelle, die rechtlich Kauf- oder Werkvertragscharakter hatten: Der Hersteller liefert eine Software mit den vereinbarten Spezifikationen und der Kunde nimmt die Software ab und zahlt den Preis (Kaufpreis oder Werklohn). Aus Erwerbersicht stand also im Vordergrund, zu prüfen, ob die Software den vereinarten Spezifikationen entspricht, was sich günstigstenfalls in einer förmlichen Abnahme manifestierte.((Zur Taktik und möglichen Folgen verzögerter Abnahme:[[https://www.haerting.de/neuigkeit/vorsicht-falle-rechtsverlust-durch-verweigerung-der-abnahme-softwarevertraegen|haerting.de:Vorsicht Falle: Rechtsverlust durch Verweigerung der Abnahme in Softwareverträgen]], [[http://web.archive.org/web/20190327140735/https://www.haerting.de/neuigkeit/vorsicht-falle-rechtsverlust-durch-verweigerung-der-abnahme-softwarevertraegen|Seite bei archive.org]] mit Verweis auf [[https://lexetius.com/2014,2076|BGH, Urteil vom 5. 6. 2014 – VII ZR 276/13]], [[http://web.archive.org/web/20190327140615/https://lexetius.com/2014,2076|Seite bei archive.org]].)) Mit der Abnahme sind bekannte und teilweise auch unbekannte IST-Abweichungen vom SOLL-Zustand im Regelfall akzeptiert. |
Dieser Aspekt der Softwarebeschaffung ist auch nach wie vor aktuell. | Dieser Aspekt der Softwarebeschaffung ist auch nach wie vor aktuell. |
| |
==== Neuere Entwicklungen ==== | ==== - Neuere Entwicklungen ==== |
| |
Dazu entwickelt sich jedoch ein neuer((So neu ist das Thema eigentlich nicht: Die [[https://de.wikipedia.org/wiki/DATEV|DATEV]] betrieb bis 1989 ausschließlich und bis in die 1990er Jahre teilweise einen Service, der nach heutigem Verstandnis SaaS war.)) Aspekt: [[:software_as_a_service|Software as a Service]] (kurz SaaS) beziehungsweise weitergefasst [[:cloud_computing|Cloud Computing]].((Zu den Begrifflichkeiten siehe [[https://de.wikipedia.org/wiki/Software as a Service|Software as a Service]] und [[https://de.wikipedia.org/wiki/Cloud Computing|Cloud Computing]] in der Wikipedia.)) | Dazu entwickelt sich jedoch ein neuer((So neu ist das Thema eigentlich nicht: Die [[https://de.wikipedia.org/wiki/DATEV|DATEV]] betrieb bis 1989 ausschließlich und bis in die 1990er Jahre teilweise einen Service, der nach heutigem Verstandnis SaaS war.)) Aspekt: [[:software_as_a_service|Software as a Service]] (kurz SaaS) beziehungsweise weitergefasst [[:cloud_computing|Cloud Computing]].((Zu den Begrifflichkeiten siehe [[https://de.wikipedia.org/wiki/Software as a Service|Software as a Service]] und [[https://de.wikipedia.org/wiki/Cloud Computing|Cloud Computing]] in der Wikipedia.)) |
Als **zusätzlicher** Aspekt ist bei der Softwarebeschaffung also zu bedenken, ob SaaS oder [[wpde>On Premises|]] vorzugswürdig ist. Dafür muss in letzter Konsequenz der Lebenszyklus der zu beschaffenden Software bis zum Schluss durchdacht werden. Das alte [[:gewaehrleistungsziel|Gewährleistungsziel]] der [[:verfuegbarkeit|Verfügbarkeit]] bekommt damit zusätzliche Relevanz. | Als **zusätzlicher** Aspekt ist bei der Softwarebeschaffung also zu bedenken, ob SaaS oder [[wpde>On Premises|]] vorzugswürdig ist. Dafür muss in letzter Konsequenz der Lebenszyklus der zu beschaffenden Software bis zum Schluss durchdacht werden. Das alte [[:gewaehrleistungsziel|Gewährleistungsziel]] der [[:verfuegbarkeit|Verfügbarkeit]] bekommt damit zusätzliche Relevanz. |
| |
=== Kosten === | === - Kosten === |
| |
Der Vergleich der Kosten ist im klassischen Fall bezogen auf das Gesamtprojekt relativ einfach, weil die Masse der Kosten einmalig bei der Beschaffung anfällt. Eine Berechnung der Kosten je Zeiteinheit ist dagegen schwierig, weil sie maßgeblich von der Einsatzdauer abhängig ist, die jedoch nur mit großer Unsicherheit geschätzt werden kann. | Der Vergleich der Kosten ist im klassischen Fall bezogen auf das Gesamtprojekt relativ einfach, weil die Masse der Kosten einmalig bei der Beschaffung anfällt. Eine Berechnung der Kosten je Zeiteinheit ist dagegen schwierig, weil sie maßgeblich von der Einsatzdauer abhängig ist, die jedoch nur mit großer Unsicherheit geschätzt werden kann. |
In beiden Fällen kaum prognostizierbar sind zum Zeitpunkt einer Beschaffungsentscheidung die Kosten für die Einführung einer Ersatzlösung. Das wird im klassischen Fall gemildert durch eine relative große Freiheit, den Zeitpunkt des Ersatzes selbst zu bestimmen. Im Falle von SaaS kann dagegen der Zwang zu einer Ersatzlösung zu ungünstigen Zeitpunkten kommen, z.B. wenn aufgrund einer Uneinigkeit zur Einbindung eines Unterauftragnehmers der Vertrag kurzfristig gekündigt wird. Die Durchsetzung elementarer Anforderungen des Datenschutzes kann also plötzlich sehr teuer werden. | In beiden Fällen kaum prognostizierbar sind zum Zeitpunkt einer Beschaffungsentscheidung die Kosten für die Einführung einer Ersatzlösung. Das wird im klassischen Fall gemildert durch eine relative große Freiheit, den Zeitpunkt des Ersatzes selbst zu bestimmen. Im Falle von SaaS kann dagegen der Zwang zu einer Ersatzlösung zu ungünstigen Zeitpunkten kommen, z.B. wenn aufgrund einer Uneinigkeit zur Einbindung eines Unterauftragnehmers der Vertrag kurzfristig gekündigt wird. Die Durchsetzung elementarer Anforderungen des Datenschutzes kann also plötzlich sehr teuer werden. |
| |
=== Kündigungsfristen === | === - Kündigungsfristen === |
| |
Daraus ergibt sich ein weiteres bisher eher unbedeutendes Thema, das in kurzer Zeit brisant wurde: Kündigungsfristen. | Daraus ergibt sich ein weiteres in der Vergangenheit eher unbedeutendes Thema, das in kurzer Zeit brisant wurde: Kündigungsfristen. |
| |
Die gesetzliche Kündigungsfrist beträgt bei der Miete von Software, was nach deutschem Recht bei SaaS die Regel sein dürfte, gemäß [[https://www.gesetze-im-internet.de/bgb/__580a.html|§ 580a]] Abs. 3 Nr. 2 BGB 3(!) Tage.((Vgl. [[https://beck-online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fauerreinsdorffconradhdbitdsr_2%2Fcont%2Fauerreinsdorffconradhdbitdsr.glsect16.gliv.gl1.htm&pos=8&hlwords=on|Redeker in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, Rn. 224]])) Um das zu verdeutlichen: Am Montag kann mit Wirkung zum Donnerstag 24 Uhr gekündigt werden. Bei einer Einordnung als Dienstvertrag ist die gesetzliche Kündigungsfrist in Abhängigkeit von dem Zeitraum für den die Vergütung bemessen ist auch nicht viel länger, z.B. kann bei einer monatlichen Vergütung gemäß [[https://www.gesetze-im-internet.de/bgb/__621.html|§ 621]] Nr. 3 BGB bis zum 15. eines Monats zum Monatsende gekündigt werden. | Die gesetzliche Kündigungsfrist beträgt bei der Miete von Software, was nach deutschem Recht bei SaaS die Regel sein dürfte, gemäß [[https://www.gesetze-im-internet.de/bgb/__580a.html|§ 580a]] Abs. 3 Nr. 2 BGB 3(!) Tage.((Vgl. [[https://beck-online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fauerreinsdorffconradhdbitdsr_2%2Fcont%2Fauerreinsdorffconradhdbitdsr.glsect16.gliv.gl1.htm&pos=8&hlwords=on|Redeker in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, Rn. 224]])) Um das zu verdeutlichen: Am Montag kann mit Wirkung zum Donnerstag 24 Uhr gekündigt werden. Bei einer Einordnung als Dienstvertrag ist die gesetzliche Kündigungsfrist in Abhängigkeit von dem Zeitraum für den die Vergütung bemessen ist auch nicht viel länger, z.B. kann bei einer monatlichen Vergütung gemäß [[https://www.gesetze-im-internet.de/bgb/__621.html|§ 621]] Nr. 3 BGB bis zum 15. eines Monats zum Monatsende gekündigt werden. |
Die (selbst verschuldete) Unmöglichkeit eines Anbieterwechsels ist kein Entschuldigungsgrund für eine datenschutzwidrige Verarbeitung personenbezogener Daten. | Die (selbst verschuldete) Unmöglichkeit eines Anbieterwechsels ist kein Entschuldigungsgrund für eine datenschutzwidrige Verarbeitung personenbezogener Daten. |
| |
=== Datenportabilität === | === - Datenportabilität === |
| |
Um die etwaigen Wechselfristen so kurz wie möglich zu halten, muss ebenfalls noch in der Beschaffungsphase die [[:datenportabilitaet|Datenportabilität]] geprüft werden. Im Verhältnis [[:betroffene_person|]] zu [[:verarbeiter|Verarbeiter]] wird das [[:recht_auf_datenuebertragbarkeit|Recht auf Datenübertragbarkeit]] bisweilen etwas belächelt, weil es in der Praxis allenfalls ein frommer Wunsch ist. Im professionellen Bereich ist dieses Ansinnen des europäischen Gesetzgebers aber geradezu essentiell geworden: Kann der Anbieter mir meine Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" gemäß [[https://dejure.org/gesetze/DSGVO/20.html|Art. 20]] DSGVO übermitteln und - was nicht in der DSGVO steht- kann ein anderer Anbieter (bzw. bei einer alternativen On-Premises-Lösung die eigene IT-Abteilung) etwas mit diesen Daten anfangen? | Um die etwaigen Wechselfristen so kurz wie möglich zu halten, muss ebenfalls noch in der Beschaffungsphase die [[:datenportabilitaet|Datenportabilität]] geprüft werden. Im Verhältnis [[:betroffene_person|]] zu [[:verarbeiter|Verarbeiter]] wird das [[:recht_auf_datenuebertragbarkeit|Recht auf Datenübertragbarkeit]] bisweilen etwas belächelt, weil es in der Praxis allenfalls ein frommer Wunsch ist. Im professionellen Bereich ist dieses Ansinnen des europäischen Gesetzgebers aber geradezu essentiell geworden: Kann der Anbieter mir meine Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" gemäß [[https://dejure.org/gesetze/DSGVO/20.html|Art. 20]] DSGVO übermitteln und - was nicht in der DSGVO steht- kann ein anderer Anbieter (bzw. bei einer alternativen On-Premises-Lösung die eigene IT-Abteilung) etwas mit diesen Daten anfangen? |
Für den oben angesprochenen Notfall der sofortigen Diensteinstellung (typischerweise in der Insolvenz) sollte geprüft werden, ob eine vollständige oder teilweise Speicherung der Daten, die bei dem Anbieter liegen, auf Systemen möglich und sinnvoll ist, die von dem Anbieter unabhängig sind. Um das an einem Beispiel zu verdeutlichen: Eine Datenschutzmanagement-Software (DSMS) wird die Hauptaufgabe haben, dass darüber das Verzeichnis von Verarbeitungstätigkeiten ([[VVT]]) geführt wird. Die VVT-Einträge könnten und sollten als [[https://de.wikipedia.org/wiki/PDF/A|PDF-A]] auch an das Archiv der Organisation übermittelt werden. | Für den oben angesprochenen Notfall der sofortigen Diensteinstellung (typischerweise in der Insolvenz) sollte geprüft werden, ob eine vollständige oder teilweise Speicherung der Daten, die bei dem Anbieter liegen, auf Systemen möglich und sinnvoll ist, die von dem Anbieter unabhängig sind. Um das an einem Beispiel zu verdeutlichen: Eine Datenschutzmanagement-Software (DSMS) wird die Hauptaufgabe haben, dass darüber das Verzeichnis von Verarbeitungstätigkeiten ([[VVT]]) geführt wird. Die VVT-Einträge könnten und sollten als [[https://de.wikipedia.org/wiki/PDF/A|PDF-A]] auch an das Archiv der Organisation übermittelt werden. |
| |
===== To Do ===== | ===== - To Do ===== |
| |
Zumindest folgende Punkte sollten im Regelfall bei der Softwarebeschaffung beachtet werden: | Zumindest folgende Punkte sollten im Regelfall bei der Softwarebeschaffung beachtet werden: |
* Exit-Strategie planen (über Kündigungsfristen und Datenportabilität hinaus) | * Exit-Strategie planen (über Kündigungsfristen und Datenportabilität hinaus) |
| |
===== Anforderungen ===== | ===== - Anforderungen ===== |
| |
Software sollte wenigstens folgende Anforderungen erfüllen((Vgl. noch zum BDSG [[https://www.datenschutzbeauftragter-info.de/anforderungen-an-software-besser-vorher-an-datenschutz-und-it-sicherheit-denken/|Anforderungen an Software: Besser vorher an Datenschutz und IT-Sicherheit denken!]].)): | Software sollte wenigstens folgende Anforderungen erfüllen((Vgl. noch zum BDSG [[https://www.datenschutzbeauftragter-info.de/anforderungen-an-software-besser-vorher-an-datenschutz-und-it-sicherheit-denken/|Anforderungen an Software: Besser vorher an Datenschutz und IT-Sicherheit denken!]].)): |
* Eingabekontrolle, | * Eingabekontrolle, |
* Protokollauswertungen, | * Protokollauswertungen, |
| * Auskunftserteilung, |
* Archivierung und Löschung. | * Archivierung und Löschung. |
| |
* Bestellung eines Datenschutzbeauftragten, (Wenn ein Datenschutzbeauftragter nach dem [[BDSG]] nicht bestellt werden muss, ist ein Nachweis erforderlich wie der Datenschutz dann sichergestellt wird. In solchen Fällen ist die freiwillige Bestellung eines DSB vorzugswürdig.) | * Bestellung eines Datenschutzbeauftragten, (Wenn ein Datenschutzbeauftragter nach dem [[BDSG]] nicht bestellt werden muss, ist ein Nachweis erforderlich wie der Datenschutz dann sichergestellt wird. In solchen Fällen ist die freiwillige Bestellung eines DSB vorzugswürdig.) |
* Bonität. | * Bonität. |
===== Weblinks ===== | * Dokumentation: Wie funktioniert die Software? Beschreibung der Handhabung, Flussdiagramme, FAQ´s etc. |
| |
| Quellen zur Einschätzung von Anbietern und Produkten |
| * Tätigkeitsbericht und Stellungnahmen der Datenschutzbehörden (Siehe z.B. [[:Datenschutzkonferenz]], [[:TLfDI]]) |
| * Auskünfte bei [[https://fragdenstaat.de/|Frag den Staat]] |
| ===== - Weblinks ===== |
| |
* [[https://www.datenschutzbeauftragter-info.de/was-muss-software-zur-einhaltung-der-dsgvo-koennen/|Was muss Software zur Einhaltung der DSGVO können?]] | * [[https://www.datenschutzbeauftragter-info.de/was-muss-software-zur-einhaltung-der-dsgvo-koennen/|Was muss Software zur Einhaltung der DSGVO können?]] |