Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

Softwarebeschaffung

Softwarebeschaffung im Sinne dieses Wiki sind der Kauf und die Miete von Standardsoftware, die Herstellung von Individualsoftware sowohl durch die Organisation selbst als auch durch Fremdanbieter aber auch die bloße Nutzung spezifischer IT-Dienstleistungen (Software as a Service - SaaS) - natürlich alles unter der Voraussetzung, dass Personenbezogene Daten verarbeitet werden.

Softwarebeschaffung ist für den Datenschutz ein zentrales Thema, da viele Datenschutzprobleme bei IT-Systemen letztlich daraus resultieren, dass die Beschaffungsentscheidungen getroffen wurden, ohne den Datenschutz mit zu berücksichtigen. Die Chancen, erfolgreich gemeinsam mit einem IT-Dienstleister zu datenschutzgerechten Lösungen zu gelangen, sind vor Auftragserteilung wesentlich höher als danach. Soweit überhaupt Bereitschaft zu Nachbesserungen nach Vertragsschluss besteht, dann häufig nur mit hohem organisatorischem und gegebenenfalls finanziellem Aufwand. Im Extremfall können irreparable Fehler bei der Softwarebeschaffung dazu führen, dass ein IT-Projekt aus Datenschutzgründen abgebrochen werden muss.

Hintergrund

Viele Jahre dominierten bei der Softwarebeschaffung Modelle, die rechtlich Kauf- oder Werkvertragscharakter hatten: Der Hersteller liefert eine Software mit den vereinbarten Spezifikationen und der Kunde nimmt die Software ab und zahlt den Preis (Kaufpreis oder Werklohn). Aus Erwerbersicht stand also im Vordergrund, zu prüfen, ob die Software den vereinarten Spezifikationen entspricht, was sich günstigstenfalls in einer förmlichen Abnahme manifestierte.1) Mit der Abnahme sind bekannte und teilweise auch unbekannte IST-Abweichungen vom SOLL-Zustand im Regelfall akzeptiert.

Auch für den Datenschutz mussten daher erforderliche Eigenschaften der Software frühzeitig spezifiziert werden, um Gegenstand des Leistungsvertrages zu werden, der anschließend tatsächlich umzusetzen war.

Dieser Aspekt der Softwarebeschaffung ist auch nach wie vor aktuell.

Dazu entwickelt sich jedoch ein neuer2) Aspekt: Software as a Service (kurz SaaS) beziehungsweise weitergefasst Cloud Computing.3)

Durch SaaS entsteht juristisch formuliert ein Dauerschuldverhältnis. Wirtschaftlich betrachtet entsteht ein neues Abhängigkeitsverhältnis. Während im „klassischen Modell“ der Erwerber einer Software diese theoretisch zeitlich unbegrenzt und praktisch bis zur Obsoleszenz nutzen konnte, besteht diese Nutzungsmöglichkeit nun nur noch für Zeiträume, in denen der Anbieter dieses tatsächlich gestattet, was üblicherweise von vertraglichen Regelungen (und regelmäßigen Zahlungen des Erwerbers) abhängig ist. Das bedeutet, dass der Erwerber einer Software selbst bei einem vertragstreuen Anbieter jederzeit damit rechnen muss, dass der Anbieter sein Recht zur ordentlichen Kündigung wahrnimmt und die Software bzw. allgemeiner der Dienst nach Ablauf der Kündigungsfrist nicht mehr zur Verfügung stehen. Das hat Relevanz nicht nur, wenn sich ein Anbieter aus einem Geschäftsfeld zurückzieht sondern auch und vor allem werden mit der Drohung einer Kündigung Vertragsänderungen durchgesetzt. Das können „Preisanpassungen“ sein aber auch - für den Datenschutz bedenklicher - neue, problematische Serverstandorte oder gar Unter-Auftragsverarbeiter in Ländern mit schwach entwickeltem Datenschutz.

To DO

Zumindest folgende Punkte sollten im Regelfall bei der Softwarebeschaffung beachtet werden:

  • Frühzeitig erste Überlegungen zu einem Datenschutzkonzept anstellen.
  • (Betrieblichen oder behördlichen) Datenschutzbeauftragten einbinden.
  • Datenschutz schon in der Ausschreibung ansprechen - und zwar möglichst konkret.
  • Datenschutz im Leistungsvertrag verankern.
  • Kündigungsfristen bei SaaS müssen lang genug für die Implementierung einer Ersatzlösung sein, um gegen Änderungswünsche des Vertragspartner, die für den Datenschutz problematisch sind, gewappnet zu sein.
  • Auftragsverarbeitung ist der AV-Vertrag möglichst mit dem Hauptvertrag abzuschließen und nicht im Nachhinein.
  • Vorschlag für VVT und Datenschutzerklärung vom Dienstleister unterbreiten zu lassen, ist in vielen Fällen zweckmäßig.
  • Datenportabilität in möglichst hohem Umfang sicherstellen durch Tests und rechtliche Absicherung

Anforderungen

Software sollte wenigstens folgende Anforderungen erfüllen4):

  • Zugriffskontrolle
  • Eingabekontrolle
  • Protokollauswertungen
  • Archivierung und Löschung
1)
Zur Taktik und möglichen Folgen verzögerter Abnahme:harting.de:Vorsicht Falle: Rechtsverlust durch Verweigerung der Abnahme in Softwareverträgen, Seite bei archive.org mit Verweis auf BGH, Urteil vom 5. 6. 2014 – VII ZR 276/13, Seite bei archive.org.
2)
So neu ist das Thema eigentlich nicht: Die DATEV betrieb bis 1989 ausschließlich und bis in die 1990er Jahre teilweise einen Service, der nach heutigem Verstandnis SaaS war.
3)
Zu den Begrifflichkeiten siehe Software as a Service und Cloud Computing in der Wikipedia.
4)
Vgl. noch zum BDSG Anforderungen an Software: Besser vorher an Datenschutz und IT-Sicherheit denken!.

Zuletzt angesehen: Softwarebeschaffung

Drucken/exportieren
QR-Code
QR-Code Softwarebeschaffung (erstellt für aktuelle Seite)