GoLaw

News

Hier finden Sie Neuigkeiten

CHECKLISTE IT–BESCHAFFUNG / VERTRAGSPRÜFUNG

Die richtige und sorgfältige Auswahl eines IT-Anbieters und einer Software ist nur der erste Schritt, hat man einen Anbieter ausgewählt, gilt es die Umsetzung zu überwachen und besonders bei längerfristigen Dienstleistungen sind die Einhaltung der Performance und der Compliance immer wieder zu überprüfen. Die nachfolgende Checkliste enthält einige hilfreiche Hinweise zur rechtssicheren Auswahl eines IT - Anbieters und zur Vertragsprüfung. Die Checkliste nimmt jedoch nicht in Anspruch abschliessend zu sein, da sich bei jeder IT – Beschaffung wieder unterschiedliche Fragen stellen: 

Allgemeine Vertragspunkte

  • Wird ein schriftlicher Vertrag geschlossen oder nur online?
  • Wie wird der Vertrag geschlossen (offline /online)? Ist der Vertrag rechtsgültig? 
  • Bei IT-Projekten ist die entsprechende Checkliste zur Vertragserstellung oder –prüfung beizuziehen.
  • Werden eigene Verträge verwendet oder werden Verträge vom IT – Anbieter verwendet und findet somit lediglich eine Gegenprüfung statt?
  • Kommen (zusätzlich) AGB zur Anwendung? 
  • Ist überhaupt eine Vertragsverhandlung möglich?
  • Bei der Erstellung von eigenen Verträgen sollten Musterverträge oder Klauseln angefertigt werden, um eine einheitliche Vertragspraxis sicherzustellen. Bei Standardprodukten ist auf AGB zu setzen. 
  • Ist die Vertragsstruktur übersichtlich genug, ist die Rangfolge verschiedener Dokumente klar definiert und sind alle Dokumente vorhanden?
  • Sind allfällig unklare Begriffe definiert? 

Leistungsumfang

  • Sind der Leistungsumfang und die Verantwortlichkeiten für beide Parteien sauber definiert?
  • Ist die Leistung ausreichend beschrieben (Wer, wann, was)?
  • Wie werden Änderungswünsche geregelt?

Vergütung und Lizenzen 

  • Handelt es sich um eine einmalige Zahlung (pauschal) oder erfolgen wiederkehrende Zahlungen?
  • Wird nach Aufwand oder wird ein Fixpreis bezahlt?
  • Wird optional eine Flatrate (Fixpreis) oder per User-Preis angeboten?
  • Wird die Nutzung nach Verbrauch berechnet?
  • Erhalte ich eine Lizenz oder wird die IP an das Unternehmen übertragen? 
  • Ist das vorgeschlagene Lizenzmodell für das Unternehmen akzeptabel?
  • Erhalte ich eine Lizenz für einen konzernweiten Einsatz?
  • Existieren Mengenrabatte/unterschiedliche Tarife in Abhängigkeit von der abgenommenen Servicemenge?
  • Kann der Anbieter seinen Tarif bei signifikanter Änderung des Nutzungsumfangs ändern?
  • Gibt es eine Best-Price-Option?
  • Werden die Leistungen monatlich oder jährlich abgerechnet?
  • Gibt es zusätzlich zu verrechnende Sonderleistungen? Wenn ja, welche?

Leistungsstörung und Haftung

  • Wurde eine Konventionalstrafe für Verzug oder Mängelrügen vereinbart?
  • Gibt es ein Abnahmeverfahren? 
  • Wie ist das Verfahren bei Mängelrügen geregelt?
  • Wie sind die Leistungsstörungen im SLA geregelt? 
  • Minimale /durchschnittliche Verfügbarkeit?
  • Schadenersatz oder Preisreduktion wenn die Verfügbarkeit nicht eingehalten werden kann?
  • Messperiode (monatlich/ jährlich)?
  • Streit über Leistungserbringung/Zahlungsverzug
    • Ist ein Zurückbehaltungsrecht von Daten des Nutzers oder ihm gegenüber zu erbringenden Leistungen vertraglich ausgeschlossen?
    • Ist auch im Fall von Streitigkeiten zur Leistungserbringung oder Zahlungsverzug ausgeschlossen, dass der Anbieter die Daten zurückbehält?
    • Können Zahlungen bei Leistungsstörungen zurückbehalten werden.
    • Dürfen Leistungen verrechnet werden?
  • Ist die Haftung beschränkt?
  • Hält der Anbieter das Unternehmen bei einer IP – Verletzung schadlos? 
  • Sind die Risiken fair verteilt? 

Kündigung

  • Welche Kündigungsfristen sind für das Unternehmen und den Anbieter definiert?
  • Wie ist die ausserordentliche Kündigung geregelt?
  • Ist eine Vorankündigung von Änderungen bei den Leistungen vertraglich geregelt?
  • Können einseitige Leistungsänderungen nur auf einen Kündigungstermin gelegt werden oder führen einseitige Leistungsänderungen automatisch zu einem Kündigungsrecht? 
  • Existieren Regelungen zur Mitwirkung des Anbieters bei der Datenbereitstellung nach einer Vertragskündigung?

Insolvenz

  • Existieren Regelungen zum Schutz der Unternehmensdaten und der Verfügbarkeit der Anwendung bei Insolvenz des Anbieters?
  • Existiert ein Source Code Escrow?
  • Ist die Software an eine bestimmte Plattform gebunden?
  • Wird dem Unternehmen ein Recht auf Herausgabe der letzten Datensicherung und Dokumentation eingeräumt?

Datenschutz / IT Sicherheit

Bei der Beschaffung von IT gilt es im Wesentlichen zwischen drei datenschutzrechtlichen und sicherheitsrelevanten Problemfeldern zu unterscheiden. 

  • Werden im Rahmen der Nutzung der beschafften IT Personendaten bearbeitet?
  • Werden im Rahmen der Nutzung der beschafften IT Personendaten aus der EU bearbeitet und findet somit die DSGVO Anwendung?
  • Kann der Datenschutz intern sichergestellt werden bzw. lässt die beschaffte IT eine datenschutzkonforme Nutzung zu?
  • Findet im Rahmen eines Outsourcings oder einer Wartung eine Datenbearbeitung statt, ist zu prüfen, ob der Softwareanbieter die Datenschutzanforderungen der des Unternehmens erfüllen kann. 
  • Wird eine Cloud-Anwendung genutzt, sind Cloud spezifische Anforderungen zusätzlich zu prüfen. 
  • Findet ein Datentransfer in ein Drittland statt? 
  •  

Im Rahmen der Auswahl, Instruktion und der Kontrolle gilt es insbesondere nachfolgende Punkte zu beachten. Aufgrund der grossen Verschiedenartigkeit von IT - Lösungen sind immer auch die spezifischen Anforderungen zu beachten. 

Interner Datenschutz

  • Berücksichtigt die zu beschaffende IT die Datenschutzrisiken entsprechend?
  • Lassen sich die erforderlichen technischen und organisatorischen Massnahmen treffen (Privacy by Design)? 
  • Insbesondere: 
    • Verhindern der unbeabsichtigten oder unrechtmässigen Löschung oder Zerstörung von Daten 
    • Unrechtmässige Verwendung oder Veränderung von Daten
    • Wird dem Gebot der Datenminimierung Beachtung geschenkt
    • Verhindern einer unberechtigten Weitergabe von Personendaten 
    • Verhindern eines unberechtigten Zugriffs (Verteilung von Zugriffsrechten / Voreinstellungen)
    • Logischer Aufbau der Datenstruktur
    • Gewährleistung der Auskunfts-, Löschungs- oder Datentransferbegehren
  • Steht die Software im Einklang mit der Privacy-Policy des Unternehmens?

Beiziehen eines IT – Anbieters (Auftragsverarbeiters) 

  • Welche Daten und Informationen werden mit dem Anbieter ausgetauscht?
  • Ist der Datenschutz in einem Vertrag oder anderen Rechtsinstrument geregelt (Art. 28 (3) DSGVO)?
  • Ist der Datenaustausch oder Datenzugriff gemäss der Privacy-Policy des Unternehmens zulässig?
  • Unter welchen Bedingungen ist der Anbieter zur Geheimhaltung verpflichtet? Wie werden die an der Bearbeitung beteiligten Personen zur Verschwiegenheit und Geheimhaltung verpflichtet (Art. 28 (3b) DSGVO)? 
  • Sind die Mitarbeiter des Anbieters zur Geheimhaltung verpflichtet?
  • Bearbeitet der Anbieter die Daten ausschliesslich gemäss den Weisungen des Unternehmens oder ist eine weitere Bearbeitung von Daten möglich (Art. 28 (3a) DSGVO)?
  • Welche gesetzlichen Anforderungen muss der Anbieter einhalten? Kann er diese einhalten?
  • Trifft der Anbieter die erforderlichen technischen und organisatorischen Massnahmen betreffend den Datenschutz und die Datensicherheit (Art. 28 (3e) DSGVO)? 
  • Existiert eine Dokumentation/Konzept, welche technischen und organisatorischen Massnahmen der Anbieter umzusetzen hat? 
  • Kann der Anbieter das allenfalls notwendige Verzeichnis der Verarbeitungstätigkeiten vorweisen (Art. 30 DSGVO) 
  • Findet ein Datenzugriff oder eine Datenbearbeitung im Ausland statt?
  • Handelt es sich dabei um ein sicheres Drittland?
    • Falls nein, auf welche andere Art wird die Einhaltung des Datenschutzes und der Datensicherheit gewährleistet?
  • Wie ist die Information eines Data-Breach geregelt (Art. 33 DSGVO)? 
  • Werden Subunternehmer hinzugezogen oder eingesetzt? Muss der Anbieter beim Beizug eines Subunternehmers das Unternehmen um Erlaubnis ersuchen oder hat das Unternehmen lediglich ein Widerspruchsrecht (Art. 28 (2) DSGVO)?
  • Ist Anbieter nach Beendigung verpflichtet, die erhalten Daten Unternehmen zu retournieren oder endgültig zu löschen, sofern keine gesetzlichen Pflichten dagegensprechen (Art. 28 (3g) DSGVO)? 
  • Hat der Anbieter das Recht den Zugang zu den Daten zu verbieten oder seine Leistungen ausserordentlich zu kündigen?
  • Ist geregelt, wer gegenüber dem Unternehmen Ansprechpartner in datenschutzrechtlichen Angelegenheiten ist?
  • Kann der Anbieter Sicherheitszertifikate vorweisen (ISO 27001 oder Art. 42 DSGVO)?
  • Besteht ein Auditrecht (Art. 28 (3h) DSGVO)? 
  • Verpflichtet sich der Anbieter zur Durchführung interner Audits?
  • Haben frühere Audits Schwachstellen aufgedeckt? Kam es bereits einmal zu Data-Breaches?
  • Hat der Anbieter eine ausreichende Haftpflichtversicherung abgeschlossen?

Cloud-Anbieter

Die vorangehenden Punkte sind bei einem Cloudanbieter ebenfalls zu beachten. 

  • Handelt sich um eine Standardlösung oder müssen die bearbeiteten Daten in einem oder bestimmten Ländern gespeichert werden oder dürfen sie auch in Drittländern bearbeitet werden?
  • Bearbeitet der Anbieter die Daten ausschliesslich gemäss den Weisungen des Unternehmens oder ist eine weitere Bearbeitung von Daten möglich?
  • Setzt der Anbieter für die Unternehmen designierte Hardware ein? Falls im Vertrag nichts erwähnt wird, ist von einer geteilten Infrastruktur auszugehen.
  • Wird aus dem Vertrag ersichtlich, wer die Rechte an den gespeicherten Daten hat? 
  • In welchem Umfang werden die Daten verschlüsselt? Wird jeder Datensatz einzeln verschlüsselt oder werden die Daten als Ganzes verschlüsselt (Hier ist eine Risikoabschätzung vorzunehmen)?
  • Findet eine sichere Übertragung statt?
  • Wer ist für das Backup verantwortlich?
  • Ist ein Datenexport möglich?
  • Ist eine Löschung der Daten möglich? Wie werden die Daten gelöscht? 
  • Wie wird die Information eines Data-Breach sichergestellt? 

Gerne unterstützen wir Sie bei der Erstellung, der Prüfung oder der Verhandlung von Verträgen.