Checkliste IT – Beschaffung / Vertragsprüfung

Die richtige und sorgfältige Auswahl eines IT-Anbieters oder einer Software ist nur der erste Schritt. Hat man einen Anbieter ausgewählt, gilt es, die Umsetzung zu überwachen und bei längerfristigen Dienstleistungen die Einhaltung der Performance und der Compliance immer wieder zu überprüfen. Die nachfolgende Checkliste enthält einige hilfreiche Hinweise zur rechtssicheren Auswahl eines IT - Anbieters sowie zur Vertragsprüfung. Die Checkliste nimmt jedoch nicht in Anspruch, abschliessend zu sein, da sich bei jeder IT – Beschaffung unterschiedliche und individuelle Fragen stellen.

 

Allgemeine Vertragspunkte

  • Wie wird der Vertrag geschlossen (offline /online/mündlich/schriftlich)?

  • Werden eigene Verträge verwendet oder werden die Verträge vom IT – Anbieter übernommen?

  • Kommen (zusätzlich oder alternativ) AGB zur Anwendung?

  • Ist eine Verhandlung über den Vertrag überhaupt möglich?

  • Ist die Vertragsstruktur übersichtlich genug, ist die Rangfolge verschiedener Dokumente klar definiert und sind alle Dokumente vorhanden?

  • Sind allfällig unklare Begriffe definiert, sodass die vereinbarte Leistung von einem Dritten nachvollzogen werden kann?

Grossanbieter (wie beispielsweise Cloud Anbieter) oder Anbieter von standardisierter Software bieten ihre Leistungen und Produkte nur unter Standardverträgen (zumeist AGB) an. Eine Verhandlung der Verträge ist in diesen Fällen selten möglich, weshalb in diesen Fällen nur geprüft werden kann, ob die Bedingungen für sein Unternehmen akzeptabel sind.

Bei der Erstellung von eigenen Verträgen sollten Musterverträge oder Klauseln angefertigt werden, um eine einheitliche Vertragspraxis im Unternehmen sicherzustellen. Bei Standardlösungen kann auf AGB gesetzt werden (Beispiel SIK).

 

Leistungsumfang

  • Sind der Leistungsumfang und die Verantwortlichkeiten für beide Parteien sauber definiert?

  • Ist die Leistung ausreichend und verständlich beschrieben (Wer, wann, was, wo)?

  • Wie werden Änderungswünsche geregelt (Change-Management)?

  • Welche Dokumentation erhält das Unternehmen vom Anbieter (bspw. Entwicklungsdokumentation oder Betriebsdokumentation)?

  • Beinhaltet der Leistungsumfang einen Zugriff auf den Source Code und/oder werden weitere geistigen Eigentumsrechte übertragen oder lizenziert?

  • Werden die notwendigen Schnittstellen offengelegt?

 

Vergütung und Lizenzen

  • Handelt es sich um eine einmalige Zahlung (pauschal) oder erfolgen wiederkehrende Zahlungen?

  • Wird nach Aufwand abgerechnet oder wird ein Fixpreis bezahlt?

  • Wird optional eine Flatrate (Fixpreis) oder per User-Preis angeboten?

  • Wird die Nutzung nach Verbrauch berechnet?

  • Existieren Mengenrabatte/unterschiedliche Tarife in Abhängigkeit von der abgenommenen Servicemenge?

  • Kann der Anbieter seinen Tarif bei signifikanter Änderung des Nutzungsumfangs ändern?

  • Gibt es eine Best-Price-Option?

  • Werden die Leistungen monatlich oder jährlich abgerechnet?

  • Werden allenfalls Sonderleistungen zusätzlich in Rechnung gestellt? Wenn ja, welche (bspw. Erstellung von Schnittstellen oder weitergehender Support)?

  • Erhalte ich nur eine Nutzungslizenz oder wird das geistige Eigentum (IP) an das Unternehmen übertragen?

  • Benötige ich allenfalls eine Übertragung der des geistigen Eigentums (IP), damit ich unabhängig weiterentwickeln kann?

  • Ist das vorgeschlagene Lizenzmodell für das Unternehmen akzeptabel?

  • Erhalte ich eine Lizenz für einen konzernweiten Einsatz?

 

Abnahme, Leistungsstörung und Haftung

  • Wurde eine Konventionalstrafe für Verzug oder Mängelrügen vereinbart?

  • Gibt es ein Abnahmeverfahren?

  • Wie ist das Verfahren bei Mängelrügen geregelt?

  • Wie sind die Leistungsstörungen im SLA (Service Level Agreement) geregelt?

  • Wird eine minimale /durchschnittliche Verfügbarkeit garantiert?

  • Schadenersatz oder Preisreduktion, wenn die Verfügbarkeit nicht eingehalten werden kann?

  • Messperiode (monatlich/ jährlich)?

  • Wird die Haftung begrenzt, bestehen Haftungsausschlüsse?

  • Sind die Haftungsrisiken gerecht verteilt?


Streit über Leistungserbringung/Zahlungsverzug

  • Ist ein Zurückbehaltungsrecht von Daten, Zugangssperrung oder andere Nutzungseinschränkungen bei einem Streit über die Leistungserbringung ausgeschlossen?

  • Können Zahlungen bei Leistungsstörungen zurückbehalten werden?

  • Dürfen zusätzliche oder Ersatzleistungen verrechnet werden?

  • Hält der Anbieter das Unternehmen bei einer IP – Verletzung durch die gekaufte Leistung/Software schadlos?

  • Wie ist das Vorgehen bei einer solchen IP – Verletzung vertraglich geregelt?

 

Kündigung

  • Ist die vereinbarte Vertragslaufzeit angemessen?

  • Welche Kündigungsfristen sind für das Unternehmen und den Anbieter definiert?

  • Wie ist die ausserordentliche Kündigung geregelt?

  • Ist eine Vorankündigung bei Leistungsanpassungen vertraglich geregelt?

  • Können einseitige Leistungsänderungen nur auf einen Kündigungstermin gelegt werden oder führen einseitige Leistungsänderungen automatisch zu einem Kündigungsrecht?

  • Existieren Regelungen bezüglich der Mitwirkung/Unterstützung der Datenübertragung (Migration) durch den Anbieter bei einer Vertragsauflösung?

 

Insolvenz

  • Existieren Regelungen zum Schutz der Unternehmensdaten und der Verfügbarkeit der Software bei einer Insolvenz des Anbieters?

  • Existiert ein Source Code Escrow?

  • Ist die Software an eine bestimmte Technologie gebunden, welche eine Übertragung erschwert?

  • Gibt es noch weitere Anbieter, welche die Technologie nutzen und somit einen kurzfristigen Wechsel überhaupt ermöglichen?

  • Wird dem Unternehmen ein Recht auf Herausgabe der letzten Datensicherung und der notwendigen Dokumentation eingeräumt?

 

Datenschutz / IT Sicherheit

Bei der Beschaffung von IT gilt es im Wesentlichen zwischen den datenschutzrechtlichen und sicherheitsrelevanten Problemfeldern zu unterscheiden.

 

Allgemeine datenschutzrechtliche Fragen

  • Werden im Rahmen der Nutzung der beschafften IT Personendaten bearbeitet?

  • Wird die beschaffte IT für die Bearbeitung von Personendaten aus der EU genutzt und findet somit die DSGVO Anwendung?

  • Kann der Datenschutz intern sichergestellt werden bzw. lässt die beschaffte IT eine datenschutzkonforme Nutzung zu?

  • Findet ein Datentransfer ins Ausland statt?

  • Findet im Rahmen eines Outsourcings oder einer Wartung eine Datenbearbeitung statt, ist zu prüfen, ob der Softwareanbieter die Datenschutzanforderungen des Unternehmens erfüllen kann. Wird eine Cloud-Anwendung genutzt, sind Cloud spezifische Anforderungen zusätzlich zu prüfen.

  • Im Rahmen der Auswahl, Instruktion und der Kontrolle gilt es insbesondere nachfolgende Punkte zu beachten. Aufgrund der grossen Verschiedenartigkeit von IT - Lösungen sind immer auch die spezifischen Anforderungen zu beachten.


Interner Datenschutz

  • Berücksichtigt die zu beschaffende IT die Datenschutzrisiken entsprechend?

  • Lassen sich die erforderlichen technischen und organisatorischen Massnahmen treffen (Privacy by Design)? Insbesondere:

    • Wird ein unberechtigter Zugriff verhindert (Verteilung von Zugriffsrechten / Voreinstellungen)?

    • Wird eine unrechtmässige Verwendung oder Veränderung von Daten verhindert?

    • Wird verhindert, dass Personendaten an unberechtigte Personen (intern/extern) weitergeben werden können?

    • Ist Angriff von aussen angemessen adressiert?

    • Wird dem Gebot der Datenminimierung Beachtung geschenkt

    • Besteht ein logischer Aufbau der Datenstruktur?

    • Wird ein Auskunfts-, Löschungs- oder Datentransferbegehren gewährleistet?

  • Steht die Software im Einklang mit der Datenschutzrichtlinien (Privacy-Policy) des Unternehmens?

  • Ist der Datenaustausch oder Datenzugriff gemäss der Privacy-Policy des Unternehmens zulässig?

 

Anforderungen an den Anbieter

  • Welche Daten und Informationen werden mit dem Anbieter ausgetauscht?

  • Ist der Datenschutz in einem Vertrag oder anderen Rechtsinstrument geregelt (Art. 28 (3) DSGVO)?

  • Findet eine sichere Übertragung statt?

  • Wird aus dem Vertrag ersichtlich, wer die Rechte an den gespeicherten Daten hat?

  • Unter welchen Bedingungen ist der Anbieter zur Geheimhaltung verpflichtet? Wie werden die an der Bearbeitung beteiligten Personen zur Verschwiegenheit und Geheimhaltung verpflichtet (Art. 28 (3b) DSGVO)?

  • Sind die Mitarbeiter des Anbieters zur Geheimhaltung verpflichtet?

  • Bearbeitet der Anbieter die Daten ausschliesslich gemäss den Weisungen des Unternehmens oder ist eine weitergehende Bearbeitung von Daten möglich (Art. 28 (3a) DSGVO)?

  • Welche gesetzlichen Anforderungen muss der Anbieter einhalten? Kann er diese einhalten?

  • Müssen die bearbeiteten Daten in einem oder bestimmten Ländern gespeichert werden oder dürfen sie auch in Drittländern bearbeitet werden?

  • Trifft der Anbieter die erforderlichen technischen und organisatorischen Massnahmen betreffend den Datenschutz und die Datensicherheit (Art. 28 (3e) DSGVO)?

  • Existiert eine Dokumentation/Konzept, welche technischen und organisatorischen Massnahmen der Anbieter umzusetzen hat?

  • Setzt der Anbieter für die Unternehmen bestimmte Hardware ein?

  • Kann der Anbieter das notwendige Verzeichnis der Verarbeitungstätigkeiten vorweisen (Art. 30 DSGVO)?

  • Wie ist die Information einer Datenpanne (Data Breach) geregelt an das Unternehmen geregelt (Art. 33 DSGVO)?

  • Werden Subunternehmer hinzugezogen oder eingesetzt? Muss der Anbieter beim Beizug eines Subunternehmers das Unternehmen um Erlaubnis ersuchen oder hat das Unternehmen lediglich ein Widerspruchsrecht (Art. 28 (2) DSGVO)?

  • In welchem Umfang werden die Daten verschlüsselt? Wird jeder Datensatz einzeln verschlüsselt oder werden die Daten als Ganzes verschlüsselt (Hier ist eine Risikoabschätzung vorzunehmen)?

  • Wer ist für das Backup verantwortlich?

  • Leistet der Anbieter bei einem Auskunft-, Lösch- oder Datenübertragungsbegehren Unterstützung?

  • Ist ein Datenexport möglich?

  • Ist Anbieter nach Beendigung verpflichtet, die erhalten Daten Unternehmen zu retournieren oder endgültig zu löschen, sofern keine gesetzlichen Pflichten dagegensprechen (Art. 28 (3g) DSGVO)?

  • Ist eine Löschung der Daten möglich? Wie werden die Daten gelöscht?

  • Hat der Anbieter das Recht den Zugang zu den Daten zu verbieten oder seine Leistungen ausserordentlich zu kündigen?

  • Ist geregelt, wer gegenüber dem Unternehmen Ansprechpartner in datenschutzrechtlichen Angelegenheiten ist?

  • Kann der Anbieter Sicherheitszertifikate vorweisen (ISO 27001 oder Art. 42 DSGVO)?

  • Hat der Anbieter eine ausreichende Haftpflichtversicherung abgeschlossen?


Kontrollmöglichkeiten / Audits

  • Besteht ein Auditrecht (Art. 28 (3h) DSGVO)?

  • Verpflichtet sich der Anbieter zur Durchführung interner Audits?

  • Haben frühere Audits Schwachstellen aufgedeckt?

  • Kam es bereits einmal zu einer Datenpanne (Data Breach)?

 

Datenbearbeitung im Ausland

  • Findet ein Datenzugriff oder eine Datenbearbeitung im Ausland statt?

  • Handelt es sich dabei um ein sicheres Drittland?

  • Falls nein, auf welche andere Art wird die Einhaltung des Datenschutzes und der Datensicherheit gewährleistet?

 

Dieser Beitrag wurde von RA Yves Gogniat verfasst.

Gerne unterstützen wir Sie bei der Erstellung, der Prüfung oder der Verhandlung von Verträgen. Als direkter Ansprechpartner steht Ihnen Balthasar Wicki zur Verfügung.

Vertragsrecht, IT-/IP-RechtGastautor/-inIT-Recht