Gestaltung von Service Level Agreements bei Software as a Service

Empfehlungen

Info

Softwarefunktionen von jedem Punkt auf der Welt angeboten werden können. Vor allem bei Standorten mit sehr niedrigen Lohn- und Betriebskosten können dadurch erhebliche Kostenvorteile erzielt werden, da dies auch die Kosten der zur Verfügung stehenden Ressourcen senkt. 258 Das es aber nicht sehr vertrauensbildend ist, wenn z.B. der Geschäftsbrief zwecks Rechtschreibprüfung in ein unbekanntes Drittland übermittelt wird, liegt neben den weiteren datenschutzrechtlichen Problemen auf der Hand. Aus diesen Gründen ist eine Regelung über die Standorte der Software zwingend notwendig. Das BDSG nimmt bezüglich der Auslandsproblematik schon eine Regelung auf der ersten Stufe vor, nämlich dort, wo im Rahmen der Auftragsdatenverarbeitung die Fiktion des § 3 Abs. 8 S. 3 BDSG getroffen wird, also schon der Tatbestand der Übermittlung entfällt. 259 Hintergrund der gesetzlichen Konstruktion ist, dass nach dem Gesetz eine Übermittlung nur an einen außenstehenden Dritten erfolgen kann. Werden Daten nur an einen „internen Dritten“ weitergeleitet, liegt nach dem Gesetz keine Übermittlungshandlung vor. Dritter ist nach dem BDSG jede Person oder Stelle außerhalb der verantwortlichen Stelle (§ 3 Abs. 8 S. 2 BDSG). Der Sinn der Vorschrift ist, dass z.B. innerhalb eines Unternehmens die Daten zwischen den Abteilungen frei ausgetauscht werden können, ohne den Restriktionen des BDSG unterworfen zu sein. Dadurch, dass das BDSG bestimmt wer Dritter ist und wer nicht, kann es für ganz bestimmte Fälle die datenschutzrechtlichen Restriktionen aufheben. Nicht-Dritte sind nach der gesetzlichen Vorschrift nur Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Daraus folgt, dass bei einer Verlagerung der Services in einen anderen als die genannten Staaten grundsätzlich eine „Übermittlung“ im Sinne von § 3 Abs. 4 S. 2 Nr. 3 BDSG darstellt, unabhängig davon, ob die Datenverarbeitung im Rahmen einer Auftragsdatenverarbeitung erfolgt. Es findet also eine Bevorzugung der Auftragsdatenverarbeitung im Inland und 258 Grohamm, W., „Von der Software zum Service“, S. 59 259 siehe S. - 73 - Abschn. II - 80 -
im Raum der EU und des EWR statt. Somit gelten auch im Falle einer Auftragsdatenverarbeitung die §§ 4b und 4c des BDSG uneingeschränkt, wenn Daten in andere Staaten als den genannten übertragen werden. 260 Dies hat zur Folge, dass die Übermittlung im Grundsatz nur zulässig sein kann, wenn ein angemessenes oder ggf. durch Vertrag zu schaffendes ausreichendes Datenschutzniveau erreicht wird. 261 Vorraussetzung für die Übermittlung ist also, dass ein Ausgleich der sich widerstreitenden Interessen erreicht wird. Dies ist nicht der Fall, wenn bei den sich im Ausland befindenden Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist (§ 4b Abs. 2 S. 2 BDSG). Dieses Problem besteht zurzeit grundsätzlich bei Übermittlungen von personenbezogenen Daten in die USA. 262 Sind die Vorraussetzungen eines angemessenen Datenschutzniveaus erfüllt, bedarf es bei einer Übermittlung im konkreten Fall aber zusätzlich noch einer Rechtfertigung nach § 28 Abs. 1 BDSG. 263 Die Prüfung der Erlaubnistatbestände endet also noch nicht. Allerdings ist anzunehmen, dass eine Übermittlung der Daten gerechtfertigt sein wird, wenn die Interessen des Betroffenen gewahrt werden. Dies wird aller Wahrscheinlichkeit dann der Fall sein, wenn die Verlagerung der Daten in einen Drittstaat ähnlich ausgestaltet ist, wie die Auftragsdatenverarbeitung, wenn also die gleichen vertraglichen Schutzmaßstäbe gelten. 264 Für diese Annahme sprechen die von der EU erarbeiteten Musterklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern. 265 Ein ausreichendes Datenschutzniveau (und in der Folge die Erlaubnis zur Übertragung der Daten in ein Drittland) kann somit durch die Vereinbarung von „Binding Corporates Rules“, „EU Model Clauses“ oder mittels des „Safe Harbour“ Prinzips erreicht werden. 266 Letzteres ist aber eine besondere Regelung, die nur den Datenaustausch in die USA betrifft. 260 nochmals zur Verdeutlichung: Liegt eine Auftragsdatenverarbeitung vor und gelangen die Daten hierdurch an eine andere Stelle im Inland, der EU oder dem EWR, liegt per Definition keine Übermittlung vor, so dass die Regeln der BDSG weitgehend nicht anwendbar sind. 261 vgl. Grützemacher, M., ITRB 2007, 183, 186 262 Pohle, J. / Amman, T., CR 2009, 273, 277 263 vgl. Grützemacher, M., ITRB 2007, 183, 186 264 Grützemacher, M., ITRB 2007, 183, 186 265 vgl. m. w. N. Grützemacher, M., ITRB 2007, 183, 186 f.; 266 vgl Niemann, F. / Paul, J., KuR 2009, 444, 449; Grohamm, W., „Von der Software zum Service“, S. 60 f. - 81 -
Seite 1 und 2:
European Legal Informatics Study Pr
Seite 3 und 4:
6. Dienstvertrag...................
Seite 5 und 6:
Literaturverzeichnis Bartsch, Micha
Seite 7 und 8:
Lejeune, Mathias: Force Majeure Kla
Seite 9 und 10:
Abkürzungsverzeichnis API Applicat
Seite 11 und 12:
Gestaltung von Service Level Agreem
Seite 13 und 14:
In einem dritten Teil dieser Arbeit
Seite 15 und 16:
etrieben wird. 10 Vorteilhaft an di
Seite 17 und 18:
neutralisiert wurden. ASP gibt es n
Seite 19 und 20:
Zum Verständnis: In der realen Wel
Seite 21 und 22:
Kontrolle über die Funktionen, abe
Seite 23 und 24:
verfolgen. 38 Vieles, das heute an
Seite 25 und 26:
SaaS geht es darum, Lösungen zu be
Seite 27 und 28:
ASP auch zukünftig noch eine Rolle
Seite 29 und 30:
die Software nicht mehr zentral an
Seite 31 und 32:
angewendet wird. Der Softwareherste
Seite 33 und 34:
ausländische Recht transformiert w
Seite 35 und 36:
keine Softwaremiete mehr an, wie no
Seite 37 und 38:
Zwar kamen im Zuge der IT erste Pro
Seite 39 und 40: Die virtuelle Umgebung, in der sich
Seite 41 und 42: Aus Sicht des Anbieters ist es sich
Seite 43 und 44: eines „Erfolges“ und nicht ein
Seite 45 und 46: Der Beförderungsvertrag wurde jede
Seite 47 und 48: 2. Rechtsnatur von SLA a) Begriffsb
Seite 49 und 50: Entscheidung über das Outsourcing
Seite 51 und 52: Nur wenn sich allgemeine Qualitäts
Seite 53 und 54: a) Standardangebote und individuell
Seite 55 und 56: Trienekens, Bouman und van der Zwan
Seite 57 und 58: Bsp.: Wer ein SaaS Angebot nutzt, d
Seite 59 und 60: Allgemeinen Persönlichkeitsrechts
Seite 61 und 62: (1) Verfügbarkeitsklausel Wer die
Seite 63 und 64: herausgearbeitet werden. Es gilt al
Seite 65 und 66: wurde. 172 Keine Einschränkung, Au
Seite 67 und 68: Verfügbarkeit umfasst. 181 Anderer
Seite 69 und 70: zählen ist 185 , das Risiko einer
Seite 71 und 72: aber nur an solchen Daten bestehen,
Seite 73 und 74: Regelungen tritt. Es muss aber erka
Seite 75 und 76: vertretenen Ansicht als Werkvertrag
Seite 77 und 78: Tatbestand des „wichtigen Grundes
Seite 79 und 80: Softwarefunktionen so eng miteinand
Seite 81 und 82: Ausmaß an seinem Design vorzunehme
Seite 83 und 84: IV. Datenschutzrecht Da bei der Aus
Seite 85 und 86: Personen und Stellen, die personenb
Seite 87 und 88: Umgang mit den personenbezogenen Da
Seite 89: dienen kann und Probleme mit dem Da
Seite 93 und 94: einer Auftragsdatenverarbeitung kö
Seite 95 und 96: eine Vermietung nach vertragstypolo
Seite 97 und 98: Formvorschriften fest und räumt Wi
Seite 99: Bisherige Softwarelösungen kann ma
Alle anzeigen

Gestaltung von Service Level Agreements bei Software as a Service

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?