Vertragliche Regelungen



Ähnliche Dokumente
Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

1. bvh-datenschutztag 2013

Der Schutz von Patientendaten

IT-Dienstleister International 19. März 2009, IHK-Akademie München

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Bestandskauf und Datenschutz?

IT-Controlling als notwendiges Instrument für die Leitung eines Krankenhauses. Dr. Bernd Schütze, Gesellschaft für klinische Dienstleistungen

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen.

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Datenschutzvereinbarung

Datenverarbeitung im Auftrag

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Informationssicherheit als Outsourcing Kandidat

DGSV-Kongress Fulda, Uwe Blättermann coavia GmbH & Co. KG

Deutsches Forschungsnetz

ITIL & IT-Sicherheit. Michael Storz CN8

Rechtliche Aspekte der Energieberatung

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

D i e n s t e D r i t t e r a u f We b s i t e s

Schreckgespenst EVB-IT-Systemvertrag? Eine Zwischenbilanz. Maren Siegel, ITDZ Berlin AÖR Leiterin Einkauf

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Tag des Datenschutzes

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

nach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Das Pflichtenheft. Dipl.- Ing. Dipl.-Informatiker Dieter Klapproth Ains A-Systemhaus GmbH Berlin

Wechselbereitschaft von. Bevölkerungsrepräsentative Umfrage vom 09. Januar PUTZ & PARTNER Unternehmensberatung AG

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Datenschutz und Qualitätssicherung

RECHT AKTUELL. GKS-Rechtsanwalt Florian Hupperts informiert über aktuelle Probleme aus dem Beamten- und Disziplinarrecht

Auslizenzierung von Biotech IP an Big Pharma der neue Königsweg für den Exit?

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Die Beschreibung bezieht sich auf die Version Dreamweaver 4.0. In der Version MX ist die Sitedefinition leicht geändert worden.

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

10 größten SLA Irrtümer. Seminar: 8663 Service-Level-Agreement. Qualified for the Job

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt,

Workshop. Die Wolken lichten sich. Cloud Computing"-Lösungen rechtssicher realisieren

Software-Validierung im Testsystem

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Arbeitshilfen zur Auftragsdatenverarbeitung

Nachhaltige Beschaffung

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - niclaw

Datum Ausgabe 05/2009

Datenschutz und Schule

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Cloud 2012 Schluss mit den rechtlichen Bedenken!

Urheberrechtsschutz von Filemaker- Anwendungen

Strategien und Konzepte des Facility Management Sourcing fmpro Fachtagung, 22.April 2015

Das Rücktrittsrecht I

Outsourcing Sweep Clauses

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

GPP Projekte gemeinsam zum Erfolg führen

Sicherheitsleistung nach 19 DepV durch eine Fondslösung Vortrag im Rahmen der 1. Abfallrechtstagung SH am 7. September 2007

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

GZ: BA 17-K /0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk

11. Pantaenius-Immobilientagung in Hamburg

Deskline 3.0. Vermieterinfo ChannelGateway

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Regeln für das Qualitäts-Siegel

Archiv - Berechtigungen

AMTS-Datenmanagement Arzneimitteltherapiesicherheit. Fachanwendung der Gesundheitskarte (egk)

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

Freiberufliche Bodenkunde

Beherrschungs- und Gewinnabführungsvertrag

Erläuterungen zum Abschluss der Datenschutzvereinbarung

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

Managed Services als strategische Lösung. Typische Aufgaben. Wir schaffen Ihnen Freiräume!

Cloud Computing für den Mittelstand rechtliche Risiken erkennen und vermeiden

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

Typisierung des Replikationsplan Wirries, Denis Datenbankspezialist

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

ratgeber Urlaub - Dein gutes Recht

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Was taugt der Wertpapierprospekt für die Anlegerinformation?

Sichere Rechte und Strukturen

das usa team Ziegenberger Weg Ober-Mörlen Tel Fax: mail: lohoff@dasusateam.de web:

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Muster für den Antrag auf Durchführung eines Gütestellenverfahrens

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Gestaltung von Auftragsforschungsverträgen worauf ist zu achten. MMag. Sabine Fehringer, LL.M. Vienna April 30, 2014

sicher ist sicher Unser Konzept für Beratung, Betreuung, Service & Sicherheit für unsere Firmenkunden

Erfolgreiche Vertragsgestaltung bei M2M-Lösungen

SharePoint Demonstration

Transkript:

Vertragliche Regelungen BCM als Bestandteil von IT-Outsourcing Verträgen Udo Steger Heymann & Partner Rechtsanwälte 2. Deutschsprachiger BCI Kongress 2007 Frankfurt am Main, 19. September 2007

Übersicht 1. BCM: Allgemeine Überlegungen zur Vertragsgestaltung beim IT- Outsourcing 2. Auf welche Klauseln muss besonders geachtet werden? 3. Besondere gesetzliche Vorgaben für vertragliche Regelungen 4. Einzelne Probleme 5. Thesen und Ausblick 2

1. BCM: Allgemeine Überlegungen zur Vertragsgestaltung beim Outsourcing IT-Outsourcing aus Sicht des BCM: Juristische Vorteile (und Hoffnungen!)... Zugriff auf zusätzliche Ressourcen Ziel: Mehr Leistung für dieselben oder weniger Kosten als bisher Steigerung der Qualität des BCM durch Nutzung aufwändigerer Ressourcen, Verfügbarkeit routinierten Personals Aus Sicht des Anbieters: bessere Ausnutzung von Ressourcen einheitliche Leistungserbringung weniger komplexes Vertragsmanagement, weniger Leistungsbeziehungen mit z.t. schwachen Dritten ein starker Vertragspartner = ein solventer Schuldner im Haftungsfall aber: Single Vendor Strategien heute immer seltener u.u. parent guarantee Die Hoffnung: Bessere Erfüllung rechtlicher Anforderungen an das BCM in insgesamt besserer Qualität 3

1. BCM: Allgemeine Überlegungen zur Vertragsgestaltung beim Outsourcing... und neue Risiken: Kontrollverlust: vertragliche Weisungsrechte oft kein echter Ersatz für Weisungsrechte gegenüber eigenen Mitarbeitern Koordinations-, Kommunikations-, Kompetenzprobleme im Notfall u.u. erhöhte Abhängigkeit von IT-Infrastruktur (Nearshore, Offshore-Strategien) insbesondere bei Multi-Vendor Strategien Änderungen der BCM-Strategie sind aufwendiger Besondere Risiken aufgrund der Transformationsphasen am Beginn und am Ende des Vertrags Risiko unvollständiger Leistungsbeschreibung = jedenfalls Kostenrisiko Nach Vertragsschluss oft geringe(re) Verhandlungsmacht, Kostenrisiko Folge: IT-Outsourcing bedeutet für das BCM, dass einer Vielzahl neuer Risiken geeignet begegnet werden muss 4

1. BCM: Allgemeine Überlegungen zur Vertragsgestaltung beim Outsourcing Vertragsgestaltung und Vertragsstruktur BCM möglichst in eigener Anlage Notfallplanung, über welches der BCM- Verantwortliche die Hoheit hat Rahmenvertrag mit Anlagen, die leicht ergänzt werden können NICHT: Anlage erst später hinzufügen Bei Vertragsschluss möglichst vollständig im Sinne des Ob und was Voraussetzung: Möglichst vollständige Leistungsbeschreibung 5

2. Auf welche Klauseln muss besonders geachtet werden? Kosten, Kosten, Kosten... Laufende Kosten, Einmal-Kosten, Kosten für Übungen Wer trägt welche Kosten des Notfalls? Allg. Haftungsregelung reicht oft nicht! falls möglich, Kosten für Notfallmaßnahmen aufführen (Stundenzuschläge usw.) Testsysteme: können die auch als Notfallsystem genutzt werden? Wer trägt die Kosten für ein Ausweichsystem, welches im Zuge der Notfallplanung angeschafft werden muss? Festlegung von Standards Welche Standards finden Anwendung? auch: Interne Policies Änderungsverfahren: grundsätzlich TOP beim Änderungsverfahren: AN muss stets Auswirkungen auf bestehende Notfallplanung darlegen Änderung der Notfallplanung mittels definiertem Prozess aber: nicht jede Änderung des Notfallplans darf kostenpflichtig sein! 6

2. Auf welche Klauseln muss besonders geachtet werden? Weisungsrechte Vorbehalt von Weisungsrechten im Notfall oder in solchen Fällen, die der Auftraggeber dafür hält Weisungsrechte müssen unabhängig von Weisungen anderer Kunden befolgt werden können Vorbild BaFin Rundschreiben 11/2001 bzw. Ma-Risk n.f. Benchmarking Vergleich des Preis-/Leistungsverhältnisses kann z.b. auch nur für das BCM erfolgen Service Level z.b. zugesagte Wiederanlaufzeiten Echte Pönalen, kein pauschalierter Schadensersatz! 7

2. Auf welche Klauseln muss besonders geachtet werden? Pflicht zur Beachtung von Notfallplänen des Auftraggebers insbesondere: Änderungen von solchen Plänen muss einseitig möglich sein, über Kosten kann man sich unterhalten Teilnahme an gemeinsamen Notfallübungen je nach Umfang des Outsourcing unter Leitung des SP oder des Kunden Pflicht zur Bereithaltung der hierfür erforderlichen personellen/materiellen Ressourcen Personal, Rechnersysteme, Speicherkapazität, usw. Regelmäßige Schulung der Mitarbeiter in Sachen BCM und der konkreten Notfallplanung Nachweis derselben 8

2. Auf welche Klauseln muss besonders geachtet werden? Übungen und Prüfungen Regelung, wie oft (gemeinsame) Notfallübungen abgehalten werden Regelung, wie oft die Planung geprüft und ggfs. aktualisiert wird Reporting Berichtspflicht über alle ungewöhnlichen Vorkommnisse Ziel: Kunde muss in der Lage sein, jederzeit die eigene Gefährdungssituation richtig einschätzen zu können und gegebenenfalls eigene Notfallmaßnahmen einzuleiten BCM und Force Majeure Anwendbarkeit der Regelung zur höheren Gewalt bzw. force majeure wird eingeschränkt Wird die Erstellung eines Notfallplans vorgesehen, sind viele Notfälle nicht mehr unvorhersehbar oder unvermeidbar und begründen deshalb keine Befreiung von der Leistungspflicht. 9

3. Besondere gesetzliche Vorgaben für vertragliche Regelungen Insbesondere: Datenschutz und Datensicherheit 11 Abs. 2 Satz 1 BDSG, Auftragsdatenverarbeitung: Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder - nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Prüfungsrechte: Satz 4: Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 11 Abs. 3 BDSG, Weisungsrecht und Weisungspflicht: Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 10

3. Besondere gesetzliche Vorgaben für vertragliche Regelungen MA-Risk: Banken und Finanzdienstleister, aktuell: Zweiter Entwurf der überarbeiteten Outsourcing-Regelungen, Stand 13.08.2007: AT7.3 : Notfallkonzept wird ausdrücklich gefordert; Vorsorge gegen Notfälle in (neu: zeit-) kritischen Aktivitäten ist zu treffen AT 7.3 Abs. 1 am Ende: Im Falle der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über ein aufeinander abgestimmtes Notfallkonzept zu verfügen. AT 7.3 Abs. 2: Geschäftsfortführungs- sowie Wiederanlaufpläne müssen vorhanden sein. Ersatzlösungen müssen zeitnah zur Verfügung stehen Ein Wiederanlauf muss innerhalb eines angemessenen Zeitraums möglich sein Kommunikationswege sind festzulegen Das Konzept muss den beteiligten Mitarbeitern zur Verfügung stehen...all dies muss das Gespann Auftraggeber/Auftragnehmer auch gewährleisten. 11

4. Einzelne Probleme Software Escrow Bei einem Dritten wird der Quellcode und weiteren Materialien hinterlegt......in der Hoffnung, Zugriff auf denselben nehmen zu können, wenn es zu einem Ausfall des Dienstleisters kommt. Praktisch größtes Problem: wie stellt man sicher, mit dem hinterlegten Material auch etwas anfangen zu können? Regelung von Aktualisierungsintervallen Umfang des zu hinterlegenden Großes Problem: Insolvenzfestigkeit von solchen Vereinbarungen Aktuell: RegE. InsO vom 18.08.2007: Entwurf eines Gesetzes zur... Regelung der Insolvenzfestigkeit von Lizenzen Aber: geregelt wird lediglich der Bestand von Lizenzverträgen, nicht die Insolvenzfestigkeit von Escrow Agreements 12

4. Einzelne Probleme Auslagerung der Pflege unternehmenskritischer Anwendungen Einem Dritten wird die Wartung und ggfs. Weiterentwicklung einer Unternehmenskritischen Applikation überlassen, in der Hoffnung, damit (bessere) Service Level für die Wartung zu erlangen Zugriff auf Know-How zu bekommen eigene Ressourcen besser einsetzen zu können (z.b. Neuentwicklungen) Aber: was passiert, wenn der Service Provider nicht die erwartete Leistung bringt, insbesondere die Applikation ausfällt? Pönalen haben nur abschreckende Wirkung Schadensersatzhaftung wirkt nur ex ante Kündigungsrechte Weisungsrechte Überleitungsvereinbarung 13

5. Thesen und Ausblick Zunehmend wird die Bedeutung des BCM auch juristisch erkannt und verarbeitet IT-Outsourcingverträge sind Risiko und Chance zugleich Es ist hierbei Aufgabe des BCM-Beauftragten, den >ganzen< Vertrag zu prüfen Der BCM-Beauftragte sollte seine Interessen Durchsetzen und über den vertraglichen Tellerand sehen Rechtliche/Regulatorische Anforderungen aus dem Banken/Finanzdienstleisterbereich sind eine gute Hilfestellung. 14

Fragen an Udo Steger Heymann & Partner Rechtsanwälte Kontakt: u.steger@heylaw.de Taunusanlage 1 60329 Frankfurt am Main Tel. +49 (69) 76 80 63-0 Fax+49 (69) 76 80 63-15 www.heylaw.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback