AGB der SIK 2020: Cloud-taugliche Regeln für die öffentliche Verwaltung

14. Februar 2020, 09:00
image

Die vertraglichen Grundlagen für öffentliche ICT-Beschaffungen sind aktualisiert. Sie tragen der zunehmenden Erbringung von ICT-Leistungen über das Internet mehr Rechnung.

Seit fast zwanzig Jahren veröffentlicht die Schweizerische Informatikkonferenz (SIK), der Dachverband der ICT-Dienste der öffentlichen Verwaltungen in der Schweiz, Allgemeine Geschäftsbedingungen (AGB), die die Kantone und Gemeinden als vertragliche Grundlage ihrer Informatik- und Telekommunikationsbeschaffungen einsetzen. Gerade für kleinere Gemeinwesen sind diese AGB und die dazugehörenden Musterverträge eine grosse Erleichterung: Auch ohne vertiefte Kenntnisse des ICT- und Vertragsrechts können sie so Verträge abschliessen, die die wichtigsten Risiken und Eventualitäten abdecken und eine einfache und gut verständliche Anleitung zum Lösen von Problemen bei der Zusammenarbeit mit Lieferanten bieten.
Wenn die Kantone und Gemeinden ihren Ausschreibungen die AGB der SIK zugrunde legen, haben sie den Vorteil, die Angebote besser vergleichen und bewerten zu können, da sie auf den gleichen vertraglichen Grundlagen basieren. Sie sind nicht gezwungen, verschiedene, möglicherweise einseitige, lange oder schwer verständliche AGB der Lieferanten verstehen und bei einem Zuschlag akzeptieren zu müssen. Dies vereinfacht und beschleunigt die Auswahl des vorteilhaftesten Angebots erheblich.

Teilrevision der AGB mit Fokus auf Cloud- und Datenschutzfragen

Seit der letzten Totalrevision der AGB der SIK im Jahr 2015 tauchten in der Praxis manchmal Fragen dazu auf, wie die AGB auf Cloud-Leistungen angewendet werden können, also auf über das Internet erbrachte ICT-Leistungen wie "Software as a Service" (SaaS). Um dies klarer zu fassen, hat eine Arbeitsgruppe der SIK unter der Leitung von Andreas Fritschi (Kanton Basel-Stadt) und mit Beteiligung der Autoren im Jahr 2019 eine Teilrevision der AGB erarbeitet.
Weil der Datenschutz gerade in der Cloud immer wichtiger wird, wirkten in der Arbeitsgruppe auch Vertretungen der Datenschutzaufsichtsstellen mehrerer Kantone mit. Auch dank ihnen sind die neuen AGB mit der EU-Datenschutzgrundverordnung (DSGVO) kompatibel, ebenso wie – soweit bereits absehbar – mit der laufen-den Revision des Schweizer Datenschutzrechts im Bund und in den Kantonen. Die AGB können aber im Einzelfall nicht die weiterhin nötige Auseinandersetzung mit den leistungsspezifischen Datenschutzrisiken (etwa bei aus dem Ausland erbrachten Cloud-Leistungen) und das Ableiten entsprechender Schutzmassnahmen ersetzen, so wie dies von der Datenschutzgesetzgebung vorgeschrieben wird.
Die Mitglieder der SIK haben die neue Fassung der AGB im November 2019 einstimmig angenommen und per 1. Januar 2020 in Kraft gesetzt. Auch die Muster-Einzelverträge wurden zur Verwen-dung mit der neuen Fassung der AGB angepasst. Für vorher abgeschlossene Verträge gelten weiterhin die AGB SIK des Jahres 2015. Die neuen (wie alten) AGB und Musterverträge sind unter www.sik.swiss verfügbar.

Was ändert sich konkret?

In der Folge gehen wir kurz auf die wichtigsten Änderungen in der neuen Fassung der AGB ein. Sie stellen eingangs klar, dass sie für alle Arten von ICT-Leistungen gelten, auch Cloud-Leistungen (Ziff. 1.1 der AGB SIK 2020). Es wird klargestellt, dass die Vergütung auch zeit-, mengen- oder volumenabhängig ausgestaltet sein kann, z.B. pro User oder nach Datenmenge (10.1). Ist eine Überschreitung eines Kostendachs wahrscheinlich, muss der Lieferant darüber frühzeitig informieren (10.2).
Um die Regeln über die Rechtsgewährleistung ausgewogener zu gestalten, garantiert neu auch der Kunde, dass er mit den von ihm zur Verfügung gestellten Mitteln keine Schutzrechte Dritter (z.B. Urheberrechte oder Patente) verletzt (12.1). Begeht der Lieferant eine solche Verletzung, und kann die Leistung deswegen nicht mehr zumutbar genutzt werden, kann die Kundschaft vom Vertrag zurücktreten (12.2).

Griffigere, europakompatible Datenschutzregeln

Griffiger werden vor allem die Regeln über Informationssicherheit und Datenschutz (ISDS, 13.7 ff.) Der Lieferant hat die rechtlich vorgeschriebenen ISDS-Massnahmen zu ergreifen. Bei Verdacht auf Datenlecks oder -verluste muss er die Kundschaft sofort informieren und Gegenmassnahmen treffen. Er muss der Kundschaft und ihren Aufsichtsbehörden die rechtlich oder vertraglich vorgesehene Überprüfung der Umsetzung der ISDS-Anforderungen ermöglichen, z.B. durch Audits. Und bei Vertragsende müssen alle Daten der Kundschaft an sie übertragen oder vernichtet werden. Ergänzend dazu oder abweichend davon kann auch eine Vereinbarung über die Auftragsdatenbearbeitung abgeschlossen werden, wie sie im Recht vieler Kantone und in der DSGVO vorgesehen ist. Weitergehende Regelungen, die etwa das Datenschutzrecht vorschreibt, sind also möglich.
Was die kommerziellen Bedingungen betrifft, wird klargestellt, dass ein Streit über den Umfang der geschuldeten Vergütung den Lieferanten nicht zum Leistungsunterbruch berechtigt (15.4), was für Gemeinwesen wichtig ist, die für geschäftskritische Geschäftsprozesse auf die Leistungen angewiesen sind. Klarer wird auch festgehalten, dass der Vertrag abweichende Gewährleistungsregeln, wie z.B. Service Levels oder Garantien für Drittprodukte, regeln kann (16.6). Bei Vertragsende hat die Kundschaft Anspruch auf kostenpflichtige Unterstützung des Lieferanten bei der Rückführung der Kundendaten und der Leistungen oder deren Übertragung an einen anderen Lieferanten (19.2).
  • image

    Thomas M. Fischer

    Leiter Stab und Recht des Amtes für Informatik und Organisation des Kantons Bern (KAIO)

  • image

    Ursula Widmer

    Rechtsanwältin in Bern

Kein Umgehen der AGB der SIK mit Lizenzbestimmungen Dritter

Lizenzbedingungen von Drittleistungen, die der Lieferant einsetzt, sind neu für die Kundschaft nur noch in Bezug auf den Umfang und die Rahmenbedingungen für die Nutzung der Leistung verbindlich (24.4.6). Dies verhindert, dass die im Vertrag mit dem Lieferanten vereinbarten Rechte der Kundschaft durch restriktive Dritt-AGB, z.B. betreffend die Gewährleistung, ausgehöhlt werden. Der Lieferant muss auch auf Open Source Software, die er einsetzt, besonders hinweisen, damit die Kundschaft weiss, ob sie von einem allfälligen "Copyleft" mit betroffen ist (24.4.7).
Die Regeln über die Prüfung und Abnahme (25.) wurden so formu-liert, dass sie nicht mehr nur für werkvertragliche Leistungen gelten, sondern auch für Lieferungen von Hardware und Software sowie gegebenenfalls auch für Cloud-Dienstleistungen. Die Regeln betreffend die Service Level (29.) ebenso wie über die Kündigung (31.) wurden so angepasst, dass sie nicht mehr nur für Wartungs-, Pflege- und Supportverträge, sondern gleich für alle Dauerverträge, wie etwa solche über Cloud-Leistungen, gelten. Für letztere wird neu eine Verfügbarkeit von 99.80% rund um die Uhr pro Quartal verlangt (29.5). Dieser Defaultwert und die anderen Service Level können und sollen im Vertrag an die individuellen Bedürfnisse der Kundschaft angepasst werden. Über geplante Veränderungen am Service muss der Lieferant frühzeitig informieren (30.).

Die AGB der SIK – eine Grundlage der weiteren Digitalisierung der öffentlichen Verwaltung

Die Digitalisierung des öffentlichen Sektors beschleunigt sich auch im neuen Jahrzehnt. Viele Kantone und Gemeinden setzen für geschäftskritische Leistungen immer stärker auf Cloud-Services. Sie müssen sich darauf verlassen können, dass sie diese Leistungen im Interesse der Bevölkerung rund um die Uhr und möglichst ohne technische und rechtliche Probleme einsetzen können. Mit den überarbeiteten AGB der SIK haben sie dafür eine weitere Grundlage.
Natürlich können auch Privatunternehmen die AGB SIK für ihre ICT-Verträge einsetzen, denn sie sind so verfasst, dass sie sich nicht allein auf öffentliche Verwaltungen als Kunden beziehen. Ob öffentlich oder privat – wer als Kundin oder Lieferant Erfahrungen mit der Anwendung der AGB gemacht hat oder kritische Bemerkungen anbringen möchte, ist eingeladen, die SIK unter sekretariat@sik.swiss darüber zu informieren. So können diese Erfahrungen in die nächste Fassung der AGB mit einfliessen.

Loading

Mehr zum Thema

image

Inventx und GKB vertiefen Partnerschaft

Der Banken- und Versicherungs-Spezialist soll der Graubündner Kantonalbank in den nächsten 5 Jahren dabei helfen, in die Cloud zu migrieren.

publiziert am 6.7.2022
image

Kudelski eröffnet neues Security-Zentrum in Madrid

Das Cyber Fusion Center soll die bereits bestehenden in der Schweiz und den USA verstärken.

publiziert am 6.7.2022
image

Hausmitteilung: die Politik schreibt für Inside IT

Neu schreiben Politikerinnen und Politiker jeden Monat eine Kolumne zu digitaler Nachhaltigkeit. Darüber hinaus erklärt ein neuer Kolumnist Buzzwords für Manager.

publiziert am 6.7.2022
image

Die Post kauft auch im Bereich Cybersecurity zu

Der gelbe Riese übernimmt Hacknowledge. Die Westschweizer Firma soll weiterhin unabhängig operieren.

publiziert am 6.7.2022