Teil II Inhalt des Leistungsscheins
Unterscheidung „Herstellung der Betriebsfähigkeit / Betrieb“
Im Normalfall sollte man den Inhalt des Leistungsscheins in zwei Teile unterteilen, nämlich Einführung und Betrieb. Ich habe viele Leistungsscheine zur Prüfung, bei denen diese Themen miteinander vermengt werden. Das führt meistens zu einem Durcheinander bei der Beschreibung der Leistungen und Mitwirkungspflichten des Kunden. Es hat sich bewährt die Phasen „Herstellung der Betriebsfähigkeit“ und „Betrieb“ voneinander zu unterscheiden.
In der ersten Phase werden meistens die Voraussetzungen geschaffen, damit die eigentliche Leistung später auch realisiert werden kann. In der zweiten Phase wird beschrieben, welche Leistungen während der Betriebsphase erbracht werden. Falls Software oder Hardware installiert / konfiguriert werden müssen, damit die Leistung erbracht werden kann, sollte man beschreiben, daß dieser Prozeß durchgeführt werden muß und welche Voraussetzungen der Kunde auf der anderen Seite schaffen muß, damit das IT Unternehmen arbeiten kann.
Mitwirkungs – / Beistellungspflichten des Kunden
Die Mitwirkungs- und Beistellungspflichten des Kunden müssen so genau beschrieben werden, daß er verstehen kann, was er wann mit welchen Mitteln bewirken muß.
Beispiel: Das IT Unternehmen erbringt Leistungen unter dem Titel Security / Antivir. Unter diesem Namen vermietet das Unternehmen die Software eines Herstellers für Malwareerkennung und Beseitigung. Für den Betrieb dieser Software muß die Software installiert und konfiguriert werden und damit das geschehen kann, muß der Kunde bestimmte Voraussetzungen schaffen. Welche das sind, muß dem Kunden genau vorgegeben werden.
Die Mitwirkungspflichten des Kunden während der Einführungsphase unterscheiden sich in vielen Fällen aber von den Mitwirkungspflichten des Kunden während der Betriebsphase (z.B. er soll überwachen, ob die Datenbanken aktualisiert werden). Das 1×1 lautet auch hier dem Kunden genau zu sagen, was er wann mit welchen Mitteln bewirken soll und muß.
Leistungen des IT Unternehmens nach juristischen Kategorien
Die Beschreibung der Leistung hat sich an juristischen Kategorien zu orientieren. Das setzt juristische Kenntnisse voraus (nicht notwendig die eines Anwalts). Aber wenn der Leistungsschein zur Dokumentation der Leistung dient, müssen natürlich auch die juristisch relevanten Parameter erfasst werden. Und die unterscheiden sich je nachdem, wie die erbrachten Leistungen juristisch kategorisiert werden.
Beispiel: Back as a Service. Hier sind ganz unterschiedliche juristische Szenarien denkbar, je nachdem welche Leistungen das IT Unternehmen anbietet. Variante 1: Das IT Unternehmen überlässt dem Kunden nur die Infrastruktur und die Software zur Datensicherung. Hier handelt es sich ausschließlich um eine Miete. Entsprechend hat der Leistungsschein zu dokumentieren, welche Software eingesetzt wird, ob diese Software in der Lage ist, sämtliche Daten / Programme zu speichern, wieviel Storage vermietet wird. Wie oft der Kunde die vermietete Hardware /Software einsetzt und ob er überprüft, ob die Sicherung wirklich funktioniert hat, muß nicht dokumentiert werden. Es handelt sich um einen Mietvertrag.
Anders die Variante 2: Das IT Unternehmen bietet das BaaS an und nutzt die Hardware und die Software nur als Tools. Hier handelt es sich juristisch betrachtet um einen typengemischten Vertrag (Werkvertrag / Mietvertrag Hardware) mit einem Schwerpunkt auf dem Werkvertragsrecht. Den Kunden interessiert nicht, mit welcher Software gesichert wird, sondern nur in welchen Abständen welche Daten gesichert werden und wieviel Storage zur Verfügung gestellt wird. Also müssen diese Punkte dokumentiert werden. Und ganz wichtig: Weil das BaaS ein Werkvertrag ist, haftet das IT Unternehmen für den Erfolg. Also muß auch dokumentiert werden, wie überprüft wird, ob die Datensicherung erfolgreich war. Zum BaaS gehört notwendig der Restore dazu, wie eben zum Bremsscheibenwechsel der Test der Bremsanlage gehört. Die Aussage: Der Kunde möchte nicht für den Restore bezahlen ist für Juristen ebenso relevant wie die Aussage, daß der Kunde nicht für den Test der Bremsanlage zahlen möchte. Es ist mit dem Kunden klar zu vereinbaren, ob und wie bei sich wiederholenden Leistungen auf einen Restore verzichtet wird und das muß auch dokumentiert werden. Den Normalfall gibt das Gesetz vor und das besagt: Beim Werkvertrag bedarf es der Abnahme. Verzichtet der Kunde auf die Abnahme muß das zwingend als Ausnahme der gesetzlichen Regel dokumentiert werden.
Teil III Sicherheitshinweise und juristische Inhalte
Anhand von Leistungen wie dem BaaS oder dem Patch Management zeige ich auf, daß und an welchen Stellen Sicherheitshinweise zu geben sind.
