Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) hat mit der öffentlichen Hand auf vertragliche Regelungen zur Beschaffung von Cloudleistungen geeinigt. Die EVB-IT Cloud sind seit dem 01.03.2022 verfügbar.
Das ist sehr erfreulich, denn bisher war es kaum möglich, die von der öffentlichen Hand zu beschaffenden Cloudlösungen in ein anständiges Vertragskonstrukt zu kleiden. Das ist umso bedeutender, als die öffentliche Hand in der Regel (ab bestimmten Schwellenwerten) Vergaberecht anwenden und die EVB-IT Verträge verwenden muss.
Nach 18 Monaten sollen die EVB-IT Cloud evaluiert und ggf. angepasst werden.
Vertragsinhalte
Die EVB-IT Cloud bestehen, wie die übrigen EVB-IT Verträge aus dem Vertrag selbst und den dazugehörigen AGB Cloud. Weitere Bestandteile des Vertrags sind der EVB-IT Cloud Kriterienkatalog für Clouddienstleistungen und die Anlage auftragnehmerseitige AGB.
Die EVB-IT Cloud ist für die gängigen Cloudlösungen zugeschnitten, wie unter anderem Plattform as a Service (PaaS), Software as a Service (SaaS), Infrastructure as a Service (IaaS) oder Managed Cloud Services (MCS).
Zu berücksichtigen ist sicherlich, dass der Auftragnehmer nach Ziffer 1.2. der EVB-IT Cloud-AGB die Leistungen unter Einhaltung der bei Vertragsschluss geltenden Computing Compliance Criteria Catalogue (C5) zu erbringen hat.
Anlage Auftragnehmerseitige AGB
Eine Besonderheit der EVB-IT Cloud ist die Anlage „auftragnehmerseitige AGB“. Denn hier hat der Auftragnehmer die Gelegenheit, Regelungen aus seinen AGB in den Vertrag miteinzubeziehen. Natürlich nur, wenn der Auftraggeber dem zustimmt. Grund hierfür dürfte der hohe Grad an Standardisierung bei den Cloudanbietern sein, die die Einbeziehung bestimmter AGB-Klauseln erforderlich machen. Der Anhang I bietet sogar die Möglichkeit, die auftragnehmerseitigen AGB in ihrer Gesamtheit nachrangig einzubeziehen.
Allerdings sollte beachtet werden, dass ein pauschaler Verweis auf die AGB nicht ausreichend ist. Die Klauseln müssen konkret benannt und vom Auftraggeber „aktiviert“ werden.
Kriterienkatalog für Cloudlösungen
Der Kriterienkatalog für Clouddienstleistungen (PDF) bietet die Möglichkeit, die Cloudleistungen zu konkretisieren und von den Regelungen in den EVB-IT Cloud AGB abzuweichen.
Fazit
Es ist zunächst erfreulich, dass die langersehnten EVB-IT Cloud nun endlich verfügbar sind. Damit entfällt grundsätzlich die Unsicherheit, welche Verträge alternativ verwendet werden können. Allerdings setzen die AGB einen Mindeststandard an IT-Sicherheit voraus. So heißt es in Ziffer 6.2.1.
„Der Auftragnehmer verfügt für die Bereitstellung der Leistung (inklusive der dazu notwendigen infra-
strukturellen, organisatorischen, personellen und technischen Komponenten) über ein angemessenes,
dokumentiertes und implementiertes Sicherheitskonzept und ein Informationssicherheits-Management-
system (ISMS) jeweils gemäß ISO 27001 einschließlich eines Notfall-Managements. Das Sicherheits-
konzept hat sich an ISO 27017 auszurichten. Sofern personenbezogene Daten verarbeitet werden, hat
es sich zudem an ISO 27018 auszurichten.„
Gerade vor diesem Hintergrund wird es für IT-Dienstleister im Cloud-Bereich notwendig werden, die entsprechenden Vorkehrungen zu treffen.
Wenn Sie Fragen haben oder wir Ihnen anderweitig weiterhelfen können, schreiben Sie uns gerne eine Email.
