Kontakt

Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.

Anruf unter
+49 711 86040 00
Fax unter
+49 711 86040 01
E-Mail an
kontakt@menoldbezler.de

Die neuen EVB-IT Cloud – Erste Erfahrung aus der Praxis

Fachbeiträge
Die neuen EVB-IT Cloud – Erste Erfahrung aus der Praxis

 Im März 2022 wurde der neue EVB-IT Cloudvertrag vom Beauftragten der Bundesregierung für Informationstechnik veröffentlicht, nachdem sich das BMI und der Branchenverband Bitkom nach jahrelangen Verhandlungen endlich einigen konnten. Dieser erweitert die bisher etablierten EVB-IT Vertragsmuster um ein geeignetes vertragliches Instrument zur Beschaffung von Cloud-Services. Nachfolgend werden die wesentlichen Inhalte sowie erste Erfahrungen zur Anwendung dargestellt:

Welche Leistungen können mit dem EVB-IT Cloud beschafft werden?

Unter Cloud-Services werden allgemein IT-Leistungen verstanden, bei denen sich die Software und/oder Hardware nicht beim Nutzer selbst, sondern beim Anbieter befindet und auf die über das Internet oder eine sonstige remote Verbindung zur Nutzung zugegriffen werden kann. Dabei kann es sich um reine Serverinfrastruktur, Anwendungsprogramme bis hin zu Entwicklerumgebungen handeln.

Die neuen EVB-IT Cloud konkretisieren die Art und den Umfang von Leistungen in den folgenden typischen Cloudmodellen:

  • IaaS (Infrastructure as a Service): Anmietung externer Hardware Serverkapazitäten, Netzwerke und Datenspeicher
  • PaaS (Platform as a Service): Anmietung einer externen Laufzeit- oder Entwicklungsumgebung
  • SaaS (Software as a Service): Nutzung von Software als Dienst wie beispielsweise Office-Anwendungen, Terminverwaltung, Wissensdatenbanken sowie
  • Managed Cloud Services (MCS): Weitere Leistungen bezüglich dem Management der Cloud, insbesondere Migration, Wartung, Optimierung.

Es werden je nach Cloudmodell verschiedene Pflichten und Verantwortungsbereiche definiert.

Möglichkeiten und Grenzen der EVB-IT Cloud

Die EVB-IT Cloud bestehen, wie bei den EVB-IT Vertragsmustern üblich, aus dem Vertragsmuster, das individuell ausgefüllt werden kann sowie den AGB, die die rechtlichen Rahmenbedingungen festlegen sowie weiteren Anlagen.

Fachlicher Kriterienkatalog

Der EVB-IT Cloud sieht als Anlage einen fachlichen Kriterienkatalog vor, welcher der Spezifizierung der Anforderungen an die konkrete Leistung dient. Dieser bietet eine gute Grundlage für die Festlegung der fachlichen Anforderungen an die zu beschaffende Cloud-Leistung, es können vom Standard abweichende Regelungen getroffen und über Anlagen Leistungen näher beschrieben werden. Auch für weniger IT-versierte Beschaffungsstellen ist der Kriterienkatalog als Leitdokument hinsichtlich festzulegender Leistungskriterien daher ein nützliches Hilfsmittel.

Anlage zur Einbeziehung auftragnehmerseitiger AGB

Für die EVB-IT Vertragsmuster unüblich, bietet der EVB-IT Cloud verschiedene Möglichkeiten auch vertragliche Regelungen der auftragnehmerseitigen AGB miteinzubeziehen. Dies soll die Beschaffung von Cloud-Lösungen, die von den Anbietern regelmäßig nur nach hochstandardisierten Geschäftsmodellen angeboten werden, erleichtern. Es sind zwei verschiedene Möglichkeiten zur Einbeziehung der AGB der Anbieter vorgesehen:

Über die Anlage zur teilweisen Einbeziehung der AGB des Anbieters wird eine kontrollierte Öffnung der EVB-IT Cloud für einzelne Regelungsbereiche ermöglicht, die durch die AGB des Anbieters vorrangig geregelt werden sollen.

In dem Vertragsmuster des EVB-IT Cloud können die AGB des Anbieters zudem im Gesamten unter nachrangiger Geltung mit einbezogen werden. Lediglich sofern im EVB-IT Cloud für manche Leistungsbestandteile keine explizite Regelung getroffen wurde, gelten die AGB des Anbieters für diesen Bereich dann ergänzend zu den Regelungen des EVB-IT Cloud.

Verteilte Verantwortlichkeit

Die EVB-IT sehen eine geteilte Verantwortlichkeit zwischen Auftragnehmer und Auftraggeber vor (sog. Shared Responsibility). Der Vertrag enthält dementsprechend auch umfangreiche Reglungen zur Mitwirkung der öffentlichen Stelle, die je nach Cloudmodell stark oder weniger stark ausgeprägt ist. So verbleibt bei IaaS-Leistungen die größte Verantwortung beim Auftraggeber selbst, da lediglich Hardware zur eigenverantwortlichen Nutzung vom Anbieter überlassen wird. Bei allen Cloud-Leistungen ist die öffentliche Stelle selbst für Datenschutz (Welche Daten werden in der Cloud verarbeitet?), Zugriffsmanagement (Wer darf auf die Cloud-Leistung zugreifen?) sowie die Endgerätesicherheit (Mit welcher Technik wird auf die Cloud-Leistung zugegriffen?) verantwortlich. Die Mitwirkungsleistungen können aber im Rahmen des Managed Cloud Services auch auf den Auftragnehmer übertragen werden.

Public Cloud als Standard

Im Standard erfasst der EVB-IT Cloud die Public Cloud, bei der die Ressourcen für eine Vielzahl nicht näher bestimmter Kunden bereitgestellt werden. Über den Kriterienkatalog können weitere Cloud-Arten wir die Private Cloud, bei der die Cloud-Leistung speziell für den Auftraggeber bereitgestellt wird, oder hybride Arten vereinbart werden, wenn dies aufgrund von gesonderten Sicherheitsanforderungen erforderlich sein sollte.

Keine Backuppflicht

Es sind seitens des Anbieters nach dem EVB-IT Cloud keine Datensicherungen geschuldet. Der Auftraggeber hat daher selbst dafür zu sorgen, dass die in der Cloud betriebenen Anwendungen regelmäßig gesichert werden. Soll dies vom Cloud-Anbieter übernommen werden, muss das Ob und der Umfang der Backuppflichten ausdrücklich über den Kriterienkatalog oder eine eigenständige Anlage geregelt werden.

Praxistipp

Mit den EVB-IT Cloud gibt es nun auch ein passendes Vertragsmuster für die Beschaffung von Cloud-Leistungen. Die Regelungen berücksichtigen insbesondere die hohen Anforderungen der öffentlichen Verwaltung an die IT-Sicherheit und den Datenschutz sowie Kontrollrechte gegenüber dem Cloud-Anbieter. Die Vergabe im Cloud-Bereich wird durch die passenden vertraglichen Regelungen daher für die öffentlichen Stellen zukünftig einfacher.

Allerdings sind die EVB-IT Cloud nicht für sämtliche Beschaffungen im Cloud-Bereich geeignet. Die EVB-IT Cloud sind im Wesentlichen passend für die Beschaffung von standardisierten Cloud-Leistungen für die behördeninterne Nutzung. Umfangreichere Projektleistungen im Rahmen beispielsweise der Implementierung des Cloud-Dienstes mit anderen Systemen oder Konstellationen, bei denen der Cloud-Dienst auch von Bürgern als Plattform-Lösung genutzt werden soll, werden hingegen nicht ausreichend geregelt. Es ist daher im Einzelfall sorgfältig zu prüfen, ob die Bedingungen des EVB-IT Cloud zu der konkret gewünschten Cloud-Lösung passen. Es kann eine sorgfältige Anpassung der Regelungen des EVB-IT Cloud notwendig sein. Je nach geforderten weiteren Leistungen sollten die EVB-IT Cloud mit weiteren EVB-IT Vertragsmustern kombiniert werden. Im Einzelfall kann auch ein Individualvertrag notwendig sein, der den Anforderungen an die benötigte Cloud-Lösung besser gerecht wird.

Ansprechpartner
Varinia Iber
Iber, Varinia Rechtsanwältin
Weitere relevante Bereiche zum Thema
Branchen & Lösungen
Zurück
Newsletter

Sie wollen regelmäßig Informationen zu aktuellen Entwicklungen erhalten? Hier können Sie sich für unseren Newsletter registrieren.

Jetzt anmelden

Telefon: +49 711 86040 00
Telefax: +49 711 86040 01
kontakt@menoldbezler.de