M 2.356 Vertragsgestaltung mit SAN-Dienstleistern

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Nur wenige Institutionen werden die technische Betreuung der SAN-Komponenten in Normalbetrieb und in Notfallsituation selbst leisten können und wollen. Daher müssen diese dann auf geeignete Hersteller und Lieferanten zugreifen, im weiteren kurz als Dienstleister bezeichnet.

Die Aspekte, die im Folgenden beschrieben werden, sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen. Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen von den Verfügbarkeitsanforderungen des Auftraggebers und auch von der Komplexität des konkreten SANs ab.

Grundsätzlich sollte der Dienstleister auf die Einhaltung aller relevanten Gesetze und Vorgaben, vor allem aber des Datenschutzes nach dem Bundesdatenschutzgesetz ( BDSG ) und auf den Einsatz von organisatorischen und technischen Maßnahmen zur Informationssicherheit verpflichtet werden. Diese sollten mindestens dem Niveau des IT-Grundschutzes entsprechen und gegebenenfalls auf weitere vom Auftraggeber vorgegebene Sicherheitsanforderungen verpflichtet werden.

Neben diesen allgemeinen Verpflichtungen empfiehlt es sich, alle vereinbarten Leistungen messbar und prüfbar im Vertrag schriftlich zu fixieren. So kann es z. B. angemessen sein, zu vereinbaren, dass ein qualifizierter Mitarbeiter des Dienstleisters bei bestimmten Problemfällen innerhalb von 4 Stunden vor Ort sein muss. Eine solche konkrete, an den Anforderungen der Institution festgemachte Aussage kann eventuell sinnvoller sein als ein Pauschalangebot ("Gold-Support"), das möglicherweise ungünstige Ausnahmen (Sonntags nur telefonische Unterstützung) von der geforderten Qualität beinhaltet.

Auch die Erstellung des Notfallvorsorgekonzeptes für das SAN sollte Vertragsbestandteil sein. Insbesondere ist zu klären, wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen.

Es ist dringend anzuraten, dass der Auftraggeber genügend Vorbereitung in die Zusammenstellung der eigenen Anforderungen investiert. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages, die aufgrund unterschiedlicher Interpretation von ungenau beschriebenen Leistungen notwendig werden, sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden.

Im Folgenden findet sich eine Themenliste, die bei der Herstellung oder Prüfung eines Vertragsentwurfes herangezogen werden kann:

Organisatorische Regelungen und Prozesse

Personal

Notfallvorsorge

Haftung, juristische Rahmenbedingungen

Änderungsmanagement und Testverfahren

Kontrolle des Auftragnehmers

Prüffragen: