M 2.554 Geeignete Vertragsgestaltung bei Beschaffung, Entwicklung und Betriebsunterstützung für Anwendungen
Verantwortlich für Initiierung: Leiter Organisation
Verantwortlich für Umsetzung: Fachverantwortliche
Bei Beschaffung, Entwicklung oder Betrieb einer Anwendung kann sich eine Institution auf einen oder mehrere Dienstleister abstützen. Dies können interne oder externe Dienstleister sein. Typischerweise sind mindestens drei Parteien zu unterscheiden: die späteren Nutzer, Entwickler und Betreiber der Anwendung. Wird die Anwendung von Externen entwickelt oder betrieben, müssen geeignete vertragliche Rahmenbedingungen geschaffen werden.
Die Umsetzung der im Lasten- und Pflichtenheft sowie in den Teilkonzepten vorgegebenen, auch sicherheitstechnischen Eigenschaften einer Anwendung ist vertraglich mit den beteiligten Institutionen und Dienstleistern zu vereinbaren.
Hierbei sind unter Sicherheitsgesichtspunkten insbesondere die folgenden Aspekte zu berücksichtigen:
- Der Liefer- bzw. Leistungsumfang (Funktionsumfang einschließlich Sicherheitsfunktionen, Bereitstellungsformat, Lizenztyp, Dokumentation, Handbücher etc.) muss geeignet beschrieben werden.
- Es müssen Vereinbarungen über die Softwarepflege getroffen werden (siehe M 2.553 Entwicklung eines Pflegekonzeptes für Anwendungen). Bei Entwicklungen im Auftrag müssen geeignete Nutzungsrechte für den erzeugten Quellcode und Zugriff auf diesen vereinbart werden (siehe auch M 6.137 Treuhänderische Hinterlegung (Escrow)).
Beim Betrieb einer Anwendung durch einen Dienstleister sind die Maßnahmen aus dem Baustein B 1.11 Outsourcing zu berücksichtigen.
In der öffentlichen Verwaltung in Deutschland sind die "Ergänzenden Vertragsbedingungen für die Beschaffung von Informationstechnik" (EVB-IT) rechtlich vorgegeben (siehe auch § 9 Abs. 1 Satz 2 und § 11 EG Abs. 1 Satz 2 VOL/A und § 55 BHO). Diese enthalten sowohl Vertragsvorlagen für die Entwicklung als auch den Betrieb einer Anwendung durch einen Dienstleister.
Prüffragen:
-
Werden bei der Gestaltung von Verträgen mit externen Dienstleistern zur Beschaffung, Entwicklung und Betriebsunterstützung von Anwendungen alle wichtigen Aspekte aufgelistet, bewertet und vertraglich berücksichtigt?