M 2.307 Geordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Fachverantwortliche
Die Empfehlungen dieser Maßnahme lassen sich in der Regel nur umsetzen, wenn bereits im Vertrag mit dem Outsourcing-Dienstleister beziehungsweise dem Cloud-Diensteanbieter alle relevanten Themen zum Vertragsende geregelt wurden.
Wird das Dienstleistungsverhältnis beendet, müssen die betroffenen Dienstleistungen, wie beispielsweise der IT-Betrieb, geordnet zurück in eigene Verantwortung oder auf einen anderen Dienstleister übergehen. Es müssen Vorkehrungen getroffen werden, dass durch das Vertragsende des Dienstleistungsvertrags die Geschäftstätigkeit der Institution nicht beeinträchtigt wird.
- Der Übergang auf einen anderen Dienstleister ist ein neues Outsourcing- oder Cloud-Nutzungs-Vorhaben. Die Maßnahmen des Outsourcing- Bausteins beziehungsweise die des Bausteins Cloud-Nutzung sind entsprechend anzuwenden.
- Beim Insourcing sind die relevanten Maßnahmen des Outsourcing-Bausteins analog anzuwenden. Entsprechendes gilt für den Baustein Cloud-Nutzung, sofern es sich um die Nutzung eines Cloud Services handelt. Für Strategie, Sicherheitskonzept für Insourcing, Migration und Notfallvorsorge gelten die gleichen Anforderungen wie bei einem "klassischen" Outsourcing- oder Cloud-Nutzungs-Verfahren.
Folgende Gesichtspunkte sind zu beachten:
- Eigentumsrechte an Hard- und Software (Schnittstellenprogramme, Tools, Batchabläufe, Makros, Lizenzen, Backups) müssen geregelt werden.
- Die Weiterverwendung der vom Dienstleister eingesetzten Tools, Prozeduren, Skripte, Batchprogramme ist für den Fall der Beendigung des Dienstleistungsverhältnisses zu regeln.
- IT-Systeme, IT-Anwendungen und Arbeitsabläufe müssen ausreichend dokumentiert sein.
- Alle notwendigen Daten müssen vom Dienstleister an den Auftraggeber übertragen beziehungsweise übergeben werden.
- Alle Datenbestände beim Dienstleister müssen sicher gelöscht werden.
- Interne oder externe Mitarbeiter, die Aufgaben des Dienstleisters übernehmen, müssen eingewiesen und geschult werden.
- Es ist empfehlenswert, vertraglich eine Übergangsfrist zu vereinbaren, in der der ehemalige Dienstleister noch für Rückfragen und Hilfestellungen zur Verfügung steht.
Prüffragen:
-
Regelt der Vertrag mit dem Outsourcing-Dienstleister oder dem Cloud-Diensteanbieter auch alle Aspekte der Beendigung des Dienstleistungsverhältnisses?
-
Ist sichergestellt, dass eine Beendigung des Dienstleistungsverhältnisses mit dem Outsourcing-Dienstleister oder Cloud-Diensteanbieter die Geschäftstätigkeit des Auftraggebers nicht beeinträchtigt?