G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister

Wenn Situationen eintreten, die nicht eindeutig vertraglich geregelt sind, können (zum Beispiel im Rahmen eines Outsourcing- oder Cloud-Computing-Vorhabens) Nachteile für den Auftraggeber entstehen.

So kann beispielsweise bei Outsourcing oder Nutzung von Cloud-Diensten der Auftraggeber verantwortlich gemacht werden, die zwar im Einflussbereich des Dienstleisters liegen, aber vertraglich nicht eindeutig geregelt sind.

Ein Hauptgrund für Probleme zwischen den Vertragspartnern sind zu optimistische Kostenschätzungen. Wenn sich herausstellt, dass der Dienstleister den Service nicht zu den kalkulierten und angebotenen Kosten erbringen kann oder Uneinigkeit darüber besteht, was "selbstverständlich" ist, kann dies direkt zu Sicherheitsproblemen führen. Erfahrungsgemäß wird an der Informationssicherheit gespart, wenn in anderen Bereichen ein Kostendruck entsteht, dem so begegnet werden kann, ohne dass Folgen unmittelbar sichtbar werden. Es ist daher von entscheidender Bedeutung, wie die vertraglichen Regelungen zwischen Auftraggeber und Auftragnehmer ausgestaltet sind. Nur, was von Anfang an vertraglich fixiert ist, wird auch später sicher in die Tat umgesetzt!

Cloud-Diensteanbieter und Outsourcing-Dienstleister erbringen ihre Services häufig mittels der Dienste Dritter. Bestehen hier unzureichende vertragliche Vereinbarungen, kann dies auch Auswirkungen auf die Service-Erbringung haben. Werden in den vertraglichen Regelungen bestehende Abhängigkeiten zwischen Diensteanbieter und Dritten nicht beachtet, kann dies zu einem Mangel an Transparenz hinsichtlich der Vorgänge beim Diensteanbieter und zu Unsicherheiten bei den Verantwortungsbereichen oder der Einhaltung vereinbarter Dienstgüten führen.

Weitere Beispiele für Folgen aus unzulänglichen vertraglichen Regelungen mit externen Dienstleistern sind:

Besondere Probleme treten häufig dann auf, wenn Dienstleistungsverträge beendet werden (siehe G 2.85 Unzureichende Regelungen für das Ende eines Outsourcing- oder eines Cloud-Nutzungs-Vorhabens) und diese Situation nur unzureichend vertraglich geregelt wurde.