M 2.533 Vertragliche Aspekte bei der Bereitstellung von Web-Services

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Vertrieb, Vertragsmanagement

Wenn Web-Services für Dritte bereitgestellt werden, sind zwischen Web-Service-Anbieter und Web-Service-Consumer schriftliche Regelungen zu treffen, die die Sicherheit der Dienstnutzung, aber auch die Nachvollziehbarkeit und Ordnungsmäßigkeit der Leistungserbringung gewährleisten.

Die konkrete Ausgestaltung muss sich am Schutzbedarf der Anwendungen und Geschäftsprozesse orientieren, die durch den Web-Service abgebildet werden. Dabei kommt insbesondere der Verfügbarkeit häufig ein besonderer Fokus zu, da der Ausfall eines Web-Service unter Umständen weitere, abhängige Web-Services und Anwendungen betrifft und dadurch einen oder sogar mehrere Geschäftsprozesse beeinträchtigen kann.

Die folgende Liste umfasst Aspekte, die bei der Vertragsgestaltung mit dem Web-Service-Consumer geprüft und gemäß dem jeweiligen Schutzbedarf berücksichtigt werden sollten.

Generelle vertragliche Gestaltung

Fachliche Regelungen

Technische Leistungsparameter

Organisatorische Regelungen

Personal

Notfallvorsorge und Notfallreaktion

Sicherheitskonzept

Ein Sicherheitskonzept inklusive eines Notfallvorsorgekonzepts ist nachzuweisen und Sicherheitsmaßnahmen zum Schutz der Informationen sind umzusetzen und zu dokumentieren. Der Web-Service-Anbieter muss hierüber dem Consumer einen geeigneten Nachweis führen, insbesondere zur Umsetzung der technisch-organisatorischen Maßnahmen bei Auftragsdatenverarbeitung. Der Web-Service-Anbieter sollte sich auf die Einhaltung aller relevanten Gesetze und Vorgaben, vor allem aber des Datenschutzes nach dem Bundesdatenschutzgesetz (BDSG) verpflichten.

Entwicklung und Erweiterung von Web-Services

Für die effiziente Entwicklung von Web-Services sollten Regeln festgelegt werden, die von allen Partnern eingehalten werden. Das Ziel dabei ist es, sowohl Konzeptions- als auch Programmierfehler frühzeitig zu erkennen, um diese rechtzeitig zu vermeiden. Es sollte nach einem geeigneten Vorgehensmodell (zum Beispiel V-Modell XT) entwickelt werden.

Änderungs- und Patchmanagement

Kontrolle

Die zu diesen Punkten getroffenen Regelungen müssen zwischen den beteiligten Parteien wirksam vereinbart werden, also einen Bestandteil der Vertragsbeziehung für die Erbringung beziehungsweise Nutzung der Dienste ausmachen.

Prüffragen: