M 2.356 Vertragsgestaltung mit Dienstleistern für Speicherlösungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Nur wenige Institutionen werden die technische Betreuung der Speicherlösung im Normalbetrieb und in Notfallsituationen selbst vollumfänglich leisten können und wollen. In diesem Fall müssen sie auf geeignete Hersteller und Lieferanten zugreifen, im Weiteren kurz als Dienstleister bezeichnet.

Die Aspekte, die im Folgenden beschrieben werden, sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen. Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen von den Verfügbarkeitsanforderungen des Auftraggebers und auch von der Komplexität der konkreten Speicherlösung ab.

Grundsätzlich sollte der Dienstleister auf die Einhaltung aller relevanten Gesetze und Vorgaben, vor allem aber des Datenschutzes nach dem Bundesdatenschutzgesetz (BDSG) und auf den Einsatz von organisatorischen und technischen Maßnahmen zur Informationssicherheit verpflichtet werden. Diese sollten mindestens dem Niveau des IT-Grundschutzes entsprechen und gegebenenfalls um weitere, vom Auftraggeber vorgegebene, Sicherheitsanforderungen ergänzt werden.

Neben diesen allgemeinen Verpflichtungen empfiehlt es sich, alle vereinbarten Leistungen messbar und prüfbar im Vertrag schriftlich zu fixieren. So kann es z. B. angemessen sein zu vereinbaren, dass ein qualifizierter Mitarbeiter des Dienstleisters bei bestimmten Problemfällen innerhalb von vier Stunden vor Ort sein muss. Eine solche konkrete, an den Anforderungen der Institution festgemachte Aussage kann eventuell sinnvoller sein als ein Pauschalangebot ("Gold-Support"), das möglicherweise ungünstige Ausnahmen (beispielsweise "Sonntags nur telefonische Unterstützung") von der geforderten Qualität beinhaltet.

Auch die Erstellung des Notfallvorsorgekonzeptes für die Speicherlösung sollte Vertragsbestandteil sein. Insbesondere ist zu klären, wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen.

Es ist dringend anzuraten, dass der Auftraggeber genügend Vorbereitung in die Zusammenstellung der eigenen Anforderungen investiert. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages, die aufgrund unterschiedlicher Interpretation von ungenau beschriebenen Leistungen notwendig werden, sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden.

Insbesondere wenn es sich bei dem Dienstleistungsverhältnis um Outsourcing handelt, ist der Baustein B 1.11 Outsourcing zusätzlich anzuwenden, bei Cloud-Speicherlösungen der Baustein B 1.17 Cloud-Nutzung und insbesondere die Maßnahme M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter. Die folgende Themenliste sollte in diesen Fällen der Konkretisierung der grundlegenden Anforderungen an die Vertragsgestaltung aus diesen Bausteinen in Bezug auf Speicherlösungen dienen.

Organisatorische Regelungen und Prozesse

Personal

Notfallvorsorge

Haftung, juristische Rahmenbedingungen

Änderungsmanagement und Testverfahren

Kontrolle des Auftragnehmers

Prüffragen: