vectorfusionart - stock.adobe.co

Was man vom Mustervertrag für Cloud-Lösungen lernen kann

Der neue Cloud-Mustervertrag für die öffentliche Verwaltung ist auch für die Privatwirtschaft interessant. Darin werden konkrete Forderungen an Datenschutz und Sicherheit geregelt.

Nach intensiven Verhandlungen mit der IT-Wirtschaft, vertreten durch den Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom), hat die öffentliche Hand sich mit dem Bitkom auf vertragliche Regelungen zur Beschaffung von Cloud-Leistungen geeinigt, so der Beauftragte der Bundesregierung für Informationstechnik. Die von Bitkom vertretene IT-Wirtschaft kündigte an, diese Regelungen zukünftig bei öffentlichen Beschaffungen grundsätzlich zu akzeptieren.

Mit den ergänzenden Vertragsbedingungen für die Beschaffung von Cloud-Leistungen (EVB-IT Cloud) könnten die hohen Anforderungen der öffentlichen Hand an Leistungsqualität, Daten- und IT-Sicherheit sowie Kontrollrechte bei der Nutzung von Cloud-Leistung berücksichtigt werden.

Mit den EVB-IT Cloud stehe nun ein von den öffentlichen Auftraggebern lang erwartetes Werkzeug für die öffentlichen Beschaffungsstellen in Bund, Ländern und Kommunen zur Verfügung, wie der Beauftragte der Bundesregierung für Informationstechnik betont.

Die EVB-IT Cloud bestehen aus einem Vertragsmuster, den Einkaufsbedingungen (AGB), einem fachlichen Kriterienkatalog und einer Anlage zur partiellen Einbeziehung von Anbieter-AGB. Sie setzen die vertraglichen Mindeststandards des Bundesamts für Sicherheit in der Informationstechnik und die Basisanforderungen des C5-Kataloges (Cloud Computing Compliance Criteria Catalogue) um.

Mustervertrag vereinfacht die Beschaffung von Cloud-Diensten

„Die Corona-Pandemie hat gezeigt, wie wichtig es ist, dass Verwaltungen jederzeit einen sicheren, mobilen und stabilen Datenzugriff garantieren können. Der Schlüssel zum Erfolg ist die konsequente Modernisierung der öffentlichen IT-Infrastruktur im Sinne eines Multi-Cloud-Ansatzes“, sagte Bitkom-Präsident Achim Berg.

Der neue Mustervertrag könne einen wesentlichen Beitrag für die bedarfsgerechte und rechtssichere Beschaffung aktueller IT-Technologie durch Bund, Länder und Kommunen leisten. Achim Berg hob hervor: „Ein standardisierter Ansatz bei der Beschaffung von Cloud-Lösungen stärkt die digitale Souveränität der Verwaltung und schafft klare Richtlinien und Planungssicherheit für die Digitalwirtschaft.“

Die neuen EVB-IT Cloud wurden so ausgestaltet, dass sie für die Beschaffung unterschiedlicher Lösungsmodelle (Infrastructure as a Service, Platform as a Service, Software as a Service, Managed Cloud Services) genutzt werden können, wie Bitkom erläuterte. In Bereichen wie der IT-Sicherheit knüpfen die EVB-IT Cloud an bereits etablierte Vorgaben und Regelwerke wie den Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) an. Ein ergänzender Kriterienkatalog schafft die Grundlage für die fachliche Diskussion über Anforderungen der konkreten Ausschreibung.

„Für Anwender schafft dies Flexibilität bei der bedarfsgerechten Ausgestaltung der Ausschreibungsunterlagen und der erforderlichen Berücksichtigung von Spezifika der Lösungsanbieter“, so der Leiter der Bitkom-Verhandlungsdelegation, Claudius Grupp von Sopra Steria.

Auch die Privatwirtschaft braucht mehr Unterstützung bei der Cloud-Beschaffung

So wichtig eine rechtssichere Beschaffung von Cloud-Diensten im öffentlichen Bereich auch ist, die Privatwirtschaft sucht ebenfalls nach mehr rechtlicher Orientierung, wenn es um Cloud Computing geht.

Der Cloud Monitor 2021 von Bitkom Research und KPMG zeigte, dass Unternehmen, die bislang auf den Einsatz von Public-Cloud-Lösungen verzichten, vor allem Sorge vor einem unberechtigten Zugriff auf sensible Unternehmensdaten haben. Drei Viertel (75 Prozent) nennen dies als Grund für ihre Zurückhaltung. Kurz dahinter liegen mit 67 Prozent Unklarheiten hinsichtlich der Rechtslage. Im Vorjahr gaben dies erst 60 Prozent an, vor zwei Jahren sogar nur 51 Prozent.

„Die Nutzung der Public-Cloud erfordert eine gute Planung und ein entsprechendes Sicherheitskonzept“, sagte Peter Heidkamp, Head of Technology Center of Excellence bei KPMG.

Es steht außer Frage, dass die Unternehmen für diese Planung und für das Sicherheitskonzept Unterstützung suchen, da sie nach eigener Aussage mit einer rechtlichen Unsicherheit zu kämpfen haben.

Sicherheit und Datenschutz im Mustervertrag für Cloud-Dienste

In den EVB-IT Cloud AGB findet man wichtige Regelungen zur IT-Sicherheit und zum Datenschutz, die auch der Privatwirtschaft Orientierung geben können, darunter:

Der Auftragnehmer erbringt die Leistungen unter Einhaltung des bei Vertragsschluss jeweils aktuellen Cloud Computing Compliance Criteria Catalogue - C5 (Basiskriterien). Zudem beachtet der Auftragnehmer die durch den Auftraggeber zum Vertragsinhalt gemachten Sicherheitsanforderungen, z.B. aus seiner Sicherheitsrichtlinie im Sinne des Mindeststandard(s) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Nutzung externer Cloud-Dienste.

Der Auftragnehmer stellt die Leistungen frei von Schaden stiftender Software zur Verfügung. Dies gilt auch für etwaige dem Auftraggeber überlassene Software (zum Beispiel Zugangssoftware).

Die Speicherung und sonstige Verarbeitung von Daten des Auftraggebers durch den Auftragnehmer erfolgt ausschließlich innerhalb der EU und des EWR sowie, sofern ein Angemessenheitsbeschluss gem. Art. 45 DSGVO besteht, der Schweiz, es sei denn, der Auftraggeber hat in der Administrationskonsole (Self-Service-Portal oder Ähnliches) zusätzlich weitere Regionen für die Leistungen ausgewählt.

Die Parteien werden die bei der Erbringung der Leistung jeweils auf sie anwendbaren Bestimmungen über den Datenschutz in der jeweils geltenden Fassung einhalten. Der Auftragnehmer verfügt über eine hinreichende Dokumentation über die Umsetzung der gesetzlichen Anforderungen, die der Auftragnehmer dem Auftraggeber auf Anforderung zugänglich macht.

Sofern Gegenstand der beauftragten Leistung zumindest auch die Verarbeitung personenbezogener Daten ist, schließen die Parteien vor der Verarbeitung von personenbezogenen Daten durch den Auftragnehmer im Auftrag des Auftraggebers eine Auftragsverarbeitungsvereinbarung (AVV).

Der Auftragnehmer verfügt, soweit gesetzlich erforderlich, über einen bestellten betrieblichen Datenschutzbeauftragten mit der erforderlichen Fachkunde und teilt dem Auftraggeber auf Anfrage dessen Kontaktdaten mit.

Mustervertrag kann auch bei einer Prüfung durch die Aufsicht helfen

Für die öffentliche Hand gibt es gute Gründe, nun auf einen Mustervertrag setzen zu können. Im Bereich Datenschutz laufen bereits Prüfungen durch die Aufsichtsbehörden (siehe auch DSGVO: Cloud-Nutzung im öffentlichen Sektor wird untersucht).

Insbesondere seit der COVID-19-Pandemie nutzen viele Verantwortliche des öffentlichen Sektors vermehrt Cloud-basierte Dienste, so der Bayerische Landesbeauftragte für den Datenschutz. Dabei müssen sie auch Anforderungen des EU-Datenschutzrechts erfüllen. Die europäischen Datenschutz-Aufsichtsbehörden möchten durch abgestimmte Leitlinien und Maßnahmen bewährte Verfahren fördern und darauf hinwirken, dass die Verantwortlichen einen angemessenen Schutz personenbezogener Daten sicherstellen.

Die nun begonnene gemeinsame Untersuchung betrifft über 75 Verantwortliche des öffentlichen Sektors, neben EU-Institutionen nationale Stellen etwa aus den Bereichen Gesundheit, Finanzen, Steuern, Bildung oder zentrale Dienstleistungen.

Bei der Untersuchung geht es nicht nur um allgemeine datenschutzrechtliche Standards. Schwerpunkte bilden insbesondere Prozesse und Sicherheitsvorkehrungen beim Einsatz von Cloud-Diensten, Datenübermittlungen an Drittländer sowie Regelungen im Zusammenhang mit Auftragsverarbeitungen.

Auch die Privatwirtschaft muss mit solchen Kontrollen der Aufsichtsbehörden rechnen. Da kommen Musterverträge, die für die öffentliche Verwaltung gedacht sind, sicherlich recht, da sich hier wie erwähnt viele Anregungen für eigene Cloud-Vereinbarungen finden lassen. Gerade wer einen kleineren Cloud-Anbieter wählt, wird oftmals die Möglichkeit haben, auf bestimmte Anforderungen bei der Vereinbarung zu pochen, wenn der Anbieter nicht bereits diese Punkte berücksichtigt hat. Ein Mustervertrag für die Cloud-Beschaffung kann dabei wie eine Checkliste wirken, um Vereinbarungen abzuklopfen.

Erfahren Sie mehr über Datenschutz und Compliance