News

Bundesinnenministerium veröffentlicht neue EVB-IT Cloud

04.04.2022

(Endlich?) ab in die Cloud: Das Bundesministerium des Inneren (BMI) hat am 1. März 2022 neu entwickelte vertragliche Grundlagen für die Vergabe von Cloudleistungen durch die Öffentliche Hand veröffentlicht. Die ergänzenden Vertragsbedingungen für die Beschaffung von Cloudleistungen (EVB-IT Cloud) sollen die hohen Anforderungen des öffentlichen Sektors an die Qualität von Cloudleistungen, IT-Sicherheit und umfassende Kontrollmöglichkeiten vertraglich abbilden.

Damit können staatliche Institutionen bei der Beschaffung von Cloudleistungen nun erstmals auf standardisierte Rahmenbedingungen zurückgreifen und die typischen „as a Service“-Leistungen auf der Grundlage der EVB-IT beziehen.

Aufbau, Neuerungen und Wesentlicher Inhalt der EVB-IT Cloud

Die EVB-IT Cloud folgen zunächst noch dem gewohnten modularen Mechanismus der EVB-IT. Sie bestehen aus dem eigentlichen Cloud-Vertrag, den EVB-IT Cloud AGB, einem fachlichen Kriterienkatalog und einer Anlage zur Einbeziehung AGB von Anbietern.

Die neuen EVB-IT-Cloud setzten aber eben nicht lediglich die bereits bekannten Mechanismen der EVB-IT-Musterverträge fort, sondern beschreiten neue Wege. Wesentliche systematische Neuerung ist die Möglichkeit, die AGB der (privaten) Cloud-Anbieter auch selektiv vorrangig einzubeziehen (dazu noch unten). Damit gewinnt die Prüfung und Verhandlung entsprechender Vertragsunterlagen perspektivisch deutlich an Komplexität.

Die materiellrechtlich im Ergebnis maßgeblichen EVB-IT Cloud-Einkaufsbedingungen (AGB) enthalten erwartungsgemäß Regelungen zu den für Cloud-Leistungen typischen und für die Vertragsparteien entsprechend wesentlichen Regelungen, insbesondere zum Zugriff auf gespeicherte Inhalte (Ziffer 5), zu Datenschutz und IT-Sicherheit (Ziffer 6), zu Backups (Ziffer 7), zur Verfügbarbarkeit und Störungsbeseitigung (Ziffer 8 - 11) sowie Rechte des Auftraggebers bei Mängeln der Leistungen (Ziffer 18).

Datenschutz und IT-Sicherheit

Im Zusammenhang mit Cloud-Leistungen liegt naturgemäß ein starker Fokus auf den Themen Datenschutz und IT-Sicherheit (Ziffer 6.1 und 6.2). Interessant ist, dass der Auftragnehmer erklärt, über eine hinreichende Dokumentation zur Einhaltung der jeweiligen gesetzlichen Anforderungen zu verfügen. Die datenschutzrechtliche Rechenschaftspflicht wird also explizit vertraglich aufgegriffen.

Ziffer 6.5 der AGB sieht ein einseitiges Kündigungsrecht des Auftraggebers vor, sofern der Auftragnehmer seiner Pflichten in Bezug auf Datenschutz und IT-Sicherheit (Ziffern 6.1 bis 6.4) schuldhaft innerhalb einer gesetzten angemessenen Frist nicht nachkommt oder seine Pflichten vorsätzlich bzw. grob fahrlässig verletzt. Im Falle einer einmalig zu erbringenden Leistung tritt an die Stelle des Kündigungs- ein Rücktrittsrecht. Der in Ziffer 6.5 normierte Maßstab („kein Kündigungsrecht bei unwesentlicher Pflichtverletzung“) dürfte in Streitfällen zu erheblichen Diskussionen führen, da Compliance-Vorgaben zwingend sind und bei fortdauerndem Verstoß gegen datenschutzrechtliche Notwendigkeiten eine „unwesentliche Pflichtverletzung“ ggf. schwer zu begründen sein wird. Weitergehende gesetzliche und regulatorische Anforderungen im Bereich Datenschutz und IT-Sicherheit werden durch die EVB-IT Cloud AGB ausdrücklich nicht berührt.

Rechte des Auftraggebers bei Mängeln der Leistungen

Ist die Leistung des Auftragnehmers aufgrund eines Mangels oder einer Schlechtleitung gemindert, muss der Auftraggeber für die Zeit der verminderten Nutzbarkeit „nur eine angemessen herabgesetzte Vergütung für die Leistung“ (Ziffer 18 der AGB) zahlen. Die Angemessenheit wird dabei nicht näher definiert und es werden auch keine Berechnungsfaktoren genannt. Interessant ist hierbei, dass eine Minderung der Vergütung auf Grund eingeschränkter Leistungen nach dem Wortlaut der EVB-IT-AGB (wohl) nicht gegeben sein soll, soweit „Nichterfüllungsgutschriften“ vereinbart sind. Damit käme den oft als „Service Level Credits“ bezeichneten Gutschriften bei Leistungsdefiziten eine noch stärkere Bedeutung zu. Bemerkenswerterweise sind gerade diese „Service Level Credits“ Teil der standardisierten Unternehmensprozesse, oftmals ohne große Verhandlungsbereitschaft. Die sonstigen gesetzlichen Ansprüche des Auftraggebers wegen Mängeln oder Schlechtleistung (insbesondere Schadensersatz) bleiben (allerdings) unberührt.

Fachlicher Kriterienkatalog und AGB des Auftragnehmers

Der sog. fachliche Kriterienkatalog bietet die Möglichkeit, Vorgaben für die konkreten Cloudleistungen detailliert nach einem standardisierten Ansatz auszudifferenzieren.

Insgesamt haben die Vertragsparteien die Möglichkeit, von den Standardvertragsklauseln der EVB-IT Cloud AGB abzuweichen und insbesondere Auftragnehmer-AGB (sowie ggf. die AGB von Subunternehmen) in Teilen auch vorrangig einzubeziehen. Kommt die Einbeziehung der AGB des Auftragnehmers in gewissen Bereichen in Frage, muss der Auftraggeber diese schon vor der Vergabe konkret benennen, um die Vergleichbarkeit der Angebote zu wahren.

Die AGB des Auftragnehmers fanden in den früheren EVB-IT keine solche dedizierte Berücksichtigung und waren im Grundsatz ausgeschlossen. Diese anpassungsfähige Vertragsgestaltung soll das Spezifikum von Cloud-Leistungen abbilden. Diese sind in aller Regel hochstandardisierte skalierbare Leistungen mit ggf. starken Abhängigkeiten von Subunternehmern (etwa bei Rückgriff der Auftragnehmer auf Hosting-Leistungen Dritter).

Die Option, Auftragnehmer-AGB auch in Teilen vorrangig einzubeziehen ist mit Blick auf die Natur von Cloud-Leistungen also sicherlich hilfreich. Aus der so gewählten Systematik ergibt sich aber wohl die Notwendigkeit noch stärkerer fachlicher wie rechtlicher Begleitung der einzelnen Vertragsabschlüsse auf Seiten der öffentlichen Hand wie auch der Auftragnehmer. Die EVB-IT-Cloud sind somit in der Praxis sicherlich stärker Rahmenwerk als abschlussfertigte Vorlage.

Akzeptanz in der IT-Wirtschaft

Die IT-Wirtschaft war in die Entwicklung der neuen EVB-IT Cloud umfassend eingebunden: Der Veröffentlichung waren intensive Verhandlungen mit dem Bundesverband Bitkom als Vertreter der deutschen IT-Wirtschaft vorangegangen. Bitkom kündigte im Namen der IT-Wirtschaft an, die neuen Regelungen im Rahmen der öffentlichen Beschaffung von Cloudleistungen grundsätzlich akzeptieren zu wollen. Alle EVB-IT werden in ständiger Übung mit der IT-Wirtschaft abgestimmt, um Einvernehmen und eine breite Akzeptanz bei (potenziellen) Vertragspartnern zu erreichen.

Fazit

Mit den neuen EVB-IT Cloud ist der öffentlichen Hand zunächst ein großer Schritt hin zu einer vertraglich sicheren und gleichzeitig vereinfachten Beschaffung von Cloudleistungen gelungen. Fest steht: Die neuen EVB-IT Cloud erhöhen die Flexibilität der öffentlichen Hand, Ausschreibungen bedarfsgerecht und zugleich standardisiert auszugestalten. So können staatliche Institutionen Cloudleistungen in verschieden Konstellationen einsetzen. Dies fördert außerdem die in im öffentlichen Sektor stetig voranschreitende Digitalisierung, die ohne eine effektive und effiziente Einbindung und Nutzung von Cloudleistungen wohl nicht möglich sein dürfte.

Dabei gilt es zu beachten, dass standardisierte Vertragsbedingungen selbstverständlich nicht jedem Bedürfnis einer Vertragspartei im Einzelfall von Verträgen über komplexe IT-Produkte nachkommen können. Zusätzliche Komplexität bringt dabei der Mechanismus der Einbeziehung von Auftragnehmer-AGB.

Es bleibt also einerseits notwendig, im Einzelfall sorgfältig zu prüfen, welche Bedingungen zu der konkreten Vertragsgestaltung passen oder ob im Einzelfall ein Individualvertrag notwendig ist. Andererseits sind auch bei Verwendung der EVB-IT Cloud Auftragnehmer-AGB, die Notwendigkeiten standardisierter Leistungen und Interessen der öffentlichen Hand jeweils im Einzelfall in Einklang zu bringen.

Nach 18 Monaten sollen die EVB-IT Cloud einer Prüfung unterzogen und ggf. weiter angepasst werden.

Kontakt

Julian von Lucius
Julian von Lucius+49 30 20942250
Korbinian Hartl
Korbinian Hartl+49 89 28628542

IT & Outsourcing
Digital Business

Share

Alle anzeigen

Insights

two liquids
News

EU-Verpackungs­verordnung: Einheitlicher Rechts­rahmen für Verpackungen – neue Herausforderungen für Marktteilnehmer

25.04.2024
Fels am Meer
News

Update Foreign Subsidies Regulation („FSR“): Erste Durchsuchung der Europäischen Kommission bei einem chinesischen Hersteller von Sicherheitstechnik

25.04.2024
mirror cube structure with pulse
News

Plattformarbeit: Richtlinie zur Verbesserung der Arbeitsbedingungen heute verabschiedet

24.04.2024
Sports car in curve wP300
News

„In-Car-Entertainment­systeme“ als regulierte Benutzer­oberflächen? - Automobil­hersteller im Fokus der Landes­medienanstalten

22.04.2024
Cubes structure
News

EU Listing Act ante portas

22.04.2024
River bridge
News

Europäische Richtlinie zur Entgelt­transparenz zwischen Männern und Frauen

22.04.2024
zwei Geschäftsleute spazieren
Podcast

Noerr_podcast: Update zur Recht­sprechung im Arbeits­recht – der etwas andere Jahres­rückblick

19.04.2024
LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024
blurred motion on railway
News

Neu seit 15.03.2024: Streit­verkündungen in DIS-Schiedsverfahren – ­Die Ergänzenden Regeln für Streitverkündungen (DIS-ERS)

18.04.2024