Öffentliche Auftraggeber und Cloud – geht das?

11.10.2019 / Leonie Herden und Nils Wantia

Leonie Herden

Die Cloud ist inzwischen allgegenwärtig und man muss sich auch bei Kommunikations- bzw. UC-Lösungen nicht die Frage stellen, ob man in die Cloud geht, sondern eher, wann man in die Cloud geht. Durch passende Angebote von Avaya, Cisco, Microsoft und Co. wird der Weg in die Cloud zunächst sehr einfach gemacht. Doch gerade für öffentliche Auftraggeber war es nicht zuletzt vor dem Hintergrund der DSGVO bislang eine große Hürde, Cloud-Angebote für den Bereich der Kommunikation zu nutzen. 

Nils Wantia

Nutzung von Cloud-Angeboten ist grundsätzlich möglich

Die gute Nachricht zuerst: Die Nutzung von Cloud-Angeboten ist grundsätzlich möglich. Auch im öffentlichen Bereich werden Cloud-Projekte für Unified-Communications-Lösungen umgesetzt. Doch man muss hier genauer hinschauen, denn Cloud ist nicht gleich Cloud. Dienste, die in einer Private Cloud – also im Rahmen von Hosting-Angeboten – zur Verfügung gestellt werden, gehören schon seit einigen Jahren zum Standard und können selbstverständlich genutzt werden. Doch wie sieht es mit Public-Cloud-Angeboten aus? Hier wird die zugrunde liegende Infrastruktur nicht mehr exklusiv für das eigene Unternehmen betrieben, vielmehr ist man lediglich ein Mandant auf einer geteilten Plattform. Was uns zur schlechten Nachricht führt: Die Tücke liegt wie so oft im Detail, und gerade bei Public-Cloud-Angeboten ist besondere Vorsicht geboten.

Wie kommt man nun in die Cloud?

Hat man sich grundsätzlich für die Nutzung von Cloud-Angeboten entschieden und entsprechende Rahmenbedingungen für die Nutzung festgelegt, folgt die Auswahl und Beschaffung eines geeigneten Cloud-Dienstes. Hierbei sollten insbesondere folgende Punkte berücksichtigt werden:

  • Wo und wie werden die Daten gespeichert?
    • Eine Speicherung der Daten in Deutschland ist nicht zwingend notwendig, wohl aber die DSGVO-Konformität.
    • Eine ausreichende Verschlüsselung der gespeicherten Daten sollte gefordert werden.
    • Ein Schlüsselmanagement durch den Auftraggeber kann die Entscheidung für die Cloud wesentlich erleichtern.
  • Wie wird die Mandantentrennung realisiert?
    • Sofern bei der Nutzung von Cloud-Angeboten geteilte Plattformen zum Einsatz kommen, ist mindestens auf Ebene der Kommunikationslösung eine Mandantentrennung vorzusehen.
    • Es muss sichergestellt werden, dass kein anderer Mandant Zugriff auf die Unternehmensdaten erlangen kann. Dies bezieht sich sowohl auf die User-Daten als auch auf Daten, die im Rahmen der Nutzung der Dienste gespeichert werden.

Vertragsschluss

Auch beim Vertragsschluss bzw. der Auswahl des richtigen Vertrages sind noch einige Dinge zu beachten. Die Anbieter der Cloud-Dienste werfen hier gerne ihre eigenen AGBs in den Ring. Diese sind jedoch oft ungeeignet, da die AGBs unter Umständen Klauseln zum Nachteil des Auftraggebers enthalten können. Richtet man sich stattdessen nach den EVB-IT-Verträgen, stellt man allerdings ebenso schnell fest, dass es derzeit keinen passenden Vertrag gibt. Vielmehr muss ein mehr oder weniger passender Vertrag (beispielsweise der EVB-IT-Service-Vertrag) herhalten und an die Nutzung von Cloud-Diensten angepasst werden. Dies hat auch die EVB-IT Arbeitsgruppe von Vertretern aus Bund und Ländern und Vertretern der Wirtschaft unter Führung des BITKOM erkannt. Sie arbeitet derzeit an einem  „EVB-IT Cloud“-Vertrag, bislang jedoch ohne abschließendes Ergebnis.

Bis also ein passender EVB-IT-Vertrag zur Verfügung steht, muss man ein wenig mit den bisherigen Verträgen jonglieren und diese bestmöglich an eine Beschaffung von Cloud-Diensten respektive Software-as-a-Service-Angeboten, wie sie im Umfeld von Kommunikationslösungen verstärkt vorzufinden sind, anpassen.

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.