Neue vertragliche Anforderungen für die Cloud-Nutzung in Behörden: Was bedeuten die EVB-IT Cloud für Cloud-Anbieter?
10 Mai, 2022
Der Beauftragte der Bundesregierung für Informationstechnik (Bundes-CIO) hat am 1. März 2022 ergänzende Vertragsbestimmungen für die Beschaffung von Cloud-Diensten herausgegeben: die EVB-IT Cloud. Bundes- und Landesbehörden sowie zahlreiche kommunale Behörden, die Cloud-Lösungen von privatwirtschaftlichen Anbietern beziehen möchten, müssen die EVB-IT Cloud bei der Beschaffung berücksichtigen. Mit den neuen Bestimmungen ergänzt der Bundes-CIO die zehn bereits für andere IT-Services bestehenden Vertragsmuster.
Das Vertragsmuster Cloud konkretisiert die Zusammenarbeit zwischen einem Cloud-Anbieter und einer Institution der öffentlichen Hand. Vor allem definieren die EVB-IT Cloud bestimmte Rechte und Pflichten der Vertragspartner sowie zahlreiche Aspekte der Informationssicherheit. Diese beruhen maßgeblich auf dem Cloud Computing Compliance Criteria Catalogue (kurz „C5“) des Bundesamtes für Sicherheit in der Informationstechnik (kurz „BSI“). Cloud-Anbieter können sich gemäß BSI C5 prüfen lassen und mit dem entsprechenden Prüfbericht nachweisen, dass sie die im BSI C5 definierten Kriterien erfüllen.
Das Wichtigste in 30 Sekunden
- Die EVB-IT Cloud beinhalten neue Verpflichtungen, die Cloud-Anbieter erfüllen müssen, wenn sie ihre Cloud-Dienste der öffentlichen Verwaltung anbieten möchten.
- Zu diesen Pflichten gehören unter anderem der Nachweis über die Erfüllung der Basiskriterien des BSI C5, ein monatliches KPI-Reporting und der transparente Umgang mit Störungsfällen.
- PwC unterstützt Cloud-Anbieter rund um die EVB-IT Cloud und BSI C5. Insbesondere bei der Vorbereitung auf eine C5-Prüfung sowie der Durchführung der Prüfung selbst kann PwC auf umfangreiche Expertise aus internationalen Projekten zurückgreifen.
Diese Pflichten kommen auf Cloud-Anbieter zu
Cloud-Anbieter sollten die konkreten Pflichten kennen, die sie aufgrund der EVB-IT Cloud zu erfüllen haben. Diese lassen sich in acht Kategorien einordnen:
1. BSI C5-Konformität und Nachweispflichten
Ein wesentlicher Bestandteil der EVB-IT Cloud ist, dass Cloud-Anbieter nachweisen müssen, dass sie die Basiskriterien des BSI C5 erfüllen. Während der „Mindeststandard des BSI zur Nutzung externer Cloud-Dienste” den BSI C5 für Bundesbehörden bereits seit mehreren Jahren vorschreibt, sind nun auch Landes- und zahlreiche kommunale Behörden angehalten, nur mit Cloud-Anbietern zusammenzuarbeiten, die BSI C5-Konformität nachweisen können.
2. Formpflichten bei der Vertragsgestaltung
Die EVB-IT Cloud bestehen aus fünf Dokumenten, die auf der Website des Bundes-CIO zum Download verfügbar sind:
- EVB-IT Cloud AGB: Die Allgemeinen Geschäftsbedingungen (AGB) bilden den Rahmen.
- EVB-IT Cloud Vertrag: Der Vertrag konkretisiert die Beschaffenheit des Cloud-Dienstes, den der Cloud-Anbieter für die Behörde erbringt.
- EVB-IT Cloud Kriterienkatalog für Cloud-Leistungen: Im Kriterienkatalog werden weitere Parameter der Cloud-Leistung definiert. Hierzu zählen etwa die Art der Cloud (Public/Private), der Leistungsort, Details zum Identitäts- und Berechtigungsmanagement sowie zur Art der Anbindung und zur Datensicherung oder Regelungen zur Verfügbarkeit und IT-Sicherheit.
- EVB-IT Cloud Anlage auftragnehmerseitige AGB: Diese Anlage ist neu im Gefüge der EVB-IT Dokumente. Sie ermöglicht eine kontrollierte und vergaberechtskonforme Öffnung der EVB-IT Cloud für AGB des Cloud-Anbieters oder dessen Sub-Dienstleistern.
- Hinweise für die Nutzung der EVB-IT Cloud: In diesem Dokument findet sich ein beispielhaft ausgefüllter Vertrag.
Darüber hinaus ist eine Auftragsverarbeitungsvereinbarung (AVV) mit geeigneten technischen organisatorischen Maßnahmen (TOMs) zu schließen und dem Vertrag anzuhängen.
3. Monatliches Reporting
Die EVB-IT Cloud fordert ein monatliches Reporting bestimmter Kennzahlen, das der Cloud-Anbieter der Behörde bereitstellen muss. Dieses Reporting soll der Behörde einen möglichst detaillierten und umfassenden Überblick über bestimmte Kennzahlen und eventuelle Störungen des vergangenen Monats geben.
Der Cloud-Anbieter hat etwa aufzuzeigen, wie lange sein Cloud-Dienst nicht verfügbar war und was dies für die prozentuale Verfügbarkeit bedeutet. Die Behörde muss in dem Report zudem über sicherheitsrelevante Störungen informiert werden, welche die Leistung betroffen haben. Dies gilt auch, wenn die Störungen zum Erstellungszeitpunkt des Reportings bereits behoben wurden. Darüber hinaus muss der Cloud-Anbieter eventuelle Überschreitungen von vereinbarten Reaktions- und Wiederherstellungszeiten je Überschreitungsfall darstellen.
4. Informationssicherheit
Der Cloud-Anbieter ist zur Vertraulichkeit verpflichtet und muss die Cloud-Leistung vor unberechtigtem Zugriff schützen. Darüber hinaus hat der Cloud-Anbieter einen IT-Sicherheitsbeauftragten zu benennen, der für die Behörde erreichbar sein muss.
5. Umgang mit Störungen
Die Rolle des IT-Sicherheitsbeauftragten ist ferner für die rasche und koordinierte Beseitigung von Störungen verantwortlich. Das gilt insbesondere, wenn eine Beeinträchtigung auftritt, die zu einem Ausfall von Teilen des Leistungsumfangs führt.
Hierfür teilen die EVB-IT Cloud Störungen in drei Klassen ein: Die schwerwiegende, die erhebliche und die leichte Störung. Je nach Störungsumfang ergeben sich möglicherweise weitere Pflichten für den Cloud-Anbieter. Der Cloud-Anbieter ist zudem für das kontinuierliche Monitoring seiner Leistungserbringung verantwortlich.
6. Allgemeine Pflichten aus den Bereitstellungsmodellen
Die neuen EVB-IT Cloud konkretisieren die Art und den Umfang von Leistungen in den typischen und bekannten Bereitstellungsmodellen IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service) sowie weitere Managed Cloud Services (MCS).
Je nach Bereitstellungsmodell sind verschiedene Pflichten und Verantwortungsbereiche definiert, sodass die sich aus der Shared Responsibility ergebende Aufgabenteilung transparent geregelt wird.
7. Exit-Management und Daten-Migration
Sobald der Vertrag zwischen dem Cloud-Anbieter und der Behörde endet, muss der Cloud-Anbieter der Behörde ihre Daten in geeigneter Weise zugänglich machen. Er ist außerdem verpflichtet, in einem zumutbaren Rahmen bei der Migration zu einem anderen Cloud-Anbieter zu unterstützen.
8. Datenschutz
Die EVB-IT Cloud adressieren die drei Schutzziele der Informationssicherheit „Integrität“, „Vertraulichkeit“ und „Verfügbarkeit“. Die Vertragsbestimmungen unterstreichen zudem die Relevanz des Datenschutzes und fordern, dass der Cloud-Anbieter im Einklang mit der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) arbeitet. Dementsprechend hat der Cloud-Anbieter einen Datenschutzbeauftragten zu benennen und muss mit der Behörde eine Auftragsverarbeitungsvereinbarung (AVV) mit entsprechenden technisch-organisatorischen Maßnahmen (TOMs) schließen.
PwC unterstützt Cloud-Anbieter bei sämtlichen Fragestellungen und Aktivitäten, die mit den EVB-IT Cloud sowie dem BSI C5 oder DSGVO verbunden sind.
„Auf Cloud-Anbieter kommen mit den EVB-IT Cloud strengere Nachweispflichten zu. Eine BSI C5-Attestierung bildet die ideale Grundlage, um diesen nachzukommen.“
Follow us
Contact us
