Bundesamt für Sicherheit in der Informationstechnik

G 2.85 Unzureichende Regelungen für das Ende eines Outsourcing- oder eines Cloud-Nutzungs-Vorhabens

Nutzt eine Institution die Services eines Outsourcing- oder Cloud-Diensteanbieters, so kommt es in der Regel zu Know-how-Verlust beim Auftraggeber und zu einer Abhängigkeit des Auftraggebers vom Dienstleister. Daher können unzureichende Regelungen für eine mögliche Kündigung des Vertragsverhältnisses gravierende Folgen für den Auftraggeber haben. Dies ist erfahrungsgemäß immer dann besonders problematisch, wenn ein aus Sicht des Auftraggebers kritischer Fall unerwartet eintritt, wie beispielsweise Insolvenz oder Verkauf des Outsourcing- oder Cloud-Dienstleisters.

Beispiele:

  • Ein Konkurrent des Auftraggebers kauft den Outsourcing- oder Cloud-Dienstleister.
  • Eine nationale Sicherheitsbehörde hat Prozesse zu einem Rechenzentrum ausgelagert, das später von einem ausländischen Unternehmen gekauft wird.
  • Es gibt juristische Auseinandersetzungen zwischen Auftraggeber und Diensteanbieter wegen schlechter Dienstleistungsqualität oder gravierender Sicherheitsmängel, in deren Folge ein Vertragspartner den Vertrag kündigen möchte.

Ohne ausreichende interne Vorsorge sowie genaue Vertragsregelungen besteht immer die Gefahr, dass sich der Auftraggeber nur schwer aus dem abgeschlossenen Vertrag mit dem Outsourcing- oder Cloud-Dienstleister lösen kann. In diesem Fall ist es schwierig bis unmöglich, den ausgelagerten Bereich beispielsweise auf einen anderen Dienstleister zu übertragen oder ihn wieder in das eigene Unternehmen einzugliedern, falls dies notwendig erscheint.

Im Folgenden sind beispielhaft weitere Probleme aufgelistet, die in dieser Situation auftreten können:

  • Durch unflexible Regelungen zum Kündigungsrecht kann der Vertrag nicht im Sinne des Auftraggebers bedarfsgerecht beendet werden.
  • Zu kurze Kündigungszeiten führen bei Kündigung durch den Dienstleister dazu, dass keine Zeit für einen geordneten Übergang bleibt.
  • Unzureichende Regelungen über das Eigentumsrecht an eingesetzter Hard- und Software (Schnittstellenprogramme, Tools, Batchabläufe, Makros, Lizenzen, Backups) können einen geregelten Übergang, beispielsweise auf einen neuen Outsourcing-Dienstleister, verhindern.
  • Unzureichende Regelungen über das Überlassen von Dokumentationen können dazu führen, dass die IT -Systeme nicht geregelt weiterbetrieben werden.
  • Unzureichende Regelungen für das Löschen von Daten, auch von Datensicherungen, beim Outsourcing- oder Cloud-Dienstleister können dazu führen, dass vertrauliche Daten Dritten bekannt werden.
  • Der Auftraggeber kann seine Aufgaben unter Umständen nicht mehr erfüllen, da die Verfügbarkeit nicht mehr gewährleistet ist.
  • In der Endphase des Auflösungsprozesses sind eventuell Daten und Systeme nicht mehr ausreichend geschützt, da diese als "Alt-Systeme" angesehen werden.
  • Fehlende Regelungen (zum Beispiel auch Datenformate) zur Herausgabe der gespeicherten Informationen (Nutzdaten) durch den Diensteanbieter führen zu Verzögerungen beim Wechsel auf einen anderen Anbieter oder beim Eingliedern der Dienstleistung in die Institution.
  • Die Interoperabilität von Cloud Services ist bei einem Wechsel des Diensteanbieters oder beim Eingliedern in die Institution nicht gewährleistet, da keine entsprechenden Regelungen getroffen wurden.
  • Der Wechsel von einem Outsourcing- oder Cloud-Diensteanbieter zu einem anderen Dienstleister bedingt unter Umständen Support-Leistungen durch den bestehenden Auftragnehmer. Wird die Verpflichtung zu deren Erbringung nicht vertraglich geregelt, kann der Diensteanbieter den Support verwehren oder dafür zusätzliche Kosten in Rechnung stellen.

Stand: 14. EL Stand 2014