Bundesamt für Sicherheit in der Informationstechnik

M 2.307 Geordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Fachverantwortliche

Die Empfehlungen dieser Maßnahme lassen sich in der Regel nur umsetzen, wenn bereits im Vertrag mit dem Outsourcing-Dienstleister beziehungsweise dem Cloud-Diensteanbieter alle relevanten Themen zum Vertragsende geregelt wurden.

Wird das Dienstleistungsverhältnis beendet, müssen die betroffenen Dienstleistungen, wie beispielsweise der IT -Betrieb, geordnet zurück in eigene Verantwortung oder auf einen anderen Dienstleister übergehen. Es müssen Vorkehrungen getroffen werden, dass durch das Vertragsende des Dienstleistungsvertrags die Geschäftstätigkeit der Institution nicht beeinträchtigt wird.

  • Der Übergang auf einen anderen Dienstleister ist ein neues Outsourcing- oder Cloud-Nutzungs-Vorhaben. Die Maßnahmen des Outsourcing- Bausteins beziehungsweise die des Bausteins Cloud-Nutzung sind entsprechend anzuwenden.
  • Beim Insourcing sind die relevanten Maßnahmen des Outsourcing-Bausteins analog anzuwenden. Entsprechendes gilt für den Baustein Cloud-Nutzung, sofern es sich um die Nutzung eines Cloud Services handelt. Für Strategie, Sicherheitskonzept für Insourcing, Migration und Notfallvorsorge gelten die gleichen Anforderungen wie bei einem "klassischen" Outsourcing- oder Cloud-Nutzungs-Verfahren.

Folgende Gesichtspunkte sind zu beachten:

  • Eigentumsrechte an Hard- und Software (Schnittstellenprogramme, Tools, Batchabläufe, Makros, Lizenzen, Backups) müssen geregelt werden.
  • Die Weiterverwendung der vom Dienstleister eingesetzten Tools, Prozeduren, Skripte, Batchprogramme ist für den Fall der Beendigung des Dienstleistungsverhältnisses zu regeln.
  • IT -Systeme, IT -Anwendungen und Arbeitsabläufe müssen ausreichend dokumentiert sein.
  • Alle notwendigen Daten müssen vom Dienstleister an den Auftraggeber übertragen beziehungsweise übergeben werden.
  • Alle Datenbestände beim Dienstleister müssen sicher gelöscht werden.
  • Interne oder externe Mitarbeiter, die Aufgaben des Dienstleisters übernehmen, müssen eingewiesen und geschult werden.
  • Es ist empfehlenswert, vertraglich eine Übergangsfrist zu vereinbaren, in der der ehemalige Dienstleister noch für Rückfragen und Hilfestellungen zur Verfügung steht.

Prüffragen:

  • Regelt der Vertrag mit dem Outsourcing-Dienstleister oder dem Cloud-Diensteanbieter auch alle Aspekte der Beendigung des Dienstleistungsverhältnisses?

  • Ist sichergestellt, dass eine Beendigung des Dienstleistungsverhältnisses mit dem Outsourcing-Dienstleister oder Cloud-Diensteanbieter die Geschäftstätigkeit des Auftraggebers nicht beeinträchtigt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK