Bundesamt für Sicherheit in der Informationstechnik

M 2.307 Geordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Fachverantwortliche

Die Empfehlungen dieser Maßnahme lassen sich in der Regel nur umsetzen, wenn bereits im Vertrag mit dem Outsourcing-Dienstleister beziehungsweise dem Cloud-Diensteanbieter alle relevanten Themen zum Vertragsende geregelt wurden.

Wird das Dienstleistungsverhältnis beendet, müssen die betroffenen Dienstleistungen, wie beispielsweise der IT -Betrieb, geordnet zurück in eigene Verantwortung oder auf einen anderen Dienstleister übergehen. Es müssen Vorkehrungen getroffen werden, dass durch das Vertragsende des Dienstleistungsvertrags die Geschäftstätigkeit der Institution nicht beeinträchtigt wird.

  • Der Übergang auf einen anderen Dienstleister ist ein neues Outsourcing- oder Cloud-Nutzungs-Vorhaben. Die Maßnahmen des Outsourcing- Bausteins beziehungsweise die des Bausteins Cloud-Nutzung sind entsprechend anzuwenden.
  • Beim Insourcing sind die relevanten Maßnahmen des Outsourcing-Bausteins analog anzuwenden. Entsprechendes gilt für den Baustein Cloud-Nutzung, sofern es sich um die Nutzung eines Cloud Services handelt. Für Strategie, Sicherheitskonzept für Insourcing, Migration und Notfallvorsorge gelten die gleichen Anforderungen wie bei einem "klassischen" Outsourcing- oder Cloud-Nutzungs-Verfahren.

Folgende Gesichtspunkte sind zu beachten:

  • Eigentumsrechte an Hard- und Software (Schnittstellenprogramme, Tools, Batchabläufe, Makros, Lizenzen, Backups) müssen geregelt werden.
  • Die Weiterverwendung der vom Dienstleister eingesetzten Tools, Prozeduren, Skripte, Batchprogramme ist für den Fall der Beendigung des Dienstleistungsverhältnisses zu regeln.
  • IT -Systeme, IT -Anwendungen und Arbeitsabläufe müssen ausreichend dokumentiert sein.
  • Alle notwendigen Daten müssen vom Dienstleister an den Auftraggeber übertragen beziehungsweise übergeben werden.
  • Alle Datenbestände beim Dienstleister müssen sicher gelöscht werden.
  • Interne oder externe Mitarbeiter, die Aufgaben des Dienstleisters übernehmen, müssen eingewiesen und geschult werden.
  • Es ist empfehlenswert, vertraglich eine Übergangsfrist zu vereinbaren, in der der ehemalige Dienstleister noch für Rückfragen und Hilfestellungen zur Verfügung steht.

Prüffragen:

  • Regelt der Vertrag mit dem Outsourcing-Dienstleister oder dem Cloud-Diensteanbieter auch alle Aspekte der Beendigung des Dienstleistungsverhältnisses?

  • Ist sichergestellt, dass eine Beendigung des Dienstleistungsverhältnisses mit dem Outsourcing-Dienstleister oder Cloud-Diensteanbieter die Geschäftstätigkeit des Auftraggebers nicht beeinträchtigt?

Stand: 14. EL Stand 2014