Bundesamt für Sicherheit in der Informationstechnik

M 2.356 Vertragsgestaltung mit Dienstleistern für Speicherlösungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Nur wenige Institutionen werden die technische Betreuung der Speicherlösung im Normalbetrieb und in Notfallsituationen selbst vollumfänglich leisten können und wollen. In diesem Fall müssen sie auf geeignete Hersteller und Lieferanten zugreifen, im Weiteren kurz als Dienstleister bezeichnet.

Die Aspekte, die im Folgenden beschrieben werden, sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen. Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen von den Verfügbarkeitsanforderungen des Auftraggebers und auch von der Komplexität der konkreten Speicherlösung ab.

Grundsätzlich sollte der Dienstleister auf die Einhaltung aller relevanten Gesetze und Vorgaben, vor allem aber des Datenschutzes nach dem Bundesdatenschutzgesetz (BDSG) und auf den Einsatz von organisatorischen und technischen Maßnahmen zur Informationssicherheit verpflichtet werden. Diese sollten mindestens dem Niveau des IT-Grundschutzes entsprechen und gegebenenfalls um weitere, vom Auftraggeber vorgegebene, Sicherheitsanforderungen ergänzt werden.

Neben diesen allgemeinen Verpflichtungen empfiehlt es sich, alle vereinbarten Leistungen messbar und prüfbar im Vertrag schriftlich zu fixieren. So kann es z. B. angemessen sein zu vereinbaren, dass ein qualifizierter Mitarbeiter des Dienstleisters bei bestimmten Problemfällen innerhalb von vier Stunden vor Ort sein muss. Eine solche konkrete, an den Anforderungen der Institution festgemachte Aussage kann eventuell sinnvoller sein als ein Pauschalangebot ("Gold-Support"), das möglicherweise ungünstige Ausnahmen (beispielsweise "Sonntags nur telefonische Unterstützung") von der geforderten Qualität beinhaltet.

Auch die Erstellung des Notfallvorsorgekonzeptes für die Speicherlösung sollte Vertragsbestandteil sein. Insbesondere ist zu klären, wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen.

Es ist dringend anzuraten, dass der Auftraggeber genügend Vorbereitung in die Zusammenstellung der eigenen Anforderungen investiert. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages, die aufgrund unterschiedlicher Interpretation von ungenau beschriebenen Leistungen notwendig werden, sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden.

Insbesondere wenn es sich bei dem Dienstleistungsverhältnis um Outsourcing handelt, ist der Baustein B 1.11 Outsourcing zusätzlich anzuwenden, bei Cloud-Speicherlösungen der Baustein B 1.17 Cloud-Nutzung und insbesondere die Maßnahme M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter . Die folgende Themenliste sollte in diesen Fällen der Konkretisierung der grundlegenden Anforderungen an die Vertragsgestaltung aus diesen Bausteinen in Bezug auf Speicherlösungen dienen.

Organisatorische Regelungen und Prozesse

  • Festlegung von Kommunikationswegen und Ansprechpartnern
  • Festschreibung von Zeiten ( z. B. Tagbetrieb, Nachtbetrieb, was zählt als Wochenende, Feiertage)
  • Festlegung von Prozessen, Arbeitsabläufen und Zuständigkeiten
  • Verfahren bei Störungen, Notfällen, Krisen und sonstigen Sicherheitsvorfällen, Benennung von Ansprechpartnern mit den nötigen Befugnissen
  • Zugriffsmöglichkeiten des Dienstleisters auf IT-Ressourcen des Auftraggebers
  • Datenübertragung von Wartungs- bzw. Statusinformationen zum Dienstleister oder Hersteller
  • Zutritts- und Zugangsberechtigungen für Mitarbeiter des Dienstleisters zu den Räumlichkeiten und IT-Systemen des Auftraggebers
  • Übergabe von Datenbeständen bei Beendigung des Vertragsverhältnisses, Datenlöschung bei Rücknahme von Speichermedien durch den Auftragnehmer

Personal

  • Gegebenenfalls Gestaltung der Arbeitsplätze von externen Mitarbeitern
  • Festlegung und Abstimmung von Vertretungsregelungen
  • Planung von Fortbildungsmaßnahmen

Notfallvorsorge

  • Erforderliche Handlungen beim Eintreten eines Ereignisses mit dem Potenzial zum Sicherheitsvorfall, zum Notfall oder zur Krise
  • Reaktionszeiten und Eskalationsstufen für solche Ereignisse
  • Mitwirkungspflicht des Auftraggebers bei der Behebung von Notfällen
  • Vereinbarung zur Bereitstellung von Ersatz- oder Ausweichsystemen
  • Von besonderer Bedeutung können Regelungen im Fall höherer Gewalt sein. Es sollte beispielsweise geklärt sein, wie bei einem Streik des Personals des Dienstleisters die Verfügbarkeit dieses durch z. B. weiteres externes Personal sichergestellt werden kann.

Haftung, juristische Rahmenbedingungen

  • Eine Verpflichtung der einzelnen Mitarbeiter des Auftragnehmers auf die Einhaltung von geltenden Normen und Gesetzen sowie besonderer vereinbarter Sicherheitsmaßnahmen ist vertraglich zu regeln. Gegebenenfalls sind besondere Geheimhaltungsvereinbarungen vertraglich zu fixieren.
  • Die Einbindung Dritter, Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu regeln. In der Regel empfiehlt es sich nicht, diese grundsätzlich auszuschließen, sondern sinnvoll zu regeln.
  • Die Eigentums- und Urheberrechte an Systemen, Software und Schnittstellen sind festzulegen. Es ist zu klären, ob der Dienstleister bereits bestehende Verträge mit Dritten (Hardwareausstattung, Serviceverträge, Softwarelizenzen etc. ) übernimmt.
  • Die Weiterverwendung der vom Dienstleister eingesetzten Tools, Prozeduren, Skripte, Batchprogramme ist für den Fall der Beendigung des Dienstleistungsvertrags zu regeln.
  • Regelungen für das Ende des Vertragsverhältnisses, z. B. für einen Wechsel oder bei Insolvenz des Dienstleisters, sollten spezifiziert werden.
  • Auf ein ausreichend flexibles Kündigungsrecht ist zu achten.
  • Der Auftragnehmer ist zu verpflichten, nach Beendigung des Auftrags alle vom Auftraggeber im Rahmen des Vertragsverhältnisses angeschaffte Hard- und Software inklusive gespeicherter Daten zurückzugeben sowie alle gespeicherten Informationen sicher zu löschen.
  • Haftungsfragen im Schadensfall sind zu klären. Sanktionen oder Schadensersatz bei Nichteinhaltung der Dienstleistungsqualität dürfen aus Sicht des Auftraggebers dabei nicht überschätzt werden.
  • Zunächst ist stets zu fragen, wie ein Schaden nachgewiesen bzw. der Verursacher überführt werden kann.
  • Wie wird beispielsweise ein Reputationsschaden quantifiziert?
  • Wie ist es zu bewerten, wenn gravierende Pflichtverletzungen aufgedeckt werden, die nur zufällig nicht zu einem größeren Schaden geführt haben?
  • Das Recht auf Schadensersatzzahlungen ist wertlos, wenn diese die Zahlungsfähigkeit des Dienstleisters übersteigen und dieser Insolvenz anmeldet.
  • Auf der anderen Seite sollten aber "Sanktionen" in Form von kostenloser Bereitstellung des Dienstes oder Dienstleistung oder eine kostenlose höhere Dienstgüte kritisch bewertet werden. Wenn ein Schaden geschäftskritisch oder sogar ruinös ist, dann bieten diese kostenlosen Dienste keinen Mehrwert.

Änderungsmanagement und Testverfahren

  • Es müssen Regelungen gefunden werden, die es ermöglichen, dass der Auftraggeber in der Lage ist, sich neuen Anforderungen anzupassen. Es ist festzulegen, wie geänderte Anforderungen des Auftraggebers behandelt werden.
  • Testverfahren für neue Soft- und Hardware sind zu vereinbaren. Dabei sind folgende Punkte einzubeziehen:
    • Regelungen für Updates und Systemanpassungen
    • Zuständigkeiten bei Auftraggeber und Dienstleister bei der Erstellung von Testkonzepten und bei der Durchführung von Tests
    • Abnahme- und Freigabeprozeduren. Es ist immer wieder zu beobachten, dass der Auftragnehmer explizit oder implizit eine Freigabe von Änderungen für den produktiven Betrieb vornimmt, obwohl gegebenenfalls beachtliche Risiken und Verantwortung beim Auftraggeber liegen.

Kontrolle des Auftragnehmers

  • Die Dienstleistungsqualität muss regelmäßig ( z. B. monatlich) kontrolliert werden. Der Auftraggeber muss die dazu notwendigen Auskunfts-, Einsichts- und Zugangsrechte besitzen. Wenn unabhängige Dritte Audits oder Benchmark-Tests durchführen sollen, muss dies bereits im Vertrag geregelt sein.

Prüffragen:

  • Wurde der Dienstleister auf die Einhaltung aller relevanten Gesetze und Vorgaben und auf den Einsatz von organisatorischen und technischen Maßnahmen zur Informationssicherheit verpflichtet?

  • Sind alle vereinbarten Leistungen im Vertrag messbar und prüfbar schriftlich fixiert?

  • Wird die Dienstleistungsqualität regelmäßig kontrolliert?

  • Sind die Schnittstellen zwischen Anwender und Dienstleister klar definiert und deckt dies auch Sonderfälle wie z. B. Sicherheitsvorfälle oder Notfälle ab?

Stand: 14. EL Stand 2014