Bundesinnenministerium veröffentlicht neue EVB-IT Cloud
(Endlich?) ab in die Cloud: Das Bundesministerium des Inneren (BMI) hat am 1. März 2022 neu entwickelte vertragliche Grundlagen für die Vergabe von Cloudleistungen durch die Öffentliche Hand veröffentlicht. Die ergänzenden Vertragsbedingungen für die Beschaffung von Cloudleistungen (EVB-IT Cloud) sollen die hohen Anforderungen des öffentlichen Sektors an die Qualität von Cloudleistungen, IT-Sicherheit und umfassende Kontrollmöglichkeiten vertraglich abbilden.
Damit können staatliche Institutionen bei der Beschaffung von Cloudleistungen nun erstmals auf standardisierte Rahmenbedingungen zurückgreifen und die typischen „as a Service“-Leistungen auf der Grundlage der EVB-IT beziehen.
Aufbau, Neuerungen und Wesentlicher Inhalt der EVB-IT Cloud
Die EVB-IT Cloud folgen zunächst noch dem gewohnten modularen Mechanismus der EVB-IT. Sie bestehen aus dem eigentlichen Cloud-Vertrag, den EVB-IT Cloud AGB, einem fachlichen Kriterienkatalog und einer Anlage zur Einbeziehung AGB von Anbietern.
Die neuen EVB-IT-Cloud setzten aber eben nicht lediglich die bereits bekannten Mechanismen der EVB-IT-Musterverträge fort, sondern beschreiten neue Wege. Wesentliche systematische Neuerung ist die Möglichkeit, die AGB der (privaten) Cloud-Anbieter auch selektiv vorrangig einzubeziehen (dazu noch unten). Damit gewinnt die Prüfung und Verhandlung entsprechender Vertragsunterlagen perspektivisch deutlich an Komplexität.
Die materiellrechtlich im Ergebnis maßgeblichen EVB-IT Cloud-Einkaufsbedingungen (AGB) enthalten erwartungsgemäß Regelungen zu den für Cloud-Leistungen typischen und für die Vertragsparteien entsprechend wesentlichen Regelungen, insbesondere zum Zugriff auf gespeicherte Inhalte (Ziffer 5), zu Datenschutz und IT-Sicherheit (Ziffer 6), zu Backups (Ziffer 7), zur Verfügbarbarkeit und Störungsbeseitigung (Ziffer 8 - 11) sowie Rechte des Auftraggebers bei Mängeln der Leistungen (Ziffer 18).
Datenschutz und IT-Sicherheit
Im Zusammenhang mit Cloud-Leistungen liegt naturgemäß ein starker Fokus auf den Themen Datenschutz und IT-Sicherheit (Ziffer 6.1 und 6.2). Interessant ist, dass der Auftragnehmer erklärt, über eine hinreichende Dokumentation zur Einhaltung der jeweiligen gesetzlichen Anforderungen zu verfügen. Die datenschutzrechtliche Rechenschaftspflicht wird also explizit vertraglich aufgegriffen.
Ziffer 6.5 der AGB sieht ein einseitiges Kündigungsrecht des Auftraggebers vor, sofern der Auftragnehmer seiner Pflichten in Bezug auf Datenschutz und IT-Sicherheit (Ziffern 6.1 bis 6.4) schuldhaft innerhalb einer gesetzten angemessenen Frist nicht nachkommt oder seine Pflichten vorsätzlich bzw. grob fahrlässig verletzt. Im Falle einer einmalig zu erbringenden Leistung tritt an die Stelle des Kündigungs- ein Rücktrittsrecht. Der in Ziffer 6.5 normierte Maßstab („kein Kündigungsrecht bei unwesentlicher Pflichtverletzung“) dürfte in Streitfällen zu erheblichen Diskussionen führen, da Compliance-Vorgaben zwingend sind und bei fortdauerndem Verstoß gegen datenschutzrechtliche Notwendigkeiten eine „unwesentliche Pflichtverletzung“ ggf. schwer zu begründen sein wird. Weitergehende gesetzliche und regulatorische Anforderungen im Bereich Datenschutz und IT-Sicherheit werden durch die EVB-IT Cloud AGB ausdrücklich nicht berührt.
Rechte des Auftraggebers bei Mängeln der Leistungen
Ist die Leistung des Auftragnehmers aufgrund eines Mangels oder einer Schlechtleitung gemindert, muss der Auftraggeber für die Zeit der verminderten Nutzbarkeit „nur eine angemessen herabgesetzte Vergütung für die Leistung“ (Ziffer 18 der AGB) zahlen. Die Angemessenheit wird dabei nicht näher definiert und es werden auch keine Berechnungsfaktoren genannt. Interessant ist hierbei, dass eine Minderung der Vergütung auf Grund eingeschränkter Leistungen nach dem Wortlaut der EVB-IT-AGB (wohl) nicht gegeben sein soll, soweit „Nichterfüllungsgutschriften“ vereinbart sind. Damit käme den oft als „Service Level Credits“ bezeichneten Gutschriften bei Leistungsdefiziten eine noch stärkere Bedeutung zu. Bemerkenswerterweise sind gerade diese „Service Level Credits“ Teil der standardisierten Unternehmensprozesse, oftmals ohne große Verhandlungsbereitschaft. Die sonstigen gesetzlichen Ansprüche des Auftraggebers wegen Mängeln oder Schlechtleistung (insbesondere Schadensersatz) bleiben (allerdings) unberührt.
Fachlicher Kriterienkatalog und AGB des Auftragnehmers
Der sog. fachliche Kriterienkatalog bietet die Möglichkeit, Vorgaben für die konkreten Cloudleistungen detailliert nach einem standardisierten Ansatz auszudifferenzieren.
Insgesamt haben die Vertragsparteien die Möglichkeit, von den Standardvertragsklauseln der EVB-IT Cloud AGB abzuweichen und insbesondere Auftragnehmer-AGB (sowie ggf. die AGB von Subunternehmen) in Teilen auch vorrangig einzubeziehen. Kommt die Einbeziehung der AGB des Auftragnehmers in gewissen Bereichen in Frage, muss der Auftraggeber diese schon vor der Vergabe konkret benennen, um die Vergleichbarkeit der Angebote zu wahren.
Die AGB des Auftragnehmers fanden in den früheren EVB-IT keine solche dedizierte Berücksichtigung und waren im Grundsatz ausgeschlossen. Diese anpassungsfähige Vertragsgestaltung soll das Spezifikum von Cloud-Leistungen abbilden. Diese sind in aller Regel hochstandardisierte skalierbare Leistungen mit ggf. starken Abhängigkeiten von Subunternehmern (etwa bei Rückgriff der Auftragnehmer auf Hosting-Leistungen Dritter).
Die Option, Auftragnehmer-AGB auch in Teilen vorrangig einzubeziehen ist mit Blick auf die Natur von Cloud-Leistungen also sicherlich hilfreich. Aus der so gewählten Systematik ergibt sich aber wohl die Notwendigkeit noch stärkerer fachlicher wie rechtlicher Begleitung der einzelnen Vertragsabschlüsse auf Seiten der öffentlichen Hand wie auch der Auftragnehmer. Die EVB-IT-Cloud sind somit in der Praxis sicherlich stärker Rahmenwerk als abschlussfertigte Vorlage.
Akzeptanz in der IT-Wirtschaft
Die IT-Wirtschaft war in die Entwicklung der neuen EVB-IT Cloud umfassend eingebunden: Der Veröffentlichung waren intensive Verhandlungen mit dem Bundesverband Bitkom als Vertreter der deutschen IT-Wirtschaft vorangegangen. Bitkom kündigte im Namen der IT-Wirtschaft an, die neuen Regelungen im Rahmen der öffentlichen Beschaffung von Cloudleistungen grundsätzlich akzeptieren zu wollen. Alle EVB-IT werden in ständiger Übung mit der IT-Wirtschaft abgestimmt, um Einvernehmen und eine breite Akzeptanz bei (potenziellen) Vertragspartnern zu erreichen.
Fazit
Mit den neuen EVB-IT Cloud ist der öffentlichen Hand zunächst ein großer Schritt hin zu einer vertraglich sicheren und gleichzeitig vereinfachten Beschaffung von Cloudleistungen gelungen. Fest steht: Die neuen EVB-IT Cloud erhöhen die Flexibilität der öffentlichen Hand, Ausschreibungen bedarfsgerecht und zugleich standardisiert auszugestalten. So können staatliche Institutionen Cloudleistungen in verschieden Konstellationen einsetzen. Dies fördert außerdem die in im öffentlichen Sektor stetig voranschreitende Digitalisierung, die ohne eine effektive und effiziente Einbindung und Nutzung von Cloudleistungen wohl nicht möglich sein dürfte.
Dabei gilt es zu beachten, dass standardisierte Vertragsbedingungen selbstverständlich nicht jedem Bedürfnis einer Vertragspartei im Einzelfall von Verträgen über komplexe IT-Produkte nachkommen können. Zusätzliche Komplexität bringt dabei der Mechanismus der Einbeziehung von Auftragnehmer-AGB.
Es bleibt also einerseits notwendig, im Einzelfall sorgfältig zu prüfen, welche Bedingungen zu der konkreten Vertragsgestaltung passen oder ob im Einzelfall ein Individualvertrag notwendig ist. Andererseits sind auch bei Verwendung der EVB-IT Cloud Auftragnehmer-AGB, die Notwendigkeiten standardisierter Leistungen und Interessen der öffentlichen Hand jeweils im Einzelfall in Einklang zu bringen.
Nach 18 Monaten sollen die EVB-IT Cloud einer Prüfung unterzogen und ggf. weiter angepasst werden.