News | Newsletter | Neues zum Vergaberecht 01/2023
Die Vergabe von Cloud-Leistungen (EVB-IT Cloud)
Das neue Mitglied der „EVB-IT-Familie“ - die EVB-IT-Cloud - wurde im März 2022 veröffentlicht und gilt als Meilenstein für die Beschaffung neuartiger Informationstechnik. Im Folgenden sollen zum einjährigen Bestehen die Besonderheiten, die Vorteile und Praxisschwierigkeiten dargestellt werden.
Die EVB-IT Cloud besteht im Kern aus vier Unterlagen (EVB-IT Cloud-AGB, EVB-IT Cloudvertrag, Anlage zur Einbeziehung von auftragnehmerseitigen AGB und Kriterienkatalog für Cloudleistungen), wobei sich die beiden erstgenannten unmittelbar in das Grundsystem der EVB-IT einreihen. Hat man das bewährte EVB-IT System im Hinterkopf, so wirken die beiden neuen Anlagen hingegen eher systemfremd. Bei näherer Betrachtung zeigt sich jedoch, dass die neuen Bestandteile wichtige Puzzlestücke für Vereinfachung und Flexibilität der Cloudbeschaffung darstellen können. Vor Veröffentlichung der EVB-IT Cloud mussten sich die Beschaffungsstellen unter Umständen noch mit nicht unerheblichen Modifikationen in den älterer EVB-IT behelfen. Insgesamt besticht die Zusammenstellung durch einen relativ geringen Umfang und Übersichtlichkeit.
Der neue Kriterienkatalog ermöglicht es – ähnlich wie beim Vertragsentwurf – einzelne Kriterien durch Checkboxen, Verweise und unmittelbarer Befüllung spezifisch zu definieren. Im Ergebnis soll damit der technischen Komplexität der Beschreibung von cloudbasierten Leistungen begegnet werden. Die Legende auf der rechten Seite weißt die einzelnen Abschnitte den Cloudvarianten zu (S = Software as a Service, P = Platform as a Service, I = Infrastructure as a Service, M = Managed Cloud Services).
Die neue Anlage zur Einbeziehung (vorrangiger und nachrangiger) auftragnehmerseitiger AGB kann durchaus als erhebliche Neuerung im EVB-IT-System betrachtet werden. Ziel dieser Anlage ist eine vergaberechtskonforme Öffnung für Bieter-AGB. Diese Kompromisslösung soll dem hohen Standardisierungsgrad von Cloud-Leistungen Rechnung tragen und hat den Hintergrund, dass der Cloudmarkt von sog. „Hyperscalern“ dominierte wird. Praktisch funktioniert die Einbeziehung vorrangiger AGB über eine „Aktivierung“ im „Anhang zum Kriterienkatalog“. Durch diese Aktivierung wird die jeweilige Ziffer, die wiederum in die Anlage Kriterienkatalog verweist, sodann zur Disposition gestellt. Wählt man die Aktivierung, sollte eine Bepunktung der vorrangigen Auftragnehmer AGB (z.B. in Form von Bewertungskriterien in einer Leistungsbewertungsmatrix) in Betracht gezogen werden, damit eine Vergleichbarkeit der Angebote sichergestellt wird. Die Einbeziehung nachrangiger Bieter-AGB erfolgt durch den „Anhang zum EVB-IT Cloudvertrag“.
Datenschutz und die IT-Sicherheit haben ebenfalls Beachtung gefunden. So ist gemäß Ziffer 6.1.3 der AGB ggf. ein Auftragsverarbeitungsvertrag mit zu beachtenden TOMS zu schließen. Ziffer 6.2.1 der AGB fordert vom Auftragnehmer ein zertifiziertes Sicherheitskonzept und ein Informationssicherheitsmanagementsystem (ISO 27001, 27017, ggf. 27018). Nach Ziffer 18 des Kriterienkatalogs besteht die Möglichkeit - abweichend von Ziffer 1.2 der AGB - nicht nur die Einhaltung der C5 Basiskriterien (Cloud Computing Compliance Criteria Catalogue), sondern auch die C5 Zusatzkriterien zu fordern. Hierbei ist sowohl bei Vorgabe der Basis- als auch der Zusatzkriterien eine vorherige Markterkundung zu empfehlen, um sicherzustellen, dass der geforderte IT-Sicherheitsstandart vom Markt angeboten wird. Auch die Haftungshöchstgrenzen bei leicht fahrlässiger Pflichtverletzung in Ziffer 19 der EVB-IT Cloud AGB sollten stets einer Angemessenheitsprüfung im Einzelfall unterzogen werden.
Praxistipp: Beachtenswert ist, dass die erste Version der EVB-IT Cloud einem Evaluationsprozess durchlaufen soll. Anwender können hierfür auf der Seite www.DGI5@bmi.bund.de Erfahrungen und Anregungen mitteilen. Ab Anfang September 2023 soll die EVB-IT Cloud sodann einer neuen Überprüfung und ggf. Anpassung unterzogen werden.