M 2.356 Vertragsgestaltung mit SAN-Dienstleistern
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement, Leiter IT
Nur wenige Institutionen werden die technische Betreuung der SAN-Komponenten in Normalbetrieb und in Notfallsituation selbst leisten können und wollen. Daher müssen diese dann auf geeignete Hersteller und Lieferanten zugreifen, im weiteren kurz als Dienstleister bezeichnet.
Die Aspekte, die im Folgenden beschrieben werden, sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen. Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen von den Verfügbarkeitsanforderungen des Auftraggebers und auch von der Komplexität des konkreten SANs ab.
Grundsätzlich sollte der Dienstleister auf die Einhaltung aller relevanten Gesetze und Vorgaben, vor allem aber des Datenschutzes nach dem Bundesdatenschutzgesetz (BDSG) und auf den Einsatz von organisatorischen und technischen Maßnahmen zur IT-Sicherheit verpflichtet werden. Diese sollten mindestens dem Niveau des IT-Grundschutzes entsprechen und gegebenenfalls auf weitere vom Auftraggeber vorgegebene Sicherheitsanforderungen verpflichtet werden.
Neben diesen allgemeinen Verpflichtungen empfiehlt es sich, alle vereinbarten Leistungen messbar und prüfbar im Vertrag schriftlich zu fixieren. So kann es z. B. angemessen sein, zu vereinbaren, dass ein qualifizierter Mitarbeiter des Dienstleisters bei bestimmten Problemfällen innerhalb von 4 Stunden vor Ort sein muss. Eine solche konkrete, an den Anforderungen der Institution festgemachte Aussage kann eventuell sinnvoller sein als ein Pauschalangebot ("Gold-Support"), das möglicherweise ungünstige Ausnahmen (Sonntags nur telefonische Unterstützung) von der geforderten Qualität beinhaltet.
Auch die Erstellung des Notfallvorsorgekonzeptes für das SAN sollte Vertragsbestandteil sein. Insbesondere ist zu klären, wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen.
Es ist dringend anzuraten, dass der Auftraggeber genügend Vorbereitung in die Zusammenstellung der eigenen Anforderungen investiert. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages, die aufgrund unterschiedlicher Interpretation von ungenau beschriebenen Leistungen notwendig werden, sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden.
Im Folgenden findet sich eine Themenliste, die bei der Herstellung oder Prüfung eines Vertragsentwurfes herangezogen werden kann:
Organisatorische Regelungen und Prozesse
- Festlegung von Kommunikationswegen und Ansprechpartnern
- Festschreibung von Zeiten (z. B. Tagbetrieb, Nachtbetrieb, was zählt als Wochenende, Feiertage)
- Festlegung von Prozessen, Arbeitsabläufen und Zuständigkeiten
- Verfahren bei Problemen und Krisen, Benennung von Ansprechpartnern mit den nötigen Befugnissen
- Zugriffsmöglichkeiten des Dienstleisters auf IT-Ressourcen des Auftraggebers
- Zutritts- und Zugriffsberechtigungen für Mitarbeiter des Dienstleisters zu den Räumlichkeiten und IT-Systemen des Auftraggeber
- Übergabe von Datenbeständen bei Beendigung des Vertragsverhältnisses, Datenlöschung bei Rücknahme von Speichermedien durch den Auftragnehmer
Personal
- Gegebenenfalls Gestaltung der Arbeitsplätze von externen Mitarbeitern
- Festlegung und Abstimmung von Vertretungsregelungen
- Planung von Fortbildungsmaßnahmen
Notfallvorsorge
- erforderliche Handlungen beim Eintreten eines Störfalls
- Reaktionszeiten und Eskalationsstufen
- Mitwirkungspflicht des Auftraggebers bei der Behebung von Notfällen
- Vereinbarung zur Bereitstellung von Ersatz- oder Ausweichsystemen
- Von besonderer Bedeutung können Regelungen im Fall höherer Gewalt sein. Es sollte beispielsweise geklärt sein, wie bei einem Streik des Personals des Dienstleisters die Verfügbarkeit dieses durch z. B. weiteres externes Personal sichergestellt werden kann.
Haftung, juristische Rahmenbedingungen
- Eine Verpflichtung der einzelnen Mitarbeiter des Auftragnehmers auf die Einhaltung von geltenden Normen und Gesetzen sowie besonderer vereinbarter Sicherheitsmaßnahmen ist vertraglich zu regeln. Gegebenenfalls sind besondere Geheimhaltungsvereinbarungen vertraglich zu fixieren.
- Die Einbindung Dritter, Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu regeln. In der Regel empfiehlt es sich nicht, diese grundsätzlich auszuschließen, sondern sinnvolle Regelungen festzulegen.
- Die Eigentums- und Urheberrechte an Systemen, Software und Schnittstellen sind festzulegen. Es ist zu klären, ob der Dienstleister bereits bestehende Verträge mit Dritten (Hardwareausstattung, Serviceverträge, Softwarelizenzen etc.) übernimmt.
- Die Weiterverwendung der vom Dienstleister eingesetzten Tools, Prozeduren, Skripte, Batchprogramme ist für den Fall der Beendigung des Dienstleistungsvertrags zu regeln.
- Regelungen für das Ende des Vertragsverhältnisses, z. B. für einen Wechsel oder bei Insolvenz des Dienstleisters, sollten spezifiziert werden.
- Auf ein ausreichend flexibles Kündigungsrecht ist zu achten.
- Der Auftragnehmer ist zu verpflichten, nach Beendigung des Auftrags alle vom Auftraggeber im Rahmen des Vertragsverhältnisses angeschaffte Hard- und Software inklusive gespeicherter Daten zurückzugebens sowie alle gespeicherten Informationen sicher zu löschen.
-
Haftungsfragen im Schadensfall sind zu klären. Sanktionen oder Schadensersatz bei Nichteinhaltung der Dienstleistungsqualität dürfen aus Sicht des Auftraggebers dabei nicht überschätzt werden.
- Zunächst ist stets zu fragen, wie ein Schaden nachgewiesen bzw. der Verursacher überführt werden kann
- Wie wird beispielsweise ein Imageschaden quantifiziert?
- Wie ist es zu bewerten, wenn gravierende Pflichtverletzungen aufgedeckt werden, die nur zufällig nicht zu einem größeren Schaden geführt haben?
- Das Recht auf Schadensersatzzahlungen ist wertlos, wenn diese die Zahlungsfähigkeit des Dienstleisters übersteigen und dieser Insolvenz anmeldet.
Änderungsmanagement und Testverfahren
- Es müssen Regelungen gefunden werden, die es ermöglichen, dass der Auftraggeber in der Lage ist, sich neuen Anforderungen anzupassen. Es ist festzulegen, wie geänderte Anforderungen des Auftraggebers behandelt werden.
-
Testverfahren für neue Soft- und Hardware sind zu vereinbaren. Dabei sind folgende Punkte einzubeziehen:
- Regelungen für Updates und Systemanpassungen
- Zuständigkeiten bei Auftraggeber und Dienstleister bei der Erstellung von Testkonzepten und bei der Durchführung von Tests
- Abnahme- und Freigabeprozeduren. Es ist immer wieder zu beobachten, dass der Auftragnehmer explizit oder implizit eine Freigabe von Änderungen für den produktiven Betrieb vornimmt, obwohl gegebenenfalls beachtlichen Risiken und Verantwortung bei Auftraggeber liegen.
Kontrolle des Auftragnehmers
- Die Dienstleistungsqualität muss regelmäßig kontrolliert werden. Der Auftraggeber muss die dazu notwendigen Auskunfts-, Einsichts- und Zugangsrechte besitzen. Wenn unabhängige Dritte Audits oder Benchmark-Tests durchführen sollen, muss dies bereits im Vertrag geregelt sein.
Ergänzende Kontrollfragen:
- Sind alle Vereinbarungen schriftlich fixiert?
- Enthält der Vertrag eindeutige und quantifizierbare Leistungsbeschreibungen?