Die rasante Technologieentwicklung des Cloud Computing erfordert neue Regularien und stellt ebenfalls neue Anforderungen an die Vertragsgestaltung dar (Duisberg, 2011, S. 49). Das Verhandeln und Vereinbaren von Providerverträgen mit externen Service-Providern und dessen Verwaltung über ihren gesamten Lebenszyklus gilt als einer der Hauptaufgaben des IT-Providermanagements (Buffo de Jong, 2017; Cabinet Office, 2011, S. 207–209).
Beim Beziehen von Cloud-Services und Umgang mit externen Service-Providern wird dringend empfohlen, einen formellen Vertrag mit klar definierten, vereinbarten und dokumentierten Verantwortlichkeiten und Zielen zu schließen (BITKOM, 2009, S. 74; Cabinet Office, 2011, S. 212). Dieser Providervertrag ist das formelle Regelwerk, in dem die vom Service-Provider bereitzustellenden Leistungen sowie die Grundsätze der Zusammenarbeit zwischen dem Service-Provider und dem Kunden schriftlich festgehalten sind (Schneegans & Bujotzek, 2018, S. 33). Der Providervertrag ist über die Phasen seines Lebenszyklus hinweg zu verwalten, von der Identifizierung des Geschäftsbedarfs bis hin zum Betrieb der IT-Services und der Beendigung des Vertrags (Cabinet Office, 2011, S. 212). Auf diese Weise können durch inhaltliche Grauzonen entstehende Konflikte vermieden werden (Schneegans & Bujotzek, 2018, S. 33). Dies geschieht im Einklang mit der festgelegten IT-Outsourcing-Strategie (Kapitel 3.4.1) und den Providerrichtlinien (Cabinet Office, 2011, S. 212).
Die Art und der Umfang einer Vereinbarung zwischen einem Provider und einem Kunden hängen von der Art der Beziehung und einer Bewertung der damit verbundenen Risiken ab (Cabinet Office, 2011, S. 210). Eine Risikobewertung vor der Vereinbarung ist ein wichtiger Schritt bei der Erstellung einer externen Providervereinbarung (Cabinet Office, 2011, S. 210). Da eine Anpassung an die Bedürfnisse des Kunden und die Anbindung an die beim Kunden bestehende IT-Infrastruktur nicht Gegenstand des Vertrags sind, findet bei der Nutzung von Cloud-Services eine Risikoverlagerung auf den Kunden statt (BITKOM, 2009, S. 49). Das IT-Providermanagement hat sicherzustellen, dass innerhalb der Vertragsgestaltung alle Risiken adressiert sind, der Vertrag eine Vielzahl von Risiken abdeckt, einschließlich finanzieller, geschäftlicher, operativer und rechtlicher Risiken sowie umfassend und verständlich ist (Cabinet Office, 2011, S. 210). Auch das in Kapitel 3.2.4.3 genannte Risiko der Nichterbringung von Cloud-Services durch den Service-Provider aufgrund dessen Insolvenz gilt es über die Vertragsgestaltung zu regeln (Baun, 2011, S. 87). Eine umfassende Vertragsgestaltung mit dem Service-Provider hat das Potenzial Risiken zu minimieren (Cabinet Office, 2011, S. 210). So kann beispielsweise das Risiko von Streitigkeiten, die sich aus unterschiedlichen Erwartungen ergeben, minimiert werden (Cabinet Office, 2011, S. 210).
Der Providervertrag ist für das IT-Providermanagement die Basis für eine effektive Überwachung und Steuerung der Service-Provider (Schneegans & Bujotzek, 2018, S. 35). Im Mittelpunkt der Vertragsgestaltung durch das IT-Providermanagement steht eine klare Leistungsabgrenzung und Definition von Übergabepunkten zwischen den Service- Providern (Duisberg, 2011, S. 54). Das IT-Providermanagement hat sicherzustellen, dass an keiner Stelle des Vertrags ein Vertragspartner den Eindruck erhält, zugunsten anderer benachteiligt zu werden (Schneegans & Bujotzek, 2018, S. 35). Außerdem durch das IT-Providermanagement gilt es, eine ausreichende Zusammenarbeit zu fördern, die in der Regel im Rahmenvertag und ergänzend in sonstigen auf den Rahmenvertrag aufbauenden Verträgen, geregelt ist (BITKOM, 2009, S. 50; Schneegans & Bujotzek, 2018, S. 36). Ein wesentlicher Aspekt diesbezüglich ist, dass klare Rollen und Gremien definiert sind und diese entsprechend zugeteilt werden (Schneegans & Bujotzek, 2018, S. 36). Auch eine Kommunikations- und Abstimmungsgestaltung sowie die Handhabung von service-übergreifenden Prozessen, wie Changes und Eskalationen, sind eindeutig im Vertrag zu planen (Schneegans & Bujotzek, 2018, S. 36). Unerlässlich für eine reibungslose Zusammenarbeit zwischen dem Service-Provider und dem IT-Providermanagement ist eine detaillierte Leistungsbeschreibung der vom Service-Provider zu erbringenden Cloud-Services in den Leistungsscheinen und im Transitionsvertrag (Schneegans & Bujotzek, 2018, S. 36).
Des Weiteren muss das IT-Providermanagement im Zuge der Vertragsgestaltung mit Cloud-Services eine Vielzahl von Rechtsfragen beachten (Duisberg, 2011, S. 54). Beim Beziehen von Cloud-Services über eine Sourcing-Plattform, wie sie in Kapitel 2.2.4 beschrieben ist, ergibt sich die Frage nach der Haftbarkeit des Plattformbetreibers, der dem Kunden die Cloud oder die einzelnen IT-Services der verschiedenen Provider zur Verfügung stellt, für fehlerhafte Informationen über einzelne Angebote oder den Ausfall einzelner Cloud-Services, beispielsweise aufgrund von Leistungsunterbrechungen beim Plattformzugriff (Duisberg, 2011, S. 54). So spielt unter anderem die Form des Cloud Computing, ob IT-Services aus einer „public Cloud“ oder „private Cloud“ bezogen werden, aufgrund unterschiedlicher rechtlicher Anforderungen eine Rolle bei der Vertragsgestaltung (BITKOM, 2009, S. 48; Duisberg, 2011, S. 50). Im Rahmen der Auftragsverarbeitung muss das IT-Providermanagement die Datenschutz-Grundverordnung (DSGVO) beachten, welche davon ausgeht, dass der Kunde für die mittels Cloud-Service verarbeiteten personenbezogenen Daten in vollem Umfang verantwortlich bleibt (J. M. Hofmann & Roßnagel, 2018, S. 37). Laut Art. 24 Abs. 1 DSGVO ist der Kunde von Cloud- Service-Providern für die Umsetzung von technisch und organisatorisch geeignete Maßnahmen zuständig, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung von personenbezogenen Daten in Übereinstimmung mit dieser Verordnung erfolgt. Die Datenschutzgrundverordnung schützt laut Art. 1 Abs. 2 DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen und vor allem ihr Recht auf den Schutz personenbezogener Daten. Auch muss nach Art. 28 Abs. 1 DSGVO das ITProvidermanagement beim Beziehen von Cloud-Services prüfen, ob der Service-Provider nachweisen kann, dass er hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen die Erfüllung der Datenschutzgrundverordnung sicherstellen (J. M. Hofmann & Roßnagel, 2018, S. 38).
Zusammenfassend hat sich das IT-Providermanagement, im Zuge der Vertragsgestaltung beim Outsourcing von IT-Services in die Cloud, folgenden Aufgaben zu widmen (Cabinet Office, 2011, S. 212): • Erstellung einer Übersicht aller Anforderungen, einschließlich Kosten, Ziele, Nutzen und Zeitrahmen des Geschäftsbereichs und Berücksichtigung dieser in dem Providervertrag sowie die Bewertung damit verbundener Risiken.
• Evaluation der potenziellen Vertragsvereinbarung mit neuen Service-Providern, indem die Methode des Outsourcings (beispielsweise „public-“ oder „private Cloud“) identifiziert wird, Bewertungskriterien, unter anderem für die Cloud-Services und Qualität, festgelegt werden und alternative Outsourcing-Optionen bewertet werden.
• Aushandeln von Providerverträgen mitsamt dessen Zielen und Bedingungen und einschließlich den Verantwortlichkeiten.
• Abschließende Zustimmung und Vergabe des Providervertrags.
• Rückblickende Auswertung und Ermittlung der durch den Provider erbrachten Services und dessen Abgleich mit Geschäftsanforderungen, Zielen und Vereinbarungen. Demzufolge eine Neuverhandlung oder Auflösung des bestehenden Providervertrags. Bei letzterem folgt eine Sicherstellung des Übergangs, möglicherweise zu neuen externen Providern oder sogar zu der internen IT-Abteilung.
Ein einheitlicher Vertragsrahmen, der für alle Service-Provider gilt, mit den gleichen Regelungen für alle Aspekte, die sich nicht auf die Leistungserbringung beziehen, stellt sich als erheblicher Vorteil heraus (Schneegans & Bujotzek, 2018, S. 36). Solche Reglungen könnten beispielsweise die Zusammenarbeit, übergreifende Prozesse oder die grundsätzliche Handhabung des Reportings betreffen (Schneegans & Bujotzek, 2018, S. 36). Somit ist das IT-Providermanagement in der Lage, einmal angeeignete Verfahren sowie während des Betriebs erkannte Verbesserungspotenziale ebenfalls bei anderen Service-Providern anzuwenden (Schneegans & Bujotzek, 2018, S. 36). Weiterhin wird die Zusammenarbeit unter den Service-Providern durch einheitliche Regelungen stark vereinfacht (Schneegans & Bujotzek, 2018, S. 36). Die detaillierte Leistungsbeschreibung und der auf diese Weise erstellten Leistungsscheine mindern das Risiko von Meinungsverschiedenheiten über die vom Service-Provider zu erbringenden Leistungen sowie deren Konzeption (Schneegans & Bujotzek, 2018, S. 36). Dies erspart beiden Seiten im laufenden Betrieb den Diskussionsaufwand für den Umgang mit juristischen Unklarheiten (Schneegans & Bujotzek, 2018, S. 36). Darüber hinaus verringert sich demzufolge das Risiko einer Verschlechterung der gegenseitigen Beziehungen aufgrund von Meinungsverschiedenheiten, die die weitere Zusammenarbeit erschweren könnten (Schneegans & Bujotzek, 2018, S. 36). Schließlich werden die Mehrkosten für Services vermieden, die nicht klar im Vertrag geregelt sind aber dennoch benötigt werden und nun zusätzlich bezogen werden müssen (Schneegans & Bujotzek, 2018, S. 36). Eine flexible Vereinbarung, die ihre Anpassung über die gesamte Laufzeit der Vereinbarung angemessen berücksichtigt, ist wartbar und unterstützt Veränderungen mit einem Minimum an Neuverhandlungen (Cabinet Office, 2011, S. 210).
Recent Comments