EVB IT CLOUD –
ERLEICHTERUNG FÜR DIE ÖFFENTLICHE HAND

Im März diese Jahres wurde die EVB-IT Cloud (Ergänzende Vertragsbedingungen zur Beschaffung von IT-Lösungen) für den öffentliche Dienst vom Bundesministerium des Innern (BMI) veröffentlicht.

Somit wird der öffentlichen Hand eine sichere und vereinfachte Beschaffung von Cloudleistungen ermöglicht.



DIE EVB-IT

Wenn Betriebe des öffentlichen Dienstes IT-Dienstleistungen beschaffen müssen, werden sie privatrechtlich tätig. Das BGB bietet bei dieser Beschaffung die Rechtsgrundlage. Da die Verträge im IT-Bereich nicht genau den beschriebenen Vertragstypen des BGBs entsprechen, wurden die EVB-IT zur Ergänzung ins Leben gerufen und regeln so die Rahmenbedingungen für Auftragnehmer aus dem entsprechenden Bereich und lösen die Besonderen Vertragsbedingungen (BVB) ab. Der Bund und die Länder sind bei der Beschaffung von IT-Leistungen verpflichtet die EVB-IT anzuwenden.

Im Jahr 2000 wurden die ersten vier Vertragsmuster der EVB-IT (Dienstleistungen, Überlassung Typ A, Kauf und Instandhaltung) veröffentlicht. In den folgenden Jahren wurden 6 weitere Kategorien gebildet. Seit Anfang März 2022 bildet nun die EVB-IT Cloud den elften Vertragstyp mit dazugehörigen Kriterienkatalog.

 

EVB-IT Cloud

Die EVB-IT Cloud bietet dem öffentlichen Dienst erstmals standardisierte Rahmenbedingungen zur Beschaffung von Cloudleistungen und sollen die hohen Anforderungen in Bezug auf IT-Sicherheit, Kontrollmöglichkeiten oder der Qualität der Cloudleistung aufzeigen. Die Vertragsbedingungen können bei der Beschaffung unterschiedlicher Lösungen wie beispielsweise eines Infrastructure as a Service (IaaS), einer Plattform as a Service (PaaS), eines Managed Cloud Services (MCS) und einer Software as a Service (SaaS), wie unsere CAFM-Software Axxerion es ist, genutzt werden.

Die EVB-IT Cloud besteht aus fünf teilen und enthält den Cloud Vertrag, die AGBs, einen Kriterienkatalog sowie Hinweise zur Nutzung und die Einbeziehung der Anbieter-AGBs. Diese Bestandteile helfen, die Zusammenarbeit zwischen Auftraggeber und Auftragnehmer zu verdeutlichen. Die einzelnen Teile haben wir kurz für Sie zusammengefasst:

      1. Der EVB-IT Cloud Vertrag: Der Vertrag erläutert die Struktur des jeweiligen Clouddienstes des Anbieters und definieren die Basisreglung der Leistungen. Der Vertrag kann auch lediglich als Grundlage für eine individuell angepassten Vertrag genutzt werden.
      2. EVB-IT Cloud AGB: Die Allgemeinen Geschäftsbedingungen sind Teil des Vertrags und bilden den Rahmen
      3. EVB-IT Cloud Kriterienkatalog: Im Kriterienkatalog werden die Cloud-Leistungen ausführlich definiert. Hier werden Dinge geklärt wie beispielsweise die Art der Cloud, die Art der Anbindungen oder Reglungen zum Datenschutz und der IT-Sicherheit. Auch Fragen zu den einzelnen Nutzern, der Übergabezeitpunkt oder die Bereitstellung auf verschiedenen Endgeräten werden hier geklärt.
      4. EVB-IT Cloud Anbieter-AGB: Die EVB-IT Cloud ermöglicht erstmals auch einzelne Klauseln der Anbieter mit in die AGBs aufzunehmen.
      5. EVB-IT Cloud Nutzung: Hier findet man einen Beispielvertrag sowie eine ausgefüllten Kriterienkatalog, um sich ein genaueres Bild über die möglich Nutzung zu machen.

 

Die Pflichten der Anbieter

Selbstverständlich hängen mit dem EVB-IT Cloud Vertrag auch Rechte und Pflichten zusammen, die ein Anbieter einer Cloudleistung, so wie wir, erfüllen muss. Auch diese haben wir für Sie nachfolgend aufgeführt:

        • Allgemeine Verpflichtungen: Aus den verschiedenen Modellen zur Bereitstellung (Software as a Service, Platform as a Service, usw.) ergeben sich allgemeine Verpflichtungen für einen Cloud-Anbieter.
        • Nachweispflicht C5: Die Rechten und Pflichten der EVB-IT Cloud beruhen auf dem Cloud Computing Compliance Criteria Catalogue (C5). Auch sind Behörden dazu verpflichtet mit Anbietern zusammenzuarbeiten, die C5-zertifiziert sind. Das Google-Rechenzentrum, in dem Axxerion gehostet ist, ist vom Bundesamt für Sicherheit und Informationstechnik (BSI) C5-zertifiziert und können unseren Kunden somit eine hohe Unternehmenssicherheit in Bezug auf Cyberangriffe o.ä. garantieren.
        • Reporting einmal im Monat: Der Cloud-Anbieter muss sicherstellen, das er dem Auftraggeber einen monatlichen Bericht zur Verfügung stellen kann. Dieser Bericht enthält Kennzahlen über Störungen des vergangenen Monats. Selbstverständlich erhalten Sie auch bei uns Einblick in einen solchen Bericht.
        • Garantierte Informationssicherheit & Datenschutz: Natürlich ist der Anbieter dazu verpflichtet vertraulich mit allen Daten der Auftraggeber /umzugehen und die Sicherheit dieser zu garantieren. Auch sollten sich die Anbieter an die Datenschutz-Grundverordnung richten.
        • Störungsbeseitigung: Die Anbieter sind zudem verpflichtet anfallende Störungen schnellstmöglich zu beseitigen, vor allem dann wenn dadurch eine Beeinträchtigung der Leistung eintritt.
        • Daten-Migration bei Anbieterwechsel: Sollte der bestehende Vertrag gekündigt werden oder auslaufen und der Auftraggeber entscheidet sich zu einem Anbieterwechsel, werden die Daten dem Auftraggeber bereitgestellt und so ein reibungsloser Übergang ermöglicht. Auch wir helfen Ihnen bei der Datenmigration zu einem anderen Cloud-Anbieter und helfen bei einer sicheren Übergabe, sollten Sie sich zu einem Wechsel entscheiden.

 

Unsere CAFM-Software Axxerion

Da unser CAFM System Axxerion eine Cloud-native Anwendung ist, profitieren unsere Kunden seit 2003 vom technologischen Vorsprung dieser Architektur.

Unser Produktpartner Spacewell hat seit jeher eine hohe Messlatte dafür gesetzt, was es bedeutet, Kundendaten zu hosten, zu bedienen und zu schützen. Sicherheit und Datenschutz stehen im Mittelpunkt der Entwicklung und Entwicklung der Produkte. Spacewell geht von der grundlegenden Prämisse aus, dass Spacewell-Kunden ihre Daten besitzen und jederzeit selbst kontrollieren, wie sie verendet werden.

Entwicklung und Hosting der Axxerion Software sind ISAE3402 Typ II-zertifiziert. Das bedeutet, dass die Systeme und Verfahren für das Risikomanagement von einem unabhängigen Auditor dokumentiert, implementiert und zertifiziert wurden.

Axxerion wird auf der Google Cloud Platform gehostet, um die bestmögliche Stabilität, Sicherheit, Kontinuität, Verfügbarkeit und Leistung zu bieten. Weitere Informationen zur Sicherheit, den Zertifizierungen und der Verfügbarkeit der Google Cloud Platform finden Sie hier: https://cloud.google.com/docs/security/overview/whitepaper

Gerne bieten wir Ihnen als InCaTec Solution, bei Anfrage, einen vorausgefüllten Kriterienkatalog in Bezug auf unsere CAFM-Lösung Axxerion zur Verfügung. Dort werden alle grundlegenden Anforderungen und Fragen rund um unser System vorab geklärt. Sollten sich aus dem Katalog noch Fragen ergeben, klären wir diese gerne in einem persönlichen Gespräch, vor Ort oder Online, mit Ihnen. Gerne beraten wir Sie im Thema Implementierung sowie Hosting und Sicherheit bezüglich unserer CAFM-Software. Sprechen Sie uns einfach an!

 

Unsere cloudbasierte CAFM-Software Axxerion
Whitepaper