67. EVB-IT-Cloud – Was IT-Anbieter in Vertragsverhandlungen beachten müssen

Foto von nasa

Die EVB-IT-Cloud

Die Digitalisierung der öffentlichen Hand bietet enorme Chancen für IT-Anbieter, aber auch Herausforderungen bei der Vertragsverhandlung. Bei der Beschaffung von IT-Leistungen treffen Bürokratie und technische Komplexität aufeinander. Im Zuge von Vertragsverhandlungen greifen öffentliche Auftraggeber meist auf Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) zurück. IT-Anbieter sollten sich hiervon nicht abschrecken lassen. Vor allem bei Cloud-basierten Leistungen sind aber Besonderheiten zu beachten.

Wer wendet EVB-IT an?

Nicht jede öffentliche Stelle muss die EVB-IT beim Einkauf von IT-Produkten anwenden. Verbindlich sind sie insbesondere für Bundesbehörden. Aber auch zahlreiche Länder sehen die Nutzung der EVB-IT in Vorschriften zu ihren Haushaltsordnungen vor.

Gemeinden können im Rahmen ihrer verfassungsrechtlich garantierten Verwaltungsautonomie über die Anwendung entscheiden. Gleiches gilt für öffentlich-rechtliche Körperschaften wie Stiftungen oder Anstalten. Als standardisiertes Vertragswerk erleichtern die EVB-IT den Umgang mit IT-Produkten, sodass gerade auch kleinere Verwaltungseinheiten zunehmend von den EVB-IT Gebrauch machen. Selbst private Auftraggeber können die EVB-IT im Zuge der Vertragsfreiheit einbeziehen.

Was sind EVB-IT und wie funktionieren sie?

Anfang des Jahrtausends haben sich Vertreter der öffentlichen Hand in Abstimmung mit IT-Verbänden auf die Standardisierung eines Vertragsrahmens für die Beschaffung von IT-Leistungen verständigt. Keine leichte Aufgabe, da IT-Leistungen nach Inhalt, technischer Ausgestaltung und Leistungsspektrum unbegrenzt variieren. Daher gibt es nicht DAS EINE EVB-IT-Muster, sondern Vertragsmodule, die auf Grundtypen von IT-Leistungen ausgerichtet sind. Die grobe Einteilung erfolgt nach der vertragstypischen Leistung. So gibt es unterschiedliche Vertragsmodule etwa für die Erstellung von Software, den Kauf oder Überlassung von Software, die Pflege von Software oder eben für cloudbasierte IT-Leistungen. Auch für gemischte Leistungen (System und Systemlieferung) gibt es Muster. Innerhalb dieser Vertragsmodule können Details in einem Hauptvertragsmuster geregelt werden. Ergänzend hat jedes EVB-IT-Modul noch ein entsprechendes vorformuliertes AGB-Werk.

Rechtlich handelt es sich bei den Bestimmungen der EVB-IT (auch den vorformulierten Hauptvertragsmustern) um Allgemeine Geschäftsbedingungen (§§ 305 ff. BGB). Diese Einordnung ist wichtig, weil somit jede individuelle Abweichung Vorrang hat (§ 305 b BGB).

Was für Besonderheiten bestehen im Hinblick auf Cloud-Leistungen?

Das Modul EVB-IT-Cloud wurde erst 2022 eingeführt, als längst eine Vielzahl an IT-Leistungen als SaaS oder in sonstiger Weise Cloud-basiert angeboten wurde. Noch immer stellen Auftraggeber häufig auf „traditionellere“ Vertragstypen ab, auch wenn diese eigentlich nicht passen. Die Frage der Überlassung eines Quellcodes etwa stellt sich bei einer Cloud-basierten Anwendung anders als beim Kauf oder der Überlassung von Software nicht.

Anbieter von Cloud-Leistungen sollten sich von der Einbeziehung des EVB-IT-Cloud Vertrages nicht abschrecken. Im Zweifel kommt das mit IT-Verbänden abgestimmte Muster einer interessengerechten Vereinbarung näher, als dies durch einseitige Ausgestaltung möglich wäre. So wird etwa das Haftungsrisiko des Cloud-Anbieters unter Bezugnahme auf den Auftragswert für die meisten Fälle begrenzt.

Gleichwohl ist es wichtig, von der Möglichkeit der einer individuellen Anpassung Gebrauch zu machen. Letztlich darf keine Verpflichtung eingegangen werden, die nicht technisch und wirtschaftlich auch umsetzbar ist. Ein wichtiges Beispiel sind hier die Verständigung auf eine Verfügbarkeit im Jahresdurchschnitt sowie Verpflichtungen zur Störungsbehebung.

Wichtig ist auch die exakte Beschreibung der Leistung in einem Kriterienkatalog. Leistungsinhalte können neben dem klassischen SaaS auch Plattform as a Service (PaaS), Infrastructure as a Service (IaaS) oder Managed Cloud Services (MCS) sein. Mithilfe dieser Kategorien lässt sich ein einheitliches Verständnis schaffen, was letztlich geschuldet wird.

Da Cloud-Leistungen meist mit einer Daten-Auftragsverarbeitung einhergehen, sollten auch die hierzu vom Anbieter verwendeten Auftragsverarbeitungsmuster unverändert als Anlage einbezogen werden. Auch Standards der IT-Sicherheit müssen der tatsächlichen Umsetzung entsprechen, eine blinde Zusicherung des C5-Sicherheitsstandards etwa ist nicht ratsam. Schließlich bleibt auch im Rahmen des EVB-IT-Cloud Vertrags die Möglichkeit, eigene AGB nachrangig einzubeziehen.