Digitalisierung strebt weiterhin in die Cloud – auch wenn erste Neuorientierungen sichtbar sind: Unternehmen und öffentliche Institutionen streben weiterhin danach, IT-Infrastrukturen in die Cloud zu verlagern. Während in der Privatwirtschaft oft individuelle Vertragsverhandlungen mit Cloud-Anbietern geführt werden, setzt der öffentliche Sektor auf Standardisierung. Die EVB-IT Cloud sind ein Versuch, einheitliche Rahmenbedingungen für die Vergabe und Nutzung von Cloud-Diensten zu schaffen – doch diese Standardisierung bringt nicht nur Vorteile, sondern auch erhebliche juristische Herausforderungen mit sich.
Während die öffentliche Hand mit den EVB-IT Cloud eine vergabe- und vertragsrechtlich konforme Grundlage für die Beschaffung von Cloud-Diensten schaffen möchte, müssen sich Unternehmen – sowohl als Anbieter als auch als Nutzer – auf teils rigide Regelungen einlassen, die nicht immer marktüblichen Standards entsprechen. Es stellt sich daher die Frage: Sind die EVB-IT Cloud ein Fortschritt oder eine Hürde für die Digitalisierung?
Die EVB-IT Cloud im Überblick – Was regeln sie?
Die EVB-IT Cloud wurden im Jahr 2022 veröffentlicht, um die Beschaffung von Cloud-Diensten durch die öffentliche Hand zu erleichtern. Sie basieren auf Verhandlungen zwischen dem Bundesministerium des Innern (BMI) und dem Branchenverband Bitkom. Ziel war es, einen Standardvertrag zu etablieren, der sowohl den Anforderungen der Verwaltung als auch denen der IT-Wirtschaft gerecht wird.
Die EVB-IT Cloud umfassen:
- Den Cloud-Vertrag, der als Mustervertrag dient,
- Allgemeine Geschäftsbedingungen (AGB), die zentrale Regelungen zur Leistungserbringung enthalten,
- Einen Kriterienkatalog, mit dem die Leistung konkretisiert werden kann,
- Eine Anlage zur Einbeziehung von auftragnehmerseitigen AGB, die eine begrenzte Anpassung ermöglicht.
Sie regeln die Nutzung von:
- Software as a Service (SaaS)
- Platform as a Service (PaaS)
- Infrastructure as a Service (IaaS)
- Managed Cloud Services (MCS)
Besonders innovativ ist die Möglichkeit, dass bestimmte Klauseln aus den AGB des Cloud-Anbieters in den Vertrag einbezogen werden können – allerdings nur in engen Grenzen. Dies soll die Akzeptanz der EVB-IT Cloud in der Praxis erhöhen, führt aber zu komplexen juristischen Folgefragen.
Warum sind die EVB-IT Cloud für Unternehmen relevant?
Für Unternehmen, die Cloud-Dienste an öffentliche Auftraggeber liefern möchten, sind die EVB-IT Cloud der maßgebliche Vertragsrahmen. Eine Teilnahme an Ausschreibungen ohne Berücksichtigung dieser Vorgaben ist kaum möglich. Doch auch für Unternehmen, die sich im privaten Sektor bewegen, bieten die EVB-IT Cloud eine interessante Referenz, da sie eine strukturierte Herangehensweise an Cloud-Verträge ermöglichen. Die wichtigsten Vorteile der EVB-IT Cloud für Unternehmen:
- Rechtskonformität und Standardisierung: Einheitliche Vertragsmuster reduzieren Verhandlungsaufwand und schaffen Transparenz.
- Vergaberechtskonforme Gestaltung: Die Integration in öffentliche Ausschreibungen erleichtert Unternehmen die Teilnahme an Vergabeverfahren.
- Klare Anforderungen und Kriterienkatalog: Die strukturierte Vorgabe technischer und organisatorischer Anforderungen ermöglicht eine präzisere Angebotsgestaltung.
Gleichzeitig gibt es einige juristische Herausforderungen, die Unternehmen nicht unterschätzen sollten.
Juristische Herausforderungen für Unternehmen
A. Vertragsrechtliche Probleme: Wer bestimmt die Regeln?
Die EVB-IT Cloud sind aus juristischer Sicht AGB der öffentlichen Hand. Das bedeutet, dass sich Anbieter diesen Bedingungen unterwerfen müssen, während der Auftraggeber gleichzeitig von einer strikten Bindung an eigene Einkaufsbedingungen profitiert. Hier liegt ein gravierendes Ungleichgewicht: Unternehmen können sich nur schwer gegen nachteilige Regelungen wehren. Die Klauseln der EVB-IT Cloud unterliegen zwar einer AGB-rechtlichen Kontrolle, doch während Auftragnehmer bestimmte Regelungen anfechten könnten, ist die öffentliche Hand selbst daran gebunden.
B. Einbeziehung von Anbieter-AGB – Scheinlösung oder echter Kompromiss?
Ein zentrales Problem in der Praxis ist, dass viele große Cloud-Anbieter nur auf Basis ihrer eigenen Standardverträge agieren. Dies steht im Widerspruch zu den EVB-IT Cloud, die in weiten Teilen zwingend gelten. Zwar erlaubt der Vertrag in bestimmten Fällen die Einbeziehung von auftragnehmerseitigen AGB, doch diese müssen stets nachrangig behandelt werden – außer in bestimmten, von der öffentlichen Hand festgelegten Punkten. Die Anbieter haben also keinen echten Verhandlungsspielraum. Dies führt in der Praxis dazu, dass große Hyperscaler entweder:
- Gar nicht an Ausschreibungen teilnehmen, weil sie ihre Vertragsstandards nicht aufgeben wollen,
- Die Vergabestelle zur Aufgabe der EVB-IT Cloud bewegen möchten, um eigene AGB durchzusetzen,
- Nur mit erheblichen Anpassungen und Zusatzvereinbarungen einsteigen.
Besonders kritisch ist, dass viele Anbieter internationale Standardverträge nutzen, die sich nicht ohne Weiteres anpassen lassen. Hier entsteht für Unternehmen eine rechtliche Grauzone, die eine sorgfältige Prüfung notwendig macht.
C. Datenschutz und IT-Sicherheit – Strenge Vorgaben, aber lückenhafte Umsetzung
Die EVB-IT Cloud enthalten umfangreiche Regelungen zu Datenschutz und IT-Sicherheit. Besonders hervorzuheben ist die Verpflichtung zur Einhaltung der ISO 27001, ISO 27017 und ISO 27018 Standards sowie die Anlehnung an den C5-Kriterienkatalog des BSI. Damit soll sichergestellt werden, dass Cloud-Dienste ein hohes Sicherheitsniveau bieten.
Problematisch ist jedoch, dass die EVB-IT Cloud keine eigene Regelung zur Auftragsverarbeitung nach der DSGVO enthalten. Unternehmen müssen daher in jedem Fall eine gesonderte Auftragsverarbeitungsvereinbarung (AVV) abschließen. Dies führt dazu, dass Anbieter und öffentliche Auftraggeber in jedem Vergabeverfahren zusätzliche Verhandlungen führen müssen, was eigentlich durch die Standardisierung verhindert werden sollte.
D. Haftungsfragen – Wer trägt das Risiko?
Die Haftungsklauseln der EVB-IT Cloud sind ein weiterer juristischer Knackpunkt. Während Auftragnehmer für leicht fahrlässige Pflichtverletzungen haften, ist die Haftung in vielen Fällen summenmäßig begrenzt. Unternehmen müssen genau prüfen, ob die vorgesehenen Haftungsbeschränkungen ausreichen, insbesondere wenn es um hohe wirtschaftliche Werte geht.
Zusätzlich müssen sich Unternehmen bewusst sein, dass sie durch die Teilnahme an einer Ausschreibung mit EVB-IT Cloud keine eigenständigen Haftungsregelungen durchsetzen können. Wer also ein Cloud-Angebot an die öffentliche Hand richtet, sollte sicherstellen, dass die vertraglichen Verpflichtungen keine unkalkulierbaren Risiken mit sich bringen.
E. Exit-Strategien – Was passiert nach Vertragsende?
Ein weiterer Schwachpunkt der EVB-IT Cloud liegt in der Regelung von Leistungen bei Vertragsende. Öffentliche Auftraggeber haben ein großes Interesse daran, dass ein Anbieterwechsel problemlos funktioniert. Doch während es klare Pflichten für den alten Anbieter gibt, bleibt die Frage offen, ob und in welchem Umfang der neue Anbieter verpflichtet ist, diese Daten zu übernehmen. Unternehmen, die sich auf einen Wechsel vorbereiten, müssen daher genau prüfen, welche Verpflichtungen sie tatsächlich eingehen.
Die EVB-IT Cloud sind ein entscheidender Schritt zur Standardisierung von Cloud-Beschaffungen für die öffentliche Hand – doch für Unternehmen bedeuten sie nicht nur Chancen, sondern auch erhebliche vertragliche Herausforderungen. Besonders kritisch sind die begrenzten Möglichkeiten zur Einbeziehung eigener AGB, die hohen Anforderungen an Datenschutz und Sicherheit sowie unklare Haftungsregelungen. Präzise Vertragsprüfungen und eine fundierte rechtliche Beratung sind unverzichtbar.
Faktische Herausforderungen und Fallstricke für Unternehmen
Begrenzte Flexibilität durch Standardisierung
Die EVB-IT Cloud verfolgen das Ziel, ein hohes Maß an Standardisierung zu schaffen. Dies kann für Unternehmen, die mit individuellen Vertragsbedingungen arbeiten, herausfordernd sein. Besonders problematisch kann dies werden, wenn ein Anbieter standardisierte globale Cloud-Verträge nutzt, die nicht oder nur schwer mit den EVB-IT Cloud kompatibel sind.
Lösung: Unternehmen sollten frühzeitig prüfen, ob ihre eigenen Vertragsbedingungen mit den EVB-IT Cloud harmonieren und wo Anpassungen erforderlich sind.
Einbeziehung auftragnehmerseitiger AGB – Risiken und Möglichkeiten
Die EVB-IT Cloud ermöglichen es zwar, auftragnehmerseitige AGB in gewissem Umfang einzubeziehen, allerdings nur nachrangig gegenüber den EVB-IT Bedingungen. Zudem kann die öffentliche Hand bestimmte Regelungen vorrangig zulassen, wenn diese im Rahmen der Ausschreibung explizit akzeptiert wurden.
Fallstrick: Unternehmen müssen sorgfältig prüfen, welche Teile ihrer AGB in einer Ausschreibung tatsächlich gelten und wo Anpassungen erforderlich sind. Empfehlung: Vor der Angebotsabgabe sollte ein AGB-Check erfolgen, um Unstimmigkeiten mit den EVB-IT Cloud zu identifizieren.
Datenschutz und IT-Sicherheit – Besondere Anforderungen
Da viele Cloud-Dienste personenbezogene oder vertrauliche Daten verarbeiten, gelten hohe Anforderungen an Datenschutz und IT-Sicherheit. Die EVB-IT Cloud enthalten jedoch keine gesonderte Vereinbarung zur Auftragsverarbeitung. Unternehmen müssen daher eigenständig sicherstellen, dass eine DSGVO-konforme Auftragsverarbeitung vereinbart wird.
Tipp: Eine ergänzende AV-Vereinbarung sollte frühzeitig vorbereitet werden, um Verzögerungen im Vergabeprozess zu vermeiden.
Service Levels, Verfügbarkeit und Sanktionen
Die EVB-IT Cloud enthalten klare Vorgaben zur Verfügbarkeit der Cloud-Dienste und regeln Sanktionen bei Nichteinhaltung von Service Levels. Besonders Gutschriften bei Nichtverfügbarkeit können für Anbieter wirtschaftliche Risiken bergen.
Fallstrick: Nicht alle Standard-Cloud-Anbieter bieten vertragliche Regelungen, die mit den EVB-IT Cloud kompatibel sind. Empfehlung: Unternehmen sollten ihre Service-Level-Agreements (SLA) mit den Vorgaben der EVB-IT Cloud abgleichen und prüfen, ob Anpassungen oder spezifische Vereinbarungen erforderlich sind.
Strategischer Umgang mit den EVB-IT Cloud
Die EVB-IT Cloud sind ein wichtiger Schritt zur Standardisierung von Cloud-Beschaffungen – sie lösen jedoch nicht alle Probleme. Unternehmen, die sich an Ausschreibungen beteiligen wollen, müssen sich auf ein starres Vertragswerk einstellen, das oft wenig Flexibilität bietet. Besonders problematisch sind:
- Die begrenzte Möglichkeit zur Einbeziehung eigener Vertragsbedingungen,
- Hohe Anforderungen an Datenschutz und Sicherheit, die über marktübliche Standards hinausgehen können,
- Unklare Haftungs- und Exit-Regelungen, die wirtschaftliche Risiken bergen.
Unternehmen sollten sich daher frühzeitig beraten lassen und prüfen, ob sie die EVB-IT Cloud akzeptieren können oder Anpassungen verhandeln müssen. Nur wer sich mit den rechtlichen Rahmenbedingungen intensiv auseinandersetzt, kann erfolgreich an Ausschreibungen teilnehmen und Risiken minimieren.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig zu straf- und IT-rechtlichen Themen.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.