191
<P4>Weitere Unterscheidungen entlang der etablierten
Typologisierung von SaaS‐, IaaS‐ und PaaS‐Services sind
möglich. Dazu mehr in der Online‐Ausgabe dieses Buchs.
3.5.4.2
Öffentliche Vergabe
Ist der Nutzer öffentlicher Auftraggeber im Sinne der EU‐Vergaberichtlinien,
so muss er die Vorgehensweise zur Findung des Cloud‐Anbieters mit den
vergaberechtlichen Vorschriften synchronisieren. Beispielhaft werden an
dieser Stelle drei wesentliche Themen hervorgehoben:
Bei komplexen Cloud‐Services bietet sich als Verfahrensart das
Verhandlungsverfahren an, da nur dieses die Verhandlung und
Anpassung der Beschreibung der zu erbringenden Leistungen und
der Vertragsbedingungen im Dialog mit den Bietern zulässt. Bei
dieser Verfahrensart ist es möglich, in Verhandlungen mit den
Anbietern den konkreten Umfang der Servicelevels zu definieren,
um das beste Preis‐Leistungs‐Verhältnis zu eruieren.
Ein genereller Ausschluss von Subunternehmern wäre
vergaberechtlich unzulässig, es ist jedoch zulässig, die Anbieter zu
verpflichten, alle Subunternehmer bekannt zu geben und die
Hinzuziehung neuer Subunternehmer von der Zustimmung des
Auftraggebers abhängig zu machen. Auch die räumliche Begrenzung
der Rechenzentren auf den EU/EWR‐Raum ist vergaberechtlich
zulässig.
Die Vergleichbarkeit der Angebote im Vergabeverfahren ist in
technischer, kommerzieller und rechtlicher Hinsicht sicherzustellen.
Wenn man davon ausgeht, dass die Anbieter nur bereit sind, auf
Basis ihrer AGB Cloud‐Leistungen zu erbringen, müssen die AGB
daher vor Einleitung des Vergabeverfahrens geprüft und ein für alle
Bieter geltender Mindeststandard (kleinster gemeinsamer Nenner)
in rechtlicher Hinsicht definiert werden.
3.5.4.3
(
Verwaltungs‐)Strafrecht
Die Einhaltung von angemessenen Sicherheitsstandards kann unter
Datenschutzaspekten notwendig sein, ist aber ebenso von Bedeutung, um
sich gegen strafrechtliche Risiken (z.B. infolge unerlaubten Zugriffs von
Dritten) zu schützen.