Cloud-Ausschreibung Anforderungen verstehen: Ein Leitfaden für IT-Dienstleister

Warum Cloud-Ausschreibungen anders sind: Der EVB-IT Faktor

Warum unterscheiden sich Cloud-Ausschreibungen so grundlegend von klassischen IT-Projekten? Wenn Sie die Prozesse vergleichen, werden Sie feststellen: Klassische Ausschreibungen folgen etablierten Mustern. Laut Bitkom brechen Cloud-Ausschreibungen jedoch mit diesen Traditionen, da sie standardisierte Massenprodukte mit den starren Vorgaben des Vergaberechts in Einklang bringen müssen. Das Bundesministerium des Innern hat hierfür die EVB-IT Cloud entwickelt, die seit 2022 als Standardvertragswerk für die Beschaffung von Cloud-Leistungen dient.

Wie beeinflusst das konkret Ihre Risikobewertung? Für Sie als Bieter bedeutet dies eine fundamentale Verschiebung. Hier ist der entscheidende Punkt: Anders als bei Werkverträgen, wo Sie das Ergebnis schulden, stehen bei Cloud-Verträgen - wie die UfAB 2018 erläutert - oft Service-Level und Mitwirkungspflichten im Fokus. Der IT-Planungsrat betont zudem, dass die EVB-IT Cloud speziell darauf ausgelegt ist, auch die AGB der großen Cloud-Provider (wie AWS, Azure oder Google) unter bestimmten Bedingungen in das starre Korsett der öffentlichen Vergabe zu integrieren. Wenn Sie diese vertraglichen Brücken nicht verstehen, scheitern Sie oft schon an den formalen Hürden der Eignungsprüfung. Um diese Komplexität sicher zu bewältigen, kann eine Lösung wie Bidfix wertvolle Unterstützung bieten.

Sicherheit und Compliance: BSI C5 und Datensouveränität im Detail

Warum ist Sicherheit in deutschen Cloud-Ausschreibungen so entscheidend? In deutschen Cloud-Ausschreibungen ist Sicherheit kein „Nice-to-have“, sondern das absolut kritische K.O.-Kriterium. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) setzt der C5-Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) einen Standard, der weit über die klassische ISO 27001 hinausgeht. Wenn Sie als IT-Dienstleister tätig sind, ist es essenziell zu verstehen, dass öffentliche Auftraggeber oft pauschal die Konformität zum BSI C5:2020 fordern, ohne Spielraum für Abweichungen zu lassen.

Der C5-Katalog umfasst 17 Themengebiete mit über 120 Kriterien. Was sind die besonders kritischen „Umfeldparameter“? Diese verlangen Transparenz über den Ort der Datenverarbeitung und die Gerichtsbarkeit. Berichte von Datenschutzbehörden warnen regelmäßig vor dem Zugriff durch Drittstaatenbehörden (Stichwort: US Cloud Act). In Ausschreibungen finden Sie daher oft Formulierungen wie „Verarbeitung ausschließlich im EWR“ oder „Kein Zugriff durch Dritte ohne Rechtshilfeabkommen“. Wenn Sie als Reseller von US-Hyperscalern auftreten, müssen Sie hier extrem präzise argumentieren und oft auf Zusatzverträge oder spezielle „Souveräne Cloud“-Angebote verweisen.

Ein weiterer Stolperstein ist die Nachweisführung. Wie können Sie sicherstellen, dass Ihre Belege akzeptiert werden? Experten von PwC weisen darauf hin, dass ein einfaches „Ja“ im Leistungsverzeichnis oft nicht genügt. Auftraggeber verlangen häufig Testate nach SOC 2 Typ 2 oder eben direkt das C5-Testat eines Wirtschaftsprüfers. Fehlt dieses Testat für einen spezifischen Service (z.B. einen neuen KI-Dienst des Cloud-Providers), kann das gesamte Angebot ausgeschlossen werden.

Die Anforderungen an die Datensouveränität gehen mittlerweile oft über den reinen Datenschutz hinaus. Wie beeinflusst die DVS diese Standards? Laut der Deutschen Verwaltungscloud-Strategie (DVS) sind offene Schnittstellen und Portabilität gefordert, um den „Vendor Lock-in“ zu vermeiden. Hier ist ein wichtiger Punkt für Sie: In der Praxis bedeutet das, dass Sie in der Ausschreibung nicht nur die Sicherheit des Betriebs darlegen, sondern auch ein schlüssiges Exit-Konzept präsentieren müssen. Wie kommen die Daten am Vertragsende wieder zum Kunden? Wer trägt die Kosten für den Transfer? Diese Fragen müssen Sie proaktiv beantworten.

Lassen Sie uns das zusammenfassen: Compliance in Cloud-Ausschreibungen ist eine binäre Angelegenheit. Entweder Sie erfüllen die Anforderungen an BSI C5 und DSGVO lückenlos, oder Sie nehmen gar nicht erst teil. Untersuchungen von Gartner bestätigen, dass unzureichende Sicherheitsstrategien oft zum Ausschluss führen. Der Bitkom empfiehlt daher, Compliance-Fragebögen als „lebende Dokumente“ zu pflegen, die bei jeder Ausschreibung nur noch angepasst werden müssen.

Verfügbarkeit und SLAs: Die Mathematik hinter den Prozenten

Was sind die größten Risiken bei Service Level Agreements (SLAs)? SLAs sind das Herzstück jeder Cloud-Leistungsbeschreibung. Doch oft werden die geforderten Verfügbarkeiten von Bietern unterschätzt oder falsch berechnet. Wie Adacor in einem Fachbeitrag vorrechnet, bedeutet eine Verfügbarkeit von 99,9 % auf Jahresbasis eine zulässige Ausfallzeit von fast 9 Stunden. Wenn Sie jedoch Ausschreibungen sehen, die 99,9 % auf Monatsbasis fordern, reduziert sich die zulässige Ausfallzeit auf ca. 43 Minuten.

Was sind die kritischen Faktoren für Ihre Kalkulation? Hier ist eine Übersicht, worauf Sie achten sollten:

• Messintervall: Wird die Verfügbarkeit monatlich, quartalsweise oder jährlich gemessen? Kürzere Intervalle erhöhen Ihr Risiko für Pönalen.
• Wartungsfenster: Zählen geplante Wartungsarbeiten zur Ausfallzeit? Laut BSI-Grundschutz zählen diese in modernen Cloud-Ausschreibungen oft dazu, da „High Availability“ erwartet wird.
• Messmethode: Gilt der Dienst als verfügbar, wenn die API antwortet, oder muss die gesamte Applikation nutzbar sein?

Wie funktionieren Service Credits im Vergleich zu Vertragsstrafen? Auch hier gibt es oft Missverständnisse. Computer Weekly erklärt, dass Cloud-Provider bei SLA-Verletzungen meist nur Gutschriften für zukünftige Leistungen gewähren. Untersuchungen von Gartner zeigen, dass öffentliche Auftraggeber in den EVB-IT Cloud jedoch oft echte Vertragsstrafen oder Schadensersatz fordern. Als Intermediär oder Managed Service Provider müssen Sie dieses Risiko („Gap-Risk“) in Ihre Kalkulation einpreisen, da Sie es oft nicht an den Hyperscaler durchreichen können.

Preismodelle in der Zwickmühle: Pay-per-Use vs. Haushaltsrecht

Warum ist das Spannungsfeld in Cloud-Ausschreibungen so groß? Es liegt primär zwischen der technischen Realität (variable Kosten) und der administrativen Realität (fixe Budgets). Sie werden sehen, dass Cloud-Native-Modelle auf „Pay-per-Use“ basieren - Sie zahlen nur, was Sie nutzen. Das deutsche Haushaltsrecht und Vergaberecht bevorzugen jedoch Festpreise, um Planungssicherheit zu gewährleisten. Finanzexperten von Stripe analysieren, dass nutzungsbasierte Modelle zwar fairer sind, aber in der Beschaffung oft zu komplexen Konstrukten führen.

In der Praxis begegnen Ihnen in Ausschreibungen meist zwei Varianten. Hier ist, was Sie beherrschen müssen:

1. Das Warenkorb-Modell (Fiktives Mengengerüst):
   Der Auftraggeber definiert einen fiktiven Szenario-Warenkorb (z.B. „100 VMs Typ A“). Vergabe-Experten der Bitkom weisen darauf hin, dass die Transparenz der Einheitspreise hier entscheidend ist. Rechtsexperten von Menold Bezler warnen zudem vor der Gefahr der Mischkalkulation. Wenn Sie spekulieren, dass bestimmte Positionen nie abgerufen werden, und diese extrem günstig anbieten, kann das zum Ausschluss führen.
2. Der Preisdeckel (Capped Budget):
   Hier wird ein maximales Budget vorgegeben. Wenn Sie hier erfolgreich sein wollen, müssen Sie darlegen, wie viel Leistung Sie für dieses Budget maximal liefern können. Computerwoche berichtet, dass intelligente Nutzung von Rabattmodellen (Commitment für 1 oder 3 Jahre) oft den entscheidenden Preisvorteil bringt.

Wie können Sie versteckte Kosten managen? Ein kritisches Element sind „versteckte Kosten“ wie Data Egress oder API-Aufrufe. In vielen Leistungsverzeichnissen werden diese Positionen vergessen. Wenn Sie diese Kosten nicht explizit einkalkulieren, laufen Sie Gefahr, dass diese später Ihre Marge auffressen. PayPro Global empfiehlt, in der Angebotsphase aggressive Annahmen zum Traffic-Volumen zu treffen und diese transparent als Kalkulationsgrundlage im Angebot zu vermerken.

Was sind die Risiken bei Preisanpassungsklauseln? Cloud-Preise sind oft an den Dollar-Kurs oder Energiepreise gekoppelt. Analysen von Deloitte zeigen, dass die EVB-IT Cloud zwar Möglichkeiten für Preisanpassungen vorsieht, diese aber oft restriktiv sind. Prüfen Sie genau, ob Sie Währungsrisiken absichern müssen. In Zeiten volatiler Märkte kann eine starre Preisbindung über 4 Jahre existenzbedrohend sein.

Erfolgreiche Bieter nutzen oft hybride Preismodelle: Ein Fixpreis für die Basisinfrastruktur, kombiniert mit einer flexiblen Preisliste für Zusatzdienste. Das ist der beste Weg, um das Sicherheitsbedürfnis des Einkäufers zu befriedigen und gleichzeitig Ihre nötige Flexibilität zu sichern.

Technische Anforderungen: Mandantenfähigkeit und Backup

Neben Sicherheit und Preis sind es oft spezifische technische Anforderungen, die über Erfolg oder Misserfolg entscheiden. Warum ist Mandantenfähigkeit so entscheidend? Ein Klassiker ist die Forderung nach diesem Feature. Öffentliche Auftraggeber fürchten den „Noisy Neighbor“-Effekt, bei dem ein anderer Kunde auf demselben physischen Server die Performance beeinträchtigt. Laut TechTarget ist dieses Phänomen einer der Hauptgründe für Performance-Schwankungen in der Cloud. IONOS erläutert im Rahmen des C5-Katalogs, dass hier oft eine logische Trennung ausreicht, manche Ausschreibungen aber explizit dedizierte Hardware (Dedicated Hosts) verlangen. Achten Sie hier genau auf die Details: „Dediziert“ treibt den Preis massiv in die Höhe.

Was ist der Unterschied zwischen Backup und Verfügbarkeit? Auch das Thema Backup und Disaster Recovery wird oft missverstanden. Die Cloud ist nicht automatisch ein Backup. Hosttech warnt, dass viele Kunden Verfügbarkeit (Redundanz) mit Datensicherung verwechseln. Wie das BSI berichtet, ist eine klare Trennung dieser Konzepte für die IT-Sicherheit unerlässlich. Wenn Sie die Ausschreibung bearbeiten, müssen Sie klar unterscheiden:

• RPO (Recovery Point Objective): Wie viel Datenverlust ist maximal erlaubt? (z.B. 15 Minuten)
• RTO (Recovery Time Objective): Wie schnell muss das System wieder laufen? (z.B. 4 Stunden)

Wann sollten Sie bei den Anforderungen stutzig werden? Eine RTO von „0“ ist technisch extrem aufwendig (Active-Active-Cluster über mehrere Regionen) und teuer. Hier ist ein Tipp: Wenn eine Ausschreibung dies fordert, lohnt sich oft eine Bieterfrage zur Klärung, ob wirklich „0“ oder eher „nahezu sofort“ gemeint ist.

Wie können Sie den Exit sicherstellen? Ein letzter wichtiger Punkt ist die Entflechtung (Exit-Strategie). Untersuchungen des Bitkom zeigen, dass fehlende Exit-Strategien oft zu einem Vendor Lock-in führen. Die EVB-IT Cloud verlangt detaillierte Pläne für das Vertragsende. Sie müssen beschreiben, wie Daten exportiert werden (z.B. als SQL-Dump oder CSV) und welche Unterstützung Sie bieten. Fehlt dieses Konzept, gilt das Angebot oft als unvollständig.

Fazit: Systematik schlägt Bauchgefühl

Was macht Cloud-Ausschreibungen so herausfordernd? Sie sind ein komplexer Mix aus juristischen, technischen und kaufmännischen Anforderungen. Der Erfolg liegt dabei nicht im günstigsten Preis allein, sondern im Verständnis von Vorgaben wie EVB-IT, BSI C5 und SLA-Metriken. Wie Menold Bezler zusammenfasst, brauchen Sie hier den Blick fürs Ganze.

Für IT-Dienstleister bedeutet das: Investieren Sie Zeit in die Analyse der Vergabeunterlagen. Nutzen Sie moderne Tools, um kritische Klauseln zu identifizieren, und scheuen Sie sich nicht, unklare Anforderungen durch Bieterfragen zu klären. Wer die Sprache der öffentlichen Auftraggeber spricht und ihre Sicherheitsbedürfnisse ernst nimmt, hat im wachsenden deutschen Cloud-Markt exzellente Karten.