Cloud-Beschaffung im öffentlichen Sektor: Verfahren & Rahmenverträge

Die Strategie: Deutsche Verwaltungscloud (DVS) und Cloud-First

Was ist die Deutsche Verwaltungscloud-Strategie (DVS)? Der Wandel in der deutschen Verwaltung ist klar: Weg vom eigenen Serverkeller, hin zu flexiblen Multi-Cloud-Architekturen. Der Kern dieser Transformation ist die DVS. Wie die FITKO (Föderale IT-Kooperation) erläutert, handelt es sich dabei nicht um ein einzelnes staatliches Rechenzentrum, sondern um ein föderales Ökosystem. Nach Angaben des IT-Planungsrats ist das Ziel, Cloud-Dienste verschiedener Anbieter - sowohl öffentlicher IT-Dienstleister als auch privater Hyperscaler - über standardisierte Schnittstellen und ein gemeinsames Cloud-Service-Portal (CSP) verfügbar zu machen.

Wie wirkt sich das auf Ihr Geschäft aus? Für Sie als IT-Anbieter bedeutet das eine grundlegende Marktveränderung. Die DVS definiert Standards für Interoperabilität, die als „Eintrittskarte“ für den öffentlichen Markt dienen. Der CIO des Bundes betont, dass digitale Souveränität dabei an erster Stelle steht. Hier ist der entscheidende Punkt: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert, dass Sie nachweisen müssen, den Datenschutz zu wahren und die Kontrolle über Daten und Prozesse zu behalten. Wenn Sie dies tun, minimieren Sie Abhängigkeiten (Vendor Lock-in) und sichern Ihre Marktposition.

Lassen Sie uns die Kernpunkte betrachten:

• Multi-Cloud-Ansatz: Parallele Nutzung privater und öffentlicher Clouds.
• Standardisierung: Einheitliche APIs und Sicherheitsniveaus für alle Ebenen (Bund, Länder, Kommunen).
• Marktplatz-Prinzip: Das Cloud-Service-Portal als zentraler Hub für Beschaffung.

Warum ist diese Anpassung notwendig? Diese Ausrichtung zwingt Anbieter dazu, ihre Portfolios anzupassen. Wenn Sie heute Cloud-Lösungen an den Staat verkaufen wollen, müssen Sie nicht nur technisch liefern, sondern auch strategisch in das Konzept der digitalen Souveränität passen.

Das rechtliche Rückgrat: EVB-IT Cloud und BSI C5

Was ist die EVB-IT Cloud? Sie ist das im März 2022 eingeführte Standardvertragswerk für die Beschaffung von Cloud-Leistungen (IaaS, PaaS, SaaS) durch die öffentliche Hand. Das Bundesministerium des Innern (BMI) berichtet, dass sie die rechtliche Lücke klassischer EVB-IT-Verträge schließt und spezifische Aspekte wie SLAs und Datensicherheit regelt. Hier ist der entscheidende Punkt: Für Sie als Anbieter ist das Verständnis dieser Verträge essenziell, da sie bei fast allen Bundesvergaben zwingend vorgeschrieben sind.

Wie funktioniert das Sanktionsmodell? Ein Kernstück der EVB-IT Cloud ist der Umgang mit Service Level Agreements (SLAs). Wenn Sie sich die Details ansehen, werden Sie feststellen, dass anders als bei klassischen Werkverträgen bei Nichteinhaltung von Verfügbarkeiten automatisch Gutschriften fällig werden. Rechtsexperten von Noerr analysieren, dass dies den Druck auf Anbieter erhöht, realistische Verfügbarkeiten zu garantieren. Zudem regelt der Vertrag explizit die „Mitwirkungspflichten des Auftraggebers“ - ein Aspekt, den Sie unbedingt beachten sollten, um Streitigkeiten über Verantwortlichkeiten (z. B. Backups) zu vermeiden.

Was sind die Anforderungen des C5-Katalogs? Neben dem Vertragswerk ist der Kriterienkatalog C5 die zweite wichtige Säule. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert mit dem C5 einen Standard, der weit über die ISO 27001 hinausgeht. Er fordert detaillierte Nachweise über Umfeldkontrollen und Datensicherheit. Das bedeutet für Sie: Ohne ein C5-Testat (oder einen gleichwertigen Nachweis) werden Ihre Angebote oft gar nicht erst zur Wertung zugelassen.

Die EVB-IT Cloud integriert diese Sicherheitsanforderungen direkt in den Vertrag. Anbieter müssen zusichern, dass sie die Standards während der gesamten Laufzeit einhalten. Berater von PwC weisen darauf hin, dass dies eine kontinuierliche Auditierungspflicht bedeutet. Ergänzend zeigen Analysen des Bitkom, dass dies besonders kleinere SaaS-Anbieter vor Herausforderungen stellt. Aber es bietet auch eine Chance: Wenn Sie den C5-Standard erfüllen, zeigen Sie höchste Vertrauenswürdigkeit und sichern sich einen klaren Wettbewerbsvorteil.

Wie kann der Beschaffungsprozess beschleunigt werden? Zusätzlich adressiert die EVB-IT Cloud das Thema Datenschutz und Auftragsverarbeitung (AVV) direkt im Hauptvertrag. Rechtliche Einschätzungen von CMS bestätigen, dass dies den Abschluss separater AVV-Verträge oft überflüssig macht. Dies beschleunigt den Prozess erheblich, setzt aber voraus, dass Sie als Anbieter die strengen DSGVO-Vorgaben der öffentlichen Hand vollständig akzeptieren.

Beschaffungswege: Rahmenverträge, Mini-Competitions und das Umklappmodell

Wie kommt der Cloud-Service konkret zur Behörde? Der effizienteste Weg führt über Rahmenvereinbarungen, da die klassische Einzelvergabe oft zu langsam ist. Das Auftragsberatungszentrum Bayern berichtet, dass diese Verträge die Bedingungen für künftige Aufträge festlegen und so komplexe Verfahren vermeiden. Hier ist der „Königsweg“ für Cloud-Anbieter, um dauerhaft im Geschäft zu bleiben.

Ein häufiges Instrument innerhalb dieser Rahmenverträge ist der Mini-Wettbewerb (Mini-Competition). Hierbei fordert der Auftraggeber alle im Rahmenvertrag gelisteten Unternehmen auf, für einen konkreten Bedarf ein Angebot abzugeben. Forschungen zur digitalen Nachhaltigkeit zeigen, dass dieses Verfahren sehr effizient ist. Warum ist dieses Verfahren so effizient? Die Eignungsprüfung ist bereits beim Abschluss des Rahmenvertrags erfolgt. Wenn Sie diese Hürde einmal genommen haben, geht es im Mini-Wettbewerb nur noch um Preis und Leistung.

Ein spezifisches Konstrukt im deutschen Verwaltungsumfeld ist das „Umklappmodell“. Die FITKO beschreibt dieses Modell als Mechanismus, bei dem ein öffentlicher IT-Dienstleister einen Vertrag mit einem privaten Cloud-Anbieter schließt und diesen Service an seine Träger „weiterreicht“. Wie sieht die Rechtslage aus? Die Kommune kauft bei ihrem eigenen IT-Dienstleister (Inhouse-Vergabe), während dieser die Leistung am Markt beschafft hat. Für private Anbieter ist diese Partnerschaft oft der wichtigste Vertriebskanal.

Wie läuft ein typischer Abruf ab? Lassen Sie uns die Schritte im Detail betrachten:

1. Bedarfsmeldung: Die Fachabteilung meldet Bedarf an einer SaaS-Lösung.
2. Prüfung Rahmenvertrag: Der Einkauf prüft, ob ein Rahmenvertrag existiert.
3. Einzelabruf oder Mini-Comp: Sind die Konditionen fix, erfolgt der Direktabruf. Sind Variablen offen, wird ein Mini-Wettbewerb gestartet.
4. Zuschlag: Der Bestbieter erhält den Einzelauftrag auf Basis der EVB-IT Cloud.

Ein weiteres modernes Instrument ist das Dynamische Beschaffungssystem (DPS). Was sind die Vorteile eines DPS? Im Gegensatz zum starren Rahmenvertrag können hier jederzeit neue Anbieter beitreten. Daten von e-Vergabe bestätigen, dass sich hier immer häufiger DPS für Cloud-Leistungen finden. Sie werden sehen, dass dies besonders für Start-ups attraktiv ist, da sie nicht warten müssen, bis ein alter Rahmenvertrag ausläuft.

Wo liegt die strategische Herausforderung? Sie müssen entscheiden, ob Sie sich auf große Rahmenverträge bewerben oder Partnerschaften suchen. Branchenanalysen von Gartner deuten oft darauf hin, dass eine Mischstrategie der sicherste Weg zum Erfolg ist.

Herausforderungen: US-Anbieter, Datenschutz und Haushaltsrecht

Trotz standardisierter Verträge bleiben Hürden bestehen. Was sind die größten Herausforderungen? Das wohl prominenteste Thema ist die Frage nach der Zulässigkeit von US-Cloud-Anbietern (Hyperscalern) im Lichte der DSGVO und des „Schrems II“-Urteils. Wenn Sie sich fragen, ob Behörden Dienste von AWS, Microsoft oder Google nutzen dürfen, sind Sie nicht allein. Laut Berichten des BfDI herrscht hier oft Unsicherheit. Eine wegweisende Entscheidung des OLG Karlsruhe hat hier jedoch für etwas Klarheit gesorgt: Der pauschale Ausschluss von US-Töchtern ist vergaberechtlich nicht zulässig, sofern diese zusichern, die Datenverarbeitung ausschließlich in Europa durchzuführen und vertragliche Garantien gegen den Zugriff Dritter bieten.

Ein weiteres, oft unterschätztes Problem ist das Haushaltsrecht. Warum ist das relevant? Die öffentliche Verwaltung plant in jährlichen Budgets (Kameralistik), während Cloud-Modelle auf variablen Kosten (Pay-per-Use / OpEx) basieren. Experten der Verwaltung der Zukunft weisen darauf hin, dass dies zu Konflikten führt: Wie genehmigt man ein Budget, dessen Höhe von der tatsächlichen Nutzung abhängt? Hier ist die Lösung: Sie liegt oft in „Deckelungen“ (Caps) innerhalb der Verträge oder in der Buchung von festen Kontingenten. Wie der Bitkom berichtet, haben Anbieter, die flexible Abrechnungsmodelle anbieten (z. B. Prepaid-Modelle), deutlich bessere Karten.

• Datensouveränität: Nachweis der Datenhaltung in DE/EU ist obligatorisch.
• Budget-Sicherheit: Kostendeckel oder Flatrates werden oft bevorzugt gegenüber reinem Pay-per-Use.
• Exit-Strategie: Behörden fordern vertraglich geregelte Ausstiegsszenarien, um Vendor Lock-in zu vermeiden.

Wie können Sie sicherstellen, dass kein Vendor Lock-in entsteht? Schließlich ist die Interoperabilität ein wachsendes Thema. Nach Angaben der FITKO fordert die DVS offene Schnittstellen. Proprietäre Lösungen, die keine Datenmigration zulassen, werden zunehmend aus Ausschreibungen gedrängt. Anbieter müssen glaubhaft darlegen, wie Daten am Vertragsende exportiert oder in andere Systeme überführt werden können.

Checkliste für IT-Dienstleister: So gewinnen Sie Ausschreibungen

Wie können Sie den Erfolg bei der Cloud-Vergabe Bitkom sicherstellen? Erfolg ist hier kein Zufall, sondern das Ergebnis guter Vorbereitung. Hier ist eine Übersicht, wie Sie Ihre Chancen maximieren:

• Zertifizierungen prüfen: Was sind die Mindestanforderungen? Laut BSI-Richtlinien [6] ist ein aktuelles C5-Testat unerlässlich. Wenn Sie zudem keine ISO 27001 vorweisen können, bleiben viele Türen verschlossen.
• EVB-IT-Kompetenz aufbauen: Warum ist das wichtig? Experten für Vergaberecht Noerr betonen, dass zu viele Abweichungen von den AGB der öffentlichen Hand zum Ausschluss führen. Schulen Sie Ihren Vertrieb daher gezielt auf die EVB-IT Cloud [4].
• Partnerschaften suchen: Wo können Sie sich listen lassen? Berichte des IT-Planungsrats FITKO legen nahe, Kooperationen mit öffentlichen IT-Dienstleistern einzugehen oder Marktplätze wie das Cloud-Service-Portal der DVS [3] zu nutzen.
• Vergabe-Screening: Wie hilft Automatisierung dabei? Nutzen Sie KI, um Ausschreibungen frühzeitig zu finden. Daten von BidFix zeigen, dass spezialisierte Tools helfen, relevante Bekanntmachungen im Dschungel der Plattformen schneller zu identifizieren.

Wer diese Hausaufgaben macht, findet im öffentlichen Sektor einen verlässlichen Kunden. Das ist der Weg zu langfristigen Cloud-Partnerschaften.