Cloud Computing Öffentliche Auftragsvergabe Schweiz

Transkript

1 Leitfaden Cloud Computing Öffentliche Auftragsvergabe Schweiz

2 EuroCloud Swiss

3 Impressum Dieser Leitfaden wird herausgegeben von: EuroCloud Swiss Verein zur Förderung von Cloud Computing 8000 Zürich Web: Die in diesem Leitfaden zur Verfügung gestellten Informationen dienen der allgemeinen Darstellung spezieller rechtlicher Aspekte im Zusammenhang mit Cloud Computing. Sie stellen keine Rechtsberatung dar und können auch keine Rechtsberatung ersetzen, da eine solche immer die Kenntnis aller Umstände, insbesondere des konkreten Einzelfalls, voraussetzt. Die Herausgeber/Autoren übernehmen keine Gewähr für die Vollständigkeit, Richtigkeit oder Aktualität der bereit gestellten Informationen. Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 3

4 Inhalt A. EINLEITUNG 0 Vorwort 5 1 Problemstellung 6 B. FACHLICHE BESONDERHEITEN 2 Cloud Computing 7 3 Welche Services lassen sich beschaffen? 10 4 Chancen & Risiken von Cloud-Services 13 5 Welche Probleme stellen sich spezifisch aus Behördensicht? 15 C. BESCHAFFUNGSFRAGEN 6 Beschaffungsrechtliche Grundlagen 19 7 Verfahrensarten und Schwellenwerte 21 8 Stationen einer Cloud-Beschaffung 23 D. ANHANG 9 Hilfestellungen für den Fragekatalog Glossar Cloud Computing Quellennachweise Autoren 37

5 0 Vorwort Liebe Leserinnen und Leser, Cloud Computing ist heute im Markt etabliert. Cloud-Services werden künftig zum Bestandteil jeder IT-Planung in praktisch jeder Organisation. Organisationen sind fortlaufend gezwungen, über die Ökonomisierung ihrer IT nachzudenken und sich zwischen Inhouse-Lösung und möglichen neuen Sourcingmodellen zu entscheiden. Jedes Unternehmen, jeweils mit Blick auf seine individuelle Ausgangslage und ungeachtet seiner Grösse, wird sich in der kommenden Zeit ernsthaft mit der Frage beschäftigen müssen, ob es seine IT ganz oder teilweise als Cloud-Service beziehen will. Mit solchen Herausforderungen sind auch öffentlich-rechtliche Unternehmen und Verwaltungen konfrontiert. Wurden heute bei öffentlichen Ausschreibungen vorwiegend technische Anforderungen bezüglich Hardware, Software und Netzwerken spezifiziert, so ändert sich dies bei Cloud-Services dahingehend, dass Anforderungen an modulare und flexible Cloud-Services mit verbrauchsabhängigen Kosten beschrieben werden müssen. Da die Anforderungen von Seiten Anwender nicht immer mit den standardisierten und modularen Cloud-Services übereinstimmen, sollten die Anforderungen der Anwender im Rahmen des Vergabeverfahrens mit den Angeboten der Anbieter abgestimmt werden. Auch die für Cloud Services typischen Preisgestaltungen können Besonderheiten aufweisen. Cloud Services führen abgesehen von den einmaligen Implementierungskosten zu variablen und laufenden Betriebskosten. Der vorliegende Leitfaden beschreibt Cloud Computing als Herausforderung des Vergabewesens. Er soll einerseits öffentlich-rechtliche Unternehmen und Verwaltungen bei der Ausschreibung und andererseits Anbieter bei der Ausarbeitung ihres Angebots von Cloud- Services unterstützen. Der Leitfaden erörtert, welche Fragen bei der Ausschreibung von Cloud Services zu stellen sind. Ein Projektteam aus Vertretern von Bund, den Verbänden EuroCloud Swiss und der SwissICT hat diesen Leitfaden erstellt. EuroCloud Swiss, die Landesorganisation der europäischen EuroCloud-Organisation, ist der schweizerische Fachverband zur Förderung des Cloud Computing in der Schweiz. Wir setzen uns ein für Transparenz, Standards, Events, Qualität und Zertifizierungen von Cloud-Services in der Schweiz. Als Präsident von EuroCloud Swiss bedanke ich mich herzlich bei den Autoren und den weiteren Beteiligten, die bei der Erstellung des vorliegenden Leitfadens mitgewirkt haben. Zürich, März 2013 Heinz Dill, Präsident EuroCloud Swiss Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 5

6 1 Problemstellung Cloud Computing ist für die Verwaltung eine ebenso attraktive Option wie für private Unternehmen. Mit der Cloud Computing-Strategie der Schweizer Behörden hat der Bund die Attraktivität und den Nutzen von Cloud Computing als Aspekt der egovernment- Strategie erkannt und strategisch eingeplant. Als strategische Stossrichtung definiert die Cloud Computing-Strategie verschiedene Massnahmen. Dazu gehören auch der Aufbau von dedizierten Cloud-Angeboten für die Behörden (IaaS, PaaS sowie SaaS). Die Ausschreibung und Vergabe von Cloud Computing-Leistungen stellt eine Herausforderung dar. Aus rechtlicher Sicht sind neben den Compliance- und Datenschutzbestimmungen (hierzu: Cloud-Leitfaden Risk & Compliance, abrufbar unter zusätzlich die vergaberechtlichen Normen einzuhalten, je nach Ausgangslage: WTO-Übereinkommen über das öffentliche Beschaffungswesen (GPA) Bilaterales Abkommen mit den EU-Staaten EFTA-Übereinkommen Binnenmarktgesetz (BGBM) Bundesgesetz (BöB) und Verordnung (VöB) Kantonale und kommunale Gesetze, Verordnungen und Vergaberichtlinien sowie die Interkantonale Vereinbarung über das öffentliche Beschaffungswesen (IVöB) Für ein Ausschreibungsvorhaben in den Bereichen Cloud Computing und IT-Ausschreibungen bedarf es erhebliches Know-how. Dieser Leitfaden bietet eine Hilfestellung, kann aber die Beurteilung durch einen Vergaberechtsexperten nicht ersetzen. Der Leitfaden gibt Anbietern von Cloud Services einen Überblick über das Beschaffungsrecht. Cloud Services basieren auf eher komplexen Leistungserbringungsstrukturen. Cloud Services betten sich oft auch in einen internationalen Kontext ein. Diese Aspekte will dieser Leitfaden der Beschaffungsstelle näherbringen.während der Anbieter von Cloud Services auf Standardisierung bedacht ist, sind Cloud Services aus Kundensicht kaum je standardisiert. Das macht es schwierig, eingereichte Angebote zu vergleichen. Wie ist auszuschreiben, damit die Beschaffungsstelle bekommt, was sie wünscht?

7 2 2.1 Cloud Computing Paradigmenwechsel Die Innovationszyklen werden immer schneller. Technologische Entwicklungenn in den Berei- chen Endgeräte, Netzwerke, Kommunikation, Server- und Speicherinfrastrukturen sowie An- wendungen gehen rasant vonstatten. Mit der zunehmend globalisierten Wirtschaft und den Bedürfnissen zu immer schnelleren und umfangreicheren Informationen sind die Anforderun- gen auch seitens der Unternehmen als zukünftige potentielle Nutzer stark gestiegen. Cloud Computing ist Ausdruck eines Paradigmenwechsels. Der bisher in der IT etablierte sys- temzentrische Ansatz wird von einem informationszentrischen Ansatz abgelöst. Beim system- zentrischen Ansatz standen die IT Infrastruktur sowie die Wahrnehmung derselben als eigene oder zumindest direkt kontrollierte Einrichtung im Vordergrund. Der informationszentrische Ansatz stelltt Prozesse ins Zentrum, mit einem Anspruch auf jederzeitige und ubiquitäre Ver- fügbarkeit von Daten und Services. Der Paradigmenwechsel schlägt sich auch im kommerziellen Modell nieder. Für die Nutzer soll es einerseits einfacher und kostengünstiger werden. Gleichzeitig werden die Leistungser- bringungsstrukturen der Anbieter komplexer: Investitionen müssen getätigt und neue Busi- nessmodellee entworfen werden. Die nachfolgende Graphik zeigt im Einzelnen, auf wechsel auswirkt: welchen Ebenen sich der Paradigmen- Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seitee 7

8 Aus Anbietersicht steht im Zentrum, die Informations- und Kommunikationstechnologie auf allen Ebenen zu konsolidieren. Das mit Cloud Services verbundene Effizienzsteigerungspotential führt dazu, dass sich Cloud Services gut für zentral zu erbringende Leistungen eignen (namentlich für Shared Services, d.h. für Leistungen, die für verschiedene Operationseinheiten zusammengefasst und zentral erbracht werden sollen). Aus Nutzersicht bringt Cloud Computing einen Wechsel von der Investitionskostenrechnung (Capital Expenditure, Capex) zur Betriebskostenrechnung (Operational Expenditure, Opex) mit sich. 2.2 Cloud Services als Outsourcing Wer Cloud Services bezieht, lagert Leistungen an einen Dritten aus. Damit stellt Cloud Computing aus rechtlicher Warte eine Form von Outsourcing dar. Cloud Computing ist dabei eine Sonderform oder Weiterentwicklung des Outsourcing, weil der Anbieter gesteigerten kundenseitigen Anforderungen hinsichtlich Flexibilität zu genügen hat. Dies wirkt sich wie folgt aus: anbieterseitig: der Anbieter hat gesteigerten architektonischen Anforderungen zu genügen (z.b. Internet-Infrastruktur, Bandbreiten, Server- und Speicherkapazitäten, Softwareentwicklung, Sicherheit, betriebliche Aufwände etc.) kundenseitig: der Kunde sieht sich beim Bezug von Cloud Services mit einer höheren Automatisierung, Modularisierung und Standardisierung konfrontiert. Kostenüberlegungen veranlassen Anbieter zu einem hohen Grad an Standardisierung, Automatisierung und Skalierbarkeit. Dies wirkt sich sehr häufig auf die Standardisierung der Serviceerbringung aus, was gleichzeitig positiv wie auch negativ gewürdigt werden kann: Kunden können von den Spezialkenntnissen der Anbieter profitieren und sich so auf ihr Kerngeschäft konzentrieren der Spielraum für den Kunden, vom Anbieter individuelle technische Lösungen zu beziehen, ist - abhängig von der Modularität und Flexibilität der Cloud-Services - oft eingeschränkt.

9 2.3 Service Layers: IaaS, PaaS, SaaS Ein Cloud Angebot kann sich logisch aus verschiedenen Schichten zusammensetzen. Man unterscheidet IaaS, PaaS und SaaS(siehe hierzu auch Ziffer 3.1): IaaS(Infrastruktur as a Service) sind Rechenzentrums-, Rechnerinfrastruktur- und Konnektivitätsdienstleistungen, die den Betrieb von unternehmenseigener Software on Demand unterstützen. PaaS(Platform as a Service) sind Dienstleistungen, die die Entwicklung und den Betrieb von unternehmenseigener Software on Demand unterstützen. SaaS (Software as a Service) sind Dienstleistungen, die Geschäftsprozesse eines Unternehmens on Demand unterstützen. Die nachstehende Grafik zeigt, dass die Komplexität mit jeder Stufe der Leistungserbringung (d.h. jedem der Service Layers (IaaS, PaaS und SaaS)) zunimmt, da jede zusätzliche Schicht jeweils auf den darunterliegenden Schichten aufbaut: Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 9

10 3 Welche Services lassen sich beschaffen? Grundsätzlich lassen sich Services gemäss den folgenden Kategorien einteilen: 3.1 Nach Produkteklassen IaaS PaaS SaaS Thema, Beschreibung Infrastruktur-Services wie: Speicherplatz Server mit Virtualisierung Konnektivität Betriebssysteme Plattform-Services wie: Middleware-Anwendungen Datenbanken Systemmonitoring Gateways Data-Services Entwicklungsplattformen Software-Services als internetbasierte Anwendungen für die geschäftliche oder private Nutzung Beispiele Amazon Web Services, IBM SmartCloud Services, Windows Azure, Joyent, SwissV Windows Azure, IBM SmartCloud Services, Dropbox, SMS/ -Gateway, Backup Services, Virtual Desktop, Security Services, System Management Services Google, Salesforce, Netsuite, SAP By Design, Abacus Cloud, myfactory, HR Services, WebShops, Office365, Dynamics CRM. 3.2 Nach Nutzungsklassen Private Cloud Community Cloud Public Cloud Thema, Beschreibung Ausschliessliche Nutzung der Leistung durch berechtigte User einer (in der Regel juristischen) Organisation. Thematisch ähnlich ausgerichtete aber juristisch unabhängige Organisationen nutzen dieselben Services, bewirtschaften ihre Daten aber getrennt auf einem Shared Service. Jedermann oder jedes Unternehmen kann diecloud-services nutzen und auf seine Daten zugreifen. Der Zugriff wird gesteuert über Berechtigungen. Oft stehen auch Rollenmodelle zur Verfügung. Beispiele Konzerne der Pharma-, Maschinen- oder Finanz- und Assekuranzindustrien, welche substantielle Teile ihrer IT konsolidieren und eine In-House Cloud-Lösung haben oder diese outsourcen. Z.B. Novartis setzt für ihr Unternehmen weltweit Office365 ein, betrieben durch Microsoft. Konkordatsleistungen (mehrere Unternehmen mit gleichen rechtlichen Rahmenbedingungen und ähnlichen Serviceanforderungen nutzen die gleichen Cloud-Services.) Leistungen im Gesundheitswesen (z.b. Personalakte) Leistungen im Transportbereich (z.b. Transportdisposition) CRM-Lösungen ERP-Lösungen Networking-Plattformen (Xing, Linkedin)

11 Hybrid Thema, Beschreibung Ist eine Mischung respektive Integration von Private-, Community- oder Public-Cloud- Services mit In-House-IT Lösungen. Beispiele Facebook wird in das In-House CRM integriert. Ein shared Reiseportal wird in eine Hotel- Anwendung integriert. Ein Office 365 wird integriert in ein ERP- System eines Unternehmens. Ein Unternehmen betreibt seine Anwendungen auf z.b. Windows Azure. Ein PaaS oder IaaS Cloud-Angebot mit welchem nur Anwendungen für eine öffentliche Institution z.b. Gemeinden bedient werden. 3.3 Nach Bezahlmodellen Bezahlmodelle für Cloud-Angebote folgen oft einem nutzungsabhängigen Ansatz ( pay per use ). Diese Modelle skalieren - je nachdem, wie der Kunde den Service nutzt - nach oben und nach unten. Will der Kunde budgetieren, wird er in Kostenbandbreiten rechnen müssen, zumal die konkrete künftige Nutzung kaum je abschätzbar sein wird. Zusätzlich können Aufschalt- und/oder Implementierungskosten anfallen, die der Anbieter entweder als Einmalgebühr in Rechnung stellt oder in die Nutzungsgebühr einrechnet. Aus Kundensicht ist es zentral, Transparenz über das Bezahlmodell zu bekommen. Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 11

12 Innerhalb der Produkteklassen können die Bezahlmodelle unterschiedlich sein. In der nachfolgenden Tabelle sind einige Beispiele aufgeführt: Einsatzbereich SaaS, PaaS, IaaS SaaS, PaaS, IaaS SaaS PaaS SaaS PaaS SaaS PaaS IaaS SaaS PaaS Preismodell Anwendung Relevanz für Ausschreibungen Aufschaltgebühr (einmalig) Ausgelöst durch Auftragsbestätigung, Einmalige Kosten; Anmeldung Bei Services eingerechnet. oder Erstnutzung, etc. Monatsgebühr; Jahresgebühr (pauschaler Ansatz) Monatsgebühr; Jahresgebühr (nutzungsabhängiger Ansatz) Volumenmodell, basierend auf Anzahl Nutzern ( Users ) Volumenmodell (system-, zeit- oder transaktionsbasiert) Mischformen Als wiederkehrende Kosten abhängig von Nutzungsintensität, freigeschalteten Funktionen oder abgewickelten Prozessen oder Transaktionen. Oft wird unterschieden zwischen Anwendern und Power-Usern Als wiederkehrende Kosten abhängig von Nutzungsintensität, freigeschalteten Funktionen oder abgewickelten Prozessen. Man unterscheidet wie folgt: Named User: Nutzung ist jedem Nutzer jederzeit möglich. Concurrent User: Gleichzeitige Nutzung auf eine Anzahl Nutzer beschränkt. Oft wird unterschieden zwischen Anwendern und Power-Usern. In diesem Modell werden entweder die reservierten oder tatsächlich benutzten Systeme oder Transaktionen (z.b. Verbuchungen, Abverkäufe etc.) in einer Periode oder Zeiteinheit gemessen und abgerechnet. Mischformen sind wie folgt denkbar: Kombination eines Usermodells mit einem Transaktionsmodell Kombination eines Usermodells mit einer skalierbaren Systemnutzung Modulares Preismodell Paketpreismodell Die Abrechnung erfolgt periodisch auf der Basis einer Nutzungsübersicht (Reporting). Die Abrechnung erfolgt periodisch auf der Basis einer Nutzungsübersicht (Reporting). Die Abrechnung erfolgt periodisch auf der Basis einer Nutzungsübersicht (Reporting). Die Abrechnung erfolgt periodisch auf der Basis einer Nutzungsübersicht (Reporting).

13 4 Chancen & Risiken von Cloud-Services Wer ein Cloud Projekt realisieren will, sollte die Chancen zusammen mit den Risiken würdigen, um seine Ziele ausgewogen umzusetzen. Im Rahmen eines Ausschreibungsvorhabens sind solche Überlegungen in die Angebotsanalyse einzubeziehen. 4.1 Chance: Effizienzsteigerung und Flexibilität Cloud Computing bietet erhebliche Chancen, die Effizienz im Umgang mit IT-Mitteln zu steigern und grössere Flexibilität zu erhalten. 4.2 Chance: Nutzung von Innovationen Ausserdem werden softwaregestützte Nutzungen möglich, die bislang nicht zur Verfügung standen (Innovation). Hintergrund ist, dass Anbieter Dienste einem grösseren Nutzerkreis international zur Verfügung stellen können und mit Hilfe der so erzielten Skaleneffekte diese Dienste anbieten können, was früher an zu hohen Transaktionen gescheitert wäre. 4.3 Chance und Risiko: Informationssicherheit Cloud Computing bietet auch die Chance, die Informationssicherheit der IT-Einrichtungen vor Ort beim Kunden zu verbessern. Auf der Ebene der Informationssicherheit entsteht freilich auch ein Risiko: Öffentliche Cloud Dienste (Public Cloud) sind beliebte Ziele von Hackerangriffen, deren Motiv meist das Ergattern von Passwörtern ist, um diese andernorts wieder einsetzen zu können. Die Vulnerabilität von Public Cloud Angeboten hängt oft mit der Gedankenlosigkeit der Nutzer zusammen. Gleichzeitig muss man aber betonen, dass die Exponiertheit von Public Cloud Diensten nicht verallgemeinert werden darf. Der Einsatz von solchen Angeboten ist sorgfältig abzuwägen (welche Informationen können dort verarbeitet werden, Passwortvorgaben an Nutzer, Schulung der Nutzer in den Bereichen Informationssicherheit). 4.4 Wahrnehmungsproblem: Komplexität vs. Transparenz Aus Kundensicht überwiegt die Wahrnehmung, bei der Nutzung von Cloud Computing gebe der Nutzer auch die Kontrolle über die in der Cloud bearbeiteten Daten an den Anbieter ab. Diese Wahrnehmung mag mit der Komplexität des Leistungsangebots zusammenhängen. Zugleich dürfte die Kundenwahrnehmung einen Zielkonflikt zur Ursache haben: Zutreffend ist, dass eine Kombination verschiedener Service Layers (IaaS, PaaS bzw. SaaS) den Komplexitätsgrad und damit auch das Transparenzbedürfnis erhöht. Mit zunehmender Komplexität wird eine umfassende Information über den gewählten technischen Lösungsansatz jedoch immer weniger praktikabel. Ein Cloud-Anbieter muss einen Weg finden, wie er Komplexität effizient und unter Einhaltung aller relevanten Sicherheitsaspekte verwalten und gleichzeitig das Kundenbedürfnis nach Sicherheit, Kontrolle und Transparenz befriedigen kann. Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 13

14 4.5 Rechtlicher Kontrollverlust? Faktischer Kontrollverlust? Keins von beidem? Zum Thema Kontrollverlust ist sodann Folgendes zu präzisieren: Wie gezeigt, folgt auch Cloud Computing einem Outsourcingansatz. Wenn Daten auf einen Dritten ausgelagert werden, führt dies stets zu einer Öffnung der Dateninfrastruktur des Kunden im Verhältnis zu diesem Dritten. Im Rahmen von Outsourcingprojekten ist es selbstverständlich, dass der Anbieter für den physischen Schutz der Daten zu sorgen hat, während die logische und rechtliche Herrschaft und Verantwortung beim Nutzer verbleibt. Dies ist bei Cloud Projekten nicht anders. Auf den vorstehend dargestellten Zielkonflikt sollten die Parteien in einem Cloud Projekt mit rechtlichen Mitteln reagieren: Im Nutzungsvertrag sollte der Kunde vom Anbieter keine technische Detaildokumentation verlangen, sondern die technische Lösung als Black Box entgegennehmen. Zum Ausgleich sollte der Anbieter im Rahmen von Zusicherungen die Kontroll- und Datensicherungsbedürfnisse des Kunden bestätigen. Ausserdem sollte der Anbieter die aus rechtlicher Sicht geforderte Compliance- Dokumentation bereit halten und dem Kunden aushändigen können. Bei korrekter Regelung der Grundlagen tritt in rechtlicher Hinsicht also kein Kontrollverlust ein. Rechtlich und aus Kundensicht ist freilich relevant, dass die Kontrollrechte des Kunden sowie die Massnahmen zum Schutz der Daten mit dem Angebot des Cloud Anbieters abgestimmt und vertraglich vereinbart sind. Die Regelung muss sicherstellen, dass nicht nur rechtlich, sondern auch faktisch kein Kontrollverlust resultiert.

15 5 Welche Probleme stellen sich spezifisch aus Behördensicht? Dieser Abschnitt gibt einen Überblick über die für Verwaltungsstellen typischen Bedürfnisse im Zusammenhang mit Cloud Computing. Behörden sollten sich stets bewusst sein, dass sie an das Gesetzmässigkeitsprinzip gebunden sind. Es wäre unzulässig, nationale Vorgaben durch rechtliche Bedingungen des Anbieters abzulösen. Die Behörde muss dafür sorgen, dass sie ihren Anspruch auf Transparenz einfordert. Dazu muss sie die richtigen Fragen stellen können; dieser Abschnitt gibt einen Überblick über die Fragen, die schon vor Inangriffnahme des Cloud Projekts gestellt werden sollten. 5.1 Auslagerung überhaupt zulässig? Viele Daten der Behörde unterstehen dem Amtsgeheimnis. Verbietet eine spezifische Bestimmung die Auslagerung an einen Dritten, kann der Beizug eines Cloud Anbieters für diese Daten ganz ausgeschlossen sein. Grundsätzlich aber gilt, dass Auslagerungen auch im Behördenumfeld möglich sind. Es kommt hierbei auf die Klassifizierung der Daten an: Behördendaten mit besonderer Klassifizierung: Die Auslagerungspolitik der auslagernden Behörde ist einzuhalten, was dazu führen kann, dass eine Auslagerung nicht möglich ist (denkbar z.b. im Rahmen der Informationsschutzverordnung des Bundes). Behördendaten ohne besondere Klassifizierung: auslagerungsfähig, aber der Anbieter muss Massnahmen zum Schutz der Vertraulichkeit treffen; Personendaten: Wie Behördendaten ohne besondere Klassifizierung. Teilweise ergibt sich aus den zu treffenden Massnahmen, dass eine Auslagerung nur möglich ist, wenn die Daten im Inland bleiben (siehe hierzu Ziffer 5.6). 5.2 Kernbedürfnisse der Nutzer Für den Erfolg und die Akzeptanz von Cloud Computing sind die folgenden Themen aus Kundensicht zentral. Die nachstehenden Anforderungen gelten generell, also nicht nur für Behörden: Transparenz über Prozesse (tatsächlicher Beibehalt der Datenhoheit) Datensicherheit (Zugriffsschutz; Schutz vor unbefugter Verwertung) Kontrolle über die Daten (Zugriffsschutz und Kontrolle über Speicherort etc.; gibt der Anbieter der Behörde Zugriff auf Auditberichte oder über die innerhalb seiner Organisation geltenden Standardklauseln)? Portabilität von Daten ( Heimholung der Daten bei Vertragsbeendigung und effektive Löschkontrolle) Portabilität von Softwarecodes (vom Kunden definierte Makros oder dergleichen, die der Kunde in der Cloud-Anwendung vorgenommen hat) Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 15

16 5.3 Klassifizierung der Daten als Ausgangspunkt der Projektplanung Da die Behörde stets an das Gesetzmässigkeitsprinzip gebunden bleibt, muss sie jederzeit wissen, welche Informationen sie auslagert. Vor einem Auslagerungsvorhaben sollte die Behörde ein Dateninventar erstellt haben, d.h. die auszulagernden Daten sind zu klassifizieren (namentlich: Trennung der Daten in eigene und fremde ). Die Behörde muss von Drittdaten ausgehen, wenn die darin gespeicherten Informationen Gegenstand von besonderen Geheimhaltungspflichten zu Gunsten eines Dritten sind, natürliche Personen beschreiben (z.b. Mitarbeitende oder Bürger), juristische Personen beschreiben (z.b. steuerpflichtige Unternehmen) oder Gegenstand von Urheber- oder andern Immaterialgüterrechten von Dritten sind. Das Vorgehen ist unterschiedlich, je nachdem, ob die Behörde eine Verbrecherdatenbank oder die Verwaltung ihrer Webseiten in die Cloud auslagern will. Bei eigenen Daten können interne Leitlinien das Vorgehen beeinflussen (z.b. interne Weisungen zur Auslagerungspolitik der Behörde). 5.4 Mit der Internationalität verbundene Probleme: Anwendbares Recht Problemstellung Es liegt in der Natur von Cloud Angeboten, dass diese sich international aufstellen; so lassen sich Skaleneffekte erzielen und Innovationen (dazu Ziffer 4.2) kostengünstig anbieten. Selbstverständlich will der Anbieter sein Leistungsangebot einheitlich einem (seinem) Landesrecht unterstellen. Verwaltungen stellen sich deswegen oft die folgenden Fragen: Darf die Verwaltung einen Cloud Vertrag unter ausländischem Recht eingehen? Welche Risiken oder Nachteile ergeben sich aus dem ausländischen Recht? Welche spezifischen Vorteile bietet das Schweizerische Landesrecht gegenüber dem Recht andererländer (Urheberrecht, Lizenzrecht, Haftungsrecht, etc.)? Reine Kosten- und Bewertungsfrage Einleitend Folgendes: Das auf den Vertrag anwendbare Recht beeinflusst nur den Leistungsumfang des Anbieters. Auf den Datenschutz oder die Frage, ob Strafverfolgungsbehörden oder andere Behörden des Auslands auf Daten zugreifen können, hat das im Vertrag gewählte Recht keinen Einfluss. Die Bedeutung der Rechtswahl reduziert sich vielmehr auf den Kostenaspekt: Wieviel Aufwand wird es die Verwaltung im Rahmen der Vertragsverhandlung und bei allfälligen Streitigkeiten kosten, die korrekte Antwort auf eine offene Frage zu finden? Um den Kostenaspekt zu kontrollieren, sollte die Verwaltung darauf achten, dass der Cloud Vertrag alle Fragen (auch Haftung, Gewährleistung, etc.) regelt, die der Verwaltung wichtig sind. Solange der Vertrag genügend beschreibt, welche Pflichten der Anbieter wirklich erfüllen muss, können auch Verwaltungen Verträge unter ausländischem Recht schliessen. Selbstverständlich ist ein Vertrag, der schweizerischem Recht untersteht, für die Verwaltung vorteilhaft; denn das schweizerische Recht ist hier ja vertraut. Im Rahmen von Ausschreibungen können Verträge mit schweizerischer Rechtswahl besser bewertet werden als solche mit ausländischer Rechtswahl. Die Rechtswahl beeinflusst allerdings nur die Kostenseite, das schweizerische Recht gibt keine besonderen strategischen Vorteile.

17 Deshalb gilt: es wäre unzulässig, das anwendbare Recht zum Ausschlusskriterium zu machen. das anwendbare Recht kann ein Bewertungskriterium sein. die Gewichtung der damit verbundenen Kosten muss moderat bleiben. solche Bewertungsfragen müssen in der Ausschreibung adressiert werden. die Verwaltungen können Cloud Standards ausarbeiten, auf die sie im Rahmen von Ausschreibungen verweisen (siehe hinten Ziffer 8.8). Einzelne Kantone haben abweichende Bestimmungen. Zum Beispiel gibt der Kanton Zürich mit den sog. AGB Sicherheit für kantonale Stellen vor, dass sie Auslagerungen vertraglich stets dem schweizerischen Recht zu unterstellen haben; Abweichungen sind zu begründen. Andere Kantone sind offener (z.b. der Kanton Bern mit den AGB ISDS). 5.5 Mit der Internationalität verbundene Probleme: Gerichtsstand Inwiefern ist ein Gerichtsstand im Ausland für Schweizer Verwaltungen ein Problem? Darf sich eine schweizerische Verwaltung auf einen ausländischen Gerichtsstand einlassen? Ein Gerichtsstand in der Schweiz hat kurzfristig Vorteile. Diese dürfen jedoch nicht überbewertet werden, da je nachdem die Vollstreckung des Urteils im Ausland durchzuführen ist. Massnahmeverfahren (Verfahren zur schnellen, aber vorläufigen Durchsetzung von besonderen Schutzinteressen) müssen oft trotz Gerichtsstandsvereinbarung im Ausland angehoben werden. Auf jeden Fall kann man nicht sagen, dass ein Vertrag mit Gerichtsstand im Ausland für eine Behörde ausgeschlossen wäre. Wiederum ist wichtiger, dass der Vertrag richtig aufgesetzt ist und Streitigkeiten auf früher Stufe abgefangen werden können. Es ist von erheblicher Bedeutung, dass für das Cloud Angebote sorgfältig ausgearbeitete Cloud Vereinbarungen zum Einsatz kommen. Für die Bewertung kann auf Ziffer verwiesen werden. 5.6 Mit der Internationalität verbundene Probleme: Datenhaltung im Ausland Darf eine Behörde einen Cloud Vertrag mit Datenhaltung im Ausland eingehen? Teilweise verbietet sich wegen der besonderen Art der auszulagernden Daten, dass Daten im Ausland gelagert werden oder auf die ausgelagerten Daten aus dem Ausland zugegriffen werden kann.man muss sich bewusst sein, dass jede Datenhaltung im Ausland dazu führt, dass eine ausländische Behörde im Rahmen von Strafverfahren oder Verfahren zum Schutz der Staatssicherheit auf solche Daten zugreifen kann. Auch die Schweiz kennt entsprechende Bestimmungen. Der oft zitierte Patriot Act der USA ist insofern kein Einzelfall. Auf jeden Fall wäre es falsch, nur US-amerikanische Anbieter auszuschliessen (Diskriminierungsverbot). Unterschiede zwischen einzelnen ausländischen Rechtsordnungen sind höchstens gradueller Art. Festzuhalten ist freilich, dass nicht nur der Ort der Datenhaltung von Bedeutung ist. Wenn ein ausländischer Anbieter die Daten in der Schweiz hält, aber seine Mitarbeiter aus dem Ausland auf die in der Schweiz gelagerten Daten zugreifen können, ist von Datenhaltung im Ausland auszugehen. Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 17

18 5.7 Bedürfnisse der Verwaltung mit Blick auf die Bezahlmodelle Kostenseitig muss eine Gesamtbetrachtung angelegt werden ( Total Cost of Ownership ). Die Vorgabe für das Preismodell und die Modellierung des künftigen Verbrauchs ist ein substantieller Teil bei der Aufbereitung der Ausschreibung. Das Preismodell soll einerseits den betriebswirtschaftlichen Anforderungen des Ausschreibenden genügen und andererseits soll es nicht zu detailliert sein, damit die Anbieter die Möglichkeit haben, innovative Modelle erklären und darstellen zu können. Gleichzeitig muss die Behörde transparente Grundlagen für ihren Entscheid erhalten.

19 6 Beschaffungsrechtliche Grundlagen 6.1 Vorbemerkungen Das schweizerische Beschaffungsrecht bettet sich in den Kontext von internationalen Verträgen ein, die bei Vergabeverfahren zu berücksichtigen sind. Diese Bestimmungen sind jedoch nicht direkt anwendbar. Sie werden in der Schweiz durch Rechtsgrundlagen jeweils auf Bundes- und Kantonsebene separat umgesetzt. Zu nennen sind: Government Procurement Agreement (GPA): Auf internationaler Ebene hat sich die Schweiz mit Unterzeichnung des GPA auf die Grundsätze der Transparenz und der Nichtdiskriminierung im Beschaffungswesen verpflichtet. Das GPA, das einen Teil des Regelungswerks der Welthandelsorganisation WTO bildet, setzt international den Standard für das öffentliche Beschaffungswesen. Bilaterales Abkommen (Schweiz / EU) sowie EFTA-Übereinkommen: Diese internationalen Verträge sind eine Folge des EWR-Neins aus dem Jahr 1992 und haben zum Ziel, eine vergleichbare gegenseitige Marktöffnung wie unter dem EWR herzustellen. Das bilaterale Abkommen weitet den Anwendungsbereich des GPA auf die schweizerischen Gemeinden und Bezirke aus. 6.2 Das auf Vergabeverfahren anwendbare Vergaberecht Wann kantonales und wann das Bundesrecht zur Anwendung kommt, kann eine sehr komplexe Rechtsfrage sein. Dieser Themenkomplex ist hier nicht zu vertiefen, zeigt aber, dass die Hilfe eines Spezialisten beigezogen werden sollte. Nachfolgend soll im Sinne einer kurzen Übersicht das auf Vergaben anwendbare Recht beleuchtet werden: Das auf Bundesvergaben anwendbare Vergaberecht Auf Bundesebene richten sich Vergabeverfahren nach den folgenden Normen: dem BöB (Bundesgesetz über das öffentliche Beschaffungswesen) der VöB (Verordnung über das öffentliche Beschaffungswesen, der Ausführungsverordnung zum BöB) BöB sowie VöB sind nur für Beschaffungen des Bundes von Bedeutung. Die Verordnung über die Organisation des öffentlichen Beschaffungswesens der Bundesverwaltung (Org-VöB) regelt interne Fragen rund um die Organisation, die Zielsetzungen und das Controlling von Beschaffungsaufträgen Das auf kantonale Vergaben anwendbare Vergaberecht Für Beschaffungen durch eine kantonale Stelle sind die folgenden Regelungen relevant: das kantonale Vergabegesetz: Jeder Kanton hat ein Vergabegesetz, das Vorgaben rund um Ausschreibung und Zuschlag regelt. Soweit ersichtlich, sind die kantonalen Vergabegesetze durchwegs technikneutral ausgestaltet; besondere Bestimmungen zu Cloud-Vorhaben ergeben sich aus keinem Vergabegesetz. Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 19

20 das Binnenmarktgesetz (Bundesgesetz über den Binnenmarkt, BGBM) regelt die Publikationspflicht für umfangreiche öffentliche Einkäufe, Dienstleistungen und Bauten sowie für Informationen über Teilnahme und Zuschlag. Ausserdem stellt das BGBM im Verhältnis zwischen den Kantonen und Gemeinden ein Diskriminierungsverbot auf. besondere kantonale Weisungen oder dergleichen. Konkretisierend sind sodann die Bestimmungen der Interkantonalen Vereinbarung über das öffentliche Beschaffungsrecht (IVöB) (seit dem 15. März 2001 in einer revidierten Fassung, revivöb ) sowie der Vergaberichtlinien (VRöB) beizuziehen. Die revivöb und die VRöB gelten jedoch nicht direkt. Es sind die vorstehenden Rechtsregeln zu konsultieren. Auch die Bestimmungen des bilateralen Abkommens und des GPA sind konkretisierend beizuziehen Das auf kommunale Vergaben anwendbare Vergaberecht Die verschärften vergaberechtlichen Bestimmungen gelten seit dem bilateralen Abkommen auch auf Gemeindeebene. Damit entspricht die Situation für kommunale Vergaben jener für kantonale Vergaben (siehe Ziffer 6.2.2). Interne Dienstanweisungen können in besonderen Einzelfragen noch zum Zug kommen, aber nur in engem Rahmen. Die übergeordneten kantonalen Regeln (siehe Ziffer 6.2.2)können durch solche Regelwerke nicht geändert oder aufgehoben werden. 6.3 Zusammenfassende Übersicht Die nachfolgende Grafik zeigt das System der verschiedenen Rechtserlasse im Submissionswesen und die Verbindungen, die zwischen den einzelnen Vorschriften bestehen: (Abgeleitet aus dem Handbuch für Vergabestellen des Kantons Zürich, mit freundlicher Genehmigung der Kommission für das öffentliche Beschaffungswesen des Kantons Zürich, KöB).

21 7 7.1 Verfahrensarten und Schwellenwertee Verfahrensarten Das Vergaberecht unterscheidet verschiedene Verfahrensarten, die sich bezüglich Ablauf und Schrankenordnung voneinander unterscheiden. Zu nennen sind: Offenes Verfahren: Im offenen Verfahren kann jeder Anbieter ein Angebot einreichen. Selektives Verfahren: Im selektiven Verfahren reichen die Anbieter in einer ersten Stu- fe einen Antrag auf Teilnahme ein (Präqualifikation). Die vom Auftraggeber ausgewähl- ten Anbieter können in der zweiten Stufe ein Angebot einreichen. Einladungsverfahren: Beim Einladungsverfahren fordert der Auftraggeber mehrere An- bieter direkt zur Abgabe eines Angebots auf. Es erfolgt keine öffentliche Ausschrei- bung. Freihändiges Verfahren: Die Einladung zur Einreichung eines Angebots ergeht im Freihandverfahren, anders als beim Einladungsverfahren, nur an einen Anbieter. Es er- folgt keine öffentliche Ausschreibung. Das freihändige Verfahren darf bei Aufträgen mit tiefem Wert (unterhalb der Schwellenwerte) voraussetzungslos gewählt werden oder wennn einer der im Gesetz besonders geregelten Ausnahmetatbestände vorliegt. Allen Verfahren ist gemein, dass der Gleichbehandlungsgrundsatz und das Transparenzgebot zentral sind. Das folgendee Schaubild gibt einen Überblick über die Verfahrensarten: Bauaufträge dürften für Cloud- Services kaum je relevant werden. Entsprechendes gilt, evtl. in abge- schwächtem Mass, auch für Lieferaufträge (je nach Konstellation könnten Informa- tionslieferungen vorliegen). (Aus dem Handbuch für Vergabestellen des Kantons Zürich mit freundlicher Genehmigung der Kommission für das öffentliche Beschaffungswesen des Kantons Zürich, KöB). Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seitee 21

22 7.2 Öffentlich-rechtliche Beschaffungen mit Dialog Seit dem 1. Januar 2010 haben die Behörden des Bundes die Möglichkeit, im Verlaufe des Vergabeverfahrens mit verschiedenen Anbietern einen Dialog durchzuführen. Diese Beschaffungsform erlaubt es der ausschreibenden Stelle, im Laufe des Vergabeverfahrens den Leistungsumfang gemeinsam mit den Anbietenden zu entwickeln. Die Anbietenden liefern mit einem ersten vorläufigen Angebot Lösungsvorschläge. Dieses wird dann im Gespräch mit der Beschaffungsstelle konkretisiert und gemeinsam mit dem Anbieter weiterentwickelt. Cloud Services beruhen in technischer Hinsicht auf Modularisierung und Standardisierung. Wenn die Behörde Sonderwünsche anbringt, können diese zwar manchmal berücksichtigt werden. Die in technischer Hinsicht resultierende Komplexität erfordert oft Entscheidungen, die eine gegenseitige Anpassung von Anforderungen gegenüber den angebeotenen Serviceserfordern.Das Risiko für die ausschreibende Stelle, bei einer herkömmlichen Art der Ausschreibung kein passendes Angebot zu erhalten, ist erheblich. Der Dialog sollte sich gemäss seiner Zielsetzung ideal für komplexe Cloud-Ausschreibungen eignen: Bei komplexen Beschaffungen ist es oft nicht möglich, schon vor der Ausschreibung den Inhalt der Beschaffung in einem Leistungsbeschrieb genügend präzise zu umschreiben und abzugrenzen. (Leitfaden für öffentliche Beschaffungen mit Dialog, 4).Derzeit wird der Dialog für eine erste Ausschreibung im Bereich Cloud Computing erprobt. Demgegenüber wären Verhandlungen (Abgebotsrunden), obwohl sie auf Bundesebene möglich wären (Art. 20 BöB bzw. Art. 26 VöB; nicht jedoch in verschiedenen Kantonen, z.b. Kanton Zürich), nicht geeignet. In Verhandlungen, die grundsätzlich allein auf den Preisaspekt fokussieren, lassen sich komplexe Beschaffungen nicht genügend präzisieren. 7.3 Schwellenwerte Für die Wahl des richtigen Verfahrens ist die Art des zu vergebenden Auftrags und andererseits der Wert des konkreten Auftrags (Auftragsvolumen) massgeblich. Den verschiedenen Vergabeverfahren sind entsprechende Schwellenwerte (in Franken) zugeordnet. Erreicht das Auftragsvolumen (exkl. Mehrwertsteuer) einen bestimmten Schwellenwert, kommt es zur Anwendung des betreffenden Verfahrens Kriterien zur Bestimmung der Schwellenwerte Welcher Schwellenwert gilt nun aber im Einzelfall? Massgebende Kriterien hierfür sind: das für die jeweilige Vergabestelle anwendbare Recht (im staatsvertraglichen Bereich richten sich die Schwellenwerte nach dem GPA; ausserhalb desselben gelten die kantonalen Schwellenwerte). die Art der nachgefragten Leistung. Die Schwellenwerte sind z.b. für Dienstleistungen anders als für Lieferungen geregelt.

23 7.3.2 Schwellenwerte für Dienstleistungen Da bei Cloud Services fast durchgehend jegliche Lieferungskomponente entfällt, dürften in der Regel die Schwellenwerte für Dienstleistungen massgeblich sein: Auf Bundesebene beläuft sich der Schwellenwert für Dienstleistungsaufträge im Jahr 2013 auf den Betrag von CHF (sobald Hardware oder Standardsoftware mit bezogen werden, gilt der tiefere Schwellenwert von CHF ) Bei kantonalen Vergaben werden die Schwellenwerte pro Kanton festgelegt. Gemäss IVöB gelten im Jahr 2013 die folgenden Schwellenwerte (siehe die Information unter zitiert unter Ziffer 11.1). Die Kantone können tiefere Schwellenwerte festlegen (Art.12 bis Abs. 3 IVöB): Verfahrensart Dienstleistungen (Auftragswert CHF, exkl. MWST) Freihändige Vergabe zulässig unter CHF Einladungsverfahren zulässig unter CHF Offenes Verfahren ab CHF Selektives Verfahren ab CHF Berechnung des Auftragswerts Der Auftragswert wird bestimmt, indem der konkrete Bedarf an Sachmitteln bzw. Leistungen bestimmt wird. Dabei ist auf Folgendes zu achten: Gesamtwert ist massgebend. Jede Form der Abgeltung ist zu berücksichtigen. Optionen: Wenn Optionen (zeitlich) geplant sind, müssen diese dazu gezählt werden. Folgeaufträge:Folgeaufträge sind einzurechnen. Projektkosten: Projektkosten (für Datenmigration, Change Management, Schulung) sind in die Wertbestimmung einzurechnen. Betriebskosten: Zusätzliche, während des Betriebs anfallende Kosten (insbesondere Supportkosten) sind ebenfalls einzurechnen. Unbestimmtheit in Preis oder Dauer: Ist die konkrete Dauer des Vertrags noch nicht bestimmbar (z.b. bei Option auf Vertragsverlängerung), wird zur Bestimmung des Auftragswerts oft eine Laufzeit von vier Jahren angelegt (z.b. Kanton Bern). Diese Vorgabe beeinflusst jedoch nicht die tatsächliche Dauer des am Schluss vereinbarten Vertrags. Der Leistungszeitraum kann unabhängig davon definiert werden (z.b. Grundauftrag und Optionen). Aufteilungsverbot: Sachlich zusammenhängende Aufträge dürfen nicht aufgeteilt werden. Andernfalls wäre es möglich, durch Aufteilung von Aufträgen Vergabebestimmungen zu umgehen. Besteht z.b. eine Option auf Folgeaufträge oder sind Verträge mit einer Laufzeit von mehreren Jahren vorgesehen, ist der Gesamtwert der Leistungen über die gesamte Dauer massgeblich. Mehrwertsteuer: Wird bei der Schwellenwertberechnung nicht berücksichtigt. Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 23

24 8 Stationen einer Cloud-Beschaffung Der vorliegende Leitfaden fokussiert auf die Cloud-spezifischen Aspekte eines Vergabeverfahrens. Für vergaberechtliche Aspekte und Prozesse einer öffentlichen Beschaffung gibt es gute Übersichten und weiterführende Leitfäden, auf die unter Ziffer 11.3 verwiesen wird. 8.1 Vorbereitung Analyse der eigenen Ausgangslage Vor Beginn des eigentlichen Projekts wird die beschaffende Stelle die eigene Situation sorgfältig analysieren und dokumentieren müssen. Zur Analyse der eigenen Ausgangslage gehört auch, dass einige internen Strategien und Prozesse erst bereinigt und klar geregelt sowie dokumentiert werden müssen. Wenn schon vor der Ausschreibung in der Prozesslandschaft eklatante Hürden bestehen, sollten diese vorher bereinigt werden, weil sie sich sonst nachteilig auf die Beschaffung und Umsetzung von Cloud-Services auswirken könnten. Sourcing kann abhängig vom zu beschaffenden Service auch Migrations- und Integrationaufwand auf der Ebeneder Geschäftsprozesse, der IT-Technologie und/oder der IT-Prozessemit sich bringen. Dies ist bei Cloud-Projekten nicht anders Vorbereitende Abklärungen Die ausschreibende Stelle sollte sich namentlich die folgenden Fragen stellen: Fragen zu den organisatorischen und rechtlichen Rahmenbedingungen: Ist das das Top-Management in den Entscheid und die Umsetzung von Cloud-Services mit eingebunden? Ist Cloud Computing in die IT-Strategie der Behörde integriert? Sind die gesetzlichen, regulatorischen und Sicherheitsanforderungen für die Nutzung von Cloud-Services bekannt? Fragen zur Ausgangslage auf technischer Ebene und auf der Prozessebene: Ist die Ausgangslage analysiert und dokumentiert?sind die internen Policies, Prozesse und Aufgabenbereiche für den IT-Einsatz bekannt und dokumentiert? Verfügt die Behörde über eine schnelle und stabile Internetanbindung? Sind auf dieser Ebene Anpassungen erforderlich (z.b. bessere Service Levels)? Fragen zur kommerziellen Ausgangslage: Sind die Kosten für den Betrieb der aktuellen Struktur bekannt? Sind die Make or Buy-Möglichkeiten (Full-, Teil-, Hybrid-Sourcing) bekannt?

25 8.2 Festlegung des Bedarfs Die Ermittlung des Bedarfs an Dienstleistungen (Cloud-Services) steht an erster Stelle. Der von der Behörde bestimmte Beschaffungsgegenstand (Dienstleistungen) bestimmt, welche Regeln zur Anwendung gelangen. Im Rahmen der Bedarfsplanung und Festlegung des Beschaffungsgegenstands muss die Vergabebehörde die zur Anwendung gelangenden Rechtsregeln antizipieren. Cloud-Anbieter müssen den Bedarf der Beschaffungsstelle anhand ihrer Anforderungen an die Cloud-Services erkennen können, um ein passendes Angebot unterbreiten zu können. Die Behörde muss die Skalierbarkeit der Angeboteals Anforderung festlegen. Dazu muss die Behörde die zu erwartenden Skalierungsszenarien offenlegen. Der Beschaffungsgegenstand gibt sodann den Umfang des Vertrages vor. Nach durchgeführter Ausschreibung darf der Vertrag keine wesentlichen Erweiterungen mehr bekommen. Andernfalls würde der erweiterte Vertrag als (möglicherweise zu Unrecht) vorgenommene Freihandvergabe betrachtet. 8.3 Festlegung des Beschaffungsgegenstands Wenn der Beschaffungsgegenstand beschrieben wird, sollte auf die Produktklassen (IaaS, PaaS, SaaS) Bezug genommen werden; denn je nachdem, welcher Cloud-Service ausgeschrieben wird, lauten die Anforderungen unterschiedlich. Die ausschreibende Stelle sollte in der Ausschreibung zu den abgefragten Services mindestens folgende Anforderungen beschreiben: für SaaS: die Anforderungen, an die zu unterstützende Geschäftsprozesse, Funktionen, Organisationsstrukturen; jeweils mit den entsprechenden Berechtigungsprofilen, Nutzungsarten, Sicherheitsanforderungen, Verfügbarkeiten und Supporterwartungen. für PaaS: die Anforderungenan die von der ausschreibenden Stellezu betreibenden Anwendungen oder von den zum Einsatz gelangenden Entwicklungsumgebungen oder Managementsystemen; jeweils mit den entsprechenden Berechtigungsprofilen, Nutzungsarten, Sicherheitsanforderungen, Verfügbarkeiten und Supporterwartungen. für IaaS: die Anforderungen an die Rechenzentrumsinfrastruktur für den Betrieb von Anwendungen, Entwicklungs- und Managementsystemen etc. sowie an das Netzwerk; jeweils in Bezug auf Rechner- und Speicherkapazitäten, Bandbreiten, Verfahren für Backupund Disaster Recovery, Nutzungsarten, Sicherheitsanforderungen, Verfügbarkeiten und Supporterwartungen. 8.4 Erstellen des Fragekatalogs Die Behörde wird ihre Anforderungen durch ausführlichere Fragekataloge umschreiben müssen. Eine Hilfestellung zur Erstellung des Fragekatalogs ist im Anhang abgebildet.wurden Cloud-Services durch den Anbieter Cloud-zertifiziert (z.b. Cloud Gütesiegel) so sind viele Anforderungen und Fragen dadurch bereits beantwortet. Cloud-Zertifikate nehmen der öffentlichen Verwaltung Arbeit ab, indem darauf verwiesen werden kann. Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 25

26 8.5 Erstellung des Anforderungskatalogs und Pflichtenhefts Wenn die ausschreibende Stelle die vorbereitenden Abklärungen getroffen hat, muss sie den Anforderungskatalog zusammenstellen. In diesem Rahmen muss sie deutlich trennen zwischen konkreten Anforderungen an den Service und weiteren Ausführungen erläuternder Natur (Lösungsideen oder Lösungskonzepten). So begünstigt die ausschreibende Stelle Angebote, die tatsächlich ihren Bedürfnissen entsprechen. Ausschreibungen sind so zu gestalten, dass sich nicht nur ein oder einige wenige Anbieter beteiligen können. Anbieter mit Standardangeboten sollen am Vergabeverfahren teilnehmen können, wenn sie ein auf die Ausschreibung massgeschneidertes Angebot einreichen. Die Anforderungen solltendeshalb nicht zu detailliert sein. Die Behördesollte zwischen zwingenden Anforderungen, Optionen und Zusatzwünschen ( nice to have ) unterscheiden. Auf der Grundlage eines Praxisbeispiels, das sich auf die Integration von Printing-Services bezieht, lassen sich etwa die folgenden Kernaussagen formulieren: das Pflichtenheft folgt einer klaren Struktur und gibt den Raster für das Angebot vor. da das Projekt die Ebene der IT-Integration mit einschliesst, kann sich das Pflichtenheft an IT-Prozessen orientieren, um den Anbietern die Sprachregelung vorzugeben, mit welcher sie ihre Leistungen beschreiben sollen (Beispiel: ITIL-Prozesse). nach Darstellung der eigenen Prozesslandschaft (Geschäftsprozesse oder IT-Prozesse) definiert das Pflichtenheft die Schnittstellen, welche den Anbietern zum Erbringen ihrer Leistungen zur Verfügung stehen. Auf diese ist die Offertstellung auszurichten. die Vergabestelle legt die Bedarfsplanung offen und legt ein Band fest, das die wahrscheinlichste Planung zum Ausdruck bringt (unter Berücksichtigung einzelner Phasen, wie Anlaufphase, Betrieb Intensivnutzung, Betrieb zum Ende des Projektzyklus). ein Mengengerüst gibt den Rahmen für Skalierungen vor. Fraglich ist, inwiefern die beschaffende Stelle das Liefermodell festlegen oder auch in dieser Hinsicht Konzepte von Anbietern abholen soll. 8.6 Ausschreibungsprozess und weiterer Ablauf Der Prozess und die Struktur einer Ausschreibung werden hier nicht im Einzelnen dargestellt. Für die weiteren Schritte (Durchführung Vergabeverfahren, Zuschlag, Vertragsschluss, Vertragsabwicklung und Projektumsetzung), auf die an dieser Stelle nicht im Einzelnen eingegangen werden kann, wird auf die vorstehend erwähnten Leitfäden verwiesen (Ziffer 11.3).

27 8.7 Besonderheiten des Cloud-Kontexts berücksichtigen Die Vergabestelle sollte bei auf Cloud-Services ausgerichteten Ausschreibungen die Flexibilität nutzen, die das Beschaffungsrecht bietet. Namentlich sind die folgenden Instrumente in Betracht zu ziehen: Rahmenvertragsregelung mit Festlegung des Auftragswerts Vertragliche Anpassungsregeln, z.b. Optionen Funktionale Ausschreibung Vergaberechtlicher Dialog Die Fragestellungen können jedoch durchaus komplex sein und die bestehenden Instrumente werden einiges an Verwaltungsaufwand verursachen. Es lässt sich damit festhalten, dass effiziente Ausschreibungen für Cloud-Services durchaus mit einigem Vorbereitungsaufwand verbunden sein werden. Auch die Praxis wird zeigen müssen, welches der vorstehend genannten Instrumente am besten geeignet sein wird, um Cloud-Services in effizienter Weise auszuschreiben, so dass die beschaffende Stelle genau jene Leistungen erhält, die sie sucht. 8.8 Vertragliche Vorgaben der Beschaffungsstelle Die Beschaffungsstelle sollte der Ausschreibung bereits die vertraglichen Bedingungen beilegen, deren Einhaltung sie von einem Anbieter erwarten wird. Auf Bundesebene werden in IT-Beschaffungen jeweils die Allgemeinen Geschäftsbedingungen des Bundes für verbindlich erklärt. Diese sind auf allgemeine IT-Verträge ausgelegt (namentlich Lizenzen, Softwarepflege sowie auf Projektleistungen), berücksichtigen die Spezifika von skalierbaren Angeboten jedoch nicht. Auch die AGB SIK antizipieren Cloud-Services nicht. Der zu Grunde gelegte Vertrag sollte Skalierungen vorsehen. Der Vertrag sollte flexible Abrufe tatsächlich zulassen. Auf Bundes- und Kantonsebene sollten besondere Bedingungen für Cloud-Services ausgearbeitet werden, die einen Rahmen für Cloud-Services abstecken. Rein operative Regeln (z.b. SLA-Regelungen) oder Preismodelle sollten selbstverständlich aus solchen Regelungen ausgeklammert bleiben. Rechteeinräumungsklauseln, wie sie ansonsten in den AGB des Bundes vorkommen, sind im Cloud-Kontext obsolet (hingegen ist die Zusicherung, dass der Anbieter über die notwendigen Rechte verfügt, von Relevanz).Fragen rund um Haftung, Gewährleistung oder Konventionalstrafen für wichtige Aspekte (Arbeitsbedingungen, etc.) sollten vordefiniert sein. Andernfalls ist die Gefahr zu gross, dass die Bestimmungen des Anbieters verhandelt werden müssen (was viel Zeit in Anspruch nehmen kann). Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 27

28 9 Hilfestellungen für den Fragekatalog 9.1 Generelle Fragen an den Anbieter Nachfolgend sind generelle Fragen aufgelistet, die im Zusammenhang mit Cloud-Angeboten gestellt werden sollten. Die Fragen sollten individuell an die Bedürfnisse der ausschreibenden Stelle angepasst und bei Bedarf erweitert werden. Zusätzlich können die weiteren Fragen gestellt werden, welche die ausschreibende Stelle auch für andere Ausschreibungen abfragt: Zum Anbieter Verfügt der Anbieter über eine physische Adresse sowie Kontaktdaten, wie z.b. eine Telefonnummer? Verfügt der Anbieter bereits über mehrere hunderte oder tausende Kunden? Verfügt der Anbieter bereits über mehrere Referenzprojekte? Stehen bereits Anwendungsfälle (Use Cases) zur Verfügung? Verfügt der Anbieter über eine unabhängige Zertifizierung? Wenn ja, welche? Welche Unterauftragnehmer zieht der Anbieter zur Leistungserbringung bei? (Zu nennen sind jene, die Zugriff auf die Daten der Behörde haben und/oder auf die von der Behörde genutzte IT-Infrastruktur sowie evtl. von weiterer Infrastruktur der Behörde, z.b. bei Schulungen vor Ort) Zur finanziellen Situation des Anbieters Kann ein positiver Rückschluss auf die Finanzstärke des Anbieters gezogen werden? Gibt der Anbieter Auskunft über seine Bonität? Gibt der Anbieter Auskunft über mögliche Betreibungen? Handelt es sich um ein börsennotiertes Unternehmen? Zur technischen Architektur Ist mehr als ein Rechenzentrum vorhanden? Wenn ja, wie viele gibt es und in welchen Ländern stehen diese? Erfolgt die Verwaltung der eingesetzten IT-Ressourcen, Anwendungen und Daten automatisch? Sind die Architekturen, Prozesse und Methoden des Anbieters dokumentiert und von der ausschreibenden Stelle einsehbar? Stellt der Anbieter diese Dokumentation der Behörde zu? Kann eine Remote Verbindung mit der Cloud hergestellt werden? Wenn ja, welche Verbindungen stehen zur Verfügung? Ist die Skalierbarkeit der Anwendung auf mehrere virtuelle Server und/oder Speichereinheiten gewährleistet?

29 Ist die konstante Stromversorgung der Rechenzentren sichergestellt? Stehen Methoden zur Verfügung, mit denen ggf. Ausfallzeiten und Datenverlusten innerhalb der Infrastruktur vorgebeugt werden kann? Stehen ausreichend Speicherplatzressourcen zur Verfügung, mit denen die Strategien für Backup und Disaster Recovery umgesetzt werden können? Verfügt der Anbieter über ein Disaster Recovery und eine Business-Continuity Strategie? Werden Backups- und Disaster Recoverys der Infrastruktur regelmäßig durchgeführt und einemtest unterzogen? Wenn ja, in welchen Abständen? Anforderungen zur Verfügbarkeit und Ausfallzeit Werden periodisch Restore-Tests durchgeführt? Wenn ja, in welchen Abständen? Verfügt der Anbieter über Mechanismen, um die Latenzen auf Grund langer Netzwerkverbindungen zum Kunden zu minimieren? Gibt es Verzögerungen bei der Übertragung der Daten zwischen dem Cloud- Anbieternetzwerk und den Anwendern? Kann der Kunde weltweit und mit der vereinbarten Verfügbarkeit auf die beschafftencloud-services zugreifen? Zum Angebot Kann das Angebot zunächst während einer Testphase kostenlos evaluiert werden? Kann der Zugriff auf die Services und Daten von überall aus nach Bedarf stattfinden? Steht eine Weboberfläche für die Bestellung und Verwaltung der Cloud-Services zur Verfügung? Verfügt der Anbieter über transparente Einrichtungen, um den aktuellen Status der Services und mögliche Probleme und Ausfälle zu rapportieren (z.b. Webseite, Dashboard, Cockpit)? Zur Datenhaltung und Transparenz Wo sind die von der Behörde ausgelagerten Daten gespeichert? Von wo aus ist ein Zugriff auf die Daten möglich? Werden die Daten und Anwendungen in mehreren geographisch voneinander getrennten Regionen gespeichert? Wird regelmäßig ein Backup der Anwendungen und Daten vorgenommen? Wenn ja, wie oft wird das Backup durchgeführt? Werden die Backup-Dateien auf zuverlässigen Datenträgern gespeichert und ausgelagert? Stehen Migrationstools für den Export und die Migration von Cloud-Services zu anderen Anbietern zur Verfügung? Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 29

30 Können die Daten in einem offenen Format wie z.b. XML oder JSON exportiert werden? Hilft der Anbieter dabei, dass die Behörde die Infrastruktur des Anbieters verstehen und bestmöglich nutzen kann? Zur Datensicherheit Ist der Anbieter bereit, für seine Mitarbeitenden und jene von Subunternehmen eine militärische Sicherheitsprüfung durchführen zu lassen? Sind die eingesetzten Rechenzentren qualifiziert oder zertifiziert? Wie sieht das Sicherheitskonzept in Bezug auf die ausgelagerten Daten aus? Ist das Sicherheitskonzept behördenspezifisch oder generell umgesetzt? Welche Sicherheitspannen sind in den vergangenen fünf Jahren eingetreten? Welche Erkenntnisse hat der Anbieter aus diesen gezogen? Ist der Anbieter oder ein Subakkordant nach den Grundsätzen des Safe Harbor- Programms mit den USA zertifiziert? Hat der Anbieter datenschutzrechtliche Standardklauseln mit Unterakkordanten vereinbart, um ein angemessenes Datenschutzniveau auch im Ausland herzustellen? Zur angebotenen Serviceinfrastruktur während der Vertragsdauer Anforderungen an das Servicemanagement Anforderungen an die Supportorganisation Anforderungen zur Verfügbarkeit, Reaktions- und evtl. Fehlerbehebungszeit Werden für Server-, Speicher- und Netzwerksysteme automatische Managementsysteme eingesetzt? Rollenmodelle, Berechtigungs- und Zugriffskonzept Anforderungen an das Berechtigungskonzept Anforderungen an das Zugriffs- und Sicherheitskonzept Welche Leistungen erbringt der Anbieter bei Vertragsbeendigung? Zu welchem Preis werden Migrationsaufgaben erledigt? Leistet der Anbieter Unterstützung bei der Umformatierung von Daten? Welches sind die Kosten der beendigungsbezogenen Leistungen? Sind Stundenansätze festgelegt? Wie schnell unterstützt der Anbieter? Welche nachvertragliche Unterstützung leistet der Anbieter? Stellt der Anbieter eine Löschungsbestätigung aus?

31 Behördenspezifische Anforderungen Anforderungen in Bezug auf die Anzahl Benutzer (mit Skalierungsbedürfnissen) Anforderungen an die Anzahl Benutzer und Systeme (Test- und Produktivsysteme) Angabe von Daten und Datenvolumen (z.b. permanente Bewegungsdaten, Stammdaten, temporäre Daten etc.) Anforderungen zum Einsatz der Endgeräte, Zugriff und Sicherheit Ist die Kompatibilität zur eigenen Infrastruktur gewährleistet? Anforderungen an die Konnektivität Anforderungen in Bezug auf vorhandene Netzwerke Muss gegebenenfalls in die eigene Infrastruktur investiert werden, um den Cloud- Service zu nutzen? 9.2 Ergänzende Fragen beim Bezug von SaaS Services Für SaaS Services sollte zusätzlich zu den funktionsspezifischen Anforderungen der abgefragten Lösung Folgendes abgefragt werden: Zum Service als solchem Prozessanforderungen und funktionale Anforderungen mit dem Vermerk, welche zwingend, welche optional und welche nice to have sind. Angabe von Daten und Datenvolumen (z.b. Auftragsdaten, Stammdaten etc.). Anforderungen, die sichaus der kundenseitigen Aufbau- und Ablauforganisation ergeben Zum Implementierungskonzept Wenn Anpassungen erforderlich sind, um das SaaS-Angebot auf die individuellen Bedürfnisse der beschaffenden Stelle anzupassen, sollte Folgendes zusätzlich abgefragt werden: Arbeitet der Anbieter mit Unternehmen zusammen, die sich auf die Integration von (Cloud-) Anwendungen spezialisiert haben? Können individuelle Anforderungen in das SaaS-Angebot mit integriert werden? Wie und in welcher Form werden individuelle Anforderungen bei Änderungen/Upgrades des SaaS-Angebotes mit unterstützt und berücksichtigt? Zur Interoperabilität Anforderungen an mögliche oder erforderliche technische Schnittstellen zu Umsystemen Anforderungen betreffend den Einsatz von Endgeräten Anforderungen an die Konnektivität und Netzwerke Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 31

32 Ist die Kompatibilität zu andern Anwendungen gewährleistet? Sind technische Schnittstellen basierend auf offenen Standards implementiert? Ist der Zugriff auf die API des Cloud-Anbieters möglich? Kann eine Integration mit anderen Cloud-Services stattfinden? Welche Datenformate kommen zum Einsatz? Welche Leistungen erbringt der Anbieter bei Vertragsbeendigung? In Ergänzung zu den allgemeinen Fragen (siehe vorn, Ziffer 9.1.7) sollte für SaaS-Angebote zusätzlich Folgendes gefragt werden: Stellt der Anbieter nachvertraglich reines Hosting der Daten zur Verfügung? Kann das Angebot in ein Produkt mit reinem Lesezugriff umgewandelt werden? (zu tieferen Kosten) 9.3 Ergänzende Fragen beim Bezug von PaaS Services Bei der Beschreibung der PaaS Services solltenfolgende Fragengestellt werden: Zum Service als solchem Anforderungen an die Nutzung der PaaS Services in Bezug auf die zu betreibenden Applikationen, namentlich Systemvoraussetzungen von Anwendungen von Datenbanksystemen von Middleware Services (Fax-, Druck-, Directory- oder Basisservices) von Entwicklungsumgebungen jeweils mit dem Vermerk, welche zwingend, optional und welche Zusatzwünsche ( nice to have ) sind. Sind technische Schnittstellen basierend auf offenen Standards implementiert? Ist der Zugriff auf die API des Cloud-Anbieters möglich? Stehen die bereits zuvor eingesetzten Betriebssysteme zur Verfügung? Zum Implementierungskonzept Kann die Behörde die gewünschten Anwendungen selber auswählen und implementieren oder ist dabei jeweils Unterstützung des Anbieters erforderlich? Wenn ja, wie sehen das Unterstützungskonzept und die damit verbundenen Kosten aus? Können ältere Systeme im Portfolio der Behörde auf die Plattform migriert werden? Welche nicht? Kosten? Wie gestaltet sich das diesbezügliche Projektkonzept?

33 Arbeitet der Anbieter mit Unternehmen zusammen, die sich auf die Integration von Anwendungen in die PaaS-Infrastruktur des Anbieters spezialisiert haben? 9.4 Ergänzende Fragen beim Bezug von IaaS Services Bei der Beschreibung der IaaS Services sollten folgende Fragen gestellt werden: Zum Service als solchem Anforderungen an die Nutzung der IaaS Services in Bezug auf: RAM Speicher Bandbreite etc. jeweils mit dem den Vermerk welche Anforderungen zwingend, optional und welche als Zusatzwünsche ( nice to have )gelten. Stehen die bereits zuvor eingesetzten Betriebssysteme zur Verfügung? Steht der bereits eingesetzte Technologiestack zur Verfügung? Können virtuelle Maschinen zwischen der Cloud des Anbieters und der eigenen Infrastruktur transferiert werden? Verfügt der Anbieter über Anschlüsse von mehreren Netzwerk Providern? Werden die Anwendungen und die Daten über redundante Systeme betrieben? Wie ist das Backupkonzept in Bezug auf Anwendungen und Daten? Welche Desasterszenarien sind im Einsatz? Welche Monitoring- und Managementsysteme sind im Einsatz? Zum Implementierungskonzept Stehen Mechanismen und Tools für die Integration, Automatisierung und die Orchestrierung zwischen den Cloud-Services des Anbieters und der eigenen Infrastruktur zur Verfügung? Stellt der Anbieter Dokumentationen für die Nutzung der Infrastruktur bereit? 9.5 Lösungsdesign für IaaS Bevor die Anforderungen an die IaaS Services aufgelistet werden wird empfohlen, ein Lösungsdesign und ein Sizing über die zu betreibenden Anwendungen und Middleware Produkte zu machen. Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 33

34 10 Glossar Cloud Computing Die folgenden Begriffe und Themen fassen die Problemstellung Cloud Computing in Kürze zusammen: Begriff / Thema Cloud Computing Bedeutung Cloud Computing ist ein Modell, das erlaubt, bei Bedarf jederzeit und überall über ein Netz auf einen gemeinsam genutzten Pool von konfigurierbaren Rechnerressourcen (z.b. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Interaktion des Serviceproviders zur Verfügung gestellt werden können (NIST, National Institute of Standards and Technology). Technologie Jeder Cloud Service beinhaltet, abhängig vom Angebot, einen in sich abgestimmten Technologiepool, der von mehreren Kunden unabhängig über das Internet genutzt wird. Das heisst, dass Operating System, Server- und Storage-Infrastruktur mit der Middleware und Anwendung abgestimmt werden müssen. Die im Pool eingesetzten Technologien sind abhängig von den Kombinationsmöglichkeiten der gewählten Technologieanbieter. Servicemodelle Cloud Services sind On-Demand-Software- (Anwendungen, Betriebssysteme, Middleware, Management- und Entwicklungs-Tools) sowie On-Demand-Infrastruktur-Services (Hardware, Speicher, Netze), die webbasiert und mandantenfähig sind und jeweils dynamisch an die Erfordernisse der Geschäftsprozesse angepasst werden können. Bei den Servicemodellen unterscheidet man folgende drei Ebenen : IaaS, PaaS, SaaS. IaaS Infrastructure as a Service. Der Cloud Service beinhaltet über das Internet auf Subskriptionsbasis (On Demand) genutzte IT- Infrastruktur wie Platz, Klima, Netzwerk, Server, Speicher bis zum Betriebssystem und dem zugehörigen Betriebs-Monitoring. Auf diesem Service können von Nutzern jeweils individuelle Middlewareund/oder Anwendungsumgebungen frei implementiert und genutzt werden. PaaS Platform as a Service.PaaS baut auf IaaS auf. Diese Dienstleistung ermöglicht es dem Nutzer, seine benötigte Middleware (Tools, Datenbanken etc.) On Demand zusammenzustellen. Die Anbieter können auf der Plattform für Ihre Nutzer oder ihre eigenen Anwendungsbedürfnisse Software entwickeln, betreiben und über das Internet nutzen. SaaS Software as a Service. SaaS ist eine Form, Anwendungssoftware über den Browser nutzen zu lassen. Dies eröffnet die Nutzung On Demand, mobil, von vielen Standorten aus und von mehreren Be-

35 Begriff / Thema Liefermodelle Public Cloud Private Cloud Hybrid Cloud Community Cloud Service Provider Servicequalität Anwender Bedeutung nutzern gleichzeitig. SaaS baut auf PaaS und IaaS auf. Werden die Cloud Services nach dem Anwendungszweck unterschieden, so gibt es zur Zeit folgende vier Liefermodelle: Public Cloud, Private Cloud, Hybrid Cloud und Community Cloud. Die Public Cloud kann von beliebigen Anwendern (Privatpersonen oder Unternehmen) genutzt werden. Sie steht öffentlich zur Verfügung und die Nutzer sind nicht mehr abhängig von internen IT Ressourcen und eigenen Investitionen. Hier werden die Cloud Services in einem geschlossenen Netzwerk, wie z.b. innerhalb eines Firmen-Intranets bereitgestellt. Das Rechenzentrum und die IT Ressourcen werden vom Unternehmen selbst betrieben und verwaltet. Hybrid Cloud ist eine Kombination zwischen Public Cloud Services, Private Cloud Services und/oder in Verbindung mit dedizierten, firmenspezifischen IT Lösungen. Das Modell kann einerseits somit individuell auf die konkreten Anforderungen des jeweiligen Nutzers ausgerichtet werden. Andererseits kommen solche Ansätze immer auch in Umstellungsphasen von In-House zu Cloud Computing vor. Bei diesem Modell handelt es sich fast ausschliesslich um Services, die von einigen oder mehreren Unternehmen mit gleichen oder ähnlichen Anforderungen oder aus der gleichen Branche gemeinsam genutzt werden. In der Regel besteht das Liefermodell auf dem Konzept einer Public Cloud, wird aber nur von einem bestimmten Kundenkreis genutzt. Service Provider sind Anbieter von Cloud Services (IaaS, PaaS oder SaaS). Sie sind die verantwortlichen Ansprechpartner für die Anwender und haben mit ihnen einen Dienstleistungsvertrag für die Nutzung der angebotenen Cloud Services. Die Anforderungen an die Servicequalität ist einerseits pro Anwender oder Anwendergruppe individuell. Andererseits ist sie für die Service Provider ein entscheidender Faktor für Ihren Erfolg. Sie müssen ihre Servicequalität auf ihre Kundenbedürfnisse ausrichten. Anwender können abhängig von den Cloud-Services Privatpersonen oder Unternehmen sein. Anwender sind verantwortlich, dass Ihre Anforderungen bezüglich Datenhaltung, Sicherheit und Risiken über den Vertrag mit dem Service Provider abgedeckt sind. Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 35

36 11 Quellennachweise 11.1 Gesetzliche Grundlagen Bundesgesetz vom 16. Dezember 1994 über das öffentliche Beschaffungswesen (BöB) ( Verordnung vom 11. Dezember 1995 über das öffentliche Beschaffungswesen (VöB) ( die Vergabe im Dialog ist in Art. 26a VöB geregelt) Verordnung des EVD über die Anpassung der Schwellenwerte im öffentlichen Beschaffungswesen für die Jahre 2012 und 2013 vom 23. November 2011 Kantonale Vergaberechtserlasse (zusammengestellt vom BBL) ( Interkantonale Vereinbarung über das öffentliche Beschaffungswesen ( Mitteilung der BPUK betreffend die Schwellenwerte IVöB für die Jahre 2012/2013 ( Cloud Computing Leitfaden Risk & Compliance der EuroCloud Swiss ( Cloud-Computing-Strategie der Schweizer Behörden ( Vergabeleitfäden Leitfaden für öffentliche Beschaffungen mit Dialog ( Internetleitfaden für die Beschaffung von ICT-Leistungen im Kanton Bern ( Angaben der Infostelle für öffentliche Beschaffung des Kantons Bern ( Guide Romand Pour les Marchés Publics ( Vergabeleitfaden des Kantons Zürich ( ngen/handbuchfuervergabestellen.html#a-content)

37 12 Autoren Heinz Dill GeschäftsführerCBusiness Services GmbH, Dielsdorf Präsident EuroCloud Swiss Dr. Christian Laux, LL.M. Rechtsanwalt, LAUX LAWYERS, Zürich Roman Pfenninger Abteilungsleiter Infrastruktur Hosting,OIZ, Zürich Dr. Jens Piesbergen Manager Swiss Government Cloud-Program Member Executive Management Board Netcetera AG, Zürich Leitfaden Cloud Computing Öffentliche Auftragsvergabe 2013 EuroCloud Swiss Stand: 03/2013 Seite 37

38 Sponsoren von EuroCloud Swiss sind: EuroCloud Swiss Verein zur Förderung von Cloud Computing 8000 Zürich Web: