Was ist eine Cloud-Ausschreibung?
Eine Cloud-Ausschreibung ist ein Vergabeverfahren, bei dem öffentliche Auftraggeber Cloud-Dienste (SaaS, IaaS, PaaS) beschaffen. Diese Vergaben unterliegen besonderen Anforderungen an Datenschutz, IT-Sicherheit, digitale Souveränität und Vertragsgestaltung, die über klassische IT-Ausschreibungen hinausgehen.
Treiber der Cloud-Vergabe
| Treiber | Bedeutung |
|---|---|
| OZG (Onlinezugangsgesetz) | Digitalisierung der Verwaltungsleistungen |
| Deutsche Verwaltungscloud-Strategie | Multi-Cloud-Strategie des Bundes |
| GAIA-X | Europäisches Cloud-Ökosystem |
| BSI C5 | Sicherheitsstandard für Cloud-Anbieter |
| DSGVO | Datenschutz bei Cloud-Nutzung |
Rechtliche Grundlagen
| Rechtsquelle | Relevanz |
|---|---|
| VgV / GWB | Allgemeines Vergaberecht |
| EVB-IT Cloud | Standardvertrag für Cloud-Dienste |
| DSGVO Art. 28 | Auftragsverarbeitung |
| BSI C5 | Cloud-Sicherheitstestat |
| IT-Sicherheitsgesetz 2.0 | KRITIS-Anforderungen |
| § 31 VgV | Technische Spezifikationen |
Besondere Anforderungen
1. Datenschutz und Datenhoheit:
- Datenverarbeitung ausschließlich in EU/EWR
- Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28
- Kein Zugriff durch Drittstaaten (Cloud Act-Problematik)
- Datenlöschung und -portabilität bei Vertragsende
- Mandantentrennung
2. IT-Sicherheit:
- BSI C5-Testat (Typ 1 oder Typ 2)
- ISO 27001 / BSI-Grundschutz
- Verschlüsselung (at rest, in transit, in use)
- Penetrationstests und Sicherheitsaudits
- Incident-Response-Prozess
3. Digitale Souveränität:
- Open-Source-Präferenz in vielen Verwaltungen
- Vermeidung von Vendor-Lock-in
- Daten-Portabilität (Exit-Strategie)
- Interoperabilität mit bestehenden Systemen
- Transparenz über Subunternehmer
Cloud-Service-Modelle in der Vergabe
| Modell | Beschreibung | Typische Ausschreibung |
|---|---|---|
| SaaS | Software as a Service | E-Akte, DMS, Kollaboration |
| IaaS | Infrastructure as a Service | Server, Storage, Netzwerk |
| PaaS | Platform as a Service | Entwicklungsplattformen |
| Private Cloud | Dedizierte Infrastruktur | Hochsicherheitsanwendungen |
| Sovereign Cloud | Cloud unter dt./EU-Kontrolle | Verwaltungs-Cloud |
BSI C5 – Der Cloud-Sicherheitsstandard
| Aspekt | C5 Typ 1 | C5 Typ 2 |
|---|---|---|
| Prüfungsgegenstand | Design der Kontrollen | Design + Wirksamkeit |
| Prüfungszeitraum | Zeitpunktbezogen | Mind. 6 Monate |
| Aussagekraft | Grundniveau | Höhere Sicherheit |
| Üblich für | Neue Cloud-Dienste | Etablierte Dienste |
Vergabeverfahren für Cloud
Offenes Verfahren:
- Bei klar definierbaren Cloud-Diensten (z. B. E-Mail-Service)
- Standard-SaaS mit wenig Anpassungsbedarf
Verhandlungsverfahren:
- Bei komplexen Cloud-Migrationen
- Wenn Lösungsansätze diskutiert werden müssen
Dynamisches Beschaffungssystem:
- Für wiederkehrende Cloud-Bedarfe
- Flexibler Abruf über Vertragslaufzeit
Typische Bewertungskriterien
| Kriterium | Gewichtung (Beispiel) |
|---|---|
| Preis | 40% |
| IT-Sicherheitskonzept | 20% |
| Datenschutzkonzept | 15% |
| Funktionsumfang | 10% |
| Migration und Portabilität | 10% |
| SLA und Support | 5% |
Patterno hilft
Mit Patterno-HIT identifizieren Sie gezielt Cloud-Ausschreibungen der öffentlichen Verwaltung. Unsere KI erkennt Cloud-spezifische Anforderungen (BSI C5, EVB-IT Cloud, DSGVO-Konformität) und filtert passende Vergaben für Cloud-Anbieter – ob SaaS, IaaS oder PaaS.