EVB-IT-Cloud-Vertrag in der Praxis: Cloud sicher beschaffen

Der EVB-IT-Cloud-Vertrag ist das standardisierte Vertragswerk, mit dem öffentliche Auftraggeber Cloud-Leistungen sicher beschaffen. Unser Leitfaden zeigt Behörden und Kommunen, wie der Cloud-Kriterienkatalog praxisnah ausgefüllt wird, welche Schritte vor der Vergabe nötig sind und worauf es im Betrieb wirklich ankommt - inklusive Datenrückgabe und Anbieterwechsel.

Eine Hand hält eine Schachfigur vor einem digitalen Bildschirm voller Cloud-Symbole, Daten-Uploads und vernetzter Anwendungen – ein Sinnbild für die strategische Cloud-Beschaffung über den EVB-IT-Cloud-Vertrag.

1. Was ist der EVB-IT-Cloud-Vertrag?
2. Cloud-Beschaffung für die öffentliche Hand
3. Vergabe und Vertragsabschluss in der Praxis
4. Im Betrieb steuern und Wechsel vorbereiten

Was ist der EVB-IT-Cloud-Vertrag?

Der EVB-IT-Cloud-Vertrag bündelt drei Bestandteile: den eigentlichen Cloudvertrag, die EVB-IT Cloud-AGB und einen Kriterienkatalog. Damit deckt er Cloud-Leistungen ab, die nach Standards wie Software as a Service, Platform as a Service, Infrastructure as a Service und Managed Cloud Services beschafft werden.

Laut CIO Bund gilt das EVB-IT-Cloud-Vertrag-Muster seit dem IT-Planungsrat-Beschluss 2022/01 als verbindliche Empfehlung für Bund, Länder und Kommunen. Eingeordnet wird das Werk in den allgemeinen EVB-IT-Vertrag-Leitfaden und seit 2024 in die EVB-IT-Rahmenvereinbarung als modulares Vertragsdach. Wie der Wechsel praktisch vorbereitet wird, zeigt der entsprechende Abschnitt weiter unten.

Hier die wichtigsten Bestandteile des EVB-Cloud-Vertrags auf einen Blick:

EVB-IT Cloud-AGB als allgemeine Bedingungen
Kriterienkatalog für technische Parameter
Regelungen zu SLA und Verfügbarkeit
Datenschutz- und Sicherheitsklauseln
Vorgaben zur Datenrückgabe am Vertragsende

Welche Cloud-Modelle deckt der EVB-IT-Cloud-Vertrag ab?

Der EVB-IT-Cloud-Vertrag deckt vier Cloud-Modelle ab: Software as a Service, Platform as a Service, Infrastructure as a Service und Managed Cloud Services. Damit lassen sich praktisch alle gängigen Cloud-Dienste über ein einheitliches Werk beschaffen.

SaaS-Vertrag und IaaS für die öffentliche Hand

Ein SaaS-Vertrag für die öffentliche Hand adressiert fertige Anwendungen wie die E-Akte oder Bürgerportale. PaaS deckt Plattformen ab, auf denen eigene Lösungen entwickelt werden. IaaS liefert reine Rechen- und Speicherkapazität, etwa für Fachverfahren. Managed Cloud Services bündeln Betrieb, Monitoring und Support für eine bereits genutzte Cloud-Umgebung. Wer hier die Abgrenzung zur DSGVO-konformen Cloud sauber zieht, vermeidet doppelte Diskussionen über Datenschutz und Anbieterwahl.

Cloud-Beschaffung für die öffentliche Hand

Cloud-Beschaffung in der öffentlichen Hand folgt einem klaren Vorlauf: Bedarf klären, Kriterien festlegen, Markt sondieren, ausschreiben. Der EVB-IT-Cloud-Vertrag liefert dafür den Rahmen, der EVB-IT Cloud-Kriterienkatalog die fachliche Substanz. Bevor eine Ausschreibung startet, lohnt sich ein klarer Blick auf die geplante Service-Architektur.

Die Service-Level-Beschreibung gehört nicht erst in den Vertrag, sondern in die Bedarfsdefinition. Wartung, Betrieb und Datenflüsse entscheiden über die Leistungstiefe. Daraus ergibt sich, welche Module aus der Rahmenvereinbarung sinnvoll kombiniert werden. Begleitende Beratungs- und Konfigurationsleistungen werden meist über einen EVB-IT Dienstvertrag als aufwandsbasiertes Modul ergänzt. So wird die Cloud-Beschaffung der öffentlichen Hand zu einem geordneten Prozess statt zu einer vergaberechtlichen Stolperstrecke.

Wie wird der EVB-IT Cloud-Kriterienkatalog praxisnah ausgefüllt?

Der EVB-IT Cloud-Kriterienkatalog wird in fachlichen Werkstätten ausgefüllt - nicht am Schreibtisch der Vergabestelle. Verlangt werden konkrete Angaben zu Verfügbarkeit, Datenstandort, Schnittstellen, Backup-Frequenz und Eskalationswegen. Saubere Antworten entstehen nur im Dialog zwischen IT, Fachabteilung und Vergabe.

Wer die Erfahrungen aus laufender Software-Wartung für Behörden einbezieht, erhält realistischere Anforderungen an Service und Betrieb. Andernfalls wird der EVB-IT Cloud-Kriterienkatalog zur Wunschliste, die im Betrieb niemand einhält. Den Cloud-Kriterienkatalog ausfüllen heißt: jede Anforderung in eine prüfbare Größe übersetzen. Empfohlen wird, die verschiedenen Punkte in einem zentralen Workshop-Protokoll aufzunehmen unddaraus die spätere Leistungsbeschreibung Schritt für Schritt aufzubauen.

Bedarf mit der Fachabteilung klären

Bedarf klären bedeutet: Welche Nutzergruppen brauchen die Cloud-Leistung wofür, wann, wie oft, mit welchen Daten? Solche Fragen lassen sich nur fachlich beantworten. Eine laufende Anwendungsbetreuung liefert wertvolle Hinweise auf reale Lastspitzen, kritische Zeitfenster und typische Eskalationen. Aus diesen Daten entstehen messbare Service-Level-Vorgaben. Ohne diese Tatsachenbasis drohen entweder unterversorgte Systeme oder überteuerte Verträge. Im Workshop wird dann gewichtet, welche Anforderungen verhandelbar sind und welche zwingend bleiben.

Klärungspunkte vor der Ausschreibung:

👉 Nutzergruppen und Lastprofile
👉 Verfügbarkeits- und Servicezeitfenster
👉 Datenmengen und Backup-Bedarf
👉 Schnittstellen zu Bestandssystemen
👉 regulatorische Anforderungen
👉 Eskalationswege und Bereitschaft
👉 erwartete Lebensdauer der Lösung
👉 Budget und Genehmigungsstufen

Marktdialog vor der Ausschreibung

Ein Marktdialog vor der Ausschreibung verbessert Vertragsqualität und Bewerberresonanz. Anbieter erfahren, was die Behörde sucht; die Behörde erfährt, was der Markt liefern kann. Solche Gespräche werden vergaberechtlich abgesichert dokumentiert und schließen jeden potenziellen Bewerber ein. Erfahrungen aus laufender Softwarepflege helfen, marktübliche Service-Level einzuschätzen und überzogene Versprechen vom Anbieter zu hinterfragen. Im Ergebnis fließen die Erkenntnisse zurück in den EVB-IT Cloud-Kriterienkatalog - realistischer, präziser, prüfbarer. Auch Eskalationswege und Notfallprozesse werden frühzeitig durchdacht, statt erst im Krisenfall improvisiert zu sein.

Vergabe und Vertragsabschluss in der Praxis

Nach der Vorbereitung folgt die formale Vergabe - mit fertigem EVB-IT-Cloud-Vertrag, Cloud-AGB und gefülltem Kriterienkatalog. Im günstigen Fall ist die Ausschreibung damit eine Frage von Wochen, nicht Monaten. Die Bieter beziehen sich auf das Standardwerk und reichern es um eigene Service-Beschreibungen an. Vergleichbarkeit der Angebote steigt deutlich, wenn alle dieselbe Klauselbasis nutzen. Spätere Übergaben an die IT-Abteilung profitieren ebenfalls, weil Schnittstellen, Datenflüsse und Verantwortlichkeiten bereits dokumentiert sind. Damit verkürzt sich auch die Zeit zwischen Zuschlag und produktivem Start spürbar.

Cloud-Kriterienkatalog in der Vergabe

Der EVB-IT Cloud-Kriterienkatalog liefert während der Vergabe die Bewertungsmatrix. Jeder Punkt wird in messbare Kriterien übersetzt - Verfügbarkeit, Reaktionszeiten, Standortbindung, Datenschutzklauseln. Bewertungsstellen prüfen Angebote anhand des Katalogs zeilenweise. So entstehen nachvollziehbare Vergleiche, die einer rechtlichen Überprüfung standhalten. Auch Beschaffungsstellen außerhalb des Bundes schätzen diese Strukturhilfe, weil sie die eigene Verwaltungsroutine entlastet und Diskussionen mit dem Markt versachlicht. Wird der EVB-IT Cloud-Kriterienkatalog konsequent als Bewertungswerkzeug genutzt, lassen sich späte Überraschungen in der Vertragsverhandlung weitgehend vermeiden.

Was steht in den EVB-IT Cloud-AGB?

Die EVB-IT Cloud-AGB enthalten die allgemeinen Geschäftsbedingungen für Cloud-Beschaffungen der öffentlichen Verwaltung. Sie regeln Haftung, Geheimhaltung, Mitwirkungspflichten und Vertragsende. Mitwirkungspflichten der Behörde sind besonders heikel - etwa Bereitstellung von Schnittstellen oder Klärungen im Wartungsfall. Klare Regeln dazu schützen vor späteren Streitigkeiten. Datenschutz wird in Verbindung mit dem Auftragsverarbeitungsvertrag geregelt; technische Maßnahmen folgen aus dem Kriterienkatalog. Auch die Verfügbarkeitsmessung und ihre Folgen bei Unterschreitung sind in den AGB klar normiert.

Typische Inhalte der EVB-IT Cloud-AGB:

Haftungsregeln und Haftungshöchstgrenzen
Geheimhaltung und Datenschutzpflichten
Mitwirkungspflichten der Auftraggeberseite
Verfügbarkeitsmessung und Sanktionen
Kündigungs- und Übergaberechte
Verarbeitungsstandorte und Subunternehmer
Anpassungen bei Rechtsänderungen

Im Betrieb steuern und Wechsel vorbereiten

Der EVB-IT-Cloud-Vertrag wirkt erst in der Betriebsphase. SLA-Berichte, Eskalationen, Wechselvorbereitung - all das fällt nach Vertragsschluss ins Tagesgeschäft. Eine gute Betriebsroutine schlägt jeden noch so feinen Vertragstext. Beschaffungsstellen und IT-Abteilung teilen sich die Steuerung. Berichte werden gemeinsam gelesen, Vorfälle gemeinsam bewertet, Wechselszenarien turnusmäßig geprobt. So entsteht eine belastbare Beziehung zwischen Auftraggeber und Cloud-Anbieter, die auch in Krisen trägt. So gewinnt die Cloud-Beschaffung der öffentlichen Hand operative Stabilität.

Welche SLAs gehören in einen Cloud-Vertrag der öffentlichen Hand?

Cloud-SLAs der öffentlichen Hand definieren mindestens Verfügbarkeit, Reaktionszeiten, Wiederherstellungszeit und Servicefenster. Konkrete Messmethoden und Berichtspflichten sind genauso wichtig wie die Werte selbst. Bei Verfügbarkeit gilt die monatliche Berechnung mit definierten Wartungsfenstern. Reaktionszeiten werden je nach Fehlerklasse abgestuft - analog zur EVB-IT-Pflege-S-Logik. Sanktionen bei Unterschreitung folgen aus den Cloud-AGB. Häuser, die ihre Steuerung im Voraus definieren, profitieren von messbaren Werten statt von Diskussionen.

Pflicht-Inhalte eines Cloud-SLA:

Verfügbarkeit pro Monat
Reaktionszeit nach Fehlerklasse
Wiederherstellungszeit (RTO)
Datenwiederherstellungspunkt (RPO)
Servicefenster und Wartungszeiten
Berichtsrhythmus und Inhalte
Sanktionen bei Unterschreitung
Eskalationsstufen mit Ansprechpartnern

Was passiert beim Vertragsende mit den Cloud-Daten?

Beim Vertragsende muss der Cloud-Anbieter Daten zurückgeben und beim Wechsel mitwirken. Die EVB-IT Cloud-AGB regeln das in Ziffer 13.2 ausdrücklich. Konkret bedeutet das: definierte Formate für die Datenrückgabe, Unterstützung bei der Migration zum Nachfolger, Löschung im Anbietersystem nach Bestätigung. Frühzeitige Wechselvorbereitung verkürzt Übergabezeiten erheblich und reduziert Reibungsverluste.

Behörden, die das schon bei Vertragsschluss durchdenken, sparen sich später monatelange Diskussionen mit dem alten Anbieter. Auch Übergaberegeln zu Schlüsseln, Konten und Logs gehören zwingend in die Schlussphase eines geordneten EVB-IT-Cloud-Vertrags. Wie der gesamte EVB-IT Anbieterwechsel mit Migrationsunterstützung und Parallelbetrieb in der Kommune abläuft, vertieft ein eigener Leitfaden.

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.

FAQs

Wann lohnt sich der EVB-IT-Cloud-Vertrag?

Der EVB-IT-Cloud-Vertrag lohnt sich, sobald öffentliche Auftraggeber Cloud-Leistungen wie SaaS, IaaS oder Managed Services strukturiert beschaffen wollen. Er liefert geprüfte Klauseln, eine klare Vergabematrix und reduziert Aushandlungsaufwand spürbar - besonders bei wiederkehrenden Beschaffungen mit hohem Datenschutzbezug oder strengen Anforderungen an Verfügbarkeit und Datenstandort.

Wie unterscheidet sich der EVB-IT-Cloud-Vertrag vom EVB-IT-Systemvertrag?

Der EVB-IT-Cloud-Vertrag regelt die laufende Bereitstellung von Cloud-Leistungen, also Bezüge wie SaaS oder IaaS. Der EVB-IT-Systemvertrag hingegen wird für die Erstellung und Lieferung kompletter IT-Systeme genutzt - inklusive Hardware, Software und Dienstleistungen aus einer Hand. Die Abgrenzung folgt dem Beschaffungstyp.

Welche Aufgaben bleiben bei der IT-Abteilung der Behörde?

Trotz Cloud-Bezug bleibt eine Reihe von Aufgaben fest in der Hand der IT-Abteilung. Identitäts- und Berechtigungsmanagement, die Anbindung an Bestandssysteme, das Monitoring der Cloud-Nutzung und die Steuerung interner Eskalationen liegen weiterhin im Haus. Auch Compliance-Nachweise, Datenschutzkoordination und der Austausch mit Aufsichten gehören dazu. Im Wechselszenario übernimmt die IT-Abteilung die fachliche Steuerung der Datenrückgabe und der Migration zum Nachfolger. Cloud-Beschaffung verschiebt also nicht die Verantwortung, sondern verlagert nur Teile des Betriebs an einen externen Anbieter. Wichtig ist, diese Aufgabenteilung früh zu klären und im Vertrag sauber zu spiegeln, damit Reibungsverluste im Betrieb vermieden werden.

Ist der EVB-IT-Cloud-Vertrag für Kommunen verpflichtend?

Für Bundesbehörden ist die Anwendung des EVB-IT-Cloud-Vertrags grundsätzlich verbindlich. Länder und Kommunen entscheiden eigenständig über den Einsatz - der IT-Planungsrat hat das Werk aber ausdrücklich auch an Länder und Kommunen empfohlen. In der Praxis greifen viele kommunale IT-Dienstleister inzwischen auf das Standardmuster zurück, weil es Vergaberisiken senkt und Marktakzeptanz schafft. Zudem ist der Cloudvertrag seit 2024 als Modul in die EVB-IT-Rahmenvereinbarung eingebunden, was die Nutzung weiter erleichtert. Wer Cloud-Leistungen beschafft, sollte die Anwendung des EVB-IT-Cloud-Vertrags daher früh in die eigene Vergabestrategie aufnehmen.