Ausschreibungen – 3 Gründe, warum es mit den IT-Vorgaben nicht klappt

4. Februar 2024 um 16.32 Uhr
0

Bei IT-Ausschreibungen sind Vorgaben von grosser Wichtigkeit. Erstaunlicherweise tun sich ausschreibende Stellen oft schwer, Vorgaben zu Cloud-Nutzung, Datenschutz und Datensicherheit bereitzustellen. Ist dies ein Phänomen des öffentlichen Sektors?

Bei IT-Ausschreibungen sind Vorgaben aus dem Kontext des Kunden essenziell. Dazu gehören beispielsweise Rahmenbedingungen zum Identitätsmanagement (IAM), um das Login von neuen Applikationen für die Benutzerinnen und Benutzer zu vereinfachen («Single Sign On»). Eine zunehmend wichtige Rolle spielen übergeordnete Vorgaben zu Datenschutz und Informationssicherheit, etwa in der Form von «Sicherheitsrichtlinien» oder einer «Auftragsdatenbearbeitungsvereinbarung» (ADV). Die Wichtigkeit dieser Vorgaben ist nicht zu unterschätzen: fehlen sie oder sind sie unvollständig, kann es für den Kunden desaströs enden (wie jüngsten Pressemeldungen im Zusammenhang mit gestohlenen Daten zu entnehmen war). Sind die Vorgaben hingegen übertrieben und nicht praxistauglich, beschert dies den Anbietern Mehraufwand und kann zum Rückzug von Ausschreibungen oder zu überhöhten Kosten führen. Bei dieser Wichtigkeit erstaunt es, dass sich viele ausschreibende Stellen schwertun, geeignete Vorgabedokumente zu erarbeiten. Oft gehören beispielsweise ADV-Vorlagen, Cloud-Richtlinien, ISDS- und SLA-Vorgaben zu den «gesuchten» Unterlagen, für welche das Ausschreibungsteam bei der Vorbereitung von «Pontius zu Pilatus» rennen muss. Ist dies ein Phänomen der öffentlichen Verwaltung? Erfahrungen aus verschiedenen IT- Beschaffungsprojekten lassen mich folgende Ursachen vermuten:

1) Neue und dynamische Themen
Die Anforderung, mit fast jeder Ausschreibung aus Datenschutz-Gründen eine «Auftragsdatenbearbeitungsvereinbarung» (ADV) mitzugeben ist relativ neu. Dies zeigt sich daran, dass nicht wenige öffentliche Verwaltungen noch nicht über praxiserprobte Vorlagen verfügen und auch das Wissen fehlt, wie diese auf den jeweiligen Ausschreibungsgegenstand anzupassen sind. Je nach Art der beschafften Leistung (Software, Outsourcing, Cloud-Leistungen) und der Grösse und Professionalität der potenziellen Anbieter, müssen die Vorgaben anders aussehen. So macht es beispielsweise keinen Sinn, internationalen und sehr professionell agierenden Anbietern eigene Vertragsentwürfe und SLA vorgeben zu wollen. Bei gewissen Vertragsparametern gilt es hingegen, die Kontrolle zu behalten. Die rasante technische Entwicklung von Cloud-Lösungen und -Plattformen wie auch der KI führt zu einer zunehmenden Dynamik – ein Tempo, dem viele öffentliche Organisationen nur mit Mühe folgen können.

2) Spezialisten im Silo
So manche «Sicherheitrichtlinie» oder «Cloud-Richtlinie», die als Grundlage oder gar Beilage für eine Ausschreibung dienen soll, wurde von IT-Spezialisten in ihrem «Silo» erarbeitet. Ist das Dokument nicht einmal innerhalb der IT-Abteilung breit bekannt, ist dies meist ein Indiz, dass die Vorgaben nicht mit dem Management und dem Business bzw. den Stakeholdern abgestimmt wurde. Dann fehlt oft eine übergreifende Sicht und eine Einordnung der Themen und verlangten Restriktionen in die Geschäftsprozesse. Solche Vorgabedokumente eignen sich oftmals nicht als Beilage für eine Ausschreibung, da sie aus einer isolierten Perspektive formuliert wurden. Bei der Überarbeitung der Vorgaben beginnt dann der Lauf quer durch die Organisation und die Suche nach Verantwortlichen und Entscheidungsträgern.

 

«So manche Sicherheitsrichtlinie oder Cloud-Richtlinie, die als Grundlage oder gar als Beilage für eine Ausschreibung dienen soll, wurde von IT-Spezialisten in ihrem Silo erarbeitet.»

 

3) Wo ist die Führung?
Übergreifende Problemstellungen an der Schnittstelle von Informatik, Geschäftsprozessen  und Rechtsgrundlagen müssen interdisziplinär bearbeitet und verstanden werden. Dies kann nur eine Führung gewährleisten, die den gesamten Themenkomplex überblickt und die notwendigen Fachexperten und -expertinnen  an einen Tisch bringt. Darauf sind Organisationen der öffentlichen Verwaltung oft nicht ausgelegt, da bereits das Organigramm eine solch übergreifende Zusammenarbeit erschwert. Die Verantwortlichkeiten sind dann auf zig Stellen wie IT-Entwicklung/Projekte, Betrieb, Rechtsdienst und Fachabteilungen verteilt und es fehlt der Überblick. Als «Faustregel» kann man sich merken: Richtlinien jeglicher Art (Datenschutz, Sicherheitsrichtlinien, SLA, usw.) die nicht einem breiten Anwenderkreis bekannt sind und – mitunter wiederholt – geschult werden, sind keine echten Vorgaben; sie entfalten keine Wirkung.

Die Rolle der IT-Beschaffung
Treten bei IT-Beschaffungen Lücken in den Vorgaben zu Tage, gilt es verantwortungsvoll und gleichzeitig pragmatisch zu handeln. Grundsätzliche Lücken und Risiken müssen behoben werden, was aber nicht immer ohne Kompromisse geht («die Vorgabe XY ist gerade in Überarbeitung, die haben wir erst in einem halben Jahr»). Kann das Beschaffungsprojekt nicht um Monate verzögert werden, sind Behelfslösungen zu erarbeiten. Im einen oder anderen Fall können fehlende Vorgaben mit taktischen Kniffen im Beschaffungsdesign umschifft werden. Erfahrene IT-Beschaffer kennen die Marktgegebenheiten und können daraus Vorgaben und Vorgehensweisen ableiten, um die Beschaffungsrisiken zu minimieren.

Beispiele für IT-Vorgaben
  • Auftragsdatenbearbeitungsvereinbarung (ADV)
  • Vertragsvorlagen (Rahmenvertrag, Werkvertrag, Dienstleistungsvertrag, Supportvertrag)
  • Vorgaben für ein Service-Level Agreement (SLA)
  • AGB für ICT-Lieferanten
  • AGB für die Auslagerung von Informatikleistungen
  • Architekturvorgaben
  • Network Security Policy
  • Datenschutz- und Datensicherheitsvorgaben

Webinar Cloud-Beschaffungen
Die Thematik fehlender IT-Vorgaben behandeln wir auch in unserem Webinar «Cloud-Beschaffungen» vom 7. März 2024, 16:00 – 17:00 (60 Minuten). Reservieren Sie jetzt Ihren Platz für diese Online-Veranstaltung.

  • Wie sichere ich mich bei Cloud-Vorhaben betreffend Datenschutz und IT-Sicherheit ab?
  • Wann im Beschaffungsprozess bzw. Projekt brauche ich welche Vorgaben und Dokumente (z.B. SCHUBAN, ISDS-Konzept, ADV, TOM, Vertragsvorlagen)? Wer (Interne/Externe) kann mir dabei helfen?

Webinar «Cloud-Beschaffungen»

 

Roland Füllemann ist IT-Beschaffungsberater für die öffentliche Hand. Seine Arbeitsschwerpunkte sind die Beschaffung von Saas (Cloud)-Lösungen, Cloud-Plattformen und ERP-Systemen. Unter dem Dach der example consulting bietet er zu Ausschreibungen ergänzend Vorstudien und Architekturplanung (insb. für HR-Software) an. Viel Erfahrung hat er auch mit der Ausschreibung von IT-Sicherheitsthemen, von der Sicherheitsarchitektur über Cybersecurity-Consulting bis zum Penetration-Testing.

Artikel auf Social Media Platformen teilen

In dieser Serie

Ausschreibungen: welche Vorgaben an die IT-Sicherheit brauche ich?

Anforderungen an die IT-Sicherheit sind ein wichtiger Aspekt von IT-Beschaffungen. Der Artikel beschreibt praxisbezogene und pragmatische Lösungsansätze wie dem Rechnung zu tragen ist - ohne dass Ausschreibungen verzögert werden oder die Anforderungen überborden. Weiterlesen ›

Webinar «Cloud Beschaffungen» – Praxisfragen und Erfahrungen

Die IT-Beschaffung «aus der Cloud» ist zunehmend auch ein Thema für Verwaltungen und Betriebe der öffentlichen Hand. Bisher haben Bedenken wegen Datenschutz und IT-Sicherheit die Akzeptanz von Cloud-Lösungen im öffentlichen Umfeld behindert. Doch die Marktveränderungen bei «Software as a Service» und «Platform as a Service» Lösungen wirken sich auf das IT-Beschaffungswesen aus. Weiterlesen ›

«Vor der Digitalisierung kommt die IT-Beschaffung»

Eine gut aufgestellte IT-Beschaffung bedeutet mehr, als Hardware und Software einzukaufen – sie ist ein Navigator und Enabler auf dem Weg zur Innovation. Weiterlesen ›

Diesen Artikel kommentieren

Wir sind sehr an einer offenen Diskussion interessiert, behalten uns aber vor, beleidigende Kommentare sowie solche, die offensichtlich zwecks Suchmaschinenoptimierung abgegeben werden, zu editieren oder zu löschen. Mehr dazu in unseren Kommentarregeln.