«Cloud Beschaffungen» für die öffentliche Hand
Die IT-Beschaffung «aus der Cloud» wird zunehmend auch ein Thema für Verwaltungen und Betriebe der öffentlichen Hand. Grosses Potenzial hat insbesondere die Nutzung von Software aus der Cloud (SaaS). Dies unter anderem, weil Cloud-Applikationen viel schneller in Betrieb genommen werden können, als herkömmliche komplexe Standardsoftware. Am Weiterbildungstag der Universität Bern vom 4. April 2019 berichteten Experten über Praxiserfahrungen und beleuchteten organisatorische und rechtliche Gesichtspunkte.
Software as a Service
Software welche fixfertig als Web-Lösung oder auf Mobilgeräten angeboten wird, hat aus Sicht der Fachabteilungen wie Personal, Logistik oder Finanzen das grösste Potenzial unter den Cloud-Angeboten. So kann beispielsweise die Personalabteilung Bedürfnisse nach E-Recruiting oder Weiterbildungs-Lösungen (Learning Management) in der Cloud sehr rasch umsetzen. Der kurzen Projekt-Umsetzungszeit bis zum Eintreten des Nutzens stehen allerdings einige Hürden im Wege: Datenschutzauflagen für Personendaten, vertragliche Fragestellungen und technische Herausforderungen bei der Integration. Dieser Artikel fasst die Erfahrungen und Lösungsansätze aus dem Weiterbildungstag der Universität Bern zusammen.
Hybride Systemarchitektur hat Zukunft
Software-Beschaffungen müssen sich immer an der Gesamtarchitektur eines Anwendungsgebiets orientieren. So unterscheidet man z.B. im Personalwesen administrative Module wie die Lohn- und Personaladministration und wertschöpfende Applikationen wie E-Recruiting, Personalentwicklung und Weiterbildung. Wie bereits in einem früheren Artikel ausgeführt wurde, zeichnen sich für die nächsten Jahre «hybride Lösungen» ab. Lohnverarbeitung und Personalstammdaten verbleiben in den Rechenzentren der Verwaltung (oder bei Outsourcern in einer privaten Cloud) und die neuen wertschöpfenden Applikationen werden aus der Cloud beschafft. So können neue Technologien wie z.B. mobile Anwendungen schneller umgesetzt werden und grosse Anwendergruppen (alle Führungskräfte oder alle Mitarbeitenden) rasch aufgeschaltet werden. Im Personalwesen der öffentlichen Hand sind Mitarbeiterportale, Bewerbungsportale für die Rekrutierung und Portale für Führungskräfte und zur Personalentwicklung vielerorts noch ausstehend und der Druck zur Realisierung nimmt zu.
Ausschreibungen für die Cloud gestalten
Cloud-Lösungen haben grosse Vorteile aber auch einige Besonderheiten. So können Cloud-Lösungen in einer Ausschreibung nicht direkt mit On-Premise Lösungen verglichen werden, da diese eine andere Kostenstruktur haben. Weiter gilt es, bei der Projektabgrenzung acht zu geben: der Funktionsumfang von Cloud-Lösungen reicht von spezialisierten Einzelmodulen («best of breed») bis hin zu kompletten Software-Suiten. Damit hier nicht Äpfel mit Birnen verglichen werden, müssen Applikations-Architektur und Applikations-Strategie für das Einsatzgebiet vorgängig analysiert, diskutiert und soweit wie möglich festgelegt werden. Nur so lassen sich Ausschreibungen effektiv, effizient und ohne vermeidbare Risiken abwickeln.
Marktkenntnisse sind unabdingbar, denn die Prozessunterstützung von Cloud-Lösungen ist oft innovativ und kennt andere «best practices» als die traditionellen Prozesse der Verwaltung. So ist es beispielsweise im Personalwesen nicht empfehlenswert, den klassischen formularbasierten jährlichen Mitarbeiterbeurteilungs-Prozess in einer modernen Talent Management Software abbilden zu wollen. Als «best practice» gelten hier eine Zielbeurteilung in kürzeren Zyklen und mehr Interaktion zwischen Mitarbeitenden und Führungskräften. Und an Stelle der althergebrachten «Quali-Formulare» treten interaktive Web-Applikationen auf dem Mitarbeiter-Portal.
Empfehlung: Erstellen Sie eine Applikations-Architektur («Zielbild») für den Fachbereich, also z.B. für die gesamten Personalapplikationen. Verschaffen Sie sich eine Marktübersicht von Standardsoftware und Cloud-Angeboten und entscheiden Sie dann über den Ausschreibungsumfang und die gewünschte Technologie und Betriebsform. Oft müssen einzelne Komponenten ersetzt oder erneuert werden und es gilt, die Gesamtzusammenhänge und die System- und Prozessintegration im Auge zu behalten. Sofern Sie nicht selbst über das Know-How und die Ressourcen verfügen, ziehen Sie externe Experten bei, welche die Applikationsarchitektur und den Softwaremarkt genau kennen. Diese helfen Ihnen auch, die cloud-spezifischen Anforderungen in effektive Eignungs- und Zuschlagskriterien zu übersetzen.
Besondere Herausforderungen
Wer sich noch nie mit der Ausschreibung für eine Cloud-Applikation auseinandergesetzt hat, kann im Beschaffungsverfahren die eine oder andere Überraschung erleben. So unterscheiden sich beispielsweise die angebotenen Cloud-Lösungen sehr stark in Bezug auf ihre technischen Grundlagen. Während internationale Anbieter auf mandantenfähige Public-Cloud Architekturen setzen, basiert das Angebot kleinerer und lokaler Anbieter oft auf einfachen Virtualisierungslösungen oder anderen Private-Cloud oder Outsourcing-Formen. Ob man diese unterschiedlichen Angebote als vergleichbar betrachtet und welchem Angebot man den Vorzug gibt, hängt vom Anwendungsgebiet und den Anforderungen ab.
Je nach Lösung und Softwareanbieter kommt eine Drittfirma als Implementierungspartner ins Spiel, was zusätzliche Anforderungen an die Vertragsgestaltung stellt. Die Verträge und AGB sind eine Herausforderung für sich, gilt es doch Vereinbarungen für Systembetrieb, Servicelevel und Support, Datenschutz und Sicherheit, wie auch für das Implementierungsprojekt zu treffen. Dazu kommen cloud-spezifische Fragen zur Laufzeit, Verlängerung und Beendigung von Verträgen – mit all ihren Konsequenzen. In der Praxis zeigt sich, dass die bestehenden AGB der öffentlichen Hand (z.B. AGB SIK) nur bedingt passen, während die AGB der Cloud-Anbieter bereits viele praxisgerechte Regelungen enthalten. Der traditionelle Anspruch der öffentlichen Hand, dass «nur die eigenen AGB gelten» lässt sich hier in der Regel nicht aufrecht erhalten – eine differenzierte Betrachtung ist nötig.
Empfehlung:
- Technische Anforderungen nur soweit unbedingt notwendig anführen, dafür sehr exakt (z.B. Integrationsanforderungen, API und IAM-Protokollstandards)
- Cloud-Architektur der Anbieter hinterfragen und Mindestanforderungen formulieren, wie z.B. Zertifizierungen des Rechenzentrums
- Regelungen für die Herrschaft und Kontrolle über die Daten vorsehen (Backups, Datenexport, vertragliche Regelungen)
- Bei der Beurteilung von AGB und dem Formulieren von Verträgen erfahrene IT-Juristen/innen beiziehen. Da diese Spezialisten rar sind, ist meist externe Beratung gefragt.
Datenschutz als grösste Hürde?
Als Hinderungsgrund für den Gang in die Cloud werden oft die Datenschutz-Vorgaben der öffentlichen Hand genannt. Insbesondere bei Personendaten ist der Respekt sehr gross. Am Weiterbildungstag der Universität Bern betonte Rechtsanwältin und Beschaffungsjuristin Julia Bhend, dass die Vorgaben und deren Interpretation ja nach Kanton unterschiedlich sind und dass es keine generellen Ausschlussgründe für die Nutzung von Cloud-Angeboten gibt. Sofern die Daten in der Schweiz oder in einem EU-Land gehalten werden, lassen sich die Datenschutz-Risiken mittels entsprechenden Verträgen und organisatorischen und technischen Massnahmen in den Griff bekommen. Inzwischen hat die Schweizerische Post wie auch mehrere Kantonsspitäler und sogar eine Kantonspolizei entschieden, Personalapplikationen wie E-Recruiting, Personalentwicklung und Weiterbildung in einer Public-Cloud zu betreiben. Damit folgt die öffentliche Hand der Privatwirtschaft, welche den Nutzen von Cloud-Lösungen schon länger erkannt hat. Empfohlen bzw. durch kantonale Regelungen vorgeschrieben ist aber – insbesondere bei Personendaten – eine Risiko- und Schutzbedarfsanalyse, die bereits bei den Vorabklärungen für ein Beschaffungsprojekt durchgeführt werden sollte.
Weiterführender Artikel zum Datenschutz bei Personendaten
Cloud – ein Modell für den Public Service?
Bei Fachabteilungen wie Personalabteilung, Weiterbildung oder Logistik ist das Interesse an Cloud-Lösungen sehr gross: versprechen sie doch die Einführung von neuen IT-Lösungen in kürzer Zeit und mit weniger Hürden. Dazu kommen rasche Innovationszyklen der Software, moderne Benutzeroberflächen und die standortunabhängige Nutzung auch auf Mobilgeräten. Die drei Referenten der Weiterbildungsveranstaltung waren sich trotz unterschiedlichen Hintergründen und Blickwinkeln einig: trotz der damit verbundenen Risiken und Herausforderungen muss sich die öffentliche Verwaltung mit den Cloud-Lösungen auseinandersetzen. Es geht nicht bloss um unterschiedliche Betriebsmodelle oder um die Kostenfrage – es geht mittelfristig um die Frage, ob die öffentliche Hand bei den Wirkungshebeln und Netzwerkeffekten der Digitalisierung dabei ist oder aussen vor bleibt. Zum Abschluss der Veranstaltung fassten sie die Vorteile von Cloud-Anwendungen wie folgt zusammen:
- Kurze Umsetzungszeit von Projekten
- Niedrige Investitionen
- Flexibler Leistungsbezug
- Rasche Innovationszyklen
- Standortunabhänig
- Gute Usability und Benutzerakzeptanz
Roland Füllemann, Chefredaktor von referenzportal.ch, hat 20 Jahre Erfahrung mit Informatikprojekten im ERP-Umfeld. Seine Arbeitsschwerpunkte sind Projektinitialisierung, Vorstudien und Ausschreibungen für die öffentliche Verwaltung. Vorstudien und Architekturplanung für HR-Software bietet er unter dem Dach der example consulting an.