Unternehmen verhandeln regelmäßig über neue Auftragsverarbeitungsverträge (AVV) und Service-Level-Agreements (SLA) mit Kunden und Partnern. Gerade im Bereich der Business Continuity entstehen dabei komplexe, oft übersehene Herausforderungen. Dieser Beitrag beleuchtet typische Konflikte und zeigt anhand eines Praxisbeispiels, wie schwierig pragmatische Lösungen im Spannungsfeld zwischen Vertragstreue und Sicherheitsanforderungen sein können.
Der Inhalt im Überblick
Welche Konflikte entstehen zwischen AVV und SLA?
Die Anforderungen an Informationssicherheit steigen stetig, während gleichzeitig und damit verbunden auch vertragliche Bindungen durch Auftragsverarbeitungsverträge (AVV) und Service-Level-Agreements (SLA) immer detaillierter werden. Besonders im Zuge der Umsetzung der NIS-2 Richtlinie stehen auch Anforderungen an die Business Continuity im Raum. Unternehmen mit einem vielfältigen Kundenstamm, darunter große Kunden mit starken Rechtsabteilungen, sehen sich häufig mit folgenden Herausforderungen konfrontiert:
- Vertragliche Bindung an bestimmte Dienstleister: AVV legen fest, welche Sub-Dienstleister für bestimmte Aufgaben eingesetzt werden dürfen. Ein Wechsel ist gesetzlich vorgesehen nur mit Zustimmung aller Parteien möglich.
- Hohe Erwartungen an Verfügbarkeit und Reaktionszeiten: SLA definieren klare Vorgaben für die Leistungserbringung, etwa beim Versand von E-Mails oder der Bearbeitung von Sicherheitsvorfällen.
- Spannungsfeld zwischen Flexibilität und Compliance: Während die Behandlung von Informationssicherheitsvorfällen und IT-Notfällen oft schnelle, pragmatische Maßnahmen erfordert, schränken Verträge die Handlungsoptionen ein.
Diese Konflikte führen dazu, dass Unternehmen im Ernstfall nicht immer so flexibel agieren können, wie es aus Sicht der Informationssicherheit geboten wäre.
Wie wirken sich SLA auf die Behandlung von IT-Sicherheitsereignissen aus?
Service-Level-Agreements sind ein zentrales Steuerungsinstrument für die Zusammenarbeit mit Dienstleistern. Sie regeln unter anderem die Verfügbarkeiten und Reaktionszeiten, Eskalationsmechanismen bei Störungen und Berichtspflichten und Kommunikationswege.
Im Kontext der Informationssicherheit bedeutet dies, dass Unternehmen bei IT-Sicherheitsereignissen oft an die im SLA vereinbarten Prozesse und Verfügbarkeitszusagen gebunden sind. Das kann zu folgenden Problemen führen:
- Verzögerte Reaktion: Wenn ein Sub-Dienstleister nicht wie vereinbart liefert, kann das Unternehmen seinen SLA nicht ohne Weiteres einhalten.
- Kommunikationshürden: Die Abstimmung mit mehreren Parteien (Kunde, Sub-Dienstleister, interne IT, Compliance-Abteilung oder Beratung) kostet Zeit und erschwert schnelle Entscheidungen.
- Haftungsfragen: Kommt es zu einem Sicherheitsvorfall, stellt sich die Frage, wer für die Nichteinhaltung der SLA haftet – insbesondere, wenn der Sub-Dienstleister im AVV festgelegt ist und die Einhaltung der Verfügbarkeitsvereinbarung an dem Einverständnis des Kunden zum Wechsel des Sub-Dienstleisters scheitert.
Diese Aspekte zeigen, wie eng Informationssicherheit und Vertragsmanagement auch über das Lizenzmanagement hinaus miteinander verflochten sind.
Das Problem am Beispiel eines E-Mail-Dienstleisters
Ein anschauliches Beispiel verdeutlicht die Problematik: Ein Unternehmen nutzt einen Sub-Dienstleister, um im Kundenauftrag automatisiert E-Mails zu versenden. Dieser Sub-Dienstleister ist im Auftragsverarbeitungsvertrag festgelegt. Kommt es nun zu einem Problem beim Sub-Dienstleister, durch das der E-Mail-Versand eingeschränkt wird, kann das Unternehmen seinen Service-Level-Agreements mit dem Kunden nicht erfüllen. Gleichzeitig ist es aufgrund des AVVs nicht in der Lage, kurzfristig einen anderen Dienstleister für den Versand einzusetzen.
Dieses Beispiel illustriert die zwei zentralen Herausforderungen:
- Vertragskonformität vs. Pragmatismus: Die vertragliche Bindung schränkt die Handlungsfähigkeit im Krisenfall massiv ein. Der pragmatische Ansatz, einen anderen Sub-Dienstleister für den E-Mail-Versand einzusetzen, widerspricht der im AVV verankerten Klausel, neue Sub-Dienstleister (weit) im Voraus anzukündigen.
- Risiko für die Informationssicherheit: Verzögerungen oder Ausfälle können zu Sicherheitsvorfällen führen, etwa wenn wichtige Benachrichtigungen nicht rechtzeitig versendet werden.
In diesem Konflikt zwischen Vertragstreue und Informationssicherheit müssen dann schwierige Abwägungen getroffen werden: Ist der Einsatz eines anderen Sub-Dienstleisters ohne Zustimmung des Kunden akzeptabel, um Informationssicherheitsvorfällen und Verfügbarkeitseinschränkungen vorzubeugen? Könnte der Kunde Ansprüche wegen Vertragsbrüchigkeit zum AVV stellen? Sollte ein Bruch des SLA in Kauf genommen werden, solange aus dem Ausfall kein Informationssicherheitsvorfall werden kann?
Diese Fragen unter Zeitdruck zu beantworten, kann viele Verantwortliche unter enormen zusätzlichen Druck stellen, weshalb dazu schon im Vorfeld Vorbereitungen getroffen werden sollten.
Gibt es Lösungsansätze für AVV mit anspruchsvollen Kunden?
Besonders Unternehmen mit großen, rechtlich versierten Kunden stehen vor besonderen Herausforderungen, wenn der „kurze Dienstweg“ zur Lösungsfindung an Hierarchien scheitern würde. Typische Fragen, die sich in diesem Kontext stellen, sind zum Beispiel:
Wie kann die notwendige Flexibilität in der Informationssicherheit gewahrt werden, ohne gegen AVV oder SLA zu verstoßen?
Welche Vertragsklauseln ermöglichen im Ausnahmefall ein schnelles Handeln?
Wie können Risiken durch Single Points of Failure bei Dienstleistern minimiert werden?
AVV vs. SLA – eine Lösung muss her
Mögliche Ansätze, die in der Praxis diskutiert werden, um SLA und AVV unter „einen Hut“ zu bringen, umfassen:
- Mehrstufige Dienstleister-Strategien: Das umfasst Verträge, die den Einsatz alternativer Dienstleister im Notfall erlauben.
- Detaillierte Notfallpläne: Klare Prozesse sorgen für den Umgang mit Ausfällen, die sowohl vertragliche als auch sicherheitsrelevante Aspekte berücksichtigen.
- Regelmäßige Überprüfung der AVVs und SLAs: Verträge sollten regelmäßig an aktuelle Bedrohungslagen und technische Entwicklungen angepasst werden.
Eine allgemeingültige Lösung gibt es zwar leider nicht. Vielmehr ist eine individuelle Abwägung und regelmäßige Überprüfung der Vertragswerke unerlässlich und kann im IT-Notfall den entscheidenden Unterschied machen.
Im besten Falle ist man also schon im Vorfeld über die vertragliche Absicherung für einen Subdienstleisterwechsel in Krisensituationen informiert, um die Auftragsverarbeitung im Zweifelsfall nicht zu gefährden.
„Eigentlich“ könnte das Beispiel so einfach gelöst werden… Wenn ich mich als Dienstleister auf einen Unterauftragsverarbeiter verlasse und dessen Dienste zwingend benötige, um meinen Service vertragsgerecht zu erbringen, dann brauche ich ein Backup. Und zwar nicht ein Backup im Sinne einer Datensicherung, sondern eine Alternative, einen Ersatz. Und diesen „Ersatz-Dienstleister“ benenne ich direkt auch in dem AV als Unterauftragsverarbeiter. Er kann dort ja sogar als Ersatz oder Notfall benannt werden. Dann kann ich spontan auch den zweiten einsetzen. Dafür muss ich keine potenziell komplizierten Verträge bauen, welche „den Einsatz alternativer Dienstleister im Notfall erlauben“.
Sie haben völlig recht: Der sauberste und sicherste Weg ist, einen Backup-Dienstleister von vornherein als Unterauftragsverarbeiter im AV-Vertrag zu benennen.
Die Herausforderung in der Praxis liegt in den Details:
– Kosten: Ein zweiter Dienstleister, der im Notfall sofort einspringen kann, verursacht in der Regel laufende Kosten, auch wenn er nicht aktiv genutzt wird. Auf Zusicherungen ohne Rahmenvertrag sollte man sich nur bedingt verlassen.
– Technische Integration: Ein nahtloser Wechsel erfordert, dass die Systeme des Backup-Anbieters technisch voll integriert gehalten werden. Im obigen Beispiel würde das erfordern, dass zu jedem Zeitpunkt die programmierte Schnittstelle der Software, die spezifisch an den Hauptdienstleister angepasst ist, auch in einer Version vorliegt (und an Kunden/Vertragspartner ausgerollt werden kann), die mit dem Sekundärdienstleister funktioniert.
Einen Backup-Dienstleister zu haben ist erstrebenswert und der Idealzustand, erfordert aber wirtschaftliche Abwägungen und interne Absprachen mit (in diesem Fall) den Softwareentwicklern.
Tatsächlich sehe ich den Konflikt zwischen SLA und AVV bei guter Planung eigentlich nicht. Um mal bei dem beschriebenen Beispiel zu bleiben: Wenn der Subdienstleister ein Problem mit dem E-Mail-Versand hat, würde der Dienstleister ja in der Regel nicht völlig spontan auf dem Markt eine Alternative suchen, diese dann anbinden, testen, Preise verhandeln etc.
Vielmehr würde er sich im Vorfeld auf alternative Subdienstleister festlegen, die zu seiner Infrastruktur passen, mit denen bereits entsprechende Verträge bestehen, und die im Notfall einspringen können.
Diese „Notfall-Subdienstleister“ können dann von vornherein mit exakt dieser Zweckbestimmung in die AVV als „bereits genehmigt“ aufgenommen werden. Sollte der Dienstleister im Lauf der Zeit den einen oder anderen davon austauschen, reicht die normale Frist zum Einverständnis des Auftraggebers und damit zur Ergänzung der AVV völlig aus, ohne in Zeitdruck zu geraten.
Der wichtigste Aspekt zur Lösung liegt direkt in Ihrem ersten Satz, nämlich „bei guter Planung“. Der Idealfall wäre es, einen Backup-Dienstleister von vornherein als Unterauftragsverarbeiter im AV-Vertrag zu benennen.
Neben den wirtschaftlichen Abwägungen im Vorfeld sollten bestenfalls auch Exit-Strategien erarbeitet werden, um den schnellen Wechsel realisieren zu können.
Um eine von Ihnen skizzierte und durch Exit-Strategien ergänzte erfolgreiche Planung vorzunehmen, benötigt es jedoch eine grundsätzliche Awareness zu der Problematik, die mit dem obigen Artikel geschaffen werden soll.