Outsourcing-Projekte bergen immer auch zahlreiche Unsicherheiten: Das auslagernde Unternehmen übergibt nicht nur einen bedeutenden Bereich seines Betriebs in die Verantwortung eines externen Partners, sondern dem Dienstleister eröffnet sich oftmals auch die Möglichkeit, auf hochsensible, interne Firmendaten zuzugreifen. Neben einer vertauensvollen, partnerschaftlichen Zusammenarbeit spielt daher eine möglichst detaillierte vertragliche Absicherung durch SLAs eine große Rolle.

SLA-Vereinbarungen enthalten alle Leistungsmerkmale, die Qualität und Quantität der angestrebten Outsourcing-Partnerschaft beschreiben. Im Allgemeinen werden folgende Fragen beantwortet: Welche Dienstleistungen werden bereitgestellt? Welchen Service erwartet der Outsourcing-Kunde, und wie wird dieser gemessen? Was geschieht, wenn die Dienstleistungen, die vereinbart wurden, nicht geliefert werden können? Die Rechte und Pflichten der Parteien müssen klar aus dem Vertrag hervorgehen. Zwar wird sich in der Praxis kein hundertprozentig wasserdichtes Vertragswerk erstellen lassen. Umso wichtiger ist es deshalb, die bestmögliche rechtliche Absicherung des Projekts anzustreben. Formulierungen müssen genau durchdacht und präzise gewählt werden, um den Interpretationsspielraum auf ein Minimum zu reduzieren.

Dies gilt ebenso für inhaltliche Regelungen: Unterschiede von einem Prozent, etwa in der zugesicherten Verfügbarkeit von Servern und Diensten, können erhebliche Auswirkungen auf die tägliche Arbeit haben. Zudem sollten bereits zuvor abgeschlossene Verträge in Augenschein genommen werden, denn bei unglücklichen Konstellationen können sich durchaus Teile der SLA-Vereinbarungen widersprechen oder aufheben.

Wichtige Bestandteile der SLA-Dokuments sind eine detaillierte Leistungsbeschreibung, die Regelung der Kommunikation und des Know-How-Transfers, Entlohnung, Störungs- und Problem-Management, Haftungsregelungen und Schadenspauschalen sowie Kündigungsregelungen. Hinzu kommen Vereinbarungen über eine gemeinsame Sicherheitsstrategie, Maßnahmen zur Qualitätssicherung sowie ein Austiegsszenario. Trotz umfangreicher Regelungen sind viele SLAs in der Praxis nicht ausreichend konkret formuliert. Insbesondere, wenn es um die Verfügbarkeit von Diensten oder Antwortzeiten von Applikationen geht, können ungenaue Angaben ohne feste Bezugsgrößen erhebliche Diskussionen verursachen.

Sichert ein Outsourcer beispielsweise 99 Prozent Verfügbarkeit zu, könnte der vereinbarte Dienst am Tag bis zu 14,4 Minuten, im Monat 432 Minuten und im Jahr 5256 Minuten, also über 87 Stunden, ausfallen, ohne dass die Vereinbarungen im SLA verletzt werden. Beim Messen von Antwortzeiten bietet es sich an, direkt von Stunden oder Minuten zu sprechen. Im Rahmen von Verfügbarkeitszeiten sollten die Anwender zusätzlich darauf achten, wie realistisch die Angaben des Outsourcing-Partners sind: Selbst bei gut laufendem Betrieb müssen in regelmäßigen Abständen Wartungen durchgeführt werden, für die im SLA bestimmte Wartungsfenster definiert werden sollten. Begriffe wie "kontinuierlich" und "regelmäßig" sind wegen ihrer Ungenauigkeit vollkommen zu vermeiden.

Freiheiten für künftige Anforderungen

Generell empfiehlt es sich zwar, eine langfristige Zusammenarbeit zwischen Outsourcing-Anbieter und Kunde anzustreben. Damit die Auftraggeber jedoch ausreichend Spielraum für künftige technische Entwicklungen und geänderte Bedürfnisse im Unternehmen haben, ist einer kurzen Vertragslaufzeit stets der Vorrang zu geben. Erneuerungsoptionen im Vertragswerk schließen den Willen zur langfristig angelegten Partnerschaft nicht aus. Insgesamt sollte sich ein SLA bei der Definition der Leistungen nicht statisch auf die technischen Voraussetzungen bei Vertragsabschluss beziehen, sondern Optionen für künftige technische Entwicklungen und Veränderungen am Markt bereit halten.

Besonders sensible Punkte im Rahmen von Outsourcing-Projekten sind die IT-Sicherheit und der Datenschutz. Nach einer Studie von Forrester Research planen immer mehr Unternehmen, ihre IT-Sicherheitssysteme externen Dienstleistern zu übergeben. Der europäische Markt für Managed IT-Security wächst danach von derzeit 962 Millionen auf voraussichtlich 4,6 Milliarden Euro im Jahr 2008. Für Unternehmen und Outsourcing-Partner ist es von hoher Bedeutung, sich auf gemeinsame Sicherheitsstandards zu einigen und vertraglich eine für beide Seiten verbindliche Sicherheitsmethode festzulegen.

Als Standardwerk für die Entwicklung einer solchen Vereinbarung können die Control Objectives for Information and related Technology (Cobit) verwendet werden. Sie wurden von der internationalen Vereinigung der IT-Revisoren Isaca (www.isac.de) als eine Art Landkarte für den IT-Einsatz entwickelt und geben konkrete Hilfestellung bei der strategischen Planung, Organisation und vor allem bei der Kontrolle von IT-Prozessen. Weitere Orientierung bieten der britische Code of Practise for Information Security Management oder das Grundschutzhandbuch (http://www.bsi.bund.de/gshb/deutsch/menue.htm) des Bundesamtes für Sicherheit in der Informationstechnologie (BSI).

Eskalationsstufen definieren

Bei Verstößen gegen den Datenschutz oder die zugesicherte Verfügbarkeit greifen Schadenspauschalen und Vertragsstrafen, die ebenfalls detailliert im SLA-Dokument erfasst werden müssen. Ein Eskalationsstufenmodell hilft beim Störungs- und Problem-Management, indem für verschiedene Arten von leichteren Störungen bestimmte Ausgleichsleistungen festgelegt werden. Dies verhindert eine Auseinandersetzung über die Höhe des Schadensersatzes, wenn zum Beispiel die zugesicherte Mindestverfügbarkeit von Diensten nicht erreicht wird. Darüber hinaus sollten sich die Partner darauf verständigen, wie bei mehrfacher Überschreitung der festgelegten Pauschalen verfahren wird.

Um zu vermeiden, dass es bereits zu Beginn einer Outsourcing-Partnerschaft zu Auseinandersetzungen über die Einhaltung des SLA kommt, bietet es sich an, eine Testphase zu vereinbaren. Auf diese Weise kann rechtzeitig bis zum Start eine ausreichende Systemstabilität erreicht werden. Neben Schadensersatzansprüchen empfiehlt es sich, eine Vertragsstrafe festzulegen, die bei schweren oder dauerhaften Verstößen in Kraft tritt. Dies erhöht im laufenden Betrieb des Outsourcing-Projekts auch den Druck auf eine ordnungsgemäße Vertragserfüllung durch den Outsourcing-Anbieter.

Ein weiterer Abschnitt im SLA-Vertrag sollte sich daher dem Service-Level-Management (SLM) und der Kontrollmechanismen widmen. Wesentlicher Bestandteil wird es sein, die Kommunikation zwischen Outsourcing-Anbieter und -Nachfrager zu beschreiben: Reportings im Rahmen des Service-Level-Managements sind so zu formulieren, dass sie vom Outsourcing-Kunden verstanden werden. Messgrößen müssen nachvollziehbar sein.

Das Ende im Auge behalten

Insbesondere kleine und mittelständische Unternehmen haben jedoch trotz vorhandener SLM-Lösungen das Problem, aufgrund mangelnder IT-Ressourcen kaum kontrollieren zu können, ob die Vereinbarungen des SLAs eingehalten werden. In diesem Fall empfiehlt es sich, einen unabhängigen Dritten, also einen SLA-Provider, einzuschalten und dies auch im Vertragswerk festzuhalten. Die Kontrollinstanz sollte sich beiden Partner verpflichtet fühlen, objektiv die Dienstleistungsqualität messen und ein allgemein verständliches Reporting an alle Beteiligten liefern.

Zu einem langfristigen wirtschaftlichen und unternehmensstrategischen Erfolg des Outsourcings gehören letztlich auch detaillierte Regelungen für ein Vertragsende. Hardwareüberleitung und Softwarerückgabe können im SLA als Projektplan verankert sein. Hinzu kommen rechtliche Vereinbarungen zu den Informationspflichten und die Übergabe einer Dokumentation sowie Übergangsregelungen über einen zeitweiligen Parallelbetrieb. Auch während einer gut laufenden Partnerschaft sollte der Outsourcing-Kunde stets auf ein vorzeitiges Ende der Geschäftsbeziehungen vorbereitet sein: Ein regelmäßig aktualisierter Wiederaufnahme-Plan und ein gut geführtes Archiv mit Softwarekopien, Lizenzen und einer möglichst lückenlosen Dokumentation sorgen auch in unerwarteten Situationen für einen reibungslosen Ablauf der Unternehmens-IT. (jha)

Axel Petersen ist Geschäftsführer des IT-Dienstleisters Comedia.MDS IT in Hamburg.

Angeklickt

Service Level Agreements sind das Regelwerk eines Outsourcing-Projekts. Ein gut justierter Vertrag über die zu liefernden Dienstegüten sorgt für einen qualitative zuverlässigen Betrieb und für klare Verhaltensregeln im Schadensfall. Die besondere Herausforderung besteht darin, ein möglichst wasserdichten Konvolut zu erstellen, das Details klärt, aber nicht zu mächtig ist; das juristisch eindeutig und trotzdem zu verstehen ist; das technische Merkmale, aber auch partnerschaftliche Kommunikation beschreibt; und das flexibel genug ist, um künftigen und heute noch unbekannten Herausforderungen begegnen zu können. Zur Kontrolle der SLAs lässt sich zudem ein unabhängiger dritter Dienstleister hinzuziehen.

Das sollte im Vertrag stehen

1. Zu erbringende Services sowohl im Tages- als auch im zusätzlichen Projektgeschäft (inklusive Beispiele). Angaben zur Verfügbarkeit in Prozent inklusive Bezugsrahmen (etwa pro Monat).

2. Prioritäten (VIPs, wichtige Systeme, Prozesse wie Produktion): Ab wann ist ein Vorfall eine Katastrophe? Welche Vorfälle sind weniger wichtig?

3. Eskalationsstufen und Kommunikation: Wer muss wann und wie bei welchem Vorfall informiert werden?

4. Know-how-Transfer: In welchen regelmäßigen Abständen muss der Outsourcer den Kunden weiterbilden? Wann und wie oft müssen Mitarbeiter im Projekt- und Tagesgeschäft informiert werden?

5. Wie erfolgt das Monitoring? Welche Sanktionen fallen wann in welcher Höhe an?