IT Due Diligence

Was ist die eigene IT eigentlich wert?

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Jochen Würges Steuerberater und Certified Information Systems Auditor (CISA) bei der Luther Rechtsanwaltsgesellschaft mbH, Köln.
Damit Fusionen nicht an IT-Problemen scheitern, ist eine "IT Due Diligence" nötig.
Foto: jojje11, Fotolia.com

Der Begriff "Due Diligence" wird meist im Zusammenhang mit Börsengängen, Unternehmensverschmelzungen und Finanzierungen gebraucht. Er bezeichnet die Untersuchung der rechtlichen und finanziellen Verhältnisse eines Unternehmens. Zentraler Bestandteil einer Due Diligence ist insbesondere die Überprüfung in den Bereichen Finanzen, Recht und Steuern. Doch damit sollten sich die Unternehmen nicht begnügen: Mit einer "IT Due Diligence" lassen sich auch die technikbezogenen Bereiche einbeziehen.

Systematische Beurteilung

Die IT Due Diligence umfasst die systematische Aufnahme und Beurteilung der vorhandenen IT (Hardware, Software, Netze, Ressourcen, Prozesse, Standorte, Projekte) und der Datenschutzorganisation eines Unternehmens. Weiterhin hat sie zum Ziel, den Wert und den strategischen Nutzen aufzuzeigen, den die IT für das Unternehmen hat. Dabei werden die Risiken und Potenziale der vorhandenen IT vor und nach einer Transaktion beurteilt.

Geprüft werden unter anderem:

  • Die ausreichende Dimensionierung und Zukunftsfähigkeit der bestehenden IT-Infrastruktur und -Organisation,

  • die Ordnungsgemäßheit der (Buchführungs-)Systeme sowie

  • die Datenschutzkonformität der IT-Systeme und der dafür ausgelegten Prozesse.

Daneben darf eine Einschätzung der vorhandenen Datenschutzorganisation (IT-Compliance) nicht fehlen.

Relevant für potenzielle Käufer

Immer häufiger wird die IT Due Diligence bei Unternehmenstransaktionen als Dienstleistung in Anspruch genommen. Insbesondere für den potenziellen Käufer kann sie von hoher Relevanz sein. Besonderen Mehrwert bringt eine IT Due Diligence dort, wo in der Post-Merger-Phase eine Integration der IT-Organisation und -Infrastruktur des übernommenen Betriebs in den Konzern des Käufers geplant ist.

Als Argument für Unternehmensübernahmen werden regelmäßig Effizienzgewinne durch die Integration und Zusammenführung von technischen, organisatorischen und personellen Ressourcen der beteiligten Unternehmen, Teilunternehmen oder (Teil-)Konzerne genannt. In der Praxis zeigt sich allerdings immer wieder, dass die erwarteten Einsparungen nicht, nur teilweise oder allenfalls mit erheblicher zeitlicher Verzögerung verwirklicht werden können.

Die erfolgreiche Zusammenführung der IT-Anwendungen beziehungsweise der zugehörigen Datenbestände ist ein wichtiger Erfolgsfaktor bei Unternehmenstransaktionen. Doch die Migration von Daten auf ein anderes IT-System ist mit erheblichem organisatorischem und technischem Aufwand verbunden. Unabhängig von der Branche scheitern daher bis zu 60 Prozent der Fusionen. Oft liegt dies auch daran, dass die IT-Systeme und IT-Prozesse nicht in Einklang gebracht werden können. Anders herum bereitet bei Unternehmensabspaltungen oft die Trennung der IT-Infrastruktur heftiges Kopfzerbrechen. Folgende Fragen stellen sich regelmäßig:

Dürfen die Lizenzen vom ausscheidenden Unternehmen für einen Übergangszeitraum weiter genutzt werden?

  • Wem gehören eigentlich die Daten aus dem CRM-System?

  • Darf die zentrale Datenbank weiter (gemeinsam) genutzt werden?

  • Wie lässt sich eine ausreichende Mandantentrennung bewerkstelligen, um beispielsweise den strengen Richtlinien des Datenschutzes zu genügen?

  • Wie, wo und durch wen werden die Informationen und Altsysteme aufbewahrt?

  • Wie ist sichergestellt, dass die gesetzlichen Vorschriften zur Aufbewahrung von Daten eingehalten werden?

Erfassen von Fusionsrisiken

Für eine reibungslose Fusion ist es daher essenziell, die vorhandene IT-Ausstattung zu kennen, Vertragslaufzeiten und Kosten zu analysieren, die Kompatibilität der IT-Systeme beider Unternehmen zu überprüfen, aber auch die Mitarbeiter im IT-Bereich und die organisatorischen Gegebenheiten zu berücksichtigen. Aus diesen Informationen lässt sich ableiten, wie hoch die Kosten für eine Integration sein werden.

Die Risiken sollten bereits im Vorfeld der Transaktionen bekannt sein. Eine IT Due Diligence kann zum Beispiel die Kosten und Risiken für eine Transaktion durch unerkannte Nicht-Kompatibilität der IT-Infrastruktur aufzeigen. Der Käufer erhält so einen Überblick über den voraussichtlichen Umfang der erforderlichen IT-Investitionen sowie eine Aufstellung der IT-Schwachstellen. So lässt sich der eigene Aufwand für die Integration besser planen.

Blackbox Datenschutz und Lizenzen

Im Rahmen einer IT Due Diligence werden demnach beide Parteien, also das Zielunternehmen und der Käufer, in die Untersuchungen einbezogen. Nur so lassen sich Kompatibilitätsprobleme, etwa im Hard- und Softwarebereich, aufzeigen.

In dieser Hinsicht unterscheidet sich die IT Due Diligence von anderen Due-Diligence-Untersuchungen, bei denen zumeist nur der zu übernehmende Betrieb im Fokus steht. Untersuchungen, die mit einer IT Due Diligence vergleichbar sind, finden regelmäßig auch im Vorfeld von Um- und Neustrukturierungen bei Konzernen und Teilkonzernen statt. Hier sind durchaus ähnliche Themen relevant.

Durch eine IT Due Diligence erfahren die Unternehmen auch, wie es um den jeweiligen Datenschutz bestellt ist. Folgende Fragen müssen hier beantwortet werden:

  • Sind die wesentlichen Prozesse im Unternehmen datenschutzkonform?

  • Gab es in der Vergangenheit schon einmal Datenpannen?

  • Wie hoch ist das Risiko, in der Zukunft mit Datenschutzverstößen konfrontiert zu werden?

  • Ist das Unternehmen auch ausreichend lizenziert?

  • Können durch andere Lizenzmodelle Kosten eingespart werden?

Checklisten und Interviews

Wie aber ist konkret vorzugehen? Im Rahmen einer IT Due Diligence kommen sinnvollerweise standardisierte Checklisten und Vorlagen zum Einsatz, wie sie in vielen Projekten entwickelt werden. Mit Hilfe solcher Checklisten lassen sich alle wesentlichen Themenbereiche abfragen. Die so gewonnenen Erkenntnisse werden dann durch Interviews überprüft und schließlich in Berichten zusammengefasst. (qua)