Wem genügt schon mittlere Qualität?

30.06.2008
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Auslagerungsprojekte benötigen gute Verträge. Ihr Wert erweist sich im Streitfall.

Wesentlicher Treiber für ein IT-Outsourcing ist neben der Qualitätssteigerung die Hoffnung auf eine Kostenersparnis. Insbesondere die Verlagerung von Arbeiten in Niedriglohnländer soll Lohnkosten sparen. Mit der geografischen Distanz, aber vor allem mit dem Umfang der Auslagerung steigen jedoch auch Steuerungs- und Implementierungsaufwand ebenso wie die Gefahr des Kontrollverlustes und damit die Notwendigkeit der Überwachung des Outsourcing-Partners. Bei der Auslagerung von IT-Services an externe Dienstleister ist daher die Vereinbarung von Audit-Rechten und die Ausgestaltung der zugehörigen Service-Level-Agreements (SLAs) von großer Bedeutung. Denn in aller Regel ist die Entscheidung des Unternehmens für das Outsourcing von IT-Leistungen schon allein aufgrund der Kosten der Re-Migration nur schwer reversibel. Diese Abhängigkeit muss kontrollierbar bleiben. Dabei helfen neben der Vereinbarung eines maßgeschneiderten Sourcing-Governance-Frameworks auch wirksame SLAs.

Zuständigkeiten klären und IT-Leistungen definieren

Das ist nicht nur im Sinne der Anwender, auch die IT-Provider haben ein Interesse daran, mit ihren Kunden klare Qualitätsstandards zu vereinbaren, weil die Ansprüche der Unternehmen immer größer und die IT-Systeme stetig komplexer werden. Bei der konkreten Ausgestaltung von SLAs im Rahmen eines IT-Outsourcing-Projekts gilt es allerdings auch, einige rechtliche Fallstricke zu beachten.

Als wichtige Weichenstellung beim Outsourcing geschäftsrelevanter IT-Dienste (wie etwa Client-Server-Umgebungen und Rechenzentrumsleistungen) sind zunächst die Zuständigkeitsbereiche klar abzugrenzen. Hier empfiehlt es sich sowohl für den Kunden als auch den Provider, die einzelnen IT-Leistungen genau zu definieren und Verantwortlichkeiten festzulegen. Häufig beginnen unmittelbar nach dem Vertragsschluss die Auseinandersetzungen über die wechselseitigen Leistungspflichten, zusätzliche und versteckte Kosten oder die Flexibilität der vom Anbieter versprochenen Lösung.

Service-Levels sollten individuelle Leistungen regeln

Die genaue Definition der vom IT-Dienstleister zu erbringenden Services ist schon deshalb wichtig, weil nach dem Gesetz (Paragraf 243, Abs. 1 BGB) grundsätzlich auch für die im Wege des IT-Outsourcings erbrachten Leistungen nur der Ausführungsstandard "mittlerer Art und Güte" gilt, sofern nichts anderes bestimmt ist. Weder für das Outsourcing noch für IT-Serviceleistungen existiert ein allgemein gültiger, mittlerer Qualitätsstandard. Vermutlich wäre ein solcher Standard auch nicht zielführend, weil insbesondere im Offshoring Leistungen oft individuell nach Kundenwunsch erbracht werden. Daher empfiehlt sich gerade beim IT-Outsourcing die Vereinbarung von Service-Levels.

Widersprüche im Vertrag

Service-Level-Agreements (im Deutschen heißen sie Leistungsstandard-Vereinbarungen) sind inzwischen die Regel und grundsätzlich auch sehr gut geeignet, um beim IT-Outsourcing die erwarteten Leistungen zu beschreiben und Folgen für Verfehlungen zu definieren. Dennoch erreichen SLAs häufig ihren Zweck nicht. Das liegt oft daran, dass die Vertragspartner umfangreiche Werke erstellen, die jedoch (zumeist ungewollt) die wesentlichen vertraglichen Bestimmungen verwässern. Das führt dann zu Streit, den man doch gerade vermeiden wollte. Ein häufiger Kardinalfehler ist, dass zwar in den SLAs ein eigenes Sanktionsregime für Fälle der Unterschreitung von bestimmten Key Performance Indicators (KPI) vorgesehen wird. Oftmals stehen diese Regelungen aber in eklatantem Widerspruch zu den übrigen Bestimmungen des IT-Vertrages und entsprechen auch gesetzlichen Vorgaben nicht. Die Vertragspartner versäumen es, etwaige Unvereinbarkeiten zwischen den Vertragswerken auszuräumen und eindeutige Kollisionsregelungen einzuplanen. So kann es passieren, dass die mühsam verhandelten Pönalen und "Belohnungen" des IT-Providers durch so genannte Bonus- und Malus-Systeme mangels klarer Regelungen erst gar nicht zur Anwendung kommen: Ersetzen die in den SLAs vorgesehenen Rechtsfolgen die grundsätzlich nach Vertrag und Gesetz geltenden Rechte (also die primären Leistungsansprüche einschließlich Nacherfüllung, Gewährleistungsrechten sowie Haftung etc.)? Oder sollen sie als zusätzliche Rechtsbehelfe nur die Ansprüche aus dem IT-Vertrag ergänzen?

Finger weg von Standard-SLAs

Sofern die SLAs standardmäßig vom Outsourcing-Provider vorgeschlagen werden, stellen sie im rechtlichen Sinne Allgemeine Geschäftsbedingungen (AGB) dar. Für diese AGB gelten dann, wenn ihre Einzelheiten nicht individuell verhandelt wurden, grundsätzlich die Vorgaben des AGB-Rechtes (Paragrafen 305 und folgende, BGB). Relevant wird dies, wenn SLAs nicht eingehalten werden. Rechtsprechung und Literatur zeigen, dass aufgrund des AGB-Rechtes einzelne SLAs schlicht unwirksam sind, wenn sie sich zu weit vom gesetzlichen Leitbild entfernen. Es gilt dann wieder das Gesetz, das für das IT-Outsourcing jedoch (mit Ausnahme von Sondervorschriften wie Paragraf 25 a KWG) nur sehr bedingt geeig-net ist. Dies trifft unabhängig davon zu, ob auf IT-Outsourcing-Vereinbarungen das Mietvertrags-, Dienstleistungs-, Kauf- oder Werkvertragsrecht Anwendung findet und welche Haftungsbeschränkungen demgemäß in AGB überhaupt möglich sind.

Fazit: Auch der Richter muss verstehen

Aus Kundensicht ist es wichtig, dass etwaige Unter- und Überschreitungen der Service-Levels nicht nur im Reporting auftauchen, sondern automatisch bei der monatlich geschuldeten Vergütung berücksichtigt werden. Denn ansonsten werden etwaige Schwankungen im laufenden Geschäft gar nicht zur Kenntnis genommen. Für das Unternehmen kann es zudem empfehlenswert sein, den Detailgrad von SLAs zugunsten von wenigen, dafür aber eindeutigen Bestimmungen zu reduzieren. Je nach Bandbreite der ausgelagerten IT-Services kann die Performance des ganzen Systems möglicherweise über eine Kontrolle einer einzigen bestimmten Kernapplikation beim Kunden gemessen werden. Die beim Outsourcing vereinbarten SLAs sollten darüber hinaus auch für Nichttechniker (also auch für den Geschäftsführer oder notfalls den Richter) nachvollziehbar sein. Hierzu gehören insbesondere die Bezeichnung und genaue Definition des jeweiligen Key-Performance-Indikators, Zielwerte, Messmethode und Messpunkt (End-to-End-Service-Levels), Festlegung der Malus- und Bonuspunkte, Angaben zum Überprüfungs- und Berichtsintervall, Form des zugehörigen Reportings, klare Haftungsregelungen sowie ausführliche Bestimmungen zur Beendigung des IT-Outsourcings. (jha)

Hier lesen Sie ...

  • dass es wichtig ist, die beiderseitige Verantwortung vor Projektstart genau zu beschreiben;

  • dass sich die Rechtssprechung an kaum hilfreichen Industriestandards orientiert, wenn individuell vereinbarte Qualitätsregeln fehlen;

  • dass vom Outsourcer übernommene SLAs rechtlich wie Allgemeine Geschäftsbedingungen behandelt werden.

SLA-Fallstricke

Gefahr der Verwässerung der vertraglichen und gesetzlichen Rechte (insbesondere der Gewährleistungsansprüche) durch abweichende oder unklare Bestimmungen in den SLA.

Pönale und pauschalierten Schadensersatz nicht verwechseln: Bei einer Pönale (Vertragsstrafe) muss anders als beim pauschalierten Schadensersatz nicht der Eintritt eines Schadens nachgewiesen werden, aber das Verschulden des Auftragnehmers. Zudem kann grundsätzlich neben einer vereinbarten Pönale kein weiterer Schadensersatz geltend gemacht werden (Paragrafen 341 Abs. 2 sowie 340 Abs. 2 BGB).

Die Höhe des Malus darf ebenso wie eine Haftungsbeschränkung nicht unverhältnismäßig sein, da sonst nach AGB-Recht Unwirksamkeit der gesamten Regelung droht.

Verfügbarkeit definieren

Allein das Beispiel Verfügbarkeit zeigt eindrucksvoll, was passiert, wenn SLA-Klauseln unwirksam sind und damit vereinbarte Regelungen wegfallen: Der BGH hat bereits in seinem Urteil vom 12. Dezember 2000 ("Online-Banking", Az. XI ZR 138/00) ausdrücklich festgestellt, dass der Anbieter von IT-Leistungen grundsätzlich für eine 100-prozentige Verfügbarkeit geradestehen muss, solange es keine abweichenden Regelungen gibt. Doch kaum ein IT-Dienstleister kann eine solche Hochverfügbarkeit gewährleisten, daher drängen die Provider zumeist auf Regelungen. Für Anwender ist es deshalb notwendig, sich selbst über Bezugsgröße und Wartungsfenster im Klaren zu sein.

Eine vertraglich vereinbarte Verfügbarkeit von 98,5 Prozent bezogen auf eine Woche bedeutet einen vertragskonformen Ausfall der IT-Systeme ("maximum downtime") von bis zu 2,52 Stunden. Wird dagegen ein Jahr als Berechnungsgrundlage für die Verfügbarkeit verwendet, summiert sich der (vertraglich vollkommen zulässige und daher nicht durch SLA sanktionierte) Stillstand auf insgesamt 131,4 aufeinander folgende Stunden (also insgesamt rund fünfeinhalb Tage).