Frage: Gibt es gesetzliche Vorgaben für das IT-Outsourcing?
Antwort: Nur in wenigen Spezialgesetzen wie beispielsweise dem Kreditwesengesetz gibt es explizite gesetzliche Vorgaben hinsichtlich der Auslagerung von Funktionen des Unternehmens. Die Regelungen des Paragrafen 25 a KWG (Kreditwesengesetz) und der MaRisk (Mindestanforderungen Risikomanagement) gelten jedoch nur für Finanzinstitute. Dennoch lohnt sich ein Blick in diese Bestimmungen, denn die dort niedergelegten Regeln können gerade mit Blick auf die dort geforderten Prüfungsrechte als eine Art "Best Practice" für das Outsourcing angesehen werden.
Frage: Was muss bei der vertraglichen Ausgestaltung des IT-Outsourcing beachtet werden?
Antwort: Eine wichtige Bestimmung ist sicherlich die Einhaltung der Vorgaben des Datenschutzrechtes, insbesondere beim Outsourcing von CRM-Systemen und Filterlösungen, welche den Zugriff auf personenbezogene Daten ermöglichen. Hierbei wird es sich regelmäßig um eine Auftragsdatenverarbeitung handeln. Notwendig ist aber auch eine lizenzrechtliche Vorprüfung, ob also überhaupt die für das IT-Outsourcing notwendigen Nutzungsrechte an der Software für den Betrieb der IT-Systeme durch Dritte - gegebenenfalls sogar im Ausland - bestehen. Daneben muss geprüft werden, ob durch das geplante IT-Outsourcing ein Betriebsübergang nach Paragraf 613 a des BGB (Bürgerlichen Gesetzbuches) stattfindet.
Frage: Wie stelle ich die Kontrolle der Herrschaft über die ausgelagerten IT-Systeme sicher?
Antwort: In den Outsourcing-Vertrag gehören unbedingt entsprechende Audit-Rechte des Unternehmens. Diese Prüfungs- und Kontrollrechte müssen sich selbstverständlich auch auf die vorhandenen Daten erstrecken und auch ein Weisungsrecht des Auftraggebers beinhalten. Daneben sind etwaige aufsichtsrechtliche Rahmenbedingungen (etwa Paragraf 25 a KWG,Paragraf 9 EnWG) zu beachten.
Frage: Was sind die Mindestanforderungen bei der Auslagerung von Buchhaltungssystemen etc. an einen externen Provider?
Antwort: Wichtig ist natürlich die Beachtung und Delegation handels- und steuerrechtlicher Aufbewahrungs-, Archivierungs- und Buchführungspflichten (siehe hierzu Paragrafen 239, 261 HGB, Paragrafen 69 ff. AO i.V.m. Paragrafen 35, 36 AO, Paragrafen 140, 141 AO, etc.). Daneben ist mit dem Outsourcing-Provider die Einhaltung der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sowie der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPdU) zu vereinbaren.
AGB-Recht
Frage: Was muss ein IT-Provider beachten, wenn er seine Standard-SLAs in AGB-rechtlicher Hinsicht richtig ausgestalten will?
Antwort: Wegen der zwingenden Vorgaben des AGB-Rechtes (Paragrafen 305 ff. BGB) ist bei der Ausgestaltung der SLA eine deutliche Unterscheidung der betreffenden IT-Leistungen sinnvoll, damit diese Leistungen in die gesetzlichen Leitbilder Werk-, Dienst-, Miet- und Kaufvertrag eingeordnet werden können. Dies ist schon deshalb notwendig, da es beispielsweise beim Dienstvertrag nach dem BGB grundsätzlich kein verschuldensunabhängiges Minderungsrecht gibt, diesbezügliche Pönalen können daher gegen Paragraf 307 Abs. 1 Nr. 2 i.V.m. Paragraf 309 Nr. 5 lit. a/b BGB verstoßen und wären dann unwirksam.
Frage: Gibt es ein Rangverhältnis zwischen IT-Rahmenvertrag, den SLA und den Leistungsscheinen?
Antwort: Nein, eine gesetzliche Regelung im Falle des Widerspruches zwischen dem IT-Outsourcing-Vertrag und den übrigen Bestimmungen gibt es nicht. Die Vereinbarungen wären vielmehr nach dem Willen der Parteien auszulegen. In der Praxis wird häufig versäumt, etwaige Unvereinbarkeiten zwischen den verschiedenen Dokumenten zu eliminieren. So kann es passieren, dass die SLAs mangels eindeutiger Kollisionsregelungen erst gar nicht zur Anwendung kommen. Es muss im Vertrag ausdrücklich bestimmt werden, ob die in den SLA vorgesehenen Rechtsfolgen die grundsätzlich nach Vertrag und Gesetz geltenden Rechte ersetzen oder aber als zusätzliche Rechte neben die Ansprüche aus dem IT-Rahmenvertrag treten sollen.
Frage: Ist es empfehlenswert, in den Outsourcing-Vertrag Regelungen zur Laufzeit der SLAs und zur Kündigung zu vereinbaren?
Antwort: Selbstverständlich. Die SLAs sollten nicht unveränderlich für eine lange Laufzeit festgeschrieben werden. Vielmehr ist es sinnvoll, auch die SLAs einer Change-Request-Regelung zu unterwerfen und anhand von Benchmarks zu überprüfen. Es ist zudem unbedingt empfehlenswert, schon vor dem IT-Outsourcing auch an das Ende der Partnerschaft zu denken. Daher sind Regelungen zur Kündigung bei wiederholter Nichteinhaltung der Service-Levels sowie zur Rückgängigmachung des Outsourcing (In-Sourcing) einschließlich der Kosten dieses Transition-Out ebenfalls zwingender Bestandteil eines guten IT-Outsourcing-Vertrages. (jha)
Einen Podcast (MP3-Download) zur Gestaltung von SLAs finden Sie hier.