Gute Gründe für ein IT-Outsourcing gibt es viele: Firmen wollen die Qualität verbessern, die Prozesse effizienter und flexibler gestalten und nicht zuletzt auch die Kosten senken. Dabei wagen sie sogar den Schritt an ferne Ufer: Mit dem „Offshoring“ von IT-Leistungen verbinden sie in aller Regel die Hoffnung, dass sich die Ausgaben parallel zur geographischen Entfernung des IT-Dienstleiters verringern.
Das Auslagern von Prozessen und Services birgt allerdings auch Risiken. Es erhöht nicht nur den Steuerungs- und Implementierungsaufwand, sondern auch die Gefahr des Kontrollverlustes. Um diesen Risiken vorzubeugen, ist die rechtliche und faktische Überwachung des Outsourcing-Partners notwendig. Denn in aller Regel ist die Entscheidung des Unternehmers für ein IT-Outsourcing schon allein aufgrund der Kosten der Re-Migration nur schwer wieder umkehrbar.
Diese Abhängigkeit sollte daher (bei ausreichendem Reifegrad des Auftraggebers) durch ein Rahmenwerk für die Umsetzung der IT-Sourcing Strategie – ein so genanntes Sourcing Governance Framework – sowie durch Service-Level-Agreements (SLAs) und eine Vereinbarung zur Auftragsdatenverarbeitung kontrolliert werden. Die folgenden zehn Risiken sollten Unternehmen bei der Erstellung des rechtlichen Rahmens berücksichtigen und Maßnahmen zu einem vertraglichen Risikotransfer ergreifen:
Beschreibungen & Service Level Agreements
Risiko 1: Fehlerhafte Beschreibung der ausgelagerten Prozesse und Services
Eine wichtige Weichenstellung beim Outsourcing businessrelevanter IT-Dienste (wie etwa Client-Server-Umgebungen und Rechenzentrumsleistungen) ist die genaue Abgrenzung der Leistungen, Zuständigkeitsbereiche und Verantwortlichkeiten. Hier empfiehlt es sich sowohl für den Kunden als auch den Provider, die einzelnen IT-Leistungen zunächst genau zu definieren und Verantwortlichkeiten festzulegen. Denn häufig gibt es aufgrund der mangelnden Angebotsqualität schon unmittelbar nach Vertragsschluss die ersten Auseinandersetzungen über die wechselseitigen Leistungspflichten, zusätzliche und versteckte Kosten oder die tatsächliche Flexibilität der vom Anbieter versprochenen Lösung.
Risiko 2: Unsachgemäße Servicebeschreibung
Die genaue Definition der vom IT-Dienstleister zu erbringenden Services ist auch deshalb wichtig, weil nach dem Gesetz (Paragraph 243 Abs. 1 BGB) grundsätzlich auch für die Leistungen beim IT-Outsourcing nur der Ausführungsstandard „mittlerer Art und Güte“ gilt, sofern nichts an-deres bestimmt ist. Da es jedoch (mit Ausnahme der neuen DIN SPEC 1041, die im Übrigen ein gutes Vorgehensmodell für Outsourcing-Vorhaben enthalten) weder für das Outsourcing noch für die Erbringung von IT-Leistungen einen allgemein gültigen, mittleren „Qualitätsstandard“ gibt, empfiehlt sich die vertragliche Vereinbarung von Service Levels.
Risiko 3: ineffektive Service Level Agreements (SLAs)
SLAs verfehlen jedoch oftmals ihren eigentlichen Zweck. Denn anstatt die Eckpunkte der vom IT-Provider geschuldeten Leistungen quantitativ und qualitativ festzulegen sowie geeignete Sankti-onen für die Nichterreichung dieser Service Levels (Pönalen) zu vereinbaren, werden in der Praxis oftmals umfangreiche Vertragswerke erstellt, welche die eigentlich wesentlichen Bestimmungen verwässern. Ein hierbei häufig anzutreffender Kardinalfehler ist, dass zwar in den SLA Vertragsstrafen für die Unterschreitung von bestimmten Key Performance Indicators (KPI) festgelegt wird.
Oftmals werden diese KPI aber gar nicht gemessen oder sind nicht Bestandteil des Reportings. Teilweise stehen die SLA-Regelungen auch in eklatantem Widerspruch zu den übrigen Bestimmungen des IT Rahmenvertrages. So kann es passieren, dass die mühsam verhandelten Pönalen und Service-Credits mangels klarer Regelungen erst gar nicht zur Anwendung kommen.
AGBs & Internationale Standards
Risiko 4: Unwirksamkeit durch AGB-Recht
Werden die SLAs oder ein anderer Rahmenvertrag standardmäßig vom Outsourcing-Provider vorgeschlagen, stellt dieses Vertragswerk Allgemeine Geschäftsbedingungen (AGB) dar. Für den Vertrag gelten also (wenn die Einzelheiten nicht individuell verhandelt wurden), grundsätzlich die Vorgaben des AGB-Rechtes (Paragraphen 305 ff. BGB). Im Falle der Nichteinhaltung der zusätzlich durch Rechtsprechung und Literatur fein differenzierten Regelungen können SLAs unwirksam werden, wenn sie sich zu weit vom gesetzlichen Leitbild entfernen.
Es gilt dann wieder das Bürgerliche Gesetzbuch (BGB), welches für das IT-Outsourcing aber nur sehr bedingt geeignet ist (siehe oben zu Leistungen mittlerer Art und Güte). Dies gilt unabhängig von der Frage, ob auf das Outsourcing von IT-Services nach dem BGB das Mietvertrags-, Dienstleistungs-, Kauf- oder Werkvertragsrecht Anwendung findet und welche Haftungsbeschränkungen demgemäß in AGB überhaupt möglich sind.
Risiko 5: Internationale Standards und lokale Besonderheiten
Ein Servicevertrag mit einem ausländischen Unternehmen unterscheidet sich grundsätzlich nicht wesentlich von einem Outsourcing-Vertrag, der mit einem in Deutschland ansässigen Dienstleister geschlossenen wird. Die Globalisierung zeigt auch hier eine vereinheitlichende Wirkung. Dies schlägt sich beispielsweise auch in den Standardmodellen für das Outsourcing bei den Mustern des Outsourcing-Beratungshauses TPI nieder. Oft orientieren sich ausländische Serviceanbieter an internationale Standards wie ITIL oder ISO2700x. Trotzdem sollte das lokale Recht und etwaige Vorgaben aus regulierten Bereichen (also Finanzwesen: KWG, MaRisk, etc.) berücksichtigt werden.
Sonst kann es unter Umständen zu bösen Überraschungen kommen – so geschehen bei einer Rechenzentrumsbesichtigung eines großen Anbieters in den USA: Das Rechenzentrum, in dem die Server der deutschen Kunden untergebracht waren, lag auf einem öffentlich zugänglichen Campus. Die Perimetersicherung war sehr schwach und der Zugang wurde von einem Wachmann geschützt, der aufgrund des örtlichen Gesetzes unbewaffnet sein musste. Die physische Sicherheit war also nach deutschen Maßstäben kümmerlich. Aus US-Sicht lag dagegen kein Bedrohungsszenario vor, da das Rechenzentrum nicht erkennbar an einem einsamen Ort lag.
IT-Sicherheitsanalyse, Datenschutz & Steuerrecht
Risiko 6: Mangelnde IT-Sicherheitsanalyse der Datenverarbeitung im Ausland
Zudem gibt es in vielen Ländern instabile Verhältnisse im Bereich der inneren Sicherheit. Es kann daher nicht ausgeschlossen werden, dass deutsche Unternehmensdaten das Interesse der falschen Personen wecken - Stichwort Wirtschaftsspionage und organisierte Kriminalität. Hat ein Systemverwalter in einem solchen Land z.B. Verwaltungsrechte in einem weltweiten Active Directory, kann er Zugriff auf deutsche Systeme nehmen. Daher sollte eine entsprechende Rechtedelegation (SOD – Segregation of Duties) entwickelt werden, die dem daraus entstehenden Risiko vorbeugt (vgl. hierzu auch BSI-Grundschutz M 2.230 Planung der Active Directory-Administration).
Risiko 7: Non-Compliance in den Bereichen Datenschutz und Steuerrecht
Für die Datenverarbeitung im Auftrag des Kunden gelten in Deutschland die strengen Anforderungen des Paragraphen 11 im Bundesdatenschutzgesetz (BDSG) zur so genannten Auftragsdatenverarbeitung. Im Rahmen dieses Paragraphen sind bereits seit September 2009 bestimmte Mindestinhalte für das IT-Outsourcing in Deutschland vorgeschrieben. Deren Nicht-berücksichtigung stellt inzwischen sogar eine Ordnungswidrigkeit dar.
Neben der in Punkt sechs genannten IT-Sicherheitsanalyse müssen danach auch die An-forderungen des Datenschutzes und deren Einhaltung beim ausländischen Anbieter geprüft werden – und das am besten vor Ort. Außerdem sind die deutschen Gesetzesanforderungen mit den lokalen Anforderungen abzugleichen. Der Nachweis der Einhaltung der BDSG-Vorgaben und die Kontroll- und Weisungsrechte des Auftraggebers sind vertraglich zu vereinbaren. Schließlich gilt: Sobald die Datenverarbeitung die Grenzen des europäischen Wirtschaftsraumes verlässt, hilft auch der beste Auftragsdatenverarbeitungsvertrag nach Paragraph 11 BDSG nichts mehr.
Hier können dann nur noch EU-Standardvertragsklauseln oder Safe-Harbor-Zertifizierungen helfen.
Aber auch die Abgabenordnung ist zwingend in Sachen Compliance zu beachten: Soweit Daten als steuerlich relevant zu klassifizieren sind, fallen sie unter die handels- und steuerrechtlichen Aufbewahrungspflichten. Die steuerlich relevanten Daten unterliegen dann auch dem Datenzugriff der Finanzverwaltung. Damit sind die technischen Zugriffsarten Z 1 – Z 3 grundsätzlich einzurichten.
Die Aufbewahrungsfristen für steuerlich relevante Unterlagen betragen regelmäßig 6 bzw. 10 Jahre, beginnend mit dem Ende des Wirtschaftsjahres, in deren Jahresabschluss diese eingegangen sind. Soweit steuerliche Außenprüfungen durchgeführt werden, können sich diese Fristen noch weiter verlängern. Werden Daten außerhalb Deutschlands aufbewahrt und liegt keine Genehmigung durch die deutsche Finanzbehörde vor, können Bußgelder bis zu 250.000 Euro (pro Gesellschaft, pro System, pro Wirtschaftsjahr) verhängt werden.
Schutzmaßnahmen, Change Management & Exit-Regelungen
Risiko 8: Ungenügende Kontrolle der Schutzmaßnahmen
Die Überwachung der Auftragsdatenverarbeitung und die Kontrolle der Wirksamkeit der erforderlichen (Pflicht-) Schutzmaßnahmen sind unerlässlich (sog. Monitoring). Oftmals weisen Unternehmen die Kontrollmaßnahmen nach, indem sie auf ausländische Bestätigungen der Wirtschaftsprüfer verweisen (zum Beispiel auf das Ergebnis von SAS 70 bzw. ISA 402-basierten Prüfungen des Internen Kontrollsystems, IKS). Diese bestätigen aber lediglich rechnungswesenrelevante, vordefinierte Kontrollen und sind nicht als „rechtliche Genehmigung“ oder Bestätigung der ordnungsgemäßen Überwachung zu verallgemeinern.
Schließlich werden Non-Compliance-Situationen, die nicht von dem vorgegebenen IKS-Ausschnitt erfasst werden, vom auslagernden Unternehmen bzw. den Prüfern nicht erkannt. Zu empfehlen sind also laufende, zeitnahe Überwachungsprozesse, wie beispielsweise eine Aufschaltung der Kunden auf das Problem- und Incident-Managementsystem des Auslagerungsunternehmens. Zudem könnten die Sicherheitssysteme des Outsourcing-Unternehmens Berichte und Alarmmeldungen in Echtzeit an das auslagernde Unternehmen schicken. Auch eine interne Revision, die über das IKS hinaus prüft, ist unerlässlich. Diese Punkte sind in Standard-Outsourcing-Verträgen meist nur ansatzweise geregelt und sollten besser explizit vereinbart werden.
Risiko 9: Mangelnde Absicherung des Change Management
Oftmals wird versäumt, den kompletten Lebenszyklus eines Outsourcing-Vertrages im Blick zu halten. Um die notwendige Flexibilität über die Dauer des Outsourcings sicherzustellen, müssen daher Regelungen zu Change Requests und zu Eskalationsmanagement im Vertrag enthalten sein. Denn auch die Anforderungen des Kunden oder regulatorische Vorgaben können sich über eine lange Vertragslaufzeit ändern.
Risiko 10: Fehlen von Exit-Regelungen
Rund ein Viertel aller Outsourcing-Verträge führt schon in den ersten drei Jahren zu Streitigkeiten mit dem Anbieter. Das Risiko der vorzeitigen Beendigung der Zusammenarbeit muss daher bei der Vertragsgestaltung ebenso berücksichtigt werden wie das vertraglich vereinbarte Ende des projektierten Outsourcings. Hier sollten unbedingt Kostenbeschränkungen für das Re-Sourcing und die entsprechenden Re-Transitionsleistungen des Providers vereinbart werden, um wirtschaftlich prohibitive Exit-Kosten zu vermeiden. Auch das Insolvenzrisiko des Providers muss vertraglich abgesichert werden. Im Idealfall sollte der Quellcode der Software im Wege einer Esc-row-Vereinbarung hinterlegt und Eintrittsrechte des neuen Providers explizit vereinbart werden.