computerwoche.de

IT-Services

Rechtsfalle IT-Outsourcing

Die zehn größten rechtlichen Risiken

17.08.2011
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Alle Posts des Autors Email:

Beschreibungen & Service Level Agreements

Risiko 1: Fehlerhafte Beschreibung der ausgelagerten Prozesse und Services

Eine wichtige Weichenstellung beim Outsourcing businessrelevanter IT-Dienste (wie etwa Client-Server-Umgebungen und Rechenzentrumsleistungen) ist die genaue Abgrenzung der Leistungen, Zuständigkeitsbereiche und Verantwortlichkeiten. Hier empfiehlt es sich sowohl für den Kunden als auch den Provider, die einzelnen IT-Leistungen zunächst genau zu definieren und Verantwortlichkeiten festzulegen. Denn häufig gibt es aufgrund der mangelnden Angebotsqualität schon unmittelbar nach Vertragsschluss die ersten Auseinandersetzungen über die wechselseitigen Leistungspflichten, zusätzliche und versteckte Kosten oder die tatsächliche Flexibilität der vom Anbieter versprochenen Lösung.

Risiko 2: Unsachgemäße Servicebeschreibung

Die genaue Definition der vom IT-Dienstleister zu erbringenden Services ist auch deshalb wichtig, weil nach dem Gesetz (Paragraph 243 Abs. 1 BGB) grundsätzlich auch für die Leistungen beim IT-Outsourcing nur der Ausführungsstandard „mittlerer Art und Güte“ gilt, sofern nichts an-deres bestimmt ist. Da es jedoch (mit Ausnahme der neuen DIN SPEC 1041, die im Übrigen ein gutes Vorgehensmodell für Outsourcing-Vorhaben enthalten) weder für das Outsourcing noch für die Erbringung von IT-Leistungen einen allgemein gültigen, mittleren „Qualitätsstandard“ gibt, empfiehlt sich die vertragliche Vereinbarung von Service Levels.


Risiko 3: ineffektive Service Level Agreements (SLAs)

SLAs verfehlen jedoch oftmals ihren eigentlichen Zweck. Denn anstatt die Eckpunkte der vom IT-Provider geschuldeten Leistungen quantitativ und qualitativ festzulegen sowie geeignete Sankti-onen für die Nichterreichung dieser Service Levels (Pönalen) zu vereinbaren, werden in der Praxis oftmals umfangreiche Vertragswerke erstellt, welche die eigentlich wesentlichen Bestimmungen verwässern. Ein hierbei häufig anzutreffender Kardinalfehler ist, dass zwar in den SLA Vertragsstrafen für die Unterschreitung von bestimmten Key Performance Indicators (KPI) festgelegt wird.

Oftmals werden diese KPI aber gar nicht gemessen oder sind nicht Bestandteil des Reportings. Teilweise stehen die SLA-Regelungen auch in eklatantem Widerspruch zu den übrigen Bestimmungen des IT Rahmenvertrages. So kann es passieren, dass die mühsam verhandelten Pönalen und Service-Credits mangels klarer Regelungen erst gar nicht zur Anwendung kommen.