computerwoche.de

IT-Services

Rechtsfalle IT-Outsourcing

Die zehn größten rechtlichen Risiken

17.08.2011
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Alle Posts des Autors Email:

AGBs & Internationale Standards

Risiko 4: Unwirksamkeit durch AGB-Recht

Foto: L. Smokovski/Fotolia

Werden die SLAs oder ein anderer Rahmenvertrag standardmäßig vom Outsourcing-Provider vorgeschlagen, stellt dieses Vertragswerk Allgemeine Geschäftsbedingungen (AGB) dar. Für den Vertrag gelten also (wenn die Einzelheiten nicht individuell verhandelt wurden), grundsätzlich die Vorgaben des AGB-Rechtes (Paragraphen 305 ff. BGB). Im Falle der Nichteinhaltung der zusätzlich durch Rechtsprechung und Literatur fein differenzierten Regelungen können SLAs unwirksam werden, wenn sie sich zu weit vom gesetzlichen Leitbild entfernen.

Es gilt dann wieder das Bürgerliche Gesetzbuch (BGB), welches für das IT-Outsourcing aber nur sehr bedingt geeignet ist (siehe oben zu Leistungen mittlerer Art und Güte). Dies gilt unabhängig von der Frage, ob auf das Outsourcing von IT-Services nach dem BGB das Mietvertrags-, Dienstleistungs-, Kauf- oder Werkvertragsrecht Anwendung findet und welche Haftungsbeschränkungen demgemäß in AGB überhaupt möglich sind.

Risiko 5: Internationale Standards und lokale Besonderheiten

Ein Servicevertrag mit einem ausländischen Unternehmen unterscheidet sich grundsätzlich nicht wesentlich von einem Outsourcing-Vertrag, der mit einem in Deutschland ansässigen Dienstleister geschlossenen wird. Die Globalisierung zeigt auch hier eine vereinheitlichende Wirkung. Dies schlägt sich beispielsweise auch in den Standardmodellen für das Outsourcing bei den Mustern des Outsourcing-Beratungshauses TPI nieder. Oft orientieren sich ausländische Serviceanbieter an internationale Standards wie ITIL oder ISO2700x. Trotzdem sollte das lokale Recht und etwaige Vorgaben aus regulierten Bereichen (also Finanzwesen: KWG, MaRisk, etc.) berücksichtigt werden.

Sonst kann es unter Umständen zu bösen Überraschungen kommen – so geschehen bei einer Rechenzentrumsbesichtigung eines großen Anbieters in den USA: Das Rechenzentrum, in dem die Server der deutschen Kunden untergebracht waren, lag auf einem öffentlich zugänglichen Campus. Die Perimetersicherung war sehr schwach und der Zugang wurde von einem Wachmann geschützt, der aufgrund des örtlichen Gesetzes unbewaffnet sein musste. Die physische Sicherheit war also nach deutschen Maßstäben kümmerlich. Aus US-Sicht lag dagegen kein Bedrohungsszenario vor, da das Rechenzentrum nicht erkennbar an einem einsamen Ort lag.