IT-Outsourcing nach MaRisk- & BAIT-Vorgaben

IT-Auslagerungsverträge rechtskonform gestalten

06.12.2018

Von

Michaela Witzel schreibt als Expertin zum IT-Vertragsrecht und zu aktuellen rechtlichen Themen in Zusammenhang mit Outsourcing und Cloud-Computing, Compliance, Open Source Software, AGB-Recht und zu Projektverträgen. Sie ist Fachanwältin für Informationstechnologierecht und auf diesen Gebieten seit 2000 zunächst bei SSW, heute bei Witzel Erb Backu & Partner in München tätig.

Alle Posts des Autors Email: Connect:

Anforderungen an Vertragsinhalte

AT 9 TZ. 7 MaRisk enthält einen ausdrücklichen Regelungskatalog von Anforderungen, die bei einer wesentlichen (IT-)Auslagerung einzuhalten sind. Aus der MaRisk lassen sich aber noch weitere Anforderungen ableiten, die bei der Vertragsgestaltung Berücksichtigung finden sollten. Das auslagernde Institut hat das Auslagerungsunternehmen mit der erforderlichen Sorgfalt auszuwählen, die Leistungserbringung umfassend zu spezifizieren und die Leistungserstellung angemessen zu überwachen.

Eine möglichst klare, eindeutige und detaillierte Leistungsbeschreibung gehört zu den Mindestanforderungen an den Auslagerungsvertrag. Gerade hier liegen aber in der Praxis erhebliche Mängel vor.

Des Weiteren sind sollten beispielsweise folgende Anforderungen an den Anbieter in der Gestaltung des Auslagerungsvertrags berücksichtigt werden:

Die Geschäftsprozesse des Anbieters sind so effizient und effektiv ausgestaltet, dass die Leistungserbringung wie vereinbart erbracht werden kann.
Das Personal des Anbieters erfüllt die qualitativen Anforderungen für die Bereitstellung der auszulagernden Leistung.
Das Vergütungssystem entspricht den gesetzlichen Anforderungen.
Durch die Auslagerung können Prozesse qualitativ gleich oder höherwertig im Vergleich zur Inhouse-Lösung abgewickelt werden.
Der Anbieter kann auch individuelle Anliegen und spezifische Prozesse des Instituts berücksichtigen.
Auf Basis von vereinbarten Service-Level-Agreements (SLAs) muss es messbare Qualitätskriterien geben.
Zur Sicherstellung der Überwachung der Auslagerung muss der Anbieter aussagekräftige Reports zur Verfügung stellen.
Der Anbieter verhält sich entsprechend den rechtlichen Vorgaben.

Daneben erfordert die MaRisk die Festlegung angemessener Informations- und Prüfungsrechte: Kritische Themen, die in diesem Zusammenhang regelmäßig diskutiert werden, sind: wer, wann, was in welchem Umfang auf Seiten des Anbieters geprüft werden kann. Nicht selten stehen Informations- und Transparenzanforderungen der Institute und ihrer externen Prüfer sowie der BaFin in einem Spannungsverhältnis zu den Geschäfts- und Sicherheitsinteressen des Anbieters. Dies gilt insbesondere im Hinblick auf Vor-Ort-Kontrollen.

Vorbehalt von Weisungsrechten
Musste sich das auslagernde Institut nach dem Rundschreiben 11/2001 Weisungsrechte stets zwingend vorbehalten, gilt dies nach den MaRisk 2017 (AT 9 TZ. 7 lit. d)) nur noch "soweit erforderlich".

Doch was bedeutet das in der Praxis? Insbesondere: wie sollen Weisungsrechte bei standardisierten Leistungen, die sich gerade dadurch auszeichnen, dass sie nicht auf institutsspezifische Besonderheiten abstellen, umgesetzt werden? Eine gewisse Hilfe geben die Erläuterungen der BaFin, wonach auf eine explizite Vereinbarung von Weisungsrechten zugunsten des Instituts verzichtet werden kann, wenn die vom Auslagerungsunternehmen zu erbringende Leistung hinreichend klar im Auslagerungsvertrag spezifiziert ist. Daran fehlt es aber bei standardisierten Leistungen häufig erst recht; die Leistungsbeschreibungen der Anbieter haben vertrieblichen Charakter und sind auch nicht zwingend auf dem aktuellen Stand.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren