IT-Outsourcing nach MaRisk- & BAIT-Vorgaben

IT-Auslagerungsverträge rechtskonform gestalten

06.12.2018
Von   


Michaela Witzel schreibt als Expertin zum IT-Vertragsrecht und zu aktuellen rechtlichen Themen in Zusammenhang mit Outsourcing und Cloud-Computing, Open Source Software, AGB-Recht und zu Projektverträgen. Sie ist Fachanwältin für Informationstechnologierecht und auf diesen Gebieten seit 2000 in der auf IT und Datenschutz spezialisierten Kanzlei SSW Schneider Schiffer Weihermüller in München tätig. Im "JUVE Handbuch für Wirtschaftskanzleien" ist sie seit 2002 unter den für Informationstechnologierecht empfohlenen Anwälten. Sie ist unter anderem Mitautorin in Schneider/Westphalen, Softwareerstellungsverträge, 2. Auflage, 2013.

Anforderungen an Vertragsinhalte

AT 9 TZ. 7 MaRisk enthält einen ausdrücklichen Regelungskatalog von Anforderungen, die bei einer wesentlichen (IT-)Auslagerung einzuhalten sind. Aus der MaRisk lassen sich aber noch weitere Anforderungen ableiten, die bei der Vertragsgestaltung Berücksichtigung finden sollten. Das auslagernde Institut hat das Auslagerungsunternehmen mit der erforderlichen Sorgfalt auszuwählen, die Leistungserbringung umfassend zu spezifizieren und die Leistungserstellung angemessen zu überwachen.

Eine möglichst klare, eindeutige und detaillierte Leistungsbeschreibung gehört zu den Mindestanforderungen an den Auslagerungsvertrag. Gerade hier liegen aber in der Praxis erhebliche Mängel vor.

Des Weiteren sind sollten beispielsweise folgende Anforderungen an den Anbieter in der Gestaltung des Auslagerungsvertrags berücksichtigt werden:

  • Die Geschäftsprozesse des Anbieters sind so effizient und effektiv ausgestaltet, dass die Leistungserbringung wie vereinbart erbracht werden kann.

  • Das Personal des Anbieters erfüllt die qualitativen Anforderungen für die Bereitstellung der auszulagernden Leistung.

  • Das Vergütungssystem entspricht den gesetzlichen Anforderungen.

  • Durch die Auslagerung können Prozesse qualitativ gleich oder höherwertig im Vergleich zur Inhouse-Lösung abgewickelt werden.

  • Der Anbieter kann auch individuelle Anliegen und spezifische Prozesse des Instituts berücksichtigen.

  • Auf Basis von vereinbarten Service-Level-Agreements (SLAs) muss es messbare Qualitätskriterien geben.

  • Zur Sicherstellung der Überwachung der Auslagerung muss der Anbieter aussagekräftige Reports zur Verfügung stellen.

  • Der Anbieter verhält sich entsprechend den rechtlichen Vorgaben.

Daneben erfordert die MaRisk die Festlegung angemessener Informations- und Prüfungsrechte: Kritische Themen, die in diesem Zusammenhang regelmäßig diskutiert werden, sind: wer, wann, was in welchem Umfang auf Seiten des Anbieters geprüft werden kann. Nicht selten stehen Informations- und Transparenzanforderungen der Institute und ihrer externen Prüfer sowie der BaFin in einem Spannungsverhältnis zu den Geschäfts- und Sicherheitsinteressen des Anbieters. Dies gilt insbesondere im Hinblick auf Vor-Ort-Kontrollen.

Vorbehalt von Weisungsrechten
Musste sich das auslagernde Institut nach dem Rundschreiben 11/2001 Weisungsrechte stets zwingend vorbehalten, gilt dies nach den MaRisk 2017 (AT 9 TZ. 7 lit. d)) nur noch "soweit erforderlich".

Doch was bedeutet das in der Praxis? Insbesondere: wie sollen Weisungsrechte bei standardisierten Leistungen, die sich gerade dadurch auszeichnen, dass sie nicht auf institutsspezifische Besonderheiten abstellen, umgesetzt werden? Eine gewisse Hilfe geben die Erläuterungen der BaFin, wonach auf eine explizite Vereinbarung von Weisungsrechten zugunsten des Instituts verzichtet werden kann, wenn die vom Auslagerungsunternehmen zu erbringende Leistung hinreichend klar im Auslagerungsvertrag spezifiziert ist. Daran fehlt es aber bei standardisierten Leistungen häufig erst recht; die Leistungsbeschreibungen der Anbieter haben vertrieblichen Charakter und sind auch nicht zwingend auf dem aktuellen Stand.