5. Novelle der MaRisk und BAIT

Neue Herausforderungen bei Outsourcing-Verträgen

19.04.2018

Von

Michaela Witzel schreibt als Expertin zum IT-Vertragsrecht und zu aktuellen rechtlichen Themen in Zusammenhang mit Outsourcing und Cloud-Computing, Compliance, Open Source Software, AGB-Recht und zu Projektverträgen. Sie ist Fachanwältin für Informationstechnologierecht und auf diesen Gebieten seit 2000 zunächst bei SSW, heute bei Witzel Erb Backu & Partner in München tätig.

Alle Posts des Autors Email: Connect:

Sicherstellung der Überwachung und Steuerung der Auslagerung

Liegen die Voraussetzung für eine Einstufung als wesentliche Auslagerung vor, enden die aufsichtsrechtlichen Anforderungen nicht mit der Risikoanalyse und Auslagerungsentscheidung durch die Geschäftsleitung. Die Auslagerung muss ordnungsgemäß gesteuert und überwacht werden.
Zielsetzung dabei ist die Sicherstellung einer vertragskonformen Leistungserbringung durch den Dienstleister.

Steuerungs- und Überwachungsmaßnahmen sollen die frühzeitige Erkennung und Steuerung von Risiken ermöglichen. Alle ausgelagerten Prozesse müssen in die Risikosteuerungs- und Risikocontrollingprozesse des Kreditinstituts eingebunden sein. Es muss zum einen kontinuierlich die Qualität der erbrachten Leistungen überwacht werden, darüber hinaus sind Risiken der Auslagerung zu überwachen.

Um diesen Anforderungen nachzukommen, muss zum einen das Kreditinstitut Prozesse mit geeigneten Steuerungs- und Überwachungsmaßnahmen einrichten, anderseits muss der Dienstleister seine Organisation so aufbauen und organisieren, dass eine Überwachung effizient erfolgen kann. Sowohl Kreditinstitut als auch Dienstleister benötigen ein Internes Kontrollsystem (IKS), bestehend aus systematisch gestalteten technischen und organisatorischen Regeln zur Abwehr von Schäden. Folgende Prinzipien sind Grundlagen eines IKS:

Transparenz,
„Vier Augen“,
Funktionstrennung und
Mindestinformation.

Steuerung und Überwachung durch Service Level Agreements

Je höher das Risiko einer Auslagerung, desto größer die Anforderungen an Steuerung und Überwachung. Service Level Agreements sind ein vertraglicher Baustein die Qualität des Dienstleisters sicherzustellen. Service Level Agreements (SLAs) sind im Regelfall Module eines komplexen Vertragswerks, das präzise und interpretationsfrei die Art (was?), die Zeit (wann?), die Quantität und Qualität (wie?) der Leistungserbringung bestimmen soll.

SLAs sollen die Erwartungen an die Qualität der zu erbringenden Leistungen bestimmen, Verantwortlichkeiten klären und Maßnahmen enthalten, mit denen sich die Zusammenarbeit zwischen Institut und Dienstleister steuern lassen. Es gibt keine Standard SLAs; dies richten sich immer nach den individuellen Rahmenbedingungen und konkreten Anforderungen einer Auslagerung. Fokus ist die betriebswirtschaftliche und nicht die juristische Perspektive.

Folgende Inhalte sollte ein SLA enthalten:

• Definition des Leistungsumfangs;

• Anforderungen an die Qualität der zu erbringenden Leistungen („Service Levels“);

• Monetäre Konsequenzen der Verfehlung von Service Levels, z.B. eine pauschalierte Minderung;

• Tools und Methoden zur Messung (einschließlich der Art und Weise der Dokumentation der Messergebnisse);

• Berichterstattung;

• Mitwirkungsleistungen, Vorleistungen und Beistellung

• Abgrenzung der Verantwortlichkeiten, vor allem im Verhältnis zu Drittanbietern.

SLAs hoher Güte zeichnen sich durch Kürze, Struktur, Präzision, Insistenz und Transparenz, Vollständigkeit und Verständlichkeit aus. Je kritischer die Auslagerung ist, desto detaillierter und präziser sollten die Formulierungen im SLA sein. Unklarheiten, Lücken und Widersprüche in SLAs gehören zu den häufigsten Gründen für das Scheitern einer Auslagerung.

Welche Anforderungen an einen Auslagerungvertrag gestellt werden, lesen Sie in meinem Artikel: IT-Auslagerungsverträge rechtskonform gestalten

Aktuelle IDG-Studien

An der Cloud Readiness und Bereitschaft zum Wandel der Unternehmen hierzulande gibt es keine Zweifel mehr. Die Transformation ist in vollem Gange.

Mehr zur Studie erfahren
Der Schutz vor Ransomware hat hohe Priorität, doch die ergriffenen Maßnahmen greifen zu kurz. Alles dazu in unserer Studie.

Mehr zur Studie erfahren
Das Gros der ERP-Anwender setzt mittlerweile auf SAP S/4HANA, um digital zu transformieren und Wettbewerbsvorteile zu erschließen. Mehr in der Studie.

Mehr zur Studie erfahren
Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren