Ratgeber: IT Outsourcing richtig planen

Outsourcing mit Due Dilligence vorbereiten

20.01.2019
Von   


Michaela Witzel schreibt als Expertin zum IT-Vertragsrecht und zu aktuellen rechtlichen Themen in Zusammenhang mit Outsourcing und Cloud-Computing, Open Source Software, AGB-Recht und zu Projektverträgen. Sie ist Fachanwältin für Informationstechnologierecht und auf diesen Gebieten seit 2000 in der auf IT und Datenschutz spezialisierten Kanzlei SSW Schneider Schiffer Weihermüller in München tätig. Im "JUVE Handbuch für Wirtschaftskanzleien" ist sie seit 2002 unter den für Informationstechnologierecht empfohlenen Anwälten. Sie ist unter anderem Mitautorin in Schneider/Westphalen, Softwareerstellungsverträge, 2. Auflage, 2013.
Outsourcing-Verträge sollten für beide Seiten einen zielgerichteten Rahmen enthalten. Das Durchführen einer Due Dilligence kann hier helfen. Lesen Sie hier, welche Bereiche in die Prüfung aufgenommen werden sollten.

Zahlreiche Outsourcing-Projekte scheitern bereits an mangelnder oder mangelhafter Vorbereitung. Die hohe Erwartungshaltung der Auftraggeber "mit dem Outsourcing werde endlich alles besser und günstiger" wird durch unrealistische Zeitpläne und unzureichende Vorbereitung noch begünstigt.

Der Erfolg eines Outsourcing-Projektes sollte nicht vom Glück abhängen.
Der Erfolg eines Outsourcing-Projektes sollte nicht vom Glück abhängen.
Foto: Thinglass - shutterstock.com

Warum Due Diligence beim Outsourcing?

Sorgfältig erstellt Ausschreibungsunterlagen minimieren Risiken, aber es sollte auch zur Vorbereitung des Outsourcing-Vorhabens gehören, eine Due Diligence durchzuführen. Eine Due Diligence ist ein Instrument der Risikoanalyse und soll die Chancen und Risiken des Outsourcing-Vorhabens durch die detaillierte Einsicht in nicht öffentliche Informationen zugänglich machen.

Auch eine gut vorbereitete Ausschreibung mit detaillierten und transparenten Unterlagen ändert nichts daran, dass sich die potenziellen Vertragspartner von ihrer jeweils schönsten Seite präsentieren.

  • Der potenzielle Anbieter beantwortet die vorgelegten Anforderungskataloge gerne euphemistisch und

  • der Outsourcer lässt bestehende Schwierigkeiten mit zu übernehmenden Alt- und Umsystemen lieber unerwähnt.

Umfangreiche Vertragswerke sollen diese Unzulänglichkeiten auffangen und Risiken verteilen, was zum einen nicht immer gelingt und zum anderen zu hohen Kosten führen kann. Eine Due Diligence kann große Enttäuschungen vermeiden.

Generelle Zielsetzung einer Due Diligence

Ziel der Aktivitäten einer Due Diligence ist die Aufdeckung verborgener Chancen und Risiken des geplanten Vorhabens. Sie dient der Verbesserung der Qualität der Entscheidung über die Durchführung des Vorhabens und der Auswahl des Anbieters aufgrund eines verbesserten Informationsstandes.

So einfach geht die IBM Cloud mit VMware


Die Ergebnisse einer Due Diligence sollen den Beteiligten auf der Seite des Outsourcers die Schwächen und Risiken der angebotenen Leistung aufzeigen und ihn damit zugleich in die Lage versetzen, die Risiken der Transaktion vertraglich abzusichern. Der Insourcer anderseits soll durch die Due Diligence beim Outsourcer in die Lage versetzt werden, zu bewerten, ob er ein weiter zu betreibendes System mit seinen Ressourcen und seinem Know-how beherrschen kann. Eine sorgfältige Due Diligence dient also sowohl den Interessen des Outsourcers als auch des Insourcers:

  • Falsche Erwartungshaltungen sollen ausgeräumt, und

  • Risiken nach Möglichkeit minimiert werden können.

Die Durchführung einer Due Diligence bedeutet die Offenlegung sämtlicher projektrelevanter Informationen. Die ausgetauschten Daten beinhalten dabei zum Teil wirtschaftlich bedeutende, streng vertrauliche Informationen, die der Auftraggeber regelmäßig nicht an jedermann, sondern nur an ausgewählte Adressaten weitergibt, zu denen ein besonderes Vertrauensverhältnis besteht. Dies macht deutlich, dass das Ausschreibungsverfahren mit der Durchführung der Due Diligence eine neue Qualität gewinnt und in eine vorentscheidende Phase gelangt.

Doppelte Zielrichtung einer Due Diligence beim Outsourcing

Eine Due Diligence kann beim Outsourcing in zwei Richtungen durchgeführt werden:

  • Beim Insourcer, um sich nicht nur von dessen datenschutzrechtlicher Zuverlässigkeit zu überzeugen, sondern vor allem von seiner fachlichen Leistungsfähigkeit und der Funktionsfähigkeit der technischen Lösung, die Grundlage des Outsourcing-Vorhabens bilden soll. Die Angaben in den Ausschreibungsunterlagen sollen durch die Due Diligence verifiziert werden.

  • Auch beim Outsourcer kommt die Durchführung einer Due Diligence in Betracht. Der Insourcer muss die Prozesse kennen, die ausgelagert und im Regelfall mit seiner technischen Lösung abgebildet werden sollen.

Darüber hinaus sollte der Insourcer vor Beginn des Outsourcing-Vorhabens die beim Auftraggeber verbleibende Infrastruktur verstehen und wissen, mit welchen Drittanbietern er eventuell in welchem Umfang zusammenarbeiten muss. Nur so kann der Insourcer beurteilen, ob er die Anforderungen des Outsourcers mit seiner Lösung und seiner Organisation abbilden kann.

Auch, wenn die Ausschreibungsunterlagen detaillierte Prozessbeschreibungen enthalten sollten (woran es im Regelfall gerade fehlt), kann eine Überprüfung der Prozesse in der Praxis geboten sein. Wenn das Outsourcing-Vorhaben vorsieht, dass der Insourcer (zumindest zeitweise) den Betrieb bestehender Systeme und Applikationen übernehmen muss, kann er nur beurteilen, ob er das auch leisten kann, wenn er den Betrieb beim Outsourcer oder beim vorherigen Anbieter auch in der Praxis "sieht".

Due Diligence beim Outsourcer

Welche Bereiche im Rahmen einer Due Diligence beim Outsourcer geprüft werden müssen, hängt natürlich vom konkreten Outsourcing-Vorhaben ab. Folgende Bereiche können für den potenziellen Insourcer prüfungsrelevant sein:

  • Evaluierung der Prozesse des outsourcenden Unternehmens, die Gegenstand des Outsourcing sind,

  • Prüfung der vorhandenen Prozessbeschreibungen (z.B. Betriebshandbücher) auf Transparenz, Konsistenz und gegebenenfalls Vollständigkeit,

  • Festlegung von Schnittstellen zu in Verantwortung des outsourcenden Unternehmens verbleibenden Umsystemen und Applikationen sowie Prüfung von vorhandenen Schnittstelleninformationen- und Dokumentationen,

  • Prüfung der vorhandenen Datenschutz- undIT-Sicherheitskonzepte und Prüfung der für Datenschutz- und IT-Sicherheitsvorfälle etablierten Prozesse,

  • Prüfung vorhandener Leistungsbeschreibungen und Service Levels auf Vollständigkeit, Konsistenz und Transparenz,

  • Prüfung von Notfallkonzepten und K-Fall-Prozessen sowie Richtlinien zur Business Continuity,

  • Bewertung von Werkzeugen (z.B. ITSM - Tools, Projektmanagement-Tools), die auch nach dem Outsourcing weiter eingesetzt werden sollen, auf Kompatibilität und etwaige Reibungsverluste mit den beim Anbieter standardmäßig eingesetzten Tools,

  • Feststellung und Bewertung eingesetzter Standards (ITIL, Prince2, Agile Methoden) und Vorhandensein etwaiger Zertifizierungen,

  • Prüfung etwaig zu übernehmender Hardware und Software unter technischen und rechtlichen Aspekten (Übertragbarkeit von Nutzungsrechten, ordnungsgemäße Lizenzierung, Vorhandensein einer nachvollziehbaren und aktuellen Dokumentation, Leistungsumfang des Lieferanten, vor allem im Bereich Hardwarewartung und Softwarepflege),

  • Prüfung bestehender Governance-Prozesse (vor allem bei einem Multi-Vendor-Konzept),

  • Prüfung und Bewertung der beim auslagernden Unternehmen etablierten Richtlinien und Policies. Diese werden fast immer Bestandteil des späteren Vertragswerk - werden aber meist nicht ausreichend evaluiert, was erhebliche Mehrkosten verursachen kann,

  • Im Falle eines Betriebsübergangs: Überprüfung der Qualifikation der übergehenden Mitarbeiter, Arbeitsverträge, Betriebsvereinbarungen und Tarifverträge,

  • Bei Übernahme eines Betriebsteils: Organisation und Organisations-Chart des Betriebsteils

  • Anderweitige Projekte des auslagernden Unternehmens, die Ressourcen binden können, die für das geplante Vorhaben fehlen.

Due Diligence beim Insourcer

Auch der Auftraggeber hat ein erhebliches Interesse daran, sich vor der finalen Auswahl des Insourcers nicht nur auf die Papierlage zu stützen. Detaillierte Beschreibungen der Anforderungen in der Ausschreibung helfen.

Noch besser ist es, sich von der Funktionsfähigkeit einer Lösung oder eines Dienstes an einem laufenden System zu überzeugen. Folgende Bereiche können für den Outsourcer prüfungsrelevant sein:

  • Zustand der Betriebstätten des Anbieters und Status der eingesetzten Technologien,

  • Die Räumlichkeiten des Anbieters und gegebenenfalls seiner Subunternehmer - auch unter den Aspekten Datenschutz (technische und organisatorische Maßnahmen im Sinne der DSGVO), IT-Sicherheit und Notfallplanung;

  • Die personellen Kapazitäten, mit denen der Anbieter seine Leistungen erbringen kann. Wobei es dabei zum einen um fachliche Qualitäten, Erfahrung, Kommunikations-Skills, aber auch um eine ausreichende Anzahl der einzusetzenden Mitarbeiter geht,

  • Zuverlässigkeit der personellen Kapazitäten unter strafrechtlichen und sicherheitsrechtlichen Aspekten ("Staff Vetting", "Background Checks"),

  • Die finanzielle Ausstattung des Anbieters und seiner Subunternehmer,

  • Die Qualität der angebotenen Leistungen und der angebotenen Lösung, die gegebenenfalls mit einem Proof of Concept (PoC) unter Beweis gestellt werden können.
    Ebenfalls denkbar sind Referenzbesuche bei anderen Kunden des potenziellen Anbieters, die Auskunft darüber geben können, inwieweit vereinbarte Service Levels eingehalten werden, inwieweit die angebotene Lösung fachliche und rechtliche Anforderungen erfüllt, wie es mit der Performance der Systeme, den Antwortzeiten und generell der Leistungsqualität steht,

  • Vorhandene Prozesse zur kontinuierlichen Verbesserung des Leistungsniveaus (Einführung technologische Neuheiten, Innovationsbereitschaft des Anbieters),

  • Die beim Anbieter vorhandene Dokumentation, zum Beispiel zu Datenschutz, IT-Sicherheit und zur Notfallplanung,

  • Versicherungen des Anbieters.

Achten sowohl Auftraggeber als Auftragnehmer darauf, diese Prüfkriterien in ihre Vertragsverhandlungen mit aufzunehmen, dann sollten böse Überraschungen während und nach der Laufzeit eines IT-Outsourcing-Projekts minimiert sein.