SLA-Management

Die wichtigsten FAQs zu Outsourcing-Verträgen

10.07.2008
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Was müssen Outsourcing-Vertäge beinhalten? Welche Gesetze sind relevant? Wer kontrolliert SLAs? Die Antworten auf diese Fragen finden sie hier.

Frage: Gibt es gesetzliche Vorgaben für das IT-Outsourcing?

Dr. Michael Rath, Luther Rechtsanwaltsgesellschaft mbH: Nur in wenigen Spezialgesetzen gibt es explizite gesetzliche Vorgaben für das Outsourcing.
Dr. Michael Rath, Luther Rechtsanwaltsgesellschaft mbH: Nur in wenigen Spezialgesetzen gibt es explizite gesetzliche Vorgaben für das Outsourcing.

Antwort: Nur in wenigen Spezialgesetzen wie beispielsweise dem Kreditwesengesetz gibt es explizite gesetzliche Vorgaben hinsichtlich der Auslagerung von Funktionen des Unternehmens. Die Regelungen des Paragrafen 25 a KWG (Kreditwesengesetz) und der MaRisk (Mindestanforderungen Risikomanagement) gelten jedoch nur für Finanzinstitute. Dennoch lohnt sich ein Blick in diese Bestimmungen, denn die dort niedergelegten Regeln können gerade mit Blick auf die dort geforderten Prüfungsrechte als eine Art "Best Practice" für das Outsourcing angesehen werden.

Frage: Was muss bei der vertraglichen Ausgestaltung des IT-Outsourcing beachtet werden?

Antwort: Eine wichtige Bestimmung ist sicherlich die Einhaltung der Vorgaben des Datenschutzrechtes, insbesondere beim Outsourcing von CRM-Systemen und Filterlösungen, welche den Zugriff auf personenbezogene Daten ermöglichen. Hierbei wird es sich regelmäßig um eine Auftragsdatenverarbeitung handeln. Notwendig ist aber auch eine lizenzrechtliche Vorprüfung, ob also überhaupt die für das IT-Outsourcing notwendigen Nutzungsrechte an der Software für den Betrieb der IT-Systeme durch Dritte - gegebenenfalls sogar im Ausland - bestehen. Daneben muss geprüft werden, ob durch das geplante IT-Outsourcing ein Betriebsübergang nach Paragraf 613 a des BGB (Bürgerlichen Gesetzbuches) stattfindet.

Frage: Wie stelle ich die Kontrolle der Herrschaft über die ausgelagerten IT-Systeme sicher?

Antwort: In den Outsourcing-Vertrag gehören unbedingt entsprechende Audit-Rechte des Unternehmens. Diese Prüfungs- und Kontrollrechte müssen sich selbstverständlich auch auf die vorhandenen Daten erstrecken und auch ein Weisungsrecht des Auftraggebers beinhalten. Daneben sind etwaige aufsichtsrechtliche Rahmenbedingungen (etwa Paragraf 25 a KWG,Paragraf 9 EnWG) zu beachten.

Frage: Was sind die Mindestanforderungen bei der Auslagerung von Buchhaltungssystemen etc. an einen externen Provider?

Antwort: Wichtig ist natürlich die Beachtung und Delegation handels- und steuerrechtlicher Aufbewahrungs-, Archivierungs- und Buchführungspflichten (siehe hierzu Paragrafen 239, 261 HGB, Paragrafen 69 ff. AO i.V.m. Paragrafen 35, 36 AO, Paragrafen 140, 141 AO, etc.). Daneben ist mit dem Outsourcing-Provider die Einhaltung der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sowie der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPdU) zu vereinbaren.