Frage: Gibt es gesetzliche Vorgaben für das IT-Outsourcing?
Antwort: Nur in wenigen Spezialgesetzen wie beispielsweise dem Kreditwesengesetz gibt es explizite gesetzliche Vorgaben hinsichtlich der Auslagerung von Funktionen des Unternehmens. Die Regelungen des Paragrafen 25 a KWG (Kreditwesengesetz) und der MaRisk (Mindestanforderungen Risikomanagement) gelten jedoch nur für Finanzinstitute. Dennoch lohnt sich ein Blick in diese Bestimmungen, denn die dort niedergelegten Regeln können gerade mit Blick auf die dort geforderten Prüfungsrechte als eine Art "Best Practice" für das Outsourcing angesehen werden.
Frage: Was muss bei der vertraglichen Ausgestaltung des IT-Outsourcing beachtet werden?
Antwort: Eine wichtige Bestimmung ist sicherlich die Einhaltung der Vorgaben des Datenschutzrechtes, insbesondere beim Outsourcing von CRM-Systemen und Filterlösungen, welche den Zugriff auf personenbezogene Daten ermöglichen. Hierbei wird es sich regelmäßig um eine Auftragsdatenverarbeitung handeln. Notwendig ist aber auch eine lizenzrechtliche Vorprüfung, ob also überhaupt die für das IT-Outsourcing notwendigen Nutzungsrechte an der Software für den Betrieb der IT-Systeme durch Dritte - gegebenenfalls sogar im Ausland - bestehen. Daneben muss geprüft werden, ob durch das geplante IT-Outsourcing ein Betriebsübergang nach Paragraf 613 a des BGB (Bürgerlichen Gesetzbuches) stattfindet.
Frage: Wie stelle ich die Kontrolle der Herrschaft über die ausgelagerten IT-Systeme sicher?
Antwort: In den Outsourcing-Vertrag gehören unbedingt entsprechende Audit-Rechte des Unternehmens. Diese Prüfungs- und Kontrollrechte müssen sich selbstverständlich auch auf die vorhandenen Daten erstrecken und auch ein Weisungsrecht des Auftraggebers beinhalten. Daneben sind etwaige aufsichtsrechtliche Rahmenbedingungen (etwa Paragraf 25 a KWG,Paragraf 9 EnWG) zu beachten.
Frage: Was sind die Mindestanforderungen bei der Auslagerung von Buchhaltungssystemen etc. an einen externen Provider?
Antwort: Wichtig ist natürlich die Beachtung und Delegation handels- und steuerrechtlicher Aufbewahrungs-, Archivierungs- und Buchführungspflichten (siehe hierzu Paragrafen 239, 261 HGB, Paragrafen 69 ff. AO i.V.m. Paragrafen 35, 36 AO, Paragrafen 140, 141 AO, etc.). Daneben ist mit dem Outsourcing-Provider die Einhaltung der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sowie der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPdU) zu vereinbaren.