AGBs & Internationale Standards
Risiko 4: Unwirksamkeit durch AGB-Recht
Werden die SLAs oder ein anderer Rahmenvertrag standardmäßig vom Outsourcing-Provider vorgeschlagen, stellt dieses Vertragswerk Allgemeine Geschäftsbedingungen (AGB) dar. Für den Vertrag gelten also (wenn die Einzelheiten nicht individuell verhandelt wurden), grundsätzlich die Vorgaben des AGB-Rechtes (Paragraphen 305 ff. BGB). Im Falle der Nichteinhaltung der zusätzlich durch Rechtsprechung und Literatur fein differenzierten Regelungen können SLAs unwirksam werden, wenn sie sich zu weit vom gesetzlichen Leitbild entfernen.
Es gilt dann wieder das Bürgerliche Gesetzbuch (BGB), welches für das IT-Outsourcing aber nur sehr bedingt geeignet ist (siehe oben zu Leistungen mittlerer Art und Güte). Dies gilt unabhängig von der Frage, ob auf das Outsourcing von IT-Services nach dem BGB das Mietvertrags-, Dienstleistungs-, Kauf- oder Werkvertragsrecht Anwendung findet und welche Haftungsbeschränkungen demgemäß in AGB überhaupt möglich sind.
Risiko 5: Internationale Standards und lokale Besonderheiten
Ein Servicevertrag mit einem ausländischen Unternehmen unterscheidet sich grundsätzlich nicht wesentlich von einem Outsourcing-Vertrag, der mit einem in Deutschland ansässigen Dienstleister geschlossenen wird. Die Globalisierung zeigt auch hier eine vereinheitlichende Wirkung. Dies schlägt sich beispielsweise auch in den Standardmodellen für das Outsourcing bei den Mustern des Outsourcing-Beratungshauses TPI nieder. Oft orientieren sich ausländische Serviceanbieter an internationale Standards wie ITIL oder ISO2700x. Trotzdem sollte das lokale Recht und etwaige Vorgaben aus regulierten Bereichen (also Finanzwesen: KWG, MaRisk, etc.) berücksichtigt werden.
Sonst kann es unter Umständen zu bösen Überraschungen kommen – so geschehen bei einer Rechenzentrumsbesichtigung eines großen Anbieters in den USA: Das Rechenzentrum, in dem die Server der deutschen Kunden untergebracht waren, lag auf einem öffentlich zugänglichen Campus. Die Perimetersicherung war sehr schwach und der Zugang wurde von einem Wachmann geschützt, der aufgrund des örtlichen Gesetzes unbewaffnet sein musste. Die physische Sicherheit war also nach deutschen Maßstäben kümmerlich. Aus US-Sicht lag dagegen kein Bedrohungsszenario vor, da das Rechenzentrum nicht erkennbar an einem einsamen Ort lag.