IT-Recht im Ausland

IT ohne Grenzen

09.11.2009
Von    und Rainer Sponholz
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.

Auslagerungskontrolle

Ob die verpflichtenden Schutzmaßnahmen im Rahmen eines Outsourcing-Abkommens tatsächlich wirksam sind, obliegt dem Anwenderunternehmen. Oft vertrauen die Unternehmen der falschen Annahme, mit dem Vertrag seien alle Belange geregelt, daher müssten sie sich nicht selbst um die Einhaltung von rechtlichen Anforderungen kümmern. Das Gegenteil ist der Fall. Gerade im Bereich des Rechnungswesens, der Steuern und im Datenschutz wird das Unternehmen bei Verstößen ungeachtet der vertraglichen Vereinbarungen direkt und selbst bestraft. Die betroffene Organisation kann sich allenfalls auf Basis der Vertragsbedingungen einen Schadenersatz erkämpfen.

Auch ausländische Bestätigungen von Wirtschaftsprüfern nach den Auditing-Standards SAS 70 und ISA 402 helfen nicht weiter. Die Provider verweisen gerne auf diese Reports, doch die durchleuchten lediglich das interne Kontrollsystem (IKS). Dabei werden nur rechnungswesenrelevante, vordefinierte Kontrollen erhoben, die nicht als rechtliche Genehmigung zu verstehen sind. Non-Compliance-Situationen, die nicht von diesem IKS-Ausschnitt erfasst werden, bleiben auslagernden Unternehmen beziehungsweise den Prüfern verborgen.

Empfehlung: Laufende zeitnahe Überwachung ist empfehlenswert. Das lässt sich etwa praktizieren, indem Anwender Zugang zum Problem- und Störfall-Management-System des Providers bekommen. Das auslagernde Unternehmen kann so - am besten in Echtzeit - auftretende Probleme erkennen und bewerten. Die Sicherheitssysteme des Outsourcing-Unternehmens können Berichte und Alarmmeldungen jeweils sofort an das auslagernde Unternehmen schicken. So werden Sicherheitsgefährdungen frühzeitig erkannt. Auch eine interne Revision, die über das IKS hinaus prüft, ist unerlässlich. Diese Punkte sind in den Standardverträgen meist nur ansatzweise angesprochen und sollten deshalb explizit vereinbart werden.

Fazit: Der Standardvertrag hilft nicht weiter

Ein Outsourcing-Standardvertrag ist schnell unterschrieben - aber wie die Beispiele zeigen, macht man es sich damit zu einfach. Die Analysen zur IT-Sicherheit, zum Datenschutz, zu bestehenden und neuen IT-Compliance-Anforderungen und die Kontrolle der grenzüberschreitenden Datenverarbeitung sollte das Unternehmen von Spezialisten ausführen lassen, damit es nicht in eine Risikofalle tappt, die der Geschäftsführung den Vorwurf der Fahrlässigkeit einträgt. Die Attraktivität manch verlockenden und vermeintlich flexiblen Angebots schwindet rasch. Anwender sollten generell den Rat beherzigen, nur IT-Services im Ausland in Anspruch zu nehmen, die zeit- und sicherheitsunkritisch sind.