Wer externe IT-Dienstleister beauftragt, muss die Anforderungen im Vertrag genau festlegen und die Datensicherheit gewährleisten.
Eine Reihe von Vorteilen spricht dafür, die betriebliche Informationstechnik an externe Dienstleister auszulagern: Das Fachpersonal beim Dienstleister sorgt dafür, dass immer die aktuelle Software verwendet wird und die IT immer auf dem neuesten Sicherheitsstand ist. Der Auftraggeber muss weniger Soft- und Hardware selbst anschaffen, der Dienstleister übernimmt die Pflege und Wartung der Systeme, die er gegebenenfalls an neue Anforderungen anpasst. Außerdem garantiert er eine hohe Ausfallsicherheit der Systeme. Die Kosten für die Dienstleistungen sind in der Regel transparent und gut kalkulierbar. Unter dem Strich wird das IT-Outsourcing also Zeit und Kosten sparen. Was aber oft vergessen wird: Bei der Gestaltung des Vertrags mit dem IT-Dienstleister müssen viele rechtliche Fragen beachtet werden.
Schutz von sensiblen Daten
Man muss sich bewusst sein: Mit dem Auslagern der IT wird einem Dritten Zugang zu sensiblen Daten wie Kunden- und Projektinformationen oder Geschäftsgeheimnissen eröffnet. Datendiebstahl und die Verletzung von Vertraulichkeitsbestimmungen sind ein oft unterschätztes Risiko, wobei die Höhe des Risikos naturgemäß von der Art und dem Umfang der ausgelagerten Leistungen abhängt. Bei einer Auftragsdatenverarbeitung, die etwa die Bereitstellung, Wartung und Pflege einer IT-Infrastruktur mit der zugehörigen Hard- und Software umfasst, agiert der Dienstleister lediglich in einer Art Hilfsfunktion für den Unternehmer. Die Risiken sind deutlich höher, wenn weitergehende operative Aufgaben (z. B. Abrechnungen, Lohnbuchhaltung, Waren- bzw. Lagerwirtschaft) auf den Dienstleister übertragen werden.
Auftraggeber bleibt verantwortlich
Der Unternehmer muss sich auf jeden Fall darüber im Klaren sein, dass er die rechtliche Verantwortung für die ordnungsgemäße Verarbeitung und weitere Nutzung der Daten nicht an den Dienstleister übertragen kann. Dieser handelt als Auftragnehmer ausschließlich im Auftrag des Unternehmers. Dies sollte unbedingt auch vertraglich so festgelegt werden. Bei der Vertragsgestaltung ist sicherzustellen, dass das IT-System des Anbieters die Anforderungen der „Grundsätze ordnungsgemäßer Führung von Büchern und Datenzugriff“ (kurz GoBD) der Finanzverwaltung erfüllt. Entscheidend ist die genaue Beschreibung des Vertragsgegenstandes in der Leistungsbeschreibung oder Spezifikation, die u. a. genaue Informationen über IT-Infrastruktur, Geschäftsprozesse einschließlich Datenfluss sowie Schnittstellen zu Leistungen dritter Anbieter enthalten sollte. Die Formulierung im Vertrag muss sicherstellen, dass bei all diesen Aspekten die Anforderungen der GoBD erfüllt werden. Ist dies nicht der Fall, können später bei Fehlern im Betriebsablauf Gewährleistungsansprüche nicht oder nur schwer geltend gemacht werden. Oder der Auftraggeber muss später zusätzliche Leistungen in Auftrag geben, um alle Anforderungen zu erfüllen. Dadurch können sich die Kos- ten erheblich erhöhen.
Darüber hinaus kann es bei einer steuerlichen Außenprüfung durch die Finanzbehörden zu unangenehmen Überraschungen kommen. Denn dabei wird auch geprüft, ob und inwieweit das Unternehmen den Buchführungs- und Aufzeichnungspflichten nach GoBD nachkommt. Wenn der Betriebsprüfer Lücken feststellt, kann ein formeller Mangel der Buchführung vorliegen. Das wiederum erlaubt der Finanzverwaltung gegebenenfalls, die Steuerlast teilweise selbst zu schätzen.
Auch bei der Prüfung des Unternehmens durch die Wirtschaftsprüfer ist das Thema IT-Outsourcing relevant: Sie sind gemäß den Richtlinien des Instituts der Wirtschaftsprüfer (IDW PS 331) dazu verpflichtet, sich auch die ausgelagerten Prozesse anzusehen. Dabei prüfen sie, ob diese vom Unternehmen durch ein internes Kontrollsystem (IKS) überwacht werden. Im Zuge dieser Prüfung kann es zudem erforderlich sein, auch das interne Kontrollsystem des externen Dienstleisters zu begutachten. Der Wirtschaftsprüfer muss das Unternehmen auf mögliche Informationslücken hinweisen und diese gemeinsam mit ihm schließen. Unternehmen, die ein IT-Outsourcing beabsichtigen, sollten ihre Pläne bereits im Vorfeld mit dem Wirtschaftsprüfer abstimmen, um Überraschungen bei der Abschlussprüfung zu vermeiden.
Inhalt des Vertrages
Schon bevor man in Vertragsverhandlungen mit einem externen Dienstleister eintritt und ihm Geschäftsdaten und personenbezogenen Daten offenlegt, ist die Unterzeichnung einer Vertraulichkeitserklärung (sogenanntes Non-Disclosure-Agreement NDA) ratsam. Im Vertrag selbst sollten die Leistungen sehr präzise beschrieben und exakt so festgelegt werden, dass sie dem Bedarf des Unternehmens entsprechen. Auf diese Weise lassen sich spätere Streitigkeiten mit dem IT-Dienstleister und die Notwendigkeit kostspieliger Ergänzungen ausschließen. Es empfiehlt sich, standardisierte Rechte und Pflichten in einem Rahmenvertrag zu regeln. In sogenannten Leistungsscheinen werden dann die spezifizierten Einzelleistungen sowie die Standards der Leistungserbringung festgelegt. Wichtig ist zudem, dass die Nutzungs- und Kontrollrechte des Auftraggebers, der eventuelle Einsatz von Subunternehmern, künftige Anpassungen an neue Anforderungen, Kündigungsrechte sowie geeignete Mess- und Prüfverfahren zur Leistungskontrolle im Vertrag festgehalten werden.
Auch wenn die Zusammenarbeit gut läuft, sollten die Abhängigkeiten vom Anbieter möglichst klein gehalten und Sonderkündigungsrechte eingeräumt werden. Denkbare Ausstiegsszenarien, die es zu berücksichtigen gilt, sind die Insolvenz des Dienstleisters, die Veränderung des eigenen Unternehmens, ein Disput über Preisanpassungen oder unzulängliche Leistungen des Anbieters. Im letzten Fall ist es für das Unternehmen wichtig, sich ab einem gewissen Zeitpunkt von dem Vertrag lösen zu können, um zu einem anderen Anbieter zu wechseln. Das Vertragswerk muss also so gestaltet sein, dass ein Wechsel problemlos vollzogen werden kann und keine Sicherheitslücken entstehen.
Grundsätzlich gilt: Safety First! Deshalb muss im Vertrag auch ein Notfallplan enthalten sein und ein Vermerk, dass der Dienstleister für mögliche Schäden gerade zu stehen hat. Damit dieser dazu auch in der Lage ist, sollte er eine entsprechende Haftpflichtversicherung mit ausreichender Deckung vorweisen können.
Ob eine Auslagerung der firmeneigenen IT in Frage kommt, ist in vielen Fällen nicht alleine eine Frage von Kosten und Nutzen. Viele kleine und mittlere Unternehmen haben schlicht nicht das nötige Know-how, um die betriebliche IT alleine zu stemmen. Dennoch müssen sie beim IT-Outsourcing mit äußerster Sorgfalt agieren und insbesondere IT-Sicherheit und Datenschutz gewährleisten. Das geht nur mit rechtlich belastbaren Vereinbarungen.
