03770 Outsourcing von IT-Leistungen – Verträge richtig gestalten
Der Beitrag beschäftigt sich mit den vertraglichen Gestaltungsmöglichkeiten, die sich für die Auslagerung von IT-Leistungen, hier am Beispiel von IT-Sicherheit, in der Praxis bewährt haben. Er setzt sich mit den rechtlichen Rahmenbedingungen auseinander und zeigt die Möglichkeiten und Grenzen in der Vertragsgestaltung. Berücksichtigung erfährt dabei auch der Wandel weg vom klassischen Outsourcing hin zu Cloud Computing. Ein besonderer Schwerpunkt liegt in der Behandlung der vertraglichen Absicherung des Kunden sowie in den folgenden Themen:
Arbeitshilfen: von: |
1 Aufbau und Inhalt eines Outsourcing-Vertragswerks
Beispiel IT-Sicherheit
Die Auslagerung von IT-Leistungen wie der IT-Sicherheit an einen Dienstleister kann aus Sicht eines Unternehmens sowohl aus Kosten- als auch aus Qualitätsgründen Sinn ergeben. Eine Reihe von Dienstleistern bietet z. B. „Managed Security Services (MMS)” im Markt an. Nach Auslagerung der IT-Sicherheit eines Unternehmens an einen Dienstleister hängt der weitere Erfolg der Zusammenarbeit jedoch nicht selten davon ab, ob die gegenseitigen Rechte und Pflichten eindeutig vertraglich festgelegt sind. Die Auslagerung der IT-Sicherheit eines Unternehmens weist in jeglicher Hinsicht eine große Komplexität auf, die im Rahmen der Vertragsgestaltung entsprechend zu berücksichtigen ist. Dies gilt nicht nur für das totale bzw. strategische Outsourcing, bei dem die gesamte IT-Sicherheit eines Unternehmens ausgelagert wird, sondern auch für das partielle bzw. selektive Outsourcing oder Outtasking, bei dem nur einzelne Teilbereiche an einen Dienstleister abgegeben werden. Hinzu kommt noch, dass die Auslagerung in der Regel die verschiedensten Bereiche, z. B. IT-Prozesse (z. B. Incident Management), Geschäftsprozesse (z. B. Monitoring und Reporting) und IT-Infrastruktur (z. B. Server Management, inklusive Notfallkonzept und Desaster Recovery), betreffen kann.
Die Auslagerung von IT-Leistungen wie der IT-Sicherheit an einen Dienstleister kann aus Sicht eines Unternehmens sowohl aus Kosten- als auch aus Qualitätsgründen Sinn ergeben. Eine Reihe von Dienstleistern bietet z. B. „Managed Security Services (MMS)” im Markt an. Nach Auslagerung der IT-Sicherheit eines Unternehmens an einen Dienstleister hängt der weitere Erfolg der Zusammenarbeit jedoch nicht selten davon ab, ob die gegenseitigen Rechte und Pflichten eindeutig vertraglich festgelegt sind. Die Auslagerung der IT-Sicherheit eines Unternehmens weist in jeglicher Hinsicht eine große Komplexität auf, die im Rahmen der Vertragsgestaltung entsprechend zu berücksichtigen ist. Dies gilt nicht nur für das totale bzw. strategische Outsourcing, bei dem die gesamte IT-Sicherheit eines Unternehmens ausgelagert wird, sondern auch für das partielle bzw. selektive Outsourcing oder Outtasking, bei dem nur einzelne Teilbereiche an einen Dienstleister abgegeben werden. Hinzu kommt noch, dass die Auslagerung in der Regel die verschiedensten Bereiche, z. B. IT-Prozesse (z. B. Incident Management), Geschäftsprozesse (z. B. Monitoring und Reporting) und IT-Infrastruktur (z. B. Server Management, inklusive Notfallkonzept und Desaster Recovery), betreffen kann.
1.1 Baukastenprinzip durch modularen Vertragsaufbau
Abschluss eines Rahmenvertrags plus Bausteine
Um die Vielzahl der zu regelnden Sachverhalte zu entzerren, wird in der Praxis ein modularer Vertragsaufbau („Baukastenprinzip”) verwendet. Kennzeichnend für diesen modularen Vertragsaufbau ist der Abschluss eines Rahmenvertrags, unter dem verschiedene Leistungsscheine/SLA hinzugefügt werden können. Auf diesem Weg kann das vom Kunden gewünschte Leistungsspektrum aus verschiedenen „Bausteinen” zusammengestellt werden, ohne dass jeweils vollständig neue individuelle Verträge erstellt werden müssen. Damit wird auch bei den in der Regel langfristig abgeschlossenen Rahmenverträgen eine Flexibilität erzielt, die eine Anpassung an künftige Anforderungen des Kunden erlaubt. Soweit nämlich der vereinbarte Leistungsumfang um weitere Leistungen, z. B. Internet Security Services, ergänzt, geändert oder reduziert werden soll, wird das vertraglich unproblematisch dadurch erreicht, dass die betreffenden Leistungsscheine/SLAs dem bisherigen Vertragswerk hinzugefügt, Leistungen geändert oder Leistungen in einzelnen Leistungsscheinen beendet werden. Die grundsätzlichen rechtlichen Bedingungen des Rahmenvertrags bleiben unverändert bestehen, da bei dem modularen Vertragsaufbau eine Änderung des Rahmenvertrags nicht notwendig ist.
Um die Vielzahl der zu regelnden Sachverhalte zu entzerren, wird in der Praxis ein modularer Vertragsaufbau („Baukastenprinzip”) verwendet. Kennzeichnend für diesen modularen Vertragsaufbau ist der Abschluss eines Rahmenvertrags, unter dem verschiedene Leistungsscheine/SLA hinzugefügt werden können. Auf diesem Weg kann das vom Kunden gewünschte Leistungsspektrum aus verschiedenen „Bausteinen” zusammengestellt werden, ohne dass jeweils vollständig neue individuelle Verträge erstellt werden müssen. Damit wird auch bei den in der Regel langfristig abgeschlossenen Rahmenverträgen eine Flexibilität erzielt, die eine Anpassung an künftige Anforderungen des Kunden erlaubt. Soweit nämlich der vereinbarte Leistungsumfang um weitere Leistungen, z. B. Internet Security Services, ergänzt, geändert oder reduziert werden soll, wird das vertraglich unproblematisch dadurch erreicht, dass die betreffenden Leistungsscheine/SLAs dem bisherigen Vertragswerk hinzugefügt, Leistungen geändert oder Leistungen in einzelnen Leistungsscheinen beendet werden. Die grundsätzlichen rechtlichen Bedingungen des Rahmenvertrags bleiben unverändert bestehen, da bei dem modularen Vertragsaufbau eine Änderung des Rahmenvertrags nicht notwendig ist.