So gelingen Outsourcing-Verträge

Nicht zuletzt aufgrund der zunehmenden Cloud-Lösungen gewinnt Outsourcing wieder an Bedeutung. Die Verhandlung entsprechender Verträge ist eine Herausforderung für Anbieter und Anwender. Beide Seiten müssen genau wissen, was sie voneinander wollen.
von von Britta Hinzpeter (Kanzlei DLA Piper) und Thomas Jansen (Partner der internationalen Rechtsanwaltskanzlei DLA Piper in München )

Grob betrachtet, lässt sich ein Outsourcing-Vertragswerk in neun Bestandteile zerlegen: Ausschreibung, Vergabe, Leistungsbeschreibung, Service-Levels, Vergütung, Benchmarking, Haftungfragen, Nutzungsrechte und Schutz des geistigen Eigentums sowie Exit-Management. Hinsichtlich jedes dieser Teile muss der Auftraggeber nicht nur aus juristischer Sicht die richtigen Fragen stellen; auch die betriebswirtschaftliche Perspektive darf nicht zu kurz kommen. Aus diesem Grund haben die Autoren den Unternehmensberater Karsten Leclerque, Principal Consultant Outsourcing & Cloud bei Pierre Audoin Consultants (PAC) in München, zu Rate gezogen.

Die Ausschreibung

Der Ausschreibungsprozess legt den Grundstein für den Erfolg eines Outsourcing-Projekts. Wer IT-Leistungen auslagern will, muss zuerst die fachlichen Anforderungen definieren und in der Ausschreibung wiedergeben, also ein Lastenheft erstellen. Die Projektverantwortlichen sollten sich fragen, welche Leistungen aus technischer, prozessökonomischer und wirtschaftlicher Sicht extern bezogen werden sollen, um betriebliche Prozesse zu beschleunigen, deren Qualität zu verbessern oder sie ökonomischer zu gestalten. Die wichtigsten Fragen an das Business lauten hierbei:

• Sind die Projektziele und Projektanforderungen (Kostenersparnis, Serviceverbesserung, Flexibilität etc.) unternehmensintern klar definiert?

• Bildet die Ausschreibungsunterlage die Projektziele und Projektanforderungen entsprechend ab (zum Beispiel Beschreibung der Soll-Situation, Schwachstellen oder Problembereiche, Budgetvorgaben)?

• Enthält die Ausschreibungsunterlage bereits einen Vertragsentwurf oder wesentliche Vertragselemente (beispielsweise Musterklauseln zur Leistungspflicht, Haftung, Kündigung)?

• Sind Anforderungen und Fragen verständlich formuliert und so gestaltet, dass Anbieter zur Abgabe eines detaillierten Angebotes gezwungen sind?

• Wurden intern Personalressourcen zugeordnet und Projektrollen in den involvierten Abteilungen (IT, Rechtsabteilung, Geschäftsbereiche wie Finance etc.) verteilt?

Wie der Unternehemsberater Leclerque ergänzt, ist in dieser Phase die Beteiligung sämtlicher Stakeholder entscheidend. Nur so lasse sich ein wirklich einheitliches Verständnis für Status Quo und Ziele der Vergabe schaffen. Schließlich könnten Kriterien wie Kostenersparnis und Serviceverbesserung durchaus im Widerspruch zueinander stehen.

Die Vergabe

Die Auswahl des richtigen Anbieters kann vor allem in Cloud-Projekten mit vielschichtigen unternehmerischen Anforderungen komplex sein. Häufig ist ein Anbieter allein nicht in der Lage, alle IT-Leistungen zu erbringen und wird Dienstleistungen eines oder mehrerer Subunternehmer hinzukaufen, zum Beispiel für die Bereitstellung der IT-Infrastruktur. Der Auftraggeber sollte unbedingt die Erfüllung des Lastenheftes durch die Unterauftragnehmer abfragen und das Ergebnis in seine Vergabeentscheidung einbeziehen. Die Checkliste für diese Phase gestaltet sich so:

• Sieht der Projektplan genügend Zeit für den Auswahlprozess vor? Je nach Anzahl der Bieter und Projektgröße nimmt er unter Umständen Monate in Anspruch.

• Sind intern alle Projektbeteiligten in die Entscheidungsfindung einbezogen (IT, Rechtsabteilung, Geschäftsbereiche wie Finance etc.)?

• Stehen Auswahlkriterien und Methodik fest (zum Beispiel Priorisierung der Anforderungen nach Zielsetzung des Projekts und Erstellen einer Bewertungsmatrix)? Stimmen diese mit den Projektzielen überein, und werden sie von allen Projektbeteiligten angewendet?

• Sind etwaige Unterauftragnehmer in den Bewertungsprozess einbezogen?

• Herrscht eine offene und effektive Kommunikation mit den Anbietern? Beantworten diese beispielsweise sämtliche Fragen und räumen Unklarheiten aus? Verstehen sie die Anforderungen?

• Wird die Bewertung der Angebote nach einem bestimmten Muster schriftlich dokumentiert, etwa anhand einer Tabelle oder graphischen Übersicht, die die einzelnen Angebote miteinander vergleicht?

Damit der Auswahlprozess effizient bleibt, schlägt Leclerque vor, die Zahl der Anbieter durch Vorselektion anhand definierter Kriterien einzugrenzen. Insbesondere die RFI-Phase (Request for Information) lasse sich durch Zuhilfenahme externer Informationen über die Provider-Landschaft verkürzen oder einsparen. Neben technik- und servicebezogenen Aspekten können bestimmte Ausschlusskriterien für einen Auftraggeber besonders relevant sein. Dazu zählt beispielsweise die geografische Präsenz des Anbieters, konkrete Erfahrungen, Verständnis für die Branche, ähnliche Referenzen oder andere spezifische Stärken.

So gelingen Outsourcing-Projekte
PA Consulting Group untersucht im Rahmen einer jährlichen Studie den Wertbeitrag des Change-Managements im Outsourcing. Aus den Analyseergebnisse sowie den Erkenntnisse aus Auslagerungsprojekten haben die Berater sieben Handlungsempfehlungen für die Entscheidungsträger erarbeitet, die Betriebsteile samt Mitarbeiter an externe Dienstleister auslagern wollen. Das systematische Change-Management und die intensive Kommunikation sind erfolgskritisch für jedes Outsourcing-Projekt, betonen die Berater von PA Conulting.

Handlungsempfehlungen 1:
Entscheidend ist ein einheitliches Verständnis über die Gründe des Outsourcing. Jedem Mitarbeiter sollte der angestrebte Zielzustand und die notwendigen Teiletappen klar sein.

Handlungsempfehlungen 2:
Die Schlüsselpersonen für den täglichen operativen Betrieb müssen gebunden, gefördert und motiviert werden.

Handlungsempfehlungen 3:
Ebenso bedeutend ist es, Führungskräfte zu motivieren, zu unterstützen und zu binden.

Handlungsempfehlungen 4:
Wichtig ist, dass sich Unternehmen gegenüber den Mitarbeitern verpflichtet fühlen und das auch zum Ausdruck bringen. Dazu gehört die faire Behandlung allen Mitarbeiter.

Handlungsempfehlungen 5:
Die IT-Organisation muss der neu gestalteten IT-Lieferkette angepasst werden. Die betroffenen Mitarbeiter müssen die neuen Abläufe verstehen.

Handlungsempfehlungen 6:
Die benötigte Funktionen für die Steuerungsorganisation müssen aufgebaut und Mitarbeiter entsprechend qualifiziert werden. Der Wissenstransfer ist sicher zu stellen.

Handlungsempfehlungen 7:
Zwischen Kunden, der IT-Abteilung und dem Provider sollte eine Kultur des partnerschaftlichen Arbeitens auf Augenhöhe etabliert werden.

Die Leistungsbeschreibung

Der zentrale Inhalt des Outsourcing-Vertrags ist die Leistungsbeschreibung. Sie muss so konkret wie möglich formuliert sein, denn der Detaillierungsgrad entscheidet maßgeblich über den Erfolg des Projekts. Je nachdem, ob der Auftraggeber nur eine bestimmte Anwendung oder beispielsweise eine gesamte IT-Infrastruktur beziehen will, sehen die Anforderungen an die Leistungsbeschreibung unterschiedlich aus. Die Art der Leistung entscheidet außerdem über den Vertragstyp ( Werkvertrag, Dienstvertrag, Miete) sowie über das anwendbare Gesetzesrecht.

• Ist die Leistungsbeschreibung technisch und rechtlich durchdacht, und spiegelt sie den Bedarf des Unternehmens wider?

• Ist die Leistungsbeschreibung verständlich formuliert und logisch unterteilt?

• Bildet die Leistungsbeschreibung den Zusammenhang zwischen Leistung, Preis und Service-Level ab?

• Verpflichtet die Leistungsbeschreibung den Anbieter zu Unterstützungsleistungen bei Vertragsende?

• Sofern Leistungen in verschiedenen Ländern abrufbar sind - wurden nationale Besonderheiten (Datenschutzrecht!) berücksichtigt?

• Sieht die Leistungsbeschreibung ein Verfahren für Vertragsänderungen ("Change Requests") vor?

Die Leistungserbringung des Providers sollte zu jedem Zeitpunkt für den Kunden transparent sein, rät Leclerque. Das bedeute aber nicht, dem Provider im Detail vorzuschreiben, wie er die Leistungen erbringen müsse. Viele Provider bieten heute Plattform-basierende Dienstleistungen an, die sich stark auf standardisierte Technologien, Architekturen und Prozesse stützen. Diese "cloudifizierten" Angebote bedeuten für den Kunden beispielsweise günstigerer Kosten, Rückgriff auf Best Practices und erhöhte Flexibilität. Dafür verzichte er ein Stück weit darauf, Einfluss auf das "Wie" der Leistungserbringung zu nehmen.

Service-Level-Agreements

Die Service-Level-Vereinbarung definiert die Leistung über qualitative und quantitative Leistungskriterien, auch KPIs genannt (Key Performance Indicators). Sie sieht Verfahren vor, mit denen sich prüfen lässt, ob die Service-Levels erfüllt sind. Zudem regelt sie die Folgen der Nichterfüllung. Jedem Auftraggeber dürfte daran gelegen sein, die ausgelagerte Leistung wie vereinbart zu erhalten. Nicht- oder Schlechterfüllung sollte die Ausnahme sein. Kommt es aber doch zu einer mangelhaften Leistung, so ist es aus Sicht des Auftraggebers wichtig, dass er sich vom Vertrag ganz oder teilweise lösen kann, um die Leistung selbst zu erbringen oder einen anderen Service-Provider zu beauftragen.

Klassische Outsourcing-Verträge erlegen die Pflicht zur Prüfung der Service-Levels meist dem Anbieter auf. Er berichtet die Prüfergebnisse im Rahmen eines Reporting-Verfahrens an den Auftraggeber. Ein Anbieter von Cloud-Services kann das nur schwer leisten, weil die IT-Ressourcen gerade nicht einem bestimmten Auftraggeber zugeordnet sind. Deshalb weisen Cloud-Verträge hier eine Besonderheit auf: Der Auftraggeber bleibt für das SLA-Monitoring verantwortlich. Zu checken ist:

• Enthalten die SLAs klare Definitionen der KPIs sowie Messmethoden und Indikatoren?

• Steht das unternehmerische Interesse an einer ordnungsgemäßen Leistung im Vordergrund (also nicht die Rechtsfolgen der Schlecht- beziehungsweise Nichtleistung)?

• Sehen die SLAs Überwachungs- und Berichtsverfahren in Bezug auf die KPIs vor?

• Regeln die SLAs dezidiert Folgen der Nichterfüllung (zum Beispiel Minderung, Schadensersatz, Sonderkündigungs- und Step-in-Rechte)? Ist also sichergestellt, dass Schadensersatzansprüche nicht das ausschließliche Rechtsmittel im Fall mangelhafter Leistung sind?

• Enthalten die SLAs Ausnahmeregelungen (beispielsweise für Force Majeure und Wartung)?

Wie Leclerque zu bedenken gibt, macht das Modell der "Hosted Private Cloud" nach wie vor das Gros des heutigen Cloud-Markts aus. Hier kommen zwar typische Cloud-Charakteristiken, zum Beispiel Ressourcen-Sharing, zum Tragen, doch das SLA-Management ähnelt eher dem des traditionellen Outsourcing. Deshalb sollte hier logischerweise auch der Provider für das Monitoring und Reporting der KPIs verantwortlich sein. In den "cloudifizierten" Angeboten der etablierten Outsourcing-Provider sind die KPIs häufig Grundlage für die nutzungsbasierte Abrechnung.

Checkliste für das Outsourcing
Anforderungskatalog, Eskalationswege, Provider-Steuerung - im Outsourcing gibt es viele Fallstricke. Die Experton Group nennt zwanzig Eckpunkte zur Gestaltung eines wasserdichten Service-Level-Agreements (SLAs).

9. Leistungserwartung:
Angaben zur Performance einzelner Komponenten bringen wenig. Leistungsangaben sollten sich auf das komplette System erstrecken. Das gilt etwa für Antwortzeiten und Durchsatzrate.

1. Systembeschreibung:
Die Anforderungen an einen Service sollten detailliert beschrieben werden. Das ist in der Regel Aufgabe der Anwender. Je exakter die Beschreibung ist, desto weniger Probleme gibt es im Betrieb.

2. Gültigkeitszeitraum für die SLAs:
Jeder Leistungsschein muss einen Anfang und ein Ende enthalten. Leistungsscheine, die während der Vertragslaufzeit zusätzlich abgeschlossen werden, sollten mit dem Rahmenvertrag enden.

3. Hauptrollen in dem SLA:
Die Rollen- und Rechtematrix ist ein Regelwerk, das festlegt, wer für welche Aufgaben zuständig ist. Dabei geht es um Zuständigkeiten, Verantwortung, Mitwirkungs- und Informationspflicht. Zusätzlich sollten die Rollen im Rahmen der Zusammenarbeit definiert werden.

4. Nutzerzufriedenheit:
Die Anwender und nicht die Technik stehen bei der Definition der Service-Parameter im Vordergrund. Deshalb sollten KPIs so gewählt werden, dass sie die Erwartungen des Nutzers widerspiegeln. Zu diesem Zweck kommen Messmethoden auf Anwendungs-Level zum Einsatz.

5. Verfügbarkeit:
Die Verfügbarkeit nennt Zeiten, in denen der Endanwender den Service nutzen kann. Der Mail-Services muss oft rund um die Uhr laufen, der Hotline-Support orientiert sich zumeist an Bürozeiten.

6. Geplante Ausfallzeiten:
Für die Wartung und für Notfallübungen müssen geplante Ausfallzeiten außerhalb der Servicezeiträume vereinbart werden.

7. Serviceschnittstellen:
Für den Servicebetrieb sind Schnittstellen zu anderen IT-Diensten sowohl eingangs- als auch ausgangsseitig erforderlich. Die Wechselwirkungen müssen untersucht und beschrieben werden.

8. Zuverlässigkeit:
Mit diesem Parameter wird gemessen, wie häufig ein System ausfällt und wie lange es dauert, bis der Service in der vereinbarten Güte wiederhergestellt ist. Im Gegensatz zur Verfügbarkeit, die über eine definierte Zeitstrecke gemessen wird, lässt sich die Zuverlässigkeit fallweise ermitteln.

10. Problem-Reporting und -lösung:
Ein wesentlicher Grundsatz ist, dass der Service nur dann als erbracht gilt, wenn der erfolgreiche Betrieb auch berichtet wird. Deshalb sollte zu jedem KPI das Messverfahren definiert und der Umfang des Reporting festgelegt werden.

11. Benachrichtigungs- und Eskalationswege:
Gibt es Probleme, müssen die Eskalationswege bekannt sein. Darüber hinaus sollten Dienstleister frühzeitig auf mögliche Gefahren hinweisen, selbst wenn KPIs noch eingehalten werden.

12. Wartung:
Die Wartungszyklen der IT-Systems sind einzuhalten. Insbesondere für automatische Updates gilt es, ein Verfahren zu definieren, das die betrieblichen Anforderungen des Kunden unterstützt.

13. Wachstum und Veränderungen:
Für seine Planungssicherheit benötigt der Dienstleister Angaben zum erwarteten Wachstum. Sind Veränderungen absehbar (etwa SAP-Release), sollten SLAs dazu vereinbart werden. Sind künftige Anforderungen hingegen unbekannt, kommt es auf Change-Prozesse an.

14. Backup und Wiederherstellung:
Jedes System benötigt Backup- und Recovery-Prozesse. Dazu gehört auch geeignetes Personal, so dass die Service-Levels auch dann eingehalten werden, wenn Mitarbeiter ausfallen. Das gilt auch für die Migrationsphase.

15. Archivierung und Datenspeicherung:
Dienstleister müssen die gesetzlichen und betrieblichen Archivierungsregeln erfüllen. Der Datenzugriff ist regelmäßig zu überprüfen. Ein Archivierungskonzept muss auch die Speichersysteme umfassen.

16. Business-Recovery und -Continuity:
Die Notfallplanung beinhaltet einen Maßnahmenkatalog für den Schadensfall und beschreibt die Auswirkungen auf Geschäftsprozesse. Zusätzlich sollte eine Risikobewertung den möglichen Schaden klassifizieren.

17. Security:
Alle Maßnahmen rund um die Sicherheit, die in diesem Service beachtet werden müssen, sollten aufgeführt werden. Oft existieren IT-Sicherheitskonzepte, die Regelungen für solche Fälle enthalten.

18. Regelmäßige Lagebesprechung:
In der Migrationsphase ist eine intensive Kommunikation zwischen Kunde und Dienstleister wichtig. Zudem sollten im Rahmen regelmäßiger Reviews - in der Regel monatlich - KPIs überprüft werden.

18. Regelmäßige Lagebesprechung:
In der Migrationsphase ist eine intensive Kommunikation zwischen Kunde und Dienstleister wichtig. Zudem sollten im Rahmen regelmäßiger Reviews - in der Regel monatlich - KPIs überprüft werden.

19. Unterschrift:
Mit dem Unterzeichnen des SLA-Dokuments übernimmt der Dienstleister die Verantwortung für die ausgelagerten Services.

20. Kontinuierliche Administration:
Unmittelbar nach Vertragsbeginn startet auch die permanente Kontrolle durch den Kunden. Dazu zählen die Berichte und Abrechnungen. Ein vertraglich vereinbarter Zugang zum Reporting-System des Providers kann Prüfungen vereinfachen.

Vergütung

Vergütungsmodell und Leistung müssen aufeinander abgestimmt sein. Für Cloud-Verträge kommen insbesondere Fixpreis (feste Zahlung pro Abrechnungseinheit) und "Pay-per-Use" (Zahlung für die abgerufene Leistung) in Betracht. Sie lassen sich auch unternehmensspezifisch kombinieren. Allgemein gilt: Je länger die Laufzeit eines Projekts, desto flexibler die Vergütungsregelungen.

• Im Fall einer Festpreisvereinbarung: Enthält die Leistungsbeschreibung alle Elemente der benötigten Leistung? (Andernfalls entstehen Zusatzkosten, da das Unternehmen benötigte Dienste zusätzlich beauftragen und vergüten muss.)

• Im Fall einer Vergütung auf Basis der abgerufenen Leistungen: Stellen die Regelungen zur Vergütung sicher, dass die Kostenschätzung des Anbieters so genau wie möglich ausfällt? (Budgetüberschreitungen können beispielsweise in den SLAs berücksichtigt werden.)

• Sieht die Vergütungsklausel Regelungen zur Preisanpassung vor?

• Passen das gewählte Abrechnungsmodell (Vorauszahlung, Abschlagzahlung etc.) und die Rechnungslegungspflicht zur Vergütungsvereinbarung zueinander?

Gängige Outsourcing-Preismodelle unterscheiden sich insbesondere in der Aufteilung des (Planungs-)Risikos zwischen Kunde und Anbieter sowie in der Granularität der Preiseinheit, erläutert Leclerque. Sie umspannen die ganze Palette von Technologie- über Service- bis zu Geschäftsprozess-bezogenen Preiskomponenten.

Ein wichtiger Aspekt bei der Wahl des Preismodells ist aus Sicht des Unternehmensberaters eine geeignete Incentivierung des Anbieters, damit er im Laufe der Zusammenarbeit die Effizienz und/oder Qualität der Leistungserbringung ständig erhöht. Zum Beispiel könnte der Provider von einem Rückgang der Ticket-Zahl profitieren; ein reines "Preis-pro-Ticket"-Modell ist weniger geeignet.

Trotz des allgegenwärtigen Cloud-Trends sollte der Auftraggeber genau abwägen, wie flexibel Leistungserbringung und Abrechnung tatsächlich sein müssen, so Leclerque weiter. Höhere Flexibilität für den Kunden bedeute in der Regel geringere Planungssicherheit für den Anbieter. Damit steige dessen Risiko, was sich eventuell negativ auf den Preis auswirke.

Benchmarking

In Verträgen über langfristige Outsourcing-Projekte darf die Benchmarking-Klausel nicht fehlen. Der Begriff Benchmarking bezeichnet hier ein standardisiertes Verfahren zur Überprüfung und Anpassung des Vertrags während seiner Laufzeit. Auf diese Weise lässt sich die Wettbewerbsfähigkeit der vereinbarten Leistung im Verhältnis zur Vergütung über einen längeren Zeitraum sicherstellen:

• Regelt die Benchmarking-Klausel Form, Bedingungen und Zeitpunkt des Benchmarkings?

• Legt sie die Folgen des Benchmarkings für Leistungen und Vergütung fest?

• Gibt sie an, ob alle beziehungsweise welche konkreten Leistungen Gegenstand der Überprüfung sein sollen?

• Trifft sie Regelungen darüber, mit welchen Vergleichsparametern und Vergleichsgruppen das Benchmarking vorgenommen werden soll?

• Ordnet sie Verantwortungen und Kostenlast zu?

• Sieht sie ein Verfahren zur Streitbeilegung vor?

11 Outsourcing-Trends für 2011
IT-Chefs müssen 2011 aufpassen, dass Fachabteilungen nicht eigenmächtig über IT-Outsourcing entscheiden. Dieser und zehn weitere Outsourcing-Trends.

1. Kleinere Verträge:
Wer IT auslagert, schließt lieber kleinere Verträge ab. Das ist nicht neu, aber Overby erwartet, dass Service Provider neue Versuche unternehmen werden, ihren Kunden doch noch weitere Leistungen zu verkaufen.

2. Suche nach verstecktem Geld:
In vielen Verträgen stecke irgendwo "ein Topf Gold", so Outsourcing-Experte Mark Ruckman. CIOs spürten dieses Geld stärker als bisher auf, was konkret heißt: Sie untersuchen, ob weniger Leistung als erwartet geliefert wurde oder ob an irgendeiner Stelle zu viel bezahlt wurde.

3. Neue Impulse durch Cloudsourcing:
Cloud-Anbieter wie Amazon, Google und Rackspace treffen traditionelle Service Provider wie IBM oder HP da, wo es weh tut, so Overby. Das wird 2011 Bewegung in den Markt bringen.

4. Fachabteilung versus CIO:
Glaubt man CIO.com, entscheiden Fachabteilungen immer öfter selbst über Outsourcing-Vorhaben. CIOs müssen aufpassen, dass ihnen nicht das Heft aus der Hand genommen wird.

5. Standards statt kundenspezifischer Anpassung:
Immer mehr Unternehmen setzen auf Standards statt Customization. Hintergrund ist der Wunsch, die IT benchmarken zu können.

6. Neuer Blick auf Preise:
Preisdrücken allein wird CIOs im Gespräch mit Service Providern nichts nützen, so Overby. Sinnvoller sei, über Liefermodelle und Strukturen des Vertrags zu sprechen. Was Cloud Computing angeht, erwartet sie, dass Preis-Modelle reifen, sprich: transparenter werden.

7. Mega-Merger immer wahrscheinlicher:
Ost und West nähern sich an - CIO.com glaubt, dass 2011 ein Merger zwischen einem indischen IT-Dienstleister und seinem US-amerikanischen Gegenpart stattfinden wird. Das heißt auch: Preissenken ist bei indischen Service Providern heute nicht mehr zu machen - sie müssen die Qualität steigern, um sich zu behaupten.

8. China, Brasilien und Ägypten gewinnen Land:
Indiens Entwicklung lässt der Konkurrenz aus China, Brasilien und Ägypten Raum. Sie rücken als Offshoring-Standorte immer stärker in den Fokus.

9. Viel Lärm um Protektionismus:
Diese These bezieht sich insbesondere auf die USA. Overby erwartet, dass US-Politiker wegen der Arbeitslosigkeit im eigenen Land viele Reden protektionistischen Inhalts schwingen werden - mit wenig Folgen.

10. Mehr Automation:
Als Folge preissensibler Kunden setzten Service-Provider zunehmend auf Automation.

11. Die Folgen der Arbeitsmigration:
Die Verlagerung der IT-Arbeit in Niedrig-Lohn-Länder wird ab 2011 Folgen zeigen. Diese äußern sich in sinkender Qualität und Verständigungsproblemen.

Haftung

Die Haftung ist meist der kritischste und sensibelste Punkt in der Verhandlung eines IT-Outsourcing-Vertrags. Hier ist Fingerspitzengefühl gefordert. Der Outscourcing-Provider will sein unternehmerisches Risiko minimieren und wird deshalb regelmäßig darauf drängen, Beschränkungen oder gar Ausschlüsse der Haftung im Outsourcing-Vertrag durchzusetzen. Die Interessen des beauftragenden Unternehmens sind entgegengesetzt. Das Verhandlungsziel sollte also ein interessengerechtes Haftungsregime sein, das für beiden Seiten akzeptable Haftungsbeschränkungen vorsieht.

• Enthält die Haftungsbeschränkung klare Ausnahmen - mindestens für Vorsatz, Personenschäden, Verletzung geistiger Eigentumsrechte sowie Geheimhaltungspflichten)?

• Entspricht das Haftungsregime den gängigen Industriestandards? In aller Regel wird eine summenmäßige Haftungsbegrenzung vereinbart, die üblicherweise über einen Prozentsatz des Auftragswertes abgebildet ist; die Höhe des Prozentsatzes ist Verhandlungssache.

• Sieht das Haftungsregime Freistellungsansprüche des Auftraggebers für die Verletzung geistiger Eigentumsrechte sowie der Geheimhaltungspflichten vor?

• Sind Mitwirkungs- und Benachrichtigungspflichten des Anbieters als Voraussetzung für eine eventuelle Haftungsfreistellung geregelt?

• Entspricht die Haftungsklausel den Anforderungen des auf den Vertrag anwendbaren Gesetzesrechts? Beispielsweise unterscheidet sich das Haftungsregime nach anglo-amerikanischem Recht substanziell von deutschem Haftungsrecht.

Juristische Checkliste für 2011
Die Practise Group Technology & Sourcing der internationalen Wirtschaftskanzlei DLA Piper aus München hat zusammengetragen, welche rechtlichen Hausaufgaben die Unternehmens-IT für das kommende Jahr zu erledigen hat.

1. Projektverträge interdisziplinär aufsetzen
Verträge sollten so konzipiert sein, dass die Leistungen des Auftragnehmers sowie die jeweiligen Mitwirkungsleistungen beider Partner klar definiert sind. Damit ein Interessensausgleich aller Parteien innerhalb eines knappen Zeitfensters möglich wird, gehören kaufmännische, technische und auch rechtliche Entscheider schon in der Projektierungsphase an einen Tisch.

2. Cloud Computing: Datensicherheit hat Priorität eins
Experten erwarteten für 2011 den zunehmenden Einsatz von Cloud-Diensten. Im Hinblick auf die Sicherheit werden die beteigten Parteien entsprechende Service-Levels vereinbaren. Diese lassen sich leichter einhalten, wenn die Daten nicht in eine Public Cloud, sondern in die Private Cloud ausgelagert werden.

3. Cloud Computing: Risiko Datenmigration
Beim Cloud Computing sollten sich die Parteien schon bei Vertragsbeginn auf das Datenformat und die Art und Weise der Rückgabe sowie über die damit verbundenen Kosten einigen. Geht der Vertrag erst einmal zu Ende und ist für den Anbieter erkennbar, dass eine Datenmigration auf ein anderes System bevorsteht, so wird seine Kooperationsbereitschaft niedrig sein.

4. Cloud Computing: Speichern der Daten außerhalb des EWR
Unternehmen, die Dienste von Cloud-Anbietern in Anspruch nehmen, sollten unbedingt prüfen, in welchem Land die personenbezogenen Daten gespeichert werden und ob der Anbieter das vom deutschen Datenschutzrecht geforderte Schutzniveau gewährleistet.

5. Der Handel mit gebrauchter Software
Im Frühjahr 2011 wird der Bundesgerichtshof darüber entscheiden, ob und unter welchen Voraussetzungen der Handel mit gebrauchter Software und Softwarelizenzen aus zweiter Hand rechtmäßig ist. Die Unternehmen könnten dann ihre Beschaffungsvorgänge daran ausrichten.

6. Arbeitnehmerdatenschutz: Vorsicht beim grenzenlosen Datentransfer
Beim grenzüberschreitenden Datentransfer sollten die betroffenen Unternehmen 2011 auf die strengen Anforderungen des deutschen Arbeitnehmerdatenschutzes achten. Das deutsche Datenschutzrecht macht die rechtmäßige Übermittlung personenbezogener Daten an eine andere Konzerngesellschaft von denselben Voraussetzungen abhängig wie die Übermittlung an einen fremden Dritten.

7. Compliance: geschäftliche Nutzung sozialer Netzwerke
Im kommenden Jahr müssen sich die Unternehmen gezielt mit Social Media auseinandersetzen. Sie sollten festlegen, in welcher Form sich ihre Mitarbeiter "geschäftlich" in sozialen Netzwerken bewegen dürfen. Am besten ist es, gemeinsam mit dem Betriebsrat interne Richtlinien zu erstellen.

8. Outsourcing: mehr Provider, mehr Risiken
Je zersplitterter die Provider-Landschaft, desto größer die rechtlichen Risiken. Daher ist darauf zu achten, die Schnittstellen sauber zu definieren und Klarheit über die jeweiligen Verantwortlichkeiten zu schaffen. Bei einer Multi-Vendor-Strategie müssen Outsourcing-Verträge auf etwaige Schwachstellen untersucht und gegebenenfalls nachverhandelt werden.

Nutzungsrechte und Schutz des geistiges Eigentums

Der Outsourcing-Vertrag sollte die bestehenden geistigen Eigentumsrechte (Urheberrechte, Markenrechte, Patente etc.) vor unbeabsichtigter Übertragung schützen. Die Vertragsparteien müssen demzufolge sicherstellen, dass die gegenseitig eingeräumten Rechte nicht über das zur Vertragserfüllung erforderliche Maß hinausgehen. Gleichzeitig ist es notwendig, gewisse Nutzungsrechte einzuräumen, ohne die eine Vertragserfüllung nicht möglich ist. Wichtig sind hier insbesondere Nutzungsrechte an Software.

Welche Rechte im Einzelnen eingeräumt werden müssen, hängt vom konkreten Nutzungsbedarf ab. Immer zu treffen sind Regelungen zum inhaltlichen (wie darf die Software genutzt werden und durch wen?), zeitlichen (wie lange darf sie genutzt werden?) und räumlichen (Deutschland, Europa, weltweit?) Nutzungsumfang. Vor allem die Cloud-Anbieter müssen unter Umständen gewährleisten, dass sie berechtigt sind, die Software in allen Ländern zu verwenden, in denen die Cloud zum Einsatz kommt.

• Sind die zum Zeitpunkt des Vertragsschlusses bestehenden geistigen Eigentumsrechte ausreichend vor unbeabsichtigter Übertragung geschützt?

• Wird im Rahmen der Leistungserbringung von dem Provider entwickeltes geistiges Eigentum auf das Kundenunternehmen übertragen oder lizenziert?

• Gewährleistet der Anbieter, dass er befugt ist, solche Rechte im Rahmen des Vertrags einzuräumen? Und stellt er das Unternehmen von Verletzungen der Eigentumsrechte Dritter umfassend frei?

• Decken die eingeräumten Nutzungsrechte die inhaltlichen, zeitlichen und räumlichen Bedürfnisse des Unternehmens ab?

Dazu noch einmal der Unternehmensberaten Leclerque: "Angesichts des besonders strikten deutschen und europäischen Datenschutzgesetzes sollte nicht nur das geistige Eigentum geschützt, sondern auch sehr genau beachtet werden, welche Art von Daten im Sinne der Auftragsdatenverarbeitung an einen externen Provider übermittelt werden und welchen spezifischen gesetzlichen Regelungen diese eventuell unterliegen." Geklärt werden müsse, wo die Daten geografisch verarbeitet werden und wie die Zugriffsrechte geregelt seien. Das gelte vor allem bei der Verarbeitung personenbezogener oder persönlicher Daten, etwa von Mitarbeitern, Kunden oder Lieferanten.

Exit-Management

Eine gute Planung berücksichtigt bereits zu Beginn eines Projektes dessen Ende. Gerade im Zusammenhang mit Cloud-Services ist es unverzichtbar, Rechte und Pflichten der Parteien im Fall einer Vertragsbeendigung - sei es durch Zeitablauf oder Kündigung - detailliert zu regeln. Um dem auslagernden Unternehmen eine reibungslose Übertragung der Leistungen auf einen anderen Anbieter oder eine Rückführung in den eigenen Betrieb zu ermöglichen, muss der Provider Unterstützung erbringen. Die Verantwortlichkeiten der Parteien im Zusammenhang mit der Vertragsabwicklung sollten in einem Exit-Plan festgehalten werden.

• Enthält der Exit-Plan eine Beschreibung der Exit-Leistungen, beispielsweise Verpflichtung, mit einem neuen Anbieter zusammenzuarbeiten, Unterlagen zur Verfügung zu stellen, Trainings für Personal des Kunden oder des neuen Anbieters zu veranstalten, Nutzungsrechte über das Vertragsende hinaus einzuräumen oder benötigte Verträge mit Subunternehmern zu übertragen?

• Sieht der Exit-Plan ein ausreichendes Kontingent an Projekttagen für unvorhersehbare Szenarien vor?

• Regelt er, ob beziehungsweise welche Exit-Leistungen gesondert zu vergüten sind?

• Ordnet er Verantwortlichkeiten den Parteien eindeutig zu?

• Führt er die zu übertragenden Assets (Maschinen, Verträge mit Subunternehmern etc.) einzeln auf?

• Berücksichtigt er die gesetzlichen Regelungen zum Betriebsübergang gemäß Paragraf 613a BGB?

Wie Leclerque ergänzt, sollte ein Exit-Plan neben dem Szenario des Anbieterwechsels auch eine Insolvenz des Providers oder dessen Übernahme durch ein anderes Unternehmen berücksichtigen.

Lohnt sich der Outsourcing-Partner-Tausch
Bei Unzufriedenheit unbedacht den Dienstleister zu wechseln ist gefährlich. Zu prüfen sind unter anderem Laufzeit, Folgekosten und Optionen wie Multisourcing.

1. Die Gründe für das Outsourcing nochmals überprüfen:
"Rufen Sie sich die Gründe dafür zurück, warum Sie sich ursprünglich zum Auslagern entschieden haben", rät Edward J. Hansen von der Anwaltskanzlei Baker & McKenzie. Wenn diese Gründe immer noch gelten, reicht es, sich einen neuen Dienstleister zu suchen. Falls nicht, muss die ganze Strategie überdacht werden - und das Unternehmen entschließt sich möglicherweise zum Insourcing.

2. An die Vertragslaufzeiten denken:
Wer den Anbieter wechseln will, tut das am Besten, wenn das bisherige Abkommen ausläuft. Die Zusammenarbeit während der Laufzeit zu beenden, ist nur in dringenden Fällen ratsam.

3. Den Vertrag genau studieren:
Es kann Streit ums Geld geben, wenn ein Vertrag vorzeitig beendet werden soll. Schon aus diesem Grund muss der bestehende Vertrag genauestens unter die Lupe genommen werden. Wer geschickt ist, baut in künftige Abkommen ein, in welcher Weise ein Dienstleister den Kunden bei einem Provider-Wechsel unterstützen muss.

4. Wiederverhandeln kann sinnvoller sein als Aussteigen:
Ein Anbieterwechsel kann sich kompliziert gestalten. Wer das vermeiden will, sollte den bestehenden Vertrag lieber neu verhandeln. Entscheider müssen die eigenen Motive für den Wunsch nach einem Wechsel überprüfen.

5. Den bestehenden Dienstleister durchleuchten:
Dieser Punkt knüpft an den vorhergehenden an. Wenn der Grund für den Wechsel-Wunsch darin liegt, dass der Dienstleister schlechte Qualität liefert, muss sich auch der Kunde nach den Gründen dafür fragen. Ein offenes Gespräch kann in Neu-Verhandlungen statt im Wechsel enden.

6. Es wird Ärger mit dem Faktor Mensch geben:
Wenn Mitarbeiter des neuen Dienstleisters ins eigene Unternehmen kommen, kann es zu zwischenmenschlichen Reibereien kommen. Das darf nicht unterschätzt werden.

7. Beim Wechsel mit unproblematischeren Teilen beginnen:
Rechenzentrum-Services oder Disaster Recovery bieten sich als Erstes an, wenn der Dienstleister gewechselt werden soll. Generell gilt: Nicht mit dem Kompliziertesten anfangen!

8. Die Kosten eines Wechsels kalkulieren:
Wer durch den Wechsel des Anbieters Kosten senken will, muss bedenken, dass die Neu-Organisation des Outsourcings selbst auch Geld kostet. Diese Ausgaben müssen gegen mögliche Einsparungen abgewogen werden.

9. Multisourcing als Alternative:
Wer das bisherige Abkommen auflösen will, zielt meist auf Multisourcing ab, statt sich wieder für einen einzigen Anbieter zu entscheiden. Das ist zumindest die Beobachtung von Jeffrey Andrews (Anwaltskanzlei Thompson & Knight). Entscheider sollten sich des damit verbundenen Zeitaufwandes bewusst sein.

10. Aus den eigenen bisherigen Fehlern lernen:
Das vielleicht Wichtigste ist, die eigenen Erfahrungen festzuhalten, um beim nächsten Mal daraus zu lernen.

COMPUTERWOCHE-Kommentar

Vor zwei oder drei Jahrzehnten hatte ein IT/Org.- Leiter "früher mal" etwas ganz anderes gemacht: Häufig entstammte er der Linienorganisation des jeweiligen Unternehmens, war beispielsweise Versicherungsmathematiker oder Ingenieur mit einer gewissen Affinität zur Science-Fiction, bevor der Vorstand ihn ausguckte, um den Betrieb informationstechnisch zu unterstützen. Der Vorteil lag auf der Hand: Der designierte IT-Chef kannte das Unternehmen und zumindest ein oder zwei seiner wichtigsten Prozesse.

Außergewöhnlich häufig fanden - und finden - sich auch promovierte Physiker in leitender IT-Position wieder. Das verwundert kaum. Liebt doch die Gattung des Physicus Vulgaris das abstrakte Denken, wie es Computer im vergangenen Jahrhundert in Reinkultur verkörperten. Zudem sind Physiker im Allgemeinen jeglicher Hysterie abhold, was sich vor allem im Falle des (Systemaus-) Falles als ausgesprochen nützlich erweist.

Der "studierte CIO" ist auch heute noch eine Seltenheit. Reinen Informatikern ist der Karrierepfad "CIO" wohl eher suspekt. Sie widmen ihr Leben lieber der Suche nach dem Ideal-Code. Zudem stellte sich spätestens in den 90er-Jahren heraus, dass ein Studium der Betriebswirtschaft eine mindestens ebenso sinnvolle Vorbereitung auf den CIO-Beruf ist. Besser noch: ein Abschluss in Wirtschaftsinformatik.

Allerdings kann man mit solch einem Studium auch direkt von der Uni als Berater einsteigen. Das heißt, viel früher und mit weniger Verantwortung in etwa genauso viel Geld verdienen. Vielleicht liegt es daran, dass sich in den Reihen der CIOs immer noch viele Quereinsteiger finden.

Eine Profession ist dort allerdings kaum vertreten. Eine, die zu vielem befähigt, was ein CIO heute können muss: Compliance, IT-Governance, Security-Maßnahmen, Vertrags-Management, Prozesse ... ja, ja, der Witz ist faul. In jedem CIO steckt heute zwangsläufig ein wenig von einem Juristen. Wo sind die gelernten Juristen im CIO-Sessel?

(Dieser Beitrag wurde von der ChannelPartner-Schwesterpublikation Computerwoche übernommen / rb)