IT-Outsourcing ist die Übertragung des Betriebs der IT an einen externen Provider und mit vielschichten rechtlichen Problemen behaftet. Hier soll die Relevanz für Compliance ebenso dargestellt werden wie die daraus resultierenden rechtlichen Anforderungen. Insbesondere IT-Serviceprovider müssen beim IT-Outsourcing anhand von Zertifizierungen die Compliance ihrer IT-Systeme nachweisen und Kunden müssen nachweisen, dass sie die Anbieter sorgfältig ausgewählt haben.
Rechtliche Rahmenbedingungen des IT-Outsourcing
- Zu Beginn der Verhandlungen sollte eine Verschwiegenheitsvereinbarung (NDA) geschlossen werden. Dies dient auch dem eigenen Know-How Schutz.
- Der IT-Outsourcing-Vertrag: Der Kernvertrag, der mindestens 50 – 100 Seiten betragen wird und die Leistungen im Detail (über Service Level Agreements) regelt. Auch die Haftungsbeschränkungen bilden einen wichtigen Komplex. Neben allgemeinen Schuldrecht sind eine Vielzahl IT-rechtlicher Fragestellungen zu beachten
- Arbeitsrecht: Erfolgt ein Betriebsübergang gem. § 613a BGB? Dies muss sauber geprüft werden und der Vertrag entsprechend angepasst werden.
- Datenschutzrecht: Im Idealfall wird eine Auftragsdatenverarbeitungsvereinbarung abgeschlossen, um dem Datenschutzrecht zu genügen. Regelmäßig ist jedoch zu prüfen, ob eine Funktionsübertragung angenommen werden könnte. Dazu muss ein Audit beim Anbieter des IT-Outsourcing Anbieters durchgeführt werden.
Zertifizierungsmodelle beim IT-Outsourcing
Die Erfüllung dieser Regeln sollte bzw. muss teilweise nachgewiesen werden. Dies gilt insbesondere für externe Serviceprovider, für die eine Zertifizierung der Einhaltung bestimmter Sicherheitsstandard sinnvoll sein kann. Ebenso gibt es gesetzlich geregelte Pflichten für den Kunden, z.B. muss der Auftraggeber nach dem BDSG sich vergewissern, dass der Auftragnehmer die gesetzlichen Regelungen einhält. Dies kann die Aufsichtsbehörde überprüfen und bei mangelhafter Kontrolle oder Dokumentation ein Bußgeld verhängen.
Eine Auswahl möglicher Zertifizierungsmodelle:
- IDW PS 331
- IDW PS 951
- SAS 70
- ISO/IEC 17799
- ISO/IEC Standard 27001:2005
- BSI-IT-Grundschutzhandbuch
Die zu beachtenden (regulatorischen) Anforderungen sind vielfältig und kaum zu überblicken, da aus völlig unterschiedlichen Rechtsquellen stammend, so reichen diese von SOX/EG-Richtlinien über das BDSG bis zu Standards des Instituts der Wirtschaftsprüfer; näheres dazu finden Sie [hier]. Zudem gibt es eine Vielzahl von Referenzmodellen. Die entwickelten deutschen Modelle konnten sich international nicht durchsetzen. Eines der derzeit meist verwendeten Modelle ist das “Control Objectives for Information and related Technology” (CoBiT), welches sehr praktikabel und weltweit akzeptiert ist. Es betrifft universell anwendbare IT-prozessbezogene Kontrollziele, die zum Erreichen von verlässlicher Anwendung der IT umgesetzt werden sollten.
Wahrung der Compliance beim IT-Outsourcing
Diese beschriebenen Rahmenbedingungen müssen bei Outsourcing-Projekten umgesetzt werden, wobei die Reichweite natürlich je nach Größe der Unternehmen und Umfang des Outsourcings variiert. Dabei sollte sich ein vollständiges und vertrauensvolles Zusammenwirken zwischen Serviceprovider, Kunden, deren Wirtschaftsprüfern sowie deren Rechtsanwälten ergeben.
Grundsätzlich sind die Prüfer des Kunden für die Prüfung des Gesamtsystems verantwortlich. Auch die Schnittstellen zwischen den internen und den ausgelagerten IT-Prozessen müssen überprüft werden. Die Kombination von Rahmenverträgen und spezifischen Service Level Agreements (SLA) bildet die zentrale Schnittstelle zwischen den Outsourcing-Partnern.