IT-Outsourcing, also das Abgeben der eigenen IT-Infrastruktur an einen externen Anbieter, ist ein viel diskutiertes Thema in der Geschäftswelt. Um eigene Kapazitäten auf das Kerngeschäft zu fokussieren, die IT aber trotzdem effizient betreiben und ausschöpfen zu können, nutzen bereits viele Unternehmer die Leistungen von Outsourcing-Anbietern.
Dabei muss jedoch besonders aufmerksam vorgegangen werden, denn Risiken können hier schnell zu einer Geschäftsbedrohung werden, warnt die LKC-Gruppe, eine der führenden Wirtschaftsprüfungs- und Steuerberatungsgesellschaften in Deutschland.
Mit dem Auslagern der IT gibt das Unternehmen seine Kontrolle weitgehend aus der Hand und eröffnet einem Dritten Zugang zu sensiblen Daten wie Kunden- und Projektinformationen oder Geschäftsgeheimnisse. Dabei sind seien Datendiebstahl und das Verletzen von Vertraulichkeitsbestimmungen gegenüber den eigenen Kunden immer ein mögliches Risiko. Geht es um wichtige firmeninterne und schützenswürdige Daten, sollte der Unternehmer nur einen vertrauensvollen Dienstleister beauftragen, der nachweislich über entsprechende Erfahrungen und Infrastrukturen verfügt, um die Unternehmensanforderungen, auf der Grundlage von verbindlichen Vereinbarungen, nachhaltig erfüllen zu können.
Die Höhe des Risikos hängt dabei auch vom Umfang der ausgelagerten Leistung ab. Während bei einer Auftragsdatenverarbeitung der Dienstleister in einer Art Hilfsfunktion für den Unternehmer agiert, übernimmt er bei einer Funktionsübertragung weitergehende, oft auch operative Aufgaben. Erstere umfasst zum Beispiel die Bereitstellung, Wartung und Pflege einer IT-Infrastruktur mit der zugehörigen Hard- und Software, Letztere darüber hinaus beispielsweise Abrechnungen, Lohnbuchhaltung oder die Waren- beziehungsweise Lagerwirtschaft.
Der Unternehmer, der seine IT abgibt, muss auf jeden Fall beachten, dass er trotz der Auslagerung weiterhin die Verantwortung für die ordnungsgemäße Datenverarbeitung und deren weitere Nutzung, beispielsweise für die sich daraus ergebende Rechnungslegung, trägt. Der Auftragnehmer darf ausschließlich im Auftrag des Unternehmers handeln. Dies sollte vertraglich fest geregelt sein. Bei einer Wirtschaftsprüfung wird auch geprüft, ob und inwieweit das Auftrag gebende Unternehmen dieser Verantwortung gerecht wird und den Dienstleister entsprechend steuert und überwacht.
Was Unternehmer bei der Vertragsgestaltung beachten müssen
Gegenstand und Umfang der zu erbringenden Leistungen klar definieren!
Nutzungsrechte und Schutz des geistigen Eigentums regeln!
Umfassende Prüfungs- und Kontrollrechte für das Unternehmen einräumen!
Bei Einsatz von Subunternehmern ein Mitspracherecht für den Auftraggeber festlegen!
Das Umsetzen neuer Anforderungen, insbesondere bei neuen gesetzlichen Bestimmungen, ermöglichen!
Kündigungs- und Sonderkündigungsrechte klar regeln!
Regelmäßige Berichterstattung des Outsourcing-Anbieters an den Auftraggeber festschreiben!
Um spätere Streitigkeiten und kostspielige Ergänzungen zu vermeiden, sollten die vereinbarten Leistungen so festgelegt werden, dass sie den Bedarf des Unternehmens decken. Der Umfang und der Detailgrad einzelner Regelungen sind von dem jeweiligen Unternehmen und dem notwendigem Schutz- und Kontrollbedarf abhängig. Es ist sinnvoll, in einem Rahmenvertrag zunächst standardisierte Rechte und Pflichten zu regeln. In sogenannten Leistungsscheinen werden dann die spezifizierten Einzelleistungen sowie die Standards der Leistungserbringung festgelegt.
Entsprechend den jeweiligen technischen, rechtlichen und betriebswirtschaftlichen Anforderungen des Unternehmens sollten Gegenstand und Umfang der Leistung präzise beschrieben werden. Auch Nutzungs- und Kontrollrechte des Unternehmens, der Einsatz von Subunternehmern, künftige Anpassungen an neue Anforderungen, Kündigungsrechte und geeignete Mess- und Prüfverfahren zur Leistungskontrolle sollten vertraglich detailliert geregelt sein.
Über die Autoren:
Peter Jordan ist Experte für IT-Risikomanagement und IT-Systemprüfung und besitzt langjährige Praxiserfahrungen in diesen Bereichen. Er ist als Partner bei der LKC-Gruppe verantwortlich für den Bereich Risiko-Management & Compliance und arbeitet seit über 25 Jahren mit Unternehmen aus unterschiedlichen Branchen in den Bereichen IT- Sicherheit, IT-Risikomanagement und IT-Projektmanagement zusammmen.
Agnieszka Czernik ist Rechtsanwältin spezialisiert auf IT-Recht und Datenschutz. Sie besitzt langjährige Praxiserfahrungen in diesen Bereichen. Nebenbei studiert sie Wirtschaftsinformatik (Bachelor of Science) an der FernUniversität Hagen. Die Fortbildung ermöglicht es ihr sowohl rechtlich als auch fachlich interdisziplinär an der Schnittstelle zwischen Recht und Technik zu beraten.
Die LKC Gruppe ist Mitglied von HLB Deutschland und berät an aktuell vierzehn Standorten in Bayern, unter anderem in München und Nürnberg, sowie in Berlin in allen Fragen der Wirtschaftsprüfung, Steuerberatung und des Rechts. Sie beschäftigt 350 Mitarbeiter, davon 88 Berufsträger, und bietet Full-Service für Unternehmer, Unternehmen, Freiberufler, aber auch für Stiftungen, Vereine und Kommunen an. Die LKC Gruppe hat 2014 ein Umsatz von 28 Millionen Euro erzielt und gehört damit bundesweit zu den 25 führenden Gesellschaften der Steuerberatungs- und Wirtschaftsprüferbranche.
