Prof. Dr. Joachim Schrey IT-Outsourcing als Gegenstand von Compliance

Noerr LLP

IT Agreements in Germany

Oliver Lindner Change Prozesse und Compliance

IT-Compliance IT Compliance Governance Corporate Governance Aufsichtsrat Vorstand Datenschutz Fraud

Aktienrecht Aktiengesellschaft Holding

Prof. Dr. Joachim Schrey IT-Outsourcing als Gegenstand von Compliance

Noerr LLP

IT Agreements in Germany

Dr. Astrid Breinlinger Leaking das neue Whistleblowing ? Datenschutz

Outsourcing von IT-Prozessen ist ein technologisches Dauerthema geworden. Chancen und Risiken für Compliance und das Risikomanagement werden in der Planungsphase dabei selten hinreichend berücksichtigt. Dabei ist eine dahingehende gesetzliche Verpflichtung bei weitem nicht neu. So wurde schon 1998 mit der durch das KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich eingeführten Vorschrift des § 91 Abs. 2 AktG Aktiengesetz erstmals eine gesetzliche Pflicht des Vorstands einer Aktiengesellschaft kodifiziert, geeignete Maßnahmen für das frühe Erkennen solcher Risiken zu treffen, die den Unternehmensbestand gefährden können. Diese Pflicht ist weder neu noch besteht sie nur für den Vorstand einer Aktiengesellschaft. Vielmehr ist sie als Ausfluss allgemeiner Sorgfaltspflichten der Unternehmensführung ein lediglich in Gesetzesform gegossener Grundsatz, der ebenso für Unternehmen aller anderen Rechtsformen wie die der GmbH gilt. Die Geschäftsführung ist danach zum aktiven Risikomanagement verpflichtet.

  Verletzt die Unternehmensleitung ihre diesbezüglichen allgemeinen Sorgfaltspflichten macht sie sich persönlich gegenüber der Gesellschaft schadensersatzpflichtig, § 93 Abs. 2 AktG, § 43 Abs. 2 des GmbH-Gesetzes. Gegenüber Dritten haftet das Unternehmen im Rahmen der allgemeinen Vorschriften der §§ 280 ff. BGB Bürgerliches Gesetzbuch für Schäden, die aufgrund einer vom Unternehmen begangenen Pflichtverletzung entstehen.

  Voraussetzung für die Implementierung eines angemessenen Risikomanagementsystems ist zunächst die Identifizierung möglicher Risiken, die den Bestand des Unternehmens gefährden können, demnach also auch derjenigen Risiken, die die IT-Infrastruktur gefährden können, die von oder für ein Unternehmen genutzt wird. Gerade IT-Infrastrukturen werden aber heute vielfach nicht mehr selbst von Unternehmen aufgebaut und betrieben. Vielmehr wurden sie in einem Outsourcing in die Verantwortung eines Dritten, in der Regel eines gerade hierauf spezialisierten IT-Dienstleisters, übergeben. Gerade dass IT-Infrastrukturen von einem Dritten betrieben werden, rückt solche Outsourcingprojekte automatisch in den Fokus von Risikomanagementaktivitäten.

  Da Compliance im Unternehmen wiederum Teil des Risikomanagements ist, sollten Outsourcingprojekte ob der Vielzahl der damit verbundenen technischen, finanziellen und rechtlichen Risiken auch zum Gegenstand der Maßnahmen eines Unternehmens zur Sicherstellung und permanenten Wahrung einer allumfassenden Unternehmens-Compliance gemacht werden. Dabei müssen gerade die Outsourcing-spezifischen Risiken identifiziert, bewertet und darauf aufbauend ein geeignetes Steuerungssystem entworfen werden. Eines der Ziele eines effektiven Risikosteuerungssystems kann es dabei durchaus sein, möglichst wenige Risiken selbst zu tragen. Genau dazu kann Outsourcing beitragen, indem nämlich bestimmte Risikoquellen einem Dritten zugeordnet werden, der die von diesen ausgehenden Risiken qua höherer Sachkompetenz besser als das Unternehmen selbst beherrschen können sollte. Eine vollständige Vermeidung jeglicher Risiken wäre - wie in jedem Bereich eines Unternehmens – jedoch utopisch, da dies unweigerlich das Einstellen jeglicher Geschäftsaktivitäten mit sich brächte oder alternativ völlig unverhältnismäßig und gerade im Outsourcing nicht mehr bezahlbar wäre.

Providerwechsel als ein Bestandteil

von Compliance

Um dem Ziel der Risikominimierung also in der Praxis möglichst nahe zu kommen, ist unter Compliance-Gesichtspunkten ein besonderes Augenmerk schon auf die Begründung eines Outsourcing-Vertragsverhältnisses zu legen. Dort wird die Basis für die rechtliche Compliance des auslagernden Unternehmens im Auftragsvergabeprozess, aber auch für dessen spätere IT-Risikomanagementfähigkeit hinsichtlich des laufenden Betriebs des Outsourcing-Projekts geschaffen.

  Der Outsourcing-Markt in Deutschland ist inzwischen erheblich gereift. So stehen viele Unternehmen derzeit vor der Entscheidung, wie es nach einer oder mehreren Vertragslaufzeiten weitergehen soll und vor allem, ob und wie der Sprung von einer Kunde-Dienstleister-Beziehung zu einer vertieften IT-Partnerschaft aussehen und erfolgen kann. Gerade die Neuvergabe eines Outsourcing-Projektes als sogenanntes Next Generation Outsourcing ist somit der ideale Zeitpunkt für die Compliance-Organisation eines Unternehmens, dieses Projekt auch von der Seite der Unternehmens-Compliance und des Risikomanagements intensiv zu betreuen. Dabei können vielfach Fehler aus der Vergangenheit vermieden oder korrigiert werden.

  Ist also die Entscheidung gefallen, einen auslaufenden Outsourcing-Vertrag nicht nur einfach zu verlängern, sondern die Leistungen – zumeist unter Einschluss des bisherigen Dienstleisters – neu auszuschreiben, ist je nach Gestaltung des bisherigen Vertragsverhältnisses schon die Beschreibung der künftig benötigten Leistungen schwieriger als bei der erstmaligen Auslagerung. Denn damals verfügte das auslagernde Unternehmen noch über eine interne Datenbasis, welchen Leistungsoutput man benötigt und welche Infrastruktur hierfür genutzt wurde. Daten hierüber, über technische Lösungskonzepte, eingesetzte Personalressourcen und im Idealfall auch zur Einhaltung von Service Levels waren vorhanden. Die Leistungsbeschreibung einschließlich einer Beschreibung der dabei einzuhaltenden Leistungsqualitäten sind aber die Kerninstrumente, die das auslagernde Unternehmen benötigt, um den Dienstleister und dessen Leistungen sowie die hieraus resultierenden Risiken ebenso überwachen und kontrollieren zu können wie die Einhaltung der vom auslagernden Unternehmen zu beachtenden gesetzlichen Vorschriften, zum Beispiel der Datenschutzgesetze. Beim Next Generation Outsourcing fehlen historische Informationen zum Zustand vor der erstmaligen Auslagerung häufig, so dass noch mehr als bei der erstmaligen Auslagerung die anzubietenden Leistungen output-orientiert definiert werden müssen. Die Compliance-Organisation des auslagernden Unternehmens sollte hieran schon unter dem Gesichtspunkt mitwirken, wie sie die spätere Überwachung der Einhaltung der notwendigen Vorschriften und Standards sicherstellen kann.

  Mit Eröffnung des Ausschreibungsverfahrens wird rechtlich ein vorvertragliches Schuldverhältnis begründet, das für das ausschreibende Unternehmen Verpflichtungen mit sich bringt, deren Verletzung benachteiligte Bieter zu Schadenersatzansprüchen berechtigen könnte. Das Ausschreibungsverfahren und die Auswahl des Nachfolge-Dienstleisters sind daher an zuvor festgelegten, allen Bietern transparenten Kriterien auszurichten. Bei der Wahrung dieser Kriterien ist die Compliance-Organisation des auslagernden Unternehmers besonders geforder

Oliver Lindner Veränderung ist neben Kosten der Begriff, der die IT am häufigsten prägt, bewegt und herausfordert. Zumeist galt dies allerdings für technische Innovationen, neue Methoden oder Zu - und Verkäufe von Firmen, welche Neujustierungen und Anpassungen in der IT erforderlich machen. Neben diesen bekannten Auslösern für Veränderungen etabliert sich in den letzten Jahren das Thema Compliance als neuer, oft entscheidender und unvermeidbarer Treiber von Change Prozessen. Dieser fordert der IT zusätzliche Flexibilität und Verständnis ab, um Regeln im Bereich Security, Finanzen und Gesetzgebung umzusetzen und einzuhalten.

  Die an den IT-Systemen beteiligten Menschen leisten bereits bis dato viel Veränderungsarbeit bei steigendem Kostendruck, stetig wechselnden Technologien, zunehmender Geschwindigkeit und geforderter Qualität. Die Compliance- Anforderungen erhöhen die Maßstäbe an deren Veränderungsfähigkeit für eine solche Aufbau- und Ablauforganisation, welche nach alter Ausprägung sonst bald dazu neigen würde, einen kritischen Punkt zu erreichen. Was kann die IT unternehmen, um sich auf die neuen Anforderungen wie Compliance einzustellen und zugleich die nötige Zukunftsfähigkeit aufzubauen, um agil und fokussiert zu agieren, anstatt am Ende nur reagieren zu können?

  Soweit es Compliance hinsichtlich der Umsetzung von Gesetzen und Richtlinien betrifft, werden in der Frühphase von Projekten die Rechtsabteilung, der Datenschutzbeauftragte und der Compliance Officer eingebunden. Geschieht dies erst spät, steigen die Kosten erheblich und Deadlines geraten aus dem Blick. Im großen Rahmen von Change Prozessen gilt es außerdem neue, leistungsfähigere Systeme in der IT zu etablieren, welche den gestiegenen Herausforderungen in einer globalen Wirtschaft gerecht werden - systemisches Management (s. Abb.).

  Für die Etablierung eines solchen Systems gilt das Augenmerk in erster Linie den Mitarbeitern. Sie sind oft der kritische Erfolgsfaktor für die Projekterfolge und eine dauerhaft funktionierende IT Governance. Neben begleitenden typischen fachlichen Schulungen, gilt es deshalb den Mitarbeitern den CHANGE in der Organisationsentwicklung bewusst zu machen - gefolgt von einer Umsetzung, welche durch professionelle Change Manager begleitet wird. Dies wird ergänzt um ein zielgruppenorientiertes Kommunikationskonzept, das hilft, den Wandel zu verstehen und zu unterstützen. Den Betroffenen wird ein Gesamtbild vermittelt, in dem sie sich wiederfinden und als Teil des Ganzen begreifen, die wichtig sind für den anstehen Wandel und somit für den Erfolg des Unternehmens. Dies steigert die eigene wahrgenommene Kompetenz jedes Einzelnen und fördert damit den Projekterfolg, die Unternehmenskultur und nicht zuletzt die Corporate Identity.