Compliance bei Outsourcing-Projekten – Teil 2

Bei IT-Outsourcing-Projekten wird heutzutage eine kaum zu überblickende Vielzahl von rechtlichen Anforderungen gestellt, die sich aus Quellen unterschiedlichster Art, mit mehr oder weniger hoher Verbindlichkeit und vielfältigen Konsequenzen ergeben.

Im Sinne einer effizienten Umsetzungsstrategie sollte danach unterschieden werden, welche Regelungen allgemeingültig und damit zwingend zu beachten sind, welche nur einen mittelbaren (faktischen) Zwang entfalten, oder gegebenenfalls keiner weiteren intensiven Beachtung bedürfen.

Regelungen mit Gesetzescharakter gelten gegenüber jedermann. Andere Anforderungen dienen – auf den ersten Blick – lediglich als Richtschnur, können aber über Umwege Verbindlichkeit erhalten, zum Beispiel wenn ein Gesetz dies anordnet oder wenn sich ein Sicherheitsstandard in einer Branche so durchgesetzt hat, dass dessen Nichtbeachtung negative Folgen haben könnte. Die Rechtsnatur der verschiedenen Regelungen und ihrer Wirkung (“Verbindlichkeitsstufe”) soll hier kurz erläutert werden. Eine ausführlichere Erläuterung ist im Leitfaden des Bitkom über ‘Compliance in Outsourcing-Projekten’ zu finden.

Gesetze und Richtlinien

Die gesetzlichen Regelungen, Richtlinien und relevanten Standards, die beim Outsourcing beachtet werden sollten, betreffen insbesondere die Verantwortung der Geschäftsführung in Bezug auf Handlungs- und Haftungsverpflichtungen für die ausgelagerten Prozesse. Wird ein Geschäftsprozess oder eine bestimmte Aufgabe ausgelagert, so verbleibt die Verantwortung für die ordnungsgemäße, sichere und gesetzeskonforme Abwicklung dieses ausgelagerten Prozesses im eigenen Unternehmen, also bei der Geschäftsführung.

Grundsätzlich lassen sich die rechtlichen Rahmenbedingungen wie folgt strukturieren:
– Gesetzliche Regelungen bleiben üblicherweise eher allgemein, da sie eine Vielzahl von Situationen regeln und letztlich nur das Endziel vorgeben wollen.
– Richtlinien weisen hingegen meistens die Handschrift von Praktikern auf und beziehen Handlungsempfehlungen ein.
– Standards enthalten die am konkretesten formulierten Vorgaben und entstehen in der Regel im Konsens der jeweiligen Interessengruppen.

Zusätzlich zu den rechtlichen Rahmenbedingungen gibt es auch einige Rahmen- oder Referenzmodelle, die in den letzten Jahren von privaten Interessengruppen oder regierungsnahen Instituten im angelsächsischen Raum entwickelt wurden. Diese Referenzmodelle dienen einer höheren Effizienz bei der Einführung von IT-Kontrollmaßnahmen im Unternehmensumfeld.

In der Regel sind Referenzmodelle wie CoBIT oder ITIL an Gesetze, Richtlinien oder Standards angelehnt und versuchen den Brückenschlag über eine Vielzahl solcher Regelungen. CoBIT und ITIL sind mittlerweile international anerkannte und angewandte Modelle. Das CoBIT-Referenzmodell stellt dabei einen Leitfaden für die Durchführung von Kontroll- und Führungsaufgaben im Rahmen der IT-Governance dar, während ITIL stärker auf operative Aufgaben ausgerichtet ist und sich detailliert mit dem IT-Service-Management beschäftigt.

Obwohl der besondere Bezug zum IT-Outsourcing bei einigen Gesetzen, Richtlinien und Standards  eher als “niedrig” eingestuft wurde, bedeutet das natürlich nicht, dass sich die Unternehmensleitung mit diesen Regelungen nicht auseinander setzen muss.

Auch versicherungsrechtliche Aspekte sind im Rahmen von IT-Outsourcing-Projekten zu beachten; schließlich ist die Unterhaltung geeigneter IT-Sicherheits- und Schutzvorkehrungen nach vielen Versicherungsverträgen Voraussetzung für Ansprüche aus der Versicherung, z.B. über entsprechende Obliegenheiten oder Ausschlüsse im Versicherungsvertrag. Da es in diesen Vertragsregelungen aber immer um individuelle Anforderungen geht, wird hier auf die versicherungsrechtlichen Aspekte lediglich unter dem Gesichtspunkt der Haftung und der Vertragsgestaltung eingegangen.

Gesetzliche Regelungen

Gesetzliche Regelungen sind für die jeweilige Zielgruppe verbindlich. Aus der Fülle der Gesetze sind diejenigen zu identifizieren, die sich auf die Geschäftsführung eines Unternehmens beziehen und die mit den Verpflichtungen der Geschäftsführung in Bezug auf auszulagernde oder schon ausgelagerte Dienstleistungen zu tun haben.

Das GmbH Gesetz (GmbHG) verlangt bei der Gestaltung einer Outsourcing-Beziehung vom Geschäftsführer, in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden sowie für die ordnungsmäßige Buchführung der Gesellschaft zu sorgen. Dies gilt insbesondere, wenn Teile der Buchhaltung oder sogar die gesamte Buchhaltung an einen Dritten ausgelagert werden. Bei der Vergabe von Buchhaltungs-Dienstleistungen an Dritte muss jederzeit sichergestellt und überprüft werden können, ob die Buchhaltung vom Dienstleister ordnungsgemäß durchgeführt wird.