Compliance bei Outsourcing-Projekten – Teil 2

Bei IT-Outsourcing-Projekten wird heutzutage eine kaum zu überblickende Vielzahl von rechtlichen Anforderungen gestellt, die sich aus Quellen unterschiedlichster Art, mit mehr oder weniger hoher Verbindlichkeit und vielfältigen Konsequenzen ergeben.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) stellt (erweiterte) Forderungen an das Risiko-Management eines Unternehmens und statuiert die rechtlich verbindliche Pflicht der Geschäftsleitung, “geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden”.

Die Vorschriften des Gesetzes, die nicht nur die Aktiengesellschaft tangieren, zwingen die Unternehmensleitung zur Einführung eines unternehmensweiten Risiko-Management-Systems. Da ausgelagerte Dienstleistungen in der Regel im Verantwortungsbereich der Unternehmensleitung verbleiben, müssen Maßnahmen getroffen werden, um die Einhaltung der rechtlichen Rahmenbedingungen und der bestehenden Unternehmensrichtlinien regelmäßig überprüfen zu können.

Das Handelsgesetzbuch (HGB) hat keinen direkten Bezug zu Vorschriften, die das Auslagern von Dienstleistungen betreffen. Jedoch gibt es auch hier einige Vorschriften, die die Verpflichtungen des Kaufmanns darlegen, wie z.B. die Buchführungspflicht. Die Buchführung muss demnach so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann, und sie muss den Grundsätzen ordnungsgemäßer Buchführung (GoB) entsprechen.

Bei IT-Outsourcing-Projekten sind regelmäßig auch datenschutzrechtliche Aspekte zu beachten, sofern personenbezogene Daten von der Outsourcing-Maßnahme betroffen sind. Als solche gelten gemäß Bundesdatenschutzgesetz (BDSG) alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Personenbezogene Daten dürfen laut Gesetz nur dann erhoben, verarbeitet und genutzt werden, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Zusätzlich ist, bei Vorliegen eines entsprechenden Sachverhalts, im Rahmen von IT-Outsourcing-Projekten zu klären, ob die personenbezogenen Daten an Dritte in Gebieten außerhalb des Europäischen Wirtschaftsraums (“Drittländer”) übermittelt werden dürfen. Für die Übermittlung in Drittländer muss zusätzlich zu den allgemeinen Rechtsgrundlagen der Datenverarbeitung ein angemessenes Datenschutzniveau im Empfängerland bestehen.

Ob ein “angemessenes Datenschutzniveau” besteht, beurteilt sich nach den Umständen des Einzelfalls, wobei das Datenschutzniveau innerhalb der EU grundsätzlich der Maßstab ist. Ob ein solches angemessenes Datenschutzniveau tatsächlich gegeben ist, wird von der EU-Kommission festgestellt. Bislang wurde eine entsprechende Angemessenheitsentscheidung erst für die Länder Argentinien, Guernsey, Isle of Man, Kanada und Schweiz getroffen. Besteht in dem Empfängerland kein angemessenes Datenschutzniveau, ist die Übermittlung der personenbezogenen Daten nur zulässig, wenn auf sonstige Weise ausreichende Garantien für die Rechte der Betroffenen bestehen.

Die Vorschriften des Sarbanes-Oxley-Act (SOX) gelten für alle Unternehmen, die gemäß dem Securities Act von 1934 bei der US-amerikanischen Securities & Exchange Commission (SEC) registriert sind und an diese berichten. Dazu gehören auch deutsche Unternehmen. Ziel dieses Gesetzes ist es, das verlorene Vertrauen der Kapitalmärkte in publizierte Finanzdaten wiederherzustellen.

Im Zuge von ausgelagerten Geschäftsprozessen, hauptsächlich in Bezug auf die Finanzbuchhaltung und damit im Zusammenhang stehenden IT-Anwendungen, werden im Auftrag von Unternehmen, die an einer US-Börse notiert sind, verstärkt auch deutsche Tochtergesellschaften und deren Outsourcing-Dienstleister auf Einhaltung der SOX-Anforderungen geprüft. Ähnliche Anforderungen an die Unternehmenskontrolle werden inzwischen auch auf EU-Ebene diskutiert. Die Einführung SOX-ähnlicher Anforderungen über die EU oder über nationale Gesetzgebungsorgane ist also auch für deutsche, börsennotierte Unternehmen bald zu erwarten.


In der dritten Folge unserer Serie zum Thema ‘Compliance bei Outsourcing-Projekten’ erfahren Sie mehr über die verschiedenen Compliance-Richtlinien und Grundsätze wie Basel II oder DIN- und ISO-Normen, die beim Outsourcing angewendet werden sollten.


Compliance bei Outsourcing-Projekten – Teil 1