Die Gestaltung eines IT-Outsourcing-Vertrags erfordert eine optimale Vorbereitung. Verschiedene Rechtsgebiete müssen beachtet werden, insb. der Datenschutz.
Outsourcing ist inzwischen mehr als normal geworden – und das ganz zu Recht! Viele Geschäftsmodelle beruhen einzig und allein darauf, als Dienstleister Aufgaben anderer Unternehmen zu übernehmen, wie Buchhaltung, Kundenservice oder Security. Insbesondere auf das IT-Outsourcing sollte ein Blick geworfen werden. Darunter ist die Auslagerung der IT-Abteilung zu verstehen, also die vollverantwortliche Übertragung von IT-Funktionen an einen externen IT-Dienstleister. Natürlich ist auch eine abgeschwächte Version denkbar, bei der nur einzelne Bereiche der IT-Abteilung abgegeben werden.
Die Vorteile können immens sein. Warum sich selbst kümmern, wenn man das Ganze auch Experten überlassen kann? Das Betreiben einer IT ist kostenaufwändig, verbunden mit hohen Personalausgaben und lenkt häufig vom Kerngeschäft ab. Bei Outsourcing der IT fallen diese Probleme weg. Kostenoptimierung, Zeiteinsparung und die Konzentration auf das eigene Unternehmen führen zu einem Wettbewerbsvorteil durch stetige Weiterentwicklung.
Im Folgenden gehen wir mit Ihnen durch, was Sie beim IT-Outsourcing rechtlich zu beachten haben. Insbesondere die komplexe Vertragsgestaltung sowie die Wahrung des Datenschutzes stellen Kernfragen beim Prozess des IT-Outsourcings dar.
IT-Outsourcing: Das Vorgehen
Beim IT-Outsourcing muss strukturiert und organisiert vorgegangen werden. Das BSI empfiehlt dabei folgende Vorgehensweise:
- Strategische Planung
- Definition des wesentlichen Sicherheitskonzepts
- Auswahl des Outsourcing-Dienstleisters
- Vertragsgestaltung
- Erstellung eines Sicherheitskonzepts
- Migrationsphase
- Planung und Sicherstellung des laufenden Betriebs
Es empfiehlt sich immer genau im Auge zu behalten, in welcher Phase man sich gerade befindet. Nur so kann man einen Überblick behalten und genau wissen, welche Aufgaben sich im Hinblick auf das IT-Outsourcing aus rechtlicher und organisatorischer Sicht gerade stellen.
IT-Outsourcing: Die Vertragsgestaltung
Aus rechtlicher Sicht steht die Vertragsgestaltung im Vordergrund. Je nach Umfang, Art und Begebenheiten des geplanten IT-Outsourcings ergeben sich verschiedene Gestaltungsmöglichkeiten des Vertrags. Hier kann keineswegs ein für alle passendes Standardmodell empfohlen werden. Dies erschwert auch die rechtliche Klassifizierung des Vertragstyps. Meistens kann aufgrund der Komplexität des Outsourcings eine Mischung aus Dienst-, Miet-, Kauf- und Werkvertrag angenommen werden. Dies führt dazu, dass viele Fragen, die das Gesetz sonst zu den einzelnen Vertragstypen regelt, nun im Vertrag selbst geregelt werden sollten, damit es nicht zu einem Rätselraten kommt, welche gesetzliche Regelung anwendbar ist.
Als erstes sollte der Vertragsgegenstand festgehalten werden. Dazu gehört zunächst einmal eine allgemeine Leistungsbeschreibung. Diese beinhaltet, was genau der externe IT-Dienstleister leisten muss, wie er vergütet wird, ob er Personal übernehmen muss und wie Haftung, mögliche Sanktionen und Schadenersatzzahlungen ausgestaltet werden. Es ist wichtig, sorgfältig vorzugehen, um alle Eventualitäten hinsichtlich des zukünftigen Bezugs von Leistungen festzuhalten. Die Leistungen können vom Betrieb ganzer Rechenzentren zur reinen Softwareinstallation am Arbeitsplatz reichen.
Auch Regelungen zu einem Einbezug von Subunternehmern durch den Dienstleister sollten in Betracht gezogen werden. Dies wird auch im Hinblick auf die Weitergabe von Daten an den Subunternehmer relevant (s.u.).
In sog. Service-Level Agreements (SLAs) muss zudem festgelegt werden, wie lange der Dienstleister erreichbar sein, wie viel Personal er aufwenden, wie viel Speicherplatz er zur Verfügung stellen soll oder wie Kommunikation und Support ablaufen soll.
Es empfiehlt sich des Weiteren Regelungen zur Leistungskontrolle einzufügen. So kann eine Dokumentationspflicht für die Vertragsparteien insbesondere im Fall einer Leistungsstörung von Bedeutung sein. Wird die gesamte Leistung stetig kontrolliert, dann lassen sich auch Fehler leichter finden und beheben. Dazu gehören auch Monitoring und Reporting. Der Auftraggeber sollte also Regelungen zur Nachverfolgung der Leistungserbringung treffen, während der Auftragnehmer regelmäßig Bericht über seine Tätigkeit erstatten sollte.
Hinzu kommt, dass im Falle eines Rücktritts vom Vertrag oder bei regulärer Beendigung nach Ablauf der Vertragszeit, das Re-Insourcing geregelt werden sollte, also die Rückabwicklung des Outsourcingvertrags und die Wiedereingliederung der IT-Abteilung in das Unternehmen. In diesem Kontext sollte auch in Betracht gezogen werden, eine Regelung zur Weiterverwendung der vom Dienstleister im Rahmen der Geschäftsbeziehung eingesetzten Tools, Anleitungen, Skripte und Prozeduren nach Beendigung der Vertragsbeziehung zu treffen.
Außerdem müssen Fragen betreffend der Übernahme von bereits bestehenden Verträgen des Dienstleisters mit Dritten geklärt werden. Hier kommt häufig das Urheberrecht ins Spiel. Der Auftraggeber wird in seiner bisherigen, eigenen IT-Abteilung (Software-) Lizenzverträge mit Dritten abgeschlossen haben. Es muss dann geklärt werden, ob er diese Verträge an einen externen Dienstleister übertragen kann.
Nicht unterschätzt werden sollte zudem das Risiko der Offenlegung von sensiblen Informationen wie Geschäftsgeheimnissen. Schließlich wird die IT mit allem in Berührung kommen können, was innerhalb des Unternehmens über das Internet kommuniziert und gespeichert wird. Damit Geschäftsgeheimnisse ausreichend geschützt sind, sollten sog. Non-Disclosure-Agreements (NDAs) geschlossen werden. Darunter sind Verschwiegenheitserklärungen zu verstehen, die den Dienstleister verpflichten, Stillschweigen über Betriebsinformationen zu wahren. Das ist nicht nur im Interesse des Auftraggebers, sondern auch des Dienstleisters, der sich bei der Verletzung von Geschäftsgeheimnissen den Konsequenzen des Geschäftsgeheimnisgesetzes (GeschGehG) ausgesetzt sieht. Es empfiehlt sich sogar, die NDAs schon bei Gesprächen mit mehreren potenziellen Auftragnehmern mit jedem einzelnen abzuschließen und nicht nur mit dem, der letztendlich Vertragspartner werden soll.
IT-Outsourcing: Datenschutz
Daten und andere vertrauliche Informationen werden heutzutage kaum noch auf Papier geschrieben und im Schrank gelagert, stattdessen werden sie im IT-System erfasst. Dies schließt die Kenntnisnahme durch den externen IT-Dienstleister automatisch mit ein. Die Anforderungen von Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) müssen daher im Auge behalten werden.
Bei Übergabe der IT-Struktur werden fast immer personenbezogene Daten wie Mitarbeiterdaten oder Kundendaten betroffen sein. Verarbeitet das IT-Unternehmen diese Daten (z.B. Abspeichern auf den eigenen Servern bzw. in der Cloud), dann greifen die Anforderungen und Verpflichtungen von DSGVO und BDSG ein. Um herauszufinden, welche Anforderungen und Pflichten aus DSGVO und BDSG eingreifen, ist es beim IT-Outsourcing besonders wichtig zwei Fragen zu beantworten:
- Liegt eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vor?
Der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortung liegt darin, dass bei einer Auftragsverarbeitung der Outsourcing-Dienstleister nur als weisungsgebundener Gehilfe die Datenverarbeitung durchführt. Er ist also quasi nur der verlängerte Arm, der Auftraggeber hingegen bleibt „Herr der Daten“. Konsequenz ist, dass der Auftraggeber auch für den Datenschutz verantwortlich ist und nicht der Outsourcing-Dienstleister. Diese Konstellation bildet den Regelfall und als Konsequenz muss hierfür ein sog. Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Im Rahmen dessen dürfen die Daten nur zweckgebunden und nach Weisung des Auftraggebers verarbeitet werden. Verstößt der Auftragsverarbeiter gegen diese Weisung, dann wird er selbst zum Verantwortlichen.
Dem Auftraggeber obliegt die Pflicht, den Auftragsverarbeiter sorgfältig auszuwählen, insbesondere in Hinblick auf die Garantie von ausreichenden technischen und organisatorischen Maßnahmen. Auch bei der Auftragsverarbeitung darf der Auftragnehmer Subunternehmer einschalten, allerdings bedarf es dazu der Zustimmung des Auftraggebers. Zudem treffen den Auftragnehmer Dokumentationspflichten sowie Meldepflichten bei Datenpannen.
Bei der gemeinsamen Verantwortung ist der Outsourcing-Dienstleister im Gegensatz dazu für den Datenschutz genauso verantwortlich wie sein Auftraggeber. Das hat zur Konsequenz, dass die Datenverarbeitung auch einer eigenständigen Rechtsgrundlage unterliegen muss. Beispielsweise kann der Auftraggeber dem IT-Dienstleister die Daten nur weitergeben, wenn dafür eine eigenständige Rechtsgrundlage gegeben ist. Es reicht nicht aus, wenn beispielsweise eine Einwilligung zur Datenverarbeitung nur durch den Auftraggeber des Outsourcings vorliegt und sie keine Weitergabe an den IT-Dienstleister beinhaltet. So müssen auch die Betroffenenrechte durch beide wahrgenommen werden. Wer genau was macht, muss dazu vertraglich vereinbart werden.
- Werden die Daten innerhalb oder außerhalb der EU verarbeitet?
Die zweite Unterscheidung betrifft die Frage, wo der Outsourcing-Dienstleister sich befindet. Befindet er sich in der EU, dann wird von einem angemessenen Datenschutzniveau ausgegangen. Insbesondere beim IT-Outsourcing ist es jedoch häufig der Fall, dass das Outsourcing in Länder außerhalb der EU vorgenommen wird, wie z.B. in die USA oder auch nach Indien. Die Datenschutz-Grundverordnung (DSGVO) besagt, dass auch bei der Übermittlung von Daten in Drittländer Datenschutz sichergestellt sein muss. Insbesondere finden auch die Regelungen zur Auftragsverarbeitung Anwendung.
Ob die Datenübermittlung in die Drittstaaten zulässig ist, richtet sich nach zwei Voraussetzungen:
- Gibt es eine Rechtsgrundlage, die die Übermittlung legitimiert? Hier ist zu fragen, ob eine Übermittlung der Daten an sich überhaupt zulässig ist, beispielsweise aufgrund berechtigter Interessen. Dieser Prüfungspunkt wird also unabhängig davon beurteilt, ob die Übermittlung innerhalb Deutschlands, der EU oder in ein Drittland vorgenommen wird. Hier ist bei einer Auftragsverarbeitung oder gemeinsamen Verantwortung zu prüfen, ob die jeweiligen Voraussetzungen eingehalten wurden.
- Sind die spezifischen Vorgaben zum Drittlandtransfer eingehalten? Hier wird dem Umstand Rechnung getragen, dass sich der Empfänger außerhalb der EU befindet. Die Übermittlung personenbezogener Daten darf dann nach der DSGVO nur erfolgen, wenn die Europäische Kommission festgestellt hat, dass das entsprechende Drittland ein angemessenes Datenschutzniveau bietet.
Liegt eine solche Feststellung nicht vor, dann dürfen die Daten nur ins Ausland übermittelt werden, wenn Garantien zum Schutz der Daten aufgestellt und vereinbart werden. Dazu kann der Verantwortliche u.a. auf Standarddatenschutzklauseln zurückgreifen, die von der Kommission erlassen wurden oder auch individuelle Vertragsklauseln mit der datenempfangenden Stelle vereinbaren.
Auch wenn dergleichen nicht gegeben ist, statuiert die Datenschutz-Grundverordnung (DSGVO) weitere Ausnahmen, nach denen der Datentransfer in Drittländer doch noch klappen kann, z.B. durch eine ausdrückliche Einwilligung der betroffenen Person oder wenn es zur Erfüllung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person erforderlich ist.
Fazit: Mit einer optimalen Vorbereitung zum Ziel
Die Gestaltung eines IT-Outsourcing-Vertrags erfordert eine optimale Vorbereitung. Verschiedenste Rechtsgebiete müssen abhängig von dem konkreten Sachverhalt erfasst und eingehalten werden, wie beispielsweise Datenschutzrecht, Vergaberecht, Kartellrecht, Arbeitsrecht und Urheberrecht. Es sind detaillierte Regelungen erforderlich, um von Beginn an dem Interesse an einem reibungslosen Ablauf des Outsourcing-Projekts gerecht zu werden.
Brauchen Sie Unterstützung und Beratung bei einem IT-Outsourcingprojekt? Kommen Sie gerne auf unsere Experten im IT- und Datenschutzrecht von Schürmann Rosenthal Dreyer Rechtsanwälte zu!