Komplexe IT-Leistungen lassen sich kaum in ein einfaches Vertragswerk packen, das gilt ganz besonders auch für Cloud-Projekte. Peter Zoller, einer der wichtigsten Koryphäen für Risikomanamgement, erläutert für silicon.de, wo für Anwender rechtliche Fallen lauern.
IT-Risikomanagement wird von Wirtschaftsprüfern als eines der Kernrisiken eines Corporate Risk Management gesehen. Im Zentrum der Risikobetrachtungen stehen hierbei – neben IT-Auslagerungen und Sicherheit – die Vertragsrisiken. PwC beschreibt diesen Aspekt prägnant: “Denn einfach ist nichts mehr, wenn Leistungen komplexer werden, Verpflichtungen aus Verträgen über längere Zeiträume zu erfüllen sind oder die Vertragsparteien weit über den Globus verteilt sind, in unterschiedlichen Märkten und Rechtsordnungen agieren …”. Insbesondere die Outsourcing-Verträge – und hierzu zählen ganz besonders der Großteil der Cloud-Verträge – müssen einer genauen Kontrolle und laufenden Überwachung im Rahmen eines Vertragsmanagement unterworfen werden.
Vertragsrisiken
Risiken im Umfeld Verträge zeigen sich beispielsweise (siehe auch Wikipedia) in
- den Vertragsinhalten
- der Aktualität von Verträgen
- der Un-Kenntnis in- und ausländischer (aufsichts-) rechtlicher Vorgaben (z.B.
Datenschutzregelungen, Verschlüsselungseinschränkungen, Vorgehensweise im Freigabeprozess, Steuerbarkeit von Mitwirkungsleistungen)
- der Nicht-Einhaltung der Mindestanforderungen in Verträgen oder begleitender Maßnahmen gem. (aufsichts-) rechtlicher Vorgaben (z.B. bei Auslagerungen, Durchführung von Risikoinventuren)
- der unterschiedlichen Auslegung der Vertragsbestandteile insbesondere durch rechtsunkundige Beteiligte
- der Sprachbarriere (z.B. Differenzierung Security – Safety oder user – employee)
- einem mangelhaften oder sogar fehlenden Vertragsmanagement (termingerechter Abschluss, Speicherung der Verträge, Überwachung der Vertragsinhalte, korrekte Abnahme bei Werkverträgen, Umsetzung der Mitwirkungspflichten, Einbindung aller einen Vertrag mitgestaltenden oder prüfenden Einheiten, Abgleich der Kunden- mit den Beschaffungsverträgen, Berücksichtigung der Risiken VOR Vertragsabschluss und NACH Beendigung eines Vertrages).
Wer die silicon-Nachrichten intensiv studiert, wird erkennen, dass immer wieder auf erhebliche Risiken bei IT-Verträgen hingewiesen wird: “lohnt sich ein Blick in die Verträge”, “die meisten Unternehmer und Manager lieben schlanke Verträge, am besten nur ein bis zwei Seiten … Doch zahlt man den vermeintlichen Zeitgewinn nicht oft doppelt und dreifach wieder zurück?”, “Geht es um Service Level Agreements klaffen Realität und Kundenwunsch meist weit auseinander”, “Lizenzchaos”, “Software ohne Lizenz”, “vertraglichen Regelungen wird nur wenig Aufmerksamkeit geschenkt”, “sollte bereits bei der Vertragsgestaltung auf die Risiken geachtet werden”, “lückenhafter Projektvertrag die eigentliche Ursache des Problems”, “Cloud-Dienstleistungsverträge haben wenig klare Verpflichtungen”.
Als Folge derartiger Vertragsrisiken zeigen sich nur in seltenen Fällen nachweisbare operationelle Verluste. Es überwiegen versteckte, nicht verbuchbare Schäden wie beispielsweise verpflichtende Zahlungen ohne nennenswert verwendbare Ergebnisse, Ergänzung der Verträge durch nachträgliche zusätzliche Leistungen, Nachforderungen an Ressourcen, Minderungs- und Schadensersatzansprüche sowie Strafzahlungen, Kündigung von Verträgen, gerichtliche Auseinandersetzungen wegen Unstimmigkeiten, Schuldzuweisungen und institutionsinterne Anfeindungen, Terminverzögerungen, entgangene Chancen wie Kostenreduzierungen durch Vertragsumgestaltungen, Rabattierungsmöglichkeiten oder dank termingerechter Unsetzungen / Zahlungen, Kritiken seitens Prüfern sowie Reputationsschäden. Die hierbei auftretenden Schadenshöhen können sehr hoch sein.
Rechtsrisiken
Operationelle Risiken umfassen gemäß SolvV /CRR auch die sogenannten Rechtsrisiken. Diese sind generell von den Vertragsrisiken zu differenzieren. Neue oder auch unberücksichtigt gebliebene, inländische rechtliche Vorgaben, unbekannte steuerliche Sachverhalte, aktuell bekanntgegebene Rechtsprechungen oder unterschiedliche Rechtsauslegungen können zu weiteren Risiken führen, die nicht unbeachtet bleiben dürfen. Gleichfalls können unerwartete Changes der Rechtsprechung sowie Patentrechtsverletzungen den operationellen Rechtsrisiken zugeordnet werden.
Obwohl sich die Rechtsrisiken teilweise mit den Vertragsrisiken überschneiden, so sind diese doch von den hier fokussierten Vertragsrisiken zu differenzieren. Es wird daher angenommen, dass – dank der Hinzuziehung kompetenter Rechtsberater – der aktuelle inländische, elementare rechtliche Rahmen bekannt ist und eine sorgfältige termingerechte Umsetzung sichergestellt werden kann. In Fällen komplexer Rechtssituationen müssen bei Bedarf spezialisierte Rechtsberater hinzugezogen werden (-> Steuer-, Personal-, Datenschutz-, Aufsichtsrecht). Von Bedeutung für die Vertragsrisiken können aber die meist unbekannte ausländische Rechtslage (beispielsweise bei Cloud-Dienstleistungen) sowie die anfallenden, gleichfalls den Rechtsrisiken zuordenbaren Nebenkosten im Rahmen rechtlicher Auseinandersetzungen sein.
Zuständigkeiten
In Umfragen bringen die meisten Unternehmen zum Ausdruck gegen die Vertragsrisiken “ausreichend abgesichert” zu sein und verweisen u.a. auf ihre zentralen Rechts- und Einkaufsabteilungen. Die IT-Verantwortlichen wiegen sich in Sicherheit und sehen ihre prioren Risiken in anderen Feldern (Verfügbarkeit, Cybercrime, Mitarbeiter). Andererseits werden bei der Erstellung oder beim Review von Verträgen nur in seltenen Fällen Rechtsberater mit ausländischen Rechtskenntnissen oder weitere Spezialisten (-> Revisoren, Steuerfachleute, Datenschutzbeauftragte, externe Wirtschafts- / Aufsichtsprüfer) hinzugezogen.
Ein umfassendes, zusammen mit dem IT-Risikomanagement als Stabsfunktion eingebundenes IT-Vertragsmanagement mit entsprechenden Verantwortungs- und Kompetenzfunktionalitäten, das eine “Koordinationsrolle” übernehmen könnte, fehlt meist. Ein koordinierter integrativer Informationsaustausch der IT-, Rechts-, Steuer-, Personal-, Compliance- und Datenschutz-Einheiten ist unabdingbar. Gleichfalls sind in Projekten die vertragserstellenden Einheiten mit den späteren operativen, betrieblichen Einheiten zusammenzuführen, um betriebliche und wartungsbezogene Aspekte rechtzeitig berücksichtigen zu können. Für eine kontinuierliche Vertrags-Ownerschaft bzw. eine geregelte und rechtzeitige Überführung derselbigen sowie den Einsatz von Risikoinventuren bei wichtigen Verträgen (zum Beispiel bei wesentlichen Auslagerungen, bei wirtschaftlich bedeutsamen Vertragsbeziehungen bzw. bei kritischen Vertragsverhältnissen in strategischen Projekten) ist Sorge zu tragen. Die IT kann sich somit nicht aus der Verantwortung eines IT-Vertragsmanagements herausnehmen.
Mindestanforderungen
Üblicherweise obliegt die Erstellung der Verträge der Rechtsabteilung oder wird sogar dem Vertrags-Partner überlassen. In letzterem Falle kann nicht mehr von einer “zwischen zwei oder mehreren Parteien geschlossenen, einvernehmlichen Willenserklärung” gesprochen werden. Wenn man bedenkt, dass im Vertrag bestimmte Risiken dem Auftragnehmer zugewiesen werden und der Auftraggeber den Rest der Risiken zu tragen hat (nach Tom deMarco), so kann diese Vorgehensweise nicht gut ausgehen. Interessant in diesem Zusammenhang ist die Aussage von Rechtsberatern, die darauf hinweisen, dass IT-Dienstleister teilweise unwirksame Klauseln und damit (in Teilen) ungültige Verträge besitzen, weil nicht alle notwendigen Juristen einbezogen, mehrdeutige Formulierungen verwendet, die Verträge nicht mehr an den aktuellen Rechtsstand angepasst wurden, Lücken aufweisen bzw. für einen anderen Kundenstamm gedacht sind oder evtl. auch eine Absicht dahinter steckt.
Um grobe Lücken zu vermeiden, fordern die Prüfer in (aufsichts-) rechtlichen Bestimmungen wie KWG, MaRisk, GoBS oder BDSG gewisse Mindestanforderungen an Verträge, insbesondere bei Auslagerungen zu denen auch die Cloud-Verträge gehören:- Leistungsbeschreibungen, Anforderungen und Termine
- Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
- Regelungen bei Weiterverlagerungen (-> Subunternehmer)
- Rechte des Auftraggebers (inkl. Mitwirkungspflichten des Auftragnehmers)
- Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer
- Prüfungs- und Kontrollrechte (-> “Internes Kontroll System”)
- Pflichten des Auftragnehmers (u.a. Informations- und Kontrollpflichten)
- Inhalte und Umfang der Verfahrensdokumentation (inkl. Aufbewahrungsdauer und -Orte)
- datenschutzrechtliche Bestimmungen (können mehrere Seiten umfassen !)
- Notfallkonzepte und Notfalltests
- bei Bedarf organisatorische Regelungen (Funktionstrennung, 4-Augen-Prinzip, Vorgehensweise bei Freigaben)
Vertragsinhalte
Ein wichtiger Punkt bei den Mindestanforderungen sind die Leistungsbeschreibungen und it-technischen Anforderungen. Diese müssen vollständig, detailliert und eindeutig beschrieben werden. Können die gewünschten Leistungen noch nicht präzise angegeben werden, so ist der Vertrag zuerst einmal auf eine Erarbeitung derselbigen zu reduzieren. Die umfangreichen Darstellungen von Leistungen und Rahmenbedingungen erfolgen teilweise in eigenständigen Dokumenten und Anlagen wie Service-Level-Agreements (SLA), Handbüchern oder Lasten- / Pflichtenheften.
Das den SLAs entnommene Beispiel “Verfügbarkeit” zeigt die Komplexität solcher Spezifikationen auf: wie wird “Verfügbarkeit” bei Großrechnern oder lokalen Netzen beschrieben? in welchem Intervall und mit welchen Tools wird der Wert gemessen? welche Ausnahmeregelungen sind vorhanden ? welche Verfügbarkeit wird im Geschäftsbereich benötigt? Welche Konsequenzen gibt es bei Nicht-Erreichung? gibt es andere, bessere Faktoren? Hier ist die IT gefordert.
Weitere wichtige Vertragsabschnitte, bei denen die IT intensiv an der Erstellung mitwirken muss, sind die Regelungen bei Weiterverlagerungen (muss eine Zustimmung des Auftraggebers vorliegen ? Übertragung der vertraglichen Vorgaben auf die Subverträge ? wie sind die Haftungsregelungen ?), die Kontrollpflichten des Auftragnehmers bzw. die Kontrollrechte des Auftraggebers (was, wie und wann wird kontrolliert bzw. geprüft ? Kontrolle der Subauslagerungen ?), Inhalte der Verfahrensdokumentation, Darlegung der Freigabeprozesse oder die Inhalte, Durchführung und Mitwirkung bei Notfalltests.
Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit, sondern soll nur darstellen, welchen Umfang die verantwortungsvolle Mitarbeit der IT bei der Vertragserstellung besitzt. Zusätzlich gibt es noch viele weitere Aspekte, die in Verträge aufgenommen werden können und – abhängig von der Leistung – auch müssen: hierzu zählen Sicherheitsvorgaben (inkl. Verfügbarkeit, Vertraulichkeit und Business Continuity Management), Anforderungen an das Berichtswesen (-> Risiko-, SLA-, Sicherheits-, Prüferberichte), Abnahmeregelungen und Termine, Mitwirkungspflichten und Beistellleistungen (Unterschied beachten !), Vergütung / Rabattierung, Vertragsstrafen, Vorgehensweise bei Changes, Eskalationsverfahren, geforderte Versicherungen oder Nutzungsrechte.
Bei all diesen Aspekten ist die IT gefordert. Hierbei wird häufig übersehen, dass auch rein juristische Klauseln eine Kontrolle und Ergänzung durch die IT erfordern. Sätze im Rahmen der Haftungsklauseln wie “beschränkt auf das vertragstypisch vorhersehbare Risiko … je Versicherungsfall”, “bei Datenverlust beschränkt auf die Wiederherstellung der Daten …”, “Haftung nur in dem Rahmen, in dem eine Haftung der Subunternehmer gegenüber dem Auftragnehmer besteht” oder “Haftung in Höhe von 1 Mio. €” können für die IT ein schwerwiegendes Risiko darstellen und müssen daher von der IT verstanden und b.B. eine Änderung herbeigeführt werden.
Ein weiterer, bei den Mindestanforderungen genannter Punkt sind die Exitregelungen. Allein der bei Juristen übliche Satz “kann unter Einhaltung einer Frist von 6 Monaten zum Jahresende
gekündigt werden” muss den IT-Verantwortlichen aufhorchen lassen. Ist nicht zum Jahresende immer eine Frozen Zone vereinbart und genügen 6 Monate, um eine Alternative zu suchen, den dazugehörigen Vertrag zu erstellen, das Genehmigungsverfahren durchzuführen und eine Migration vorzubereiten ? Eventuell ist ein Re-Insourcing gewünscht; dazu müssen die entsprechenden Mitarbeiter beschafft und geschult werden; evtl. ist hierzu ein Know-Transfer durchzuführen.
Dies ist aber lange noch nicht alles: Um eine Migration im Rahmen eines Exit durchführen zu können, muss ein Projekt initiiert und durchgeführt, die Verantwortlichen bestimmt, die Inhalte und das Transferverfahren der Verfahrensdokumentation und der Daten spezifiziert, die notwendig werdenden Unterstützungsleistungen angegeben und die diesbezügliche Vergütung geregelt werden. Weitere wichtige Aspekte beim Exit sind die Löschungs-Regelungen sowie die Auswirkungen des Exit eines Vertragsteils auf das gesamte Vertragswerk. Sollte zudem der vereinbarte Beendigungstermin überschritten werden müssen, so ist eine Fortsetzung der Dienstleistung sicherzustellen. Selbst nach dem eigentlichen Exit ist – ähnlich wie bei Scheidungen – eine Fortsetzung der Beziehungen häufig notwendig. Dies gilt nicht nur für die Haftungsregelungen und die Vertraulichkeitsvereinbarungen; gem. (aufsichts-) rechtlicher Vorgaben besteht noch eine Informationspflicht und ein Prüfungsrecht für die ersten Jahre danach.
Exit-Vereinbarungen können sehr umfangreich werden und bedürfen einer eindeutigen, verbindlichen und möglichst vollständigen Vorgabe seitens Auftraggeber und Auftragnehmer schon im Vertragswerk. Die diesbezüglichen Abstimmungen mit dem Auftragnehmer können bereits im vorhinein die Kompetenz des Dienstleisters aufzeigen und können daher vor Vertragsunterzeichnung in einer Readiness-Analyse berücksichtigt werden (BDSG: “sorgfältige Auswahl des Auftragnehmers”).
Fazit
Große Teile der oft weit über 100 Seiten umfassenden Vertragswerke müssen von Mitarbeitern der IT spezifiziert werden. Bei den rein juristischen Klauseln ist unabdingbar ein Rechtsberater gefragt. Häufig müssen hierzu mehrere Juristen mit Spezialkenntnissen zusammenarbeiten, wenn das Umfeld komplex ist. Aber auch hier sind die IT-Mitarbeiter gefragt: sie müssen diese reviewen, bewerten und akzeptierten. Die Verantwortung über das gesamte Vertragswerk wie auch die Administration und prozessabhängige Kontrolle während und nach der Laufzeit obliegen der IT, von der auch meist die Ressourcen kommen und die den Vertrag unterzeichnet.
Hierzu ist ein IT-Vertragsmanagement innerhalb der IT-Einheit einzurichten, das ebenso für eine Einbindung und Koordination der notwendigen Fachleute, eine Konsolidierung über alle Verträge, die Aktualität und Bewertung der Verträge sowie b.B. für durchzuführende Vertrags-Risikoinventuren zu sorgen hat. Bei oft mehreren 1.000 Einzelverträgen in der IT und mehrere 100 Seiten umfassenden Vertragswerken ist diese Aufgabe nicht trivial. Angebotene Seminare wie “Vertragscontrolling zur Risikominimierung”, universitäre Vorlesungen (“Juristisches IT-Projektmanagement”) und spezialisierte Beratungsunternehmen sowie Rechtskanzleien bieten punktuelle Unterstützungen.
Abschließend sei noch darauf hingewiesen, dass nicht nur reine IT-Verträge von der IT-Einheit mitgestaltet werden müssen: es gibt auch zahlreiche Verträge der Geschäfts- und Vertriebsbereiche mit IT-Inhalten, bei denen die IT ein gewichtiges Wort mitzureden hat. Ein Sonderfall sind Personalverträge mit Regelungen zur privaten Nutzung des Internet und der sozialen Kommunikationsmedien, Vertraulichkeitsbestimmungen, dem Verbot des Zugriffs auf bestimmte Web-Seiten oder – im Falle der Übertragung von IT-Mitarbeitern auf Auslagerungsunternehmen – den individuellen Vereinbarungen.
Dass das Thema “Risiken in IT-Verträgen” nicht mit der Bemerkung “brauche ich nicht” einfach vom Tisch zu wischen ist, indem man die Verantwortung auf vorhandene Einrichtungen – meist die Rechtsabteilungen – legt (“einen IT-Rechtsanwalt braucht man grundsätzlich nicht”, “die Administration übernimmt der zentrale Einkauf”), kann den in Nachrichtenportalen wie silicon aufgeführten Hinweisen und Schadensmeldungen entnommen werden. Aussagen wie “komplexe IT-Projekte scheitern häufig an unklaren Vereinbarungen zwischen den Vertragspartnern” oder “kaum ein Vertrag zum IT-Outsourcing erfüllt die Zehn-Punkte-Vorgaben des … Datenschutzgesetzes” lassen das Risikopotenzial erkennen. Als Erstes gilt es, in einem Unternehmen ein Bewusstsein zu schaffen, für die mit IT-Verträgen einhergehenden Risiken, um im Anschluss die notwendigen Maßnahmen aufzusetzen, insbesondere ein IT-Vertragsmanagement einzurichten und mit Ressourcen, Kompetenzen sowie Verantwortung auszustatten.