1.
Darf man die betriebliche Informatik ausgliedern? ^
Im Opel/EDS-Entscheid hatte sich die deutsche Justiz bereits in den achtziger Jahren des vergangenen Jahrhunderts mit den Themen Outsourcing und IT-Governance zu befassen1. Es ging dort um Folgendes:
2.
Rechtliche Vorschriften über das Outsourcing ^
Die umfassendste Regulierung erfährt der Finanzsektor2. Für die Schweiz hat die eidgenössische Finanzmarktaufsicht FINMA als Regulator eine Richtlinie zum Outsourcing erlassen3. Die Richtlinie enthält Vorschriften zum Geheimnisschutz, zur Information der Kunden über das Outsourcing, aber auch zum Vorgehen bei der Auswahl der Serviceprovider und zur Vertragsgestaltung.
Zum einen geht es um die Vorschriften zur Rechnungslegung. Für die Schweiz ist in diesem Zusammenhang Art. 728a OR zu beachten, welcher vorschreibt, dass im Rahmen der Revision auch das Vorhandensein eines internen Kontrollsystems zu prüfen ist. Dabei ist auch die Informatik in den Prüfungsumfang einzubeziehen. Wie weit diese Prüfung der Informatik gehen soll und darf, ist kontrovers. Der mit dieser Prüfung verbundene Aufwand kann jedoch erheblich sein. Unternehmen, die in grösserem Umfang Informatikdienstleistungen von extern beziehen, sind auf Druck ihrer Revisionsstellen deshalb dazu übergegangen, von ihren Service Providern standardisierte Berichte zu verlangen4.
Zum anderen geht es um die Frage der Organisationskompetenz des obersten Leitungsorgans einer Gesellschaft. Für das schweizerische Recht führt Art. 716a OR auf, welche unübertragbaren Aufgaben dem Verwaltungsrat als oberstem Gremium der Gesellschaft vorbehalten bleiben müssen. Dazu gehören die Organisationskompetenz, die Oberleitung der Gesellschaft sowie die Aufsicht. Daraus werden auch minimale Anforderungen an die Ausgestaltung der betrieblichen Informatik abgeleitet5.
Als Minimalanforderung für alle Unternehmen dürfte gelten, dass ein Outsourcing nur dann mit den vom Gesetz verlangten unternehmerischen Sorgfaltspflichten vereinbar ist, wenn es auf einer schriftlichen vertraglichen Regelung beruht, welche die wesentlichen Eckwerte fixiert6.
3.
Beurteilung des Outsourcing anhand der Kriterien der IT-Governance ^
Bei der Beurteilung der Frage, ob ein Outsourcing sinnvoll oder zumindest vertretbar ist, bietet es sich an, auf die Modelle der IT-Governance zurückzugreifen.7
IT-Governance wird sinngemäss definiert als Festlegung der Entscheidungsbefugnisse und Verantwortlichkeiten im Zusammenhang mit Informatik, wobei zentral ist, dass die Informatik auf die Anforderungen des Unternehmens angepasst ist8.
- Ausrichtung der IT an den strategischen Zielen des Unternehmens;
- Gewährleistung des Wertbeitrags der IT – die Informatik als Faktor in Entwicklung, Produktion, Verkauf und Organisation;
- Angemessene Steuerung und Kontrolle der IT-Risiken;
- Zielgerichtete Zuweisung von Ressourcen – Kosteneffizienz der Informatik;
- Messung der Performance der IT als Voraussetzung dafür, dass die Ziele 1–4 strukturiert verfolgt werden können.
IT-Governance ist ein Begriff, der nicht primär im Recht, sondern vor allem in der Betriebswirtschaftslehre verankert ist. In diesem Zusammenhang sind Regelwerke wie CobiT (Control Objectives for Information and Related Technologies) wichtig, welche die technischen und betriebswirtschaftlichen Methoden zur Erreichung einer wirkungsvollen IT-Governance bereithalten. Aber auch Rechtsnormen sind zu berücksichtigen9 und unter Umständen ist sogar ausländisches Recht zu beachten (z.B. Sarbanes-Oxley Act).10
4.
Outsourcing und das Ziel der strategischen Ausrichtung der IT ^
Zwar wäre es denkbar und möglicherweise sinnvoll, dass Service Provider stärker an der Strategieentwicklung teilnehmen. Dazu wäre eine frühzeitige Einbindung von Entscheidungsträgern auf allen Verantwortungsstufen erforderlich. Dann aber stellen sich sofort Fragen der Geheimhaltung, da Service Provider nicht auf exklusiver Basis tätig werden, sondern unter Umständen auch Konkurrenten des Kunden bedienen.
5.
Outsourcing und das Ziel des Wertbeitrags der IT ^
6.
Outsourcing und das Ziel der Risikokontrolle ^
Auf der anderen Seite führt die Auslagerung der Informatik zu einem faktischen Kontrollverlust, weil die Kontrolle nicht mehr direkt, sondern nur noch über vertragliche Mechanismen erfolgt. Dies ist dann kritisch, wenn die Informatik einen wesentlichen Beitrag zur Wertschöpfung darstellt oder wenn mit dem Outsourcing wertvolles Know-how verloren geht. Dies gilt besonders für Unternehmen, deren Kernkompetenzen ohne die Unterstützung durch entsprechende IT-Services gefährdet wären.
7.1.
Ist Outsourcing günstiger als die interne Produktion? ^
7.2.
Preisklauseln in Outsourcingverträgen ^
7.3.
Outsourcing und die internen Kosten ^
8.
Outsourcing und das Ziel der Performancemessung der IT ^
9.
Fazit und Empfehlungen ^
Bevor ein Projekt ausgeschrieben wird, sollte eine sorgfältige strategische Evaluation der Chancen und Risiken eines Outsourcings erfolgen. In der Tendenz ist ein Outsourcing nur für reife Informatikumgebungen geeignet und nur dort, wo es um Leistungen geht, die einen gewissen Standardisierungsgrad haben und die somit auch bei anderen Dienstleistern bezogen werden könnten. Weniger geeignet ist ein Outsourcing für Leistungen, für deren Erbringung gute Kenntnisse des Kerngeschäftes zentral sind. Ebenfalls nicht geeignet ist ein Outsourcing für Informatikumgebungen, die einen unterdurchschnittlichen Organisationsgrad aufweisen, denn Probleme lassen sich nicht auslagern, sondern nur klar definierte Leistungen.
Dr. iur. Urs Egli ist Partner bei EPartners Rechtsanwälte in Zürich (www.epartners.ch) und hat sich auf Informatik- und Technologierecht spezialisiert.
- 1 Siehe zum Sachverhalt BGHZ 106, S. 54 ff.; zu den damit zusammenhängenden IT-Governance Themen Hartwig Grabbe in Peter Bräutigam (Hrsg.), IT-Outsourcing, 2. Auflage, Berlin 2009, S. 459 ff.
- 2 Siehe dazu Stephan Kronbichler, Anforderungen an das IT-Outsourcing im Bankenbereich, in Carl Baudenbacher, aktuelle Entwicklungen des europäischen und internationalen Wirtschaftsrechts, Basel 2005.
- 3 Rundschreiben FINMA 2008/7 Outsourcing Banken.
- 4 z.B. Statement on Auditing Standards No. 70: Service Organizations.
- 5 Annette Willi, IT-Governance als Aufgabe des Verwaltungsrates, Dissertation Zürich 2008, S. 93 ff.
- 6 Zum minimalen Inhalt von Outsourcingverträgen siehe Grabbe / Bräutigam, a.a.O. 465.
- 7 Die nachfolgenden Ausführungen basieren auf einem Whitepaper, welches der Autor unter dem Titel «Ist Outsourcing out?» zusammen mit Dr.rer.nat. Werner Lippert verfasst hat.
- 8 Siehe zum Ganzen Willi, a.a.O.
- 9 Siehe Rz 6 ff.
- 10 Urs Egli, Annette Willi: IT-Governance als Aufgabe des Verwaltungsrates – Eine Rezension, in: Jusletter 27. Juni 2011.