Jusletter IT

Outsourcing und IT-Governance

  • Author: Urs Egli
  • Category: Articles
  • Region: Switzerland
  • Field of law: Internet-Governance
  • Citation: Urs Egli, Outsourcing und IT-Governance, in: Jusletter IT 6 June 2012
Der Aufsatz untersucht, ob und unter welchen Voraussetzungen ein Outsourcing nach den Grundsätzen der verantwortlichen Geschäftsführung zulässig ist. Dabei wird auf die Kriterien der IT-Governance zurückgegriffen. Der Autor kommt zum Schluss, dass ein Outsourcing nur für reife Informatikumgebungen geeignet ist. Schriftlich abgeschlossene Outsourcingverträge sind zwingend erforderlich.

Inhaltsverzeichnis

  • 1. Darf man die betriebliche Informatik ausgliedern?
  • 2. Rechtliche Vorschriften über das Outsourcing
  • 3. Beurteilung des Outsourcing anhand der Kriterien der IT-Governance
  • 4. Outsourcing und das Ziel der strategischen Ausrichtung der IT
  • 5. Outsourcing und das Ziel des Wertbeitrags der IT
  • 6. Outsourcing und das Ziel der Risikokontrolle
  • 7. Outsourcing und das Ziel der Kosteneffizienz
  • 7.1. Ist Outsourcing günstiger als die interne Produktion?
  • 7.2. Preisklauseln in Outsourcingverträgen
  • 7.3. Outsourcing und die internen Kosten
  • 8. Outsourcing und das Ziel der Performancemessung der IT
  • 9. Fazit und Empfehlungen

1.

Darf man die betriebliche Informatik ausgliedern? ^

[1]

Im Opel/EDS-Entscheid hatte sich die deutsche Justiz bereits in den achtziger Jahren des vergangenen Jahrhunderts mit den Themen Outsourcing und IT-Governance zu befassen1. Es ging dort um Folgendes:

[2]
Im Jahre 1984 hat der General Motors Konzern (GM) die Informatik Dienstleisterin EDS erworben. Damit wollte GM die Informatikdienstleistungen innerhalb des Konzerns vereinheitlichen. Zu diesem Zweck gründete GM die deutsche Tochtergesellschaft EDS GmbH, welche von der Adam Opel AG mittels eines Outsourcingvertrages mit der Datenverarbeitung beauftragt wurde. Das Vertragsverhältnis wurde für unbestimmte Zeit geschlossen, konnte aber innerhalb einer Frist von zwölf Monaten zum Ende des Geschäftsjahres gekündigt werden. Im Fall der Kündigung war die EDS GmbH verpflichtet, Opel in die Lage zu versetzen, sämtliche EDV-Funktionen selbst auszuüben oder durch einen Dritten ausüben zu lassen.
[3]
In der Folge klagten die Arbeitnehmervertreter der Adam Opel AG gegen ihre eigene Gesellschaft. Sie argumentierten, Opel sei aufgrund der genannten Ausgliederung nicht mehr in der Lage, die Unternehmung eigenverantwortlich zu leiten, weil die Gesellschaft in den für die Geschäftsleitung bedeutsamen Bereichen der Planung, Organisation, Produktion und Finanzierung vollkommen entmachtet werde. Die Klage wurde letztinstanzlich aus formalen Gründen abgewiesen, weil einzelne Mitglieder des Aufsichtsrats nicht befugt seien, mittels Klage gegen die Geschäftsführung des Vorstandes vorzugehen.
[4]
Das erstinstanzliche LG Darmstadt hatte die Klage noch materiell geprüft, jedoch ebenfalls abgewiesen. Es begründete dies damit, dass das Outsourcing zulässig sei und keine rechtswidrige Geschäftsführung darstelle, weil sich der Auftraggeber gegenüber dem Auftragnehmer die Auftragsformulierung und die Kontrolle vorbehalten habe.
[5]
Der Entscheid illustriert die typische Interessenlage beim Outsourcing. Er zeigt, dass es keineswegs aus der Luft gegriffen ist, sich im Zusammenhang mit einem Outsourcing die Frage der Zulässigkeit zu stellen.

2.

Rechtliche Vorschriften über das Outsourcing ^

[6]
Es gibt keine konsolidierte rechtliche Normierung, welche sich mit Outsourcing befassen würde. Grundsätzlich ist festzuhalten, dass Outsourcing rechtlich zulässig ist. Allerdings finden sich verteilt über die Gesetzgebung an verschiedenen Stellen Normen, welche für das Outsourcing relevante rechtliche Regeln enthalten.
[7]

Die umfassendste Regulierung erfährt der Finanzsektor2. Für die Schweiz hat die eidgenössische Finanzmarktaufsicht FINMA als Regulator eine Richtlinie zum Outsourcing erlassen3. Die Richtlinie enthält Vorschriften zum Geheimnisschutz, zur Information der Kunden über das Outsourcing, aber auch zum Vorgehen bei der Auswahl der Serviceprovider und zur Vertragsgestaltung.

[8]
Daneben gibt es Rechtsnormen, die für alle Unternehmen gelten, welche Informatikleistungen ausgliedern wollen. In erster Linie ist dabei an die Buchführungsvorschriften (Recordsmanagement) sowie an die Datenschutzgesetzgebung zu denken. Die Buchführungsvorschriften beantworten die Frage, welche Geschäftsunterlagen, in welcher Form für wie lange aufbewahrt werden dürfen. Die Datenschutzgesetzgebung enthält Vorschriften, welche die Vertraulichkeit der Datenbearbeitung sicherstellen wollen. Insbesondere kann die Datenschutzgesetzgebung den grenzüberschreitenden Datenverkehr untersagen oder erheblich einschränken.
[9]
Gleiches gilt für die Vorschriften zur Corporate Governance, welche ebenfalls für alle Unternehmen gelten. Im Zusammenhang mit der Unternehmensinformatik sind dabei folgende beiden Normenbereiche zu berücksichtigen.
[10]

Zum einen geht es um die Vorschriften zur Rechnungslegung. Für die Schweiz ist in diesem Zusammenhang Art. 728a OR zu beachten, welcher vorschreibt, dass im Rahmen der Revision auch das Vorhandensein eines internen Kontrollsystems zu prüfen ist. Dabei ist auch die Informatik in den Prüfungsumfang einzubeziehen. Wie weit diese Prüfung der Informatik gehen soll und darf, ist kontrovers. Der mit dieser Prüfung verbundene Aufwand kann jedoch erheblich sein. Unternehmen, die in grösserem Umfang Informatikdienstleistungen von extern beziehen, sind auf Druck ihrer Revisionsstellen deshalb dazu übergegangen, von ihren Service Providern standardisierte Berichte zu verlangen4.

[11]

Zum anderen geht es um die Frage der Organisationskompetenz des obersten Leitungsorgans einer Gesellschaft. Für das schweizerische Recht führt Art. 716a OR auf, welche unübertragbaren Aufgaben dem Verwaltungsrat als oberstem Gremium der Gesellschaft vorbehalten bleiben müssen. Dazu gehören die Organisationskompetenz, die Oberleitung der Gesellschaft sowie die Aufsicht. Daraus werden auch minimale Anforderungen an die Ausgestaltung der betrieblichen Informatik abgeleitet5.

[12]
Wiederum besondere Anforderungen an die Vertraulichkeit und die Sicherheit der Datenbearbeitung gelten im Bereich der öffentlichen Verwaltung, etwa im Polizei- oder Gesundheitswesen.
[13]

Als Minimalanforderung für alle Unternehmen dürfte gelten, dass ein Outsourcing nur dann mit den vom Gesetz verlangten unternehmerischen Sorgfaltspflichten vereinbar ist, wenn es auf einer schriftlichen vertraglichen Regelung beruht, welche die wesentlichen Eckwerte fixiert6.

3.

Beurteilung des Outsourcing anhand der Kriterien der IT-Governance ^

[14]

Bei der Beurteilung der Frage, ob ein Outsourcing sinnvoll oder zumindest vertretbar ist, bietet es sich an, auf die Modelle der IT-Governance zurückzugreifen.7

[15]

IT-Governance wird sinngemäss definiert als Festlegung der Entscheidungsbefugnisse und Verantwortlichkeiten im Zusammenhang mit Informatik, wobei zentral ist, dass die Informatik auf die Anforderungen des Unternehmens angepasst ist8.

[16]
Daraus werden die folgenden fünf Ziele der IT-Governance abgeleitet:
  1. Ausrichtung der IT an den strategischen Zielen des Unternehmens;
  2. Gewährleistung des Wertbeitrags der IT – die Informatik als Faktor in Entwicklung, Produktion, Verkauf und Organisation;
  3. Angemessene Steuerung und Kontrolle der IT-Risiken;
  4. Zielgerichtete Zuweisung von Ressourcen – Kosteneffizienz der Informatik;
  5. Messung der Performance der IT als Voraussetzung dafür, dass die Ziele 1–4 strukturiert verfolgt werden können.
[17]

IT-Governance ist ein Begriff, der nicht primär im Recht, sondern vor allem in der Betriebswirtschaftslehre verankert ist. In diesem Zusammenhang sind Regelwerke wie CobiT (Control Objectives for Information and Related Technologies) wichtig, welche die technischen und betriebswirtschaftlichen Methoden zur Erreichung einer wirkungsvollen IT-Governance bereithalten. Aber auch Rechtsnormen sind zu berücksichtigen9 und unter Umständen ist sogar ausländisches Recht zu beachten (z.B. Sarbanes-Oxley Act).10

[18]
IT-Governance bezweckt eine systematische Betrachtung und Bewertung der betrieblichen Informatik unter betriebswirtschaftlichen und organisatorischen Aspekten. Müsste heute wie im Opel-Fall ein Gericht entscheiden, ob die Ausgliederung der Informatik eine rechtswidrige Geschäftsführungsmassnahme ist, so würde wohl auf die Grundsätze der IT-Governance zurückgegriffen werden. Im Folgenden wird deshalb geprüft, wie sich eine Outsourcing Strategie mit den Zielen der IT-Governance vereinbaren lässt.

4.

Outsourcing und das Ziel der strategischen Ausrichtung der IT ^

[19]
Die Informatik einer Unternehmung soll möglichst optimal auf die Unternehmensstrategie abgestimmt sein. Die Informatikstrategie und die Unternehmensstrategie stehen in einer gegenseitigen Wechselbeziehung. Einerseits hat sich die Informatikstrategie an der Gesamtstrategie zu orientieren. Andererseits ist das zukünftige Entwicklungspotential der Informatik in die Strategieentwicklung des Unternehmens einzubeziehen.
[20]
In Bezug auf die strategische Ausrichtung der IT bringt ein Outsourcing klare Nachteile. Die eigene Informatikabteilung ist besser in der Lage, die Informatikleistung auf die strategischen Bedürfnisse des Betriebs auszurichten. Sie ist Teil des Unternehmens und wird laufend mit operativen und strategischen Themen konfrontiert. Die Informatikverantwortlichen sind in die Unternehmenshierarchie eingegliedert und damit in den Strategieprozess eingebunden.
[21]
Externe Service Provider haben es schwieriger. Sie werden vom Kunden entweder gar nicht oder nur marginal in den Strategieprozess involviert. Manchmal verstehen sie das Kerngeschäft des Kundenbetriebs auch nicht genügend, um einen sinnvollen Beitrag leisten zu können.
[22]

Zwar wäre es denkbar und möglicherweise sinnvoll, dass Service Provider stärker an der Strategieentwicklung teilnehmen. Dazu wäre eine frühzeitige Einbindung von Entscheidungsträgern auf allen Verantwortungsstufen erforderlich. Dann aber stellen sich sofort Fragen der Geheimhaltung, da Service Provider nicht auf exklusiver Basis tätig werden, sondern unter Umständen auch Konkurrenten des Kunden bedienen.

5.

Outsourcing und das Ziel des Wertbeitrags der IT ^

[23]
Auch beim Kriterium des Wertbeitrages ist ein Outsourcing im Nachteil. Einem Service Provider geht es vor allem darum, den eigenen Business Case zu optimieren. Es geht ihm um Effizienzsteigerung, um Ressourcenoptimierung, um die Realisierung von Skaleneffekten etc. Es ist nicht sein primäres Ziel, einen Mehrwert für das Kundenunternehmen zu generieren.

6.

Outsourcing und das Ziel der Risikokontrolle ^

[24]
Im Bezug auf die Steuerung und die Kontrolle der IT-Risiken bietet Outsourcing möglicherweise Vorteile. Der Grund liegt darin, dass bei einem Outsourcing die Informatikprozesse vertraglich abgebildet werden müssen. Die Risikoallokation ist ein zentraler Bestandteil der Vertragsverhandlungen. Extern bezogene Informatikleistungen sind deshalb in der Regel besser dokumentiert als Leistungen, die intern produziert werden. Auch die Leistungskontrolle erfolgt gegenüber externen Leistungserbringern strenger als gegenüber der eigenen Informatikabteilung. Dies sind Faktoren, die zu einer früheren Erkennung und Adressierung von Risiken führen können.
[25]

Auf der anderen Seite führt die Auslagerung der Informatik zu einem faktischen Kontrollverlust, weil die Kontrolle nicht mehr direkt, sondern nur noch über vertragliche Mechanismen erfolgt. Dies ist dann kritisch, wenn die Informatik einen wesentlichen Beitrag zur Wertschöpfung darstellt oder wenn mit dem Outsourcing wertvolles Know-how verloren geht. Dies gilt besonders für Unternehmen, deren Kernkompetenzen ohne die Unterstützung durch entsprechende IT-Services gefährdet wären.

[26]
Und schliesslich ist auch in Betracht zu ziehen, dass der Service Provider unter Ausnutzung seiner Monopolsituation und mit dem Fokus auf die Optimierung seines Business Cases Kompetenzen abbauen oder seinerseits auslagern könnte, was die Risikokontrolle weiter erschwert.

7.

Outsourcing und das Ziel der Kosteneffizienz ^

7.1.

Ist Outsourcing günstiger als die interne Produktion? ^

[27]
Bei der zielgerichteten Ressourcenallokation geht es darum, mit den zur Verfügung stehenden Mitteln die für das Unternehmen optimale Informatikleistung zu produzieren. Im Vordergrund steht dabei die Frage, ob die interne oder die externe Produktion der Informatikleistung unter einer Kosten-Nutzen-Betrachtung günstiger ist. Dies ist aus folgenden Gründen schwierig zu beurteilen.
[28]
Outsourcingverträge sind auf einen langen Zeithorizont ausgelegt. Die Verhältnisse können sich während der Vertragslaufzeit ändern. Die Produktionskosten des Service Providers bestehen grob betrachtet aus Hardware- und Softwarekosten, aus Dienstleistungskosten und aus einem Deckungsbeitrag inklusive Marge. Was die Hardware- und Softwarekosten betrifft, so sinken diese erfahrungsgemäss laufend. Diesen Preiszerfall gilt es im Outsourcingvertrag abzubilden.
[29]
Was die Dienstleistungskosten betrifft, so sind Service Provider regelmässig in der Lage, bei der Betriebsübernahme Rationalisierungen zu realisieren. In der Betriebsphase sind die Dienstleistungskosten hingegen relativ starr. Auf eine Reduktion oder eine Ausweitung der nachgefragten Informatikleistung reagieren sie nicht fein skaliert, sondern stufenweise.
[30]
Der Nutzungsumfang kann sich durch natürliches Wachstum oder durch Akquisitionen erhöhen, im Falle von Restrukturierungen oder Unternehmensverkäufen aber auch reduzieren.
[31]
Werden die Preise auf die bezogenen Leistungseinheiten umgelegt, so ist die absolute Menge der bezogenen Leistungseinheiten ein wichtiger Faktor bei der Preisfestsetzung. Nimmt die Zahl der gesamthaft bezogenen Leistungseinheiten ab, müssen die starren Dienstleistungskosten und der Deckungsbeitrag auf eine kleinere Anzahl Leistungseinheiten verteilt werden. Der Preis pro Einheit muss aus der Optik des Service Providers deshalb steigen.
[32]
Nimmt die Zahl der gesamthaft bezogenen Leistungseinheiten hingegen zu, so müsste der Preis pro Leistungseinheit eigentlich sinken. Tut er dies nicht, erzielt der Service Provider einen höheren Deckungsbeitrag als im Zeitpunkt des Vertragsabschlusses. Aus der Sicht des Kunden ist deshalb anzustreben, dass die Einheitspreise sinken, wenn die Gesamtmenge der bezogenen Leistungseinheiten steigt.

7.2.

Preisklauseln in Outsourcingverträgen ^

[33]
Die Formulierung von Preisklauseln in Outsourcingverträgen ist deshalb eine äusserst anspruchsvolle Aufgabe. Aus der Sicht des Kunden ist es wichtig, die Preise oder wenigstens die Modelle zur Preisbildung im Vertrag genau zu definieren. Das ist deshalb so, weil sich der Service Provider nach Vertragsabschluss in einer Monopolsituation befindet und die Preise diktieren kann. Ausserdem sollte im Interesse beider Parteien unbedingt darauf geachtet werden, dass der Outsourcingvertrag auch in der Betriebsphase eine Optimierung und damit eine Kostensenkung unterstützt.
[34]
Aber die präzise Formulierung der Preisklauseln genügt noch nicht, um vor unliebsamen Überraschungen sicher zu sein. Um nämlich beurteilen zu können, ob sich die Preiserwartung des Kunden mit dem vereinbarten Preismodell auch realisieren lässt, müssen Preissimulationen über die ganze Betriebsdauer gemacht werden. Dabei sind Annahmen zu treffen über alle Faktoren, welche das Volumen der bezogenen Informatikleistung beeinflussen. Neben naheliegenden Faktoren wie der Personalentwicklung oder beabsichtigten Akquisitionen oder Devestitionen sind auch Ereignisse ausserhalb des Einflussbereichs des Unternehmens zu berücksichtigen wie die generelle Konjunktur-, die Kapitalmarkt- oder die Branchenentwicklung. Aber auch technologische Entwicklungen und daraus resultierende veränderte Einsatzbedingungen sind in diese Betrachtung einzubeziehen.
[35]
Die Preissimulation muss sämtliche Kosten vom Übergabeprojekt bei Vertragsbeginn bis zur abgeschlossenen Rückübernahme berücksichtigen.

7.3.

Outsourcing und die internen Kosten ^

[36]
Oft werden die Kosten, welche im Zusammenhang mit dem Outsourcing intern im Betrieb des Kunden anfallen, nicht oder nur ungenügend in die Evaluation einbezogen. Während die Projektkosten, welche bei der Ausgliederung des Betriebsteils auf den Service Provider entstehen, in der Regel in die Kalkulation einfliessen, ist dies bei den Rückführungskosten nach Ablauf des Outsourcings nicht der Fall. Dabei können diese sehr erheblich sein, zumal die Leistungen des Service Providers bei der Rückführung nach Aufwand abgerechnet werden und diese Kosten somit nicht fixiert sind.
[37]
Ein weiterer grosser Kostenblock resultiert daraus, dass die Leistungen des Service Providers durch den Kunden gesteuert und überwacht werden müssen. Dadurch werden interne Ressourcen gebunden. Auf diese Weise entstehen regelmässig teure interne Schattenorganisationen.

8.

Outsourcing und das Ziel der Performancemessung der IT ^

[38]
Was das Kriterium der Performancemessung betrifft, so widmen sich Outsourcingverträge diesem Thema meistens ausführlich. Ein detailliertes Reporting ist regelmässig Teil der geschuldeten Leistung. Werden dann an eine mangelhafte Performance noch Entschädigungsfolgen geknüpft, so ist garantiert, dass sowohl der Service Provider wie auch der Kunde der Performancemessung die nötige Beachtung schenken. Wird die Leistung hingegen intern bezogen, besteht für eine konsequente Performancemessung keine zwingende Veranlassung. Ob diese trotzdem erfolgt, ist davon abhängig, welche Bedeutung die Verantwortlichen der IT-Governance beimessen.

9.

Fazit und Empfehlungen ^

[39]
Wie schon im Opel-Entscheid festgestellt wurde, ist es grundsätzlich zulässig, die betriebliche Informatik auf einen externen Service Provider auszugliedern. Allerdings hat dies im Rahmen eines schriftlichen Outsourcingvertrages zu geschehen, welcher die wesentlichen Eckwerte des Outsourcings festhält. Zudem bleibt die oberste Verantwortung für das Outsourcing immer beim Kunden. Das setzt voraus, dass ein Kunde seinen Service Provider kontrollieren muss. In welchem Umfang dies erforderlich ist, hängt vom Regulierungsgrad des Wirtschaftsbereichs ab, in welchem das Unternehmen tätig ist.
[40]
Eine andere Frage ist, ob ein Outsourcing wirtschaftlich sinnvoll und nachhaltig ist. Dabei sollte Folgendes beachtet werden:
[41]

Bevor ein Projekt ausgeschrieben wird, sollte eine sorgfältige strategische Evaluation der Chancen und Risiken eines Outsourcings erfolgen. In der Tendenz ist ein Outsourcing nur für reife Informatikumgebungen geeignet und nur dort, wo es um Leistungen geht, die einen gewissen Standardisierungsgrad haben und die somit auch bei anderen Dienstleistern bezogen werden könnten. Weniger geeignet ist ein Outsourcing für Leistungen, für deren Erbringung gute Kenntnisse des Kerngeschäftes zentral sind. Ebenfalls nicht geeignet ist ein Outsourcing für Informatikumgebungen, die einen unterdurchschnittlichen Organisationsgrad aufweisen, denn Probleme lassen sich nicht auslagern, sondern nur klar definierte Leistungen.

[42]
Beim Kostenvergleich sind die Kosten des Outsourcings über die volle Vertragsdauer, unter Einbezug der internen Kosten sowie einschliesslich der Rückführungskosten zu kalkulieren. Dabei sind Annahmen bezüglich des Geschäftsverlaufs und der daraus folgenden Auswirkungen auf die Informatik zu treffen.
[43]
Ein Outsourcingpartner ist in der Regel nicht in der Lage, sicherzustellen, dass die IT einen Beitrag zu Strategieentwicklung und Wertschöpfung des Unternehmens leistet.
[44]
Die Auslagerung kann zu Kontrollverlust führen. Weil die Risikoverteilung aber vertraglich geregelt ist, werden Risiken identifiziert und adressiert.
[45]
Die langfristige Bindung führt zu einer Monopolsituation. Das Auswechseln eines Service Providers oder gar die Rückübernahme der Leistungen ist für Kunden mit hohen Kosten verbunden. Service Provider haben deshalb während dem Outsourcing eine starke Verhandlungsposition.
[46]
Der Kunde muss auch bei einem Outsourcing eigene Informatikkompetenzen behalten. Es ist eine effiziente interne Organisation für die Steuerung und Überwachung des Service Providers einzurichten. Sie muss in der Lage sein, die Anforderungen an die Informatik gegenüber dem Service Provider mit dem erforderlichen Präzisierungsgrad zu formulieren und die Qualität der IT-Leistung zu überwachen.
[47]
Schriftliche Verträge sind wichtig und rechtlich zwingend erforderlich. Der Vertragsgestaltung kommt bei Outsourcingprojekten eine grosse Bedeutung zu.

Dr. iur. Urs Egli ist Partner bei EPartners Rechtsanwälte in Zürich (www.epartners.ch) und hat sich auf Informatik- und Technologierecht spezialisiert.
 


 

  1. 1 Siehe zum Sachverhalt BGHZ 106, S. 54 ff.; zu den damit zusammenhängenden IT-Governance Themen Hartwig Grabbe in Peter Bräutigam (Hrsg.), IT-Outsourcing, 2. Auflage, Berlin 2009, S. 459 ff.
  2. 2 Siehe dazu Stephan Kronbichler, Anforderungen an das IT-Outsourcing im Bankenbereich, in Carl Baudenbacher, aktuelle Entwicklungen des europäischen und internationalen Wirtschaftsrechts, Basel 2005.
  3. 3 Rundschreiben FINMA 2008/7 Outsourcing Banken.
  4. 4 z.B. Statement on Auditing Standards No. 70: Service Organizations.
  5. 5 Annette Willi, IT-Governance als Aufgabe des Verwaltungsrates, Dissertation Zürich 2008, S. 93 ff.
  6. 6 Zum minimalen Inhalt von Outsourcingverträgen siehe Grabbe / Bräutigam, a.a.O. 465.
  7. 7 Die nachfolgenden Ausführungen basieren auf einem Whitepaper, welches der Autor unter dem Titel «Ist Outsourcing out?» zusammen mit Dr.rer.nat. Werner Lippert verfasst hat.
  8. 8 Siehe zum Ganzen Willi, a.a.O.
  9. 9 Siehe Rz 6 ff.
  10. 10 Urs Egli, Annette Willi: IT-Governance als Aufgabe des Verwaltungsrates – Eine Rezension, in: Jusletter 27. Juni 2011.