IT-Outsourcing? Aber sicher!

 

IT-Outsourcing (IT auslagern) und die damit verbundene IT-Outsourcing Beratung stellen für mittelständische Unternehmen eine interessante Option dar. Viele Inhaber mittelständischer Unternehmen haben immer noch gewisse Vorbehalte vor dem IT-Outsourcing und einer IT-Outsourcing Beratung. Ein unbestimmtes Gefühl zwischen „die Fäden aus der Hand geben“ und der Frage danach, als mittelständische Unternehmen beim zukünftigen Outsourcing-Dienstleister gegebenenfalls nicht an erster Stelle zu stehen, wenn etwas passiert, gehen damit einher. Demgegenüber steht in vielen Unternehmen die Notwendigkeit, die IT-Infrastruktur für das mobile Arbeiten im Homeoffice zu modernisieren. Dies macht die Frage nach dem "Make or Buy" (Wahl der richtigen Sourcing-Strategie) derzeit noch virulenter. Eine wohl strukturierte Vorbereitung, ein durchdachtes Konzept sowie eine gute Vertragsgestaltung und Verhandlung mit dem IT-Outsourcing-Dienstleister (sogenannter Managed Services Provider) schaffen Abhilfe. 

Im Rahmen einer IT-Outsourcing Beratung schauen unsere IT- und Datenschutz-Experten auf Ihre Anforderungen und Wünsche. Denn in einem Unternehmen können zahlreiche Prozesse, die gesamte oder Teile einer IT-Infrastruktur mittel- bis langfristig ausgelagert werden. IT-Outsourcing bietet gerade mittelständischen Unternehmen die Möglichkeit, an den neuesten Entwicklungen in der IT teilzuhaben, ohne selbst hohe IT-Investitionen vornehmen zu müssen. Bei allen Vorteilen, die auf der Hand liegen, und im weiteren Text aufgeführt sind: IT-Outsourcing ist immer eine unternehmensstrategische Entscheidung der Geschäftsleitung. Hier gilt es, die richtige Sourcing-Strategie zu wählen. Unsere IT-Outsourcing Beratung unterstützt Sie bei der Wahl einer individuell auf Ihre Bedürfnisse zugeschnittenen Sourcing-Strategie. 

Welche Arten von IT-Outsourcing gibt es?

In nahezu jedem Unternehmen ist die IT eine kritische Größe: Invests in eine moderne IT-Infrastruktur sind meist hoch, erfahrene Mitarbeiter Mangelware am Markt. Fakten, die dafür sprechen, sich Leistungen zuzukaufen. Je nach Art und Bedürfnissen eines Unternehmens kann man zwischen einer sich in der Cloud befindlichen Infrastruktur oder einer On-Premise-Lösung wählen. Was versteht man unter On-Premise und Cloud-Hosting?

On-Premise ist sicher die in der Vergangenheit vielfach eingesetzte Methode. Die gesamte IT wird hier von eigenen Kräften verwaltet. Dazu gehören die Einrichtung und Pflege der gesamten Infrastruktur bis hin zu den immer komplexeren Fragen nach der IT-Sicherheit. Hierzu ist eigenes Personal vorzuhalten, zu schulen und fachgerecht einzusetzen. 

Im modernen Cloud Hosting bzw. Cloud-Sourcing übernimmt der Service Provider die Aufgaben, die vorher das Unternehmen eigenverantwortlich betrieben hat. Verfügbarkeit, Funktionalität und die Verantwortung für die neueste Technologie und Software liegen beim Outsourcing-Partner. Dabei können die gesamte IT oder Teilprozesse ausgelagert werden.

Welche Vorteile bietet das IT-Outsourcing?

Teile oder den gesamten Bereich der IT an einen externen Anbieter (Managed Services Provider) auszulagern bietet eine ganze Reihe an Vorteilen:

  • Durch die Auslagerung im IT-Bereich ist es möglich, auf das besondere Fachwissen von spezialisierten Dienstleistern zurückzugreifen. Somit werden Kompetenzen an externer Stelle gebündelt, die das Unternehmen selbst nicht mehr vorhalten muss.
  • Durch das IT-Outsourcing kann man Kosten einsparen, da der IT-Outsourcing-Dienstleister notwendige Investitionen übernimmt, seine Ressourcen für alle Kunden einsetzt und die Kosten auf diese verteilt. 
  • Zudem bietet ein IT-Outsourcing-Dienstleister in der Regel umfassendere technische und organisatorische Sicherungsmaßnahmen oder gar Pakete, aus denen die Geschäftsleitung auswählen oder zukaufen kann (zum Beispiel Wartungsverträge). 
  • Schließlich ist das Outsourcing ein Mittel der Risikostreuung, da der Dienstleister häufig über mehrere Personen verfügt, die beim Ausfall einer Person einspringen. So können Arbeitszeitmodelle, wie zum Beispiel eine 24/7-Betreuung zugekauft werden, die das eigene Unternehmen nicht abbildet.
  • Sollte es dennoch zu einem Verlust von Daten oder einem ähnlichen schädigenden Ereignis kommen, steht dem Unternehmen gegenüber dem Dienstleister bei einer guten Vertragsgestaltung ein Schadensersatzanspruch zu. Somit wird mit dem IT-Outsourcing auch ein Haftungsvorteil erwirkt.

Welche Nachteile gehen mit der der IT-Auslagerung einher?

Dennoch gilt es, die Entscheidung zur Auslagerung der eigenen IT überlegt zu treffen:

  • Zum einen unterliegen gewisse Daten im Unternehmen einem besonderen Schutz. Dies sind neben den personenbezogenen Daten, für die die Wahrung des Datenschutzes zu gewährleisten ist, insbesondere eigene und fremde Geschäftsgeheimnisse. Auf den Schutz dieser Daten sollten Sie beim Einsatz eines externen Dienstleisters besonders achten. 
  • Gegebenenfalls können die von dem Dienstleister angebotenen Service- und Supportzeiten zu einer Verzögerung der eigenen Leistungen führen. Die IT nicht mehr im „eigenen Haus zu haben“, bedeutet letztlich, die Kontrolle dafür abzugeben.
  • Außerdem begibt sich das auslagernde Unternehmen darüber hinaus in eine Abhängigkeit vom Drittanbieter, was bei einer Anpassung der Kosten oder einer Einstellung oder Umstellung der angebotenen Dienstleistung unter Umständen von Bedeutung ist. 

Die dhpg-Checkliste für ein gutes IT-Outsourcing bzw. eine gelungene IT-Outsourcing Beratung

Bevor Sie eine Entscheidung im Hinblick auf Ihren Outsourcing Provider treffen, bedenken Sie daher insbesondere die folgenden Punkte:

  • Welche Prozesse sollen ausgelagert werden und warum?

Schauen Sie sich zunächst genau an, welche Bereiche der IT Sie auslagern möchten. Stellen Sie die Vor- und Nachteile der Auslagerung den Vor- und Nachteilen der eigenen Prozessabwicklung gegenüber. Insbesondere im Bereich der Kosten sollte das eigene Wachstumspotenzial des Unternehmens berücksichtigt werden, das in Zukunft zu einer Kostensteigerung führen kann. 

  • Welche Dienstleister kommen in Betracht?

Treffen Sie die Wahl des Outsourcing-Dienstleisters nicht vorschnell. In der Regel bietet es sich an, Angebote mehrerer Dienstleister einzuholen und zu vergleichen. Vergleichen Sie neben dem Preis auch hier die angebotenen Dienstleistungen und das Service-Level genau. Selbst in Zeiten der Digitalisierung ist es für viele Unternehmen wichtig, ihren Dienstleister im lokalen Umfeld zu wissen. Bei einem Outsourcing-Anbieter (Managed Services Provider) aus dem Ausland sind Sprachbarrieren und eine mögliche Zeitverschiebung zu bedenken. Gegebenenfalls bestehen rechtliche Vorschriften, etwa zur Buchführung, zum Datenschutz, zur Regulatorik oder aus dem Berufsrecht, aus denen sich weitere Anforderungen an den Dienstleister ergeben. Der Anspruch an die IT-Sicherheit spielt eine wichtige Rolle: Wie sehen Service Level Agreements (SLAs) aus, wie Wiederanlauftests nach Updates oder Sicherheitschecks? In der Praxis stellen sich hier häufig folgende Herausforderungen:

  • Dienstleister aus den USA: Nach dem Wegfall des Privacy Shields durch das „Schrems II“-Urteil des Europäischen Gerichtshofs ist es auch über die Standardvertragsklauseln schwierig geworden, US-Anbieter DSGVO-konform einzubinden.
  • Dienstleister im Ausland: Nach § 146 Abgabenordnung (AO) sind Bücher und die sonst erforderlichen Aufzeichnungen grundsätzlich in Deutschland bzw. der EU zu führen und aufzubewahren. In Drittstaaten funktioniert das nur auf Antrag an das Finanzamt.
  • Für Banken statuieren nun die European Banking Authority-Outsourcing-Guidelines, deutlich strengere Anforderungen als aus den Mindestanforderungen an das Risikomanagement (MaRisk) bekannt.

 

  • Sind die Verträge für beide Seiten fair und rechtssicher gestaltet?

Bei großen Dienstleistungsanbietern besteht in der Regel nicht die Möglichkeit, über den Vertragsinhalt groß zu verhandeln. Trotzdem sollten Sie auch diese Verträge prüfen. Bei kleineren Anbietern besteht hingegen häufig die Möglichkeit, eigene Verträge vorzulegen oder die Musterverträge an den einzelnen Auftrag anzupassen. Big Points sind hier regelmäßig der Scope und das Service-Level.

  • Wie schnell erfolgt die Umstellung?

Die Auslagerung der IT ist häufig mit einer Änderung der Betriebsabläufe verbunden, die auch zu einem vorübergehenden Betriebsausfall oder zumindest einer Betriebseinschränkung führen kann. Es ist daher besonders wichtig, vorab einen Plan zu entwickeln, wann und wie eine Umstellung erfolgt. Gegebenenfalls können schrittweise Anpassungen oder Umstellungsarbeiten außerhalb der Geschäftszeiten vereinbart werden.  

  • Wie lange läuft der Vertrag?

Einerseits braucht das auslagernde Unternehmen regelmäßig eine gewisse Laufzeit zwecks Planungssicherheit, andererseits muss auch der Exit möglich sein. Insofern sind neben der Laufzeit insbesondere die Kündigungsrechte von Bedeutung.

  • Wie können sich Dienstleister vorbereiten?

Dienstleister sollten sich so positionieren, dass regulatorische oder interne Vorgaben des auslagernden Unternehmens nicht zum „Deal-Breaker“ entwickeln. In der Praxis helfen hier eigene Zertifizierungen enorm. Zu nennen ist hier beispielsweise eine Datenschutzzertifizierung nach IDW PS 860 oder eine Zertifizierung des Informations-Sicherheits-Management-Systems, zum Beispiel nach ISO 27001.

IT-Outsourcing-Beratung aus der Praxis

Die dhpg IT-Berater und Datenschützer begleiten Sie bei der Analyse, Konzeption, Vertragsgestaltung bis hin zur Umsetzung von IT-Outsourcing-Projekten. Als IT-Berater einer Prüfungs- und Beratungsgesellschaft legen wir bei unserer IT-Outsourcing Beratung und der nachfolgenden Begleitung in der Umsetzung besonderen Wert auf: 

  • Eine Auflistung aller für ein Unternehmen relevanten Themenfelder. So kann neben den fachlichen Anforderungen zum Beispiel der Standort des Dienstleisters bei der Entscheidung für oder gegen einen Partner eine Rolle spielen.
  • Gemeinsames und einheitliches Verständnis beider Parteien über die Partnerschaft und den Ablauf des Projekts (Definition von Soll- und Istzustand, Übergabe, Absprachen etc.) 
  • Die Erfüllung von Compliance-Anforderungen durch den Anbieter bzw. Managed Services Provider (individuelle Compliance des Unternehmens, Datenschutz, Speicherorte, Zertifizierungen etc.)
  • Eine Vertragsgestaltung mit dem IT-Outsourcing Dienstleister ohne versteckte Überraschungen (Standardprozesse, Vermeiden von Mehrkosten, Prozess-fit zum Dienstleister etc.)
  • Begleitung des Prozesses über die erste Einführung hinaus bis hin zu etablierten Prozessen  

Die Frage, ob ein IT-Outsourcing für mittelständische Unternehmen eine interessante Sourcing-Option darstellt, ist, wie eingangs erwähnt, eine unternehmensstrategische Entscheidung. Da Partnerschaften hier immer mittel- bis langfristig ausgelegt sind, bedarf es einer guten Vorbereitung und Auflistung aller notwendigen Anforderungen. Gut vorbereitet wird der Weg mit transparenten Kostenstrukturen, flexiblen Ressourcen und guten Compliance-Lösungen belohnt.

Wenn Sie Fragen zum Thema IT-Outsourcing haben oder Outsourcing-Beratung wünschen, sprechen Sie uns gerne an. Wir beraten Sie persönlich. Gerne beraten wir Sie auch in allen anderen Fragen zu den Themen IT-Recht und IT-Services

Ähnliche Beiträge

Zurück

Dr. Christian Lenz

Rechtsanwalt, Fachanwalt für Steuerrecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Kontakt

Nehmen Sie mit uns Kontakt auf

Briefumschlag Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink