Fallstricke im IT-Outsourcing-Vertrag

Besonderes Augenmerk bedarf es bei der Vertragsgestaltung

Der Trend zur Digitalisierung hält in allen Branchen ungebrochen an. Auch die Akteure der Gesundheitswirtschaft, insbesondere deutsche Krankenhäuser, müssen sich den Herausforderungen und Chancen der digitalen Transformation stellen, um zukünftig bestehen zu können. Eine zentrale Frage dabei lautet, ob IT-Leistungen selbst erbracht oder zukünftig ausgelagert werden sollen, um zum Beispiel Ressourcen (Personal und IT-Budget) zu sparen oder fehlendes Know-how kompensieren zu können. Neben den technischen und wirtschaftlichen Aspekten verdient beim IT-Outsourcing die Vertragsgestaltung besondere Aufmerksamkeit.

Der Begriff IT-Outsourcing bezeichnet die Auslagerung von IT-Infrastrukturen und IT-Prozessen, wie zum Beispiel Housing, Hosting und Cloud-Services. Die Servicetiefe und die Zusammenarbeit zwischen dem IT-Outsourcing-Anbieter und dem Unternehmen wird in der Regel in abgestuften Vertragswerken, vor allem in Service Level Agreements (SLA) geregelt.

Arten von IT-Outsourcing

IT-Outsourcing kann im Wesentlichen in drei Leistungsebenen unterteilt werden:

  • „Software as a Service“ (SaaS),
  • „Platform as a Service“ (PaaS) und
  • „Infrastructure as a Service“ (IaaS).

In der Praxis werden überwiegend SaaS und IaaS in Anspruch genommen. Auf der Anwendungsebene SaaS, in der Praxis auch einfach „Application-Outsourcing“ genannt, erfolgt eine Anmietung der Softwarelösung (z. B. Finanzbuchhaltungs- oder Personalsoftware) beim Hersteller bzw. Outsourcingpartner und der Zugriff erfolgt online bzw. als Webanwendung. Die Wartung und die Betriebsbereitschaft gewährleistet hier der Dienstleister. Der Bereich IaaS umfasst die Auslagerung einzelner Server Leistungen, Cloud-Services oder sogar der vollständigen Infrastruktur bzw. des ganzen Rechenzentrums. Anstatt mit hohem Zeit- und Kostenaufwand in die IT vor Ort zu investieren, werden komplette Infrastrukturkomponenten an den IT-Outsourcing-Anbieter übertragen.

Das Outsourcing von IT-Leistung bietet dem Unternehmen einige Vorteile, die durchaus seine Wettbewerbsposition stärken können:


Fachkräftemangel und fehlendes Know-how: Gute IT-Mitarbeiter sind in der heutigen Zeit sehr gefragt und entsprechend schwer zu rekrutieren. Für die Administration der Unternehmens-Firewall ist zum Beispiel viel Know-how erforderlich, aber nicht immer vorhanden. Über den IT-Dienstleister erhalten Unternehmen umgehend Zugriff auf IT-Spezialisten, die gut ausgebildet sind, was die erforderliche Expertise garantiert.

Konzentration auf das Kerngeschäft: Die IT-Mitarbeiter im Unternehmen stoßen oft an ihre Belastungsgrenze, weil zum Beispiel viele zeitaufwendige Routinearbeiten wie der technische Support, der E-Mail-Betrieb oder Monitoring-Aufgaben geleistet werden müssen. Durch das Outsourcing dieser Routinearbeiten werden die IT-Mitarbeiter entlastet und können sich mehr auf ihre Kerntätigkeiten und -projekte konzentrieren.

Auffangen von Lastspitzen: Das Arbeitsaufkommen im Unternehmen ist nicht immer konstant. Auch können unerwartete Ausfälle von Mitarbeitern, zum Beispiel im Krankheitsfall, nicht immer sofort kompensiert werden. Hier zeigt sich der Vorteil von IT-Outsourcing, wenn zusätzlicher Bedarf einfach „hinzugebucht“ werden kann, um die Bereitschaft des IT-Betriebs jederzeit gewährleisten zu können. Gleichzeitig können Unternehmen ihre Personalkosten gering halten, wenn sie nur die tatsächlich benötige Arbeitsleistungen bezahlen müssen, statt einen zusätzlichen Mitarbeiter einzustellen, der außerhalb der Lastspitze nicht benötigt wird.

Up-To-Date bleiben: Gerade bei großen Investments in der IT stellt sich oft die „Make or buy“-Frage: Ist es lohnender, viel Geld in die IT-Infrastruktur zu investieren (make) oder die benötigte Infrastruktur/Leistung bei einem IT-Outsourcing-Anbieter zu beziehen (buy)? Hierbei ist auch der ständige Anpassungsbedarf zu berücksichtigen. Zum Beispiel müssen das Wechseln von Server- und Netzwerk-Komponenten und das Aufspielen von Software-Updates zeitnah erfolgen, um die Hochverfügbarkeit von kritischen Systemen – zum Beispiel des Krankenhausinformationssystems (KIS) – zu gewährleisten. Outsourcing-Partner setzen hier in der Regel aktuelle Technologien zeitnah ein und reagieren im Rahmen des festgelegten Kostenumfangs schnell auf neue Entwicklungen und Anforderungen. Auf diese Weise bleiben auslagernde Unternehmen über die beauftragten Dienstleister auf dem von Bundesamt für Sicherheit in der Informationstechnik (BSI) geforderten Stand der Technik.

Der Outsourcing-Vertrag

Üblicherweise sind Outsourcing-Verträge durch einen modularen Aufbau mit unterschiedlichen Ebenen gekennzeichnet. Die gemeinsamen rechtlichen Grundlagen werden in der Regel in einem Rahmenvertrag zusammengefasst, während die Einzelheiten der unterschiedlichen Leistungsbestandteile daran anknüpfend in Leistungsscheinen und Service Level Agreements (SLA) abgebildet werden. So lassen sich einzelne Leistungen gegebenenfalls modifizieren, ohne den Rahmenvertrag antasten zu müssen. Ein Leistungsschein kann bereits mehrere Leistungen umfassen, deren Art und Umfang bzw. Güte der Leistungserbringungen dann in den SLA spezifiziert wird.

Durch einen solchen „Vertragsbaukasten“ sind erfahrungsgemäß die verschiedenen Bestandteile der meist langfristigen Outsourcing-Projekte sehr gut abzubilden. Hierzu gehören neben der Analyse und der Migration von IT-Strukturen oder -Prozessen des Auftraggebers auch deren Überwachung, Umgestaltung, Verbesserung sowie eine etwaige Re-Transition. Das Vertragskonstrukt muss daher genug Flexibilität gewährleisten, um den sich im Laufe einer langjährigen Zusammenarbeit verändernden Anforderungen des Kunden Rechnung tragen zu können. Wegen der langfristig angelegten Bindung der Parteien, der erforderlichen Abstimmung und Kooperation sowie der häufig geschäftskritischen Bedeutung der outgesourcten IT sind auf beiden Seiten erhöhte Treuepflichten der Vertragspartner zugrunde zu legen.

Eine große Herausforderung besteht dabei darin, die einzelnen Vertragsbestandteile im Ausgleich der Interessen zwischen Anbieter und Kunden aufeinander abzustimmen. Hier gilt es, bereits im Vorfeld das Verhältnis bzw. die Hierarchie der einzelnen Baukastenteile zueinander klar zu regeln. Hierfür bietet sich der Rahmenvertrag an, der im Idealfall alle allgemeinen vertragsrechtlichen Fragen des Outsourcing-Projektes möglichst umfassend regelt. In den Leistungsscheinen werden dann Umfang und Form der Leistungserbringung konkret geregelt. Die individuellen Regelungen der verschiedenen Vertragsbestandteile ergeben im Optimalfall einen ausbalancierten rechtlichen Rahmen für eine langfristig erfolgreiche Zusammenarbeit. Dabei sind zahlreiche Themen zu beachten, deren rechtlich saubere Formulierung wichtig für die genannte Ausgewogenheit ist:

Allgemeine Regelungen
•    angemessene Kündigungsfristen
•    Prüfrechte des Auftraggebers
•    Berücksichtigung von Konzernstrukturen
•    Haftung und Gewährleistung
•    Einsatz von Sub-Dienstleistern

Leistungserbringung

•    eindeutige Definition der Service-Level und Key Performance Indicator (KPI)
•    Service- und Supportzeiten
•    Prioritäts- und Eskalationsregelungen
•    Re-Transition-Regelungen

IT-Sicherheit
•    Angemessenheit des IT-Sicherheitskonzepts
•    Regelungen bei Eintritt von Sicherheitsvorfällen

Datenschutz

•    technisch-organisatorische Regelungen
•    Datenschutzkonzeption
•    Einbezug von Sub-Dienstleistern

Praxis-Hinweis

Die Komplexität eines IT-Outsourcing-Projekts wird in aller Regel unterschätzt. Neben der technischen, der prozeduralen und der wirtschaftlichen Dimension sind auch die Details der Vertragsgestaltung frühzeitig zu bedenken; Unterstützung durch entsprechend qualifizierte Juristen ist hier dringend anzuraten. Gern unterstützen wir Sie bei Ihrem IT-Outsourcing-Projekt – sprechen Sie uns an.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
StB
Thomas Heithausen
+49 (0)2203 8997-116
 
Leitung Geschäftsbereich IT-Beratung

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Veröffentlichungen in der Fachpresse
2021

  • Auf die Größe kommt es an: Health&CareManagement 7/2021, S. 60-61
Köln
RA
Sven Schiffner
+49 (0)2203 8997-417
 
Fachanwalt für Steuerrecht

Solidaris Rechtsanwaltsgesellschaft mbH

Schiffner

Sven Schiffner

  • Studium der Rechtswissenschaft in Münster, Buenos Aires, Bonn 
  • seit 2010 Rechtsanwalt
  • seit 2017 Fachanwalt für Steuerrecht
  • seit Januar 2018 für die Solidaris Rechtsanwaltsgesellschaft tätig

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht
  • Strukturberatung von Non-Profit-Unternehmensverbünden
    und privaten Unternehmen 
  • Allg. Zivilrecht und Vertragsrecht

Veröffentlichungen in der Fachpresse
2019

  • Rückforderungsrecht der PKV bestätigt: Health&Care Management, 6/2019, S. 58-59.

Veröffentlichungen in der Fachpresse
2018

  • Heimselbstbehandlung führt nicht zwingend zur Steuerpflicht bei Faktorpräparaten: Health&Care Management, 7/2018, S. 57
  • Umsatzsteuer auf ambulante Zytostatika: Rückforderungsansprüche der Kostenträger?: GesundheitsRecht, 9/2018, S.558-565.