Vertragliche Regelungen BCM als Bestandteil von IT-Outsourcing Verträgen Udo Steger Heymann & Partner Rechtsanwälte 2. Deutschsprachiger BCI Kongress 2007 Frankfurt am Main, 19. September 2007
Übersicht 1. BCM: Allgemeine Überlegungen zur Vertragsgestaltung beim IT- Outsourcing 2. Auf welche Klauseln muss besonders geachtet werden? 3. Besondere gesetzliche Vorgaben für vertragliche Regelungen 4. Einzelne Probleme 5. Thesen und Ausblick 2
1. BCM: Allgemeine Überlegungen zur Vertragsgestaltung beim Outsourcing IT-Outsourcing aus Sicht des BCM: Juristische Vorteile (und Hoffnungen!)... Zugriff auf zusätzliche Ressourcen Ziel: Mehr Leistung für dieselben oder weniger Kosten als bisher Steigerung der Qualität des BCM durch Nutzung aufwändigerer Ressourcen, Verfügbarkeit routinierten Personals Aus Sicht des Anbieters: bessere Ausnutzung von Ressourcen einheitliche Leistungserbringung weniger komplexes Vertragsmanagement, weniger Leistungsbeziehungen mit z.t. schwachen Dritten ein starker Vertragspartner = ein solventer Schuldner im Haftungsfall aber: Single Vendor Strategien heute immer seltener u.u. parent guarantee Die Hoffnung: Bessere Erfüllung rechtlicher Anforderungen an das BCM in insgesamt besserer Qualität 3
1. BCM: Allgemeine Überlegungen zur Vertragsgestaltung beim Outsourcing... und neue Risiken: Kontrollverlust: vertragliche Weisungsrechte oft kein echter Ersatz für Weisungsrechte gegenüber eigenen Mitarbeitern Koordinations-, Kommunikations-, Kompetenzprobleme im Notfall u.u. erhöhte Abhängigkeit von IT-Infrastruktur (Nearshore, Offshore-Strategien) insbesondere bei Multi-Vendor Strategien Änderungen der BCM-Strategie sind aufwendiger Besondere Risiken aufgrund der Transformationsphasen am Beginn und am Ende des Vertrags Risiko unvollständiger Leistungsbeschreibung = jedenfalls Kostenrisiko Nach Vertragsschluss oft geringe(re) Verhandlungsmacht, Kostenrisiko Folge: IT-Outsourcing bedeutet für das BCM, dass einer Vielzahl neuer Risiken geeignet begegnet werden muss 4
1. BCM: Allgemeine Überlegungen zur Vertragsgestaltung beim Outsourcing Vertragsgestaltung und Vertragsstruktur BCM möglichst in eigener Anlage Notfallplanung, über welches der BCM- Verantwortliche die Hoheit hat Rahmenvertrag mit Anlagen, die leicht ergänzt werden können NICHT: Anlage erst später hinzufügen Bei Vertragsschluss möglichst vollständig im Sinne des Ob und was Voraussetzung: Möglichst vollständige Leistungsbeschreibung 5
2. Auf welche Klauseln muss besonders geachtet werden? Kosten, Kosten, Kosten... Laufende Kosten, Einmal-Kosten, Kosten für Übungen Wer trägt welche Kosten des Notfalls? Allg. Haftungsregelung reicht oft nicht! falls möglich, Kosten für Notfallmaßnahmen aufführen (Stundenzuschläge usw.) Testsysteme: können die auch als Notfallsystem genutzt werden? Wer trägt die Kosten für ein Ausweichsystem, welches im Zuge der Notfallplanung angeschafft werden muss? Festlegung von Standards Welche Standards finden Anwendung? auch: Interne Policies Änderungsverfahren: grundsätzlich TOP beim Änderungsverfahren: AN muss stets Auswirkungen auf bestehende Notfallplanung darlegen Änderung der Notfallplanung mittels definiertem Prozess aber: nicht jede Änderung des Notfallplans darf kostenpflichtig sein! 6
2. Auf welche Klauseln muss besonders geachtet werden? Weisungsrechte Vorbehalt von Weisungsrechten im Notfall oder in solchen Fällen, die der Auftraggeber dafür hält Weisungsrechte müssen unabhängig von Weisungen anderer Kunden befolgt werden können Vorbild BaFin Rundschreiben 11/2001 bzw. Ma-Risk n.f. Benchmarking Vergleich des Preis-/Leistungsverhältnisses kann z.b. auch nur für das BCM erfolgen Service Level z.b. zugesagte Wiederanlaufzeiten Echte Pönalen, kein pauschalierter Schadensersatz! 7
2. Auf welche Klauseln muss besonders geachtet werden? Pflicht zur Beachtung von Notfallplänen des Auftraggebers insbesondere: Änderungen von solchen Plänen muss einseitig möglich sein, über Kosten kann man sich unterhalten Teilnahme an gemeinsamen Notfallübungen je nach Umfang des Outsourcing unter Leitung des SP oder des Kunden Pflicht zur Bereithaltung der hierfür erforderlichen personellen/materiellen Ressourcen Personal, Rechnersysteme, Speicherkapazität, usw. Regelmäßige Schulung der Mitarbeiter in Sachen BCM und der konkreten Notfallplanung Nachweis derselben 8
2. Auf welche Klauseln muss besonders geachtet werden? Übungen und Prüfungen Regelung, wie oft (gemeinsame) Notfallübungen abgehalten werden Regelung, wie oft die Planung geprüft und ggfs. aktualisiert wird Reporting Berichtspflicht über alle ungewöhnlichen Vorkommnisse Ziel: Kunde muss in der Lage sein, jederzeit die eigene Gefährdungssituation richtig einschätzen zu können und gegebenenfalls eigene Notfallmaßnahmen einzuleiten BCM und Force Majeure Anwendbarkeit der Regelung zur höheren Gewalt bzw. force majeure wird eingeschränkt Wird die Erstellung eines Notfallplans vorgesehen, sind viele Notfälle nicht mehr unvorhersehbar oder unvermeidbar und begründen deshalb keine Befreiung von der Leistungspflicht. 9
3. Besondere gesetzliche Vorgaben für vertragliche Regelungen Insbesondere: Datenschutz und Datensicherheit 11 Abs. 2 Satz 1 BDSG, Auftragsdatenverarbeitung: Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder - nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Prüfungsrechte: Satz 4: Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 11 Abs. 3 BDSG, Weisungsrecht und Weisungspflicht: Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 10
3. Besondere gesetzliche Vorgaben für vertragliche Regelungen MA-Risk: Banken und Finanzdienstleister, aktuell: Zweiter Entwurf der überarbeiteten Outsourcing-Regelungen, Stand 13.08.2007: AT7.3 : Notfallkonzept wird ausdrücklich gefordert; Vorsorge gegen Notfälle in (neu: zeit-) kritischen Aktivitäten ist zu treffen AT 7.3 Abs. 1 am Ende: Im Falle der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über ein aufeinander abgestimmtes Notfallkonzept zu verfügen. AT 7.3 Abs. 2: Geschäftsfortführungs- sowie Wiederanlaufpläne müssen vorhanden sein. Ersatzlösungen müssen zeitnah zur Verfügung stehen Ein Wiederanlauf muss innerhalb eines angemessenen Zeitraums möglich sein Kommunikationswege sind festzulegen Das Konzept muss den beteiligten Mitarbeitern zur Verfügung stehen...all dies muss das Gespann Auftraggeber/Auftragnehmer auch gewährleisten. 11
4. Einzelne Probleme Software Escrow Bei einem Dritten wird der Quellcode und weiteren Materialien hinterlegt......in der Hoffnung, Zugriff auf denselben nehmen zu können, wenn es zu einem Ausfall des Dienstleisters kommt. Praktisch größtes Problem: wie stellt man sicher, mit dem hinterlegten Material auch etwas anfangen zu können? Regelung von Aktualisierungsintervallen Umfang des zu hinterlegenden Großes Problem: Insolvenzfestigkeit von solchen Vereinbarungen Aktuell: RegE. InsO vom 18.08.2007: Entwurf eines Gesetzes zur... Regelung der Insolvenzfestigkeit von Lizenzen Aber: geregelt wird lediglich der Bestand von Lizenzverträgen, nicht die Insolvenzfestigkeit von Escrow Agreements 12
4. Einzelne Probleme Auslagerung der Pflege unternehmenskritischer Anwendungen Einem Dritten wird die Wartung und ggfs. Weiterentwicklung einer Unternehmenskritischen Applikation überlassen, in der Hoffnung, damit (bessere) Service Level für die Wartung zu erlangen Zugriff auf Know-How zu bekommen eigene Ressourcen besser einsetzen zu können (z.b. Neuentwicklungen) Aber: was passiert, wenn der Service Provider nicht die erwartete Leistung bringt, insbesondere die Applikation ausfällt? Pönalen haben nur abschreckende Wirkung Schadensersatzhaftung wirkt nur ex ante Kündigungsrechte Weisungsrechte Überleitungsvereinbarung 13
5. Thesen und Ausblick Zunehmend wird die Bedeutung des BCM auch juristisch erkannt und verarbeitet IT-Outsourcingverträge sind Risiko und Chance zugleich Es ist hierbei Aufgabe des BCM-Beauftragten, den >ganzen< Vertrag zu prüfen Der BCM-Beauftragte sollte seine Interessen Durchsetzen und über den vertraglichen Tellerand sehen Rechtliche/Regulatorische Anforderungen aus dem Banken/Finanzdienstleisterbereich sind eine gute Hilfestellung. 14
Fragen an Udo Steger Heymann & Partner Rechtsanwälte Kontakt: u.steger@heylaw.de Taunusanlage 1 60329 Frankfurt am Main Tel. +49 (69) 76 80 63-0 Fax+49 (69) 76 80 63-15 www.heylaw.de