Handbuch IT-Outsourcing

bb) Informationssicherheits-Managementsystem (ISMS) des Kunden

299

Für ein ISMS gibt es verschiedene Rahmenwerke. Ein sehr bedeutsames Rahmenwerk ist das Rahmenwerk „Sicherer IT-Betrieb“ des Informatikzentrums der Sparkassenorganisation (SIZ, Bonn). Dieses Rahmenwerk orientiert sich hauptsächlich an der ISO/IEC 27001 und 27002 der International Organization of Standardization (ISO, Genf) sowie den IT-Grundschutz-Standards des BSI.

300

Beim Outsourcing von bestimmten IT-Services muss der Provider in das ISMS des Kunden durch den Outsourcing-Vertrag wirksam eingebunden werden. Hierzu muss das ISMS des Kunden mit dem des Providers sinnvoll verbunden werden.

cc) ISMS des Providers

301

Der Provider muss selbst ein ISMS, welches sich z.B. am „Sicheren IT-Betrieb“, der ISO/IEC 27001 und 27002 oder dem IT-Grundschutz-Standard 100-1 orientiert. Eine echte Zertifizierung des Providers erfolgt i.d.R. nach diesem Standard nicht, sondern er verpflichtet sich vertraglich dazu, diese Standards einzuhalten. Diese Vorgehensweise wird vor allem von Providern präferiert, da diese die hohen Kosten und organisatorischen Aufwendungen scheuen.

302

Natürlich sollte dem Kunden (nach einer Nachbesserungsfrist) die Möglichkeit eingeräumt werden, den Outsourcing-Vertrag sofort zu kündigen (außerordentliches Kündigungsrecht), wenn der Provider diese Sicherheitsstandards nicht einhält.

dd) IT-Sicherheitsbeauftragter

303

Der Provider sollte einen geeigneten IT-Sicherheitsbeauftragten einsetzen, der das ISMS des Providers für die dem Kunden erbrachten IT-Services betreibt. Der IT-Sicherheitsbeauftragte des Providers sollte sich dabei mindestens einmal pro Woche zu einem Jour fixe mit dem Kunden treffen.

304

Der Provider sollte bei sicherheitsrelevanten Angelegenheiten den IT-Sicherheitsbeauftragten des Kunden – und soweit relevant zusätzlich den Datenschutzbeauftragten des Kunden – in seine Informations- und Entscheidungsprozesse mit einbeziehen.

305

Auch sollte der Provider akzeptierten, dass der IT-Sicherheitsbeauftragte des Kunden – bei Gefahr im Verzuge – gegenüber den Mitarbeitern des Providers in sicherheitsrelevanten Angelegenheiten, die den Kunden betreffen, weisungsbefugt ist. Dadurch sollte aber weder ein Arbeitsverhältnis begründet werden noch ein Fall der Arbeitnehmerüberlassung i.S.v. §§ 1 ff. AÜG vorliegen.

ee) Berichte und Prüfungen

306

Der Provider sollte den Kunden durch regelmäßige Berichte informieren und bei Bedarf im Einzelfall den IT-Sicherheitsbeauftragten des Kunden, um diesem jederzeit einen aktuellen, umfassenden und detaillierten Überblick über die Sicherheitslage zu geben.

307

Der Provider sollte dabei dem Kunden gestatten (ggf. durch einen beauftragten Dritten), Sicherheitsüberprüfungen beim Provider durchzuführen. Der Provider sollte dem Kunden die relevanten Berichte, die die interne Revision des Kunden benötigt, auch zur Verfügung stellen. Falls der Provider über Zertifizierungen verfügt (z.B. ISO/IEC 27001, SAS70 etc.), sollte er Kopien der Zertifikate und Zertifizierungsberichte (Audit Reports) dem Kunden auch zur Verfügung stellen.

ff) Sicherheitsmaßnahmen

308

Die durch den Provider umzusetzenden Sicherheitsmaßnahmen (was ist zu tun) sowie deren Ausgestaltung (wie ist es zu tun) können sich z.B. aus den aktuellen Versionen des Rahmenwerks „Sicherer IT-Betrieb“ des SIZ ergeben. Die dort empfohlenen Maßnahmen einschließlich der Empfehlungen für erhöhten und hohen Schutzbedarf (z.B. Maßnahmen der Qualifizierungsstufe A, B, C und Z des IT-Grundschutz-Katalogs) sollten auch wesentlicher Vertragsbestandteil sein.

309

Eventuell sind ergänzende oder abweichende Sicherheitsmaßnahmen durch den Provider umzusetzen, insofern sie sich aus den nachfolgenden Verpflichtungen ergeben:

310

Dabei können die nachfolgenden aufgeführten Sicherheitsmaßnahmen und Services als Beispiele dienen, welche IT-Security Leistungen der Provider zu erbringen hat und welche man dazu im Outsourcing-Vertrag vereinbaren kann:

gg) Notfallbehandlung

311

Ein Notfall in der Erbringung der IT-Services (teileweise wird auch der Begriff K-Fall/Katastrophen-Fall verwendet) liegt vor, wenn absehbar wird, dass eine Störung zu einer existenzbedrohenden Betriebsunterbrechung geschäftskritischer IT-Systeme und IT-Prozesse führt. Es wird angenommen, dass ein derartiger Notfall durch den Ausfall des (Produktions-) Rechenzentrums eintreten kann. Ziel ist es – unabhängig davon, was den Ausfall des (Produktions-) Rechenzentrums ausgelöst hat – den Notbetrieb der IT Services in einem Ausweich-Rechenzentrum zur Verfügung zu stellen, solang bis der Wiederanlauf des (Produktions-) Rechenzentrums erfolgt ist.

312

Nach dem ITIL2011 Prozess IT Service Continuity Management, das sich am „Sicheren IT-Betrieb“, der ISO/IEC 27031 oder dem IT-Grundschutz-Standard 100-4 ausrichtet, werden hierzu konkrete Regelungen im Vertrag vereinbart. Dabei kann die Kritikalität der IT-Anwendungen anhand der möglichen Auswirkungen eines Ausfalls in folgende Stufen klassifiziert werden:

313

Für Anwendungen der Kritikalität A und B sollte der Provider eine entsprechende Notfallplanung haben. Die Notfallplanung sollte so ausgestaltet sein, dass durch diese sachkundige Dritte in die Lage versetzt werden, die jeweiligen Anwendungen im Ausweich-Rechenzentrum anzufahren und den Notbetrieb einschließlich der Schnittstellen, Batchverarbeitungen und Infrastrukturkomponenten zu gewährleisten.

314

Die Notfallplanung muss so ausgestaltet sein, dass die Anwendung mindestens innerhalb definierter Service Levels im Notbetrieb wieder zur Verfügung steht. Die Notfallplanung und die Datensicherungsverfahren müssen so ausgestaltet sein, dass die Anwendungen in einem Notfall maximal einen Datenverlust in einem kleineren Umfang erleiden.

315

Die Notfallplanung ist durch den Provider zu dokumentieren und bei Bedarf zu aktualisieren. Mindestens halbjährlich ist durch den Provider zu prüfen, ob eine Aktualisierung der Notfallplanung erforderlich ist. Diese Prüfung, wie auch Aktualisierungen, sind in den jeweiligen Dokumenten zu vermerken.

316

Die aktuelle Dokumentation der Notfallplanung ist so aufzubewahren, dass diese im Notfall für alle Mitarbeiter des Providers und des Kunden, die diese benötigen, um dem Notfall zu begegnen, zugänglich ist. Ansonsten ist die Dokumentation der Notfallplanung vertraulich zu behandeln.

317

Der Kunde sollte das Recht haben, einmal jährlich pro Anwendung die Notfallplanung in einem Praxistest (Notfall-Test, K-Fall-Test, Disaster-Recovery-Test) zu überprüfen. Dabei sollte der Kunde (oder die IT-Revision) festlegen, welche Anwendungen zu welchem Zeitpunkt, in welcher Zusammenstellung und in welcher Tiefe getestet werden sollen. Dazu muss natürlich der Provider eine detaillierte Dokumentation einschließlich erkannter Schwächen und Verbesserungsmöglichkeiten zur Verfügung stellen.

318

Beim BPO wird ein strategischer Wert durch die genaue Analyse eines Prozesses und einer gezielten Änderung der Art und Weise, wie dieser Prozess ausgeführt wird, erreicht. Es ist also mehr als nur ein Wechsel der Personen, die den Prozess ausführen. Der Dienstleister übernimmt bei BPO nicht nur die Verantwortung für die Durchführung des Prozesses, sondern er nimmt auch ein Business Process und IT Reengineering (inkl. Standardisierung und Optimierung) desselben vor. Immer häufiger werden dazu Provider engagiert, weil wichtige Geschäftsabläufe von IT-Prozessen und der entsprechenden IT-Infrastruktur getragen werden. Dies bedeutet vor allem auch, dass die adäquateste IT-Infrastruktur und IT-Prozesse zur Unterstützung und Verbesserung des Prozesses verwendet werden.[299] Im Gegensatz zum konventionellen (IT) Outsourcing ist der BPO-Anbieter somit in der technischen Umsetzung frei. Der Kunde bezieht das Prozessergebnis, ohne in den Verantwortungsbereich oder die Infrastruktur der Datenverarbeitung einbezogen zu sein,[300] sofern dies nicht für den Erfolg des BPO notwendig ist. So empfiehlt sich z.B. beim HR-Outsourcing, sich nicht ganz auf das Prozessergebnis allein zu verlassen. Der BPO-Kunde sollte hierbei ein Mitbestimmungsrecht haben, in welchen Datenstandard (z.B. SAP HR) seine Personenstammdaten gespeichert werden, damit er die Möglichkeit besitzt, ohne größere Aufwände den BPO-Provider zu wechseln. Dies ist natürlich nicht möglich, wenn der BPO Provider die Datenstammsätze des BPO-Kunden auf einem nicht kompatiblen Exoten-System pflegt.

Abb. 18:

Task-Layer-Modell beim BPO

[Bild vergrößern]

319

Beim Business Process Outsourcing ist neben dem Best-in-Class-Design und -Management des Prozesses insbesondere die Integration des Prozesses in die beteiligten Unternehmen ein erfolgskritischer Faktor. In der Gestaltung dieser Geschäftsfelder muss ein wesentlicher Augenmerk auf die Definition der Prozesskennzahlen und Messmethoden gelegt werden. Diese Prozesskennzahlen stellen eines der wichtigsten Elemente in der Gestaltung des Business Process Outsourcings dar, da durch die Kennzahlen die Value Creation als Zielstellung vereinbart, gemessen und einem kontinuierlichen Benchmarking unterworfen werden kann.[301] Im Extremfall verbleiben im Unternehmen nur noch Kernaufgaben wie Markenpflege oder Produktentwicklung, alles andere erledigen externe Partner.[302] Solche Unternehmen, die auch große Teile ihrer Geschäftsprozesse auslagert haben, werden auch als „virtuelle Unternehmen“ bezeichnet. Ein Beispiel für ein (fast) virtuelles Unternehmen ist z.B. die NetBank AG – die erste europäische reine InternetBank. Sie ist seit dem 15.4.1999 in Produktion und hat bis heute 19 Mitarbeiter. Das Ziel der NetBank war und ist es, möglichst viele Prozesse outzusourcen und nur die Kernkompetenzen in der Bank zu halten. Die Kernkompetenzen sind IT, Marketing, Vertrieb, Organisation und das Bankprodukt-Know-how.[303]

320

Ein Business Process Outsourcing (BPO) erfordert von Providern erhebliche Branchenkenntnisse aus dem Geschäftsfeld, in dem der Kunde tätig ist, da der Provider ggf. die Geschäftsprozesse des Kunden anpassen oder sogar neu modulieren muss.[304] Sicherlich stellt das BPO die größte Abhängigkeit von einem Provider da, bietet aber auch gleichzeitig die größten Chancen, um Synergien auszuschöpfen. Der Kunde muss sich darüber im Klaren sein, dass die Fertigungstiefe (beim BPO die Tiefe hin bis zur IT-Infrastruktur), die er einem Partner anvertraut, auch wesentlich mehr Verkettung als beim normalen IT-Outsourcing bedeutet und dass hiermit der gesamte Kommunikations- und Abstimmungsbedarf (insbesondere die Schnittstellen) mit dem BPO-Anbieter zu berücksichtigen ist.

321

Besonders interessant erscheinen dabei Konstellationen wie im HR-Outsourcing, wenn sich eine Wirtschaftsprüfungs- und Steuerberatergesellschaft wie PriceWaterhouseCoopers (PWC), deren Kernkompetenz sicherlich die Geschäftsprozesse im HR-Bereich sind, mit einem IT-Provider wie Siemens Business Services heute Atos IT Solutions and Services) zusammen tut, deren Kernkompetenzen die IT-Services sind.[305] Hierbei kann dann der Mehrwert auf allen drei Layern (Schichten) generiert werden.

322

Dabei bilden Geschäftsprozesse (wie alle übrigen Prozesse) eine abgeschlossene Menge in dem Sinne, dass die Vernetzung zweier oder mehrerer Geschäftsprozesse wieder einen Geschäftsprozess ergibt und zusammengesetzte Geschäftsprozesse in Subgeschäftsprozesse aufgelöst werden können, falls sie nicht schon einen einfachen, sinnvollerweise nicht weiter aufzulösenden Geschäftsprozess darstellen. Das Verbuchen einer Rechnung könnte man als einfachen Geschäftsprozess ansehen. Dieser einfache Geschäftsprozess ist Teil einer Kette von weiteren einfachen Geschäftsprozessen, die dem übergeordneten zusammengesetzten Geschäftsprozess vom „Angebot zur Bezahlung“ angehören und die natürlich untereinander vernetzt sind.[306]

323

Das britische Haus Xchanging übernimmt beim BPO ganze Geschäftsbereiche inkl. Mitarbeitern und Prozessen (wie etwa der Personalabteilung). Dazu gründet es zusammen mit dem Partner ein Joint Venture, wobei Xchanging die unternehmerische Leitung beansprucht, um im weiteren Verlauf mit den erworbenen Ressourcen auch Drittkunden bedienen zu können. Andere spezialisierte Unternehmen sind Exult, Vertex und E-Peopleserve. Bekannte deutsche Beispiele sind die Datev (unter anderem Lohnabrechnungen) oder die Deutsche-Bank-Tochter ETB (European Transaction Bank), die Dienstleistungen für den Zahlungsverkehr sowie Wertpapier-, Derivate-, Geld- und Devisengeschäfte anbietet.

324

Innerhalb Europas ist gerade der Wirtschaftsstandort England starker Vorreiter beim Outsourcing. Dies umfasst nicht nur das klassische IT-Outsourcing, sondern auch die Bereitschaft, den gesamten Geschäftsprozess inkl. der IT-Services auf einen Provider/BPO-Provider zu übertragen. Dies gilt insbesondere für den BPO-Markt im Bereich des Transaction Banking.[307]

d) Geschäftsprozesse des BPO

325

Das BPO hat in den letzten Jahren wesentlich an Bedeutung gewonnen. Daher sind BPO-Projekte heute in vielen Bereichen zu finden. Zu den häufigsten ausgelagerten Geschäftsprozessen zählen:

326

Sicherlich ist die Anzahl der Auslagerungsbereiche als sehr groß zu betrachten, da viele Auslagerungsbereiche zwar die Anforderungen einer Auslagerung von Geschäftsprozessen erfüllen (BPO), sich selbst aber nicht als eine Auslagerung von Geschäftsprozessen verstehen. Hierzu zählen z.B. (nicht abschließend):

e) Risiken

327

Dass die Auslagerung von Geschäftsprozessen kein Allheilmittel sein kann, haben Insolvenzen der jüngeren Vergangenheit gezeigt: Der Ölhändler Enron hatte nahezu sämtliche Abläufe inklusive einiger grundlegender Buchungsprozesse externen Dienstleistern übertragen. Zudem haben viele Dotcoms die Konzentration auf das Kerngeschäft zwar zum Prinzip erhoben. Außer dem Buchhändler Amazon.com gibt es jedoch kaum erfolgreiche New-Economy-Firmen. Zwar sind weder Dotcoms noch Enron letzten Endes über ihre Outsourcing-Entscheidungen gestolpert. Die Beispiele haben aber gezeigt, dass die Koordination und Verwaltung von sehr vielen Serviceverträgen eine kaum zu beherrschende Aufgabe ist.

328

Dennoch wendet sich auch die Old Economy jeglicher Branche und Größe zunehmend diesen Angeboten zu: Großunternehmen wie Cable & Wireless, British Telecom (BT) oder BP Amoco haben ihre Lohnabrechnung einem externen Dienstleister übergeben; Xerox lässt die Rechnungsstellung von GE Capital erledigen. T-Systems übernimmt für die Dachorganisation der internationalen Fluglinien Iata die Ticketabrechnung mit den Partnern und druckt Rechnungen und Reisedokumente. Der Dienstleister Telefactory, ein Joint Venture des Stadtnetzbetreibers Citykom Münster und Siemens IT Solution und Services (SIS), heute Atos IT Solutions and Services, betreibt die Abrechnung und Kundenbetreuung für lokale Carrier wie Mnet (München), Osnatel (Osnabrück) oder Hamcom (Hamm).[309]

f) Rechtliche Betrachtung und Vertragsgestaltung

329

Da der Provider nicht Betriebsteile übernimmt, sondern ganze Geschäfts- oder Businessprozesse neu gestaltet, könnte hierbei über eine fehlende Anwendbarkeit des § 613a BGB nachgedacht werden. Dies würde zu einem entscheidenden Vorteil des BPO gegenüber dem klassischen Outsourcing führen. Der Gesetzgeber hat aber die Definition des Betriebsteils im § 613a BGB so weit gefasst, dass er auch im BPO in der Regel eine Übernahme eines Betriebsteils sehen würde. Im Ergebnis lässt sich daher eine Anwendung des § 613a BGB durch BPO nicht ausschließen.[310]

330

I.d.R. wird der BPO-Anbieter (Provider) beim Business Process Outsourcing auch an personenbezogene Daten des Kunden gelangen (gerade beim HR-Outsourcing), die dem Persönlichkeitsschutz des Bundesdatenschutzgesetz (BDSG) unterliegen. Hierbei wird es dem BPO-Anbieter aus der datenschutzrechtlichen Sicht nicht mehr möglich sein, als weisungsgebundener Auftragsdatenverarbeiter für den Kunden tätig zu sein, sondern nur noch im Wege der Funktionsübertragung (insbesondere beim HR-Outsourcing).

331

Weitere rechtliche Fragen ergeben sich in der Betrachtung einzelner Auslagerungsbereiche auf der Ebene der Geschäftsprozesse. Diese werden in den einzelnen Auslagerungsbereichen erläutert.

332

Die Gestaltung eines Vertragswerks für ein Business Process Outsourcing (BPO) Projekt wird im 4. Kap. (BPO-Vertrag) erläutert.

2 › I › 7. Offshore-/Cross border Outsourcing