Handbuch IT-Outsourcing

cc) Rechtliche Fragen

725

Für die rechtliche Darstellung des Auslagerungsbereichs des Wide Area Networks (WAN) stellen sich die Fragen der vertraglichen Zuordnung des Access auf den Backbone des Providers, die Zurverfügungstellung von IT-Infrastrukturen wie z.B. Router und Firewalls im Unternehmen des Kunden und Maßnahmen zum Schutze des Fernmeldegeheimnisses, der Nutzerdaten und der Netzsicherheit.

(1) Access auf den Backbone

726

Beim Access auf den Backbone des Providers stellt sich zunächst die Frage der Abgrenzung zwischen Werkvertrag nach §§ 631 ff. BGB und Dienstvertrag §§ 611 ff. BGB. Bei der Vertragsgestaltung des Providervertrags (Peering-Vertrag) wird i.d.R. nicht jeder Einwahlerfolg in das Netz des Providers als ein Erfolg vereinbart werden. Dies würde nicht dem Charakter eines Wide Area Networks (WAN) entsprechen, in dem eine Standleitung regelmäßig wesentlicher Inhalt der geschuldeten Leistung ist und der Aufbau von Verbindungen (sprich der Einwahlerfolg) eher als ein Ausfall des WANs verstanden wird.[309] Da für die Bereitstellung die für die Einwahl erforderlichen Dienstleistungen als solche geschuldet sind, wird der Providervertrag am ehesten als atypisches dienstvertragliches Element gem. § 611 BGB einzuordnen sein.[310] Früher war die Einordnung des Access-Provider-Vertrages in der rechtswissenschaftlichen Literatur stark umstritten. Aufgrund der ggf. vertraglichen Pflicht des Providers zur Bereitstellung der technischen Infrastruktur werden auch mietvertragliche Ansätze nach § 535 BGB diskutiert. Mietvertragliche Ansätze sind aber immer nur dann erkennbar, wenn der Provider dem Kunden auch tatsächlich entsprechende IT-Infrastruktur, wie z.B. Router auf Dauer zur Verfügung stellt. Bei dem Access auf den Backbone des Providers wird es dem Kunden i.d.R. egal sein, welche IT-Infrastruktur der Provider innerhalb seines Backbone verwendet, ihm ist regelmäßig nur von Bedeutung, dass der Backbone des Providers ihm entsprechende Bandbreiten anbietet. Daher ist ein mietvertraglicher Charakter für den Access auf den Backbone des Providers nicht einschlägig. Auch der Werkvertrag scheint auf den Access-Vertrag nicht zu passen, da ein dort vorgesehenes Nachbesserungsrecht bei zwischenzeitlich fehlgeschlagenem Access wenig sinnvoll erscheint.[311] Der BGH hat mittlerweile entschieden,[312] dass der Access-Provider-Vertrag dem Dienstrecht zuzuordnen ist. Für die Zuordnung des „Zugangsverschaffungsvertrags“ zum Dienstleistungsrecht spricht dabei die Parallele zu den Telefonfestnetz- und Mobilfunkverträgen, die der Senat als Dienstserviceverträge qualifiziert hat. Der Provider schuldet daher nur die „Bereithaltung des Anschlusses und das sachgerechte Bemühen um die Herstellung der Verbindung.“[313]

Wie aber auch bei anderen IT-Verträgen reichen i.d.R. die gesetzlichen Regelungen nicht aus, um die geschuldete Leistung, insbesondere in einem Dienstvertrag nach §§ 611 ff. BGB eindeutig zu beschreiben. Daher lohnt es sich, zur klaren Definition der geschuldeten Leistungen eine individuelle Leistungsbeschreibung zu erstellen und die Verfügbarkeit des WANs in entsprechenden Service-Level Agreements (SLA) festzulegen (z.B. 98,5 % Verfügbarkeit des Netzes).[314]

(2) Zurverfügungstellung von IT-Infrastrukturen

Stellt der Provider dem Kunden neben dem reinen Zugriff auf den Backbone des Providers zusätzlich IT-Infrastruktur wie z.B. Router und Firewalls auf Dauer entgeltlich zur Verfügung, so dürfte hierfür i.d.R. Miete nach § 535 ff. BGB vorliegen. Die Miete von IT-Infrastruktur wie z.B. Router und Firewalls, die beim Kunden vorort verwendet werden, dürften daher unter die gleiche rechtliche Beurteilung wie die Miete von IT-Infrastruktur aus dem Auslagerungsbereich LAN fallen. Insbesondere zeigt sich dies häufig in der Vertragsgestaltung, wenn Router im Hause des Kunden auch Vertragsbestandteil eines LAN-Vertrages sind.

(3) Schutzmaßnahmen

727

I.d.R. enthält jedes gute Vertragswerk auch entsprechende Regelungen zum Datenschutz. Unabhängig von etwaigen vertraglichen Regelungen sind die Provider von Backbones (WAN-Anbieter) zu umfangreichen Maßnahmen zum Schutze des Fernmeldegeheimnisses, der Nutzerdaten und der Netzsicherheit verpflichtet.

(a) Maßnahmen zum Schutze des Fernmeldegeheimnisses

728

Ggf. wird über das LAN und WAN mittels Voice over IP (VoIP) auch Telekommunikations- Service vom Provider betrieben. Das könnte dazu führen, dass der Provider nach dem Telekommunikationsgesetz (TKG) zu bestimmten Auflagen verpflichtet wird.

729

Gemäß § 88 Abs. 2 TKG ist jeder, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, zur Wahrung des Fernmeldegeheimnisses verpflichtet.[315] Der Schutzbereich des Fernmeldegeheimnisses wird in § 88 Abs. 1 TKG definiert und unterwirft den gesamten Inhalt der Telekommunikation und dessen nähere Umstände dem Fernmeldegeheimnis. Den Verpflichteten nach § 88 Abs. 2 TKG wird in § 88 Abs. 3 TKG lediglich eine Kenntnisverschaffung zur Erbringung ihrer Dienstleistung eingeräumt. Backbone-Provider müssen neben den technischen Schutzmaßnahmen nach § 109 Abs. 1 TKG geeignete organisatorische Maßnahmen treffen, um eine Kenntnisnahme der geschützten Daten auf das absolut notwendige Mindestmaß zu reduzieren.[316]

730

Eine anderweitige Verwendung der geschützten Daten, insbesondere eine Weitergabe an Dritte ist gem. § 88 Abs. 3 TKG nur dann erlaubt, wenn dies gesetzlich vorgesehen ist und die entsprechende gesetzliche Vorschrift sich ausdrücklich auf Telekommunikationsvorgänge bezieht.[317] Dabei gilt das Fernmeldegeheimnis vorrangig vor anderen Eingriffbefugnissen des Staates, es sei denn, dass derjenige, der entsprechende Kenntnisse über Inhalte erlangt, wegen der Nichtanzeige geplanter Straftaten nach § 138 StGB zur Verantwortung gezogen werden kann. Die Abwendung einer drohenden Gefahr für die in § 138 StGB genannten Rechtsgüter hat Vorrang vor dem Fernmeldegeheimnis.[318] Gemäß § 206 StGB ist die Verletzung des Fernmeldegeheimnisses strafbar und kann ggf. zum Entzug der Lizenz führen.

(b) Datenschutz

731

Für alle Unternehmen, die für die Öffentlichkeit Telekommunikationsdienstleistungen erbringen oder daran mitwirken gelten die Regelungen des Datenschutzes im Telekommunikationsbereich gem. §§ 91 bis 107 TKG. Hierbei ergeben sich keine Besonderheiten zu sonstigen Datenschutzregelungen.[319] Hierbei erfolgte lediglich eine Anpassung an die Besonderheiten des TKG, die jedoch für Backbone-Provider/WAN-Anbieter nicht von besonderer Bedeutung sein dürften.[320]

(c) Technische Schutzmaßnahmen

732

Gemäß § 109 Abs. 1 TKG hat jeder Diensteanbieter erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen zum Schutz des Fernmeldegeheimnisses (Nr. 1) und gegen die Verletzung des Schutzes personenbezogener Daten (Nr. 2). Dabei ist der Stand der Technik zu berücksichtigen.

733

Wer gem. § 109 Abs. 2 TKG ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat bei den hierfür betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen und sonstige Maßnahmen zu treffen (Nr. 1) zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein können, und (Nr. 2.) zur Beherrschung der Risiken für die Sicherheit von Telekommunikationsnetzen und -diensten. Insbesondere sind dabei Maßnahmen zu treffen, um Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu sichern und Auswirkungen von Sicherheitsverletzungen für Nutzer oder für zusammengeschaltete Netze so gering wie möglich zu halten. Wer ein öffentliches Telekommunikationsnetz betreibt, hat Maßnahmen zu treffen, um den ordnungsgemäßen Betrieb seiner Netze zu gewährleisten und dadurch die fortlaufende Verfügbarkeit der über diese Netze erbrachten Dienste sicherzustellen. Technische Vorkehrungen und sonstige Schutzmaßnahmen sind angemessen, wenn der dafür erforderliche technische und wirtschaftliche Aufwand nicht außer Verhältnis zur Bedeutung der zu schützenden Telekommunikationsnetze oder -dienste steht. § 11 Abs. 1 BDSG gilt entsprechend.

734

Bei gemeinsamer Nutzung eines Standortes oder technischer Einrichtungen hat gem. § 109 Abs. 3 TKG jeder Beteiligte die Verpflichtungen nach den Absätzen 1 und 2 zu erfüllen, soweit bestimmte Verpflichtungen nicht einem bestimmten Beteiligten zugeordnet werden können. Darüber hinaus hat gem. § 109 Abs. 4 TKG derjenige, der ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, einen Sicherheitsbeauftragten zu benennen und ein Sicherheitskonzept zu erstellen, aus dem hervorgeht, (Nr. 1) welches öffentliche Telekommunikationsnetz betrieben und welche öffentlich zugänglichen Telekommunikationsdienste erbracht werden, (Nr. 2) von welchen Gefährdungen auszugehen ist und (Nr. 3) welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen zur Erfüllung der Verpflichtungen aus den Absätzen 1 und 2 getroffen oder geplant sind.

(d) Technische Umsetzung von Überwachungsmaßnahmen

735

Wer nach § 110 Abs. 1 Satz 1 TKG eine Telekommunikationsanlage betreibt, mit der öffentlich zugängliche Telekommunikationsdienste erbracht werden, hat gem. Nummer 1 ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen zur Umsetzung gesetzlich vorgesehener Maßnahmen zur Überwachung der Telekommunikation vorzuhalten und organisatorische Vorkehrungen für deren unverzügliche Umsetzung zu treffen, gem. Nummer 1a in Fällen, in denen die Überwachbarkeit nur durch das Zusammenwirken von zwei oder mehreren Telekommunikationsanlagen sichergestellt werden kann, die dazu erforderlichen automatischen Steuerungsmöglichkeiten zur Erfassung und Ausleitung der zu überwachenden Telekommunikation in seiner Telekommunikationsanlage bereitzustellen sowie eine derartige Steuerung zu ermöglichen. Des Weiteren muss er gem. § 110 Abs. 1 Satz 1 Nr. 2 TKG der Bundesnetzagentur unverzüglich nach der Betriebsaufnahme (lit. a) erklären, dass er die Vorkehrungen nach Nummer 1 getroffen hat sowie (lit. b) eine im Inland gelegene Stelle benennen, die für ihn bestimmte Anordnungen zur Überwachung der Telekommunikation entgegennimmt. Nach § 110 Abs. 1 Satz 1 Nr. 3 TKG muss derjenige, der eine Telekommunikationsanlage betreibt, der Bundesnetzagentur den unentgeltlichen Nachweis erbringen, dass seine technischen Einrichtungen und organisatorischen Vorkehrungen nach Nummer 1 mit den Vorschriften der Rechtsverordnung nach Absatz 2 und der Technischen Richtlinie nach Absatz 3 übereinstimmen; dazu hat er unverzüglich, spätestens nach einem Monat nach Betriebsaufnahme, gem. § 110 Abs. 1 Satz 1 Nr. 3 lit a. TKG der Bundesnetzagentur die Unterlagen zu übersenden, die dort für die Vorbereitung der im Rahmen des Nachweises von der Bundesnetzagentur durchzuführenden Prüfungen erforderlich sind, und gemäß § 110 Abs. 1 Satz 1 Nr. 3 lit. b TKG mit der Bundesnetzagentur einen Prüftermin für die Erbringung dieses Nachweises zu vereinbaren; bei den für den Nachweis erforderlichen Prüfungen hat er die Bundesnetzagentur zu unterstützen. Gemäß § 110 Abs. 1 Satz 1 Nr. 4 TKG muss der Betreiber einer Telekommunikationsanlage der Bundesnetzagentur auf deren besondere Aufforderung im begründeten Einzelfall eine erneute unentgeltliche Prüfung seiner technischen und organisatorischen Vorkehrungen gestatten sowie gemäß § 110 Abs. 1 Satz 1 Nr. 5 TKG die Aufstellung und den Betrieb von Geräten für die Durchführung von Maßnahmen nach den §§ 5 und 8 des Artikel 10-Gesetzes in seinen Räumen dulden und Bediensteten der für diese Maßnahmen zuständigen Stelle sowie den Mitgliedern und Mitarbeitern der G 10-Kommission (§ 1 Abs. 2 des Artikel 10-Gesetzes) Zugang zu diesen Geräten zur Erfüllung ihrer gesetzlichen Aufgaben gewähren.

736

Wer gem. § 110 Abs. 1 Satz 2 TKG öffentlich zugängliche Telekommunikationsdienste erbringt, ohne hierfür eine Telekommunikationsanlage zu betreiben, hat sich bei der Auswahl des Betreibers der dafür genutzten Telekommunikationsanlage zu vergewissern, dass dieser Anordnungen zur Überwachung der Telekommunikation unverzüglich nach Maßgabe der Rechtsverordnung nach § 110 Abs. 2 und der Technischen Richtlinie nach § 110 Abs. 3 TKG umsetzen kann und der Bundesnetzagentur unverzüglich nach Aufnahme seines Dienstes mitzuteilen, welche Telekommunikationsdienste er erbringt, durch wen Überwachungsanordnungen, die seine Teilnehmer betreffen, umgesetzt werden und an welche im Inland gelegene Stelle Anordnungen zur Überwachung der Telekommunikation zu richten sind. Änderungen der den Mitteilungen nach § 110 Satz 1 Nr. 2 lit. b und Satz 2 TKG zugrunde liegenden Daten sind der Bundesnetzagentur unverzüglich mitzuteilen. In Fällen, in denen noch keine Vorschriften nach § 110 Abs. 3 TKG vorhanden sind, hat der Verpflichtete die technischen Einrichtungen nach § 110 Abs. 1 Satz 1 Nr. 1 und 1a in Absprache mit der Bundesnetzagentur zu gestalten, die entsprechende Festlegungen im Benehmen mit den berechtigten Stellen trifft. Die Sätze 1 bis 4 des § 110 Abs. 1 TKG gelten nicht, soweit die Rechtsverordnung nach § 110 Abs. 2 TKG Ausnahmen für die Telekommunikationsanlage vorsieht. Dabei bleiben § 100b Abs. 3 S. 1 StPO, § 2 Abs. 1 Satz 3 des Artikel 10-Gesetzes, § 20l Abs. 5 Satz 1 BKAG sowie entsprechende landesgesetzliche Regelungen zur polizeilich-präventiven Telekommunikationsüberwachung unberührt.

(e) Vertragsgestaltung

737

Die Vertragsgestaltung (häufig auch als Peering-Verträge bezeichnet) für die Auslagerung des WANs wird im 4. Kap. besprochen.

f) Mail-System

738

Die Auslagerung des Mail-Systems kann auf zwei Wegen geschehen. Zu einem kann der Provider die Betreuung und Wartung des Mail-Servers des Kunden vor Ort übernehmen. Zu anderen besteht die Möglichkeit, dass der Provider den gesamten Mail-Server des Kunden übernimmt und auf seinen Servern mit abbildet, um so Hardwareressourcen (vergleichbar mit den RZ-Outsourcing) einzusparen. Die Anwender greifen dann über die WAN-Leitungen auf den Mail-Server beim Provider zu. Bei den Mail-Server wird auf der technischen Ebene zwischen:

unterschieden. Während sich im privaten/öffentlichen Umfeld eher die POP- und Mailserver durchsetzen, setzen sich in der Industrie immer mehr die IMAP-Server durch. Die bekanntesten Mail-Server-Produkte sind:

739

Neben der Betreuung und Wartung solcher Mail-Server muss der Provider häufig noch einige Nebenleistungen erbringen. Hierzu zählt z.B. die Einrichtung und Löschung von E-Mail-Konten und Benutzergruppen (User Administration), die Nachverfolgung von einzelnen E-Mails und ggf. auch die Einrichtung von SPAM-Filtern sowie ggf. die Firewalltechnologie, um die Anwender des Kunden vor unerwünschten E-Mails und Virenangriffen zu schützen.

740

Bei der rechtliche Betrachtung des Auslagerungsbereichs des Mailsystems stellt sich zunächst die Frage, ob der Provider die Mail-Systeme i.S. e. Wartung und Betreuung pflegt (ggf. im Rahmen von Werk- und Dienstleistungen) oder ob er das gesamte Mail-System des Kunden auf seiner Hardware abbildet und dem Kunden im Rahmen einer Miete gem. § 535 BGB wieder zur Verfügung stellt. Hierbei sind die gleichen Grundsätze anwendbar wie bei der Zurverfügungstellung anderer IT-Infrastrukturen. Zur Vertragsgestaltung siehe 4. Kap.

g) Desktop-Services und Client-/Server-Management

741

Die Leistungen im Umfeld von Desktop-Services und Client-/Server-Systemen sind häufig nicht eindeutig abgrenzbar und die Grenzen dieser IT-Services vermischen sich in der Praxis häufig. Bei der Erbringung von Desktop-Services erbringt der Provider i.d.R. Leistungen im Umfeld des PC-Systems oder Thin-Client des Endanwenders, während es bei den Leistungen im Umfeld des Client-/Server-Bereichs mehr um die Anbindung von Clients an lokale Server (meist Intelbasierte Server) handelt, was seinerseits häufig auch Leistungen auf dem Gebiet des Desktop-Services erforderlich macht (z.B. Anbindung eines Netzdruckers an ein End-User-System). Die Leistungen aus dem Bereichen Desktop-Services und Client-/Server-Management umfassen häufig auch Leistungen auf dem Layer der IT-Prozesse (z.B. Incident- oder Problem-Management) und lassen sich somit nicht nur in der IT-Infrastruktur betrachten.

aa) Desktop-Services/IMAC

742

Die Leistungen im Bereich der Desktop-Services umfassen i.d.R. das Installieren, die Wartung und Vernetzung der PCs (bis zur Netzwerkdose), Workstation und Thin-Clients des Kunden.[321]

743

Der Begriff Desktop-Services wird gerne von T-Systems/debis und auf Siemens IT Solution und Services (SIS), heute Atos IT Solutions and Services, verwendet, während IBM Global Service für den Bereich Desktop-Services den Begriff NWSM (=NetworkStationManagement) verwendet.[322] Die tatsächlichen Leistungen, die im Umfeld des Desktop-Services/NWSM erbracht werden, variieren natürlich nach den Bedürfnissen des Kunden (Service Needs). Hierbei bietet z.B. IBM folgende Leistungen an:[323]

744

Auch Siemens IT Solution und Services (SIS), heute Atos IT Solutions and Services bietet unter dem Namen „Managed Workplace“ eine vergleichbare Lösung für PC-Systeme wie Notebooks an. Hierbei können folgende Leistungen inkl. IT-Service aus dem Bereich Betrieb und Betreuung abgerufen werden:

745

Neben den üblichen Outsourcing-Vorteilen der besseren Ressourcenauslastung und Synergieeffekte kann mit der Auslagerung der Desktop-Services auch eine Vereinheitlichung der unterschiedlichen Client-Systeme erfolgen (Standardisierung).[325] Dies führt in der Regel zu einer schnelleren und besseren Entstörung dieser Client-Systeme im Incident- bzw. im Problem-Management,[326] da in einem sog. „Warenkorb“[327] der Provider in Zusammenarbeit mit dem Kunden bestimmte PC-Systeme mit einer bestimmten Software-Ausstattung (sog. Image) festgelegt hat. Aus diesem Warenkorb können sich später die Anwender/User des Kunden ihre Systeme zum einem zu einem Standardpreis bestellen, zu anderem wird in einem solchen Warenkorb auch die Standardfunktionalität eines PC-Systems festgelegt, die bei einer Entstörung innerhalb eines SLA wiederhergestellt[328] werden muss.

Beispiel Warenkorb:

Standard PC

Standard Notebook

746

Ob bei den Desktop-Services/NWSM Vermögenswerte (Asset) der entsprechenden Hardware bzw. Software im Rahmen eines Asset Deals (Kauf gem. §§ 433, 931 BGB) vom Provider übernommen werden, ist vom Einzelfall abhängig. Vorteile eines Asset Deals mit anschließendem Technologie-Leasing bestehen zu einem darin, dass der Kunde in Rahmen von Rollouts[329] alle 36 Monate (abhängig von der AfA-Tabelle) neue Hardware und Software erhält und hiermit sowohl die Standardisierung als auch der ständige Technologie-Refresh sichergestellt wird. Hierbei würde der Kunde abhängig von den Service-Level Agreements (SLA) eine entsprechende Verfügbarkeit des Arbeitsplatzes (Clients) gewährleisten. Bei der Vergütung könnte der Kunde und der Provider dann ein Entgelt pro Client pro Monat vereinbaren, was zu Bilanzierungsvorteilen beim Kunden führen würde.

747

Ein Teilbereich vom Desktop-Service ist IMAC. IMAC steht dabei für Install, Move, Add und Change, sprich das Installieren, Umziehen, Hinzufügen und Verändern. IMAC ist ein Teil eines IT-Service-Managements und fasst die Komponenten zusammen, die bei einem Lebenszyklus eines IT-Arbeitsplatzes wichtig sind. Die einzelnen Begriffe fassen dabei verschiedene Aspekte in Bezug auf die Dynamik eines Arbeitsplatzes zusammen.[330] Ein neuer Mitarbeiter benötigt Zugang zu den IT-Systemen und einen vollfunktionsfähigen IT-Arbeitsplatz mit einer entsprechenden Konfiguration (Install). Der Umzug (Move) in neue Geschäftsräume oder Standorte sollte schnell und störungsfrei erfolgen. Hardware- und Softwareerweiterungen oder Änderungen eines vorhandenen IT-Systems (Add/Change) sind zeitnah und sachgerecht durchzuführen.

748

Neben dem klassischen IMAC sieht ITIL V3 (2011) noch weitere Services vor, die als IMAC/R/D bezeichnet werden.[331] Diese umfassen die Services Remove (Abbau/Entfernen) und Dispose (Entsorgung). Der Leistungsscope umfasst bei diesem zusätzlichen Service grundsätzlich folgende Leistungen:

749

Aus rechtlicher Sicht ist bei Remove und Dispose eines IT-Systems darauf zu achten, dass Systeme umweltgerecht entsorgt bzw. recycelt werden. IT-Systeme bestehen aus Elektronikkomponenten. Sie werden in Deutschland nach den von den Herstellern vorgegebenen Erfassungsstrukturen zurückgenommen. Besitzer sind verpflichtet, die Geräte getrennt vom Restmüll den Erfassungsstellen zuzuführen. Hierbei sind die Anforderungen der Elektronikschrottverordnung (ElektroG) zu berücksichtigen.