Handbuch IT-Outsourcing

(2) Auslagerung des Scanprozesses

801

In der Leistungsbeschreibung des Outsourcing-Vertrages zur Auslagerung des Scanprozesses muss sich der Provider verpflichten, seine Services gemäß den Anforderungen der BSI TR-03138 in der jeweils aktuellen Fassung und nach dem Stand der Technik zu erbringen. Alle zwingenden (Muss-) und nachdrücklichen (Soll-) Empfehlungen der BSI TR-03138 sind gemäß dem festgelegten Schutzmodul umzusetzen. Abweichungen sind nur nach schriftlicher Zustimmung (§ 126 Abs. 1 BGB) durch den Auftraggeber zulässig. Der Auftragnehmer hat ausdrücklich schriftlich (§ 126 Abs. 1 BGB) darauf hinzuweisen, dass eine Abweichung von der BSI TR-03138 erfolgt.

802

Grundsätzlich besteht für Scan-Provider die Möglichkeit, dass ihr Scanprozess vom BSI zertifiziert wird. Das BSI versteht darunter ein Gütesiegel, um die Qualifikation zur Leistungserbringung des Providers nachzuweisen. Eine nachgewiesene Konformitätsbestätigung und ein darüber erteiltes Zertifikat des BSI kann für Vergabeverfahren vom Bedarfsträger als Leistungskriterium herangezogen werden.

803

Neben einer Zertifizierung kommen je nach Anwendungsfall auch Eigenerklärungen von Scandienstleistern oder auch -anwendern in Betracht. Die TR dient somit insgesamt als praxisorientierter Handlungsleitfaden für die Ordnungsmäßigkeit eines Scanprozesses ohne eine damit verbundene Verpflichtung zur Zertifizierung.

804

Der Provider muss eigenverantwortlich alle Verpflichtungen aus der BSI TR-03138 und den Ergebnissen und Spezifikationen der Schutzbedarfsanalyse und des Pflichtenhefts umsetzen, seien es organisatorische Maßnahmen (z.B. die Verfahrensdokumentation) oder sonstige personelle und technische Sicherheitsmaßnahmen. Dies scheint vergleichbar mit dem Vorgehen bei der Auftragsdatenverarbeitung zu sein, wo der Provider nach § 11 i.V.m. § 9 BDSG und Anlage 1. zum BDSG alle notwendigen technischen und organisatorischen Maßnahmen ergreifen muss, um die Ausführung der Vorschriften des BDSG und der in Anlage 1 genannten Anforderungen zu gewährleisten. Interessant ist bei diesem Vergleich der Aspekt des § 9 S. 2 BDSG zu sehen: „

Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen.“

805

Bevor der Provider die einzelnen Dokumente einscannt, bedarf es einer Schutzbedarfsanalyse. In dieser Analyse muss entschieden werden, ob die einzuscannenden Dokumente in der Kategorisierung der Dokumente in „normal“, „hoch“ und „sehr hoch“ zuzuordnen sind. Damit ein für die jeweils verarbeiteten Dokumente angemessenes Sicherheitsniveau erreicht werden kann, muss für diese vor dem Hintergrund der anwendbaren rechtlichen Rahmenbedingungen eine sorgfältig begründete fachliche Schutzbedarfsanalyse hinsichtlich der verschiedenen Sicherheitsziele („Integrität“, „Authentizität“, „Vollständigkeit“, „Nachvollziehbarkeit“, „Verfügbarkeit“, „Lesbarkeit“, „Verkehrsfähigkeit“, „Vertraulichkeit“ und „Löschbarkeit“) durchgeführt werden.

806

Das Abstellen der TR auf das Einzeldokument ist rechtlich notwendig, da jedes einzelne Dokument einer anderen Kategorisierung zugeordnet werden kann. In der Praxis wird vertreten, dass es einen einheitlichen Schutzbedarf für Dokumente selten geben wird und es hierfür in der TR an einer praktischen Lösungen fehlt. Denn in Verbindung mit der geforderten Kategorisierung ist ein Einscannen nahezu undurchführbar. In der Regel werden Massen an Dokumentenkonvoluten (der Gesamtinhalt von Aktenbänden, Ordnern u.Ä.) ersetzend gescannt, nämlich eine Vielzahl von unterschiedlichen Dokumenten zu einer Person oder einem Sachverhalt. Übernimmt der Provider die Aufgabe des Einscannens der Dokumente, so muss er auch die Schutzbedarfsanalyse durchführen, ansonsten würde eine Auslagerung nur wenig Sinn machen. Der Provider muss dazu beim Kunden alle erforderlichen Informationen anfordern, um eine Schutzbedarfsanalyse durchführen und in einem Anforderungskatalog zusammenführen zu können. Nach der BSI TR-03138 muss die Analyse des Schutzbedarfs Feinspezifikationen enthalten, die so konkret und umfassend sind, dass ein fachkundiger Dritter ohne weitere Festlegungen einen Scanprozess durchführen könnte (Wahl des Schutzmoduls, Festlegung der Schutzmaßnahmen im konkreten Einzelfall, z.B. verwendete Speichermedien). Nur dann sind seine Leistungen auch BSI TR-03138 konform. Er ist danach auch für die Vollständigkeit der Informationen verantwortlich und haftet nach dem Vertrag auch dem Kunden.

807

Die TR enthält eine Reihe von Maßnahmen, die im Scanprozess erbracht werden müssen. Hierzu zählen insbesondere Verpflichtung des Auftragnehmers zur Einhaltung der vom Auftraggeber definierten Sicherheitsmaßnahmen (Muss), Analyse der zusätzlichen Risiken durch die Auftragserteilung (Soll), unangemeldete Stichprobenprüfungen (Soll), Berücksichtigung des BSI-Bausteins Outsourcing des IT-Grundschutz-Handbuches (Soll). Diese Punkte können zum Teil durch eine entsprechende Vertragsgestaltung erfasst werden. Andere Punkte, wie z.B. die Pflicht zur Stichprobenprüfung, erfordern eine weitere Prüfung und Festlegung, wie diese im konkreten Fall erfüllt werden können. Dabei kann auch auf die Auseinandersetzung zum Thema der ADV-Vereinbarung nach § 11 Abs. 2 Satz 4 BDSG verwiesen werden.

808

Der Scan-Provider muss natürlich entsprechende gesetzliche Anforderungen wie Aufbewahrungs- und Speicherpflichten berücksichtigen. So kommt für Rechtsanwälte und Ärzte eine Übertragung der Scanprozesse auf Dritte derzeit gar nicht erst in Betracht, § 203 StGB. Auch aus dem Steuergeheimnis (§ 30 Abs. 4 AO), dem Sozialgeheimnis (§ 80 Abs. 5 SGB X) und dem Beamtenrecht (§ 107 BBG) können sich Verbote zum Outsourcing ergeben.

809

Da ein klarer Bezug zur Gesetzeslage in der TR fehlt, kommt der TR derzeit nur ein empfehlender Charakter zu. Es besteht somit die Gefahr, durch eine Vernichtung des Originaldokuments einen Urkundenbeweis (§§ 415 ff. ZPO) zu verlieren, da gescannte Dateien derzeit nur als Augenscheinobjekte (§ 371 Abs. 1 Satz 2 ZPO) anerkannt sind. Dieses Problem stellt das größte Risiko der TR dar, obwohl der Anwendung der TR bezüglich der freien Beweiswürdigung des vorgelegten Augenscheinobjekts, § 286 Abs. 1 ZPO, eine stark indizielle Wirkung zukommt. Auch wenn man nicht weiß, wie im Einzelfall ein Gericht entscheidet, dürfte es schwer fallen, den Beweisgrad eines gescannten Dokumentes in Frage zu stellen. Dennoch erscheint das Risiko groß, dass ein Gericht ein wichtiges Beweisdokument nicht anerkennt. Somit führt die TR (noch) nicht dazu, dass auf Originaldokumente verzichtet werden kann, denn nach jetziger Rechtslage kann nur davor gewarnt werden, Originaldokumente nach dem Digitalisierungsvorgang zu vernichten, sofern eigene Interessen zur Beweisführung oder fremde Interessen am Erhalt betroffen sind. Es ist somit jedenfalls ratsam, den Scanprozess nach der TR zu gestalten. Grundsätzlich erleichtert die TR es den Parteien, Anforderungen zu bestimmen, die den Voraussetzungen der Datensicherheit gerecht werden und die Fehleranfälligkeit des Scanprozesses zu minimieren. Die TR dient daher nach dem jetzigen Stand nur dem nicht-ersetzenden Scannen.

2

 ›

II

 › 2. Layer der IT-Prozesse

2. Layer der IT-Prozesse

810

Neben der Erbringung von Outsourcing-Leistungen auf der Basis der IT-Infrastruktur, erbringen Provider häufig auch Leistungen auf dem Layer der IT-Prozesse. Diese werden häufig auch als Processing Services bezeichnet. Da meist jeder Provider seine spezifischen IT-Prozesse dem Kunden anbietet oder die völlig unterschiedlichen IT-Prozesse des Kunden übernimmt, gibt es eine große Fülle von unterschiedlichen IT-Prozessen, je nach Kunde oder Dienstleister (Systemhaus/Beratungsunternehmen). Üblicherweise sind dies im hohen Maß selbstentwickelte und nicht auf Standards basierende Anwendungen mit dazugehöriger Infrastruktur von potenziellen Kunden. In solchen Organisationen kann eine einfache Zählung mehrere Hundert dieser Altanwendungen (Legacy Tools) zu Tage fördern.

811

Daher hat eine Standardisierung gleich eine Vielzahl von positiven Effekten für die IT-Organisation und den Aufwand bei den zu erbringenden Services:

            –

            Vereinfachung der Nachfrage-Spezifikation und Forecasts im Demand-Management-Service

            Wenn auch neue Anforderungen auf etablierter IT-Infrastruktur basieren können, kann die technische Spezifikation von Geschäftsanforderungen verlässlicher durchgeführt werden, da die Anzahl möglicher Optionen beschränkt ist. Soll eine noch nicht erprobte Technologie zum Einsatz kommen, erfolgt zunächst ein technisches Evaluierungsprojekt.

            –

            Vereinfachung beim Einzelabruf von Standard-Services:

            Standard-Produkte sind die Voraussetzung für die Definition von Standard-Services und machen den Aufwand bei diesen individuellen Serviceabrufen erst kalkulierbar, da die Supportkräfte gezielt produktspezifisch ausgebildet und Arbeitsabläufe automatisiert und vereinfacht werden können.

            –

            Outsourcing von Services wird durch eine Produktstandardisierung möglich.

            Oftmals muss im Vorfeld von Outsourcingprojekten die IT-Landschaft standardisiert werden, da Legacy Systeme (Altsysteme) in der Regel nicht durch externe Service-Provider betrieben werden können. Ist eine Standardisierung bereits erfolgt, wird auch das Outsourcing von IT-Services stark vereinfacht.

            –

            Kosteneinsparungen beim Einkauf von Leistungen.

            Ist das Produktportfolio klar umrissen und der Bedarf für die nächste Planungsperiode bekannt, kann der Einkauf von benötigten HW und SW Produkten gezielt und kostenoptimal erfolgen, z.B. können Einkäufe dann in Form von klar spezifizierten Ausschreibungen erfolgen.

            –

            Einsparungen durch standardisierte IT-Prozesse

            Sind neben den IT-Produkten auch die IT-Prozesse standardisiert, kann die Überwachung und Kontrolle der verschiedenen Leistungserbringer zentral erfolgen. Zusätzlich können z.B. durch Benchmarking der verschiedenen Service-Provider Einsparungen oder Leistungssteigerungen erzielt werden.

812

Es ließen sich sicher viele weitere Vorteile einer Standardisierung im IT-Service-Management und im Allgemeinen in der IT finden. Oft ist die Standardisierung von den betriebenen Produkten ein Schlüssel für die Optimierung der IT-Organisation. In jedem Falle sollte die Einführung eines IT-Prozess-Modells Hand in Hand mit der Standardisierung von IT-Produkten gehen.

813

In den letzten Jahren etabliert sich auf dem europäischen Markt für IT-Prozesse immer mehr die aus der englischen, öffentlichen Verwaltung stammende IT Infrastructure Library (ITIL V3 (2011)); in der Form einer BestPractice. Der Vorteil von standardisierten IT-Prozessen für den Kunden liegt natürlich auch in der Vergleichbarkeit von Leistung und Vergütung (ggf. sogar in einem späteren Benchmarking) zwischen den einzelnen Providern. Dabei ist die IT Infrastructure Library (ITIL) eine Ansammlung von Best Practices welche in einer größeren Anzahl von Publikationen zur Umsetzung eines IT-Service-Managements veröffentlicht wurde. Heute arbeiten die meisten Outsourcing-Provider und Unternehmen in Europa mit diesen Best Practices. Dabei ist ITIL V3 (2011):

            –

            der weltweite De-facto-Standard für das IT-Service-Management (ITSM)

            –

            ein „Best Practice“-Framework für das IT-Service-Management

            –

            ein Public Domain Framework für ITSM

            –

            von der OGC (Office of Government Commerce) heraus gegeben

            –

            zusammen mit Vertretern aus der Praxis (Anwendern, Herstellern und Beratern) entwickelt und wird ständig weiterentwickelt – IT-Service-Management Forum (itSMF).

            –

            keine Norm, jedoch ist der BS 15000 (British Standard 15000) auf der Grundlage von ITIL entstanden

814

In den Publikationen der ITIL V3 (2011) werden die Regeln und Definitionen publiziert, die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die Werkzeuge notwendig sind. Die ITIL V3 (2011) orientiert sich an dem durch den IT-Betrieb zu erbringenden wirtschaftlichen Mehrwert für den Kunden. Dabei werden die Planung, Erbringung, Unterstützung und Effizienz-Optimierung von IT-Serviceleistungen im Hinblick auf ihren Nutzen als relevante Faktoren zur Erreichung der Geschäftsziele eines Unternehmens betrachtet.

815

Die ITIL V3 in der Fassung von 2011 hat gegenüber der ITIL V2 die Prozesse nach folgenden Phasen

            –

            Service Strategy

            –

            Service Design

            –

            Service Transition

            –

            Service Operation

sortiert. Dieser Aufteilung der ITIL V3 (2011) Prozesse entspricht auch der seit Jahren angewendeten Plan-Build-Run-Ansatz (Design, Transition, Operation) der IT-Branche. So ist das gesamte 3. Kapitel Das Outsourcing-Projekt auch nach ITIL V3 (2011) Vorgehensweise gestaltet. Zu einzelnen Phasen der ITIL V3 (2011) werden folgende Prozesse zugewiesen:

            –

            Service Strategy

            –

            Strategy Generation

            –

            Financial-Management

            –

            Service-Portfolio-Management

            –

            Demand-Management

            –

            Service-Design

            –

            Service-Level-Management

            –

            Service-Catalogue-Management

            –

            Information-Security-Management

            –

            Supplier-Management

            –

            IT-Service-Continuity-Management

            –

            Availability-Management

            –

            Capacity-Management

            –

            Service-Transition

            –

            Knowledge-Management

            –

            Change-Management

            –

            Service-Asset- and Configuration-Management

            –

            Transition Planning and Support

            –

            Release- and Deployment-Management

            –

            Service-Validation and Testing

            –

            Evaluation

            –

            Service-Operation

            –

            Service Desk (Funktion)

            –

            Technical Management (Funktion)

            –

            IT Operations Management (Funktion)

            –

            Application Management (Funktion)

            –

            Incident Management

            –

            Request-Fulfilment

            –

            Event Management

            –

            Access Management

816

Bei diesen IT-Prozessen handelt es sich häufig um vorgefertigte standardisierte ITIL V3 (2011)-Prozesse aus dem Service-Offering-Portfolio (SOP) des Providers, z.T. kann es aber auch durchaus vorkommen, dass beim Kunden überhaupt keine definierten oder rudimentären IT-Prozesse vorhanden sind, welche erst durch die Transformierung in einem Outsourcing-Projekt moduliert und standardisiert (z.B. hin zum ITIL V3 (2011)) werden.

817

Neben ITIL V3 (2011) gibt es noch eine Reihe andere Standards für die Beschreibung von IT-Prozessen. Ein weiteres Beispiel ist das Microsoft Operation Framework (MOF), welches eine Kombination der in der ITIL V3 (2011) enthaltenen Prozesse mit speziellen Richtlinien für das Verwenden von Microsoft-Produkten und Technologien beinhaltet.

818

Im Folgenden werden einzelne (aber nicht alle) ITIL V3 (2011)-Prozesse beschrieben, die von Providern ihren Kunden angeboten werden.

a) Service Desk (User Help Desk)

819

Bei einem User Help Desk (UHD) handelt es sich um eine Organisation, die versucht, den Anwender mit einem Nicht-vorort-Service (Frist Level Support), also Remote per Telefon oder Fernwartungssoftware, zu unterstützen. Hierbei handelt sich meist um sog. Call Center Agents, die für eine solche entsprechende Tätigkeit ausgebildet sind. Das Outsourcing eines User Help Desk ist weit verbreitet und findet nicht nur Anwendung in der IT-Branche, da gerade die Frequentierung von UHD-Leistung hier stark unterschiedlich sein kann. So kann es bei der Umstellung einer Softwareversion in der ersten Zeit zu erheblichen Anfragen kommen, welche nach einiger Zeit erheblich zurückgehen. Der Betreiber eines UHDs (Provider) kann diese Ressourcen natürlich unterschiedlich nutzen, während ein Kunde auch für diesen Augenblick die entsprechenden Mitarbeiter vorrätig halten muss. Das Outsourcing eines User Help Desks kann daher sehr schnell zu erheblichen Kosteneinsparungen führen.

820

Der nach dem ITIL V3 (2011)-Sprachgebrauch als Service Desk bezeichnete Funktionsträger kann als eine Weiterentwicklung des klassischen User Help Desks‘s (UHD) gesehen werden. ITIL V3 (2011) will durch diese Umbenennung des Help Desks zu Service Desk demonstrieren, dass dem Support an vorderster Front heute eine wichtigere und umfassendere Rolle zukommt. Dabei dient der Service Desk als zentrale Schnittstelle zwischen Benutzern und dem IT-Service-Management. Er befasst sich mit Störungen (Incidents) und Anfragen und stellt eine Schnittstelle für andere IT-Services, wie z.B. Change-, Problem-, Konfigurations-, Release-, Service-Level- und IT-Service-Continuity-Management dar. Dabei handelt es sich beim Service Desk nicht um einen Prozess, sondern um eine Funktion, welche auch wie ein User Help Desk entsprechend als Task ausgelagert werden kann.

821

Auch beim Service Desk bzw. User Help Desk zeigt sich recht deutlich, inwieweit das gesamte IT-Service-Management, also die IT-Prozesse und die IT-Infrastruktur sprich die gesamte Hard- und Software, miteinander harmonieren müssen. Durch vereinfachte und störungsunanfällige Hard- und Softwarelösungen wie z.B. Citrix-Lösungen lässt sich möglicherweise die Call Rate von ca. durchschnittlich 2 Calls pro User/Monat durchschnittlich auf 0,5 Calls pro User/Monat verringern. Somit können durch die Verwendung von störungsunanfälligen Hard- und Softwarelösungen gleichzeitig die Kost