IT-Outsourcing

Im Vertrag muss ein Notfallplan stehen

Von Sabine Philipp

Ob sich die Auslagerung Ihrer IT lohnt, ist nicht nur eine Kosten-Nutzen-Rechung. Oft ist die Informationstechnik einfach nicht das Kerngeschäft, so dass die eigenen Mitarbeiter gar nicht alles abdecken können. Vor allem die Sicherheit und der Datenschutz gehören in die Hände von Spezialisten.

In vielen Fällen wollen Unternehmen schlicht die Kosten eigener IT-Systeme loswerden. Das klappt auch – aber nicht immer so gut, wie man wünschen würde. Denn erstens sind leistungsfähige und zuverlässige Dienstleister auch nicht gerade billig, und zweitens wird bei Schnellschüssen gern vergessen, dass sich das Unternehmen durch Outsourcing in eine weit reichende Abhängigkeit begibt. Wenn dann etwas nicht funktioniert, kann das relevante Geschäftsprozesse empfindlich ausbremsen.

Dennoch kann die IT-Vergabe neben dem Schutz und Schirm nach außen auch bei der Systembetreuung, der Wartung, der Rechenkapazität und der Software Sinn machen. (Bei Diensten rund ums Webhosting ist die Delegierung oft selbstverständlich.) Sie können bei alledem jede Menge Kapazitäten, Geld und Ärger sparen, wenn Sie ein paar Regeln beachten.

Sicherheit steht an erster Stelle

Die eng vernetzte Kooperation mit einem IT-Dienstleister ist eine besondere Form der Partnerschaft, die enorm viel Vertrauen voraussetzt. Einen ausführlichen Sicherheitskatalog zur Einführung von IT-Outsourcing gibt es beim Bundesamt für Sicherheit in der Informationstechnik.

Attacken aufs Netzwerk

Wo Sie den Schutz vor Viren, Hackern und anderen Undingen des Datenlebens aus der Hand geben, ist besondere Vorsicht gefragt. Bei der Security-Firma ProtectStar, Inc., sieht CEO Christopher Bohn gerade KMU in einer gefährlichen Situation, „da hier auch direkte, lokale Wettbewerber ein Interesse daran haben, an firmeninterne Daten wie Kundendaten, Projektangebote, Technologien oder Mitarbeiternamen zu gelangen.“

Regeln Sie sicherheitsrelevante Fragen daher ganz klar im Vertrag: Generell sollte Ihr Dienstleister ein durchgehendes Sicherheitskonzept haben und es auch konsequent umsetzen. Ein solches Konzept muss genau analysieren, welcher Schaden wann und wie eintreten kann – und was dann zu tun ist. Kontrollieren Sie das regelmäßig durch ein Audit. Dabei wird das Ganze systematisch und mit Checklisten überprüft. Legen Sie auch die Zuständigkeiten genau fest: Es muss immer einen festen Ansprechpartner geben. Fragen Sie außerdem, wer die Systeme überwacht, wer checkt, ob alles läuft, und wer auf Sicherheitslücken reagiert.

Datenschutz

Alles, was mit Kundendaten zu tun hat, ist hochsensibel. Wenn in Ihrem Betrieb mindestens zehn Mitarbeiter personenbezogene Daten automatisch verarbeiten, z.B. mit einer Software, brauchen Sie einen Datenschutzbeauftragten (§ 4f BDSG). Der überwacht, ob Ihre Daten ausreichend sicher sind (§ 4g BDSG). Sie können einen Angestellten damit beauftragen, der sich aber oft erst in die Materie einarbeiten muss. Für kleinere Betriebe kann es sich daher durchaus lohnen, das Ganze nach außen zu geben. Experten vermittelt der Bundesverband der Datenschutzbeauftragten.

Prinzipiell ist es ist immer gut, wenn Ihr Dienstleister die Daten noch an einem anderen Ort lagert. Denn brennen kann es schließlich immer.

Worauf Sie achten sollten

Erreichbarkeit

Auch wenn Programmierer in Russland billiger sind – das Offshore-Outsourcing an ausländische Firmen rechnet sich meist nur für die ganz Großen. Achten Sie bei der Wahl Ihres Anbieters aber auch innerhalb Deutschlands auf regionale Nähe. Vor allem, wenn regelmäßige Besuche der externen IT-Experten anstehen. Sonst können Fahrtkosten und Spesen den finanziellen Vorteil schnell auffressen.

Nischenlösungen

Falls der Dienstleister Eigenentwicklungen offeriert, dann achten Sie darauf, dass ein Transfer auf andere Systeme möglich ist. Die Buchhaltung muss außerdem in jedem Fall den GoBD Genüge tun.

Vertragsauflösung und Übergabe

Auch wenn es im Augenblick gut läuft – die IT-Firma kann Pleite gehen oder Sie selbst verändern sich so, dass sie nicht mehr in Ihr Konzept passt. Achten Sie also bei Vertragsabschluss darauf, dass bei einem Wechsel alles problemlos über die Bühne geht und dass keine Sicherheitslücken entstehen. Außerdem wichtig: Wie sichert die Firma Schäden ab? Hat sie genug Mittel oder wenigstens eine Haftpflichtversicherung? (Lassen Sie sich gegebenenfalls die Police zeigen.)

Sorgen Sie im Service Level Agreement dafür, dass alle Dienstleistungen, Prozesse etc. ausreichend dokumentiert werden und dass Sie einen technischen und rechtlichen Zugriff darauf haben. Legen Sie für die Übergabe gleich noch eine Kooperationspflicht und eine Vertraulichkeitsregelung fest.

Mietsoftware bleibt up to date

Sie können auch die Verantwortung für ERP-Prozesse, Server, Software und Datenbanken aus der Hand geben. Statt einmal viel Federn zu lassen, zahlen Sie eine monatliche Gebühr und bleiben flüssig. Außerdem sind Sie immer auf dem neuesten Stand.

Solche ASP– bzw. SaaS-Mietlösungen gibt es auch für SAP- und Oracle-Produkte, z.B. bei ASPICON. Die Firma hat den Innovationspreis 2007 der Initiative Mittelstand in der Kategorie Outsourcing erhalten.

Fazit: Das Unternehmen trägt das Risiko

Eine reine Kostenbetrachtung genügt beim IT-Outsourcing niemals. Informationen in fremde Hände zu geben, bleibt immer eine riskante Sache. Und nicht jeder Anbieter ist vor Interessenskonflikten gefeit. Schon gar nicht, wenn er von Ihrem Konkurrenten abhängig oder gar dessen Tochterfirma ist. Schauen Sie sich also lieber die Kundenliste und die Eigentümerstruktur an.

Nützliche Links

Einen Handlungsleitfaden für die Vorbereitung und die Durchführung von IT-Outsourcing – speziell auf die Anforderungen von KMU abgestimmt – gibt es als Strategy Map (PDF) bei der Stiftung Industrieforschung. Ebenfalls als PDF und mit Blick auf KMU stellt das International Performance Research Institute (IPRI) den Fachartikel Outsourcing-Entscheidungen mit IT-Strategy Maps zum Download parat.