RELATIV LEICHT überschauen lassen sich noch die kurzfristigen Risiken eines Outsourcing-Projekts, also die Gefahr, dass es gar nicht, nicht rechtzeitig oder nicht ordnungsgemäß durchgeführt wird. Eine gewisse Sicherheit erlangt der Kunde dadurch, dass man die Zahlung der Vergütung an die Durchführung des Projekts koppelt, also Milestones festlegt. Das allein reicht aber in vielen Fällen nicht aus. Die Risiken können leicht eine finanzielle Größenordnung erreichen, die weit über das Projekt-Budget hinausgeht.
Problemfälle
Beispielhaft erwähnt sei hier der Fall eines größeren Logistikunternehmens, das sich 1996 entschloss, das alte Warenwirtschaftssystem, das noch aus den frühen Achtzigern stammte, durch ein neues System zu ersetzen. Die Durchführung des Projekts verzögerte sich immer weiter, so dass es schließlich danach aussah, als würde sich zum Jahrtausendwechsel das alte Warenwirtschaftssystem verabschieden und damit der Überblick über den Waren- und Auftragsbestand verloren gehen.
Leistungsdefinition
Auch wenn solche extremen Fälle die Ausnahme sind – man braucht klare Haftungsregelungen und eine exakte Leistungsdefinition inklusive zeitlicher Vorgaben. Bei der Leistungsdefinition kommt es nicht selten vor, dass der Auftraggeber bei der Festlegung entsprechender Milestones oder des Pflichtenhefts auf die Sachkunde des Auftragnehmers zurückgreifen möchte, der ja aufgrund seiner Erfahrung mit ähnlichen Projekten den kürzesten Weg zum Ziel kennen müsste. Es spricht auch nichts dagegen, auf eine technische Leistungsdefinition zu verzichten und diese dem Auftragnehmer zu überlassen. Man braucht dann aber im Vertrag eine klare nichttechnische Leistungsbeschreibung, in welcher das Ziel, das mit dem Projekt erreicht werden soll, so eindeutig beschrieben ist, dass Dritte ohne technisches Fachwissen und ohne jedes Wissen über das Unternehmen des Auftraggebers und die dortigen Geschäftsabläufe in der Lage sind, festzustellen, ob es erreicht wurde oder nicht. Noch wichtiger sind langfristige Risiken, also die Gefahr, dass das Projekt zwar korrekt durchgeführt wird, aber Firmenkontakte, Know-how oder andere Geschäftsgeheimnisse in die Hände Dritter gelangen oder zwischen Auftraggeber und Auftragnehmer infolge des Projekts ungewollt Abhängigkeiten entstehen. Hierbei muss man auch arbeitsrechtliche und datenschutzrechtliche Fragen im Auge behalten. Derartige Risiken lassen sich durch eine entsprechende Projektvertragsgestaltung in Verbindung mit praktischen Vorsichtsmaßnahmen in vielen Fällen so weit entschärfen, dass ein Outsourcing möglich wird.
Geheimhaltung
Man sollte sich jedoch überlegen, ob man bereit ist, die physikalische Kontrolle über Daten aus der Hand zu geben. Wenn sich die Größe des Datenvolumens einer Datenbank beziffern lässt, reicht es beispielsweise in der Regel, nur einige Testdaten und nicht den vollständigen Datenbestand einer Datenbank an den Auftragnehmer zu übergeben. Stellt sich dann später heraus, dass die Programm-Performance mit dem echten Datenbestand ungenügend ist, kann immer noch nachgebessert werden. Wenn sensible Informationen notwendigerweise in die Hände des Auftragnehmers gelangen müssen, sollte nicht nur die auftragnehmende Firma selbst zur Geheimhaltung verpflichtet, sondern sollten auch deren Mitarbeiter persönlich haftbar gemacht werden.
RECHTSKOLUMNE
Zweischneidiges Schwert
28.01.2002 von Johannes Ulbricht
IT-Outsourcing birgt – bei allen Vorteilen,
die es mit sich bringen kann – ernst zu nehmende Risiken.
Diese haben auch eine Reihe juristischer Aspekte.