Matrix Technology AG
Finsurance Blog > Vertragswerke im IT Outsourcing – Arten des Aufbaus, Inhalte, Vor und Nachteile

Vertragswerke im IT-Outsourcing – Arten des Aufbaus, Inhalte, Vor- und Nachteile

Theresa Amann

Theresa Amann

Account Manager IT-Outsourcing

Theresa Amann gibt in ihren Beiträgen Einblicke, welche Herausforderungen bei der Erstellung und Bearbeitung von IT-Outsourcing-Verträgen entstehen können und worauf Unternehmen aus der Finanz- und Versicherungsbranche achten sollten.

Alle Beiträge des Autors

IT-Outsourcing impliziert per se eine langfristige Kooperation zwischen Ihnen und Ihrem IT-Provider, denn IT-Outsourcing-Verträge werden auf drei bis fünf Jahre abgeschlossen. Damit wird der Vertragsgestaltung eine immense Bedeutung zuteil, insbesondere im BaFin-regulierten Umfeld. Die Anforderungen und gewünschten Umsetzungen der BAIT (oder VAIT, KAIT) sowie die Anforderungen der MaRisk müssen allesamt in den Verträgen zwischen Finanzunternehmen und Dienstleister integriert werden. Folgender Beitrag soll eine allgemeine Orientierungshilfe zum Aufbau Ihres Vertragswerks im IT-Outsourcing darstellen.

Komplexität und Kooperation zwischen den Vertragsparteien

Um das gemeinsame und komplexe IT-Outsourcing-Projekt zwischen Ihnen und dem gewählten IT-Dienstleister erfolgreich über die Bühne zu bringen, sollte bereits vor der ersten Angebotslegung im Rahmen einer Ausschreibung der Aufbau für das Outsourcing-Vertragswerk geklärt sein. Denn allen Parteien ist im besten Fall daran gelegen, eine faire Partnerschaft für eine langfristige Zusammenarbeit zu etablieren. Zudem sorgt eine frühzeitige Festlegung der Rahmenbedingungen im Vertragswerk für ein kürzeres Ausschreibungsverfahren.

Arten des Vertragsaufbaus im IT-Outsourcing

Für den Aufbau eines IT-Outsourcing-Vertragswerks gibt es keine verbindlichen Regelungen. Auch die Vertragshierarchie bedarf einer Einzelfallbetrachtung. Die Beleuchtung der folgenden Vertragsstrukturen gibt einen ersten Einblick, wie Vertragswerke aufgebaut sein können. Aufgrund der Individualität und Komplexität des Themas erheben die aufgeführten Aufbauarten jedoch keinen Anspruch auf Vollständigkeit.

Variante 1:
Rahmenvertrag nebst Anlagen

Häufig wird ein Rahmenvertrag zugrunde gelegt, in dem Themen, wie Haftung, Gerichtsstand, Vertragslaufzeit, Notfallkonzept usw., um individuelle Klauseln im IT-Outsourcing, wie beispielsweise Personalübernahme, erweitert werden.

Im Rahmenvertrag werden also die Vertragsregelungen zusammengefasst, die – wie der Name schon sagt – den Rahmen für die späteren, weiteren Leistungen setzen.

Der Rahmenvertrag ist im Rahmen des Ausschreibungsprozess meist das Spielfeld der Juristen. Diese klare Trennung der Themen in einen juristischen Teil und einen fachlichen Teil (die weiteren Anlagen), erhöht die Effizienz beim Ausschreibungsprozess und auch in der späteren Zusammenarbeit.

Diesem Rahmenvertrag werden bei der ersten Variante, die hier vorgestellt werden soll, diverse Anlagen beigefügt. Allem voran steht eine kurze Übersicht, die als Rahmen einen Überblick über die Anlagen und Inhalte des Vertragswerks gibt. Dieser kurzen Management Summary, in der – wie in einem Projektvertrag – allgemeine Informationen zu Ihrem Unternehmen sowie zum IT-Provider und eine kurze Übersicht der Leistungen und Preise aufgeführt ist, werden dann diverse Anlagen hinzugefügt.

Aus Ihrer Ausschreibung ergeben sich zunächst diverse Anforderungen, die Sie an einen oder mehrerer Dienstleister übergeben möchten, und die Sie – meistens in mehreren Anforderungsdokumenten – den IT-Providern zu Beginn der Angebotsphase zur Verfügung stellen. Die Dienstleister bieten dann ihre jeweilige Leistung entsprechend zu Ihrer konkreten Anforderungen an, die sich selbstverständlich auch im späteren Vertragswerk wiederfinden sollten.

Die Lösungs- bzw. Leistungsbeschreibung stellt hierbei also eine der essenziellen Anlagendokumente des Vertragswerks dar. Hier sollte eine ausführliche IT-Provider-, Lösungs- und Leistungsbeschreibung beinhaltet sein. Neben allgemeinen Bestimmungen, in denen etwa die Beziehung der Anlagen zum Rahmenvertrag geregelt wird, sind ausführliche Informationen zum IT-Dienstleister, wie eine Unternehmensbeschreibung, Referenzen, oder wichtige Zertifizierungen – für regulierte Unternehmen etwa eine ISO 27.001-Zertifizierung des IT-Dienstleisters – aufgeführt. Auch die Serviceorganisation bzw. Lieferorte, an denen der Service erbracht wird, Teams, die den Service ausführen und eventuelle Subunternehmer, die Ihrem Provider bei der Leistungserbringung unterstützen, werden in der Leistungsbeschreibung abgehandelt.

Dediziert und detailliert werden die einzelnen Betriebsleistungen beschrieben, die Ihr IT-Dienstleister speziell für Sie erbringen soll. Für eine bessere Übersicht erfolgt die Lösungsbeschreibung je Service idealerweise in jeweils einzelnen Unterkapiteln. Zu den monatlichen Betriebsservices, die Sie auslagern möchten, können Services wie beispielsweise Netzwerk, Compute, Storage und Backup, Datenbanken, Geschäftsanwendungen, E-Mail etc. gehören.

Auch Verantwortlichkeiten zwischen Ihnen und Ihrem IT-Dienstleister werden in der Lösungsbeschreibung bestimmt. Sie sollten hierbei speziell darauf achten, dass jeder Service in einer Verantwortlichkeitsmatrix - einer RACI-Tabelle - dargestellt ist.

RACI-Matrix

Abb. 1: RACI-Matrix

Bestenfalls sollte in der Anlage zur Lösungsbeschreibung auch das Thema IT-Sicherheit beschrieben sein, auf das durch die BaFin regulierte Unternehmen spezielles Augenmerk legen müssen. Wichtige Bestandteile hierbei sind unter anderem Beschreibungen zum Sicherheitsrisikomanagement, Vulnerability Management und Security Monitoring. Zum Teil findet man das sehr wichtige Thema IT-Security aber auch in einer separaten Anlage. Außerdem können in der Leistungsbeschreibung Themen wie die Bestellung oder Abbestellung von Leistungen und eine eventuelle Hardware- oder Mitarbeiterübernahme dargelegt sein.

Dem Thema Betriebsübernahme ist in diesem Vertragsaufbau eine separate Anlage gewidmet. In der Anlage Transformation und Transformation wird das dem Betrieb vorgelagerte Projekt beschrieben und das geplante

Migration- und Projektvorgehen detailliert beleuchtet. Sie sollten besonders darauf achten, dass in diesem Teil des Vertragswerks auch Abnahmekriterien für die einzelnen Meilensteine festgelegt und beschrieben sind.

Ein weiterer sehr wichtiger Bestandteil des Vertragswerks ist eine ausführliche Darstellung des Preismodells für die in den vorherig genannten Anlagen beschriebenen Leistungen. Das Preisblatt wird in Form einer Tabelle einzeln nach Services dargestellt und beinhaltet auch die Mengengerüste der zu erbringenden Leistung. Meist sind an dieser Stelle auch Mengenschwankungen, sprich eine Ober- bzw. Untergrenze der Mengeneinheit, für die Ihr Provider IT-Services erbringt, festgehalten.

Neben diesen erforderlichen Anlagen, die erfahrungsgemäß obligatorischer Bestandteil der Vertragsunterlagen sind, können weitere Anlagen hinzugefügt werden. Dies können ausführlichere Mengenlisten, wie etwa Serverlisten, gemeinsam zwischen Ihnen und Ihrem IT-Provider besprochene, zusätzliche Annahmen zum Rahmenvertrag und den Anlagen oder ausführliche Referenzen des IT-Providers sein.

Einfache Handhabung von Vertragserweiterungen durch Change Requests

Für einen so strukturierten Vertragsaufbau spricht, dass hier alle wesentlichen Bestimmungen in einem bzw. einigen wenigen Vertragsdokumenten zusammengefasst sind. Dies erleichtert die Übersichtlichkeit enorm. Alle durch Ihren IT-Provider zu erbringenden IT-Services finden sich beispielsweise im Dokument Leistungsbeschreibung wieder.

Klarer Vorteil ist zudem, dass sich Vertragserweiterungen relativ einfach gestalten lassen. Sollten Sie sich dafür entscheiden, Ihrem IT-Provider noch mehr Leistungen zu übertragen, können diese dem vorhandenen Vertragswerk in einem extra Dokument beigefügt werden.

Da die Leistungserbringung in einer Anlage gesamt dargestellt und geregelt ist, können Sie dem Vertrag einen Change Request, also ein Änderungsdokument - in diesem Fall eine Erweiterung - beifügen. Dadurch besteht keine Notwendigkeit den kompletten Vertrag, oder einzelne Bestandteile des Vertragswerks, zu ändern. In einzelnen Changes werden zusätzliche Leistungen, Mengen, entsprechende Service Level sowie die Vergütung in einem Dokument je Service abgehandelt.

Variante 2:
Modulare Bausteine durch Leistungsscheine

Eine einerseits komplexere, zugleich aber sehr modulare Vertragsform bietet die Erstellung von Leistungsscheinen. Bei dieser Art des Vertragsaufbaus werden dem Rahmenvertrag einzelne Services und übergeordnete Themen in diversen Leistungsscheinen beigefügt. Anstatt in einer Anlage, werden insbesondere die Betriebsservices einzeln in dedizierten Leistungsscheinen beschrieben. Somit können bis zu 20 oder mehr modulare Anlagen Bestandteil dieser ausführlichen Vertragsform sein. Anzahl und Umfang der Leistungsscheine orientieren sich an der Komplexität und Anzahl an auszulagernden Services.

Dem teilweise relativ kurz gehalten Rahmenvertrag werden ausführliche und in Form und Darstellungsart unterschiedliche Vertragsanlagen beigefügt. In Tabellen oder Fließtexten behandeln die Leistungsscheine jeweils die zu erbringenden Betriebsservices, wie Netzwerk, Datenbanken, Applikationen etc., und zusätzliche Themen, wie Reisekosten, Finanzielle Verantwortlichkeiten, Umgang mit Subunternehmern etc.

Vertragsdokumente und -anlagen

Abb. 2: Vertragsdokumente und -anlagen

Wichtige übergeordnete Themen wie beispielsweise Service Level Agreements (kurz: SLAs) werden auch in einem Dokument gebündelt dargestellt. So ist etwa der Service Level für den Service ‚Netzwerk‘ nicht im Leistungsschein ‚Netzwerk‘, sondern im Leistungsschein ‚Service Level Agreement‘ beschrieben, da dieser die SLAs aller Leistungen beinhaltet. In einem umfangreichen Leistungsschein werden jeweils für die einzelnen Services, die in den jeweiligen Leistungsscheinen beschrieben sind, individuelle Service Level festgelegt.

Bei der Beschreibung der Service Level Agreements sollten Sie auch auf die Definition der einzelnen Begrifflichkeiten wert legen. Um spätere Missverständnisse zu vermeiden, sollten hier Betriebs-, Service-, Reaktions- und gegebenenfalls Lösungs- und Wiederherstellungszeiten definiert und voneinander abgegrenzt werden.

Ein weiteres Thema, welches in keinem IT-Outsourcing-Vertragswerk fehlen darf und dem Sie und Ihr IT-Provider einen eigenen Leistungsschein widmen sollten, ist das Thema Exit Management. Gerade für regulierte Unternehmen ist es essentiell, dass eine Beendigungsunterstützung durch den IT-Provider – mit dem Sie idealerweise langfristig, zumindest aber in der vereinbarten Vertragslaufzeit, partnerschaftlich zusammenarbeiten – gewährleistet ist. Sollte eine zufriedenstellende Zusammenarbeit mit dem IT-Dienstleister widererwarten nicht der Fall sein, ist selbstverständlich wichtig, dass die Leistungen nahezu nahtlos an den darauffolgenden Provider übergeben werden. Um jederzeit eine fließende Leistungserbringung zu gewährleisten, sollte das Thema Exit Management also schon vor der Übernahme durch einen IT-Provider geregelt sein.

Ein weiteres wichtiges Dokument, welches unverzichtbarer Bestandteil von IT-Outsourcing-Verträgen ist, regelt die Datenverarbeitung. Da Sie mit Ihrem IT-Outsourcing-Vorhaben, in welcher Form auch immer, Daten an eine externe Partei auslagern, werden in der Vereinbarung zur Datenverarbeitung Themen wie Umfang, Art und Zweck der Datenverarbeitung sowie technische und organisatorische Maßnahmen zwangsläufig festgelegt.

Das insgesamt sehr ausführliche Vertragswerk beinhaltet zudem im Bestfall etwa auch eine Auflistung der Standard Service Requests. Durch die genaue Beschreibung, was standardmäßig als Leistung durch Ihren Provider erbracht werden soll – und was dementsprechend gleichzeitig dann nicht als Leistung zu erwarten ist – werden schon im Vorfeld wichtige Abgrenzungen geschaffen. Typische Service Requests, die Ihr Provider gemäß seiner Erfahrung zusteuern kann, können hierbei als Vorlage dienen. Grundsätzlich sind Praxisbeispiele – die diese Vertragsvariante zudem lebendig machen – eine gute Vorgehensweise, wenn es um die genaue Beschreibung von Leistungsinhalten und deren Abgrenzung geht.

Alles in allem sind idealerweise in den Leistungsscheinen so gut wie alle Themen, die die Zusammenarbeit mit Ihrem IT-Dienstleister für die nächsten 36 bis 60 Monate regeln, in diesem Vertragswerk enthalten. Insgesamt werden durch die ausführliche und komplexe Darstellung der Themen im Bestfall ideale Grundsteine für die spätere Leistungserbringung gelegt, da diese inhaltlich sehr ausführlich dargestellt ist und es so zu einem späteren Zeitpunkt keiner weiterer Diskussion zwischen Ihnen und Ihrem IT-Provider bedarf.  

Unterschiedliche Regelungsbereiche bieten klare Differenzierung und Parallelität

Ein weiterer Vorteil des modularen Aufbaus des Vertragswerks besteht darin, einzelne Regelungsbereiche – technische, kaufmännische und juristische– dadurch noch stärker zu entzerren und zu entflechten. Schon in der Vertragsverhandlung können die unterschiedlichen Bereiche so separat verhandelt werden.

Der Rahmenvertrag ist etwa genauso ein klassisches Thema einer Rechtsabteilung, wie das Thema ‚Aufsichtsrechtliche Anforderungen‘, in denen die Gültigkeit von speziellen, gesetzlich geltenden Rechtsvorschriften, wie z.B. der MaRisik, beinhaltet sind und bei denen auch die Compliance-Abteilung ein Wörtchen mitzureden hat. Zusätzliche Vertragsbestandteile, wie beispielsweise eine Personalübernahme durch den IT-Provider, werden hingegen freilich durch die Personalabteilung verantwortet. Bei den Service-Leistungsscheinen sind wiederum insbesondere die IT-Serviceeinheiten gefragt. Diese bestimmen letztlich die Inhalte der jeweiligen Leistungsbeschreibungen.

Der Modulare Aufbau bietet sich definitiv für sehr komplexe Outsourcing-Vorhaben an. Denn sollten Sie sich während der Vertragslaufzeit dazu entscheiden, weitere Leistungen an Ihren IT-Provider auszulagern, gestaltet sich auch eine Vertragserweiterung als komplexes Unterfangen. Es ist unbedingt darauf zu achten, die entsprechende Erweiterung nicht nur lediglich in einem zusätzlichen Leistungsschein festzuhalten, sondern auch in den bereits bestehenden Leistungsscheinen anzupassen. So sollten Sie beachten, dass der geltende Service Level für die zusätzlich zu erbringende Leistung im existierenden Leistungsschein zum Service Level auch hinzugefügt wird.

Einmal bitte alles

Um die ganze Sache noch etwas zu verkomplizieren , kommen nun natürlich noch diverse andere Varianten an IT-Outsourcing-Vertragswerken ins Spiel. So sollten Sie beispielsweise auch eine Mischform der vorangegangenen beiden Varianten in Betracht ziehen. Denn die Praxis zeigt, dass es oft nicht nur ein „entweder oder“ gibt.

Variante 3:
Rahmenleistungsschein und angefügte Leistungsscheine

Bei einer weiteren Form des IT-Outsourcing-Vertragswerks liegt den unterschiedlichen Leistungsscheinen, neben dem Rahmenvertrag, auch ein Rahmenleistungsschein zugrunde. Im Rahmenleistungsschein wird, wie der Name bereits verspricht, ein gewisser Rahmen für weitere Leistungsscheine geschaffen.

Für eine bessere Gesamtübersicht werden allgemeine Themen wie eine allgemeine Leistungsbeschreibung, Service Prozesse, Betriebsmodell und Service Organisation sowie Service Level in einem übergeordnetem Leistungsschein dargestellt. Die dort beschriebenen Inhalte sind allgemeingültig für die einzelnen, beigefügten Leistungsscheine. Somit lassen sich Doppelbeschreibungen vermeiden und vorrangige Themen auf einmal, in einem zentralen Dokument abhandeln.

Diese Variante stellt insofern eine Mischvariante dar, da übergeordnete, sinnhaft zusammengehörige Leistungen in einem Dokument gebündelt sind. Gleichzeit werden in dieser, im Vergleich zur vorher beschriebenen, nicht minder komplexen Variante, die einzelnen Services in jeweils separaten Leistungsscheinen beschrieben und dem Vertragswerk als Anlage beigefügt.

Fazit: Variante 1, 2 oder sogar 3?

Jetzt stehen Sie vor der Qual der Wahl: Drei Varianten, verschiedene Aufbauten, allerlei Vor- und Nachteile. Was nun? Letztendlich gibt es bei Vertragswerken im IT Outsourcing keinen richtigen oder falschen Aufbau, lediglich diverse Möglichkeiten.

Je nach Komplexität Ihres IT-Outsourcing-Unterfanges und je nachdem, ob sich die einzelnen Leistungen, die Sie planen auszulagern, zum Zeitpunkt der Vertragsgestaltung schon granular darstellen lassen, bietet sich eine andere Variante für Ihr ganz individuelles Vertragswerk an.

Was grundsätzlich ja (fast) immer wichtig ist: der Inhalt – egal welchen Aufbau Sie wählen, denn dies kann auch eine Mischvariante oder ein komplett anderer Aufbau, als einer der genannten Varianten sein. Solange also die essentiellen Bestandteile im Vertragswerk enthalten sind, steht einem erfolgreichen IT-Outsourcing, zumindest aus vertraglicher Sicht, nichts mehr im Wege.

Checkliste: IT-Outsourcing im BaFin-regulierten Umfeld

Sie planen ein IT-Outsourcing-Projekt im BaFin-regulierten Umfeld? Dann laden Sie sich jetzt unsere kostenlose Checkliste herunter und prüfen Sie, ob Sie alle wesentlichen Punkte bei Ihrem Auslagerungsvorhaben berücksichtigt haben.

Jetzt Checkliste herunterladen →

Teaser, Checkliste, IT-Outsourcing im BaFin-regulierten Umfeld