Compliance beim IT-Outsourcing

Gegenwärtig gibt es verschiedene gesetzliche Regelungen, die Unternehmen zur Etablierung von IT-Sicherheitsstrukturen und deren sorgfältiger Überwachung verpflichten. Nach dem Bundesdatenschutzgesetz sind Unternehmen zum Beispiel angehalten, die ­jeweils angemessenen technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der datenschutzrechtlichen Vorschriften zu gewährleisten. Das Gesetz verweist zudem auf eine detaillierte Auflistung in einer Anlage, in der unter anderem geregelt wird, welche Zugriffs- und Zugangskontrollen jeder installieren muss, der mit personenbezogenen Daten arbeitet. Weitere Rechtspflichten zur Etablierung von IT-Sicherheits-Infrastrukturen ergeben sich auch aus ­telekommunikationsrechtlichen Regelungen im Zusammenhang mit der Wahrung des Fernmeldegeheimnisses.

Geschäftsführung ist in der Verantwortung Unternehmen, die ihre IT an einen Anbieter auslagern, sollten prüfen, ob der Anbieter überhaupt geeignet ist, derartige gesetzliche Anforderungen zu erfüllen. Es reicht insofern nicht aus, dass sich das Unternehmen auf die Eignung des Anbieters blind verlässt. Vielmehr wird man in Fällen des IT-Outsourcings die entsprechende IT-Compliance über die vertragliche Bindung des Anbieters sicherstellen müssen. Die Geschäftsführung ist im Übrigen auch rechtlich dafür verantwortlich, dass die IT-Compliance auch nach der Durchführung eines IT-Outsourcings gewahrt bleibt. Bereits seit 1998 ist aufgrund des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Aktiengesetz geregelt, dass Vorstände von Aktiengesellschaften Entwicklungen, die künftig ein Risiko für das Unternehmen darstellen könnten, durch ein angemessenes Risikomanagement zu überwachen und erkannten Bedrohungen durch geeignete Maßnahmen entgegenzuwirken haben. Verletzt ein Vorstand diese Pflicht und entstehen hierdurch dem Unternehmen Schäden, haften die Vorstände hierfür persönlich. Auch die Einführung eines effizienten IT-Risikomanagement-Systems gehört insoweit zu den Pflichten der Geschäftsführung. Zu berücksich­tigen ist ferner, dass auch für GmbH-Geschäftsführer bereits heute gilt, dass Maßnahmen im Bereich der IT-Sicherheit zu den grundsätzlichen Pflichten eines sorgfältigen Geschäftsführers gehören, wenn der Fortbestand seines Unternehmen von der Verfügbarkeit der IT-Systeme und der Integrität der elektronisch gespeicherten Daten abhängig ist. Es liegt daher im eigenen Interesse der Geschäftsführung, eine mögliche Haftung zu vermeiden und im Zusammenhang mit einem IT-Outsourcing durch entsprechende Vertragsgestaltung dafür Sorge zu tragen, dass die Vorgaben der IT-Compliance von dem jeweiligen Outsourcing-Anbieter eingehalten werden.

Ohne Kontrolle keine Kredite Eine erhebliche Auswirkung auf die IT-Compliance hat auch der Sabanes-­Oxely Act (SOX), der auf alle Unternehmen Anwendung findet, die in den USA börsennotiert sind. Durch die spektakulären Bilanzskandale in den Jahren 2001 und 2002 mit den darauf folgenden Unternehmenszusammenbrüchen (Enron, WorldCom et cetera) wurde in den USA das Vertrauen der Anleger und der Märkte in die Verlässlichkeit von Kapitalmarktinformationen und die Wirksamkeit von unternehmensinternen Kontrollmechanismen erheblich erschüttert. Als Reaktion darauf wurde 2002 der Sarbanes-Oxely Act verabschiedet, der unter anderem die verbesserte interne Kontrolle von Unternehmen gewährleisten soll. Für den IT-Bereich sieht SOX vor, dass neben dem Nachweis der Sicherheit der Datenverarbeitung (IT Application Controls) auch die Sicherheit von Kontrollprozessen der IT-Infrastruktur (IT General Controls) gewährleistet sein muss. Dabei müssen für die Erfüllung der Anforderungen von SOX auch Kontrollabläufe nachgewiesen werden, die eine Umgehung der sicheren und ordnungsgemäßen Prozesse verhindern. Letzteres soll insbesondere durch ein effektives internes Kontrollsystem gewährleistet werden. Außerdem muss die Geschäfts­führung in regelmäßigen Abständen zu den bestehenden internen Kontrollen und Prozessen Stellung nehmen. Falsche Erklärungen in diesem Zusammenhang, die wissentlich oder vorsätzlich abge­geben werden, können mit Geldbußen bis zu 5 Millionen US-Dollar sowie Freiheitsstrafen bis zu zwanzig Jahren führen. Um diesen strengen Anforderungen gerecht zu werden, ist in Verträgen mit Outsourcing-Anbietern zu regeln, dass auch diese im Rahmen der Leistungs­erbringung die einschlägigen Anforderungen von SOX einhalten. Insbesondere sollten auch bei der Auslagerung von IT-Leistungen die Einhaltung der Sicherheit und die Effektivität des internen Kontrollsystems des auslagernden Unternehmens gewährleistet bleiben. Im Zusammenhang mit der Erbringung von IT-Leistungen durch Dritte wird von der US-amerikanischen Börsenaufsicht SEC unverbindlich die Möglichkeit der Zertifizierung des Anbieters auf Basis eines Statements of Auditing Standards (SAS) 70 Report Type II empfohlen. Es handelt sich hierbei um einen anerkannten Audit-Standard zur Kontrolle von Outsourcing-Vorhaben. Aus Sicht von Unter­nehmen, die größere geschäftskritische IT-Outsourcing-Projekte durchführen möchten, ist daher zu empfehlen, sich eines IT-Dienstleisters zu bedienen, der über eine entsprechende Zertifizierung verfügt. In Anbetracht der Anforderungen von SOX sollte dies durch eine entsprechende Klausel vertraglich fest­geschrieben werden. Die damit zusammenhängigen Mitwirkungspflichten und die Kostenfrage sollten ebenfalls geregelt werden. Des Weiteren sind auch die Bestimmungen der sogenannten neuen Baseler Eigenkapitalübereinkunft vom Juni 2004 (Basel II) zu beachten. Grundsätzlich adressiert Basel II lediglich Banken und legt im Detail fest, wie Kreditrisiken von diesen zu bewerten und mit Eigenkapital abzu­sichern sind. Hiernach sind im Rahmen der Bewertung des Kre­ditrisikos unter anderem sogenannte operationelle Risiken zu berücksichtigen. Dazu zählen jedoch gerade auch Risiken aus dem IT-Bereich. Folglich ist ein effektives IT-Risikomanagement ­eines der Kriterien, die im Rahmen der Kreditvergabe zukünftig von den Banken geprüft werden. Mangelhafte beziehungsweise fehlerhafte Kontrollsysteme können daher hohe Sollzinsen oder gar Kreditabsagen zur Folge haben. Auch hierin zeigt sich wiederum, wie wichtig es ist, auch im Rahmen ­eines Outsourcings vertraglich sicherzustellen, dass der jeweilige Anbieter über entsprechende Kontrollmechanismen verfügt.

Freier Zugang für Finanzprüfer Schließlich ist zu beachten, dass sich weitere Anforderungen aus den Grundsätzen der ordnungsgemäßen Buchführung (GoB) und den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) ergeben können. Insbesondere dann, wenn die Buchhaltung ganz oder teilweise an einen externen Anbieter vergeben ist, obliegt die Einhaltung der einschlägigen GoB-/GoBS-Vorschriften nach wie vor dem auftraggebenden buchführungspflichtigen Unternehmen. Für deren Einhaltung ist alleine der Buchführungspflichtige verantwortlich. Eine entsprechende vertragliche Gestaltung ist daher auch hier erforderlich. In engem Zusammenhang hiermit sind auch die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu nennen, die den Zugriff des Finanzamts auf die IT-Systeme eines Unternehmens im Zusammenhang mit einer Außenprüfung regeln. Auch hier hat das betroffene Unternehmen zu beachten, dass ein derartiger Zugriff auch bei einem beauftragten Outsourcing-Anbieter gemäß den gesetzlichen Vorgaben möglich ist. Insbesondere ist zu regeln, dass die Prüfer des Finanzamtes jederzeit Zugriff auf die gegebenenfalls im Rechenzentrum des Anbieters vorhandenen Buchhaltungsdaten haben.

Peter Huppertz, LL.M., ist Rechtsanwalt und Fachanwalt für Informations­technologierecht.