IT-Outspurcing führt durch Paragrafendschungel (Fortsetzung)

SLAs sind nicht alles
Auch wenn solche »Leistungsstandard-Vereinbarungen« inzwischen die Regel darstellen und grundsätzlich auch sehr gut geeignet sind, beim Outsourcing von IT-Services wie E-Mail-Diensten und IT-Security die Schnittstellen der wechselseitigen Verantwortlichkeit in diesem Dauerschuldverhältnis zu definieren, sind SLAs nicht immer ein All-heilmittel. Anstatt in den SLAs die Standards für die Leistungserbringung quantitativ und qualitativ festzulegen sowie die Sanktionen für die Nichterreichung dieser Service Levels zu vereinbaren, werden in der Praxis oftmals umfangreiche Werke erstellt, die jedoch ? meist ungewollt ? die eigentlich wesentlichen vertraglichen Bestimmungen verwässern. Outsourcer wie Auftraggeber begehen oft den Kardinalfehler, dass sie zwar in den SLAs ein eigenes Sanktionsregime für Fälle der Unterschreitung von Key Performance Indicators (KPI) vorsehen, diese Regelungen aber in eklatantem Widerspruch zu den gesetzlichen Vorgaben und auch den übrigen Bestimmungen des IT-Vertrages stehen. Kunde und Dienstleister versäumen es dabei nur allzu oft, etwaige Unvereinbarkeiten zwischen den Vertragswerken auszuschalten und eindeutige Kollisionsregelungen vorzusehen. So kann es passieren, dass die in den SLAs vereinbarten Pönalen, Vertragsstrafen, pauschalierten Schadensersatzsummen sowie »Belohnungen« des IT-Providers (so genanntes Bonus-/Malus-System) mangels klarer Regelungen erst gar nicht zur Anwendung kommen. SLAs sollten also eindeutig festlegen, ob die hierin vorgesehenen Rechtsfolgen die grundsätzlich nach Vertrag und Gesetz geltenden Rechte (die primären Leistungsansprüche einschließlich Nacherfüllung, Gewährleistungsrechte sowie Haftung) ersetzen oder als zusätzliche Garantien neben den Vertrag treten sollen.
SLAs werden vom Outsourcer oftmals standardmäßig vorgeschlagen und stellen damit Allgemeine Geschäftsbedingungen (AGB) dar. Danach gelten sowohl für die SLAs als auch die AGBs (selbst im Verhältnis von Unternehmern untereinander) samt allem ? wenn auch eingeschränkt
? »Kleingedruckten« grundsätzlich die strengen Vorgaben der §§ 305 ff. BGB. Missachten Auftraggeber oder Dienstleister die Regelungen des AGB-Rechtes, werden die entsprechenden Bestimmungen in den SLAs schlicht un-wirksam. Dann stünden beide Parteien wieder am Anfang, beim Ausführungsstandard »mittlerer Art und Güte«. Dies gilt unabhängig davon, ob zusätzlich weitere gesetzliche Regelungen wie das Mietvertrags-, Dienstleistungs-, Kauf- oder Werkvertragsrecht Anwendung finden und welche Haftungsbeschränkungen die unterschiedlichen Vertragstypologien möglicherweise beinhalten. Gerade die Frage der Haftung sollten Unternehmen jedoch nicht auf die leichte Schulter nehmen. Es wäre nicht der erste Fall, dass ein Outsourcer nach einer Viren-Attacke seinen Kunden gegenüber haften musste ? trotz High-Level-IT-Security.
PFERDEFUSS VERFÜGBARKEIT
Allein das Beispiel Verfügbarkeit zeigt eindrucksvoll, was im Falle der Unwirksamkeit von SLA-Klauseln einem Outsourcer blühen kann. Der Bundesgerichtshof hat in seinem Urteil vom 12.12.2000 (»Online-Banking«, Aktenzeichen XI ZR 138/00) ausdrücklich festgestellt, dass der Anbieter von IT-Leistungen mangels abweichender Regelungen grundsätzlich für eine hundertprozentige Verfügbarkeit einzustehen hat. Nicht jeder IT-Dienstleister wird jedoch eine solche Hochverfügbarkeit und die hundertprozentige Leistungsfähigkeit seiner E-Mail-Dienste garantieren können und wollen.
Umgekehrt dient es nur dem Schutz des Auftraggebers, wenn SLAs im Rahmen der Verfügbarkeit bestimmter Dienstleistungen Bezugsgröße und Wartungsfenster genau festlegen. Was dabei herauskommt, ist mehr als eine Milchmädchenrechnung: So kommt eine vertraglich vereinbarte Verfügbarkeit von 98,5 Prozent bei einem Bezugszeitraum von einer Woche einem erlaubten Stillstand der IT-Systeme (maximum downtime) von 2,52 Stunden pro Woche gleich. Ergibt sich dagegen ein Bezugszeitraum von einem Jahr als Berechnungsgrundlage für die Verfügbarkeit, summiert sich der (vertraglich vollkommen zulässige und daher nicht durch SLA sanktionierte) Stillstand auf insgesamt 131,4 aufeinander folgende Stunden (also etwa fünf ein halb Tage); dabei sind etwaige Wartungszeiträume noch gar nicht berücksichtigt.
Wichtig ist auch, dass Unter- und Überschreitungen der Service Levels automatisch bei der monatlich geschuldeten Vergütung berücksichtigt werden, weil sie sonst im laufenden Geschäft unter den Tisch fallen. Daher kann es empfehlenswert sein, den Detailgrad von SLAs zu Gunsten von wenigen, dafür eindeutigen Bestimmungen zu reduzieren. Die beim Outsourcing vereinbarten SLAs sollten darüber hinaus auch für Nichttechniker (also auch den Richter) nachvollziehbare Regelungen enthalten. Hierzu gehören insbesondere: Bezeichnung und genaue Definition des jeweiligen KPI, Zielwerte, Messmethode und Messpunkt (end-to-end-Service Levels), Festlegung der Malus-/Bonuspunkte, Angaben zum Über-prüfungs-/Berichtsintervall, Form des zugehörigen Reportings, klare Haftungsregelungen sowie ausführliche Bestimmungen zur Beendigung des IT-Outsourcings. Dr. Michael Rath ist Rechtsanwalt bei der mit der Wirtschaftsprüfungsgesellschaft Ernst & Young assoziierten Anwaltskanzlei Luther Rechtsanwaltsgesellschaft mbH in Köln.