G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister
Wenn Situationen eintreten, die nicht eindeutig vertraglich geregelt sind, können (z. B. im Rahmen eines Outsourcing-Vorhabens) Nachteile für den Auftraggeber entstehen.
So kann beispielsweise ein Outsourcing-Auftraggeber für Sicherheitsmängel zur Verantwortung gezogen werden, die im Einflussbereich des Outsourcing-Dienstleisters liegen, aber vertraglich nicht eindeutig geregelt sind.
Ein Hauptgrund für Probleme zwischen den Vertragspartnern sind zu optimistische Kostenschätzungen. Wenn sich herausstellt, dass der Outsourcing-Dienstleister zu den kalkulierten und angebotenen Kosten die Dienstleistung nicht erbringen kann oder Uneinigkeit darüber besteht, was "selbstverständlich" ist, kann das direkt zu Sicherheitsproblemen führen. Erfahrungsgemäß wird an der IT-Sicherheit gespart, wenn in anderen Bereichen ein Kostendruck entsteht, dem so begegnet werden kann, ohne dass Folgen unmittelbar sichtbar werden. Der Ausgestaltung der vertraglichen Regelungen zwischen Auftraggeber und Auftragnehmer kommt daher eine entscheidende Bedeutung zu. Nur was von Anfang an vertraglich fixiert ist, wird auch später sicher in die Tat umgesetzt!
Weitere Beispiele für Folgen aus unzulänglichen vertraglichen Regelungen mit externen Dienstleistern sind:
- Der Auftraggeber kann seiner Auskunftspflicht gegenüber Aufsichtsbehörden oder Wirtschaftsprüfern nicht nachkommen, wenn der Dienstleister keinen Zutritt zu seinen Räumlichkeiten oder keinen Zugang zu den notwendigen Unterlagen gewährt.
- Der Auftraggeber muss sich für Verstöße gegen geltende Gesetze verantworten, wenn der Dienstleister nicht auf die Einhaltung dieser Gesetze verpflichtet wurde.
- Aufgaben, Leistungsparameter und Aufwände wurden ungenügend oder missverständlich beschrieben, so dass aus Unkenntnis oder wegen fehlender Ressourcen Sicherheitsmaßnahmen nicht umgesetzt werden.
- Der Auftraggeber kann neuen Anforderungen (z. B. fachlich, gesetzliche Vorschriften, Verfügbarkeit, technische Entwicklung) nicht nachkommen, wenn Änderungsmanagement und Systemanpassungen nicht ausreichend vertraglich geregelt wurden.
- Bei Outsourcing-Vorhaben ist die Behörden- bzw. Unternehmensleitung des Auftraggebers unter Umständen voll verantwortlich für die ausgelagerten Geschäftsbereiche, kann dieser Verantwortung aber wegen fehlender Kontrollmöglichkeiten nicht gerecht werden.
- Ausgelagerte Daten oder Systeme werden ungenügend geschützt, wenn ihr Schutzbedarf dem Outsourcing-Dienstleister unbekannt ist.
- Die Dienstleistungsqualität ist schlecht, und es gibt keine Eingriffsmöglichkeiten, weil keine Sanktionen vertraglich festgelegt wurden.
- Der Dienstleister zieht qualifiziertes Personal ab oder Vertreter des Stammpersonals sind nicht ausreichend vorbereitet, was zu Sicherheitsproblemen führen kann.
Besondere Probleme treten häufig dann auf, wenn Dienstleistungsverträge beendet werden (siehe G 2.85 Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens) und diese Situation nur unzureichend vertraglich geregelt wurde.