Kitabı oku: «Handbuch IT-Outsourcing», sayfa 43
h) Finance-Management für IT-Services
849
Ziel des Finance-Managements für IT-Services ist eine kostenwirksame Verwaltung der IT-Komponenten und der finanziellen Ressourcen, die für die Erbringung von IT-Services eingesetzt werden.[439] Dabei ist das Finance-Management ein integraler Bestandteil des Service-Managements. Es stellt die essenziellen Management-Informationen zur Verfügung, die für Gewährleistung einer effizienten, wirtschaftlichen und kostenwirksamen Erbringung des Services benötigt werden. Auch hier stellt sich die Frage, inwieweit der Kunde diesen Prozess auf den Provider übertragen sollte, ohne dabei den Überblick seiner IT-Kosten zu verlieren. Sicherlich kann der Kunde vom Provider das Finance-Management auf den Outsourcing-Anbieter übertragen und gleichzeitig eine transparente Auflistung aller IT-Aufwendungen und Kosten verlangen (Strategie der Open-Books). Zudem könnte gleichzeitig im Vertrag eine entsprechende Kostenreduzierung von z.B. 2 % bis 5 % vereinbart werden. Es stellt sich aber dann die Frage, inwieweit der Kunde damit dann noch eine Verbesserung des Services bzw. des Service-Managements erreichen kann.
i) Capacity-Management
850
Das Capacity-Management dient der Erkenntnis über zukünftige geschäftliche Anforderungen (die erforderliche Service Delivery), über die Aktivitäten der Organisationen (die aktuelle Service Delivery) und über die IT-Infrastruktur (die Mittel für die Service Delivery); außerdem stellt es sicher, dass alle momentanen und zukünftigen Kapazitäts- und Leistungsaspekte der geschäftlichen Anforderungen kostenwirksam erbracht werden.[440] Beim Capacity-Management gibt es drei Haupt-Zuständigkeitsbereiche:
– | Business-Capacity-Management (BCM) |
– | Service-Capacity-Management (SCM) |
– | Resource-Capacity-Management (RCM) |
851
Bei diesem Auslagerungsbereich (Task) handelt sich quasi um eine erweiterte Aufklärungs- und Informationspflicht des Providers gegenüber dem Kunden, welche natürlich weitergeht als entsprechende Nebenleistungspflichten aus dem Gesetz. Auch stellt sich beim Vendor-Management die Frage, welche Vorteile und welche Nachteile es mit sich bringt, den Bereich des Capacity-Managements auszulagern. Wobei die Vorteile überwiegen sollten, da der Provider viel besser Auskunft über die entsprechende Kapazitäten geben kann, da möglicherweise auch Erkenntnisse aus vergleichbaren Outsourcing-Projekten einfließen können. Sinnvoll erscheint es aber auf jeden Fall, dass Kunde und Provider beim Capacity-Management sehr eng zusammenarbeiten.
j) Continuity-Management für IT-Services
852
Das Continuity-Management für IT-Services unterstützt den allgemeinen Prozess des Continuity-Managements des Unternehmens, indem es sicherstellt, dass die benötigte IT-Technik (IT-Infrastruktur) und Service-Ressourcen innerhalb der aus der Sicht des Unternehmens erforderlichen und vereinbarten Zeiträume wiedergewonnen werden können. Dabei soll das Continuity-Management für IT-Services die Fähigkeit einer Organisation gewährleisten, im Anschluss an eine Unterbrechung des Geschäftsbetriebs weiterhin das zuvor festgelegte und vereinbarte Niveau von IT-Services zur Unterstützung der geschäftlichen Mindestanforderung zu erbringen.[441] Bei diesem Prozess/Auslagerungsbereich könnte eine Kopplung mit dem Risiko-Management[442] des Kunden einen interessanten Mehrwert außerhalb der üblichen Geschäftsprozesse ergeben. Die Ergebnisse des Continuity-Managements für IT-Services können unmittelbar auch als Risikobetrachtung in ein Risk Review Sheet einfließen und somit Bestandteil des in § 92 Abs. 1 AktG (KontraG) geforderten Risiko-Managements des Kunden werden.
853
Eine Auslagerung des Continuity-Managements für IT-Services erscheint aber unkritisch, wenn die entsprechenden Schnittstellen zwischen Kunden und Provider definiert worden sind. Auch nur so könnte sich die Möglichkeit einer Kopplung des Risiko-Managements mit dem Continuity-Management für IT-Services ergeben und ggf. auch zur Reduzierung von Kosten im Risiko-Management/bei der Wirtschaftsprüfung beitragen.
k) Availability-Management
854
Beim Prozess/Auslagerungsbereich des Availability-Managements besteht eine enge Zusammenarbeit mit der IT-Infrastruktur. Das Availability-Management nach ITIL V3 (2011) optimiert die Leistungsfähigkeit und der sie unterstützenden Organisation, um ein kostenwirksames und nachhaltiges Niveau der Verfügbarkeit zu ermöglichen, das es dem Unternehmen ermöglicht, seine Zielvorgaben einzuhalten.[443] Die wichtigsten Gesichtspunkte (Elemente des Availability-Managements) sind:
– | Verfügbarkeit (Availability) |
– | Zuverlässigkeit (Reliability) |
– | Wartbarkeit (Maintainability) |
– | Servicefähigkeit (Serviceability) |
– | Sicherheit (Security) |
855
Bei der Auslagerung des Availability-Managements ergeben sich grundsätzlich keine Bedenken. Sollte der Kunde zu der Überlegung kommen, dass er Auslagerungsbereiche (Tasks) „nur“ aus dem Umfeld der IT-Infrastruktur auslagern möchte, sollte sich der Kunde die Frage stellen, ob er sein Availability-Management (egal ob ITIL V3 (2011)-konform oder nicht) auch auf die Hardware des Providers ausdehnen kann.
l) IT-Service-Management
856
Sicherlich könnten die IT-Prozesse des Service-Managements auch als ein einziger Auslagerungsbereich angesehen werden. Dies würde durchaus Sinn machen, da die unterschiedlichen ITIL V3 (2011)-Prozesse sich gegenseitig unterstützen und somit erst zu einer Verbesserung des Services und damit zu einer Verbesserung der Geschäftsprozesse führen.
857
Dies ist sehr deutlich an einem ITIL V3 (2011)-Referenzmodell (IPW-Modell)[444] zu erkennen, in das alle einzelnen Teilbereiche von ITIL V3 (2011) integriert sind und zueinander in Abhängigkeit stehen (siehe Abbildung 48). Neben dem Service-Management können natürlich auch noch andere IT-Prozesse (z.B. IT-Beschaffung/IT Supply Chain Management)[445] ausgelagert werden, welche aber wegen ihrer Vielzahl an dieser Stelle nicht mehr erläutern werden.
Abb. 48:
IPW-Modell von Quint Wellington Redwood
[Bild vergrößern]
858
Übernimmt der Provider die IT-Prozesse bzw. das gesamte IT-Service-Management, so muss er auch über die entsprechende IT-Infrastruktur (Hard- und Software) für diese IT-Prozesse sorgen. Dies kann einerseits dadurch erfolgen, dass er die IT-Infrastruktur des Kunden übernimmt, anderseits sollte der Provider seine eigene IT-Infrastruktur verwenden (was auch in seinem Sinne sein sollte). Im Wesentlichen verwendet er die in diesem Kapitel beschriebene Hard- und Software. In einigen Fällen benötigt er darüber hinaus zusätzliche Komponenten, so z.B. für die technische Umsetzung des zum Service-Support gehörenden Problem-Managements das Action Request System der Firma Remedy (auch Remedy ARS oder ARS genannt)[446]. Für das zur Service Delivery gehörende Service-Level-Management könnte z.B. „Patrol for SLM“ von BMC gewählt werden.
m) Fazit
859
Natürlich ist eine solche Auflistung der Auslagerungsbereiche (Tasks) nicht abschließend.[447] Die Auflistung stellt, wie bereits erwähnt, nur die häufigsten Auslagerungsbereiche dar. Weitere Auslagerungsbereiche (Tasks) oder Teilbetriebe könnten z.B. aus dem Bereich des
– | Content-Managements |
– | Storage-Managements |
– | Product-Lifecycle-Managements (PLM)[448] |
– | Managements von CAD-Systemen |
– | Managements von Datev[449] -Anwendungen |
– | Auslagerns des gerichtlichen Mahnverfahrens |
kommen. Bei der Betrachtung dieser Auslagerungsbereiche (Tasks) erscheint es wichtig, inwieweit der Provider diese Auslagerungsbereiche/Teilbetriebe des Kunden übernimmt. Hierbei wird zunächst zwischen Geschäftsprozessen, IT-Prozessen und IT-/TK-Infrastruktur unterschieden.
n) Rechtliche Betrachtung
860
Die rechtliche Betrachtung der unterschiedlichen IT-Prozesse des Service-Managements (hier nach ITIL V3 (2011)) erfolgt in den entsprechenden Serviceverträgen. Eine korrekte Beantwortung, welche gesetzlich normierte Vertragsform (Werk-, Dienst-, Kauf- oder Mietvertrag) einem solchem Vertrag zugrunde liegt, kann sich nur aus dem entsprechenden Einzelfall ergeben.
(1) Vertragliche Charakterisierung
861
Zum größten Teil dürften die entsprechenden Serviceverträge für IT-Prozesse des IT-Service-Managements dem Dienstvertragsrecht nach §§ 611 ff. BGB oder dem Werkvertragsrecht nach §§ 631 ff. BGB zuzuordnen sein. Dienstverträge werden häufig im Bereich des Lösungsgeschäft (System Integration) bzw. des klassischen Projektgeschäfts zu finden sein, wo ein Dienstleister oder eine Unternehmensberatung mit Beratern/Consultants die Projekte der Kunden durch Beratung unterstützt. Werkverträge kommen immer da zur Anwendung, wo ein Erfolg geschuldet wird.[450] Auf die Bezeichnung des Vertrages kommt es dabei nicht an. Auch dann, wenn ein Vertrag als Dienstvertrag bezeichnet wird, kann es ein Werkvertrag sein und umgekehrt.[451] Für die Abgrenzung zwischen Werk- und Dienstvertrag ist der im Vertrag zum Ausdruck kommende Wille der Vertragsparteien maßgeblich. Es kommt darauf an, ob auf dieser Grundlage eine Dienstleistung als solche oder als Arbeitsergebnis deren Erfolg geschuldet wird.[452] Wird also in einem Service-Level-Agreement der Erfolg der Leistungserfüllung (z.B. 99,5 %) vertraglich versprochen, so unterliegt dieses Service-Level-Agreement (oder der entsprechende Leistungsvertrag) dem Werkvertragsrecht. Bei einer späteren tatrichterlichen Feststellung, was bei Fehlen einer ausdrücklichen Regelung Vertragsgegenstand ist, sind die gesamten Umstände des Einzelfalls zu berücksichtigen.[453] Das bedeutet, dass wenn tatsächlich bei der Leistungserbringung eine Werkleistung erbracht worden ist, Werkvertragsrecht gilt, auch wenn im Vertrag ausdrücklich Dienstleistungen vereinbart worden sind. Die Anwendung von Kauf- oder Mietvertragsrecht erscheint bei der Erbringung von IT-Prozessen vom Provider beim Kunden eher unwahrscheinlich, was aber sicherlich im entsprechenden Einzelfall zu beurteilen ist.
(2) Die rechtliche Beurteilung der ITIL
862
In IT-Outsourcing-Projekten werden viele IT-Fachbegriffe nicht konform verwendet. Es besteht daher wenig Unstimmigkeit darüber, dass häufig verwendete Begriffe im Vertrag explizit definiert werden müssen, damit die Vertragsparteien in einem nicht notwendigen Rechtsstreit über den Inhalt von Begrifflichkeiten streiten. Die Erstellung einer Definitionssammlung, welche in der Vertragsverhandlung zwischen Provider und Kunden abgestimmt werden muss, kann als sehr aufwendig und mühselig betrachtet werden. Viele Vertragsgestalter meinen daher mit einem Verweis auf die IT Infrastructure Library (ITIL V3 (2011)) diesen gordischen Knoten wie einst Alexander der Große zu lösen. Fraglich ist, wie konkret die Definitionen der ITIL V3 (2011) sind und ob diese somit möglicherweise die Leistungsbeschreibungen ersetzen können. Dies wird stellvertretend an den Beispielen des Incident- und Problem-Managements nach der ITIL V3 (2011) erläutert.
863
Die meisten Outsourcing-Vertragswerke (siehe 4. Kapitel) sind in ihrer Vertragshierarchie so aufgebaut, dass der Vertrag vorrangig vor den Anlagen gilt.[454] D.h. bei Widersprüchen in den Regelungen des Projektvertrags und den Anlagen (in denen sich auch meist die Leistungsbeschreibungen befinden) gelten die Regelungen des Projektvertrags vorrangig. Aber in dieser richtigen Konstellation könnte die Gefahr bestehen, dass wenn die Definitionen wie in der anglo-amerikanischen Vertragspraxis zu Beginn des Vertragstexts stehen,[455] diese Definitionen Vorrang vor den Anlagen haben und somit die Leistungsbeschreibung ggf. verdrängen. I.d.R. sind die Definitionen aber meist nicht so konkret, als dass sie eine Leistungsbeschreibung verdrängen. Wird aber in der Präambel oder irgendwo im späteren Vertragstext aufgenommen, dass sich die Parteien auf den ITIL V3 (2011)-Quasi-Standard verständigen, so könnte dies möglicherweise die Leistungsbeschreibung in den Anlagen verdrängen.
864
Wie bereits oben dargestellt, besteht die ITIL V3 (2011) aus einer Anzahl von Büchern, die Empfehlungen geben, nach denen Unternehmen ihr IT-Service-Management ausrichten können. Wie bereits oben beschrieben dient ein Incident-Management der schnellstmöglichen Wiederherstellung des normalen Service-Betriebs bei minimaler Störung des Geschäftsbetriebs, dabei muss das bestmögliche Niveau der Verfügbarkeit und des Services aufrechterhalten werden.[456] Dabei ist eine Störung (Incident) ein Ereignis, das nicht zum standardmäßigen Betrieb eines Services gehört und das tatsächlich oder potenziell eine Unterbrechung oder eine Minderung der Service-Qualität verursacht. Bei der Definition des Incident-Managements gibt ITIL V3 (2011) aber lediglich nur Hinweise, wie ein Incident-Management aufgebaut sein kann, welche aber nicht verbindlich sind, da der Spielraum einer Interpretation doch sehr groß sein kann. So definiert das Incident-Management seine Ziele durch Maßnahmen, die die IT-Organisation unterstützen durch:[457]
– | die verbesserte Überwachung der Leistungsfähigkeit gem. eines SLA,[458] |
– | durch sinnvolles Berichtswesen für das IT-Service-Management und weitere ITIL V3 (2011) Prozesse |
usw.
865
Häufig werden in der Praxis außerhalb von ITIL V3 (2011) das Incident- und das Problem-Management als ein Service gesehen.[459] Der ITIL V3 (2011)-Quasi-Standard differenziert aber deutlich zwischen Incident- und Problem-Management. Nach der ITIL V3 (2011) minimiert das Problem-Management Auswirkungen, die die durch Fehler in der Infrastruktur verursachten Störungen und Probleme für den Geschäftsbetrieb haben, und verhindert proaktiv das Auftreten von Störungen, Problemen und Fehlern.[460] Das Problem-Management hat somit die Kernaufgabe, die Ursachen zu ermitteln, die einer Störung zugrunde liegen, und anschließend Wege zur Behebung und Vorbeugung zu finden.[461] Aber auch hier wird die ITIL V3 (2011) nicht so konkret, dass aus ihr unmittelbare Verpflichtungen zu entnehmen sind. Zwar fordert ITIL V3 (2011), dass „Problems“ identifiziert und dokumentiert oder dass sie klassifiziert werden.[462] Somit wäre grundsätzlich zwar eine solche Leistung geschuldet, wenn der Dienstleister verspricht, dass er ein Problem-Management nach der ITIL V3 (2011) schuldet. Dennoch geht die ITIL V3 (2011) nicht so ins Detail, dass sie sagt, wie solche „Problems“ identifiziert, dokumentiert und klassifiziert werden.
866
Stellvertretend für alle ITIL V3 (2011)-Prozesse lässt sich beim Incident- und Problem-Management festhalten, dass es sich bei der ITIL V3 (2011) lediglich um Empfehlungen zur Struktur und Aufbau eines IT-Service-Managements handelt. Fraglich ist, ob bei einem Hinweis im Glossar auf die ITIL V3 (2011) eine konkrete Leistung für einen Einzelfall, sprich z.B. die konkrete Umsetzung eines Incident-Managements auf einen bestimmten Kunden, geschuldet wird.
867
Hierbei ist natürlich auf den Einzelfall abzustellen, sprich was die Parteien mit einem Verweis auf die ITIL V3 (2011) bezweckt haben. Nach § 133 BGB ist bei der Auslegung einer Willenserklärung der wirkliche Wille zu erforschen und nicht am Buchstaben zu haften.[463] Eine Auslegung bedeutet dabei, den Sinn einer Klausel zu erforschen.[464] Ein Vertrag (gilt somit auch für Leistungsbeschreibungen) ist dabei nach § 157 BGB so auszulegen, wie „Treu und Glauben mit Rücksicht auf die Verkehrssitte es erfordern.“ Vereinbaren die Parteien die tatsächliche Erbringung eines IT-Service-Managements nach der ITIL V3 (2011), „der Dienstleister erbringt seine Leistungen nach der ITIL V3 (2011)“ so lässt sich i.d.R. davon ausgehen, dass hier die Erbringung eines IT-Service-Managements nach der ITIL V3 (2011) auch geschuldet ist. Wie dies im Einzelfall konkret auszusehen hat, fällt mit einem einfachen Verweis auf die ITIL V3 (2011) schwer.
868
Hier ist ggf. im Werkvertragsrecht bei Sachmängelansprüchen auf den Fehlerbegriff in § 633 Abs. 2 BGB zurückzugreifen,[465] der eine Hierarchie der Mängelebenen beinhaltet. Dabei gibt der Gesetzgeber zunächst der vereinbarten Beschaffenheit, sprich der entsprechenden Leistungsbeschreibung, den Vorrang.[466] Wie aber bereits erläutern, fällt es schwer aus der ITIL V3 (2011) eine konkrete Leistungserbringung für einen bestimmten Kunden herzuleiten. Fehlt es an der entsprechende vereinbarten Beschaffenheit, gilt nach § 633 Abs. 2 Satz 2 Nr. 1 BGB, dass sich die Sache für „die nach dem Vertrag vorausgesetzten Verwendung eignet.“ Hierbei ist zunächst die Funktion zu bestimmen, dann die Frage der Eignung des Werkes für diese zu prüfen.[467] Hierbei ließe sich vermuten, dass der Dienstleister eher nur die Grundanforderungen der ITIL V3 (2011) erfüllen muss, sprich gerade so die ITIL V3 (2011)-Prozesse erbringen muss, damit sie der nach dem Vertrag vorausgesetzten Verwendung entsprechen. Ansonsten ist gem. § 633 Abs. 1 Satz 2 Nr. 2 eine Sache frei von Sachmängeln, „wenn sie sich für die gewöhnliche Verwendung eignet und eine Beschaffenheit aufweist, die bei Werken der gleichen Art üblich ist und die der Besteller nach Art des Werks erwarten kann. Bei dieser Formulierung wäre es aus der Sicht des Kunden in einem Eskalationsfall sicherlich notwendig zu schauen, wie die ITIL V3 (2011)-Prozesse bei einem vergleichbaren Unternehmen modelliert worden sind (vgl. mit einem Benchmarking).
869
Ein Schadensersatzanspruch im Dienstvertragsrecht gem. §§ 611 ff. BGB lässt sich nur schwer begründen, da sich ein Schadensersatzanspruch lediglich aus § 280 Abs. 1 BGB ableiten lässt. Hierbei müsste der Dienstleister „falsch“ oder „schlecht“ beraten haben, um einen Anspruch aus § 280 Abs. 1 BGB zu begründen. Dabei müsste der Berater von den in den Vorgaben der ITIL V3 (2011) vorgegebenen Definitionen und Richtlinien abweichen. Vorstellbar wäre dies, wenn das Incident- und das Problem-Management nicht getrennt behandelt werden. Nehmen die Parteien in den Definitionen lediglich in den Hinweis auf: „die Parteien orientieren sich bei ihrem Sprachgebrauch an den Empfehlungen der ITIL V3 (2011), wobei diese nicht die Leistungsbeschreibungen ersetzen,“ so ist eine solche Klausel so auszulegen, dass sie eindeutig den Hinweis gibt, dass sie gerade nicht eine Leistungsbeschreibung ersetzt. Dennoch sollte dem Verwender einer solchen Formulierung klar sein, dass sie von einem Richter im Streitfall als Auslegungshilfe verwendet werden kann, um unklare oder streitige Begriffe in der Leistungsbeschreibung auszulegen. Dies hätte voraussichtlich zur Folge, dass das vom Dienstleister geschuldete IT-Service-Management eher einem höheren Niveau entsprechen würde.
870
Grundsätzlich ist bei einem Verweis auf die ITIL V3 (2011) als Glossar darauf zu achten, dass diese nicht die eigentliche Leistungsbeschreibung ersetzt. Dies sollte deutlich bei dem Hinweis auf die ITIL V3 (2011) berücksichtig werden. Aber auch, wenn die Parteien sich nur für den Sprachgebrauch auf die ITIL V3 (2011) verständigen, sollten sich die Parteien im Klaren sein, dass dies möglicherweise bei einer späteren richterlichen Würdigung ein Indiz für die Qualität des IT-Service-Managements sein kann. Somit kann eine Definition durch einen Verweis auf die ITIL V3 (2011) ersetzt werden, aber die Parteien sollten einerseits genau definieren, was sie mit einem solchen Verweis bezwecken und sich anderseits auch der Folgen eines solchen Verweises bewusst sein.
2 › II › 3. CIO-Organisation