Outsourcing aus rechtlicher Sicht: Ein ­Balanceakt zwischen Kosten und Kontrolle

Besonders während der Transitions- und Transformationsphase eines IT-Outsourcingprojekts können Verzögerungen auftreten, die Mehrkosten nach sich ziehen. Ursache ist häufig, dass es an einem vertieften Informationsaustausch über den Ist-Zustand der auszulagernden Leistungen fehlt und unterschiedliche Erwartungen existieren. Die Vertragsverhandlung kann helfen, solche "Dunkelfelder" zu identifizieren und zu adressieren – etwa über die Vereinbarung von Annahmen und Change-Management-Prozessen.

Darüber hinaus sollten im Vertrag Transitions- und Transformationziele festgelegt werden. Auch wenn aufgrund der üblicherweise gestaffelten Transition vorab keine völlige Klarheit über jedes Detail besteht, sollten mindestens die wichtigsten Aktivitäten, Lieferobjekte (inkl. messbarer Spezifikationen) sowie Kriterien für eine akzeptable Servicequalität vereinbart werden. Das (finanzielle) Risiko verbleibender Unsicherheiten sollte durch geeignete Vergütungsmodelle adressiert und zwischen Dienstleister und Kunde fair alloziert werden.

Rechte und Pflichten im Umgang mit Daten

Immer wichtiger im Kontext von Outsourcing wird der Umgang mit Daten. Eine allgemeine Vorschrift, wonach Daten in der Schweiz gehalten und bearbeitet werden müssen, gibt es im schweizerischen Recht nicht. Besondere Anforderungen gelten aber, wenn das auslagernde Unternehmen einer besonderen Aufsicht untersteht (z. B. der Finma) und/oder vom Outsourcing geheimnisgeschützte oder sonst kritische Daten betroffen sind. Dabei kommt es auf eine Risikobegrenzung durch angemessene vertragliche, technische und organisatorische Massnahmen an. Bei geheimnisgeschützten Daten läuft dies darauf hinaus, die Datensicherheit und Verwendungskontrolle sicherzustellen und so das Risiko einer Offenlegung an Unberechtigte auf ein akzeptables Mass zu minimieren. Dies sollte in einer Risikoeinschätzung dokumentiert werden. 

Aber auch ausserhalb der angesprochenen Bereiche nehmen die Anforderungen zu. Bei den meisten Unternehmen dürfte eine Auftragsdatenbearbeitungsvereinbarung inzwischen eine Standardbeilage in Outsourcing-Verträgen sein. Diese regelt bei der Bearbeitung von Personendaten im Auftrag insbesondere die Vertraulichkeit, Datensicherheit, den Einbezug von Unterauftragsbearbeitern, Auditrechte und Auslandsübermittlungen. 

Übersehen wird teilweise aber noch die seit Kurzem geltende Meldepflicht von (qualifizierten) Cyberangriffen an das Bundesamt für Cybersicherheit. Der Meldepflicht unterstehen kritische Infrastrukturen. Dazu zählen etwa medizinische Labore, Verkehrsunternehmen, Fernmeldedienstanbieter, Anbieter von Cloud- und Hostingdiensten mit Sitz in der Schweiz, Hochschulen sowie (unter bestimmten Voraussetzungen) Hersteller von Hard- und Software, die von kritischen Infrastrukturen genutzt werden. Die Meldung muss innert 24 Stunden nach der Entdeckung des Cyberangriffs erfolgen. Es ist daher ratsam, sich bereits im Vorfeld mit dem Anbieter auf die rechtzeitige Übermittlung der zur Erfüllung der Meldepflicht notwendigen Informationen zu einigen. 

Neue Herausforderungen  

Sobald die Transformation erfolgreich abgeschlossen ist, ist das Risiko eines Scheiterns des Outsourcing-Projekts erheblich reduziert. Auch im operativen Betrieb stellen sich jedoch Herausforderungen, unter anderem mit Blick auf die zuvor erwähnte neue Meldepflicht von Cyberangriffen durch kritische Infrastrukturen. Bis Ende 2026 wird zudem eine Vernehmlassungsvorlage für neue Regeln zur Nutzung von künstlicher Intelligenz erarbeitet, die auch Auswirkungen auf die vertragliche Regelung von Datenbearbeitungsketten – wie im Kontext des Outsourcings – haben dürfte. Unternehmen sollten daher ihre Outsourcing-Verträge kontinuierlich auf Anpassungsbedarf überprüfen.