BMEnet Guide Beratung 2010
BMEnet Guide Beratung 2010
BMEnet Guide Beratung 2010
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
IT-Outsourcing und Compliance<br />
im Bereich des Beschaffungsmanagements<br />
1. Strategische Bedeutung des Beschaffungsmanage-<br />
ments für das Unternehmen und Outsourcing<br />
Es gibt eine Vielzahl von Gründen, aus denen Unterneh-<br />
men IT-gestützte Prozesse im Bereich des Beschaffungs-<br />
managements auf Outsourcingprovider übertragen. Re-<br />
gelmäßig soll das Outsourcing der Effizienzsteigerung des<br />
Beschaffungsmanagements dienen, um die notwendigen<br />
Güter in der gewünschten Qualität, am richtigen Ort, zur<br />
gewünschten Zeit und zu wettbewerbsfähigen Preisen<br />
bereitzustellen. Wie dieser Prozess abläuft, wird wesent-<br />
lich vom Einkauf bestimmt. Diesem Bereich kommt die<br />
Entscheidung über die Beschaffungsbedingungen zu und<br />
der Erfolg des Projekts hängt wesentlich von der (recht-<br />
lichen) Berücksichtigung dieser strategischen Funktion<br />
ab. Die aus der Perspektive des IT-Outsourcing besonders<br />
relevanten Funktionen des Beschaffungsmanagements<br />
sind: Aktives Supply Chain Management / Analyse und<br />
Darstellung der Einkaufsvolumen- und Preisentwicklung<br />
/ E-Procurement / Optimierte Bedarfsplanung und rollie-<br />
rende Absatzplanung.<br />
2. Normen und Standards<br />
Im Zusammenhang mit IT-Outsourcingprojekten wird<br />
eine Vielzahl von Anforderungen gestellt, die sich aus<br />
gesetzlichen Regelungen, Richtlinien und relevanten<br />
Standards im Beschaffungswesen ergeben. Diesbezüg-<br />
lich ist zu beachten, dass die Grundsätze ordnungsge-<br />
mäßer Buchführung bei IT-gestützter Rechnungslegung<br />
im Unternehmen (GoBS) nur dann erfüllt sind, wenn das<br />
Rechnungslegungssystem die Compliance im Hinblick auf<br />
Erfassung, Verarbeitung und Aufbewahrung der rele-<br />
vanten Daten für den jeweiligen Geschäftsvorfall sicher-<br />
stellt, d.h. die Vollständigkeit, Zeitgerechtigkeit, Ord-<br />
nung, Nachvollziehbarkeit und Unveränderlichkeit der<br />
Rechnungslegung gewährleistet ist.<br />
Weiterhin ist der Datenschutz zu berücksichtigen, da mit<br />
dem Outsourcing die Verarbeitung personenbezogener<br />
Daten verbunden ist. Regelmäßig sind zwei Unterneh-<br />
men an der Datenverarbeitung beteiligt: Auftraggeber<br />
und Provider. Die datenschutzrechtliche Haftung richtet<br />
sich danach, ob eine Auftragsdatenverarbeitung oder<br />
eine Funktionsübertragung vorliegt. Hierzu ist zu prüfen,<br />
ob der Provider zusätzlich zum Datenverarbeitungsvor-<br />
gang auch die diesem zugrundeliegenden Funktionen<br />
übernimmt. Dann liegt eine sog. Funktionsübertragung<br />
90 <strong>BMEnet</strong> <strong>Guide</strong> <strong>Beratung</strong> <strong>2010</strong><br />
vor, und die Datenschutzverpflichtungen gehen auf den<br />
Provider über. Hingegen ist bei der Auftragsdatenverar-<br />
beitung der Auftraggeber verantwortlich für den Daten-<br />
schutz, selbst wenn die Datenerhebung durch den Provi-<br />
der erfolgt.<br />
3. Sanktionen und Haftungsrisiken<br />
Kommt der Vorstand oder der Geschäftsführer eines Un-<br />
ternehmens im Rahmen des Outsourcings seinen Über-<br />
wachungspflichten nicht nach, sorgt er z.B. nicht für die<br />
Einhaltung des im Bereich des Beschaffungswesens an-<br />
wendbaren Rechtsrahmens kann ihn wegen Verletzung<br />
von Sorgfaltspflichten eine persönliche Haftung auf<br />
Schadenersatz treffen.<br />
4. Vertragsbeendigung und Re-Transition<br />
Schließlich sind die Folgen der Vertragsbeendigung zu<br />
berücksichtigen. In Anbetracht der hohen Relevanz der<br />
IT für das Beschaffungsmanagement sollte bereits im<br />
Outsourcingvertrag geregelt werden, wie im Fall einer<br />
Vertragsbeendigung die Verfügbarkeit der IT-Leistungen<br />
unterbrechungsfrei sichergestellt wird. Bei Vertragsbeen-<br />
digung erfolgt regelmäßig ein Re-Transitionsprojekt, in<br />
dem die Leistungen vom Provider auf den Auftraggeber<br />
zurück bzw. einen dritten Provider überführt werden. Die<br />
Verantwortlichkeiten des Providers in der Re-Transition<br />
sollten bereits im Vertrag festgelegt und bei Vertragsbe-<br />
endigung konkretisiert werden.<br />
5. Fazit<br />
Nur wenn die Compliance im Outsourcingprojekt berück-<br />
sichtigt wird, trägt dieses zur Steigerung des Unterneh-<br />
menswertes bei.<br />
Autor: Marco Rau, Mag. iur.<br />
Rechtsanwalt und Maître en droit<br />
BUSE HEBERER FROMM Rechtsanwälte<br />
Neue Mainzer Str. 28<br />
60311 Frankfurt am Main<br />
Telefon: +49 (0)69 97 10 97-1 00<br />
E-Mail rau@buse.de