Ihr Unternehmen hat die IT an einen externen Dienstleister ausgelagert. Am Anfang lief alles gut, dann häuften sich die Probleme: Systeme fallen aus, Reaktionszeiten werden nicht eingehalten, Sicherheitsupdates fehlen, und auf Beschwerden kommt nur die Antwort, das sei im Vertrag so nicht vereinbart. Oder umgekehrt: Sie sind IT-Dienstleister und Ihr Kunde behauptet Mängel, die aus Ihrer Sicht auf sein eigenes Fehlverhalten zurückgehen. In beiden Fällen eskaliert die Situation, Anwälte werden eingeschaltet, und plötzlich steht die Frage im Raum: Was war eigentlich vereinbart, was wurde tatsächlich geleistet, und wer trägt die Verantwortung für den Schaden? Genau hier kommt ein IT-Sachverständiger ins Spiel.
Warum IT-Outsourcing-Streitigkeiten so schwer zu lösen sind
IT-Outsourcing-Verträge sind juristisch komplex, weil sie keinem einzelnen gesetzlichen Vertragstyp entsprechen. Ein Outsourcing-Vertrag enthält Elemente aus dem Dienstvertrag (laufende Betreuung, Helpdesk), dem Werkvertrag (Migration, Projektleistungen), dem Mietvertrag (Bereitstellung von Infrastruktur) und dem Kaufvertrag (Lizenzbeschaffung). Welches Vertragsrecht im konkreten Fall anwendbar ist, hängt davon ab, welche Leistung gerade strittig ist. Das macht die rechtliche Beurteilung bereits ohne technische Analyse schwierig.
Hinzu kommt ein Grundproblem, das in der Praxis die meisten Outsourcing-Streitigkeiten prägt: Die Leistungsbeschreibung ist unzureichend. In der Vertriebsphase wirbt der Dienstleister mit umfassendem Know-how und reibungslosem Betrieb. Der Kunde erwartet, dass „alles läuft“. Aber was „alles läuft“ konkret bedeutet, steht oft nicht im Vertrag. Wenn es dann zum Streit kommt, stehen sich zwei Versionen gegenüber: Der Kunde sagt, er habe eine umfassende Betreuung erwartet. Der Dienstleister sagt, er habe nur das geliefert, was im Vertrag steht. Beide haben aus ihrer Perspektive recht.
Ein Gericht kann diesen Streit nicht allein auf Basis der Vertragstexte entscheiden. Es braucht eine technische Analyse, die feststellt, was tatsächlich vereinbart war, was tatsächlich geleistet wurde und ob die Leistung dem Stand der Technik entsprach. Genau das ist die Aufgabe eines IT-Sachverständigen.
Die fünf häufigsten Streitpunkte beim IT-Outsourcing
In meiner Erfahrung als Sachverständiger drehen sich Outsourcing-Streitigkeiten regelmäßig um fünf wiederkehrende Themen.
1. Verfügbarkeit und SLA-Verletzungen
Das Service Level Agreement (SLA) ist das Herzstück jedes Outsourcing-Vertrags. Es definiert Parameter wie Systemverfügbarkeit, Reaktionszeiten und Fehlerbehebungsfristen. Ein typisches SLA garantiert beispielsweise eine Verfügbarkeit von 99,5 Prozent pro Kalendermonat, eine Reaktionszeit von vier Stunden bei kritischen Störungen und eine Behebungszeit von acht Stunden bei Priorität-1-Fehlern.
Der Streit beginnt, wenn diese Parameter nicht eingehalten werden. Aber die Frage, ob ein SLA tatsächlich verletzt wurde, ist technisch keineswegs trivial. Was zählt als Ausfallzeit? Zählt eine geplante Wartung? Wird die Verfügbarkeit auf den einzelnen Server bezogen oder als End-to-End-Verfügbarkeit gemessen? Was ist, wenn das System zwar erreichbar war, aber so langsam, dass ein Arbeiten praktisch unmöglich war? Und wer misst die Verfügbarkeit – der Dienstleister mit seinen eigenen Monitoring-Tools oder der Kunde mit seinen Erfahrungswerten?
Der Sachverständige analysiert die Monitoring-Daten, Ticketsysteme und Logfiles beider Seiten und stellt objektiv fest, ob und in welchem Umfang SLA-Verletzungen vorlagen.
2. Unklare Leistungsabgrenzung
Beim IT-Outsourcing existiert kein typisiertes Leistungsbild. Das Spektrum reicht von der Betreuung einzelner Server bis zum vollständigen Betrieb der gesamten IT-Infrastruktur. Wenn im Vertrag steht, der Dienstleister übernimmt den „IT-Betrieb“, kann das je nach Auslegung die reine Serveradministration oder die vollständige Verantwortung einschließlich Endgerätesupport, Netzwerkmanagement und Applikationsbetreuung bedeuten.
In der Praxis entsteht der Streit häufig an den Rändern: Wer ist für die Firewall-Konfiguration zuständig? Wer kümmert sich um die Lizenzverwaltung? Wer verantwortet die Datensicherung der Endgeräte? Diese Abgrenzungsfragen scheinen im laufenden Betrieb unwichtig, werden aber im Schadensfall zur entscheidenden Haftungsfrage.
Der Sachverständige rekonstruiert den tatsächlichen Leistungsumfang anhand des Vertrags, der Leistungsscheine, der Tickethistorie und der gelebten Praxis. Denn in vielen Outsourcing-Beziehungen weicht die tatsächliche Leistungserbringung erheblich vom schriftlichen Vertrag ab. Wenn der Dienstleister über Jahre hinweg Aufgaben übernommen hat, die nicht im Vertrag stehen, kann daraus eine konkludente Vertragserweiterung entstehen. Wenn er umgekehrt vertragliche Leistungen systematisch nicht erbracht hat, ohne dass der Kunde reklamiert hat, kann der Dienstleister argumentieren, dass der Kunde dies stillschweigend akzeptiert hat.
3. Mangelhafte Transition
Die Transition, also die Überführung der IT-Verantwortung vom Kunden auf den Dienstleister, ist die kritischste Phase eines Outsourcing-Projekts. In dieser Phase wird die bestehende IT-Infrastruktur dokumentiert, werden Zugänge übertragen, Monitoring eingerichtet und Prozesse definiert. Fehler in der Transition wirken sich über die gesamte Vertragslaufzeit aus.
Ein typischer Streitfall: Der Dienstleister übernimmt die IT eines mittelständischen Unternehmens. Die Transition wird in vier Wochen durchgeführt. Dabei wird die bestehende Infrastruktur nicht vollständig dokumentiert. Ein Jahr später fällt ein System aus, das der Dienstleister nicht in seinem Monitoring hatte, weil es während der Transition nicht erfasst wurde. Der Kunde sagt: Der Dienstleister hätte das System erfassen müssen. Der Dienstleister sagt: Der Kunde hat ihm die Existenz des Systems nicht mitgeteilt.
Der Sachverständige prüft, ob die Transition nach fachlichen Standards durchgeführt wurde, ob der Dienstleister eine angemessene Bestandsaufnahme vorgenommen hat und ob der Kunde seiner Mitwirkungspflicht nachgekommen ist.
4. Sicherheitsmängel
Die Verantwortung für die IT-Sicherheit ist einer der heikelsten Punkte im Outsourcing. Wenn ein Unternehmen seine IT auslagert, erwartet es in der Regel, dass der Dienstleister auch für die Sicherheit sorgt. Aber der Umfang der Sicherheitsverantwortung ist häufig nicht präzise definiert. Gehört Patch-Management dazu? Endpoint Protection? Phishing-Awareness-Training für die Mitarbeiter des Kunden? Firewall-Management? Penetrationstests?
Im Schadensfall – etwa nach einem erfolgreichen Cyberangriff – wird die Frage, wer für welchen Sicherheitsaspekt verantwortlich war, zur zentralen Haftungsfrage. Der Sachverständige untersucht, welche Sicherheitsmaßnahmen vertraglich geschuldet waren, welche tatsächlich implementiert waren und ob der Stand der Technik eingehalten wurde. Dabei muss er auch die Frage beantworten, ob die nicht implementierten Maßnahmen den Angriff hätten verhindern können, also ob die Sicherheitslücke kausal für den Schaden war.
5. Probleme beim Exit oder Providerwechsel
Weniger bekannt, aber in der Praxis zunehmend relevant, sind Streitigkeiten am Ende der Outsourcing-Beziehung. Wenn ein Unternehmen den Dienstleister wechseln oder die IT zurückholen möchte (Backsourcing), ist es auf die Mitwirkung des bisherigen Dienstleisters angewiesen. Daten müssen übergeben, Systeme migriert, Zugänge übertragen und Dokumentationen bereitgestellt werden.
In der Praxis funktioniert das häufig nicht reibungslos. Der bisherige Dienstleister hat wenig Motivation, den Übergang zu unterstützen. Die Dokumentation ist lückenhaft, weil sie während der Vertragslaufzeit nicht gepflegt wurde. Zugangsdaten sind nur beim Dienstleister hinterlegt. Und die Daten liegen in einem Format vor, das vom neuen Dienstleister nicht ohne Weiteres übernommen werden kann.
Der Sachverständige prüft, ob die Mitwirkungspflichten für den Exit-Fall vertraglich geregelt waren, ob der Dienstleister die vereinbarten Übergabeleistungen erbracht hat und ob durch eine mangelhafte Übergabe ein Schaden entstanden ist.
Was der Sachverständige konkret untersucht
Bei einem Outsourcing-Streit führt der Sachverständige eine mehrstufige Analyse durch.
Zunächst die Vertragsanalyse: Was war der geschuldete Leistungsumfang? Der Sachverständige liest nicht nur den Rahmenvertrag, sondern auch alle Leistungsscheine, SLAs, Änderungsvereinbarungen (Change Requests), Protokolle von Jour-fixe-Terminen und relevante E-Mail-Korrespondenz. Gerade bei langjährigen Outsourcing-Beziehungen hat sich der Leistungsumfang im Laufe der Zeit häufig erheblich verändert, ohne dass dies schriftlich festgehalten wurde.
Dann die Leistungsanalyse: Was wurde tatsächlich erbracht? Hier wertet der Sachverständige das Ticketsystem des Dienstleisters aus, analysiert Monitoring-Daten, prüft Konfigurationen und Systemzustände und vergleicht die tatsächliche Leistung mit den vertraglichen Vorgaben. Die Auswertung der Tickethistorie allein kann Monate abdecken und Tausende von Vorgängen umfassen.
Schließlich die Schadensanalyse: Welcher Schaden ist durch die festgestellten Mängel entstanden? Der Sachverständige beziffert die direkten Kosten (Wiederherstellung, Ersatzmaßnahmen), die Folgeschäden (Betriebsunterbrechung, Datenverlust) und den zusätzlichen Aufwand, der durch die mangelhafte Leistung entstanden ist. Er grenzt dabei den Schaden ab, der auf die Mängel des Dienstleisters zurückzuführen ist, von Schäden, die andere Ursachen haben oder durch den Kunden selbst mitverschuldet wurden.
Der „mittlere Ausführungsstandard“ als Maßstab
Wenn der Vertrag keine ausreichende Leistungsbeschreibung enthält, greift die Rechtsprechung auf den „mittleren Ausführungsstandard“ zurück: Der Dienstleister schuldet eine Leistung in der Qualität, die für vergleichbare Leistungen üblich ist. Beim IT-Outsourcing ist die Feststellung dieses Standards eine Herausforderung, weil kein typisiertes Leistungsbild existiert. Das Leistungsspektrum ist so breit gefächert, dass für viele Varianten der ausgelagerten Leistungen kein allgemeingültiger Standard existiert.
Der Sachverständige stützt sich in diesen Fällen auf branchenübliche Frameworks und Best Practices: ITIL für das IT-Service-Management, ISO 27001 für die Informationssicherheit, BSI-Grundschutz für die technische Absicherung und die einschlägigen Herstellerempfehlungen für die verwendeten Produkte. Er kann daraus ableiten, welche Leistungsqualität ein Kunde bei einem professionellen IT-Dienstleister erwarten durfte, auch wenn der Vertrag die Details nicht regelt.
Wann ein Gutachten den Unterschied macht
Ein Gutachten ist dann besonders wirkungsvoll, wenn es nicht erst im Gerichtsverfahren eingeholt wird, sondern die Verhandlung überhaupt erst ermöglicht. In vielen Outsourcing-Streitigkeiten eskaliert der Konflikt, weil beide Seiten technisch unterschiedliche Standpunkte vertreten und keine gemeinsame Faktenbasis existiert. Ein unabhängiges Gutachten schafft diese Faktenbasis.
Vor Gericht wird der Sachverständige ohnehin hinzugezogen, wenn technische Fragen geklärt werden müssen. Das kann im Zivilprozess als gerichtlich bestellter Sachverständiger geschehen, den das Gericht nach §§ 351 ff. ZPO (Österreich) beauftragt. Es kann aber auch als Privatgutachten erfolgen, das eine der Parteien in Auftrag gibt und als qualifiziertes Parteivorbringen in das Verfahren einbringt. Der Vorteil eines Privatgutachtens: Es kann schneller erstellt werden als ein Gerichtsgutachten, und es gibt der beauftragenden Partei vorab Klarheit über die Stärken und Schwächen ihrer Position.
Außergerichtlich kann ein Gutachten als Grundlage für einen Vergleich dienen. Wenn beide Seiten die technischen Fakten akzeptieren, reduziert sich die Auseinandersetzung auf die rechtliche Bewertung und die Schadenshöhe. Das spart Zeit, Kosten und Geschäftsbeziehungen.
Als allgemein beeideter und gerichtlich zertifizierter IT-Sachverständiger unterstütze ich Unternehmen und IT-Dienstleister gleichermaßen bei der objektiven Klärung von Outsourcing-Streitigkeiten. Kontaktieren Sie mich für ein unverbindliches Erstgespräch.