15. April 2022 Gerrit Forst* und Kay Diedrich**

IT-Cloud-Projekte richtig verhandeln: Wann der CIO haftet

CIOs müssen die Interessen ihres Unternehmens gegenüber externen Cloud-Anbietern mit Nachdruck vertreten. Sonst haften sie selbst. [...]

(c) pixabay.com

Bei Cloud-Projekten sollten CIOs die Bedingungen konsequent hinterfragen und sich vertraglich möglichst umfassend absichern. Auch marktstarke Anbieter sind bei passenden Vertragsvolumina zu Verhandlungen und vernünftigen Kompromissen bereit.

Cloud-Hyperscaler wie Amazon Web Services oder Microsoft Azure versuchen, Bedingungen durchzusetzen, die in herkömmlichen Geschäften nur Verwunderung auslösen würden. Standardisierung und „die Cloud“ sollen es erfordern, dass der Kunde weiter einen Großteil der Vergütungen bezahlt und Schäden selbst trägt, auch wenn der Anbieter versagt hat.

Das ist für die CIO-Funktion ein Problem: Sie hat gegenüber ihrem Unternehmen Sorgfalts- und Treuepflichten. Diese gelten auch, wenn Verträge ausgehandelt und abgeschlossen werden. Verletzt sie diese Pflichten vorsätzlich oder fahrlässig, haftet sie gegenüber der Gesellschaft persönlich für daraus resultierende Schäden. Das Verschulden wird dabei vom Gesetz vermutet, es zu widerlegen ist Sache des CIO.

Sicherheit ist verhandelbar

Ein CIO kann persönlich wegen der Verletzung seiner Organpflichten belangt werden, wenn er die Interessen des Unternehmens in Verhandlungen mit Cloud-Anbietern nicht mit genügend Nachdruck vertritt.

„Augen zu und durch“ ist dabei eine besonders gefährliche Strategie, denn sie lässt sich rechtlich häufig als bedingt vorsätzliche Pflichtverletzung des CIOs übersetzen. Damit greifen besonders scharfe Rechtsfolgen zu Lasten des CIOs. Dazu zählen Abberufung, außerordentliche Kündigung des Anstellungsvertrags, Verlust von Vergütungen und Schadensersatz. Directors-and-Officers (D&O)-Versicherungen, die Unternehmen für leitende Angestellte abschließen, schützen bei Vorsatz nicht.

Was in Verhandlungen möglich ist, zeigt das Beispiel eines international tätigen Dienstleistungskonzerns: Die zunächst als unverrückbarer Standard übermittelten Cloud-Bedingungen eines US-Anbieters wurden anfangs verteidigt, indem auf Konzernregeln, erforderliche Vorstandsfreigaben und US-Buchungsregeln verweisen wurde. Auf konkretere Vorschläge hin konnten aber etwa Schadensersatzansprüche des Kunden verhandelt werden, falls Dritte gegen den Kunden wegen Ausfällen der Cloud-Leistungen wiederum Ansprüche durchsetzen.

Als Teil dieses Kompromisses wurde die maximale Haftung des Cloud-Anbieters für einfache Fahrlässigkeit beschränkt auf die Höhe des für den Cloud-Vertrag vereinbarten Jahresumsatzvolumens. Das beeinträchtige die von Cloud-Anbietern gegen Vertragsanpassungen oft argumentierte technische Cloud-Standardisierung nicht. Der Kompromiss hatte keine Auswirkungen darauf, wie die Cloud-Leistungen technisch durchgeführt wurden.

Trotzdem bleiben Verhandlungen über den Cloud-Vertrag bisher die Ausnahme. Meist akzeptieren Kunden unvorteilhafte Vertragsbedingungen mit Blick auf die starke Position der Anbieter und Stimmungen im Markt („machen doch alle so“). Das ist ein Problem, denn Verantwortliche sind so nicht vor persönlicher Haftung geschützt, wenn Cloud-Dienste gestört sind oder ausfallen. Um das zu vermeiden, müssen sich CIOs vor dem Vertragsschluss wenigstens um umfassende Information bemühen und Vor- und Nachteile der Cloud-Lösung abwägen.

Künstliche Intelligenz für besseres Mitarbeitermanagement

IT-Outsourcing richtig verhandeln

Ein CIO sollte das Für und Wider der Auslagerung deshalb sorgfältig abwägen. Die Eckpunkte der unternehmerischen Entscheidung gilt es immer schriftlich zu dokumentieren (nachweislich kein „Augen zu und durch“). Zudem sollte das Unternehmen zumindest einige besonders wichtige Prinzipien im Vertrag verankern. Dazu gehören insbesondere folgende Punkte:

  • Der IT-Dienstleister wird verpflichtet, die im Unternehmen benötigte und zugesagte Leistung auch tatsächlich zu erbringen. Leistungsmängel dürfen nicht vertragsgemäß sein, wenn sie das Unternehmen existenziell schädigen. Das klingt selbstverständlich. Teils führen Cloud-Verträge aber über Verantwortungsverlagerungen und Haftungsausschlüsse faktisch zu umfassender Kulanzleistung, etwa über Formulierungen im Service Level Agreement.
  • Pflichtverletzungen des IT-Dienstleisters sollten zumindest motivierende Rechtsfolgen bewirken, die es erlauben, den Anbieter zu steuern. Dazu gehören Haftung, Vergütung und Exit. Pflichten ohne Rechtsfolgen laufen faktisch leer. Das ist auch bei Fragen zum Geheimnis- und Datenschutz inakzeptabel.
  • Die Regeln zur Kündigung und Überleitung der Leistungserbringung auf das Unternehmen oder einen Nachfolgedienstleister müssen absichern, dass die (unternehmenskritischen) IT-Leistungen ununterbrochen gesichert genutzt werden können. Anderenfalls drohen in der „Scheidung“ hohe Zusatzkosten. Selbst bei unerträglichen Pflichtverletzungen kann das auslagernde Unternehmen dann seine Rechte zur außerordentlichen Kündigung nicht ausüben.
  • Um sich auf einen geordneten Anbieterwechsel vorzubereiten, muss das auslagernde Unternehmen jederzeit die für eine Ausschreibung erforderlichen Informationen über „seine“ Leistungen einholen können. Sonst drohen dem Unternehmen mangels realistischen Wettbewerbs bei künftigen Verhandlungen über Vertragsverlängerungen schwere kommerzielle Nachteile.

CIOs müssen die Frage beantworten können, ob ein Vertrag für das Unternehmen hinreichende Vorteile bietet, selbst wenn er unverändert abgeschlossen und bei Streitigkeiten mit dem IT-Dienstleister potenziell existenzgefährdend ist. Zumindest sollte jeder CIO die für seine Entscheidung maßgeblichen Informationen und Alternativen bei Bedarf belegen können.

Rahmen für den Bau einer Enterprise Architektur

Business Judgement Rule

Der Gesetzgeber schließt nämlich nach der sogenannten Business Judgement Rule eine Haftung für unternehmerische und zukunftsgerichtete Entscheidung unter Unsicherheit aus, wenn die Entscheidung auf der Grundlage angemessener Informationen getroffen wurde.

Die Voraussetzungen dafür lauten wie folgt:

  • Der CIO muss alle mit vertretbarem Aufwand verfügbaren Informationen ermitteln und seiner Entscheidung zugrunde legen. Deshalb sollte ein CIO, ehe er zustimmt, einen für das Unternehmen ungünstigen Cloud-Vertrag mit einem externen IT-Dienstleister abzuschließen, wenigstens versucht haben, über den Vertrag zu verhandeln. Außerdem ist es die Aufgabe der CIO-Funktion, im Vorfeld Vergleichsangebote einzuholen.
    Es gilt zu ermitteln, welche konkreten Nachteile dem Unternehmen drohen, wenn der Vertrag nicht abgeschlossen wird. Naturgemäß wird es der Situation des Entscheiders und der für ihn möglichen Perspektive nicht gerecht, wenn sie nachträglich aufgearbeitet wird. Deshalb sollten die wesentlichen Elemente der Abwägung so dokumentiert werden, dass sie in einem späteren Gerichtsverfahren verwendet werden können.
  • Der CIO darf bei seiner Entscheidung nicht von sachfremden Erwägungen beeinflusst worden sein, wie etwa persönlichen Vorteilen.
  • Schließlich muss der CIO vernünftigerweise annehmen dürfen, zum Wohle der Gesellschaft zu handeln. Das ist der Fall, wenn er unter Abwägung aller Risiken und Chancen zu dem Ergebnis gelangt, dass das IT-Outsourcing das Unternehmen stärkt. Das ist nach der Rechtsprechung nicht der Fall, wenn das mit der Entscheidung verbundene Risiko in völlig unverantwortlicher Weise falsch beurteilt wurde.
    Gerade bei dieser Voraussetzung besteht die Gefahr eines „Hindsight Bias“: Dann kommt ein Gericht im Nachhinein zu dem Schluss, der CIO habe die mit seiner Entscheidung verbundenen Risiken untergewichtet oder die damit verbundenen Chancen zu optimistisch eingeschätzt.

Bei anderen bedeutenden unternehmerischen Entscheidungen, wie etwa Unternehmensübernahmen, ist es inzwischen üblich, dass das Management Entscheidungen durch eine anwaltliche Legal Opinion zusätzlich absichert. Auch im Rahmen des IT-Outsourcing kann sich dies anbieten.

*Gerrit Forst ist Partner der Kanzlei Kümmerlein Rechtsanwälte und Notare in Essen. Er begleitet in- und ausländische Unternehmen, ihre Organe und Gesellschafter in allen Fragen des Gesellschaftsrechts, insbesondere bei Corporate Governance-Themen und in Organhaftungsfällen.
**Kay Diedrich ist Partner der Kanzlei Kümmerlein Rechtsanwälte und Notare in Essen. Schwerpunkte seiner Tätigkeit bilden komplexe IT-Projekte (z.B. Software-Entwicklung, Outsourcing), Datenschutz und internationale Technologie-Zusammenarbeit.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*