DSGVO befeuert Auslagerung

Neuer Zündstoff für das IT-Outsourcing

Im Rahmen der Digitalisierung scheinen die IT-Outsourcing-Bestrebungen der Mittelständler stärker denn je. Hat die seit Mai geltende EU-DSGVO etwa nicht die Sicherheitsbedenken der Unternehmen hinsichtlich einer Auslagerung in die Cloud verstärkt? Tatsächlich scheint das Gegenteil der Fall zu sein.

  • Ein brennendes Streichholz.

    Die EU-DSGVO befeuert die Nachfrage für IT-Dienstleistungen. ((Bildquelle: Thinkstock/iStock))

  • Michael Krüger, Gisa

    „Im Fokus einer strategischen Outsourcing-Entscheidung stehen bei den meisten Unternehmen vor allem eine bessere Service-Qualität, die Verfügbarkeit von Fachkräften und aktuellstes IT-Know-how, aber auch die schnellere Bereitstellung neuer Funktionalitäten – am Ende also die Erhöhung der internen und externen Kundenzufriedenheit.“ Michael Krüger, Gisa. ((Bildquelle: Gisa))

  • Andreas Knols von QSC

    „Noch vor ein paar Jahren hätte man im deutschen Mittelstand Zwangsmittel anwenden müssen, damit Unternehmen in die Cloud gehen“, meint Andreas Knols von QSC. ((Bildquelle: QSC))

  • Stefan Wendt, Microfin

    „Der Auf- und Ausbau von digitaler Kompetenz aus eigener Kraft steht häufig dem Fachkräftemangel gegenüber. Insofern erhoffen sich immer mehr Unternehmen einen Innovationsschub durch das IT-Outsourcing an einen Provider. Unserer Beobachtung nach kann der derzeitige Markt diese Erwartung aber kaum erfüllen.“ Stefan Wendt, Microfin. ((Bildquelle: Microfin))

Das Outsourcing von IT-Leistungen ist in deutschen Unternehmen allgegenwärtig – so eine aktuelle Studie der Unternehmensberatung Axxcon, an der rund 200 Geschäftsführer, CIOs, IT-Leiter und Sicherheitsbeauftragte aus Unternehmen mit mindestens 500 Mitarbeitern teilgenommen haben. Gründe für die Auslagerung seien mitunter die Einsparung und Flexibilisierung von Kosten, das Vorantreiben der Digitalisierung sowie das Freischaffen von Investitionsspielräumen. „Inzwischen spielt [aber] auch der demografische Wandel eine Rolle“, bemerkt Stefan Wendt, Partner bei der Microfin-Unternehmensberatung. „Insbesondere bei mittelständischen Unternehmen beobachten wir schon seit Längerem eine Trendwende: Der Mittelstand öffnet sich vor allem wegen des Fachkräftemangels dem Thema IT-Outsourcing.“

Doch es gibt auch technische Motive, warum sich Unternehmen mit dem Thema „Auslagerung“ befassen. Schließlich ist es sehr aufwändig, die eigene IT zu modernisieren – und eben dies bedarf einer ständigen Aus- und Weiterbildung des bestehenden Personals, weiß Dr. habil. Robert Scholderer, Geschäftsführer der Metaone GmbH. In diesem Fall sei Outsourcing meist schneller und effizienter zu realisieren. Hierbei sollte man aber die Möglichkeit nutzen, per Ausschreibungsverfahren mehrere Angebote einzuholen. So kann man gegebenenfalls einen Dienstleister, auf den man schon länger setzt, zu einer Neuverhandlung des bestehenden Vertrags bewegen.

Förderung statt Ausbremsung

Bei der Vergabe von IT-Projekten setzen in Deutschland ansässige Unternehmen übrigens überwiegend auf Onshore-Services – dies hat eine jährliche Umfrage unter IT-Entscheidern ergeben, an der Allgeier Experts mitwirkte. „Gerade für Unternehmen aus dem Mittelstand ist es wichtig, beispielsweise beim Service-Management feste Ansprechpartner in Deutschland zu haben – und nicht an ein anonymes Callcenter in Osteuropa oder Indien verwiesen zu werden“, bekräftigt Frank Richter, Vorstand von Cancom Pironet, mit einem Beispiel das zentrale Ergebnis jener Studie. Auch für den Betrieb geschäftskritischer Anwendungen blieben deutsche Hochverfügbarkeitsrechenzentren die erste Wahl. Das gelte auch für die Speicherung kritischer Daten.

Dies ist ein Artikel aus unserer Print-Ausgabe 11/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Laut Torsten Beyer, IT-Experte und Partner bei Axxcon, gibt es Services, die sich generell nur „onshore“ erbringen lassen – dazu gehören beispielsweise Vor-Ort-Services in der Betreuung von IT-Arbeitsplätzen. Als Treiber für Onshore-Leistungen sieht er u.a. nationales bzw. marktspezifisches Know-how – z.B. in national regulierten Branchen –, gelegentlich lokale Sprache und Kultur und im Allgemeinen Datenschutzfragen.

Datenschutz – ein gutes Stichwort: Schließlich traten erst im Mai dieses Jahres die neuen Regelungen der europäischen Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Und der eine oder andere hat hier sicherlich angenommen, dass gerade diese Regelungen sämtliche Unternehmen bei ihren Entscheidungen ausbremsen, IT-Systeme und damit Daten auszulagern und in „fremde Hände“ zu geben. Doch das Gegenteil war wohl der Fall. Die Datenschutz-Grundverordnung habe den Trend zum IT-Outsourcing eher noch verstärkt, „da den Anwenderunternehmen erneut verdeutlicht wurde, mit welchem Aufwand es verbunden ist, die Informationstechnik jederzeit in Eigenregie an die aktuellen Anforderungen anpassen zu müssen“, weiß Frank Richter. Wer selbst aktiv agieren will, sollte sich so weit wie möglich von Aufgaben entlasten, die nicht zum genuinen Kerngeschäft zählen, so seine Einschätzung.

Auch Michael Krüger ist der Meinung, dass die EU-DSGVO das Auslagern von IT-Aufgaben eher befördert als ausbremst, „denn sie sorgt sehr schnell für die Herstellung von rechtskonformen Zuständen“, so der Geschäftsführer der Gisa GmbH. Den aufwändigen Prozess der Sicherstellung der Datenschutz-Grundverordnung könne man gut an IT-Dienstleister auslagern. Torsten Beyer ist hingegen generell der Ansicht, dass das Outsourcing durch die DSGVO komplexer wird, „da vor dem eigentlichen Outsourcing-Vorgang zunächst das Schutzbedürfnis sämtlicher im Outsourcing-Fokus stehenden Daten überprüft werden muss“, so der IT-Experte. Danach ergebe sich dann in aller Regel eine gestufte Herangehensweise mit EU- und Offshore-Services. Eine Reihe von Unternehmen soll sogar so weit gehen, dass nicht in der EU tätige Mitarbeiter ihrer Outsourcing-Anbieter auch keinen Zugriff auf nur in der EU lokalisierte Daten bekommen dürfen. Die hierfür erforderliche Governance und die damit verbundenen Sicherheitsprozesse verkomplizierten die Service-Erbringung im Einzelfall deutlich.

Full-IT-Outsourcing vs. selektive Auslagerung

Da Outsourcing vor allem ein strategisches Thema ist, trifft die Entscheidung hierzu in mittelständischen Unternehmen vorwiegend die Geschäftsleitung, der CIO oder der IT-Leiter. „Allerdings zeichnet sich in den letzten Jahren auch der Trend ab, dass die Fachbereiche zunehmend mehr Mitspracherecht erhalten“, wirft Michael Krüger ein. Und auch Andreas Knols, Leiter Produktmanagement Cloud bei der QSC AG, stellt fest, dass man bei Outsourcing-Fragen in Unternehmen zunehmend auf neue Ansprechpartner trifft. Aber nicht ihre Rolle hätte sich verändert, sondern ihr Jahrgang: „Aktuell vollzieht sich ein Generationswechsel bei IT-Entscheidern. Junge, digital- und cloud-affine Spezialisten drängen nach.“ Insbesondere die Public Cloud habe bei ihnen strategische Priorität.

Frank Richter macht derweil die Entscheidungsgewalt hinsichtlich eines Outsourcings am Projektumfang fest. Bei einem Full-IT-Outsourcing, d.h. der Auslagerung der gesamten IT an einen Dienstleister, entscheide zumeist die Geschäftsführung in Abstimmung mit der IT-Leitung. Werden hingegen nur einzelne Applikationen oder Systeme ausgelagert, liege die Entscheidung in den Händen des IT-Verantwortlichen, der dabei sicherlich die Geschäftsführung informiert, wenn geschäftskritische Systeme betroffen sind.

Welche Sourcing-Strategie verfolgen die Entscheider denn generell? Denken sie tatsächlich häufig über ein Full-IT-Outsourcing nach oder präferieren sie eher ein selektives Auslagern? „Hier finden sich letztlich beide Varianten in der Praxis vor“, berichtet Robert Scholderer. Wer welches Modell fährt, das soll dabei mit den Erfahrungen aus der Vergangenheit zusammenhängen. Kein Unternehmen erbringt heutzutage in der IT alles selbst. Insofern hat wohl jeder seine Erfahrungen mit Dienstleistern gemacht. „War Full-IT-Outsourcing erfolgreich, wird dies weitergeführt“, so Scholderer. Falls nicht, dann gebe es In- und Outsourcing, das zu selektivem Auslagern führe. Nicht zuletzt überlege ein Unternehmen, das selektives Auslagern erfolgreich absolviert habe, ob ein Full-IT-Outsourcing möglicherweise weitere Vorteile mit sich bringen könne. Stefan Wendt sieht eine komplette Auslagerung der IT eher skeptisch. Laut ihm haben Full-IT-Outsourcing-Anbieter in der Vergangenheit nur selten alles aus einer Hand bereitstellen können. Und so zahlten Kunden Management-Gebühren ohne direkten Durchgriff auf den dahinter stehenden, spezialisierten Subdienstleister. Inzwischen soll es sogar eine ganze Reihe von IT-Leistungen geben, bei denen eine mittelbare Beauftragung eines Full-Service-Anbieters keinen Sinn mehr macht. „Ich denke da z.B. an Druck, Helpdesk oder Telekommunikation, denn in diesen Bereichen ist der Markt inzwischen sehr speziell“, so Wendt.

Wer sich für ein IT-Outsourcing entscheidet, muss auch immer dafür gewappnet sein, dass einmal etwas schieflaufen könnte. Risiken und Stolpersteine gibt es jedenfalls zur Genüge. Grundsätzlich sollten Unternehmen hier stets bedenken, dass sie zwar die Arbeit outsourcen können, nicht jedoch die Verantwortung. „Natürlich kann man einen Service-Anbieter bei schlechter Service-Erbringung pönalisieren“, betont Torsten Beyer, „aber der Service wird dadurch nicht besser und der Leidtragende bleibt das Unternehmen.“ In diesem Zusammenhang kommt der Steuerung des oder der IT-Dienstleister eine zentrale Bedeutung zu. So muss ein Unternehmen mit der Entscheidung, diverse Services auszulagern, entsprechende Vorkehrungen treffen, um den Dienstleister auch wirkungsvoll im Sinne von Qualität der erbrachten IT-Services steuern zu können. „Klingt einfach, ist es aber nicht“, warnt Beyer. Denn insbesondere beim erstmaligen Outsourcing finden sich im Unternehmen in der Regel keine Mitarbeiter, die wissen, wie man so etwas in Angriff nimmt. In diesem Themenkomplex empfiehlt sich also der Einsatz von Sourcing-Beratern.

Zahlreiche Stolpersteine

„Die Risiken entstehen meistens dadurch, dass Verträge geschlossen werden, bei denen die tatsächlich zu erbringende Dienstleistung nicht genau beschrieben wird“, ergänzt Robert Scholderer. Somit entstünden oft Pauschalbeträge, die für nicht näher beschriebene Pauschalleistungen abgerechnet werden. Scholderers Erfahrung zeigt: „Eine überhastete Unterschrift unter den Verträgen rächt sich zu 100 Prozent. Leider wird es aber immer wieder so gemacht.“

Ein typisches Risiko liegt auch im sogenannten Lock-in-Effekt, denn jeder beauftragte IT-Provider weiß, „dass ein Wechsel für das auslagernde Unternehmen mit enormem Aufwand verbunden ist“, bemerkt Stefan Wendt. Oft beanspruche allein die Migration zum Provider neun bis zwölf Monate Zeit. Um letztlich zu verhindern, dass das Vertrauen enttäuscht wird, empfiehlt wiederum Frank Richter, im ersten Schritt genau zu definieren, welche Anforderungen an den Dienstleister zu stellen sind: Wie sehen die SLAs aus? Wo werden die Daten gespeichert? Wo erfolgt der Betrieb? Werden alle rechtlichen Anforderungen in Bezug auf die EU-DSGVO erfüllt? Und anschließend beim Betrieb: Wird mir als Kunde ein fester Ansprechpartner in Deutschland zugeordnet? Wie sieht das Reporting aus? Erhalte ich vom Service-Manager einen regelmäßigen Statusbericht?

Digitale Kompetenz gefragt

Nicht zuletzt wird die Fähigkeit des IT-Dienstleisters immer entscheidender, das Anwenderunternehmen vor allem bei der digitalen Transformation kompetent zu unterstützen. „Wenn ein Dienstleister über keine ausreichend digitale Kompetenz verfügt, wird er nicht mehr konkurrenzfähig sein und somit keinen Mehrwert für den Kunden haben“, warnt Patrick Mildner, Vorstand von Allgeier Experts SE. Somit sei dies die Schlüsselkompetenz im Rahmen der Digitalisierungsstrategie des 21. Jahrhunderts.

„Unsere Kunden suchen gezielt nach Anbietern, die mit ihrer Kompetenz möglichst den gesamten Prozess der digitalen Transformation unterstützen“, berichtet Andreas Knols. Als Grund nennt er den mittlerweile „schmerzhaft spürbaren Mangel an IT-Spezialisten“. Dieses Problem soll besonders den Mittelstand betreffen. Nur wenigen Unternehmen gelinge es, überall gesuchte Fachkräfte in die Provinz zu locken.

Neben der Digitalkompetenz sollte bei der IT-Dienstleister-Auswahl letztlich auch auf dessen wirtschaftliche Stabilität geachtet werden und darauf, ob er alle gängigen Zertifizierungen hinsichtlich IT- und Prozesssicherheit sowie Datenschutz vorweisen kann. Außerdem müssen Kunde und Dienstleister in der gleichen Liga spielen. „Ist man als kleiner Kunde bei einem Mega-Outsourcer, dann ist man eine Nummer und steht bei Problemen in der Prioritätenliste hinten an“, warnt Robert Scholderer. Andersherum sei aber auch ein zu großer Kunde für den Kleinstdienstleister oftmals ein Problem, da er gegebenenfalls nicht auf dessen Größe angepasst liefern könne. Wird dieses Kriterium übersehen, was sehr häufig der Fall sein soll, dann wird Outsourcing zum Glücksspiel.

Letztlich ist ein Outsourcing von IT-Services vergleichbar mit einer Partnerschaft auf Zeit: „Je besser die Partnerschaft funktioniert, desto länger hält sie“, so Frank Richter. Eine Kommunikation der Partner auf Augenhöhe sei deshalb sehr hilfreich für das gegenseitige Verständnis und damit eine wichtige Voraussetzung für eine nachhaltige Partnerschaft zwischen Anwenderunternehmen und IT-Outsourcing-Dienstleister.

Outsourcing-Motive der Mittelständler

  • Digitalisierungsstrategie
  • Optimierung der Wertschöpfungskette
  • Konzentration bzw. Fokussierung auf das Kern-Business
  • Einkauf von Expertise
  • Kosteneinsparung bzw. -kontrolle
  • Flexibilität und Skalierbarkeit der Dienstleistung
  • Spezialisierung des Dienstleisters
  • Keine eigene Kompetenz bzw. Expertise verfügbar

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok