In den kommenden Jahren müssen Unternehmen im Finanzsektor einen ganzen Stapel von neuen Vorgaben des Gesetzgebers abbilden. Schon heute ist absehbar, dass bei den zur Umsetzung notwendigen IT-Projekten ein Anbietermarkt entstehen kann, weil IT-Spezialisten nicht unbegrenzt verfügbar sind. Entsteht Streit mit dem IT-Dienstleister, kann der Auftraggeber schnell erpressbar werden. Mit einigen grundlegenden rechtlichen und organisatorischen Maßnahmen können solche Risiken vermindert werden.
Was auf Unternehmen im Finanzsektor zukommt
Auf Unternehmen im Finanzsektor kommen in den nächsten Monaten und Jahren eine ganze Reihe von gesetzlichen Vorgaben in konkrete Prozesse und IT-Verfahren zu, die binnen kurzer Frist umzusetzen sind. Dazu gehören etwa:
- die „EU Cybersicherheitsrichtlinie“ (EU) 2016/1148 und möglicherweise das IT-Sicherheitsgesetz, dazu finden Sie hier mehr;
- die Zahlungsdiensterichtline (PSD2);
- die EU Datenschutzgrundverordnung (DSGVO).
Von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird zur Zeit außerdem eine neue Fassung der Mindestanforderungen für Risikomanagement (MaRisk) entwickelt; eine öffentliche Konsultation dazu wurde Ende April 2016 abgeschlossen. Viele Unternehmen im Finanzsektor werden angesichts dieser Vielzahl von Anforderungen stärker als bisher auf die Unterstützung durch IT-Dienstleister und den bei ihnen beschäftigten Spezialisten etwa für IT-Sicherheit angewiesen sein. Es drohen, mehr noch als bisher, Abhängigkeiten zu entstehen, etwa Single-Source-Problematiken. Welche Folgen dies haben kann, hat der VW Fall anschaulich gezeigt.
Steigende Preise
Dazu kommt: wenn viele Unternehmen gleichzeitig die gleichen Spezialisten nachfragen, werden sehr wahrscheinlich die Preise steigen. Wie die CRN Computer Reseller News unter Bezug auf aktuelle Daten aus einer Studie der Unternehmensberatung PAC berichtet, sollen bereits heute die Stundensätze für Berater zu „Trendthemen“ wie Big Data, Cloud, Mobility, Security, Software as a Service (SaaS), Digital Transformation überdurchschnittlich ansteigen, und zwar ganz besonders im Bereich Security. Diese Entwicklung wird sich angesichts der oben aufgeführten gesetzlichen Vorgaben eher noch verstärken.
Wie im Fall VW können Unternehmen dann vor allem bei Streitigkeiten schnell in eine Lage geraten, in der sie – ganz unabhängig von “Recht haben” oder “im Unrecht sein” – wenig oder kaum Verhandlungsmacht haben. Auch vorher kann der Anbieter der begehrten Ressourcen, etwa IT-Security Spezialisten, oft schon weitgehend Preise und andere Konditionen diktieren. Kommt es dann zu Streit etwa bei Qualitätsmängeln oder fehlender Termintreue, werden diese besonders risikoreich für das Kerngeschäft des Unternehmens. Von wäre es nicht überraschend, wenn der Fall VW und seine Auswirkungen auf den gesamten Konzern auch von den Aufsichtsbehörden im Finanzsektor genau verfolgt wird.
Rechtliche Maßnahmen
Es ist eine Binsenweisheit: je früher die betroffenen Unternehmen mit der Planung der Umsetzung der Anforderungen beginnen, desto eher können sie später im geplanten Budget, fristgerecht und nicht aus purer Not heraus beauftragen. Aus rechtlicher Sicht gehören dazu z.B. folgende Maßnahmen:
- Analyse: welche Auswirkungen haben die rechtlichen Vorgaben voraussichtlich auf die eigenen IT-Systeme? Welche eigenen IT-Systeme müssen geändert werden, welche müssen ersetzt werden?
- Interdependenzen feststellen: Welche Abhängigkeiten zwischen den Systemen gibt es? Geben es die Verträge her, dass notwendige Updates/Upgrades anderer Systeme vorgezogen oder nach hinten geschoben werden, damit keine Mehrfrontenprojekte entstehen?
- Bestandsaufnahme: welche IT-Verträge mit Dienstleistern und Kunden könnten betroffen sein? Welche Service Level, welche Auftragsdatenverarbeitungen, welche Geheimhaltungsvereinbarungen sind anzupassen?
- Migration: Sind in allen relevanten IT-Verträgen Änderungsverfahren geregelt? Gibt es Überleitungs- oder Migrationsvereinbarungen? Wenn ein System abgelöst werden soll, was sind die Kündigungsfristen?
- Ressourcen: Kann die Verfügbarkeit von speziellen Ressourcen wie z.B. IT-Security Spezialisten über Rahmenverträge und langfristige Buchungen gesichert werden? Welche Preisanpassungsmöglichkeiten hat der IT-Dienstleister? Ist der IT-Dienstleister verpflichtet, Personal möglichst nicht auszutauschen?
- Verträge und Ausschreibung: Nutzen Sie die Vorlaufzeit, um Ausschreibungen und Verträge mit Ruhe und Sorgfalt durchzuführen, kompetitiv zu verhandeln – oder zumindest die Möglichkeit dazu zu haben – und um keine Mondpreise zu bezahlen.
- Budget: sorgen Sie dafür, dass die Projekte zur Umsetzung der gesetzlichen Vorgaben in der Budgetplanung ihren Niederschlag finden. Denken Sie dabei auch an Nebenkosten wie z.B. Aufwände für externe Rechtsberatung oder Sachverständige.
Planung, Planung und… Planung.
Aus eigener Erfahrung heraus kann ich nicht oft genug betonen, was eigentlich eine ganz banale Erkenntnis ist: die sorgfältige rechtliche, fachliche und kommerzielle Vorbereitung eines IT-Projekts ist entscheidend dafür, ob später ein ausgewogener, für beide Seiten gut akzeptabler Vertrag herauskommt, oder ob Streit „vorprogrammiert“ ist.
Die Rechtsabteilung oder ein externer Rechtsberater können vor allem dann helfen, wenn klare Vorstellungen des Unternehmens über die erwarteten oder angebotenen IT-Leistungen, Preise und Zeitpläne bestehen und eine realistische Zeitplanung mit genügend Vorlauf gewählt wird. Wenn ein Anbietermarkt entsteht, wird dies umso wichtiger, um die Kosten und Risiken im Rahmen zu halten.