LRZ E Zeitschrift Logo

Sprache auswählen

LRZHeaderBogenRot
 

Im digitalen Zeitalter etablieren sich Outsourcing, Cloud Computing und Künstliche Intelligenz als maßgebliche Faktoren für den Unternehmenserfolg. Das Business Process Outsourcing ist kein neues Modell, erstrahlt jedoch mit fortschreitender Digitalisierung als moderne Geschäftsstrategie im neuen Glanz. Dieser Aufsatz hebt die Möglichkeiten und Risiken von Business Process Outsourcing hervor in einer Welt, die zunehmend von Digitalisierung, Automatisierung und Künstlicher Intelligenz geprägt wird. *

1. Einführung in das Business Process Outsourcing

Business Process Outsourcing (BPO) ist der Begriff für das Auslagern von gesamten Geschäftsprozessen an einen externen Anbieter.1 Diese Auslagerung ist dabei so zu verstehen, dass ein bestimmter Geschäftsprozess nicht mehr selbst im Unternehmen durchgeführt wird, sondern die bisher innerbetrieblich erbrachte Gesamtleistung von einem Dritten, dem BPO-Anbieter, bezogen wird.2 Ein Unternehmen gibt als BPO-Kunde eine vollständige Aufgabe – unabhängig von ihrem Umfang – an den Anbieter weiter. BPO als solches gibt es schon seit langem und kann verschiedene Erscheinungsformen in unterschiedlichen Branchen haben. Dementsprechend handelt es sich bei BPO nicht immer um reines IT-Outsourcing.3 BPO und IT-Outsourcing schließen sich aber auch nicht gegenseitig aus.4 Im digitalen Zeitalter wird BPO fast immer IT-rechtliche Bezüge aufweisen, so dass BPO auch als eine besondere Form von IT-Outsourcing bezeichnet werden kann, die sehr anspruchsvoll und intensiv ausgestaltet ist.5

Rn583

BPO wird in vielen Branchen praktiziert und eignet sich vor allem für einfache und leicht wiederholbare Prozesse, insbesondere für hochstandardisierte Prozesse, die für möglichst viele verschiedene Endnutzer abgewickelt werden.6 Beispiele für die Anwendung von BPO sind Prozesse in der Kundenbetreuung, Personalabteilung, Lohnbuchhaltung (sog. Payroll-Services), Kreditkarten-Processing, Abwicklung von Wertpapiertransaktionen, Logistik, im Rechnungs- oder Mahnwesen, im IT-Support oder generell in administrativen Prozessen.7 Der Anwendungsbereich von BPO ist breit gefächert.

Rn584

Unternehmen haben verschiedene Motive, BPO zu betreiben. Durch die Spezialisierung auf einen bestimmten Geschäftsprozess kann der BPO-Anbieter Arbeitsabläufe kontinuierlich optimieren. Er kann dabei modernste Technologien, allen voran KI-Lösungen, zur Leistungserbringung einsetzen. Oft bieten qualifizierte und erfahrene BPO-Dienstleister spezifisches Know-how über die ausgelagerten Geschäftsprozesse, welches dem auslagernden Unternehmen intern fehlt. Zudem sind BPO-Anbieter meist auf dem neusten Stand der Branchenstandards und können ihre Best Practices anwenden. Das auslagernde Unternehmen kann sich dagegen auf sein Kerngeschäft fokussieren und die für sein Geschäft unkritischen Prozesse an den Anbieter weitergeben. Wesentlicher Vorteil ist bei BPO die erreichbare Kostenreduzierung. Durch ein BPO werden weniger interne Fachkräfte benötigt, so dass das Unternehmen Personalkosten und damit Fixkosten einsparen kann. Qualifizierte, aber auch günstige Arbeitskräfte können oftmals durch Prozessauslagerung ins Ausland (sog. Offshoring) gewonnen werden. Häufig bietet es sich auch an, die Prozessdurchführung in ein standortunabhängiges Cloud-System zu verlagern (siehe Teil 3). Allgemeine Kostenreduzierung, Effizienz- und Produktivitätssteigerung sowie wachsendes Know-how führen zu einer erhöhten Wettbewerbsfähigkeit und damit auch zum geschäftlichen Erfolg des auslagernden Unternehmens.

Rn585

Im Bankensektor wird anhand einer aktuellen Studie deutlich, dass trotz vorhandener Aufgeschlossenheit und des Erkennens der strategischen Bedeutung von Outsourcing ein erheblicher Nachholbedarf darin besteht, die Integration und breitere Anwendung von BPO zu fördern und dessen Vorteile vollständig zu realisieren.8

Rn586

2. Vorbereitung, Vertragsgestaltung und Herausforderungen

Der BPO-Anbieter bietet dem BPO-Kunden die Durchführung des ausgelagerten Geschäftsprozesses gemäß den Vertragsbedingungen an. Hinsichtlich der rechtlichen Einordnung des hierüber zu schließenden Vertrages kommt es auf die Leistungen an, welche dem Vertrag sein Gepräge geben. Die Erbringung der vereinbarten Leistungselemente im Rahmen dieses Geschäftsprozesses ist zunächst als laufend geschuldete Leistung in Form eines Dauerschuldverhältnisses zu qualifizieren.

Rn587

Dieser laufende Erfolg lässt sich in bestimmten Fällen zumindest gedanklich auch als Summe einzelner erfolgreich durchgeführter Abwicklungen vorstellen.9 In dieser Form hat der BPO-Vertrag eine werkvertragliche Prägung.10 Obwohl die Leistungserbringung hauptsächlich Dienstleistungselemente enthält, bleibt das BPO in diesen Fällen ergebnisorientiert. 11 Das schlichte Tätigwerden des BPO-Anbieters genügt häufig zur Vertragserfüllung nicht; vielmehr erwartet der BPO-Kunde meist die vertragsgemäße Durchführung des gesamten Prozesses als eine Art Endergebnis.

Rn588

Häufig ist allerdings auch die Ausgestaltung als Dienstleistungsvertrag. Gepaart mit effektiven Service Level Agreements (SLAs) gelingt auch im Bereich der Dienstleistung eine Fixierung der Leistung und Sicherstellung der Qualität.

Rn589

Im Normalfall ist der Anbieter rechtlich frei, wie er das geschuldete Ergebnis erstellt. Er kann die für den Prozess benötigte (Hard- und) Software frei wählen, die ausgelagerten Prozesse als solche fortführen oder aber gänzlich durch andere Lösungen ersetzen. Letzteres erfolgt in der Regel bei Anbietern von Standardlösungen. Möglich ist jedoch, dass diese rechtliche Freiheit durch eine Leistungsbeschreibung in technischer Hinsicht eng eingeschränkt wird.12 Auch IT-Security-Vorgaben und Policies des Kunden spielen eine Rolle. Gerade bei der Nutzung von Cloud-Lösungen können im BPO-Vertrag auch mietvertragliche Elemente im BPO-Vertrag eine Rolle spielen, etwa hinsichtlich der Bereitstellung von Speicherplatz.

Rn590

Für das beauftragende Unternehmen ergibt sich durch den BPO ein erheblicher Kontrollverlust, da es die Verantwortung für den konkreten Prozess abgibt und dem BPO-Anbieter eine Freiheit bei der Ausführung einräumt.13 Das einzige Mittel für den BPO-Kunden zur Leistungssicherung ist ein differenziert ausgestalteter Vertrag.14 Eine sorgfältige Vertragsgestaltung ist daher maßgeblich für den Erfolg eines BPO-Vorhabens. Auch die Abhängigkeit von einem externen Dritten darf sich für das outsourcende Unternehmen nicht zu einem unkontrollierbaren Risiko entwickeln. Wichtig ist daher eine Abteilung mit Mitarbeitern im Unternehmen aufrechtzuerhalten (sog. retained organisation), die über das notwendige Fachwissen verfügen, um die BPO-Leistung zu steuern und zu kontrollieren. Die Möglichkeit der Steuerung und Kontrolle zugunsten des Auftraggebers ist auch detailliert vertraglich festzuhalten.

Rn591

Alle Vertragsbedingungen und -klauseln sind klar zu definieren, um rechtliche Risiken zu vermeiden. Die Anforderungen an ein BPO-Vertragswerk sind hoch und die Ausgestaltung eines solchen aufwändig, weshalb beide Vertragsparteien rechtlich und technisch sehr gut beraten sein sollten. Spezialisten, die in dem ausgelagerten Prozess fachlich versiert sind, und Juristen mit BPO-Erfahrung – vor allem bei langjährigen und komplexen Projekten – sollten möglichst früh in die Vertragsverhandlungen miteinbezogen werden, um deren Know-how einfließen zu lassen.

Rn592

2.1. Die Vorbereitung

Damit sich ein BPO im Nachgang nicht als eine Fehlentscheidung erweist, ist vorab eine Analyse der internen Geschäftsprozesse empfehlenswert (sog. Business Process Improvement – BPI).

Rn593

Bei einem BPI analysieren und bewerten Unternehmen ihre bestehenden Geschäftsprozesse, um solche Geschäftsbereiche zu ermitteln, in denen sie die Genauigkeit, Effektivität und Effizienz verbessern können. Auf der Basis dieses BPIs können geeignete Abläufe dann im Rahmen eines Outsourcings ausgelagert werden. Dies kann sogar dazu führen, dass Schwachstellen beseitigt werden. Zu analysieren ist dabei, welchen Ausgangspunkt (als status quo) das Unternehmen beim bestehenden Prozess hat, welchen Umfang und Fokus das Outsourcing haben soll, mit welchem Risiko die Auslagerung verbunden ist und welche Prozessverbesserung mit der Auslagerung zu erwarten ist. Dabei ist es hilfreich, bestehende Geschäftsprozesse nach ihrer Art zu kategorisieren, z.B. in Kernprozesse und unterstützende Prozesse oder in kritische oder unkritische Prozesse.15 Das BPI kann dabei auch durch eine externe Unternehmensberatung erfolgen. Im Rahmen dieser Analyse ist bereits im Voraus zu überlegen, ob bestimmte Geschäftsprozesse mit neuen Technologien wie Künstliche Intelligenz umgesetzt werden können (siehe Teil 4).

Rn594

2.2. Klassische Herausforderungen eines Outsourcings

Auch beim BPO stellen sich bei der Vertragsgestaltung die typischen Herausforderungen eines klassischen Outsourcings. Ein Outsourcing-Vertrag bedeutet für die Vertragspartner eine langfristige Zusammenarbeit. Daher ist ein Gleichgewicht zwischen festen Verpflichtungen und gleichzeitig einer gewissen Flexibilisierung, um den sich verändernden Erfordernissen der Parteien über eine längere Vertragslaufzeit Rechnung zu tragen, erforderlich. Es gibt keinen standardisierten Vertrag für BPO. Dennoch gibt es einige Bestandteile, die jeder BPO-Vertrag beinhalten sollte.16

Rn595

Der Outsourcing-Vertrag besteht aus mehreren Teilen. Als „Rumpf“17 eines Outsourcing-Vertrages wird ein Rahmenvertrag aufgesetzt. Daneben werden verschiedene Einzelverträge als Anlagen aufgesetzt. Diese Art von Vertragsgestaltung ermöglicht es den Beteiligten, flexibel Änderungen vorzunehmen. Aufgrund des hohen Änderungs- und Anpassungsbedarfs während des Vertragsverhältnisses werden Outsourcing-Verträge als Rahmenverträge konzipiert und die eigentliche Leistungsbeschreibung in eine Reihe von modularen Leistungsvereinbarungen aufgenommen. Technologische Umbrüche und Veränderungen im Markt zwingen BPO-Kunden und Anbieter zur Flexibilität und Anpassungsfähigkeit, um letztlich auch wettbewerbsfähig zu bleiben. Diese Flexibilität muss auch das Vertragswerk – etwa durch einfache Austauschbarkeit der Leistungsverträge und Anpassungsmöglichkeiten durch ein Change Request Verfahren – abbilden.

Rn596

Der Rahmenvertrag beinhaltet üblicherweise Regelungen über Vertragspartner, Lieferzeit und Lieferort, Nutzungsrechte, Verzug, Gefahrenübergang, Mängelrechte, Haftungsfragen, Benchmarking, Change Request Verfahren, Laufzeiten, Geheimhaltung, Kündigung sowie Rückabwicklung.18 Haftungsfragen, Risikoverteilungen und Schadensersatzregelungen sind möglichst präzise festzuhalten, da künftige Entwicklungen des Outsourcings schwer kontrollierbar sind.19 Da die Komplexität und der Umfang eines Outsourcing-Vertrags zu einem hohen Dissens-Risiko zwischen den Vertragsparteien führen können, sind Kündigungsregelungen sowie finanzielle Folgen durch vorzeitige Vertragsbeendigung zu bedenken.20

Rn597

Besonders bei langfristigen BPO-Projekten ist aus Sicht des BPO-Kunden eine Benchmarking-Klausel in einem Rahmenvertrag wichtig, um die Effizienz und Rentabilität des Outsourcings-Vertrags während der gesamten Vertragslaufzeit zu erhalten. Benchmarking versteht sich als ein einmaliger oder regelmäßiger Vergleich zwischen der vertraglich vereinbarten Leistung und solchen Leistungen, die in vergleichbaren Vertragsverhältnissen vereinbart worden sind.21 Ziel ist die Flexibilisierung der vereinbarten Vergütung und des Leistungsumfangs, um diese zueinander in Verhältnis zu setzen. Gegenstand des Benchmarkings ist regelmäßig die vom Kunden für die Leistung des Anbieters geschuldete Vergütung (Preis-Benchmarking) und/ oder die Qualität der Leistung des Anbieters (Leistungs-Benchmarking).22 In der Regel wird ein Benchmarking von einem unabhängigen Dritten (sog. „Benchmarker“) durchgeführt, also einer externen Beratungsfirma.23 In einer Benchmarking-Klausel wird vereinbart, dass eine Überprüfung der marktgerechten Vergütung des Dienstleisters vorgenommen wird, wann der BPO-Kunde einen Anspruch auf ein Benchmarking hat, wie der Benchmarking-Prozess aussieht und welche Rechtsfolgen das Benchmarking hat.24

Rn598

Als Anlage eignet sich bei einem BPO ein Katalog sämtlicher Standarddienstleistungen, die alle Dienstleistungselemente auflistet (sog. Standard-Service-Katalog). Dieser Katalog kann dabei die jeweiligen Zuständigkeiten (BPO-Anbieter oder BPO-Kunde) für die einzelnen Dienstleistungselemente festhalten. Der Umfang der verschiedenen Dienstleistungselemente kann als Unteranlage näher beschrieben werden. Möglich ist dabei auch, dem BPO-Kunden eine Optionsmöglichkeit in diesem Katalog einzuräumen, so dass der BPO-Anbieter eine Dienstleistung nur auf Antrag des BPO-Kunden erbringt. Dafür wird dann ein gleichbleibender Preis für die jeweilige Dienstleistung vereinbart.

Rn599

Beispiele für Dienstleistungselemente sind z.B. Mitarbeiterdatenmanagement, Reisekostenabrechnungen und -erstattungen, Zeiterfassungen oder die Durchführung von Lohn- und Gehaltsabrechnungen. Dabei werden zum Beispiel Gehaltsabrechnungen zum vereinbarten Termin verbucht, Lohnabrechnungen erstellt, Gehaltsabrechnungen online veröffentlicht oder bei Bedarf Nachzahlungen vorgenommen. Daneben können System-Updates sowie Helpdesks mit entsprechenden Ticketing-Systemen für Mitarbeiteranfragen vereinbart werden.

Rn600

Als weitere Anlage eignet sich zudem ein Exit Management. Durch die Auslagerung kann der BPO-Kunde stark vom Anbieter abhängig werden. Wird das BPO beendet, ist dieser Abhängigkeit durch klare Verpflichtung des Anbieters zur Überführung der Leistungen auf einen Folgeanbieter bzw. Unterstützungspflichten bei einem Re-Insourcing zum Kunden entgegenzuwirken.

Rn601

2.3. Leistungsbeschreibungen

Die vom BPO-Anbieter zu erbringende Leistung ist detailliert in einer Leistungsbeschreibung zu vereinbaren. Sie bildet ein wichtiges Herzstück des BPO-Vertrages. Schwächen und Unklarheiten in der Leistungsbeschreibung kann auch ein strenger Rahmenvertrag nicht ausgleichen.

Rn602

Ferner bedarf es einer Vereinbarung über die geschuldete Leistungsgüte, das sog. Service-Level-Agreement (SLA). Das SLA wird als eigene Vereinbarung als Anlage zum Rahmenvertrag aufgesetzt und ist häufig ein typengemischter Vertrag.25

Rn603

Die Aufrechterhaltung der Qualität kann mangels direkter Kontrolle über die ausgelagerten Abläufe Schwierigkeiten bereiten. Ein SLA verbleibt als wesentliche Möglichkeit für den BPO-Kunden als eine Art „indirekte“ Kontrolle die Einhaltung der vereinbarten Qualitätsstandards sicherzustellen. Es liegt somit im Interesse des outsourcenden Unternehmens, den Leistungsstandard möglichst exakt und vollständig zu beschreiben.26

Rn604

Vertraglich fixiert werden in einem SLA die quantitativen und qualitativen Standards der Leistungserbringung als sog. Service Level. Die Service Level werden dabei anhand verschiedener Leistungsindikatoren gemessen. Im BPO liegt die Besonderheit gegenüber dem normalen IT-Outsourcing – bei dem üblicherweise Einzelindikatoren wie Verfügbarkeit und Reaktionszeiten zu messen sind – in der exakten Definition und Messung der Service Level, welche die Qualität des Gesamtprozesses evaluieren.

Rn605

Um die vereinbarten Service Level messbar und damit kontrollfähig zu machen, sind technische Parameter notwendig. Zahlreiche Leistungsindikatoren wie Key-Performance-Indicators (KPIs) ermöglichen die Überprüfung der Einhaltung von Service Level, indem sie die Performance bzw. den Erfolg der Leistungserbringung durch den BPO-Anbieter messen. Im SLA sind Messpunkte für KPIs und Zielwerte für sog. End-to-End-Verfügbarkeiten klar zu definieren. Die Messung von Effizienz, Qualität und anderen relevanten Faktoren variiert dabei je nach Art der ausgelagerten Dienstleistung. Neben Messgrößen und Maßeinheiten sind vor allem Messmethoden, Verantwortlichkeiten, die Art des Reportings sowie Zugriffsrechte zu regeln. SLAs sollten zudem genaue Rechtsfolgen an die Einhaltung oder Nichteinhaltung der KPIs und gegebenenfalls auch an deren Übererfüllung knüpfen, wie z.B. Service Credits/Vertragsstrafen oder Bonus-Malus-Regelungen.

Rn606

Wie bei einem reinen IT-Outsourcing sind auch im BPO-Umfeld geeignete Kennzahlen: Response Time (Antwortzeit), Access Time (Zugangszeit), Availability (Verfügbarkeit des Prozesses) oder Mean Time to Repair – MTTR (durchschnittliche Zeit zur Behebung eines Fehlers). Die Verfügbarkeit eines Prozesses bezeichnet die Fähigkeit des BPO-Anbieters, über einen bestimmten Zeitraum hinweg ohne Ausfälle zu arbeiten. Diese Verfügbarkeitsmessung hängt mit der Messung der durchschnittlichen Downtime von Server zusammen. Gängige End-to-End-Verfügbarkeiten von IT-Systemen liegen im Bereich zwischen 97,5 % und 99 % pro Kalendermonat. Hochverfügbarkeitslösungen bieten Verfügbarkeiten von bis zu 99,99 % an. Oftmals werden die regelmäßigen und außerplanmäßigen Wartungen bei der Berechnung der Verfügbarkeit nicht berücksichtigt. Bei einem BPO kann die Vereinbarung ähnlicher Größenordnungen notwendig sein, wenn der Prozess auf IT-Systemen gestützt ist. Im Übrigen wird man sich bei diesen Kennzahlen im BPO-Umfeld daran leiten lassen, wie wichtig der ausgelagerte Prozess ist, wie schnell er erledigt werden muss und welche Aspekte auf keinen Fall fehlerhaft laufen dürfen. Auch das Verhältnis offener zu gelösten Tickets eines IT-Ticketing-Systems sind für die Einhaltung des Leistungsniveaus zu messen.

Rn607

Im Bereich der Lohn- und Gehaltsabrechnung eignen sich Kennzahlen wie Accuracy rate (korrekte Entlohnung an den definierten Empfänger zum vereinbarten Datum), Time to run payroll (Zeit für die Durchführung der Gehaltsabrechnung) oder Access Time bzw. Availability (Systemverfügbarkeit). Ebenso kann die Qualität des Helpdesks gemessen werden, z.B. wie viel Prozent der erfassten Anfragen (sog. Service Requests) innerhalb einer festgelegten Frist gelöst werden.

Rn608

Mit den Messungen dieser Parameter ist ein effizientes Service-Level-Controlling möglich. Nur mit einer solchen Messung lässt sich erheben, wie zuverlässig eine Dienstleistung zur Verfügung steht und welche der für den Kunden entscheidenden Leistungsparameter sie tatsächlich erfüllt. Unzureichende Verfügbarkeiten, langsame Prozessgeschwindigkeiten und untragbare Reaktionszeiten können so vermieden werden.

Rn609

In der Regel werden die Parameter lediglich zum Monatsende gemessen und dokumentiert. Besser als ein monatliches Reporting ist jedoch ein Live-Reporting, da man auf die gemessenen Parameter mit einem Live-Tracking schneller reagieren kann. Dieses Live-Reporting sollte auch das einzige Medium – sog. single source of truth (SSOT) – für den BPO-Kunden und den BPO-Anbieter sein, um möglichen Dissens zu vermeiden. Das SSOT ist eine Datenplattform und dient als Zusammenführung von Daten aus unterschiedlichen Unternehmenssystemen.27 Bei der Unterstützung durch Mess-Tools ist zu beachten, dass diese mit neueren Technologien wie KI-Anwendungen kompatibel sind, damit Service-Levels besser angepasst werden können (siehe Teil 4).

Rn610

2.4. Regulatorische Fragen

Im Rahmen des Outsourcings übernimmt der BPO-Anbieter gegenüber seinem Kunden die volle Verantwortung für den konkreten Geschäftsprozess. Die Gesamtverantwortlichkeit bzw. die Gesamtsteuerung aller Geschäftsprozesse verleibt allerdings grundsätzlich beim Kunden.28 Dies führt zu erhöhten organisatorischen und rechtlichen Anforderungen im Hinblick auf die Transparenz, der Qualität und die Sicherheit der Geschäftsprozesse. Für den BPO-Kunden kann sich durch gesetzliche Vorgaben die Pflicht ergeben, die Auslagerung zu kontrollieren. Dabei sollte dem BPO-Kunden auch die innere Verantwortlichkeitsverteilung im eigenen Unternehmen bewusst sein, um gesetzlichen Vorgaben erfüllen zu können.29

Rn611

Bestehende Rechtsvorschriften, die bei einer Auslagerung für BPO-Kunden relevant werden können, sind zersplittert und in verschiedenen speziellen Gesetzen geregelt.30 Für besonders regulierte Branchen ergeben sich zum Beispiel Prüfungspflichten sowie behördliche Anzeige- und Meldepflichten.31 Nach § 24 Absatz 1 Nr. 19 KWG sind z.B. wesentliche Auslagerungen von Kreditinstituten sowie schwerwiegende Vorfälle im Rahmen von bestehenden wesentlichen Auslagerungen, die einen wesentlichen Einfluss auf die Geschäftstätigkeit des Instituts haben können, anzuzeigen. Behördliche Meldepflichten bei IT-Sicherheitsvorfällen ergeben sich z.B. aus Art. 33 DS-GVO, § 54 ZAG, § 168 TKG, § 11 Abs. 1c EnWG oder aus den §§ 8b Abs. 4, 8c Abs. 3, 8f Abs. 7 und 8 BSIG.

Rn612

Zentrale Vorgaben für die Vertragsinhalte eines BPO-Vertrages (wie etwa zu Weisungs-, Prüfungs- und Kontrollrechten sowie der Subunternehmersteuerung) ergeben sich für die jeweils unter diesen Gesetzen regulierten Unternehmen aus § 32 Versicherungsaufsichtsgesetz (VAG), § 80 Abs. 6 Wertpapierhandelsgesetz (WpHG) oder dem § 36 Kapitalanlagegesetz (KAGB) ergeben. Zudem hat die Aufsichtsbehörde „Bundesanstalt für Finanzdienstleistungsaufsicht“ (BaFin) zahlreiche Rundschreiben (z.B. BAIT, VAIT, ZAIT, KAIT, MaGo, MaRisk, KAMaRisk, MaComp) verfasst, um gesetzliche Vorgaben näher zu konkretisieren und Auslegungshilfen zu bieten.

Rn613

Mit der am 17.01.2023 in Kraft getretenen DORA-Verordnung (Digital Operational Resilience Act), die ab dem 17.01.2025 zur Anwendung kommt, werden zahlreiche Regelungen für Finanzunternehmen hinsichtlich des internen Risikomanagements, insbesondere Meldeverfahren zu Sicherheitsvorfällen und die Durchführung von Testverfahren, festgelegt. Die regulatorischen Anforderungen sind dann auch in die vertraglichen Vereinbarungen mit Drittdienstleistern einzubeziehen. Aufgeführt sind in der DORA auch Mindestvertragsbestimmungen, die in Outsourcing-Verträgen enthalten sein müssen.32

Rn614

Datenschutzrechtliche Probleme hinsichtlich der Einhaltung der DS-GVO können sich deswegen ergeben, weil der BPO-Dienstleister Zugriff auf sensible Informationen wie personenbezogene Daten des BPO-Kunden erhält. Um Compliance mit der DS-GVO sicherzustellen, ist die Zusammenarbeit zwischen BPO-Anbieter und BPO-Kunde richtig zu qualifizieren.33 Hierbei stellt sich die zentrale Frage, wer die datenschutzrechtliche Verantwortung zu tragen hat. Dies bemisst sich daran, ob man in BPO eine Auftragsverarbeitung i.S.d. Art. 28 DS-GVO (bzw. § 62 BDSG) oder eine gemeinsame Verantwortlichkeit (sog. Joint Controllership) i.S.d. Art. 26 DS-GVO (bzw. § 63 BDSG) sieht. Die Abgrenzung gestaltet sich je nach Komplexität des BPO-Projekts bisweilen schwierig. Die gemeinsame Verantwortlichkeit bleibt in der Praxis oft unentdeckt und wird nicht datenschutzrechtskonform behandelt.34 Sofern dem BPO-Anbieter keine Entscheidungsbefugnis über die Zwecke und Mittel der Datenverarbeitung zusteht, liegt die Annahme eines Auftragsverarbeitungsverhältnisses nahe.35 Als weisungsgebundener Auftragsverarbeiter erscheint der BPO-Anbieter als „verlängerter Arm“ 36 des Kunden, welcher Herr der Daten bleibt. Der BPO-Kunde behält in diesem Fall dann als Verantwortlicher die Hoheit über die Datenverarbeitung. Im Zweifel ist es aber ratsam, aufgrund der weitergehenden Pflichten des Verantwortlichen eine gemeinsame Verantwortlichkeit von BPO-Anbieter und BPO-Kunden anzunehmen37 bzw. zumindest zu prüfen.

Rn615

3. Cloud Computing

Outsourcende Unternehmen sollten Cloud-Technologien als einen wichtigen Aspekt bei der Optimierung ihrer Geschäftsprozesse und zur Kostenreduzierung in Betracht ziehen.

Rn616

Unter Cloud Computing ist ein Netzwerk zu verstehen, das IT-Infrastrukturen für den Nutzer online zur Verfügung stellt. Wichtiges Beispiel ist das Servicemodell Software-as-a-Service (SaaS), welches dem Kunden ermöglicht, Softwareanwendungen zu nutzen, die auf einer Cloud-Infrastruktur des Anbieters installiert sind und über ein Netzwerk bereitgestellt werden. Neben SaaS gibt es weitere Cloud-Computing Modelle wie Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS). Das BPO zielt jedoch nicht auf die alleinige Bereitstellung einer Software ab. Das Business Process-as-a-Service (BPaas) ist eine Art von BPO, bei dem Geschäftsprozesse in die Cloud ausgelagert und online zur Verfügung gestellt werden.38 BPaaS ist mit anderen Services verbunden, einschließlich SaaS, PaaS und IaaS, und ist vollständig konfigurierbar. BPaaS kann daher auch als eine Kombination von den Modellen SaaS, PaaS und IaaS beschrieben werden, bei dem unterschiedliche Leistungen gebündelt und dienstförmig bereitgestellt werden.39 Der BPO-Anbieter nutzt die Cloud-Software, um für den BPO-Kunden Geschäftsprozesse durchzuführen und ein Ergebnis herzustellen. Bedient der Kunde die Software selbst, liegt lediglich ein Fall von SaaS vor.40

Rn617

Ein Beispiel für BPaaS ist die Customer Relationship Management (CRM)-Lösung der Firma Salesforce.41 CRM bedeutet Kundenbeziehungsmanagement oder Kundenpflege und bezeichnet die Dokumentation und Verwaltung von Kundenbeziehungen. Sämtliche Daten von Kunden, Vertriebswege und alle Kundenverträge werden in Datenbanken gespeichert.42 Das CRM-Programm ist dabei als cloudbasierte Software (SaaS – „Software on Demand“) konfiguriert, so dass die Geschäftsanwendung „auf Abruf“ bereitgestellt werden kann.43 Die CRM-Plattform gewährt allen Beschäftigten den Zugriff auf sämtliche mit den Kunden in Zusammenhang stehenden Daten – unabhängig von Zuständigkeiten, Abteilungen und Kontakten. Zudem kann die Unternehmensleitung in Echtzeit auf tagesaktuelle Kennzahlen zugreifen, so dass Zustand und Entwicklung des Geschäfts kontinuierlich einsehbar und auswertbar sind.

Rn618

Dabei kann sich der Kunde auch auf verschiedene Cloud-Typen fokussieren, wie z.B. eine Sales Cloud, Marketing Cloud oder Commerce Cloud. Die Spezialisierung kann sich sogar auf einzelne Industrien ausweiten, z.B. Health Clouds oder Financial Services Clouds. Die CRM-Lösung hat dann ihren Fokus dabei auf das Gesundheitswesen oder auf Finanzdienstleistungen.44

Rn619

Eine solche Cloudifizierung von Prozessen ermöglicht erhebliche Vorteile für Unternehmen. Cloud-Technologien bieten die Möglichkeit, Ressourcen schnell und flexibel nach Bedarf zu skalieren. Es wird nur für tatsächlich genutzte Dienstleistung gezahlt („on demand“), weswegen die Kosten skalierbarer sind.45 Weiterer Vorteil ist, dass Unternehmen Zugriff auf aktuelle Technologien und entsprechendes Know-how haben, ohne in Hardware und Software investieren zu müssen. Zudem bietet Cloud-Computing eine Standortunabhängigkeit für die Leistungserbringung.

Rn620

4. Automatisierung und Künstliche Intelligenz

Neue Technologien wie Künstliche Intelligenz (KI) können gezielt für die Automatisierung von Geschäftsprozessen eingesetzt werden, um eine weitere Effizienzsteigerung und Kosteneinsparung zu erreichen. Im digitalen Zeitalter reicht das alleinige Auslagern von Prozessen für die Prozessoptimierung nicht aus. Bereits bei der Planung eines BPO-Vorhabens ist über eine zusätzliche Automatisierung der Prozesse nachzudenken, sog. Business Process Automation (BPA), um alle Vorteile einer Prozessauslagerung realisieren zu können. Für BPO-Anbieter ist der Einsatz von KI auch deswegen wichtig, weil sich Kundenbedürfnisse mit der fortschreitenden Digitalisierung stetig ändern und Kunden oder Investoren diesen Einsatz von KI gerade erwarten.

Rn621

KI-Technologien wie Maschinelles Lernen oder Robotikprozessautomatisierung (RPA) ermöglichen die Automatisierung von eindeutig strukturierten, regelmäßigen und sich wiederholenden Prozessen.46 Diese Prozesse sind gerade für ausgelagerte Geschäftsprozesse im BPO typisch und eignen sich daher sehr gut für Automatisierungen, insbesondere wenn es sich um große Datenmengen mit hohem Komplexitätsgrad handelt. Möglich ist der Einsatz von KI auf verschiedenen Ebenen des BPO.47 Um Daten zu analysieren und auszuwerten, kann der BPO-Anbieter mit KI große Mengen von Daten in Echtzeit analysieren und Muster erkennen, um Prozesse zu optimieren. Er kann somit Präferenzen und Verhaltensweisen vom Endnutzer feststellen, um eine personalisierte und eine Art „maßgeschneiderte“ BPO-Dienstleistung anzubieten.

Rn622

Bei einem Payroll-BPO können sich zum Beispiel komplexe Lohnsteuerregelungen als „Fundgrube für KI-Bots“ 48 erweisen. Durch die Nutzung von KI-Algorithmen könnten neue Technologien relevante Lohnsteuervorschriften erlernen und somit entsprechende Chatbots generieren. Dabei kann die Technologie dem Unternehmen die Möglichkeit bieten, ihre eigenen Regelungen und Antworten in den Lernprozess der KI einzubringen. Das Ergebnis wäre eine innovative Anwendung, die ein Self-Service für Mitarbeiter des Unternehmens bilden könnte.49 KI-gesteuerte Chatbots und virtuelle Assistenten können so in die BPO-Dienstleistung integriert werden, dass sie den Kunden- oder Mitarbeitersupport verbessern und Anfragen von Support- und Helpdesks schneller bearbeiten können.50 Mit KPIs können Messungen über die Performance dieser Bots angezeigt werden, wie z.B. Anzahl der geführten Gespräche (hohe Unterhaltungsanzahl). Je mehr Chatbots an Unterhaltungen führen, desto besser kann sich die KI-Technologie mit maschinellem Lernen eigenständig weiterentwickeln.51 Es ist auch nicht zu verkennen, dass mit den enormen Fortschritten von Large Language Models und Sprachassistenten auf KI-Basis auch ein Ersatz menschlicher Mitarbeiter, zum Beispiel im Call Center Bereich, durch KI schon kurz und mittelfristig voranschreiten wird.

Rn623

Dagegen kann KI auch vom BPO-Kunden verwendet werden, um die Einhaltung der vereinbarten Service Level zu kontrollieren und somit einen Qualitätsstandard sicherzustellen. KI-Tools wie „Power BI“ von Microsoft oder „Tableau“ von Salesforce können für die Visualisierung von Kennzahlen verwendet werden, z.B. für KPI-Dashboards. Dabei können die KI-Modelle so trainiert werden, dass sie mit maschinellem Lernen nicht nur aktuelle Daten erstellen, sondern basierend darauf auch Vorhersagen treffen können.52

Rn624

Nicht zu unterschätzen sind die Herausforderungen bei der Implementierung von KI in BPO-Dienstleistungen. Die Verarbeitung von großen Datenmengen erfordert eine entsprechende Gewährleistung der Datensicherheit. Um Datenschutzverletzungen und entsprechende Bußgelder zu vermeiden, sind erhöhte Datenschutzmaßnahmen erforderlich. Haftungsfragen bei möglichen KI-basierten Fehlern müssen zwischen den Vertragsparteien im Voraus geklärt werden.53 Wird KI mit anderer Technologie kombiniert, so müssen diese wiederum KI-kompatibel sein. Zudem sollte sich die Implementierung von KI finanziell rentieren, da die Investition in KI mit erheblichen Kosten verbunden ist. Hinsichtlich der Vertragsgestaltung sind mögliche neue Formen von KPIs zu beachten. SLAs für KI-Projekte sind präziser auszugestalten und sollten umfassendere Service Level beinhalten. Festzuhalten ist, dass die Implementierung von KI dem BPO-Vorhaben die Chance bietet, Geschäftsprozesse maximal zu optimieren.

Rn625

Schließlich bedarf es spezieller Regelungen für die KI-Nutzung. Relevant sind vor allem Regeln zur Rechtsinhaberschaft an Output, der mangels einer menschlichen Schöpfung oft nicht urheberrechtlich geschützt ist. Auch die Risikoverteilung hinsichtlich des KI-Einsatzes zwischen BPO-Kunde und BPO-Anbieter bei fehlerhaften Ergebnissen der KI oder bei Datenschutzverletzungen ist regelungsbedürftig.

Rn626

Die Welt der EDRA Media

Die LRZ erscheint bei der EDRA Media GmbH.
EDRA Media ist ein innovativer Verlag,
Veranstalter und Marketingdienstleister auf den
Gebieten des Rechts und der Medizin.

Gesellschafter sind die Edra S.p.A. (LSWR Group)
und Dr. Jochen Brandhoff.

 

​EDRA MEDIA│ Innovation, Sustainability, Resilience

LEGAL REVOLUTION │Die Rechtsmesse

​LR ACADEMY│ Erlebe Spezialistenwissen

Ihr Kontakt

Journal@LRZ.legal

+49 69-348 74 49 70

 

Zeil 109
60313 Frankfurt a. M.

Folgen Sie uns

 Xing