Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

19.07.2006

Die verborgenen Risiken in SLAs

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Was steckt eigentlich hinter den "Leistungsstandard-Vereinbarungen"? Sind Service-Level-Agreements (SLAs) wirklich notwendig oder unnötiger Ballast?

Um die Antwort auf die letzte Frage vorwegzunehmen: Bei komplexen IT-Verträgen, insbesondere beim IT-Outsourcing, sind Service-Level-Agreements (SLAs) Pflicht. Gute SLAs, also effektive Vereinbarungen, sind dagegen offenbar Kür, denn sie scheinen in der Praxis eher selten zu sein.

Hier lesen Sie …

SLA-Tipps

• Service-Level-Agreements (SLAs) definieren die vom Provider zu erbringenden IT-Leistungen (insbesondere Verfügbarkeiten) und enthalten zugleich die Sanktionsregeln beziehungsweise Pönale, falls zugesagte Leistungen (Service-Levels) nicht eingehalten wurden.

• Für die Vereinbarung von SLAs ist per Gesetz grundsätzlich keine zusätzliche Vergütung geschuldet, es sei denn, die darin enthaltenen Service-Levels stellen zusätzliche Garantien zum eigentlichen IT-Vertrag dar; meist sind in SLAs aber sogar Einschränkungen der vertraglich geschuldeten Verfügbarkeit vorgesehen.

• Als KPIs der Verfügbarkeit (Key Performance Indicators) sollte aus Anwendersicht stets die End-to-End-Verfügbarkeit festgelegt werden.

• Bei Fehlern definiert die Problemlösungszeit (Time to Repair = TTR) zusammen mit der Response-Time die Zeit, die dem IT-Provider zur Besei-tigung der Störung einge-räumt wird; bei Festlegung der TTR ist es sinnvoll, spezifi-sche Fehlerklassen zu vereinbaren.

• Die SLAs dürfen nicht in Widerspruch zu den vertraglichen Bestimmungen des eigentlichen IT-Vertrags und den gesetzlichen Rechten des Anwenders und des IT-Providers stehen.

• SLAs sind oftmals gleichbedeutend mit Allgemeinen Geschäftsbedingungen (AGB), müssen also den Mischcharakter eines IT-Vertrages (Kombination aus Werk-, Dienst-, Miet- und Kaufvertrag) beachten, sonst droht Unwirksamkeit nach Paragrafen 305 ff. BGB.

• Pönale in den SLAs können als automatisierte Minderung ohne Nacherfüllungsverlangen, aber auch als Vertragsstrafe oder pauschalierter Schadensersatz ausgestaltet werden - hierfür gelten jedoch unterschiedliche rechtliche Anforderungen.

• Die Höhe des Malus darf ebenso wie eine Haftungsbeschränkung in einem IT-Vertrag nicht unverhältnismäßig sein, da sonst nach AGB-Recht Unwirksamkeit der gesamten Regelung droht.

• SLAs sind ohne Service-Level-Management und ein qualifiziertes Reporting für den IT-Anwender nahezu nutzlos.

Messgrößen

• End-to-End-Verfügbarkeiten liegen üblicherweise zwischen 97,5 Prozent und 99 Prozent pro Kalendermonat, Hochverfügbarkeitslösungen bieten teilweise auch Verfügbarkeitszusagen von bis zu 99,90 Prozent. Oftmals werden die Wartungszeiten bei der Berechnung der Verfügbarkeit nicht berücksichtigt.

• Als Messgröße für die Verfügbarkeit bietet sich etwa der Round Trip Delay (RTD) an. Der RTD beschreibt die Rundlaufzeit eines Datenpakets zwischen zwei Standorten. Beispiel: Der RTD eines Datenpaketes von 128 Bytes sollte bei Standorten in Europa unter 100 Millisekunden liegen, interkontinental sind RTDs bis 400 Millisekunden Standard. Die Verzögerung zwischen zwei zusammengehörigen Datenpaketen ("Jitter") sollte je nach IT-Service ebenfalls nur wenige Millisekunden betragen.

• Pönale werden oftmals als prozentualer Abschlag von der monatlichen Vergütung bis zu einer festgelegten Obergrenze vereinbart. Einheitliche Richtwerte gibt es kaum. Die Höhe der Vertragsstrafe orientiert sich daran, wie bedeutsam die Einhaltung der Service-Levels für den Anwender ist. In der Praxis bewegen sich Vertragsstrafen oftmals lediglich im Bereich von drei bis fünf Prozent der spezifischen Vergütung und werden zudem durch die monatliche Auftragssumme begrenzt.

Mehr zum Thema

www.computerwoche.de/

569632: Lücken im Outsourcing-Paragrafen;

1058978: Gute Verträge ersparen Ärger.

SLAs als Betriebshandbuch

Zunächst einmal sollten SLAs die vom IT-Dienstleister zu erbringenden IT-Services genau definieren. Dies ist wichtig, denn nach dem Gesetz (Paragraf 243 Abs. 1 BGB) gilt grundsätzlich auch für IT-Leistungen nur der Ausführungsstandard "mittlerer Art und Güte", sofern nichts anderes bestimmt ist. Da es jedoch für den IT-Servicebetrieb keinen allgemein gültigen mittleren Qualitätsstandard gibt beziehungsweise dieser überall dort, wo Kunden maßgeschneiderte Lösungen einfordern, auch nicht sachgerecht wäre, sind SLAs überaus wichtig und grundsätzlich auch sehr gut geeignet, in IT-Projekten die wechselseitige Verantwortlichkeit von IT-Anbieter und -Anwender zu definieren.

Manchmal zu viel des Guten

Werden Techniken detailliert definiert, können SLAs sehr umfangreich werden und bewirken damit genau das Gegenteil dessen, wozu sie erstellt wurden: In der Praxis wird häufig der Fehler gemacht, dass die komplexen SLA-Werke zwar langwierig verhandelt werden, dabei aber die wesentlichen Bestimmungen des zugehörigen IT-Vertrags und die schon per Gesetz bestehenden Gewährleistungsrechte und Haftungsansprüche des Anwenders verwässert oder sogar ausgeschlossen werden. Dies ist deshalb der Fall, weil SLAs neben den Leistungsdefinitionen oftmals eigene Sanktionen für den Fall vorsehen, dass Service-Levels und Key Performance Indicators (KPI) unterschritten werden.

Geltendes Recht beachten

Diese gut gemeinten Regelungen stehen jedoch manchmal mangels IT-rechtlicher Prüfung in eklatantem Widerspruch zu den gesetzlichen Vorgaben und auch den übrigen Bestimmungen des IT-Vertrags. Dann kann es passieren, dass zuvor vereinbarte Pönale (also Vertragsstrafen beziehungsweise pauschalierte Schadensersatzbeträge) ebenso wie etwaige "Bonus"-Ansprüche des IT-Providers im Falle der Übererfüllung von Service-Levels gar nicht erst zur Anwendung kommen. Dies steht vor allem dann zu befürchten, wenn die Parteien sich nicht darauf geeinigt haben, ob die vereinbarten Sanktionen die grundsätzlich nach Vertrag und Gesetz geltenden Rechte (also die primären Leistungsansprüche des IT-Anwenders einschließlich Nacherfüllung, Gewährleistungsrechten sowie Haftung etc.) ersetzen oder als zusätzliche Versprechen neben den eigentlichen Vertrag treten sollen.

SLAs müssen rechtswirksam sein

Hinzu kommt die Gefahr, dass die oftmals standardmäßig vom IT-Provider vorgeschlagenen Leistungen, wenn diese nicht im Verhandlungswege zu individualrechtlichen Abreden werden, im rechtlichen Sinne Allgemeine Geschäftsbedingungen (AGB) darstellen und daher (selbst im Verhältnis von Unternehmern untereinander) wie für alles andere "Kleingedruckte" (allerdings in etwas eingeschränktem Umfang) grundsätzlich die strengen gesetzlichen Vorgaben (Paragrafen 305 ff. BGB) gelten. Werden die Regelungen des AGB-Rechts, die durch die Rechtsprechung und die juristische Literatur noch verfeinert wurden, nicht erfüllt, können im Falle einer gerichtlichen Überprüfung zumindest diejenigen Regelungen unwirksam sein, in denen von der Wertung des Gesetzgebers abgewichen wird. Dann gilt wieder das Gesetz, welches jedoch - wie eingangs gezeigt -die Erbringung von IT-Leistungen nur bedingt regeln kann.

Zur Vereinbarung von rechtlich wirksamen SLAs ist es daher notwendig, zwischen den einzelnen IT-Services sorgfältig zu differenzieren, denn auf die unterschiedlichen IT-Leistungen können je nach Ausgestaltung des IT-Vertrags sowohl das Mietvertrags- als auch das Dienstleistungs-, Kauf- oder Werkvertragsrecht Anwendung finden. Etwaige Abweichungen von diesen Vertragstypen müssen mithin auch in den SLAs sorgfältig unter Beachtung des AGB-Rechtes geregelt werden.

Die Rechte der Anwender

SLAs führen nicht automatisch zum Ziel. In den Leistungsvereinbarungen sollten Anwender vielmehr neben den genannten Punkten explizit darauf bestehen, dass etwaige Unter- und Überschreitungen der vereinbarten Service-Levels im monatlichen Reporting erwähnt werden und ohne zusätzliche Meldung ihrerseits automatisch in die Berechnung der nächsten Abschlagszahlung einfließen. Da aber Fragen rund um die Vergütung und die Rechnungsstellung im laufenden Geschäft nicht von den Technikern, sondern von den Kaufleuten beurteilt werden, sollte dieses Service-Level-Management und auch das zugehörige Reporting so formuliert sein, dass es auch "IT-Laien" verstehen.

Zudem sollte das Management des IT-Anwenders angemessen über etwaige Probleme in der IT informiert werden, denn im Falle der wiederholten Verfehlung von KPIs ist eine außerordentliche Kündigung des oftmals langfristig abgeschlossenen IT-Vertrags möglich. Spätestens dann, wenn es um Schadensersatz wegen mangelhafter Leistungen geht, müssen die gesamten SLAs nebst IT-Vertrag ohnehin auf den juristischen Prüfstand. (jha)