Prinzipiell ist ausgelagertes VoIP im ersten Ansatz – auch wenn es natürlich mehr ist – eine Software-Anwendung, deren Einsatz auf einer spezifischen Hardware an einen Dienstleister übertragen werden soll. So liegt es auf der Hand, dass hier ähnliche rechtliche Probleme zu regeln sind wie beim klassischen IT-Infrastruktur-Outsourcing. Im Markt auf der anderen Seite bieten nicht nur klassische TK-Unternehmen externe VoIP-Dienste an, sondern auch IT-Provider. Vor diesem Hintergrund bietet sich eine Vertragsgestaltung wie beim klassischen IT-Outsourcing an.

Wichtige Inhalte von IT-Rahmenverträgen
Rahmenverträge empfehlen sich immer in Fällen, in denen IT-Infrastruktur ausgelagert werden soll. Schaffen Sie im Vertragswerk mit dem Provider einen Rahmenvertrag, unter dem Sie sogenannte Leistungsscheine als individuelle Verträge vereinbaren. Innerhalb dieser Leistungsscheine oder auch separat sollten Sie zudem konkrete Service Level Agreements (SLAs) abschließen. Natürlich fallen in den Rahmenvertrag auch die allgemeinen, für alle Leistungsbereiche erforderlichen juristischen Regelungen. Hierzu zählen insbesondere
 

• eine grobe Leistungsbeschreibung,
• Regelungen zum Einbezug von Einzelverträgen,
• Leistungsscheinen und SLAs,
• Abnahme, Gewährleistung, Haftung,
• Vergütung,
• Änderungsaufträge,
• Vertrags- und Eskalationsmanagement,
• Mitwirkungspflichten,
• Laufzeit,
• Rückübertragung und Beendigungsunterstützung,
• Datenschutz, Datensicherung, Datensicherheit und Geheimhaltung sowie
• typische Schlussregeln etwa zum anwendbaren Recht und Gerichtsstand.

Übertragung bestehender VoIP-Umgebungen
Nehmen wir einmal an, Sie verfügen bereits über eine VoIP-Umgebung und Sie möchten diese an einen Provider übertragen. Regeln Sie hier in einem unter den Rahmenvertrag gehängten gesonderten Vertrag, wie die Hard- und Software – sofern diese nicht lediglich beigestellt werden – zu übertragen sind. Dabei geht es etwa um die Frage, wie die Ausstattung buchhalterisch zu bewerten ist. Üblicherweise wird hier auf den Buchwert zum Stichtag abgestellt. Daneben klären Sie für die Software ab, inwieweit dem Outsourcing-Anbieter die nötigen Nutzungsrechte zustehen. Regeln Sie hier je nach Alternative (Beistellung der Software oder Übertragung an den Outsourcing- Anbieter), wie und inwieweit eine Einwilligung der Anbieter nötig wird.

Glücklicherweise ist dieses Thema aber angesichts des Umfangs der eingesetzten Systeme beim reinen VoIP-Outsourcing übersichtlicher als bei der klassischen IT-Auslagerung. Vollkommen verzichten können Sie auf eine derartige Vereinbarung, wenn die VoIP-Umgebung von vornherein vom Provider zur Verfügung gestellt wird. Er zeichnet dann für entsprechende Lizenzen und Ähnliches verantwortlich.

Vertragliche Fixierung der Verantwortlichkeiten
Lagern Sie Ihre VoIP-Umgebung aus oder wird diese von vornherein von einem externen Dienstleister betrieben, haben Sie keine Möglichkeiten, die Qualität und den Umfang der Leistungen durch eigenes Eingreifen zu bestimmen. Umso wichtiger ist es, im Rahmen von Leistungsscheinen den Leistungsinhalt genau zu bestimmen, diese andererseits aber auch so auszugestalten, dass sie eine gewisse Flexibilität hinsichtlich der bezogenen Leistungen bieten. So sollten Sie innerhalb von Leistungsscheinen etwa regeln, was gilt, wenn sich die angeforderten Kapazitäten erhöhen oder vermindern. Grenzen Sie die Leistungssphären zudem sauber voneinander ab und bestimmen Sie die Service Level.

Gleichzeitig ermöglicht es ein System, das aus Rahmenvertrag und Leistungsscheinen besteht, zusätzliche Leistungen im Rahmen neu zu verhandelnder Leistungsscheine aufzunehmen. So ist etwa denkbar, dass Sie VoIP-Dienste für weitere Standorte oder Konzerntöchter quasi hinzubuchen, die anfangs noch nicht umfasst waren. Zudem integrieren Sie auf diesem Wege auch sonstige Datendienste leichter. Ergänzen Sie die durch das System einzelner Leistungsscheine gesteigerte Flexibilität des Vertragswerks im Übrigen durch eine Regelung über Änderungsanforderungen (Change-Requests) im Rahmenvertrag.

Regeln Sie bei ausgelagerten VoIP-Umgebungen im Rahmen der Leistungsscheine, wer entsprechende Applikationen und Hardware stellt. Dieses ist wie gesagt normalerweise der Provider, der diese gegebenenfalls von Ihnen übernimmt. Es gibt aber auch Situationen, in denen ausschließlich der Kunde die Systeme bereitstellt. Regeln Sie hierbei, in welchem Umfang der Provider trotzdem in der Verantwortung für das Funktionieren der Systeme steht. Vor allem müssen Sie festlegen, wer die Verantwortung für einzelne Leistungssphären trägt, sprich wer also etwa die Applikationen, die WAN-Strecken und das LAN betreut und verantwortet. Der Provider wird hier das Interesse haben, die Verantwortung für das LAN des Kunden und das WAN von sich zu weisen. Dabei fällt der sauberen Beschreibung der Leistungsübergabepunkte eine besondere Bedeutung zu.

Service Level genau definieren
Bei Voice over IP spielt neben der Ausfallsicherheit insbesondere die Sprachqualität eine entscheidende Rolle. Beide Faktoren können diverse technische Ursachen haben und sie lassen sich im Falle eines ausgelagerten VoIP-Dienstes auch nicht einfach durch Anweisung an die IT-Mitarbeiter beheben. Insofern ist es zunächst erforderlich, die Qualität – etwa durch Festlegung maximaler Ausfallzeiten pro Monat – zu regeln. Darüber hinaus empfiehlt sich, dass Sie den Beweis dafür, dass keine Störung in der Sphäre des Kunden die entsprechende Minderleistung verursacht hat, dem Provider auferlegen. Anderenfalls haben Sie kaum eine Handhabe gegen den Provider, wenn es zu massiven Ausfällen und Qualitätsstörungen kommt. Der Anbieter hat die Möglichkeit, sich immer auf den Standpunkt zurückzuziehen, die Störung liege nicht in seinem Leistungsbereich. Dieses zu widerlegen – und nach dem Gesetz (§ 280 Abs. 1 BGB) hat hierfür der Kunde mangels individueller Abreden die Beweislast – ist nahezu unmöglich.

Vereinbaren Sie aus diesem Grund sogenannte End-to-End-Service-Level. Diese Qualitätsvereinbarungen decken letztlich das gesamte Leistungsspektrum ab, mithin die Qualität des angebotenen Dienstes am Arbeitsplatz des einzelnen Anwenders. Und vor allem – und dies ist im Rahmen von TK-Verträgen bisher oft noch unüblich – nützt eine Service-Level- Vereinbarung nur dann etwas, wenn auch Konsequenzen drohen. Vereinbaren Sie also entweder Minderungs- oder Schadensersatzpauschalen oder aber sogenannte Pönalen (Vertragsstrafen). Anderenfalls wird ein Service Level Agreement – von der Kündigung abgesehen – letztlich zum zahnlosen Tiger. Insbesondere Schäden durch Arbeitsausfälle lassen sich nur äußert selten belegen. Die gezahlten Arbeitslöhne der Mitarbeiter stufen Gerichte als sogenannte Sowieso-Kosten ein und nicht als Schaden.

Ausgelagerte VoIP-Lösungen und Datenschutz
Heute ist weitgehend anerkannt, dass VoIP-Angebote Telekommunikationsdienste im Sinne des Telekommunikationsgesetzes (TKG) sind. Dies gilt, obwohl Definitionen und Vorgaben des TKG dem tendenziell widersprechen. Das betrifft insbesondere die Anforderung, dass Telekommunikationsdienste nur solche Dienste sind, bei denen eine zweiseitige Echtzeitübertragung stattfindet und bei denen Notrufe abgesetzt werden können. Das ist nicht bei allen VoIP-Lösungen von Natur aus gewährleistet.

Mit der Einordnung von VoIP-Angeboten als Telekommunikationsdienste werden auch klassische IT-Provider, die in der Vergangenheit nur IT-Dienstleistungen angeboten haben, bei der Auslagerung von VoIP-Diensten zu Telekommunikationsanbietern im Sinne des TKG. Sie haben daher im Grundsatz das Fernmeldegeheimnis, den TK-Datenschutz sowie Anforderungen zur Gewährleistung der öffentlichen Sicherheit zu beachten.

So finden sich im TKG spezielle Regelungen über Bestands- und Verkehrsdaten sowie Standortdaten (§§ 91 ff.TKG). Und auch das einst firmeninterne Telefonverzeichnis könnte auf diesem Wege zu einem datenschutzrechtlich relevanten Verzeichnis werden (§ 104 TKG), in das Nutzer nur mit ihrer Einwilligung aufgenommen werden können. Insofern sind spezielle technische Strukturen und vertragliche Regelungen zu schaffen, um die Leistungserbringung in Einklang mit dem TK-Datenschutz zu bringen. Gleichzeitig ist aber auch anerkannt, dass die hergebrachten Prinzipien der sogenannten Auftragsdatenverarbeitung (§ 11 BDSG) Anwendung finden können, sodass nicht jede Übertragung von Daten an den eingeschalteten Provider auch datenschutzrechtlich als eine solche bewertet wird.

Der Provider hat schließlich sicherzustellen, dass er die Regelungen über die öffentliche Sicherheit (§§ 108 ff.TKG) beachtet. Er hat etwa für die Möglichkeit eines Notrufs zu sorgen und muss im Übrigen technische Schutzmaßnahmen vorsehen sowie Maßnahmen zur technischen Umsetzung von Überwachungsmaßnahmen einschließlich der Beantwortung von Auskunftsverlangen und -ersuchen ermöglichen. Auch muss der Provider bedenken, dass gemäß § 201 StGB der Grundsatz der Vertraulichkeit des nicht öffentlich gesprochenen Wortes gilt und dass sich Unternehmen nach § 206 StGB strafbar machen, die geschäftsmäßige Post- oder TK-Dienste erbringen, wenn sie ohne die konkludente oder mutmaßliche Einwilligung Aufzeichnungen von Sprachdaten vornehmen. Insofern hilft es im Übrigen auch nicht, dass mit Blick auf die VoIP-Dienste im Zweifel beim Kunden auch eine spezielle Betriebsvereinbarung geschlossen werden muss. Denn diese ersetzt die individuelle Einwilligung nicht. Vielmehr sind diese Aspekte notfalls technisch zu lösen.

Fazit
Bei der Auslagerung von VoIP drohen sowohl dem Kunden als auch dem Provider rechtliche Fallen. Legen Sie als IT-Verantwortlicher daher im Rahmenvertrag und in den angehängten Leistungsscheinen die genauen Anforderungen an die Dienstleistung fest. Das sollte bis hin zu technischen Merkmalen am Arbeitsplatz reichen. Über Minderungsklauseln und Vertragsstrafen sichern Sie sich zudem gegen Ausfälle ab, die nicht in Ihrem Verschulden liegen. So steht einer Provider-basierten VoIP-Nutzung nichts mehr im Wege.
 

Malte Grützmacher/dr/ln