In Beitrag #435 von der Scrum-Konferenz bin ich noch die Inhalte von Jutta Ecksteins Podcast schuldig geblieben:

Die Zeiten eines Outsourcing und Offshoring in der Software-Entwicklung aus reinen Kostengründen sind aus ihrer Sicht vorbei, denn Spezifikationsaufwand, kulturelle Unterschiede und die erforderliche Kommunikation bergen erhebliche Risiken. Wer rein aus Kostengründen outsourct, wird vom Ergebnis in der Regel enttäuscht sein, so ihr Fazit.

Gründe, die auch heute dafür sprechen sind Personal-/Skill-Mangel und marktliche Anforderungen, etwa bei der Erschließung neuer Märkte oder um Kundennähe zu gewährleisten.

Die Entscheidung für verteilte Teams in der Software-Entwicklung ist in der Regel aus einer Notwendigkeit heraus geboren und keine „Liebesentscheidung“.

Den ganzen Beitrag lesen…

Die McKinseys Ian Finnemore, Greta Kim und Aditya Pande weisen darauf hin, dass regulatorische Bestimmungen (wie z.B. „processing of banking records, privacy rules, health care data oder security guidelines“) Grenzen für ein Offshoring setzen. Vielleicht tun sich die Kollegen von McK leichter bei dieser Feststellung als andere Kolegen, weil ihr Arbeitgeber kein Offshoring-Anbieter ist (#400). Mögliche Beschränkungen aus der Außenhandelsthematik werden leider auch hier nicht angeführt (#390).

Aufgrund dieser Restriktionen und einer differenzierten Betrachtung von Kosten und Personalressourcen bringen sie „Close-Shoring“-Lösungen ins Spiel: d.h. die Lösung bleibt im Land, wird aber von teuren Metropolen wegverlagert, z.B. von München nach Ostdeutschland.

Die Autoren attestieren: „successful companies are beginning to adopt a hybrid approach.“

Nachzulesen in McKinsey Quarterly.

Obwohl das gar nicht geplant war, entwickelt sich dieses Thema so langsam zu einer kleinen Serie auf schlossBlog. Über die juristischen Fallstricke war ja hier und hier schon die Rede.

Auffällig ist, wer sich mit dem Thema beschäftigt: Anscheinend nahezu ausschließlich die Anbieter von Outsourcing und Offshoring-Leistungen.

Im Umfeld der Forschungsarbeiten zum Thema etwa bei Prof. Amberg in Erlangen oder bei Prof. Strahringer von der TU Dresden finden sich Berater von Accenture, IBM oder Bain – aber wo sind die Vertreter der Kunden? Ist bei denen das Thema überhaupt schon angekommen? Bislang wohl nur in den wenigsten Fällen.

Ein grundlegendes Missverständnis liegt auch darin Outsourcing und Offshoring per se als erstrebenswert zu erachten. Eine Prüfung der Sourcing-Möglichkeiten muss selbstverständlich alle Optionen einschließen, aber eine Make-or-Buy-Entscheidung hat auch strategische Auswirkungen. Außerdem entstehen möglicherweise Einschränkungen und Abhängigkeiten, die ursprünglich gar nicht gewollt sind. Eine bestehende Applikation ist für ein neues Geschäftsfeld nicht nutzbar, weil die Daten im „falschen Land“ gehalten werden oder unter der „falschen Datenschutzrichtlinie“. Da wird dann die IT zum limitierenden Faktor für das Business.

In den letzten Postings haben sich wiederholt die Themen IT-Sicherheit und juristische Fallstricke in der Cloud, beim IT-Outsourcing und -Offshoring eingeschlichen. Passend hierzu eine Studie „Compliance im IT-Outsourcing. Theoretische und empirische Ermittlung von Eunfluss nehmenden Faktoren“ der Friedrich-Alexander-Universität Erlangen-Nürnberg, gemeinsam mit dem Beratungsunternehmen Accenture aus dem Jahr 2009. (In komprimierter Form auch als Artikel: „Compliance im IT-Outsourcing“  aus 2010).

In den Beiträgen werden detailliert Rechtsgrundlagen für mögliche Anforderungen angeführt, angefangen von Handelsrecht, Steuerrecht, den Grundlagen eines internen Kontrollsystems (AktG, SOX,…), Basel II bis hin zum Bundesdatenschutzgesetz. Ein wichtiger Rechtskomplex fehlt allerdings noch in der Auflistung: Das Thema Außenhandel.

Rechtsgrundlagen wären hier einmal auf EU-Ebene die Embargo-Verordnung und die Dual-Use-Verordnung, im deutschen Recht das Außenwirtschaftsgesetz (AWG), die Außenwirtschaftsverordnung (AWV) und das Kriegswaffenkontrollgesetz (KrWaffKontrG). Beim Bundesamt für Wirtschaft und Außenhandel (BAFA) genehmigungspflichtig ist die Ausfuhr von Produkten und Technoloigen, die entsprechend in der Ausfuhrkontrolliste erfasst sind. Und hier liegt der Hase im Pfeffer: Wenn also eine Stückliste, eine technische Zeichnung oder ähnliches in der Cloud liegt, stellt dies rechtlich  möglicherweise bereits einen Technologieexport dar und dies unabhängig davon, ob ein Zugriff darauf tatsächlich erfolgt oder nur möglich ist, denn das zugrundeliegende Recht soll ja bereits die Zugriffsmöglichkeit auf entsprechende Technologien in als kritisch angesehenen Ländern unterbinden. Mit der Dual-Use-Problematik (also der militärischen Einsatzbarkeit von Gütern und Technologien, die eigentlich für nicht militärische Zwecke gedacht waren) ergibt sich eine Relevanz dieser Anforderungen nicht nur für Waffenexporteure oder -hersteller, sondern für alle exportiernenden Unternehmen und exportierend bezieht sich hierbei nicht nur auf den eigentlichen Geschäftsvorgang, sondern möglicherweise auch schon auf die Datenhaltung, wenn also z.B. die Server für eine Inlandsfertigung aus dem Ausland administriert werden.

Bei der Vielzahl der Anforderungen ist das Thema aber noch nicht komplex genug: Zu berücksichtigen ist ja nicht nur die Rechtsgrundlage in Ursprungs- und Zielland, sondern aller beteiligter Länder (also z.B. wenn Teile oder Technologien aus einem Drittland stammen, wenn das Hosting der Daten in einem Drittland (oder der Cloud??) erfolgen, usw.. Eine Besonderheit stellt diesbezüglich US-Recht dar, das für sich einen gewissen extraterritorealen Rechtsanspruch erhebt.

Wer jetzt gedacht hat, wir würden in einer globalisierten Welt leben, der fragt sich, ob nicht die Realität in den Unternehmen und die Rechtslage weit auseinander klaffen. In den Diskussionen zur Cloud und zu IT-Outsourcing und -Offshoring lässt sich die Awareness für diese Themen noch weitgehend vermissen.

Das CIO-Magazin beschäftigt sich mit versteckten Kosten im Cloud-Computing. Ähnliches lässt sich über versteckte Kosten beim Outsouring oder Offshoring sagen.

IT-Kosten sind nicht alles. Sie haben einen Server offgeshort? Wissen Sie noch, welche Daten Sie noch auf diesem Server ablegen dürfen? Könnte es sein, dass Sie plötzlich Dritten einen vertraglich oder gesetzlich verbotenen Datenzugriff ermöglichen? Ist dieser Datenzugriff möglicherweise Datenschutz relevant? Oder Außenhandels(ECC)-relevant? Der Admin in Indien soll mit den Daten an und für sich ja gar nicht arbeiten, aber seine Zugriffsmöglichkeiten stellen möglicherweise bereits einen Exportvorgang dar… 

Berücksichtigen sie bei ihrer Datenhaltung nicht nur nationales Recht, sondern auch das Recht der Zielländer und der Urspungsländer? In unserer globalisierten Welt werden diese Anfoderungen schnell undurchschaubar!

Wer sich mit Offshoring und Outsourcing beschäftigt, muss sich auch mit den Blüten des illegalen Datenhandels auseinandersetzen. Die Computerwoche berichtet über dieses Thema.