News

Einleitung: Zusammenarbeit mit der Philipps-Universität Marburg
itPortal24 führt in Zusammenarbeit mit der Philipps-Universität Marburg, betreut von Prof. Dr. Michael Leyer (FB 02 Wirtschaftswissenschaften, AG Digitalisierung und Prozessmanagement) eine tiefgreifende Studie zum Thema IT-Outsourcing durch. Ziel dieser Forschungsarbeit ist es, den Antrieb und die Herausforderungen des IT-Outsourcings besser zu verstehen. Um eine breite und repräsentative Datenbasis zu gewährleisten, möchten wir Sie dazu einladen, an unserer Umfrage teilzunehmen.

Hier der Link zur Umfrage: https://ww3.unipark.de/uc/ittrends2023/

Theoretische Grundlage
Die Untersuchung stützt sich auf das Transaktionskostenmodell und die Theorie des geplanten Verhaltens, wobei wir die vielfältigen Dimensionen des IT-Outsourcings in den Blick nehmen. Dazu gehören Kosten- und Aufwandsfaktoren, die bei der Suche und Auswahl von IT-Partnern entstehen, sowie die Einstellungen, Überzeugungen und Absichten der Unternehmen in Bezug auf IT-Outsourcing.

Forschungsfrage und Studieninhalt
Die zentrale Forschungsfrage untersucht die vielschichtigen Faktoren, die beeinflussen, ob und wann ein Unternehmen entscheidet, einen IT-Partner für seine Projekte einzusetzen. Dabei geht es auch darum, mögliche Hindernisse und Schwierigkeiten zu identifizieren und zu verstehen.

Unsere Umfrage deckt eine breite Palette von Themen ab. Wir untersuchen, was Unternehmen suchen, wenn sie ein IT-Projekt outsourcen möchten. Dabei geht es auch um Ihre persönlichen Erfahrungen und Einschätzungen: Wie haben Sie bisher IT-Outsourcing erlebt? Welche Faktoren haben gut funktioniert, welche weniger? Wie wichtig sind persönliche Empfehlungen oder die spezifische Branchenerfahrung einer Agentur für die Auswahl eines IT-Outsourcing-Partners?

Die interne Entscheidungsfindung und die Suche nach potenziellen Partnern sind weitere Aspekte, die wir unter die Lupe nehmen wollen. Dabei interessieren uns Fragen wie: Wer trifft die Entscheidungen in Ihrem Unternehmen? Wo suchen Sie nach geeigneten Partnern – online, auf Messen oder basierend auf Empfehlungen?

Wir wollen auch verstehen, welche Gründe Ihr Unternehmen dazu bewegen, das IT-Outsourcing als Option zu ziehen. Hier spielen sowohl wirtschaftliche als auch strategische Überlegungen eine wichtige Rolle, die wir genauer beleuchten möchten.

Darüber hinaus möchten wir Ihre Meinung zu verschiedenen Aussagen und Themen im Zusammenhang mit IT-Outsourcing hören. Dazu gehören Ihre Fähigkeit, den richtigen IT-Outsourcing-Partner auszuwählen, die Bedeutung regionaler IT-Outsourcing-Partner, Ihre Absicht, für Ihr IT-Projekt einen Outsourcing-Partner zu nutzen, der Aufwand bei der Suche nach einem neuen Outsourcing-Partner und die Herausforderungen bei der Suche und Einstellung eines guten Outsourcing-Partners.

Ein weiteres Feld unserer Studie betrifft die Performance und Qualität von IT-Outsourcing-Projekten. Wir möchten Ihre Perspektive auf die Leistung Ihrer IT-Outsourcing-Partner und die Kriterien, die Sie zur Messung des Erfolgs verwenden, verstehen.

Eine erfolgreiche IT-Outsourcing-Partnerschaft beruht nicht nur auf technischem Know-how, sondern auch auf effektiver Kommunikation und gutem Beziehungsmanagement. Wir möchten erfahren, wie Sie die Kommunikation mit Ihren IT-Outsourcing-Partnern gestalten und welche Strategien Sie verfolgen, um eine starke und produktive Beziehung aufzubauen.

Potenzieller Einfluss der Studie
Die Erkenntnisse aus dieser Studie werden dazu beitragen, die Entscheidungsfindung in Bezug auf IT-Outsourcing zu verbessern und den Unternehmen zu helfen, effektivere IT-Outsourcing-Strategien zu entwickeln. Außerdem wird es möglich sein, Muster und Trends im Bereich IT-Outsourcing zu erkennen und besser zu verstehen, welche Faktoren Unternehmen dazu bewegen, einen IT-Partner einzusetzen. Gleichzeitig werden wir einen Einblick in die Barrieren gewinnen, die Unternehmen dabei hindern, das IT-Outsourcing effizient zu nutzen.

Zielgruppe der Studie
Unsere Umfrage richtet sich speziell an Entscheidungsträger in Unternehmen, die eine Rolle im IT-Outsourcing-Prozess spielen. Sie sind in einer einzigartigen Position, um wertvolle Einblicke in die komplexen Entscheidungsprozesse zu geben, die mit IT-Outsourcing einhergehen. Ob Sie nun in der IT-Leitung, als CEO, CTO oder in einer anderen Rolle tätig sind, die das IT-Outsourcing beeinflusst, Ihre Meinungen und Erfahrungen sind für unsere Studie von unschätzbarem Wert. Wir sind daran interessiert, Ihre Perspektiven auf die Herausforderungen des IT-Outsourcings, die damit verbundenen Kosten und die Methoden zur Auswahl eines IT-Outsourcing-Partners zu verstehen. Durch Ihre Teilnahme können Sie dazu beitragen, das Wissen und Verständnis für effektive IT-Outsourcing-Strategien in der Wirtschaft zu erweitern.

Teilnahme, Kontakt und Fazit
Diese Studie hat das Potenzial, einen signifikanten Beitrag zur IT-Outsourcing-Forschung zu leisten und Unternehmen dabei zu helfen, fundierte Entscheidungen in diesem wichtigen Bereich zu treffen. Wir ermutigen Sie daher, an unserer Umfrage teilzunehmen und diesen wichtigen Beitrag zur Forschung zu leisten. Die Ergebnisse werden auf unserer Website und von der Philipps-Universität offiziell veröffentlicht.

Wir würden uns sehr freuen, wenn Sie sich etwa 10 Minuten Zeit nehmen könnten, um an unserer Umfrage teilzunehmen. Ihre Meinung ist uns von größter Bedeutung und wird einen signifikanten Einfluss auf die Ergebnisse unserer Studie haben. Wir versichern Ihnen, dass alle Ihre Daten gemäß der Datenschutzgrundverordnung (DSGVO) behandelt und für die Auswertung vollständig anonymisiert werden.

Falls Sie weitere Fragen zur Studie haben, zögern Sie bitte nicht, uns zu kontaktieren. Ihre Meinung und Ihr Feedback sind uns sehr wichtig. Natürlich stehen wir Ihnen auch für allgemeine Fragen zum Thema IT-Outsourcing zur Verfügung oder beraten Sie gerne, falls Sie ein Projekt selbst outsourcen möchten.

Sie erreichen uns einfach über: info@itportal24.de oder auf unserer Website.

Jetzt teilnehmen und die Zukunft des IT-Outsourcings mitgestalten!

WEITERE INFORMATIONEN

Das Karlsruher Unternehmen alfaview hat bei der Europäischen Kommission eine formelle Beschwerde gegen das US-Unternehmen Microsoft wegen Missbrauchs von Marktmacht eingereicht. Die Beschwerde richtet sich gegen die Kopplung von „Microsoft Teams“ (Videokonferenz- und Kollaborations-Tool) mit „Microsoft Office“ (Produktivitätssoftware).

Der Bundesverband IT-Mittelstand e.V. (BITMi) unterstützt diese Beschwerde ausdrücklich. Wir brauchen einen fairen, offenen Wettbewerb, bei dem sich das beste Produkt durchsetzen kann und nicht zwangsläufig das des Anbieters mit der größten Marktmacht. Nur so kann eine Angebotsvielfalt entstehen, die die digitale Abhängigkeit Deutschlands und Europas von amerikanischen Tech-Giganten reduziert.

alfaview bietet eine gleichnamige Software für Videokonferenzen und die Zusammenarbeit in Unternehmen und Institutionen an. Die Software konkurriert mit Microsoft Teams um geschäftliche Kunden, insbesondere im Bereich Bildung und Fortbildung – jedoch nicht auf Basis einer gleichwertigen Wettbewerbssituation: Bereits seit 2017 vertreibt Microsoft seinen Dienst Teams standardmäßig zusammen mit seinem marktbeherrschenden Office Software-Paket (darin enthalten u.a. Word, Excel, Outlook, PowerPoint). Seitdem erhalten nahezu alle Kunden der meistgenutzten Produktivitätssoftware Office automatisch auch den eigenständigen Dienst Teams, ohne hierfür einen separaten Preis zu zahlen oder gefragt zu werden, ob man das Produkt überhaupt nutzen möchte. Teams erlangt durch diesen kombinierten Vertrieb in einem Produktbündel namens „Microsoft 365“ einen einzigartigen und nicht durch Leistung gerechtfertigten Wettbewerbsvorteil, den Konkurrenten wie alfaview nicht ausgleichen können. Hierdurch wird der Wettbewerb auf dem Markt für derartige Kommunikations-Software erheblich und nachhaltig beeinträchtigt, wie sich an der exponentiellen Verbreitung von Teams eindrücklich zeigt. Teams verfügt mittlerweile weltweit über mehr als 300 Millionen monatlich aktive Nutzer und hat damit einen Vorsprung, der ohne kartellbehördliche Intervention nicht mehr eingeholt werden kann.

alfaview strebt ein förmliches Kartellrechtsverfahren gegen Microsoft an, in dem die Missbräuchlichkeit der Integration von Teams in die Microsoft 365-Produktreihe festgestellt und adressiert wird. alfaview stand bereits seit Längerem im Austausch mit der Kommission zu diesem Thema. Anlass für die nunmehrige formale Beschwerde waren die Zusagen, die Microsoft der Europäischen Kommission zur Vermeidung eines formalen Verfahrens unterbreitet hatte und die alfaview als völlig unzureichend ansieht. Mit dem heutigen Schritt möchte alfaview seinen wettbewerblichen Bedenken Nachdruck verleihen und der Wettbewerbsbehörde weitere Informationen zukommen lassen, damit diese zeitnah Maßnahmen gegen Microsoft einleiten kann.

Hintergrund der Beschwerde

Der Softwaregigant Microsoft beherrscht mit seinem Office-Paket den Markt für Produktivitätssoftware. Microsoft hat seinen separaten Dienst Teams in Microsoft 365 integriert, ohne alternativen Anbietern von Video- und Kommunikationslösungen eine ähnliche Integration zu ermöglichen. Damit setzt Microsoft diese beherrschende Stellung auf dem Markt für Produktivitätssoftware als Hebel ein, um Teams einen Reichweiten- und damit Wettbewerbsvorteil auf dem Markt für entsprechende Kommunikationssoftware zu verschaffen. Dieser Wettbewerbsvorteil ist ungerechtfertigt, weil er mit der Leistung oder Qualität von Teams nichts zu tun hat.

alfaview sieht sich angesichts der hohen Verbreitung der Office-Suite im Business- und Education-Bereich in seinen Erfolgschancen gehemmt. Wettbewerbern würde der Erhalt der Marktposition deutlich erschwert, weil jeder Office-Kunde „vermeintlich kostenfrei das Programm Teams mitgeliefert bekommt“, so das Softwareunternehmen alfaview. Die hohen Kosten für Teams finanziere Microsoft über die Office-Anwendungen quer.

Am Markt zeigt sich, dass Unternehmen und Institutionen nicht mehr bereit sind, Budget für eigenständige Videokonferenzprogramme bereitzustellen, weil Teams in den gebuchten Office-Paketen bereits enthalten ist. Unternehmen, Schulen und öffentliche Einrichtungen, die Microsoft 365-Suite lizenziert haben, müssen für die hohen Serverkosten von Teams mit bezahlen – unabhängig davon, ob sie das Programm nutzen wollen oder nicht.

„Durch die Bündelung von Teams mit den anderen Programmen der Microsoft 365-Suite ergibt sich ein multipolarer Vertriebsvorteil für den US-Konzern.“ – Niko Fostiropoulos, Geschäftsführer und Gründer von alfaview

In der Beschwerde von alfaview heißt es: Durch die Kopplung werden wichtige Innovationen aus der Europäischen Union ausgehebelt und jeder Wettbewerb zunichte gemacht. Teams hat nahezu über Nacht dieselbe Reichweite erlangt wie Office, obwohl es für viele Nutzer – insbesondere solche, die großen Wert auf Datenschutz legen – passendere Lösungen wie alfaview gibt.

Kernforderung von alfaview ist die transparente Bepreisung von Teams anhand der realen Kosten. Aus Sicht des Videokonferenzanbieters muss sichergestellt sein, dass für alle Microsoft 365-Produktkonfigurationen äquivalente Buchungsmöglichkeiten ohne Teams für alle Geschäftsbereiche, Zielgruppen und Marktsegmente des Unternehmens angeboten werden. Auch im Rahmen von Marketing und Vertrieb müsse Microsoft sich dazu verpflichten, seine Produkt-Pakete ohne Teams gleichwertig zu bewerben. Ebenso müsse hinsichtlich der Interoperabilität gewährleistet sein, dass Wettbewerbern auch technisch dieselben Möglichkeiten zur Verfügung stehen.

Prof. Dr. Thomas Höppner, Rechtsanwalt und Partner der Kanzlei Hausfeld, die alfaview im Rahmen der Beschwerde vertritt, ergänzt:

„Wir dürfen nicht länger hinnehmen, dass große Tech-Unternehmen wichtigen Innovationen aus Europa den Zugang zu Absatzmärkten erschweren, um ihre eigenen, oft weniger relevanten Angebote vor Wettbewerb zu schützen. Mit alfaview gibt es eine revolutionäre Kommunikations-, Kollaborations- und KI-Technik aus Deutschland – sie sollte auch eine gleichberechtigte Chance haben, Abnehmer zu erreichen und zu überzeugen.“ – Thomas Höppner (Hausfeld)

Die EU-Kommission ist bereits mehrfach gegen Microsoft wegen missbräuchlicher Geschäftspraktiken aktiv geworden. 2004 verhängte die Kommission ein Bußgeld von fast 500 Millionen Euro, weil Microsoft sein marktbeherrschendes PC-Betriebssystem „Windows“ mit dem separaten „Media Player“ technisch gekoppelt hatte. 2009 stellte die Kommission eine gleichartige Kopplung des Browsers „Internet Explorer“ an Microsofts Betriebssystem Windows fest. In diesem Zusammenhang wurde ein weiteres Bußgeld in Höhe von rund 560 Millionen Euro verhängt. Die Untersagung der Koppelungspraktik führte zu einer Wiederbelebung des Wettbewerbs im Bereich der Web-Browser. Das deutsche Bundeskartellamt hatte im März 2023 angekündigt, Microsoft als ein Unternehmen mit überragender marktübergreifender Bedeutung für den Wettbewerb zu bestimmen und damit einer besonderen Missbrauchsaufsicht unterwerfen zu wollen.

Auch vor datenschutzrechtlichem Hintergrund ist die Nutzung von Teams in der Europäischen Union problematisch: Aufgrund eines rechtswidrigen Transfers von Daten in Drittstaaten haben 2022 mehrere Landesdatenschutzbeauftragte Teams in öffentlichen Einrichtungen und Schulen verboten. Durch die technische Kopplung mit Office bezahlen jedoch auch diejenigen Kunden für Teams, die das Programm aufgrund datenschutzrechtlicher Bedenken gar nicht nutzen können oder wollen.

WEITERE INFOMATIONEN

WIESBADEN, 19.07.2023 – Die Bare.ID GmbH, Anbieter der gleichnamigen Authentifizierungslösung mit Single Sign-On (SSO) und Mehr-Faktor-Authentifizierung (MFA) auf dem DACH-Markt, freut sich, die Partnerschaft mit XplicitTrust, dem Anbieter von SaaS VPN der nächsten Generation, bekannt zu geben. Diese Zusammenarbeit bringt zwei innovative Technologien zusammen, um Benutzer:innen ein nahtloses und hochsicheres VPN- und Authentifizierungs-Erlebnis zu bieten. Zudem gewährleisten beide Anbieter digitale Souveränität und Entwicklung, Hosting und Betrieb ausschließlich in und aus Deutschland.

Was ist XplicitTrust?

XplicitTrust ist die SaaS NextGen VPN-Lösung ohne Hardware, die verteilte Ressourcen einfach und sicher zugänglich macht. Dabei setzt XplicitTrust auf ein strenges Zero Trust Modell, eine moderne Verschlüsselung und gewährleistet präzisen Zugang auch für Gäste.

Im Gegensatz zu herkömmlichen VPN-Lösungen, bei denen die Tunnel an der Netzwerkgrenze enden, ermöglichen XplicitTrust-Tunnel eine genaue Kontrolle darüber, wer bestimmte Geräte sehen und sich mit ihnen verbinden kann. Mit Single Sign-On, Multi-Faktor-Authentifizierung und Zugriffskontrollrichtlinien gewährleistet XplicitTrust ein hohes Maß an Sicherheit und Zugriffsmanagement. Darüber hinaus beseitigt es die Komplexität, die mit VPN-Gateways, Firewall-Regeln und unzuverlässigen VPN-Clients verbunden ist. Dabei lagert XplicitTrust Network Access die Prozesse des Single Sign-On und der Mehr-Faktor-Authentifizierung zuverlässig an einen externen Identitätsanbieter aus dem unterstützen Portfolio aus.

Integration

Mit der Integration der SSO-Authentifizierungslösung von Bare.ID führt XplicitTrust einen zuverlässigen und vertrauenswürdigen Identitätsanbieter in sein Netzwerk ein. Als erster in Deutschland ansässiger Anbieter im Portfolio von XplicitTrust ist Bare.ID eine ausgezeichnete Wahl für Benutzer, die sich für ihre SSO- und MFA-Anforderungen nicht auf die üblichen Hyperscaler-Anbieter verlassen wollen und Wert auf digitale Souveränität legen. Die Kooperation der beiden Anbieter erhöht die Sicherheit und den Komfort der VPN-Lösung und bietet den Nutzer:innen ein nahtloses Authentifizierungserlebnis.

Vorteile der Kooperation von Bare.ID und XplicitTrust für beide Anbieter und ihre Benutzer:innen auf einen Blick:

• Erhöhte Sicherheit: Durch die Nutzung der SSO- und MFA-Funktionen von Bare.ID stärkt XplicitTrust die Sicherheit seines VPN-Netzwerks und stellt sicher, dass nur autorisierte Benutzer:innen Verbindungen herstellen können.
• Vereinfachte Benutzererfahrung: Die Benutzer:innen können beim Zugriff auf das VPN-Netzwerk von XplicitTrust über Bare.ID einen optimierten Authentifizierungsprozess nutzen, der auf maximale Benutzerfreundlichkeit ausgerichtet ist.
• Vertrauenswürdiger Identitätsanbieter: Als vertrauenswürdiger, DSGVO-konformer SSO- und MFA-Anbieter unterstützt Bare.ID die Ausrichtung auf digitale Souveräntät von XplicitTrust und ist damit eine attraktive Wahl aus dem Portfolio der externen Identitätsprovider.

Was ist Bare.ID?

Die Bare.ID GmbH, Teil der AOE Group, erbringt kombinierte Service- und Hosting-Dienstleistungen im Identity- und Accessmanagement-Umfeld als SaaS. Zur Integration dieser in die bestehende IT-Landschaft des Kunden bietet Bare.ID zudem Beratung und individuelle Software-Entwicklungsleistungen. Darüber hinaus gehören Aufbau und Betrieb kundenspezifischer OnSite-Lösungen ebenso zum Leistungsportfolio wie ergänzende IT-Security relevante Analysen, Beratung, Schulung und Tests (Security Audits, Penetration-Tests).

Die Authentifizierungslösung Bare.ID ermöglicht zentrales Single Sign-On in der Cloud inklusive vielseitiger, benutzerfreundlicher Mehr-Faktor-Authentifizierung und dynamischer Risikoerkennung. Die SaaS-Lösung nutzt im Kern das etablierte Open Source IAM Framework Keycloak, erweitert um umfangreiche Features und eine eigene Admin-Oberfläche für Transparenz und rollenbasierte Zugriffskontrolle sowie umfangreiche WhiteLabel-Funktionalitäten für kundenspezifisches Branding. Bare.ID bildet dabei standardisiert deutsche Sicherheitsanforderungen ab und kann somit auch in stark regulierten Branchen compliant eingesetzt werden.

Fazit

Zusammenfassend lässt sich sagen, dass die Kooperation zwischen Bare.ID und XplicitTrust modernste Technologien zusammenbringt, um Kunden ein noch besserer Benutzererlebnis zu gewährleisten. Auch Bare.ID integriert XplicitTrust als vorkonfigurierten Anbieter in der eigenen Applikations-Galerie für den Single Sign-On und erhöht somit die Awareness des VPN-Anbieters.

WEITERE INFORMATIONEN

SC-Manager von Simmeth System erfüllt höchste Sicherheitsanforderungen und miniminiert damit Risiken für Anwender

 Nahezu täglich liest man Meldungen über digitale Angriffe und die erheblichen Schäden, die sie teilweise verursacht haben. Nicht umsonst hat das Thema Cyber Security für Unternehmen in den letzten Jahren stetig an Bedeutung gewonnen.

Auch für die Simmeth System GmbH gehört die Sicherheit ihrer IT-Lösungen zum Standardservice für Kunden. Passend dazu hat der IT-Dienstleister jüngst das TÜV-IT Cyber Security Zertifikat „Trusted Application Security“ für seine SaaS-Anwendung SC-Manager erhalten.

Der zertifizierte SC-Manager ermöglicht Kunden von Simmeth einen einfachen globalen Informations-, Daten- und Dokumentenaustausch über die gesamte Lieferkette. Die Steuerung erfolgt über das zentrale Lieferantenmanagement. Lieferanten sind über das Lieferantenportal direkt eingebunden.

Höchste Sicherheit für Kundendaten

„Die Sicherheit von Kundendaten steht für uns an erster Stelle“, beginnt Geschäftsführer Markus Simmeth. „Als Anbieter einer SaaS-Software für das globale Supply Chain Management sehen wir uns deshalb verpflichtet, für höchste Qualität in Bezug auf die Datensicherheit zu sorgen.“ Mit dem TÜV-IT Zertifikat macht die Simmeth System GmbH dieses Bestreben nun auch sichtbar für Kunden.

Simmeth System entwickelt seine Software unter Berücksichtigung modernster Sicherheitsaspekte. Zusätzlich wurde sie von internen und externen Cyber-Security-Experten getestet und strengsten Prüfläufen der TÜV-IT Profis unterzogen. Der IT-Dienstleister kann seinen Kunden damit die Vorteile eines weltweiten, internetbasierten Informationsaustauschs auf einer Plattform bieten – und gleichzeitig die damit einhergehenden Risiken durch maximale Sicherheitsvorkehrungen minimieren.

Regelmäßige Prüfungen sichern Status quo

Neben der Sicherheit der Software wurde auch die Qualität der Softwareentwicklungsprozesse nach den Richtlinien des TÜV-IT geprüft und zertifiziert.

Dieser höchste Standard wird durch jährliche Wiederholungsprüfungen auch in Zukunft gewährleistet. Ebenso arbeitet das Team von Simmeth stetig an der Erweiterung und Verbesserung der Usability.

WEITERE INFORMATIONEN

Wie gestaltet sich der M&A-Markt im IT-Sektor bei Krisen und Konjunkturschwankungen? Sind Investoren vorsichtiger, wirken steigende Zinsen und höhere Risikoprämien bremsend auf die Finanzierung von Transaktionen? Was bedeutet dies speziell für die IT-Branche? Haben Verkäufer mittelständischer IT-Unternehmen nach wie vor eine Chance, in den M&A-Markt einzusteigen? Wir sprachen mit BITMi-Mitglied Ralf Heib, dem Gründer und Geschäftsführer der match.IT GmbH.

Herr Heib, ihr Unternehmen match.IT berät insbesondere mittelständische IT-Unternehmen, die einen Verkauf in Erwägung ziehen. Aktuell herrscht allgemeine Krisenstimmung an den Märkten. Verkäufer befürchten niedrige Preise und Schnäppchenjäger. Manche ziehen sich komplett vom M&A-Markt zurück, in der Hoffnung auf bessere Zeiten. Als M&A-Berater für die Digitalbranche verfolgen Sie das Auf und Ab des Marktes schon seit vielen Jahren und haben sogar während der Corona-Hochphase erfolgreiche Verkäufe eingefädelt. Wie ist ihre Einschätzung der derzeitigen Lage?

Ralf Heib: Die Corona-Krise war noch nicht mal beendet da folgte schon der Ukraine Krieg. Dazu die Klima- und Energiekrise, Rohstoff- und Lieferkettenengpässe, jetzt die Inflation. Mittlerweile kann man also durchaus davon sprechen, dass Krisen das New Normal darstellen und die Menschheit und somit natürlich auch die globalen Märkte einen Umgang damit finden sollten. Der M&A-Markt hat hier schon eine gewisse Robustheit entwickelt und der Einbruch zum Ukraine-Krieg war dann schon nicht mehr ganz so stark wie etwa zu Zeiten der Corona-Hochphase. Wir dürfen speziell für den IT-Bereich nicht vergessen, dass der Megatrend der Digitalisierung nach wie vor ungebrochen ist und immer wieder neue Nachfragetreiber daraus entwachsen, wie zuletzt im Bereich Cybersecurity oder Green IT. Das M&A-Geschehen gerade im IT-Mittelstand ist also nach wie vor vital. Allerdings findet das Käufer/Verkäufer-Verhältnis aktuell zu einer stärkeren Balance zurück. Käufer sondieren ihre Targets wieder genauer als noch zu den Boom-Zeiten in den letzten Jahren. Die Stabilität und die Zukunftsfähigkeit des Geschäftsmodells spielen dabei wieder eine stärkere Rolle – und das beeinflusst dann wiederum auch stark die Phase der Due-Diligence, in der die Investoren das zu verkaufende Unternehmen kritisch unter die Lupe nehmen.

Was raten Sie also mittelständischen Unternehmer*innen, die zu den jetzigen Zeiten einen Verkauf anstreben? Gibt es so etwas wie ein allgemeines Erfolgsrezept, an das sich alle halten können?

Ralf Heib: Wer heutzutage sein IT-Unternehmen erfolgreich verkaufen will, benötigt eine gute Verkaufsstory, beruhend auf einer klaren, zukunftsfähigen Vision, gepaart mit einem realistischen, nachvollziehbaren Business-Plan. Eine M&A-Transaktion hat darüber hinaus immer sehr viel mit konkreten Zahlen zu tun: Verkäufer müssen ihre eigenen Zahlen beherrschen und verstehen, wie sie die Profitabilität ihres Unternehmen gegenüber den Käufern transparent machen. Dazu gehören auch saubere Bilanzen und GuV-Rechnungen.

Ist das nicht immer der Fall?

Ralf Heib: Wir erleben häufig die Situation, dass gerade kleinere Unternehmen sehr steueroptimierend agieren und dann natürlich keine beeindruckende Profitabilität in den Büchern vorweisen können. Hier bedarf es dann guter Argumente gegenüber dem Käufer, am besten mithilfe des Steuerberaters. Es lohnt sich darüber hinaus auch immer, im Vorfeld einer Transaktion soweit es geht aufzuräumen. Einige Mitarbeiter verfügen vielleicht noch über kleinere Anteile, die sich bündeln lassen. Nicht selten ist die Bilanz auch verwildert durch verschiedene Gesellschafterkredite oder Pensionsverpflichtungen. Auch dies sollte idealerweise vorab bereinigt werden. Während einer Transaktion können solche Punkte ansonsten zu langen, unbefriedigenden Diskussionen führen.

Sie meinten, die Story müsse in der heutigen Zeit stimmen. Was genau verstehen Sie darunter?

Ralf Heib: Verkauft wird am Ende immer die Zukunft eines Unternehmens, nicht die Vergangenheit. Deshalb ist es wichtig, die Motivationslage des Verhandlungspartners zu verstehen und die eigene Story daraufhin auszurichten. Im Vorfeld sollte man sich deshalb genau fragen: Wer sitzt mir gegenüber? Was sind dessen Ziele? Wie tickt bspw. ein Private Equity oder ein strategischer Investor? Was erwartet der potentielle Käufer und was nicht?  Dazu zählen auch ganz handfeste Faktoren.

Die da wären?

Ralf Heib: Gerade für kleinere Unternehmen ist es wichtig, den potentiellen Käufern vom Start weg eine überlebensfähige Organisation aufzuzeigen. Überlebensfähig in dem Sinne, dass z.B. ein mittleres Management existiert. Selbstverständlich müssen auch gewisse Standards wie etwa definierte Geschäftsprozesse und etablierte Vertriebsstrukturen gegeben sein. Den Interessenten sollte klar werden, dass die Abläufe auch ohne den Gründer und nach dem Verkauf reibungslos ineinandergreifen.

In jedem M&A-Projekt geht es letztendlich um die Wertermittlung des Unternehmens. Diese Etappe kann vor allem aus Verkäufersicht sehr zermürbend sein. Was raten Sie hier Ihren Klienten?

Ralf Heib: Hier ist zunächst eine gute Vorbereitung gefragt, in dem ich als Eigentümer die Werttreiber meines Unternehmens gut kenne und in meiner Vision und Verkaufsstrategie richtig positioniere. Im Verhandlungsprozess selbst ist vor allem Flexibilität gefragt. Insbesondere, wenn es um Preise oder Earn Outs geht. Bei zu starren oder auch überzogenen Preisvorstellungen rennen Verkäufer häufig gegen Wände. In den aktuellen Krisenzeiten ist es zudem entscheidend, den Such- und Verkaufsprozess strukturiert aufzusetzen und durchzuführen. Verkäufer sollten sich ein klares Bild davon machen, mit welchen Mitteln und in welchem Zeitraum sie den Verkauf realisieren wollen. Ich kann mich in der heutigen Zeit nicht mehr darauf verlassen, dass schon morgen ein Investor an meiner Tür klopft und mir ein lukratives Angebot vorlegt. Deshalb muss man als Verkäufer proaktiv sein und sich die Verkaufschancen selbst erarbeiten, am besten, indem man den M&A-Prozess so gewissenhaft und professionell wie möglich angeht.

Herr Heib, wir bedanken und ganz herzlich für das informative Gespräch!

WEITERE INFORMATIONEN

Als Geschäftsführer müssen Sie neben dem operativen Erfolg stets ein komplexes Pflichtengerüst im Auge behalten. Ein umfassendes Haftungsmanagement sichert den Unternehmenserfolg und minimiert gleichzeitig Ihre persönlichen Haftungsrisiken. Denn diese bestehen nicht nur im Hinblick auf steuer- oder sozialrechtliche Vorgaben, sondern auch im Bereich des Datenschutzes.

Nicht nur bei vorsätzlichen, sondern auch bei fahrlässigen Pflichtverletzungen und rechtswidrigen Handlungen muss am Ende einer den Kopf hinhalten – das ist im Straßenverkehr so, und das ist in der Unternehmensführung nicht anders. Wer sich als Autofahrer an die Verkehrsregeln hält und regelmäßig die Bremsen, Reifen und Beleuchtung überprüft, ist normalerweise auf der sicheren Seite. Im Vergleich gehört die Berücksichtigung der gesetzlichen Vorschriften zu den Pflichtaufgaben des Managements. Viele Unternehmen arbeiten daher nach regelmäßig aktualisierten Compliance-Regeln und nutzen ein internes Überwachungssystem zur Einhaltung aller gesetzlichen Vorschriften. Ein solches Haftungsmanagement ist ein zentraler Bestandteil des Unternehmenserfolgs und reduziert zugleich persönliche Haftungsrisiken der Geschäftsführung.

Auch das gilt beim Datenschutz wie beim Autofahren: Solange nichts passiert, interessieren sich die Behörden so gut wie nie dafür, welche Vorsichtsmaßnahmen Sie treffen. Kommt es aber zu Datendiebstahl oder -missbrauch, dann wollen sie es ganz genau wissen. Wie konnte es zu diesem Data Breach kommen? Hat Ihr Unternehmen wirklich alle erforderlichen technischen und organisatorischen Maßnahmen (kurz TOM genannt) gemäß DSGVO identifiziert und umgesetzt? Und wie sehen diese genau aus? Wer dann nicht die passenden Antworten und Nachweise liefert, riskiert im Fall der Fälle Schadensersatzansprüche gemäß Art. 82 DSGVO sowie Bußgelder gemäß Art. 83 DSGVO. Und: Geschäftsführer haften auch hier für ihr „Tun und Unterlassen“.

Wer für den Datenschutz im Unternehmen verantwortlich ist …

Grundsätzlich haftet für etwaige Rechtsfolgen der Verantwortliche der Datenverarbeitung im Sinne der DSGVO. „Verantwortlicher“ ist die „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Abs. 7 DSGVO). Mit anderen Worten: Verantwortlicher im Sinne der DSGVO ist zunächst einmal das Unternehmen selbst. Wer innerhalb des Unternehmens die Schuld für den Verstoß trägt, ist im Außenverhältnis unerheblich. Als Geschäftsführer müssen Sie bei Datenschutzverstößen aber unter Umständen trotzdem in die eigene Tasche greifen.

Im Straßenverkehr haften bei einem Unfall Halter und Fahrer oft gesamtschuldnerisch. Ähnlich sehen es Juristen inzwischen auch beim Datenschutz. So hat der Europäische Gerichtshof bereits im Jahr 2018 einige grundlegende Kriterien festgelegt, wann auch der Geschäftsführer als Verantwortlicher anzusehen ist (Aktenzeichen C-25/17). Die Voraussetzungen:

• Er profitiert von der Datenverarbeitung.
• Er veranlasst oder duldet die Datenverarbeitung.

Dabei ist es völlig unerheblich, ob der Geschäftsführer Zugriff auf die Daten hatte oder sie selbst verarbeitet hat.

Mit einer Entscheidung des Oberlandesgerichts Dresden vom November 2021 hat sich das persönliche Haftungsrisiko für Geschäftsführer weiter erhöht. In einem Schadensersatzprozess (Aktenzeichen 4 U 1158/21) widersprach das Gericht der Auffassung, dass die Datenschutz-Grundverordnung eine persönliche Haftung ausschließe. Demnach sind Geschäftsführer eigene datenschutzrechtlich Verantwortliche im Sinne der DSGVO. Und damit haften sie bei einer rechtswidrigen Datenverarbeitung auch persönlich gegenüber Dritten. Eine solche Haftungserweiterung für Geschäftsführer ist zwar umstritten, aber durchaus konsequent. Schließlich haften Sie bei Pflichtverletzungen auch in anderen Fällen persönlich für etwaige Schäden (§ 43 GmbHG und § 93 Abs. 2 AktG). Warum sollte dies beim Datenschutz anders sein?

Warum regelmäßige Datenschutz-Audits unverzichtbar sind …

Die Datenschutz-Grundverordnung und die Neufassung des deutschen Bundesdatenschutzgesetzes (BDSG) sind noch relativ jung. Beide Gesetze konkretisiert die Rechtsprechung nun nach und nach. Wer sich vor unangenehmen Nachfragen, Sanktionen oder persönlichen Haftungsrisiken schützen will, muss im Grunde nur seine Pflichten gewissenhaft erfüllen. Doch das ist meist schwieriger, als man denkt:

• Wie verschaffen Sie sich als Geschäftsführer überhaupt einen Überblick über den aktuellen Datenschutz-Status Ihres Unternehmens?
• Wie stellen Sie angesichts dessen, dass sich der Stand der Technik fortlaufend ändert, sicher, dass Ihre Maßnahmen hinreichend sind?
• Und schließlich: Welche Investitionen in die IT-Technik oder Anpassungen von Software verbessern den vorhandenen Datenschutz-Status des Unternehmens wirklich?

Wünschenswert wäre sicher – ähnlich wie beim Auto – eine regelmäßige Hauptuntersuchung mit anschließender TÜV-Plakette. Die DSGVO sieht jedoch keine Verpflichtung zu regelmäßigen risikoorientierten Audits mit einer systematischen Bewertung des Datenschutzniveaus vor. Allerdings besteht gemäß Art. 24 Abs. 1 Satz 1 DSGVO und konkreter Art. 24 Abs. 1 Satz 2 die Pflicht zur regelmäßigen Kontrolle und Aktualisierung der technischen und organisatorischen Maßnahmen (TOM).

Sie brauchen also keinen TÜV, müssen aber in Sachen Datenschutz stets sicher unterwegs sein. Kommt es dann doch einmal zu einer „Verkehrskontrolle“, besteht für die Verantwortlichen im Sinne der DSGVO nach Art. 5 Abs. 2 zudem eine Nachweis- und Rechenschaftspflicht („Accountability“). Bleibt auf die „freundliche Anfrage“ der Aufsichtsbehörde eine angemessene und valide Stellungnahme aus, drohen zeit- und personalaufwendige Untersuchungen vor Ort. Und diese fördern im schlimmsten Fall weitere Datenschutzverstöße zutage.

Die Devise lautet folglich: Vorsorgen und gewappnet sein für den Fall der Fälle. Auch wenn Datenschutz-Audits gesetzlich nicht verankert sind, ist eine regelmäßige, systematische Prüfung und Bewertung aller Verarbeitungsprozesse und Schutzmaßnahmen allein zur Erfüllung der umfangreichen DSGVO-Pflichten nötig. Neben technischem und organisatorischem Sachverstand sind dafür auch beste Kenntnisse der rechtlichen Anforderungen erforderlich. Während große Konzerne über eigene Audit-Teams verfügen, sind IT-Verantwortliche in kleinen und mittleren Unternehmen damit aber meist hoffnungslos überfordert und Datenschutz-Audits durch Experten vor Ort oft unbezahlbar.

Wie eine Prüfung des Datenschutz-Status ohne Vor-Ort-Audit funktioniert …

Letztlich geht es darum, Datenschutz durch ein aktives Haftungsmanagement messbar und nachweisbar zu machen. Mit privASSIST stellt die IITR Cert GmbH hierfür ein webbasiertes Fernanalyse-Tool zur Verfügung, das ohne aufwendige Vor-Ort-Audits auskommt und Unternehmen eine belastbare Analyse der Ist-Situation ermöglicht. Gleichzeitig erfüllt das Datenschutz-Audit-Werkzeug die gesetzlich geforderten Nachweispflichten und sorgt durch die Dokumentation aller datenschutzrechtlich erforderlichen Maßnahmen für eine Entlastung der Geschäftsführung.

Die modular aufgebaute Online-Plattform führt den Nutzer durch einen einfach zu bedienenden Fragenkatalog und ermöglicht eine punktuelle Überprüfung für mehr als 17 Datenschutzbereiche. So können Unternehmen das Tool auch in Teilbereichen einsetzen und anhand von Konformitätsbewertungen und der CPS-Prüfstandards (Certified Privacy Standard) beispielsweise gezielt das Datenschutzniveau ihrer Online-Auftritte analysieren (CPS 031), die DSGVO-konforme Verarbeitung von Beschäftigtendaten überprüfen (CPS 021) oder den Status aller datenschutzrechtlich erforderlichen Maßnahmen für Telearbeit und mobile Arbeitsplätze ermitteln (CPS 071).

Schummeln wie vielleicht bei der theoretischen Führerscheinprüfung ist hier wenig sinnvoll, aber auch kaum möglich. Das System verhindert das nachträgliche Korrigieren oder Sichten bereits bearbeiteter Fragen, erkennt Unstimmigkeiten bei der Beantwortung durch eine automatisierte Plausibilitätsprüfung und zieht gegebenenfalls Vergleiche mit früheren Erhebungen. Zudem prüft privASSIST die Vollständigkeit aller Angaben und fordert gegebenenfalls notwendige Nachweise an. Und im Gegensatz zur Führerscheinprüfung können Sie die Bearbeitung natürlich jederzeit unterbrechen und zu einem späteren Zeitpunkt fortsetzen.

Nachdem Sie alle Fragen beantwortet und die Richtigkeit Ihrer Antworten bestätigt haben, erfolgt eine Prüfung aller Angaben und Nachweise durch die IITR Cert GmbH. Anschließend erhalten Sie zunächst einen Berichtsentwurf und nach einer Korrekturschleife, in der sich letzte Unstimmigkeiten oder Missverständnisse klären lassen, den endgültigen Audit-Bericht mit belastbaren Aussagen zur datenschutzrechtlichen Situation Ihres Unternehmens. Dieser Bericht enthält

• eine revisionssichere Dokumentation aller Antworten und Nachweise des untersuchten Bereiches,
• Grafiken zur vergleichenden Einordnung des aktuellen Datenschutz-Status und als Grundlage für ein späteres Benchmarking sowie
• eine schriftliche Zusammenfassung mit Erläuterungen und Empfehlungen.

Der abschließende Audit-Bericht kann auch als Vorbereitung für einen Konformitätsnachweis nach Art. 42 DSGVO dienen oder für eine strukturierte Informationsbeschaffung in Anlehnung an den Prüfungsstandard IDW PH 9.860.1 im Rahmen einer Wirtschaftsprüfung genutzt werden.

Fazit

Neben einer Vielzahl von Pflichten für Unternehmen ergeben sich aus der Datenschutz-Grundverordnung und der Neufassung des Bundesdatenschutzgesetzes auch neue persönliche Haftungsrisiken für Geschäftsführer. Gleichzeitig steigen durch Ransomware, Malware und Phishing sowie den Trend zu Remote Work („Fernarbeit“) die Gefahren von Datenpannen mit unangenehmen Nachfragen der Aufsichtsbehörden. Auch wenn der Gesetzgeber regelmäßige Datenschutzaudits nicht vorschreibt, sind diese grundsätzlich notwendig, um die technischen und organisatorischen Maßnahmen gemäß DSGVO regelmäßig zu überprüfen und zu aktualisieren sowie der Nachweis- und Rechenschaftspflicht nachzukommen. Kurzum: Datenschutz muss messbar und jederzeit nachweisbar sein.

Zum aktiven Haftungsmanagement eines Unternehmens gehört daher auch die freiwillige und regelmäßige Überprüfung der Datenschutzkonformität. Ein solches Datenschutz-Audit minimiert Unternehmensrisiken und entlastet die Geschäftsführung. Mit privASSIST bietet die IITR Cert GmbH kleinen und mittleren Unternehmen, die sich keine eigenen Audit-Teams oder teure Vor-Ort-Audits durch externe Experten leisten können, ein ausgereiftes Audit-Tool für eine belastbare Ist-Analyse. Zu Preisen zwischen 225 und 1800 Euro pro Auditbereich erfüllt privASSIST die gesetzlich geforderten Nachweispflichten und sorgt gleichzeitig für mehr Transparenz, sodass Sie bestehende Betriebsabläufe durch eine langfristige Datenschutzstrategie umgestalten und optimieren können.

AUDIT UND ZERTIFIZIERUNG

EXTERNER DATENSCHUTZBEAUFTRAGTER