Herr Schultze-Melling, Sie haben börsennotierte Unternehmen bei der Restrukturierung Ihrer Informationstechnik (IT) nach einem Zusammenschluss beraten. Was müssen die Fusionspartner tun, um die gewünschten Synergien zu erzielen, Kosten zu senken und dabei Haftungs- und Kursrisiken zu vermeiden?Überblick gewinnen und Schadenspotenziale erkennen, lautet die Devise. Noch vor der Fusion sollten sich die Verantwortlichen einen Überblick über die IT-Landschaften beider Unternehmen verschaffen. Ansonsten drohen Verluste bei der Integration der Daten, die ja oft im laufenden Betrieb erfolgen muss. Zusammenbrüche von Systemen und unrettbare Datenverluste sind bei Fusionen von Unternehmen leider gar nicht selten. Auch wenn sie selten an die Öffentlichkeit dringen. – Was sind die Konsequenzen?Jeder Schadensfall birgt das Risiko einer persönlichen Haftung der Vorstände nach § 93 Abs. 2 Aktiengesetz. Nach internationalen Standards muss zudem die Integrität und Authentizität der Finanzdaten Gegenstand des Prüfberichts sein – und Wirtschaftsprüfer reagieren schon wegen der 8. EU-Richtlinie, in Insiderkreisen EuroSOX genannt, allergisch auf fehlende oder fragmentierte Daten. Wegen Basel II kann mangelhafte Datensicherheit zu Herabstufungen im Rating führen, und Sarbanes-Oxley droht Managern von Unternehmen mit US-amerikanischer Börsennotierung sogar Gefängnisstrafen an. – Ist eine IT-Bestandsaufnahme nicht im Bericht über die Due Diligence enthalten?Zum Teil schon. Allerdings führt der Bericht meist nur die Assets auf, also den Bestand an Software, Hardware und Netzwerken und natürlich deren Wert, der ja den Kaufpreis des Unternehmens mitbestimmt. Die IT-Verantwortlichen brauchen auch Dinge wie eine aktuelle Liste mit laufenden IT-Projekten sowie aller externen Service-Provider und der dazugehörigen Service Level Agreements. Auch Netzwerkstrukturen und Storage-Konzepte findet man in Due-Diligence-Berichten selten. – Wie hängen diese strategischen und betriebswirtschaftlichen Fragen mit rechtlichen zusammen?Den allermeisten technischen Entscheidungen liegen rechtliche Vorfragen zugrunde. Vor einer Restrukturierung muss etwa geklärt werden, wie man mit den bestehenden Verträgen umgeht. Inwieweit kann der neue Unternehmensteil Vertragspartner für Service-Provider, Lieferanten und Lizenzgeber bleiben? Wo tritt die neue Gesellschaft ein? Die für die Übertragbarkeit der Verträge entscheidenden Bestimmungen und die sogenannten Change-of-Control-Klauseln sollten deshalb sorgfältig geprüft werden. Insbesondere Letztere können zu bösen Überraschungen führen. Andererseits: Wenn Softwarelizenz-, Outsourcing- oder Wartungsverträge im neuen Unternehmen nicht mehr gebraucht werden, müssen sie gekündigt und abgewickelt werden. Anders lassen sich die gewünschten Synergien der Fusion nicht erzielen. – Welchen Beitrag kann das IT-Asset-Management leisten?Das Unternehmen sollte auf jeden Fall ein zentrales Software-Asset-Management einrichten. Bei der Erfassung der vorhandenen Lizenzen bemerkt man meist, dass viele überflüssig geworden sind. Die können dann entweder mit etwas Geschick zurückgegeben oder vielleicht weiterverkauft werden, sofern die Vereinbarungen mit dem Lizenzgeber das zulassen und man einige juristische Kunstgriffe vollführt. Doch Vorsicht: Lizenz ist nicht gleich Lizenz! Manchen Unternehmen wurde zum Beispiel Software für Bildungseinrichtungen verkauft, deren kommerzielle Nutzung unzulässig ist. – Wie gelangt man letztlich zu einer einheitlichen und rechtssicheren IT-Governance? Die Vorschriften für IT-Compliance sind kaum zu überblicken. Entsprechend anspruchsvoll ist das IT-Risiko-Management. Konzernübergreifende Themen wie Datenschutz und IT-Sicherheit müssen mit gesetzlichen Vorgaben des KonTraG und im Extremfall sogar mit US-Vorschriften wie Sarbanes-Oxley, HIPAA (Health Insurance Portability Insurance Portability and Accountability Act), Tread Act (Rückrufverbesserungs-, Haftungs- und Dokumentationsgesetz für das Transportwesen) oder DoD 5015.2 (Spezifikation des US-Verteidigungsministeriums) unter einen Hut gebracht werden. Die gängigen Iso-Standards zum Information-Security-Management bieten dafür zumindest einen Rahmen. Eine rechtlich saubere Beauftragung und sorgfältige Kontrolle vor allem externer Dienstleister ist aber für eine effektive Haftungsdelegation unerlässlich. Bei der IT-Governance gilt: Kleine Nachlässigkeiten können große Wirkung haben, vor allem in der Hektik der Fusion. – Dr. Jyn Schultze-Melling LL.M. ist Rechtsanwalt im Münchner Büro der internationalen Partnerschaft Nörr Stiefenhofer Lutz und unter anderem Dozent für IT-Recht an der Deutschen Anwaltakademie.Die Fragen stellte Walther Becker.