Was muss ein IT-Servicevertrag in Österreich mindestens enthalten?

Ein rechtssicherer IT-Servicevertrag in Österreich muss nach ABGB und DSGVO folgende Mindestinhalte enthalten: (1) Vollständige Parteienbezeichnung (Firma, FN, UID, Anschrift, Vertreter). (2) Präziser Service-Katalog: Welche IT-Services sind inkludiert? Helpdesk, Remote-Support, Vor-Ort, Netzwerk, Cloud, Backup, Security? In-Scope vs. Out-of-Scope klar abgrenzen. (3) Service Level Agreement (SLA): Reaktions- und Lösungszeiten nach Prioritätsstufen; Verfügbarkeitsgarantien; Service-Credits bei Unterschreitung; Reporting-Pflichten. (4) Vergütung: Monatspauschale oder Stundensatz; Zahlungsintervall; Verzugszinsen nach §456 UGB (9,2% über EZB-Basiszinssatz im B2B). (5) Datenschutz: AVV nach DSGVO Art. 28 (zwingend bei Datenverarbeitung); Verarbeitungsort; Sub-Auftragsverarbeiter; TOMs; Löschpflicht nach Vertragsende. (6) Geheimhaltung: Vertraulichkeit aller Systemdaten und Unternehmensinformationen nach GeschGehG. (7) Laufzeit, Kündigung und Exit-Regelung: Transition-Assistance; Systemdokumentation; Datenlöschung. (8) Haftung: SLA-Credits; Haftungsobergrenze; Ausschluss höherer Gewalt. (9) Anwendbares Recht (österreichisches Recht) und Gerichtsstand (z.B. HG Wien für B2B-Streitigkeiten).

Wann ist ein IT-Dienstleister als Auftragsverarbeiter nach DSGVO einzustufen?

Ein IT-Dienstleister ist nach DSGVO Art. 4 Z 8 Auftragsverarbeiter, wenn er personenbezogene Daten im Auftrag des Kunden (Verantwortlichen) verarbeitet. Personenbezogene Daten sind nach DSGVO Art. 4 Z 1 alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen: Namen, E-Mail-Adressen, IP-Adressen, Mitarbeiterdaten, Kundendaten, Login-Daten. In der IT-Servicepraxis ist die Auftragsverarbeitereigenschaft fast immer gegeben: Server-Administration enthält Zugriff auf Mitarbeiter-E-Mails und -Dateien; Active-Directory-Verwaltung umfasst Mitarbeiterdaten; Backup-Systeme speichern personenbezogene Daten; Helpdesk-Systeme protokollieren Nutzerprobleme mit personenbezogenem Kontext; Cloud-Service-Management enthält Zugang zu Kundendaten. Die Abgrenzung vom selbständigen Verantwortlichen (Controller): Ein IT-Dienstleister wird zum selbständigen Verantwortlichen, wenn er Daten für eigene Zwecke verarbeitet (z.B. Nutzung der Kundendaten für eigene Marketingzwecke). In diesem Fall besteht kein AVV-Verhältnis, sondern eine eigenständige Verantwortlichkeit.

Was sind SLA-Credits und wie werden sie im österreichischen Recht behandelt?

SLA-Credits (auch Service-Credits oder SLA-Pönalen genannt) sind vertraglich vereinbarte Vergütungsabzüge für den Fall, dass der IT-Dienstleister die vereinbarten Service Level Agreements nicht einhält. Beispiel: Wird die vereinbarte Verfügbarkeit von 99,5% unterschritten, erhält der Auftraggeber eine Gutschrift von 5% der Monatspauschale pro Stunde Downtime, maximal 30% der Monatspauschale. Nach österreichischem Recht sind SLA-Credits als pauschalierter Schadenersatz oder Konventionalstrafe nach ABGB §§1336–1337 einzuordnen. Als Konventionalstrafe können Gerichte die Höhe auf Antrag des Schuldners mäßigen (§1336 Abs. 2 ABGB — richterliches Mäßigungsrecht), wenn die vereinbarte Pönale unverhältnismäßig hoch ist. Im B2B-Bereich ist das Mäßigungsrecht nach OGH-Rechtsprechung (OGH 9 Ob 40/14p) eingeschränkt — Parteien mit vergleichbarer Verhandlungsmacht können auf das Mäßigungsrecht verzichten. Wichtig: SLA-Credits sollten vertraglich als erschöpfender Rechtsbehelf (sole remedy) für SLA-Unterschreitungen vereinbart werden; andernfalls kann der Auftraggeber zusätzlich allgemeinen Schadenersatz nach §§1295 ff. ABGB geltend machen.

Wie haftet ein IT-Dienstleister für Datenpannen in Österreich?

Die Haftung eines IT-Dienstleisters für Datenpannen (Data Breaches) in Österreich ergibt sich aus mehreren Rechtsgrundlagen: (1) Vertragliche Haftung (ABGB §1295): Der IT-Dienstleister haftet dem Auftraggeber für Schäden durch Datenpannen, die auf schuldhafte Verletzung der IT-Sicherheitspflichten zurückzuführen sind (unzureichende Sicherheitsmaßnahmen nach DSGVO Art. 32, fehlende Verschlüsselung, mangelhafte Zugangskontrolle). Die Haftungsobergrenze kann vertraglich auf einen Jahresbetrag der Servicepauschale begrenzt werden. (2) DSGVO-Haftung (Art. 82 DSGVO): Betroffene Personen, deren Daten durch die Datenpanne kompromittiert wurden, können direkt Schadenersatz gegen den Auftragsverarbeiter (IT-Dienstleister) geltend machen, wenn die Datenpanne auf eine Pflichtverletzung des Auftragsverarbeiters zurückzuführen ist. Die vertragliche Haftungsbegrenzung entfaltet keine Wirkung gegenüber betroffenen Personen. (3) Meldepflichten: Der IT-Dienstleister muss den Auftraggeber (Verantwortlichen) unverzüglich (binnen 24 Stunden, um die 72-Stunden-Meldepflicht an die DSB nach DSGVO Art. 33 einhalten zu können) über entdeckte Datenpannen informieren. Unterlässt er dies, haftet er für durch die verspätete Meldung entstandene Schäden.

Was ist die Exit-Regelung im IT-Servicevertrag und warum ist sie wichtig?

Die Exit-Regelung (auch Transition- oder Beendigungsklausel) im IT-Servicevertrag regelt, was bei Vertragsende passiert — sei es durch ordentliche Kündigung, außerordentliche Kündigung oder Auslaufen bei befristeten Verträgen. Warum ist sie so wichtig? Ohne Exit-Regelung hält der IT-Dienstleister nach Vertragsende möglicherweise Systempasswörter, Konfigurationsdaten, Netzwerkdokumentation, Lizenzdaten und Kundendaten zurück — entweder aus Versehen oder als Druckmittel. Ein Wechsel des IT-Providers wird dadurch verzögert oder unmöglich gemacht, was zu erheblichen Betriebsunterbrechungen führt. Inhalt einer vollständigen Exit-Regelung: (1) Transition-Assistance: IT-Dienstleister verpflichtet sich für einen definierten Zeitraum (z.B. 90 Tage nach Kündigung) zur Unterstützung des Übergangs; keine einseitige Leistungseinstellung. (2) Dokumentations-Übergabe: Vollständige Netzwerktopologie, Server-Konfigurationen, Passwörter, Lizenzschlüssel, Backup-Konzept. (3) Datenlöschung: Alle Kundendaten aus Systemen des IT-Dienstleisters binnen 30 Tagen gelöscht; schriftliche Löschbestätigung nach DSGVO Art. 28 Abs. 3 lit. g. (4) Finale Abrechnung: Vergütung für die Transition-Period; Rückgabe von Hardware. (5) Verbot der Datenzurückbehaltung: Explizites Verbot, Kundendaten als Sicherheit für ausstehende Forderungen zu verwenden.

Welche Kündigungsfristen gelten für IT-Serviceverträge in Österreich?

Für IT-Serviceverträge sieht das österreichische ABGB keine speziellen gesetzlichen Kündigungsfristen vor — die Kündigung richtet sich nach der vertraglichen Vereinbarung. In der Praxis sind folgende Regelungen üblich: Für laufende Managed-Service-Verträge: 3 Monate zum Quartalsende (bei Mindestlaufzeit 24 Monate); für einfache Supportverträge ohne Mindestlaufzeit: 4 Wochen zum Monatsende; für projektbezogene IT-Serviceverträge: kein Kündigungsrecht vor Projektabschluss, außer aus wichtigem Grund. Außerordentliche Kündigung aus wichtigem Grund (§1118 ABGB analog) ist sofort möglich bei: nachhaltigem Unterschreiten der vereinbarten SLAs trotz Nachfrist; schwerwiegender DSGVO-Verletzung (z.B. nicht gemeldete Datenpanne); Insolvenz des IT-Dienstleisters; unberechtigter Weitergabe von Unternehmensgeheimnissen. Wichtig für Exit: Die ordentliche Kündigungsfrist sollte so gestaltet sein, dass sie ausreicht, um einen neuen IT-Dienstleister zu finden und die Übergabe zu organisieren (mindestens 3 Monate). Bei einer zu kurzen Kündigungsfrist entsteht ein faktischer Lock-in.

Muss ein IT-Servicevertrag in Österreich schriftlich abgeschlossen werden?

Nach dem österreichischen Grundsatz der Formfreiheit (ABGB §883) sind IT-Serviceverträge grundsätzlich auch mündlich wirksam. In der Praxis ist die Schriftform jedoch aus mehreren Gründen unverzichtbar: (1) Beweis der SLAs: Ohne schriftlichen Vertrag ist im Streitfall unklar, welche Reaktionszeiten und Verfügbarkeitsgarantien vereinbart wurden. (2) DSGVO-AVV: Die Auftragsverarbeitungsvereinbarung nach DSGVO Art. 28 muss schriftlich oder in einem gleichwertigen elektronischen Format abgefasst sein (DSGVO Art. 28 Abs. 9). Ohne schriftliche AVV ist die Auftragsverarbeitung nicht DSGVO-konform — unabhängig davon, ob der IT-Dienstleister tatsächlich sorgfältig mit Daten umgeht. (3) Geheimhaltungspflichten: Das GeschGehG (BGBl I Nr. 176/2018) schützt Geschäftsgeheimnisse wirksamer, wenn eine schriftliche Geheimhaltungsvereinbarung existiert. (4) Steuerrecht: Die ordnungsgemäße Buchführung nach §212 UGB erfordert schriftliche Belege für Geschäftsvorfälle. (5) Haftungsabgrenzung: Nur ein schriftlicher Vertrag mit klaren Haftungsbegrenzungen schützt den IT-Dienstleister vor unbegrenzten Schadensersatzansprüchen nach §1295 ABGB.

IT-Servicevertrag Österreich

ABGB §§1151–1164; DSGVO Art. 28; DSG

IT-SERVICEVERTRAG (MANAGED SERVICES AGREEMENT)

gemäß ABGB §§1151–1164; DSGVO Art. 28; DSG (BGBl I Nr. 165/1999 idF 2018)

1. VERTRAGSPARTEIEN

Dieser IT-Servicevertrag (im Folgenden „Vertrag“) wird abgeschlossen zwischen:

IT-DIENSTLEISTER (Provider): [IT-Dienstleister Name] Firmenbuchnummer: [IT-Dienstleister FN] UID-Nummer: [IT-Dienstleister UID] Geschäftsanschrift: [IT-Dienstleister Adresse] Vertreten durch: [IT-Dienstleister Vertreter]

AUFTRAGGEBER (Kunde): [Auftraggeber Name] Firmenbuchnummer: [Auftraggeber FN] UID-Nummer: [Auftraggeber UID] Geschäftsanschrift: [Auftraggeber Adresse] IT-Ansprechpartner: [IT-Ansprechpartner]

2. IT-LEISTUNGSKATALOG (SERVICE-KATALOG)

2.1

Inkludierte IT-Services (In-Scope): [IT-Servicekatalog]

2.2

Nicht inkludierte Leistungen (Out-of-Scope): [Out-of-Scope] Zusatzleistungen werden nach dem vereinbarten Stundensatz gesondert verrechnet.

3. SERVICE LEVEL AGREEMENT (SLA)

3.1

Verfügbarkeitsgarantie: Der IT-Dienstleister garantiert eine monatliche Verfügbarkeit der IT-Infrastruktur von [Verfügbarkeitsgarantie]% (Messzeitraum: Kalendermonat, 24/7).

3.2

Reaktionszeiten: • Priority 1 (Totalausfall / Business-kritischer Ausfall): Reaktion binnen [P1-Reaktionszeit] • Priority 2 (Wesentliche Beeinträchtigung, Kernprozesse eingeschränkt): Reaktion binnen 4 Stunden (Werktage) • Priority 3 (Einzelne Funktionsstörung, Workaround möglich): Reaktion binnen 1 Werktag

3.3

Service-Credits bei SLA-Unterschreitung: [Service-Credits] Service-Credits sind als pauschalierter Schadenersatz (Konventionalstrafe §1336 ABGB) zu verstehen und gelten als ausschließliche Rechtsbehelf für Verfügbarkeitsunterschreitungen.

4. VERGÜTUNG UND ZAHLUNGSBEDINGUNGEN

4.1

Monatliche Servicepauschale: € [Monatspauschale] zzgl. 20% USt nach UStG 1994 §1, fällig jeweils am Ersten des Kalendermonats.

4.2

Stundensatz für Zusatzleistungen (Out-of-Scope): € [Stundensatz] pro Stunde zzgl. 20% USt, zuzüglich allfälliger Fahrt- und Reisekosten nach tatsächlichem Aufwand.

4.3

Zahlungsverzug: Im B2B-Bereich gelten nach §456 UGB Verzugszinsen von 9,2 Prozentpunkten über dem Basiszinssatz der Österreichischen Nationalbank (OeNB). Der IT-Dienstleister behält sich das Leistungsverweigerungsrecht nach §1052 ABGB bei mehr als 30 Tagen Zahlungsverzug vor.

5. DATENSCHUTZ UND AUFTRAGSVERARBEITUNG (DSGVO ART. 28)

5.1

DSGVO-Regelung: [DSGVO-Regelung]

5.2

Der IT-Dienstleister handelt als Auftragsverarbeiter nach DSGVO Art. 4 Z 8 und verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Pflichten des IT-Dienstleisters: Vertraulichkeit aller Mitarbeiter (Verpflichtungserklärungen vorhanden); technische und organisatorische Maßnahmen (TOMs) nach DSGVO Art. 32; Meldung von Datenpannen an den Auftraggeber binnen 24 Stunden (DSGVO Art. 33; §22a DSG); keine Sub-Auftragsverarbeiter ohne Genehmigung des Auftraggebers; Unterstützung bei Betroffenenrechten (DSGVO Art. 12–22); Löschung aller Kundendaten binnen 30 Tagen nach Vertragsende.

5.3

Geheimhaltung (GeschGehG BGBl I Nr. 176/2018): Der IT-Dienstleister behandelt alle Informationen über IT-Infrastruktur, Systempasswörter, Konfigurationen, Geschäftsprozesse und Kundendaten streng vertraulich — während und nach Vertragsende (Geheimhaltungsdauer: 5 Jahre nach Vertragsende).

6. LAUFZEIT, KÜNDIGUNG UND EXIT-REGELUNG

6.1

Mindestlaufzeit: [Mindestlaufzeit] Monate ab Vertragsbeginn. Nach Ablauf der Mindestlaufzeit kann der Vertrag mit einer Frist von [Kündigungsfrist] ordentlich gekündigt werden. Außerordentliche Kündigung aus wichtigem Grund (nachhaltige SLA-Unterschreitung, DSGVO-Verstoß, Insolvenz) ist jederzeit sofort möglich.

6.2

Transition-Assistance (Exit-Regelung): Nach Kündigung stellt der IT-Dienstleister [Transition-Assistance] Transition-Assistance zur Verfügung. In diesem Zeitraum: vollständige Übergabe aller Systemdokumentationen, Netzwerkpläne, Passwörter und Konfigurationsdateien; Unterstützung bei der Einarbeitung des Nachfolge-Providers; keine einseitige Leistungseinstellung.

6.3

Datenlöschung bei Vertragsende: Alle personenbezogenen Daten und Konfigurationsdaten des Auftraggebers werden vom IT-Dienstleister binnen 30 Tagen nach Vertragsende unwiderruflich gelöscht. Schriftliche Löschbestätigung nach DSGVO Art. 28 Abs. 3 lit. g wird dem Auftraggeber ausgestellt.

7. HAFTUNG UND SCHLUSSBESTIMMUNGEN

7.1

Haftung des IT-Dienstleisters: Für Schäden aus schuldhaft mangelhafter Leistungserbringung nach §1299 ABGB (Sorgfalt eines ordentlichen IT-Fachmanns). Haftungsobergrenze für leichte Fahrlässigkeit: 12 Monatspauschalen. Ausschluss der Haftung für Datenverlust durch unzureichende Kundenmitwirkung beim Backup. Haftung für grobe Fahrlässigkeit und Vorsatz ist unbeschränkt (§879 ABGB).

7.2

Anwendbares Recht: Österreich (ABGB; DSGVO; DSG). Gerichtsstand: Wien (HG Wien für B2B-Handelssachen; Bezirksgericht für Streitwerte bis €15.000). Salvatorische Klausel nach §916 ABGB.

Abgeschlossen am: _______________

IT-Dienstleister / Vertretungsberechtigte Person

________________

Signature

Auftraggeber (Kunde) / Vertretungsberechtigte Person

________________

Signature

Betreut von Vladislav Sergienko, Gründer·Vorlage zuletzt geändert: 2026-06-23·Fehler melden

Was ist IT-Servicevertrag Österreich?

Der IT-Servicevertrag ist ein nach ABGB §§1151–1164 (Dienstvertrag); DSG (BGBl I Nr. 165/1999 idF 2018); DSGVO Art. 28 geregeltes Rechtsdokument in Österreich.

Die österreichische Rechtsgrundlage für IT-Serviceverträge ist das allgemeine Vertragsrecht des ABGB, ergänzt durch branchenspezifische Regelungen: Das Datenschutzgesetz (DSG BGBl I Nr. 165/1999 idF DSG-Novelle 2018) und die EU-Datenschutz-Grundverordnung (DSGVO, Verordnung EU 2016/679) sind bei IT-Services, die personenbezogene Daten verarbeiten, von zentraler Bedeutung. Die Datenschutzbehörde (DSB) als österreichische Aufsichtsbehörde gemäß DSGVO Art. 51 überwacht die Einhaltung der Datenschutzpflichten und kann Bußgelder bis zu €20.000.000 oder 4% des weltweiten Jahresumsatzes verhängen.

Besonderes Merkmal des IT-Servicevertrags gegenüber dem allgemeinen Dienstleistungsvertrag ist die technische Präzisierung der Leistungen durch Service Level Agreements (SLA): Verfügbarkeitsgarantien (Uptime in Prozent), Reaktionszeiten bei Störungen (Response Time nach Prioritätsstufen), Wiederherstellungszeiten (Recovery Time Objective — RTO; Recovery Point Objective — RPO) und Messpunkte für die Leistungsqualität. SLA-Regelungen ersetzen im IT-Bereich die allgemeinen ABGB-Gewährleistungsvorschriften durch technisch messbare KPIs.

Für IT-Dienstleister in Österreich sind gewerberechtliche Anforderungen zu beachten: Das Gewerbe der IT-Dienstleistung (§5 GewO 1994 — freies Gewerbe) erfordert eine Gewerbeanmeldung beim Bezirksverwaltungsbehörde. Für Netzwerkinstallationen, die Gebäudeverkabelung einschließen, kann das reglementierte Gewerbe Elektrotechnik (§94 GewO 1994) erforderlich sein. Der österreichische OGH hat in mehreren Urteilen (z.B. OGH 9 Ob 13/17p) die besonderen Sorgfaltspflichten von IT-Dienstleistern im Bereich der Datensicherheit konkretisiert.

Wann brauchen Sie IT-Servicevertrag Österreich?

Einen IT-Servicevertrag nach österreichischem Recht benötigen Sie in diesen Situationen:

Unternehmen, die ihre IT-Infrastruktur an externe Managed Service Provider (MSP) auslagern (IT-Outsourcing), benötigen einen umfassenden IT-Servicevertrag, der Leistungsumfang, SLAs, Datenschutz (insbesondere AVV nach DSGVO Art. 28) und Exit-Regelungen definiert. Ohne IT-Servicevertrag sind im Ausfall- oder Sicherheitsvorfall die Haftungsfragen und Wiederherstellungsverantwortlichkeiten unklar.

Kleinere und mittlere Unternehmen (KMU), die keinen eigenen IT-Leiter (CTO) beschäftigen, beauftragen externe IT-Dienstleister mit der vollständigen IT-Betreuung: Hardware-Wartung, Software-Updates, Netzwerksicherheit und Backup-Management. Der IT-Servicevertrag regelt Verfügbarkeit des IT-Dienstleisters (z.B. Erreichbarkeit Mo–Fr 08:00–18:00 Uhr), Reaktionszeiten und Kosten für Sondereinsätze außerhalb der Servicezeiten.

Bei Cloud-Migrationen und der Einführung neuer IT-Systeme (ERP, CRM, HR-Software) schließen Unternehmen IT-Projektverträge ab, die die Implementierungsleistung, Schulungsleistung, Abnahmeverfahren und Übergabe in den Regelbetrieb regeln. Nach Abschluss des Projekts folgt typischerweise ein langfristiger IT-Servicevertrag für Wartung und Support.

Nach Datenschutzvorfällen (Ransomware-Angriffe, Datenpannen) sind Unternehmen verpflichtet, einen IT-Forensik-Dienstleister zu beauftragen. Der IT-Servicevertrag für Incident-Response-Leistungen sollte Geheimhaltung (Vertraulichkeit der forensischen Ergebnisse), Meldepflichten nach DSGVO Art. 33 (72-Stunden-Frist an DSB) und Zusammenarbeit mit Strafverfolgungsbehörden regeln.

Was gehört in Ihr IT-Servicevertrag Österreich?

Ein rechtssicherer IT-Servicevertrag nach österreichischem Recht enthält diese Kernelemente:

**1. Leistungsbeschreibung und Service-Katalog:** Detaillierte Auflistung aller IT-Services: Hardware-Support, Software-Support, Netzwerk-Management, Cloud-Services, Security-Monitoring, Backup und Disaster-Recovery. Abgrenzung: Was ist im Vertrag inkludiert (In-Scope), was ist Zusatzleistung gegen gesonderte Vergütung (Out-of-Scope)?

**2. Service Level Agreement (SLA):** Verfügbarkeitsgarantie: z.B. 99,5% Uptime pro Monat (maximal ~3,65 Stunden Downtime/Monat); Reaktionszeiten nach Prioritätsstufen: Priority 1 (Kritischer Ausfall): Reaktion binnen 1 Stunde, Behebung binnen 4 Stunden; Priority 2 (Wesentliche Beeinträchtigung): Reaktion binnen 4 Stunden; Priority 3 (Geringfügige Störung): Reaktion binnen 1 Werktag; Service-Credits (SLA-Pönale) bei Unterschreitung der vereinbarten SLAs; Messpunkte und Reporting-Pflichten.

**3. Vergütungsmodell:** Monatliche Servicepauschale (Fixed Fee) oder Time & Material (Abrechnung nach tatsächlichem Aufwand); Stundensatz für Mehrarbeit außerhalb der SLA; Preisanpassungsklausel (z.B. jährlich gemäß VPI-Österreich, Statistik Austria). Klarstellung: Alle Preise zzgl. 20% USt (UStG §1 Abs. 1 Z 1).

**4. Datenschutz und Auftragsverarbeitung (DSGVO Art. 28; DSG §6):** Der IT-Dienstleister ist regelmäßig Auftragsverarbeiter; AVV zwingend erforderlich. Pflichten: Verarbeitung nur auf dokumentierte Weisung; Vertraulichkeit aller Mitarbeiter; technische und organisatorische Maßnahmen (TOMs) nach DSGVO Art. 32; keine Sub-Auftragsverarbeiter ohne Genehmigung; Unterstützung bei Betroffenenrechten (DSGVO Art. 12–22); Datenverletzungs-Meldung binnen 24 Stunden; Löschung nach Vertragsende. forms-legal.com stellt eine vollständige DSGVO-Klausel in der Vorlage bereit.

**5. Cybersecurity-Pflichten:** Verpflichtung des IT-Dienstleisters zur Einhaltung branchenüblicher Sicherheitsstandards (ISO 27001, BSI IT-Grundschutz oder CIS Controls); Incident-Response-Plan; Meldepflichten bei Sicherheitsvorfällen (DSB gemäß DSGVO Art. 33; ggf. Meldung an Bundesamt für Verfassungsschutz und Terrorismusbekämpfung — BVT — bei kritischer Infrastruktur nach Cybersicherheitsgesetz).

**6. Geheimhaltung (GeschGehG BGBl I Nr. 176/2018):** Der IT-Dienstleister erhält Zugang zu vertraulichen Unternehmensdaten, IT-Architekturen und Systempasswörtern. Umfassende Geheimhaltungspflicht für alle Informationen, die im Rahmen der IT-Services bekanntwerden; nachvertragliche Geheimhaltung (mindestens 3 Jahre nach Vertragsende).

**7. Laufzeit, Kündigung und Exit:** Mindestlaufzeit (z.B. 24 Monate) mit ordentlicher Kündigungsfrist (z.B. 3 Monate zum Quartalsende); Exit-Regelung: IT-Dienstleister unterstützt bei der Übergabe an einen Nachfolger-Provider (Transition-Assistance, maximal 3 Monate); Herausgabe aller Kundendaten, Passwörter, Systemdokumentationen und Konfigurationen bei Vertragsende.

**8. Haftung:** SLA-Credits als pauschalierter Schadensersatz bei Verfügbarkeitsunterschreitungen; Haftungsobergrenze für sonstige Schäden (z.B. 12 Monatspauschalen); Haftungsausschluss für Datenverlust durch höhere Gewalt oder durch unzureichende Backup-Mitwirkung des Kunden.

So füllen Sie Ihr IT-Servicevertrag Österreich aus

Den IT-Servicevertrag auf forms-legal.com befüllen Sie in folgenden Schritten:

**Schritt 1 — Parteien identifizieren:** IT-Dienstleister und Auftraggeber mit vollständiger Firma, Firmenbuchnummer (FN aus firmenbuch.at), UID-Nummer (ATU…) und Ansprechpartner für IT-Belange (technischer Kontakt) eintragen. Klären Sie: Welcher Mitarbeiter auf Kundenseite ist bevollmächtigt, Änderungsaufträge (Change Requests) zu erteilen?

**Schritt 2 — Service-Katalog erstellen:** Listen Sie alle inkludierten IT-Services exakt auf. Vermeiden Sie vage Formulierungen wie „IT-Support nach Bedarf“. Stattdessen: Helpdesk per Telefon/Ticket-System Mo–Fr 08:00–18:00 Uhr; Remote-Support binnen 2 Stunden; Vor-Ort-Support in Wien und Niederösterreich; monatliche Sicherheits-Patch-Updates für alle Windows-Server; wöchentliches Backup-Monitoring und monatlicher Backup-Test. Legen Sie fest, was Out-of-Scope ist (z.B. Entwicklung individueller Software, Telekommunikationsanlagen).

**Schritt 3 — SLA-Stufen definieren:** Legen Sie Prioritätsstufen mit klaren Reaktions- und Lösungszeiten fest. Empfehlung für KMU: Priority 1 (Totalausfall aller IT): 1 Stunde Reaktionszeit, 4 Stunden Lösungszeit; Priority 2 (Teilausfall, Kernprozesse eingeschränkt): 4 Stunden Reaktionszeit; Priority 3 (einzelne Funktionsstörung): 1 Werktag. Regelung für Service-Credits bei SLA-Unterschreitung: z.B. 5% der Monatspauschale pro Stunde Überschreitung der Priority-1-Lösungszeit, maximal 30% der Monatspauschale.

**Schritt 4 — DSGVO-Prüfung:** Verarbeitet der IT-Dienstleister personenbezogene Daten? (Fast immer: Ja — E-Mail-Archivierung, Backup, Active-Directory-Zugriff enthält Mitarbeiterdaten.) Füllen Sie die AVV-Felder gemäß DSGVO Art. 28 aus: Welche Datenkategorien? Verarbeitungsort (Österreich, EU, Drittland)? Sub-Auftragsverarbeiter (z.B. Cloud-Anbieter Microsoft Azure, AWS)? Listung aller Sub-Auftragsverarbeiter mit DSGVO-Konformitätsnachweis.

**Schritt 5 — Vergütung festlegen:** Monatliche Servicepauschale in Euro zzgl. 20% USt. Stundensatz für Zusatzleistungen. Jährliche Preisanpassung gemäß VPI-Österreich (Statistik Austria, Basisjahr 2020) — Referenz im Vertrag angeben.

**Schritt 6 — Exit-Regelung vereinbaren:** Legen Sie fest: Bei Kündigung stellt der IT-Dienstleister 3 Monate Transition-Assistance zur Verfügung; vollständige Systemdokumentation (Netzwerkplan, Passwörter, Lizenzübersicht) wird herausgegeben; alle Kundendaten aus Cloud-Systemen werden binnen 30 Tagen nach Vertragsende gelöscht (DSG; DSGVO Art. 28 Abs. 3 lit. g).

**Schritt 7 — Unterzeichnen und aufbewahren:** Beide Parteien unterzeichnen in doppelter Ausfertigung. Aufbewahrung mindestens 7 Jahre nach §212 UGB.

Rechtliche Anforderungen für IT-Servicevertrag Österreich

Der IT-Servicevertrag in Österreich unterliegt folgenden gesetzlichen Anforderungen:

**Vertragsrecht (ABGB §§1151–1164):** IT-Serviceverträge sind Dauerschuldverhältnisse auf Basis des allgemeinen Vertragsrechts des ABGB. Die Leistungspflicht des IT-Dienstleisters ist eine Sorgfaltspflicht (§1299 ABGB: Sorgfalt eines ordentlichen Fachmanns im IT-Bereich); kein automatischer Erfolgseintritt wird geschuldet, außer dies ist ausdrücklich vereinbart (SLA-Garantien).

**Datenschutz (DSGVO Art. 28; DSG §6):** Bei IT-Services, die personenbezogene Daten verarbeiten, ist der IT-Dienstleister Auftragsverarbeiter nach DSGVO Art. 4 Z 8. Eine AVV nach DSGVO Art. 28 ist zwingend erforderlich. Verstöße: Fehlen der AVV ist für den Auftraggeber (Verantwortlichen) eine eigenständige DSGVO-Pflichtverletzung. Die Datenschutzbehörde (DSB) als österreichische Aufsichtsbehörde kann Bußgelder gemäß DSGVO Art. 83 verhängen.

**Cybersicherheit und NIS2-Umsetzung:** Die EU-NIS2-Richtlinie (Richtlinie EU 2022/2555) wird in österreichisches Recht umgesetzt und erhöht die Cybersicherheitsanforderungen für IT-Dienstleister, die kritische oder wichtige Einrichtungen betreuen. IT-Provider für Krankenhäuser, Energieversorger, Banken und öffentliche Verwaltungen müssen erhöhte Sicherheitsstandards einhalten und schwerwiegende Vorfälle binnen 24 Stunden melden.

**Gewerbeberechtigung (GewO 1994):** IT-Dienstleistungen als freies Gewerbe nach §5 GewO 1994 erfordern eine Gewerbeanmeldung (GISA-Eintragung). Für bestimmte Tätigkeiten — Elektroinstallationen, Telekommunikationsanlagen — sind reglementierte Gewerbe nach §94 GewO erforderlich. Fehlende Gewerbeberechtigung führt zur Ordnungswidrigkeit nach §366 GewO (Verwaltungsstrafe bis €3.600).

**Aufbewahrungspflicht (§212 UGB; §132 BAO):** IT-Serviceverträge unterliegen der 7-jährigen Aufbewahrungspflicht nach UGB und BAO. Für Verträge mit DSGVO-Relevanz gilt nach DSGVO Art. 5 Abs. 2 (Rechenschaftspflicht) eine Dokumentationspflicht für die Dauer der Verarbeitung plus 3 Jahre.

Häufige Fehler bei Ihrem IT-Servicevertrag Österreich

Häufige Fehler bei IT-Serviceverträgen in Österreich:

**Fehler 1 — SLA zu vage oder fehlend:** Formulierungen wie „zeitnahe Behebung von Störungen“ oder „bestmögliche Verfügbarkeit“ sind nicht vollstreckbar. Im Streitfall ist es unmöglich, einen Vertragsbruch nachzuweisen. Lösung: Konkrete, messbare SLAs mit Reaktions- und Lösungszeiten nach Prioritätsstufen; Service-Credits (Pönale) bei Unterschreitung definieren; monatliche SLA-Reports vereinbaren.

**Fehler 2 — Fehlende oder unvollständige AVV:** Nahezu jeder IT-Servicevertrag beinhaltet eine Auftragsverarbeitung personenbezogener Daten. Fehlt die AVV oder ist sie unvollständig (z.B. ohne TOM-Liste, ohne Sub-Auftragsverarbeiterliste), ist der Auftraggeber gegenüber der Datenschutzbehörde (DSB) im Pflichtverstoß. Lösung: AVV nach DSGVO Art. 28 Abs. 3 als festen Vertragsbestandteil — nicht als optionale Anlage.

**Fehler 3 — Keine Exit-Klausel:** Viele IT-Serviceverträge regeln nicht, was bei Kündigung passiert. Der IT-Dienstleister hält möglicherweise Systempasswörter, Konfigurationsdaten und Kundendaten zurück, was einen nahtlosen Providerwechsel unmöglich macht. Lösung: Exit-Regelung mit Transition-Assistance-Pflicht (3 Monate), Herausgabe aller Systemdokumentationen und Datenlöschung nach DSGVO Art. 28 Abs. 3 lit. g.

**Fehler 4 — Backup-Verantwortlichkeit unklar:** Wer ist für das Backup der Kundendaten verantwortlich — IT-Dienstleister oder Kunde? Fehlt diese Abgrenzung, entsteht im Datenverlustfall ein Streit über Haftung und Schadensersatz. Lösung: Backup-Konzept im Vertrag beschreiben: Backup-Frequenz, Aufbewahrungsdauer, Backup-Ort (Österreich/EU), Wiederherstellungstest (mindestens jährlich), Recovery Time Objective (RTO) und Recovery Point Objective (RPO).

**Fehler 5 — Haftung für Drittanbieter nicht geregelt:** IT-Dienstleister setzen häufig Subunternehmer und Sub-Auftragsverarbeiter (Cloud-Provider, Internet-Service-Provider) ein. Im Störfall berufen sie sich auf höhere Gewalt. Lösung: Klaren Haftungsrahmen für Drittanbieter vereinbaren; bei DSGVO: Sub-Auftragsverarbeiter nur mit Genehmigung des Auftraggebers; Haftung des IT-Dienstleisters für DSGVO-Verstöße seiner Subunternehmer (DSGVO Art. 28 Abs. 4).

Quellen und Zitate

Gesetzliche Zitate verlinken auf offizielle Regierungsquellen.

§212 UGBAT official
§1299 ABGBAT official

Diese Seite zitieren

Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:

APA

Forms Legal. (2026). IT-Servicevertrag Österreich (Österreich) [Legal document template]. Forms Legal. https://forms-legal.com/de/austria/business/contracts/it-servicevertrag-oesterreich

MLA

"IT-Servicevertrag Österreich (Österreich)." Forms Legal, 2026, https://forms-legal.com/de/austria/business/contracts/it-servicevertrag-oesterreich.

BibTeX

@misc{formslegal-it-servicevertrag-oesterreich,
  author       = {{Forms Legal}},
  title        = {IT-Servicevertrag Österreich (Österreich)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/de/austria/business/contracts/it-servicevertrag-oesterreich}},
  note         = {Free legal document template}
}

Häufig gestellte Fragen

Gesetzesreferenzierte Vorlage — Vorlage zuletzt geändert Juni 2026

Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss

Fehler gefunden? Sagen Sie uns Bescheid