IT-Service-Vertrag Managed Services Deutschland
BGB §§ 535/611/631 | DSGVO Art. 28 (AVV) | BGH X ZR 244/97 | BSI IT-Grundschutz
IT-Service-Vertrag / Managed Services
IT-SERVICE-VERTRAG / MANAGED SERVICES AGREEMENT
gemäß BGB §§ 535 (SaaS/Hosting), 611 (Managed Services), 631 (IT-Projekte) | DSGVO Art. 28 (AVV) | BSI IT-Grundschutz | BGH X ZR 244/97
zwischen [Provider Name] [Provider Address] (nachfolgend „IT-Dienstleister” / „MSP”) und [Client Name] [Client Address] (nachfolgend „Auftraggeber”) Datum: [Contract Date]
§ 1 Leistungsgegenstand und Service-Scope
§ 1 Leistungsgegenstand, Vertragstyp und Service-Scope
Art der IT-Dienstleistung: [Service Type] Leistungsumfang: [Service Scope] Ausgeschlossene Leistungen: [Excluded Services] Rechtliche Einordnung: IT-Service-Verträge sind in der Regel Mischverträge. SaaS-Anteile (Bereitstellung von Software über das Netzwerk) werden mietrechtlich nach §§ 535 ff. BGB qualifiziert (BGH XII ZR 178/03). Managed Services und laufende IT-Betreuung folgen den Regeln des Dienstvertrags (§§ 611 ff. BGB). IT-Projektleistungen mit konkret geschuldetem Ergebnis unterliegen dem Werkvertragsrecht (§§ 631 ff. BGB, BGH VII ZR 201/06). Änderungen des Leistungsumfangs (Change Management): Leistungsänderungen bedürfen eines schriftlichen Änderungsauftrags (Change Request). Der IT-Dienstleister hat das Recht, Mehrleistungen gesondert zu berechnen. Änderungen, die zu einer Erweiterung des Service-Scope führen, werden schriftlich vereinbart und als Vertragsanlage dokumentiert.
§ 2 Service Level Agreement (SLA)
§ 2 Service Level Agreement — Verfügbarkeit, Reaktionszeiten und Support
Verfügbarkeitsgarantie: [Availability Level] Reaktions- und Entstörzeiten: [Response Time] Support-Zeiten: [Support Hours] Verfügbarkeitsberechnung: Die Verfügbarkeit wird monatlich berechnet als: (Gesamtminuten im Monat – Ausfallminuten) / Gesamtminuten × 100. Geplante Wartungsfenster (vorab angekündigt, mindestens 48 Stunden vorher in Textform) werden von der Verfügbarkeitsberechnung ausgenommen. Servicegutschriften bei SLA-Verletzung: Unterschreitet die tatsächliche Verfügbarkeit den vereinbarten SLA-Wert, erhält der Auftraggeber folgende Gutschriften auf die monatliche Vergütung: Unterschreitung auf 99,0–99,9%: 5% Gutschrift. Unterschreitung auf 95,0–99,0%: 15% Gutschrift. Unterschreitung unter 95,0%: 30% Gutschrift. Die Gutschriften ersetzen keinen Schadensersatzanspruch nach §§ 280 ff. BGB, soweit Vorsatz oder grobe Fahrlässigkeit vorliegt. Priorisierung von Störungsmeldungen: Der Auftraggeber meldet Störungen über das vereinbarte Ticketsystem. Der IT-Dienstleister klassifiziert Störungen nach Schweregrad (Priority 1–3) und bearbeitet sie nach den vereinbarten SLA-Zeiten.
§ 3 Vergütung und Zahlungsbedingungen
§ 3 Vergütung, Abrechnung und Zahlungsbedingungen
Vergütungsmodell: [Pricing Model] Monatliche Vergütung: [Monthly Fee] (netto, zzgl. 19% USt nach § 12 Abs. 1 UStG) Vertragslaufzeit: [Contract Term] Zahlungsbedingungen: Rechnungsstellung monatlich im Voraus zum 1. des Monats. Zahlungsfrist: 14 Tage nach Rechnungsdatum. Zahlungsverzug: § 288 Abs. 2 BGB (9 Prozentpunkte über Basiszinssatz). Bei Zahlungsverzug über 30 Tage ist der IT-Dienstleister berechtigt, die Leistungserbringung bis zur vollständigen Zahlung auszusetzen (§ 273 BGB — Zurückbehaltungsrecht). Wichtig: Für SaaS-Leistungen gilt: Aussetzung = vorübergehende Einstellung der Zugangsmöglichkeit; keine Datenlöschung innerhalb der ersten 60 Tage. Preisanpassung: Der IT-Dienstleister kann die Vergütung einmal jährlich anpassen, maximal jedoch um den HVPI (Harmonisierter Verbraucherpreisindex) für Deutschland (Statistisches Bundesamt) des Vorjahres plus 3 Prozentpunkte. Ankündigung: mindestens 3 Monate vor Inkrafttreten.
§ 4 Datenschutz und Informationssicherheit
§ 4 Datenschutz (DSGVO), AVV und Informationssicherheit
Auftragsverarbeitungsvertrag: [Avv Required] Rechenzentrumsstandort: [Data Location] Wenn der IT-Dienstleister im Rahmen der Leistungserbringung personenbezogene Daten des Auftraggebers verarbeitet, wird ein Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28 Abs. 3 abgeschlossen (als Vertragsanlage oder separat vor Leistungsbeginn). Ohne gültigen AVV ist der Beginn der Leistungserbringung unzulässig. Informationssicherheit: Der IT-Dienstleister betreibt ein Informationssicherheitsmanagementsystem (ISMS) nach BSI IT-Grundschutz oder ISO/IEC 27001. Auf Anfrage stellt er dem Auftraggeber aktuelle Zertifikate oder Prüfberichte zur Verfügung. Verschwiegenheit: Der IT-Dienstleister verpflichtet sich und seine Mitarbeiter, alle im Rahmen der Leistungserbringung erlangten Informationen des Auftraggebers vertraulich zu behandeln. Diese Pflicht gilt auch nach Vertragsende. Datensicherung (Backup): Der IT-Dienstleister führt für alle vereinbarten Systeme gemäß Service-Scope täglich ein Backup durch. Die Aufbewahrungsdauer beträgt mindestens 30 Tage (monatliche Wiederherstellungspunkte zusätzlich mindestens 3 Monate). Backup-Durchführung und erfolgreiche Restore-Tests werden protokolliert und dem Auftraggeber auf Anfrage vorgelegt.
§ 5 Haftung und Gewährleistung
§ 5 Haftungsbeschränkung und Gewährleistung
Haftungsumfang: Der IT-Dienstleister haftet für Schäden aus Vorsatz und grober Fahrlässigkeit uneingeschränkt. Bei leichter Fahrlässigkeit haftet der IT-Dienstleister nur für die Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) und begrenzt auf den vertragstypisch vorhersehbaren Schaden, maximal jedoch auf die Gesamtvergütung der letzten 12 Monate. Haftungsausschluss für Datenverlust: Die Haftung für Datenverlust ist auf den Aufwand beschränkt, der bei regelmäßiger vertragsgemäßer Datensicherung durch den IT-Dienstleister vermeidbar gewesen wäre. Voraussetzung: Der Auftraggeber hält seine eigenen (kundenseitigen) Daten in einem regelmäßig gesicherten Zustand. SLA-Verletzung: Serviceunterbrechungen, die innerhalb der vereinbarten SLA-Parameter bleiben, begründen keinen Schadensersatzanspruch. Serviceunterbrechungen über den vereinbarten SLA-Rahmen hinaus: Gutschriften nach § 2 dieses Vertrags zuzüglich Schadensersatz für nachgewiesene direkte Schäden bei grober Fahrlässigkeit. Gewährleistung: Für Mängel an bereitgestellten IT-Services gilt die Mängelhaftung nach den maßgeblichen Vertragstypen: Bei Mietrecht (SaaS/Hosting): §§ 535 ff. BGB — Recht auf Mängelbeseitigung (§ 536 BGB), Mietminderung. Bei Werkvertragsrecht: §§ 634 ff. BGB — Nacherfüllung, Minderung, Rücktritt, Schadensersatz.
§ 6 Laufzeit, Kündigung und Exit-Management
§ 6 Laufzeit, Kündigung und Exit-Management
Laufzeit und Kündigung: [Contract Term] Außerordentliche Kündigung (§ 314 BGB): Jede Partei kann den Vertrag aus wichtigem Grund außerordentlich kündigen. Wichtige Gründe: erhebliche SLA-Verletzungen (mehr als 3 × im Quartal eine P1-Verletzung), Verletzung der Geheimhaltungspflicht, Verletzung der DSGVO-Pflichten, Zahlungsverzug über 30 Tage. Exit-Management und Datenportabilität: Bei Vertragsende (ordentliche oder außerordentliche Kündigung) hat der IT-Dienstleister folgende Exit-Pflichten: (1) Datenexport: Alle Kundendaten werden innerhalb von 30 Tagen nach Vertragsende in einem strukturierten, maschinenlesbaren Format (CSV, SQL-Dump, XML) bereitgestellt (DSGVO Art. 20 — Datenportabilität). (2) Übergabe: Vollständige Dokumentation der IT-Infrastruktur, Zugangsdaten, Konfigurationen. (3) Löschung: Nach vollständiger Datenübergabe löscht der IT-Dienstleister alle Kundendaten und bestätigt dies schriftlich (DSGVO Art. 17). (4) Exit-Support: Unterstützung bei Migration für mindestens 30 Tage nach Vertragsende, vergütet zu den dann gültigen Tagessätzen.
§ 7 Allgemeine Bestimmungen
§ 7 Allgemeine Bestimmungen
Anwendbares Recht: Deutsches Recht. Gerichtsstand: Sitz des IT-Dienstleisters (§ 29 ZPO). Schriftform: Vertragsänderungen bedürfen der Textform (§ 126b BGB). Salvatorische Klausel: § 139 BGB. Unterauftragnehmer (Subprozessoren): Der IT-Dienstleister darf Unterauftragnehmer einsetzen, wenn er den Auftraggeber darüber informiert und die Unterauftragnehmer denselben Datenschutz- und Geheimhaltungsstandards unterliegen. Bei AVV-Pflichtigkeit: Genehmigte Subprozessorenliste gemäß DSGVO Art. 28 Abs. 2 als Vertragsanlage. Betriebsunterbrechungsversicherung: Der IT-Dienstleister empfiehlt dem Auftraggeber den Abschluss einer Betriebsunterbrechungsversicherung, da die Haftung des IT-Dienstleisters für mittelbare Schäden beschränkt ist. Cybersicherheitsvorfälle: Im Fall eines Sicherheitsvorfalls, der personenbezogene Daten des Auftraggebers betrifft, informiert der IT-Dienstleister den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung (DSGVO Art. 33 Abs. 2 — Benachrichtigung des Verantwortlichen). Der Auftraggeber bleibt verantwortlich für die Meldung an die Aufsichtsbehörde (DSGVO Art. 33 Abs. 1 — 72-Stunden-Frist).
Unterschriften
Unterschriften
Ort, Datum: ___________________________ _________________________ [Provider Name] (IT-Dienstleister / MSP) _________________________ [Client Name] (Auftraggeber)
IT-Dienstleister / Managed Service Provider
________________
Signature
Auftraggeber (IT-Kunde)
________________
Signature
Was ist IT-Service-Vertrag Managed Services Deutschland?
Software as a Service (SaaS) in Deutschland wird mietrechtlich qualifiziert: Der Bundesgerichtshof (BGH XII ZR 178/03) hat klargestellt, dass die zeitlich befristete Überlassung einer Software zur Nutzung über das Internet einen Mietvertrag nach BGB §§ 535 ff. begründet, wenn der Nutzer keine dauerhafte Kopie erhält, sondern nur online auf die Funktionalität zugreift. Dieses BGH-Urteil ist für SaaS-Verträge in Deutschland von zentraler Bedeutung: Im Falle von Mängeln (z.B. Verfügbarkeitsunterschreitungen, Sicherheitslücken) hat der Mieter (Auftraggeber) das Recht auf Minderung der Miete nach § 536 BGB, solange der Mangel besteht — ohne vorherige Mahnung oder Fristsetzung.
Managed Services (laufende IT-Systembetreuung, Monitoring, Remote-Support) werden dagegen als Dienstvertrag nach BGB § 611 eingeordnet: Der IT-Dienstleister schuldet die ordnungsgemäße Erbringung der vereinbarten Betreuungsleistungen, nicht aber einen bestimmten Erfolg (z.B. garantiert fehlerfreie Systeme). IT-Projektleistungen mit konkretem Ergebnisversprechen (z.B. Server-Migration, Software-Implementierung) sind Werkverträge nach BGB § 631, bei denen der IT-Dienstleister für Mängel seiner Arbeitsergebnisse nach §§ 634 ff. BGB haftet.
Das Service Level Agreement (SLA) ist das Herzstück des IT-Service-Vertrags in Deutschland. Im SLA werden Verfügbarkeitsgarantien (Uptime-Prozentsatz), Reaktionszeiten nach Störungsmeldung (Incident Response Time), Entstörzeiten (Time-to-Resolve) und Konsequenzen bei SLA-Verletzungen (Service Credits, Schadensersatz) vereinbart. Typische SLA-Werte für professionelle Managed Services: 99,9% Verfügbarkeit (maximal ~8,7 Stunden Ausfall pro Jahr), P1-Reaktionszeit 1 Stunde, P1-Entstörzeit 4 Stunden.
Datenschutz (DSGVO Art. 28) ist ein zwingend zu beachtendes Thema bei IT-Service-Verträgen in Deutschland: Wenn der IT-Dienstleister im Rahmen seiner Leistungserbringung Zugang zu personenbezogenen Daten des Auftraggebers oder dessen Kunden hat (was bei Hosting, Managed Services und SaaS regelmäßig der Fall ist), muss gemäß DSGVO Art. 28 Abs. 3 vor Beginn der Leistungserbringung ein schriftlicher Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschutzbeauftragten (LDI NRW, BayLDA, BlnBDI etc.) prüfen die Einhaltung von AVV-Pflichten aktiv.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem BSI IT-Grundschutz einen praxisnahen Rahmen für Informationssicherheit in deutschen IT-Infrastrukturen geschaffen. IT-Dienstleister, die nach BSI IT-Grundschutz oder ISO/IEC 27001 zertifiziert sind, bieten Auftraggebern eine nachvollziehbare Sicherheitsgarantie. BSI-Empfehlung für kritische Infrastrukturen (KRITIS nach BSI-Gesetz — BSI-KritisV): Betreiber kritischer Infrastrukturen müssen mindestens alle 2 Jahre nachweisen, dass ihre IT-Sicherheit den Anforderungen des BSI entspricht.
Das NIS2-Umsetzungsgesetz (Richtlinie EU 2022/2555, in Deutschland geplant als NIS2UmsuCG 2024) wird die Cybersicherheitsanforderungen für IT-Dienstleister und Unternehmen, die als wesentliche oder wichtige Einrichtungen eingestuft werden, erheblich verschärfen. IT-Service-Verträge sollten daher Klauseln zur NIS2-Compliance, Meldepflichten bei Cybersicherheitsvorfällen und Mindest-Sicherheitsstandards für IT-Lieferketten enthalten.
Wann brauchen Sie IT-Service-Vertrag Managed Services Deutschland?
Der IT-Service-Vertrag Managed Services in Deutschland wird in verschiedenen unternehmerischen Szenarien benötigt:
Outsourcing der gesamten IT-Infrastruktur: Kleine und mittelständische Unternehmen (KMU), die keine eigene IT-Abteilung unterhalten möchten oder können, beauftragen einen Managed Service Provider (MSP) mit dem vollständigen Betrieb und der Betreuung ihrer IT-Infrastruktur. Der MSP übernimmt Server-Management, Netzwerk, Arbeitsplatzcomputer, Helpdesk und IT-Sicherheit. Der IT-Service-Vertrag regelt den exakten Leistungsumfang, die SLA-Garantien, Vergütung und DSGVO-konforme Datenverarbeitung.
Cloud-Migration und Hosting-Dienste: Unternehmen, die ihre lokalen Server-Infrastrukturen in die Cloud (AWS, Azure, Google Cloud oder private Cloud) migrieren, benötigen einen IT-Service-Vertrag mit ihrem Cloud-Anbieter oder Systemintegrator. Besonders wichtig: Klare Regelungen zur Datenportabilität (DSGVO Art. 20 — Recht auf Datenübertragbarkeit) und Exit-Management bei Anbieterwechsel.
SaaS-Verträge für Unternehmenssoftware: Unternehmen, die cloudbasierte Unternehmenssoftware (ERP, CRM, HRM, Buchhaltungssoftware) als SaaS-Dienst beziehen, sind durch den Lizenz- und Service-Vertrag des SaaS-Anbieters gebunden. Da SaaS-Dienste mietrechtlich eingeordnet werden (BGH XII ZR 178/03), hat der Auftraggeber im Falle dauerhafter Verfügbarkeitsunterschreitungen das Recht auf Mietminderung nach § 536 BGB.
Helpdesk und IT-Support-Verträge: Unternehmen mit eigener IT-Infrastruktur, die jedoch keinen 24/7-Support intern aufbauen können, beauftragen externe MSPs mit dem Helpdesk-Support. Der Vertrag muss präzise SLA-Reaktionszeiten (z.B. P1: 1 Stunde Reaktion), Support-Kanäle (Ticket-System, Telefon-Hotline) und Eskalationswege definieren.
Pflichtversicherung und Compliance-Anforderungen: Branchen mit besonders hohen IT-Sicherheitsanforderungen (Finanzdienstleistungen nach BaFin-Rundbescheiben, Gesundheitswesen nach KBV-IT-Sicherheitsrichtlinie 2024, kritische Infrastrukturen nach BSI-KritisV) benötigen IT-Service-Verträge mit spezifischen Sicherheits- und Compliance-Anforderungen.
IT-Security-Verträge (Pentesting, SOC-Dienste): Unternehmen, die externe Sicherheitsdienstleistungen beziehen (Penetrationstests, Security Operations Center, SIEM-Dienste, Schwachstellenscans), benötigen spezialisierte IT-Service-Verträge mit klaren Regelungen zu zulässigen Test-Methoden, Verantwortung bei Entdeckung von Sicherheitslücken und Geheimhaltung der Testergebnisse.
NachVertragliche Datenlöschung und Exit-Management: Bei Kündigung eines SaaS- oder Hosting-Vertrags ist sicherzustellen, dass alle Kundendaten sicher exportiert und beim Dienstleister gelöscht werden (DSGVO Art. 17 — Recht auf Löschung). Der IT-Service-Vertrag muss explizite Regelungen zum Exit-Prozess enthalten.
Was gehört in Ihr IT-Service-Vertrag Managed Services Deutschland?
Ein rechtssicherer IT-Service-Vertrag Managed Services in Deutschland muss folgende Kernelemente enthalten:
Präziser Service-Scope mit Inklusions- und Exklusions-Liste: Die häufigste Quelle von Konflikten bei IT-Service-Verträgen ist ein unklarer Leistungsumfang. Der Vertrag muss genau beschreiben, welche Systeme, Anwendungen und Dienste betreut werden (z.B. „Microsoft 365-Tenant mit 50 Named-User-Lizenzen, 3 Dell PowerEdge-Server, Cisco Catalyst-Netzwerk, Veeam-Backup-System") und was explizit ausgeschlossen ist (z.B. „Client-Endgeräte der Mitarbeiter, Entwicklungsleistungen, Telekommunikationsanschlüsse, Drittanbieter-Software-Lizenzen").
Service Level Agreement (SLA) mit messbaren KPIs: Das SLA definiert die Qualitätsziele des IT-Service-Vertrags in Deutschland: Verfügbarkeitsgarantie (Uptime, als Prozentsatz pro Monat gemessen), Reaktionszeit nach Störungsmeldung (nach Prioritätsklassen P1/P2/P3), Entstörungszeit (Time-to-Resolve), Service-Fenster (Wartungsfenster, vorab angekündigt). SLA-Konsequenzen müssen klar definiert sein: Service-Gutschriften (Credits) bei Unterschreitung sowie die Grenze, ab der Gutschriften in Schadensersatz nach §§ 280 ff. BGB umschlagen.
Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28: Für alle IT-Service-Verträge, bei denen der Dienstleister Zugang zu personenbezogenen Daten hat, ist ein AVV gemäß DSGVO Art. 28 Abs. 3 zwingend. Pflichtbestandteile des AVV: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Weisungsgebundenheit des Auftragsverarbeiters, Verpflichtung zur Vertraulichkeit, Sicherheitsmaßnahmen nach DSGVO Art. 32, Subprozessoren-Liste, Unterstützung bei Betroffenenrechten, Datenlöschung bei Vertragsende, Audit-Rechte. Ohne AVV drohen Bußgelder nach DSGVO Art. 83 Abs. 4 lit. a (bis zu EUR 10 Mio. oder 2% des weltweiten Jahresumsatzes).
Informationssicherheit und BSI IT-Grundschutz: IT-Service-Verträge in Deutschland sollten die Informationssicherheitsstandards des Dienstleisters festlegen. Der BSI IT-Grundschutz (BSI-Standard 200-1, 200-2) ist das in Deutschland am weitesten verbreitete Framework für Informationssicherheit. ISO/IEC 27001-Zertifizierung ist internationaler Standard. Besondere Bedeutung hat das NIS2-Umsetzungsgesetz (NIS2UmsuCG, geplant 2024): wesentliche und wichtige Einrichtungen nach NIS2-Richtlinie (EU 2022/2555) müssen Mindest-Cybersicherheitsanforderungen für ihre IT-Lieferkette (Supply Chain Security) einfordern.
Exit-Management und Datenportabilität: Einer der kritischsten Punkte bei IT-Service-Verträgen ist die Klärung, was bei Kündigung passiert. Der Vertrag muss regeln: Datenexport innerhalb welcher Frist (empfohlen: 30 Tage); in welchem Format (strukturiert, maschinenlesbar nach DSGVO Art. 20); Übergabe aller Konfigurationsdokumentationen und Zugangsdaten; Exit-Support-Pflicht des Dienstleisters (mind. 30 Tage); Datenlöschung nach erfolgreicher Übergabe mit schriftlicher Bestätigung.
Preisanpassungsklauseln und Laufzeitregelungen: IT-Service-Verträge sind typischerweise auf 12–36 Monate befristet. Beachten Sie bei AGB-basierten IT-Verträgen im B2B-Bereich: § 309 Nr. 9 BGB (Klauselverbot bei Erstlaufzeit über 2 Jahre oder automatischer Verlängerung um mehr als 1 Jahr) gilt im B2B-Bereich zwar nicht zwingend, ist aber ein Indikator für unangemessene Benachteiligung nach § 307 BGB. Eine jährliche Preisanpassung an den Verbraucherpreisindex (HVPI) ist marktüblich und rechtlich zulässig.
Das Portal forms-legal.com stellt diesen IT-Service-Vertrag als strukturierten Ausgangspunkt für Managed Service Provider und deren Kunden in Deutschland bereit. Bei komplexen KRITIS-Verträgen, bei Verträgen mit besonders hohen Datenschutzanforderungen (Gesundheitsdaten nach DSGVO Art. 9, Bankdaten nach BAIT/MaRisk) oder bei IT-Outsourcing mit erheblicher wirtschaftlicher Abhängigkeit sollte fachanwaltliche Beratung eingeholt werden. Verwandte Dokumente: Auftragsverarbeitungsvertrag (AVV) und Software-Lizenzvertrag.
So füllen Sie Ihr IT-Service-Vertrag Managed Services Deutschland aus
Das Ausfüllen des IT-Service-Vertrags Managed Services für Deutschland erfordert präzise Angaben zu Leistungsumfang, SLA und Datenschutzkonformität:
Erster Schritt: Vertragsparteien und Rollen festlegen. IT-Dienstleister (Managed Service Provider, MSP) und Auftraggeber (IT-Kunde) vollständig mit Firma, Anschrift und bei Unternehmen: Handelsregisternummer und vertretungsberechtigte Person. Klären Sie vorab: Ist der IT-Dienstleister im Falle des AVV der Auftragsverarbeiter nach DSGVO Art. 4 Nr. 8? In aller Regel ja, wenn er auf personenbezogene Daten zugreift.
Zweiter Schritt: Service-Scope präzise definieren. Listen Sie alle zu betreuenden IT-Systeme, Anwendungen und Infrastrukturkomponenten mit Hersteller, Modell und Versionsnummer auf. Erstellen Sie parallel eine Ausschlussliste (was ist explizit nicht umfasst). Tipp: Verwenden Sie einen technischen Anhang (System-Inventory) als Vertragsanlage, der bei Systemänderungen einfach aktualisiert werden kann.
Dritter Schritt: SLA-Werte realistisch vereinbaren. Überschreiben Sie SLA-Werte nicht mit unrealistisch hohen Verfügbarkeitsgarantien (99,99% sind nur mit redundanter Infrastruktur erreichbar). Typische marktübliche Werte: Standard-Managed Services = 99,5% Verfügbarkeit; Enterprise-Level = 99,9% Verfügbarkeit. Stellen Sie sicher, dass die SLA-Reaktionszeiten mit den Support-Zeiten konsistent sind: Wenn der Support nur 9–17 Uhr verfügbar ist, gelten P1-Reaktionszeiten von 1 Stunde nur während dieser Zeiten.
Vierter Schritt: AVV-Pflicht prüfen und dokumentieren. Prüfen Sie, ob der IT-Dienstleister im Rahmen seiner Leistungen auf personenbezogene Daten zugreift. Typischer Fall: MSP mit Remote-Zugangssoftware auf Servern, die Kundendaten enthalten = AVV-Pflicht. Als Checkliste: Helpdesk-Zugang zu CRM/ERP-Systemen (AVV-Pflicht), Backup-Dienste für Systeme mit Personendaten (AVV-Pflicht), Reine Netzwerk-Monitoring-Dienste ohne Inhaltszugriff (je nach Konfiguration).
Fünfter Schritt: Vergütungsmodell und Laufzeit wählen. Monatliche Pauschalgebühren (Flat Rate) bieten dem Auftraggeber Kostentransparenz und Planungssicherheit. Per-User/Device-Preise sind flexibler bei Wachstum. Wichtig bei Laufzeitvereinbarungen: Je länger die Mindestlaufzeit, desto detaillierter sollten SLA, Exit-Regelungen und Preisanpassungsklauseln sein. Bei 36-Monats-Verträgen: Midterm-Review-Recht einbauen.
Sechster Schritt: Exit-Management explizit regeln. Vereinbaren Sie konkrete Fristen und Formate für den Datenexport bei Vertragsende. Fehlende Exit-Regelungen führen zu Vendor-Lock-in: Der Auftraggeber kann seine Daten nicht einfach zu einem anderen Anbieter migrieren. DSGVO Art. 20 (Datenportabilität) garantiert Betroffenen das Recht auf Datenübertragung, hilft aber nicht bei Unternehmensdaten ohne Personenbezug.
Siebter Schritt: Subunternehmer und Sub-Prozessoren regeln. MSPs setzen regelmäßig Subunternehmer ein (z.B. für Vor-Ort-Einsätze, für spezialisierte Dienste). Bei AVV-Pflichtigkeit müssen Sub-Prozessoren (DSGVO-Begriff für Subunternehmer im Datenschutzkontext) genehmigt sein. Führen Sie eine aktualisierbare Sub-Prozessoren-Liste als Vertragsanlage.
Achter Schritt: Cybersicherheits-Notfallplanung. Vereinbaren Sie explizite Meldepflichten des IT-Dienstleisters bei Cybersicherheitsvorfällen: DSGVO Art. 33 Abs. 2 verpflichtet den Auftragsverarbeiter, den Verantwortlichen unverzüglich zu informieren. Da der Verantwortliche seinerseits 72 Stunden zur Meldung an die Aufsichtsbehörde hat (DSGVO Art. 33 Abs. 1), sollte die Meldefrist des IT-Dienstleisters gegenüber dem Auftraggeber maximal 24 Stunden betragen.
Rechtliche Anforderungen für IT-Service-Vertrag Managed Services Deutschland
Die rechtlichen Anforderungen an den IT-Service-Vertrag Managed Services in Deutschland ergeben sich aus BGB, DSGVO, BSI-Gesetz, NIS2-Richtlinie und branchenspezifischen Regulierungen.
Vertragsrechtliche Einordnung (BGB §§ 535, 611, 631): IT-Service-Verträge in Deutschland sind typischerweise Mischverträge. Gerichte differenzieren nach dem Schwerpunkt der jeweiligen Leistung: SaaS-Anteile = Mietrecht (BGH XII ZR 178/03); Managed Services = Dienstrecht (§ 611 BGB); IT-Projekte = Werkrecht (§ 631 BGB). Diese Einordnung entscheidet über die anwendbaren Gewährleistungsregeln: Beim Mietrecht gilt § 536 BGB (automatische Minderung bei Mängeln), beim Dienstrecht keine automatische Minderung, beim Werkrecht §§ 634 ff. BGB.
DSGVO-Pflichten und AVV (DSGVO Art. 28, BDSG): IT-Service-Verträge, bei denen der Dienstleister personenbezogene Daten im Auftrag verarbeitet, erfordern einen Auftragsverarbeitungsvertrag (AVV). Pflichtinhalte nach Art. 28 Abs. 3 DSGVO sind gesetzlich festgelegt und können nicht durch vertragliche Vereinbarung wegbedungen werden. Die Datenschutzaufsichtsbehörden (BfDI auf Bundesebene, Landesdatenschutzbeauftragte der 16 Bundesländer) prüfen die Einhaltung aktiv. Bei schwerwiegenden Verstößen: Bußgelder nach Art. 83 Abs. 4 DSGVO.
BSI-Gesetz (BSIG) und BSI-KritisV: Das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, BSIG) legt Mindestandards für die IT-Sicherheit kritischer Infrastrukturen fest (§ 8a BSIG für KRITIS-Betreiber). Die BSI-Kritis-Verordnung (BSI-KritisV) bestimmt, welche Unternehmen als Betreiber kritischer Infrastrukturen gelten (Energie, Wasser, Ernährung, IKT, Gesundheit, Transport, Finanz). Für KRITIS-relevante IT-Service-Verträge gelten erhöhte Sicherheitsanforderungen.
NIS2-Umsetzungsgesetz (NIS2UmsuCG, geplant 2024): Die EU-Richtlinie 2022/2555 (NIS2) über Maßnahmen zur Sicherstellung eines hohen gemeinsamen Cybersicherheitsniveaus in der EU wird durch das NIS2-Umsetzungsgesetz in deutsches Recht umgesetzt. IT-Dienstleister, die wesentliche oder wichtige Einrichtungen betreuen, werden direkt in die NIS2-Meldepflichten einbezogen. Anforderungen: technische und organisatorische Maßnahmen (TOM) nach Art. 21 NIS2, Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden (erste Meldung) und 72 Stunden (detaillierte Meldung) an das BSI.
Branchenspezifische IT-Regularien: Finanzdienstleistungen (BAIT — Bankaufsichtliche Anforderungen an die IT der BaFin, VAIT für Versicherer, ZAIT für Zahlungsdienstleister): IT-Outsourcing-Verträge müssen BaFin-spezifische Anforderungen erfüllen (Prüfungsrechte der BaFin, Solvency II für Versicherer). Gesundheitswesen (KBV-IT-Sicherheitsrichtlinie 2024, BSI C5 für Cloud-Dienste im Gesundheitsbereich): Für IT-Dienstleister von Krankenhäusern und Praxen gelten besondere Anforderungen nach dem Patientendatenschutzgesetz (PDSG) und dem Krankenhausstrukturgesetz (KHSG). Öffentliche Verwaltung (C5-Testat des BSI): Clouddienste für Behörden müssen den BSI-Cloud-Computing-Compliance-Criteria-Catalogue (C5) erfüllen.
Häufige Fehler bei Ihrem IT-Service-Vertrag Managed Services Deutschland
Fehler bei IT-Service-Verträgen Managed Services in Deutschland führen zu Vendor-Lock-in, DSGVO-Bußgeldern und teuren SLA-Streitigkeiten.
Fehlender oder unvollständiger AVV: Der gravierendste Fehler bei IT-Service-Verträgen, die personenbezogene Daten betreffen, ist das Fehlen oder die Unvollständigkeit des Auftragsverarbeitungsvertrags (AVV) nach DSGVO Art. 28. Häufig finden sich AVVs, die die Pflichtbestandteile des Art. 28 Abs. 3 DSGVO nicht vollständig abdecken oder die Sub-Prozessoren-Genehmigung nicht regeln. Folge: Rechtswidrigkeit der gesamten Datenverarbeitungsbeziehung, Bußgeldrisiko nach Art. 83 DSGVO. Prüfung: Enthält der AVV alle 10 Pflichtbestandteile des Art. 28 Abs. 3 lit. a-h DSGVO? Ist die Sub-Prozessoren-Liste aktuell?
Unklarer oder fehlender Service-Scope: Verträge mit vagem Leistungsumfang (z.B. „IT-Betreuung nach Bedarf") sind häufige Streitquelle. Ohne präzisen Service-Scope entstehen endlose Diskussionen darüber, ob eine bestimmte Leistung vom Vertrag umfasst ist oder zusätzlich vergütet werden muss. Empfehlung: Technischer Anhang mit vollständigem System-Inventory als Vertragsanlage, aktualisierbar durch formalisiertes Change-Management.
Kein Exit-Management und Vendor-Lock-in: Viele IT-Service-Verträge enthalten keine oder unzureichende Regelungen für den Dienstleisterwechsel. Bei Kündigung stellt sich dann die Frage: In welchem Format werden die Daten übergeben? Wer trägt die Migrationskosten? Wie lang unterstützt der bisherige Dienstleister den Übergabeprozess? Fehlende Exit-Regelungen schaffen faktischen Vendor-Lock-in. Empfehlung: Datenmigration in maschinenlesbarem Format (SQL-Dump, CSV, XML), 30 Tage kostenloser Exit-Support vertraglich sichern.
Unrealistische SLA-Versprechen: IT-Dienstleister versprechen teilweise SLA-Werte (z.B. 99,99% Verfügbarkeit, P1-Entstörung in 1 Stunde), die mit der eingesetzten Infrastruktur nicht erreichbar sind. SLA-Versprechen, die der Dienstleister dauerhaft unterschreitet, führen zu permanenten Gutschriften und letztlich zum Schadensersatzanspruch des Auftraggebers. Empfehlung: SLA-Werte realistisch kalkulieren und die eingesetzte Infrastruktur (Redundanzen, Monitoring-Tools, Helpdesk-Kapazitäten) auf die vereinbarten SLAs ausrichten.
Missachtung branchenspezifischer Regulierung: IT-Dienstleister, die Unternehmen aus regulierten Branchen (Finanzdienstleistungen, Gesundheitswesen, kritische Infrastrukturen) betreuen, müssen branchenspezifische Anforderungen kennen: BaFin-BAIT für Banken, KBV-IT-Sicherheitsrichtlinie für Arztpraxen, BSI-KritisV für KRITIS-Betreiber. Ein Standard-IT-Service-Vertrag ohne branchenspezifische Anpassungen genügt diesen Anforderungen nicht und kann zu Verstößen gegen Regulierungsauflagen führen.
Quellen und Zitate
Gesetzliche Zitate verlinken auf offizielle Regierungsquellen.
Diese Seite zitieren
Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:
Forms Legal. (2026). IT-Service-Vertrag Managed Services Deutschland (Deutschland) [Legal document template]. Forms Legal. https://forms-legal.com/de/deutschland/business/services/it-service-vertrag-managed-services-deutschland
"IT-Service-Vertrag Managed Services Deutschland (Deutschland)." Forms Legal, 2026, https://forms-legal.com/de/deutschland/business/services/it-service-vertrag-managed-services-deutschland.
@misc{formslegal-it-service-vertrag-managed-services-deutschland,
author = {{Forms Legal}},
title = {IT-Service-Vertrag Managed Services Deutschland (Deutschland)},
year = {2026},
howpublished = {\url{https://forms-legal.com/de/deutschland/business/services/it-service-vertrag-managed-services-deutschland}},
note = {Free legal document template}
}Häufig gestellte Fragen
SaaS-Verträge (Software as a Service) werden in Deutschland nach der Entscheidung des Bundesgerichtshofs (BGH XII ZR 178/03) mietrechtlich qualifiziert, wenn der Nutzer die Software nicht dauerhaft als Kopie erhält, sondern nur zeitlich befristet über das Internet nutzt. Das hat erhebliche praktische Konsequenzen für SaaS-Kunden in Deutschland: Mietminderungsrecht (§ 536 BGB): Wird die vereinbarte Verfügbarkeit (SLA) unterschritten, hat der Auftraggeber das Recht, die Miete (monatliche SaaS-Gebühr) für den Zeitraum des Mangels automatisch zu kürzen — ohne vorherige Mahnung oder Fristsetzung. Für das Ausmaß der Minderung gilt: Bei vollständiger Nichtverfügbarkeit des Dienstes (100% Ausfall): vollständige Mietzinsbefreiung für den Ausfallzeitraum. Bei teilweiser Beeinträchtigung: anteilige Minderung je nach Schwere der Beeinträchtigung. Sonderkündigungsrecht: Bei dauerhaften oder erheblichen Mängeln kann der Mieter nach § 543 Abs. 2 Nr. 1 BGB fristlos kündigen. Abgrenzung: Perpetual-Lizenzen (einmalige Zahlung, dauerhafte Nutzung einer Softwarekopie) werden dagegen kaufrechtlich qualifiziert (BGB §§ 433, 453). SaaS-Verträge, die Dauerleistungen mit Einmalzahlung kombinieren, sind nach dem Schwerpunkt der Leistung zu qualifizieren.
Ein Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28 ist bei IT-Service-Verträgen in Deutschland zwingend erforderlich, wenn der IT-Dienstleister im Rahmen seiner Leistungserbringung personenbezogene Daten des Auftraggebers (oder der Kunden des Auftraggebers) verarbeitet. Das ist bei folgenden IT-Services nahezu immer der Fall: Managed Services mit Remote-Zugang auf Systeme, die Personendaten enthalten (ERP, CRM, HRM, E-Mail). Cloud-Hosting oder Server-Housing, auf dem die Systeme des Auftraggebers laufen (der Dienstleister hat Zugang zu den gespeicherten Daten). Backup-Dienste, die Datensicherungen von Systemen mit Personendaten erstellen. Helpdesk-Services mit Zugriff auf Kundendaten oder Mitarbeiterdaten des Auftraggebers. Kein AVV erforderlich ist dagegen bei: Reinen Netzwerkleistungen (Glasfaser-Anschluss ohne Inhaltszugriff). Hardwarekauf ohne laufende Dienste. Physischer Zugangskontrolle ohne Datenverarbeitungskomponente. Pflichtinhalt des AVV (Art. 28 Abs. 3 DSGVO): Gegenstand und Dauer der Verarbeitung; Art und Zweck; Art der personenbezogenen Daten; Kategorien von betroffenen Personen; Weisungsgebundenheit des Auftragsverarbeiters; Vertraulichkeitspflicht; technisch-organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO; Regelung zu Subunternehmern; Unterstützung bei Betroffenenrechten; Löschung nach Vertragsende; Audit-Rechte. Bei fehlendem AVV drohen Bußgelder nach DSGVO Art. 83 Abs. 4 lit. a von bis zu EUR 10 Mio. oder 2% des weltweiten Jahresumsatzes.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Stelle für Cybersicherheit in Deutschland. Für IT-Service-Verträge sind folgende BSI-Rahmenwerke relevant: BSI IT-Grundschutz (BSI-Standard 200-1, 200-2, 200-3, 200-4): Der BSI IT-Grundschutz ist ein methodisches Framework zur Implementierung eines ISMS (Informationssicherheitsmanagementsystem) in deutschen Behörden und Unternehmen. IT-Dienstleister, die nach BSI IT-Grundschutz zertifiziert sind, erfüllen die Sicherheitsanforderungen der deutschen Öffentlichen Verwaltung. ISO/IEC 27001 ist der internationale Pendant, der weltweit anerkannt ist. BSI-Kritis-Verordnung (BSI-KritisV): Betreiber kritischer Infrastrukturen (Energie, Wasser, Gesundheit, IKT, Transport, Ernährung, Finanzwesen) müssen nachweisen, dass ihre IT dem Stand der Technik entspricht (§ 8a BSIG). Für IT-Dienstleister, die KRITIS-Betreiber betreuen, gelten erhöhte Anforderungen an Verfügbarkeit, Resilienz und Incident Response. BSI C5-Testat (Cloud Computing Compliance Criteria Catalogue): Cloud-Dienste, die von deutschen Behörden oder stark regulierten Unternehmen eingesetzt werden sollen, müssen das BSI C5-Testat vorweisen. Anforderungskategorien: Organisationsmanagement, Asset-Management, Risikomanagement, Physische Sicherheit, Betriebssicherheit, Identitäts- und Zugriffsmanagement, Kryptographie, Kommunikationssicherheit, Lieferantenmanagement, Notfallmanagement, Compliance. Für die Praxis: IT-Dienstleister sollten ihre BSI-Zertifizierungen oder ISO-27001-Zertifikate im IT-Service-Vertrag nennen und verpflichten, diese Zertifikate aufrechtzuerhalten.
Ein Service Level Agreement (SLA) ist die vertraglich festgelegte Qualitätszusage eines IT-Dienstleisters. Es definiert messbare Leistungsparameter und legt fest, was bei Nichteinhaltung passiert. Kernbestandteile eines SLA für Managed Services in Deutschland: (1) Verfügbarkeitsgarantie (Uptime-SLA): Gemessen als Prozentsatz der Zeit, in der der Dienst innerhalb eines Monats verfügbar ist. Berechnung: (Gesamtminuten – Ausfallminuten) / Gesamtminuten × 100. Marktübliche Werte: 99,0% = max. 7,3h Ausfall/Monat (Basic-Tier); 99,5% = max. 3,7h Ausfall/Monat (Standard-Tier); 99,9% = max. 44min Ausfall/Monat (Premium-Tier); 99,99% = max. 4,4min Ausfall/Monat (Enterprise-Tier — nur mit vollredundanter Infrastruktur). (2) Reaktionszeiten nach Priorität (nach ITIL-Framework): P1 (Critical — vollständiger Systemausfall): Reaktionszeit 15min–1h; Entstörungszeit 4–8h. P2 (High — erhebliche Funktionsbeeinträchtigung): Reaktionszeit 1–4h; Entstörungszeit 8h–2 Werktage. P3 (Medium — geringe Störung, Workaround möglich): Reaktionszeit 4h–1 Werktag; Entstörungszeit 2–5 Werktage. P4 (Low — Service Request, keine Betriebsstörung): Reaktionszeit 1–3 Werktage; Bearbeitung nach Kapazität. (3) SLA-Konsequenzen (Service Credits): Unterschreitung der Verfügbarkeit: typischerweise 5–30% Gutschrift auf die Monatsgebühr. Die Service Credits sind bei professionellen MSPs als abschließende Kompensation definiert, es sei denn, Vorsatz oder grobe Fahrlässigkeit liegt vor.
Das Exit-Management ist einer der kritischsten, aber oft vernachlässigten Aspekte von IT-Service-Verträgen in Deutschland. Ohne explizite Exit-Regelungen im Vertrag kann ein Dienstleisterwechsel sehr teuer und zeitaufwendig werden. Rechtliche Grundlagen für das Exit-Management: DSGVO Art. 20 (Datenportabilität): Betroffene Personen haben das Recht auf Übermittlung ihrer personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format. Dieses Recht hilft bei personenbezogenen Daten (z.B. CRM-Kundendaten), aber nicht bei reinen Unternehmensdaten ohne Personenbezug. DSGVO Art. 17 (Recht auf Löschung): Nach Übermittlung der Daten muss der bisherige IT-Dienstleister alle Kundendaten löschen und die Löschung schriftlich bestätigen. Vertraglich zu regeln: (1) Datenexport-Frist: Innerhalb von 30 Tagen nach Kündigung; alle Kundendaten in strukturiertem, maschinenlesbarem Format (SQL-Dump, CSV, XML, JSON). (2) Übergabe-Dokumentation: Vollständige technische Dokumentation (Netzwerkpläne, Server-Konfigurationen, Zugangsdaten, Passwort-Manager-Export). (3) Exit-Support: Mindestens 30 Tage Unterstützung bei der Migration, vergütet zu Tagessätzen. (4) Datenlöschung mit Bestätigung: Schriftliche Löschbestätigung nach erfolgreicher Datenübergabe. (5) Kostenverteilung bei Exit: Klärung, wer die Migrationskosten trägt (typisch: jede Partei ihre eigenen Kosten; Exit-Support wird gesondert vergütet). Empfehlung: Diese Exit-Regelungen VOR Vertragsabschluss verhandeln, da nach Abschluss kaum Verhandlungsmacht besteht.
Die Haftung eines IT-Dienstleisters in Deutschland bei einem Cyberangriff oder Datenverlust ist ein komplexes Thema, das sich aus allgemeinem Schuldrecht (BGB §§ 280 ff.) und spezialgesetzlichen Regelungen (DSGVO, NIS2) zusammensetzt. Vertragliche Haftung nach BGB: Der IT-Dienstleister haftet für Pflichtverletzungen, die kausal für den Schaden sind. Cyberangriffe durch externe Dritte führen zur Haftung des IT-Dienstleisters, wenn: (a) Er seine Sicherheitspflichten aus dem IT-Service-Vertrag verletzt hat (z.B. veraltete Patches nicht eingespielt, bekannte Sicherheitslücken nicht geschlossen). (b) Er fahrlässig gehandelt hat (§ 276 BGB — Verletzung der im Verkehr erforderlichen Sorgfalt). (c) Die Pflichtverletzung kausal für den Schaden war. Beweislast: Der Auftraggeber muss beweisen, dass der IT-Dienstleister eine Sicherheitspflicht verletzt hat und dass diese Pflichtverletzung kausal für den Schaden war. DSGVO-Haftung (Art. 82 DSGVO): Wenn der Datenverlust personenbezogene Daten betrifft, haftet der Auftragsverarbeiter (IT-Dienstleister) dem Betroffenen direkt für den durch eine DSGVO-Verletzung entstandenen materiellen oder immateriellen Schaden. Der IT-Dienstleister kann sich von der Haftung befreien, wenn er nachweist, dass er nicht für das schädigende Ereignis verantwortlich ist. Haftungsbeschränkungen im IT-Service-Vertrag: Im B2B-Bereich können Haftungsgrenzen vereinbart werden: Ausschluss der Haftung für leichte Fahrlässigkeit; Begrenzung auf die Jahresvergütung als Haftungshöchstbetrag. Nicht ausschließbar: Haftung für Vorsatz, grobe Fahrlässigkeit, Körperschäden und DSGVO-Datenschutzverletzungen.
Die EU-Richtlinie 2022/2555 (NIS2) über Maßnahmen zur Sicherstellung eines hohen gemeinsamen Cybersicherheitsniveaus wird in Deutschland durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt. NIS2 erweitert den Anwendungsbereich gegenüber der Vorgänger-Richtlinie NIS1 erheblich: Betroffene Unternehmen: Wesentliche Einrichtungen (essential entities — Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungen, Weltraum, öffentliche Verwaltung) und Wichtige Einrichtungen (important entities — Post, Abfallwirtschaft, Chemieindustrie, Lebensmittel, Fertigungsindustrie, digitale Anbieter, Forschung). IT-Dienstleister, die wesentliche oder wichtige Einrichtungen betreuen, fallen ebenfalls in den Anwendungsbereich. Pflichten nach NIS2 (Art. 21 NIS2-Richtlinie): Risikoanalyse und Informationssicherheitsrichtlinien; Bewältigung von Sicherheitsvorfällen; Backup-Management und Notfallwiederherstellung; Supply-Chain-Sicherheit (Sicherheit der Lieferkette, auch für IT-Dienstleister als Lieferanten); Beschaffung, Entwicklung und Wartung von IT-Systemen; Maßnahmen zur Bewertung der Wirksamkeit der Cybersicherheit; Cyberhygiene und Schulungen; Multi-Faktor-Authentifizierung. Meldepflichten nach NIS2 (Art. 23): Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden: Erste Frühwarnung innerhalb 24 Stunden; Detaillierte Meldung innerhalb 72 Stunden; Abschlussbericht innerhalb 1 Monat. Sanktionen bei NIS2-Verstößen: Wesentliche Einrichtungen: bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes; Wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes.
Die Frage, ob SLA-Service-Credits als abschließende Kompensation für SLA-Verletzungen vereinbart werden können, ist eine der wichtigsten Verhandlungsfragen bei IT-Service-Verträgen in Deutschland. Service Credits als abschließende Regelung (liquidated damages): Im B2B-Bereich können Parteien vereinbaren, dass Service-Credits die ausschließliche Kompensation für SLA-Verletzungen sind (sog. Liquidated Damages-Klausel). Voraussetzung: Die Service-Credits müssen eine angemessene Pauschale darstellen und dürfen nicht sittenwidrig niedrig sein (§ 138 BGB). Klauseln, die Service-Credits als alleinige Kompensation für alle Schäden einschließlich grober Fahrlässigkeit vorsehen, sind im deutschen Recht unwirksam (§ 309 Nr. 7b BGB analog, §§ 307, 276 Abs. 3 BGB). Was wirksam vereinbart werden kann: Service-Credits als abschließende Kompensation für SLA-Verletzungen bei leichter Fahrlässigkeit. Ausschluss von Folgeschäden (entgangener Gewinn, Betriebsunterbrechungsschäden) bei leichter Fahrlässigkeit. Haftungsgrenzen in Höhe der Jahresvergütung für direkte Schäden. Was NICHT ausgeschlossen werden kann: Haftung für Vorsatz und grobe Fahrlässigkeit (§ 276 Abs. 3 BGB); Haftung für Körper- und Gesundheitsschäden; DSGVO-Schadensersatzansprüche (Art. 82 DSGVO, da EU-Recht vorrangig gilt). Empfehlung für die Vertragsgestaltung: Service-Credits klar als Mindestkompensation definieren; Schadensersatzrecht bei grober Fahrlässigkeit und Vorsatz ausdrücklich vorbehalten; Haftungsobergrenze für direkte Schäden bei leichter Fahrlässigkeit vereinbaren.
Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss
Fehler gefunden? Sagen Sie uns BescheidVerwandte Dokumente
Diese Dokumente könnten ebenfalls nützlich sein:
Auftragsverarbeitungsvertrag (AVV) Deutschland
Auftragsverarbeitungsvertrag (AVV) für Deutschland — zwingend erforderlich nach DSGVO Art. 28, wenn ein Verantwortlicher einen Auftragsverarbeiter einsetzt. Enthält Weisungsrecht, technisch-organisatorische Maßnahmen (TOMs), Subauftragnehmer-Genehmigung, Datenpannenmeldung und Prüfungsrechte.
Software-Lizenzvertrag (EULA) Deutschland
Software-Lizenzvertrag (EULA) für Deutschland nach UrhG §§ 69a–69g. Regelt Einzel-, Mehrbenutzer-, OEM- und SaaS-Lizenzen, Lizenzgebühren, Gewährleistung, Dekompilierungsschutz und Weiterverkaufsrecht nach EuGH C-128/11 UsedSoft.
IT-Freelancer-Vertrag Deutschland
IT-Freelancer-Vertrag für Deutschland — Werkvertrag vs. Dienstvertrag (BGB §631/§611), IP-Übertragung nach UrhG §69b, Scheinselbstständigkeit §7 SGB IV, Statusfeststellungsverfahren §7a SGB IV.