Ein unklarer oder fehlender IT-Servicevertrag führt schnell zu Streit zwischen IT-Dienstleister und Kunde. Wir zeigen, welche Regelungslücken besonders konfliktträchtig sind und warum eine professionelle Vertragsgestaltung sinnvoll ist.
Rechtsanwalt Niklas Plutte
Fachanwalt für gewerblichen Rechtsschutz
Rechtsanwalt Oliver Wolf, LL.M.
Fachanwalt für Urheber- und Medienrecht
Unsere Kanzlei ist spezialisiert und IT-Recht und Vertragsrecht. Nutzen Sie unsere kostenlose Erstberatung.
Typische Konfliktlinien bei laufender IT-Betreuung im B2B
IT-Serviceverträge sichern den laufenden Betrieb geschäftskritischer Systeme ab. Sie betreffen Support, Störungsbehebung, Monitoring und Wartung. In der Praxis überschneiden sich diese Leistungen schnell mit projektnahen Zusatzaufgaben, z.B. kleinere Anpassungen oder Rollouts. Diese Mischung kann zu Streit über Umfang und Qualität der geschuldeten Leistungen führen und nachgelagert zu Fragen, ob und ggf. welche zusätzliche Vergütung geschuldet ist.
Bleibt die vertragliche Leistungsbeschreibung zu allgemein, ist im Konfliktfall unklar, was als Basisleistung geschuldet ist und was als Zusatzleistung gilt. Sind Störungsbeseitigung und Weiterentwicklung nicht sauber getrennt, kommt es in der Folge schnell zu Diskussionen über Reaktionspflichten, Abrechnung und Verantwortlichkeiten.
Dienstvertrag, Werkvertrag oder Mischvertrag?
IT-Serviceverträge sind nur selten reine Dienstverträge. Meist handelt es sich um Mischverträge, die dienstvertragliche, werkvertragliche und teilweise auch lizenzrechtliche oder mietrechtliche Elemente enthalten. Laufende Überwachung und allgemeiner Support sind typischerweise dienstvertraglich geprägt. Konkret geschuldete Ergebnisse können dagegen werkvertragliche Züge tragen. Die Abgrenzung beeinflusst unter anderem, welche Maßstäbe bei Mängeln, Verzug oder Nachbesserungsverlangen gelten.
Zusätzlich ist die Abgrenzung zu IT-Wartungsverträgen und Projekt- oder Werkverträgen wichtig. Wartung zielt regelmäßig auf die Funktionsfähigkeit bestehender Systeme. Projektverträge betreffen die Erstellung oder Weiterentwicklung von IT-Produkten. Überschneidungen sind häufig, wenn Customizing im Service „mitläuft“. Ohne klare Trennung drohen unpassende Rechtsfolgen und Streit über den Leistungsumfang.
Leistungsbeschreibung und SLA müssen klar definiert sein
Der Kern jedes IT-Servicevertrags ist eine präzise Leistungsbeschreibung. Pauschale Begriffe wie „IT-Support“ oder „Wartung“ sind als Beschreibung zu unbestimmt. Richtigerweise sollte der Vertrag konkret festlegen, welche Services zu erbringen sind. Dazu zählen etwa Helpdesk, Remote-Support, Vor-Ort-Einsätze, Monitoring, präventive Wartung und Störungsbeseitigung.
Ebenso wichtig ist die Abgrenzung von Basisleistungen, Zusatzleistungen und nicht geschuldeten Leistungen. Das gilt besonders, wenn Pauschalen oder Flatrates vereinbart sind.
Über ein Service Level Agreement lassen sich die Leistungspflichten des IT-Dienstleisters sehr detailliert regeln. Dazu gehören Themen wie Verfügbarkeit, Reaktionszeit und Wiederherstellungszeit, KPIs, Messmethoden und Messzeiträume. Auch Wartungsfenster und geplante Downtimes sollten geregelt sein, weil sie die Messung der Verfügbarkeit beeinflussen. Ohne konkrete vertragliche Regelung dieser Werte lässt sich nicht handfest beurteilen, was vom IT-Dienstleister geschuldet ist (und was nicht).
In der Praxis fehlt in SLAs mitunter eine saubere Priorisierung der Störungsdramatik. Ohne Priority Level bleibt offen, welche Fristen bei welcher Beeinträchtigung gelten. Das erschwert die Durchsetzung von Ansprüchen bei SLA-Verletzungen und erhöht das Risiko von Streit über Mängel und Vergütung. Eine abgestufte Regelung schafft Erwartungssicherheit auf beiden Seiten.
Update- und Change-Regeln sowie Mitwirkungspflichten
IT-Umgebungen ändern sich laufend, weshalb Update-, Upgrade- und Patch-Management vertraglich abgebildet werden sollten. Der IT-Servicevertrag sollte festlegen, welche Updates geschuldet sind, z.B. Sicherheitsupdates oder Funktionsupdates. Auch der Umgang mit Versionssprüngen sollte geregelt werden („Update von Version 1.4 auf 2.0“).
Change-Management ist ein weiterer Konfliktbereich. Ohne geregeltes Verfahren zum Umgang mit Leistungsänderungen fehlt ein belastbarer Rahmen, was nahezu sicher zu Streitigkeiten zwischen IT-Dienstleister und Kunde führt. Ähnliches gilt für die Frage, ob und ggf. gegen welche Zusatzvergütung eine Dokumentation erstellt und gepflegt werden soll.
Auf Seiten des Kunden können Mitwirkungspflichten bestehen wie die Bereitstellung bestimmter Systemanforderungen oder Zugängen sein, die Benennung von Ansprechpartnern oder die Durchführung von zeitnahen Tests und Erstellung von Bugreports. Entscheidend ist nicht nur die Aufzählung solcher Mitwirkungspflichten, sondern auch die Regelung, welche Rechtsfolgen bei Verstößen gelten. Fehlen solche Regelungen, bleibt offen, wie sich fehlende Mitwirkung auf Fristen, SLA und Haftung auswirkt. Das führt nahezu automatisch zu Auseinandersetzungen über Verzug und Verantwortlichkeiten.
Haftung, Datenschutz und Subunternehmer
Da Ausfälle und Sicherheitsvorfälle erhebliche Schäden auslösen können, stehen Haftungsfragen im Zentrum der Verträge. Ein IT-Servicevertrag sollte die relevanten Haftungstatbestände konkret adressieren, z.B. den Umgang mit Datenverlust, Verzug, Nichterfüllung oder SLA-Verletzungen.
Bei Datenverlust ist beispielsweise die Frage der Wiederherstellungskosten ein besonders praxisrelevantes Problem. Fehlt dazu eine klare vertragliche Absprache, wird im Schadenfall über Umfang und Nachweis gestritten.
Haftungsbegrenzungen müssen zudem wirksam gestaltet sein. Unangemessene oder zu pauschale Ausschlüsse sind riskant. Das gilt etwa bei undifferenzierten Ausschlüssen von Folgeschäden. Im Streitfall droht dann die Unwirksamkeit der Klausel, was regelmäßig bedeutet, dass stattdessen die gesetzlichen Regeln greifen und der Haftungsumfang ungewollt steigt.
Auch Verantwortlichkeiten bei Sicherheitsvorfällen sollten klar zugeordnet werden. Unklare Zuständigkeiten erschweren Reaktion und Haftungszuordnung. Praktisch relevant ist zudem, ob der Dienstleister für Schlüsselpersonen oder Know-how-Träger einstehen soll. Fehlen Regelungen, kann der Ausfall zentraler Mitarbeiter die Leistung beeinträchtigen, ohne dass klare Konsequenzen vereinbart sind.
Datenschutzrechtlich sollte stets geregelt werden, ob der Dienstleister als Auftragsverarbeiter tätig wird oder eine andere Rollenverteilung vorliegt. Greift der Dienstleister auf produktive Systeme und personenbezogene Daten zu, ist regelmäßig ein Auftragsverarbeitungsvertrag erforderlich. Dessen Inhalte müssen insbesondere TOM, Zugriffsrechte, Protokollierung und Vertraulichkeit abdecken. Unvollständige Regelungen erhöhen das Risiko von Bußgeldern, aufsichtsrechtlichen Maßnahmen und Schadensersatzansprüchen.
Kommt es zum Einsatz von Subunternehmern oder Third-Party-Services, sollte der Vertrag Transparenzpflichten, Haftungszuordnung und Datenschutzvorgaben enthalten. Fehlen diese Regeln, bleibt unklar, wer für Störungen oder Datenschutzverstöße in der Lieferkette einsteht – ein erhebliches Compliance- und Haftungsrisiko.
Laufzeit, Vergütung, Exit und Nachweisregeln
IT-Serviceverträge laufen häufig über längere Zeit und enthalten wiederkehrende Vergütung. Deshalb sollten Vertragsbeginn, Laufzeit und Kündigungsrechte klar geregelt sein. Unklare oder unangemessene Klauseln bergen das Risiko der Unwirksamkeit. Dann greifen gesetzliche Regelungen, was die Planungssicherheit beeinträchtigt.
Bei der Vergütung sind Pauschalen, Flatrates, Kontingente, aber auch Abrechnung nach Zeitaufwand übliche Modelle. Der Vertrag sollte die Abrechnungsmodalitäten sauber definieren. Besonders konfliktträchtig sind Flatrates, wenn nicht klar zu Mehrleistungen abgegrenzt wird.
Exit-Regelungen vermeiden Lock-in und Know-how-Verlust. Sie betreffen Datenrückgabe, Datenformat, Löschung und Unterstützung beim Providerwechsel. Ohne klare Exit-Pflichten kann ein Wechsel faktisch blockiert oder stark verzögert werden. Das gilt auch für Rechte an Skripten, Konfigurationen und Dokumentationen. Diese Unterlagen sind oft für den Weiterbetrieb erforderlich.
Dokumentation und Reporting sind zudem zentrale Steuerungsinstrumente. SLA-Reports und Störungsprotokolle erleichtern die Bewertung der Leistung. Sie sind auch für Nachweise gegenüber Kunden und Aufsichtsbehörden relevant. Fehlen Vorgaben, wird die Beurteilung der SLA-Einhaltung erschwert. Das schwächt die Durchsetzung von Ansprüchen, etwa bei wiederholten SLA-Verletzungen.
Eskalationsmechanismen schaffen einen geordneten Umgang mit wiederkehrenden Störungen. Ohne Eskalationsstufen und Streitbeilegungsmechanismen bleibt oft nur die Eskalation über Kündigung. Das ist wirtschaftlich meist die schlechteste Option.
Wenn Sie einen IT-Servicevertrag, IT-Wartungsvertrag oder SLA rechtssicher gestalten oder prüfen lassen möchten, nutzen Sie unsere kostenfreie Ersteinschätzung.
