Zum Hauptinhalt springen
Wissens-Artikel·Hosting & Betrieb · 8 min · Stand 2026-05-16

12 Punkte, die in jedem IT-Vertrag stehen sollten: Eine Checkliste für KMU

Bevor Sie einen IT-Vertrag unterzeichnen, prüfen Sie diese 12 Punkte. Verträge ohne diese Klauseln führen erfahrungsgemäss zu Ärger bei Eskalationen, Kündigungen oder Sicherheitsvorfällen.

Veröffentlicht2026-05-16Aktualisiert2026-05-16Lesezeit8 minVerbleibend8 minSGFHosting & BetriebAutorSYSINFRA

Warum diese Checkliste

Viele IT-Verträge sind zwischen den Zeilen vage formuliert. Im Tagesgeschäft fällt das nicht auf. Wenn es aber zu einem Vorfall kommt, einem Anbieter-Wechsel oder einer rechtlichen Frage, zeigt sich, wo die Lücken sind.

Diese Checkliste ist die Mindest-Substanz, die wir in jeden Mandats-Vertrag schreiben. Sie können sie nutzen, um bestehende Verträge zu prüfen, oder als Anforderungs-Liste vor einer Ausschreibung.

Die 12 Punkte

1. Leistungs-Beschreibung mit klarem Scope

Was ist explizit drin, was ist explizit nicht drin? Vage Formulierungen wie "Betreuung Ihrer IT-Infrastruktur" reichen nicht. Wir wollen sehen: welche Systeme, welche Personen, welche Reaktionszeiten.

2. Reaktions- und Lösungszeiten getrennt

Reaktionszeit (wir melden uns) ist nicht Lösungszeit (das Problem ist behoben). Beides muss separat im Vertrag stehen, mit unterschiedlichen Zeiten für unterschiedliche Prioritätsstufen (P1 kritisch, P2 hoch, P3 normal).

3. Dokumentierter Eskalations-Pfad

Wer ist Ihr primärer Ansprechpartner? Wer ist Stellvertretung? Was passiert wenn beide nicht erreichbar sind? Welche Telefonnummer wird im Notfall angerufen? Das gehört in den Vertrag, nicht in eine E-Mail die nach zwei Jahren niemand mehr findet.

4. Mindestlaufzeit und Kündigungsfristen

Mindestlaufzeit (typisch 6 oder 12 Monate) und Kündigungsfrist (typisch 30 oder 60 Tage) müssen klar sein. Achten Sie auf automatische Verlängerungs-Klauseln: ein Jahr Mindestlaufzeit, dann monatlich kündbar ist transparenter als drei Jahre mit Verlängerung.

5. Daten-Ownership und Export

Die Daten gehören Ihnen, nicht dem Dienstleister. Im Vertrag muss stehen: wie bekommen Sie Ihre Daten heraus, in welchem Format, in welchem Zeitfenster, zu welchen Kosten. Bei Kündigung gilt typischerweise 30 Tage Daten-Übergabe ohne Aufpreis.

6. Backup-Strategie konkret beschrieben

Backup-Frequenz (täglich? stündlich?), Retention (30 Tage? 90 Tage?), Standort (gleiches Rechenzentrum? Geo-redundant?), Restore-Test (wie oft, dokumentiert wo). "Backup vorhanden" reicht nicht.

7. Sicherheits-Vorfall-Meldung

Wann wird ein Sicherheitsvorfall an Sie gemeldet? Welche Frist? Wer entscheidet, ob es ein meldepflichtiger Vorfall nach revDSG ist? Wer informiert die Aufsichtsbehörde (EDÖB) wenn nötig?

8. Sub-Prozessoren transparent gelistet

Welche Drittanbieter werden eingesetzt (Hosting, Backup, Mail-Provider, Zahlungsabwicklung)? Wo sitzen sie? Welcher AVV-Vertrag liegt mit ihnen vor? Diese Liste muss aktuell sein und jährlich überprüft werden.

9. Haftungs-Cap und Versicherung

Bis zu welcher Höhe haftet der Dienstleister? Ist eine Berufshaftpflicht-Versicherung vorhanden, und in welcher Höhe? Haftungs-Caps sind branchenüblich, aber sie müssen explizit stehen — nicht "in Höhe der Vertragssumme der letzten 12 Monate" ohne Zahl.

10. Vertraulichkeit und NDA

Wer beim Dienstleister hat Zugang zu Ihren Daten? Sind alle Mitarbeitenden auf Vertraulichkeit verpflichtet? Wie ist der Onboarding-/Offboarding-Prozess beim Dienstleister, damit Ex-Mitarbeitende keinen Restzugriff behalten?

11. Anwendbares Recht und Gerichtsstand

Schweizer Recht und Schweizer Gerichtsstand. Bei Streitfällen wollen Sie nicht in Deutschland oder den USA klagen müssen. Das ist eine einfache Klausel, die aber bei internationalen Dienstleistern oft fehlt.

12. Change-Management-Prozess

Wie werden vertragliche Änderungen kommuniziert? Mindestens 30 Tage Vorlauf für Preiserhöhungen, 60 Tage für strukturelle Änderungen. Stille Verträgs-Erweiterungen durch versteckte Klauseln sollten ausgeschlossen sein.

Was wir konkret machen

Bei uns ist jeder Mandats-Vertrag aus diesen 12 Bausteinen zusammengesetzt, plus drei Standard-Beilagen:

  • Service-Level-Agreement (SLA): Reaktionszeiten, Eskalations-Pfad, Verfügbarkeits-Zusagen
  • Auftragsverarbeitungs-Vereinbarung (AVV): Sub-Prozessoren, Datenflüsse, Lösch-Konzept
  • Statement of Work (SOW): Konkreter Scope, Abnahme-Kriterien, Lieferumfang

Diese drei Dokumente machen aus einem Mandat einen prüfbaren Vertrag. Wenn etwas nicht drin steht, gilt es nicht.

Erstgespräch

Wenn Sie einen bestehenden Vertrag auf diese 12 Punkte prüfen lassen möchten, oder einen neuen Vertrag aufsetzen, ist das Erstgespräch kostenlos.