IT-Verträge: Durchblick bei IT-Verträgen
Grundlagen
Der IT-Vertrag ist die generelle Bezeichnung eines Vertrages für ganz unterschiedliche Leistungen im Bereich der Informatik. Er findet Einsatz in der Erstellung und dem Betrieb einer Homepage bis hin zur Verfügungsstellung einer gesamten externen IT-Infrastruktur, sodass die Mitarbeiter lediglich noch über das Internet und ein Terminal verbunden sind (sogenannte Cloud-Lösungen).
Verträge im IT-Bereich treten in verschiedenen Formen auf wie beispielsweise Cloud-Verträge, IT-Beratungsverträge, agile Software-Entwicklungsverträge, Wartungsverträge und ähnliche. Dabei handelt es sich meist um sogenannte «Innominatverträge», auf welche in der Regel die Bestimmungen des Obligationenrechts analog zur Anwendung kommen.
Auf die Leistungsverträge der IT-Branche findet sehr häufig das Auftragsrecht (Art. 394 ff. OR) Anwendung. Ein Merkmal des Auftragsrechts ist, dass vom Dienstleister kein Erfolg, kein finales Werk, geschuldet ist, sondern es Aufgabe des Dienstleisters ist, die geschuldete Leistung im vereinbarten Zeitraum in der geschuldeten Sorgfalt zu erbringen.
Wird hingegen ein Erfolg geschuldet, z.B. die Entwicklung einer Software im Sinne einer App, so finden regelmässig die Bestimmungen des Werkvertragsrechts im Sinne von Art. 363 ff. OR Anwendung. Bei einem Werkvertrag schuldet der Dienstleister einen konkreten Erfolg (beispielsweise das Erstellen einer funktionierenden IT-Infrastruktur oder die Erstellung einer funktionierenden Homepage).
Die Abgrenzung, ob die Bestimmungen des Auftrags- oder Werkvertragsrechts Anwendung finden, ist meist nicht einfach und stets einzelfallspezifisch vorzunehmen.
Hauptelement des IT-Vertrags
In einem ersten Schritt sind die Parteien des IT-Vertrages festzulegen. Dabei ist auch zu bestimmen, ob bestimmte Personen/Spezialisten namentlich genannt werden oder ob die Partei, welche IT-Leistungen erbringt, frei ist, welche Personen/Unternehmen sie mit der Erbringung der Dienstleistungen beauftragt. Mit dieser Definition hängt nicht selten die Qualität der IT-Leistung zusammen, weshalb darauf genügend Augenmerk gelegt werden sollte. Es ist zudem zu beachten, dass ein IT-Vertrag immer Abhängigkeiten schafft und der Dienstleister nicht selten Einblick in sensible Daten und Geschäftsunterlagen erhält.
Vertragliche Pflichten und Leistungsumfang
Der Leistungsbeschrieb, sprich der Beschrieb dessen, was der Kunde erhalten bzw. der Dienstleister leisten soll, soll verständlich und möglichst genau abgefasst sein. Dies dient beiden Parteien: Der Kunde erhält ein klares Bild der Leistung, die er bezieht und bezahlt, der Dienstleister definiert eindeutig, was der Umfang seiner Leistung ist und was unter Umständen extra verrechnet werden kann.
Pflichtenheft und Termine
Für das gute Gelingen eines IT-Vertrags ist ein möglichst detailliertes Pflichtenheft mit Terminen inklusive Mitwirkungspflichten der Parteien zu erstellen. Dabei ist zu berücksichtigen, dass häufig zu Beginn der Vertragsbeziehung nicht alle Details definiert werden können und diese im Laufe der Vertragsbeziehung festgelegt werden müssen.
In vielen Fällen ist das Mitwirken des Auftraggebers bzw. Bestellers notwendig, indem dieser Informationen und Feedbacks zu Problemlösungen abgibt. Bei umfangreicheren Projekten ist es üblich, die Projektmethode für den IT-Vertrag zu bestimmen. Häufig wird dabei auf die vom Bund entwickelte Projektierungsmethode HERMES Bezug genommen.
Preise und Zahlungsmodalitäten
Der Preis ist ein zentrales Merkmal jedes Vertrags und entspricht dem finanziellen Gegenstück der erhaltenen oder zu erwartenden Leistung. Wichtig ist, den Preis möglichst genau und klar zu definieren: Pauschalpreis für welche Leistungen? Preis pro Menge, pro Stück, pro geleistete Arbeitsstunde? Der Vertrag oder ein Bestandteil hiervon sollte die Antwort geben können. Für Verträge, die über eine lange Zeitperiode abgeschlossen werden, ist ein Mechanismus zur Preisanpassung empfehlenswert, um beispielsweise die Inflation auszugleichen. Schliesslich sollen die Abrechnungsperioden klar definiert sein: Eine transparente Abrechnung dient wiederum allen Parteien. Heute üblich sind gerade im IT-Umfeld Preise pro Einheit (z.B. Mailbox, Speicherplatz, Support-Fall) oder dann Preis pro Aufwand (Tagesansätze).
Zusätzlich zu den Preisen für Leistungen können Pönalen vereinbart werden, falls die vereinbarten Leistungen nicht in der vereinbarten Qualität geliefert werden (z.B. weniger Speicher, lange Ausfallzeiten von Systemen).
Fertigstellungsverfahren und Abnahme
Je nach Umfang des IT-Vertrags ist das Abnahmeverfahren wie auch Teilabnahmen zwischen den Parteien festzulegen. Bei der Abnahme sind die Schweregrade der Mängel sowie die sich daraus ergebenden Pflichten zu definieren. Ebenso ist festzulegen, was bei allfälligen Terminüberschreitungen gelten soll.
Neben diesen grundlegenden Vertragselementen gibt es weitere rechtliche Spezialaspekte, denen je nach Art des IT-Vertrags besondere Beachtung geschenkt werden sollte.
Passende Produkt-Empfehlungen
Rechtliche Spezialaspekte und besondere Vertragsformen
Nutzungsrechte und Lizenzen
Nutzungsrechte, die festlegen, wie beispielsweise eine Software genutzt werden darf, sind in vielen IT-Verträgen ein wichtiger Bestandteil.
Es empfiehlt sich, diese Nutzungsrechte hinsichtlich deren Umfang (Anzahl Nutzer/unbegrenzte Anzahl, zeitliche Limitierung, geografische Limitierung) genau zu beschreiben und falls notwendig detailliert zu verhandeln. Komplexe Lizenzmodelle gerade bei grösseren Dienstleistern führen zu hohen Nutzungs- bzw. Lizenzkosten und sind daher vor Vertragsabschluss sorgfältig zu prüfen.
Bei im Rahmen des Vertrags geschaffenen Werken und Software ist zu bestimmen, wem die umfassenden Lizenzrechte an diesen zustehen und wie die einzelnen Partner diese nutzen dürfen bzw. können. In vielen Fällen stellt sich auch die Frage, ob ein Dienstleister die erstellte Software in einem anderen Zusammenhang oder für andere Unternehmen gebrauchen kann.
Auch bei Cloud-Verträgen sind Nutzungsrechte relevant. Meist sind hier Nutzungen und Nutzungsrechte zeitlich limitiert und können nach Vertragsbeendigung nicht mehr genutzt werden. Allfällige damit verbundene Migrationen, die normalerweise nicht im Leistungsumfang enthalten sind, können daher zu hohen Zusatzkosten führen.
Datenschutz
Das Schweizer Datenschutzgesetz (DSG) stellt erhöhte Anforderungen an die Bearbeitung von Personendaten. Das DSG orientiert sich in vielen Bereichen an der EU-Datenschutzgrundverordnung (DSGVO), geht aber in einzelnen Punkten eigene Wege. Bei der Bearbeitung von Personendaten müssen Unternehmen nun erweiterte Informationspflichten erfüllen, den betroffenen Personen umfassendere Auskunfts- und Kontrollrechte gewähren sowie Datenschutz durch Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) sicherstellen.
Für IT-Verträge bedeutet dies, dass klar zu regeln ist, welche Partei als Verantwortliche im Sinne des Datenschutzrechts gilt und wie die Pflichten zur Wahrung des Datenschutzes zwischen den Vertragsparteien verteilt werden. Insbesondere bei grenzüberschreitenden Dienstleistungen oder der Einbindung von Unterauftragnehmern sind zusätzliche Schutzmassnahmen zu treffen. Bei Verstössen gegen das DSG drohen natürlichen Personen Bussgelder von bis zu CHF 250.000, was die Wichtigkeit einer sorgfältigen datenschutzrechtlichen Vertragsgestaltung unterstreicht.
Gewährleistung und Haftung
Der Dienstleister sollte im Vertragswerk unterscheiden, für welche Leistungen er direkt einzustehen hat und für welche er auf Zulieferer oder Hersteller verweisen und zurückgreifen kann und muss. Es empfiehlt sich, zu definieren, wie eine Reklamation erhoben werden kann (vorzugsweise schriftlich oder nach einem Telefonat schriftlich bestätigt), sowie wer in welchem Umfang Ansprechpartner für Gewährleistungsansprüche ist. Klare Abmachungen erleichtern die Kommunikation und Abwicklung von allfälligen Mängeln.
Support und Wartung
Wird eine bestimmte Software eingesetzt, schliessen die Parteien üblicherweise einen Software-Support- und Wartungsvertrag, um Support-Anfragen bearbeiten zu können und Anpassungen bei geänderten Umständen oder Verbesserungen an der Software vorzunehmen. Diese werden üblicherweise in den Service Level Agreements (SLA) näher beschrieben und die Behebungsmodalitäten und -zeiten definiert.
Grundsätzlich trifft den Kunden eine Mitwirkungspflicht: Sind Mängel aufgetaucht oder Leistungen schlecht erbracht worden, so hat der Kunde einen vorhandenen Fehler in der vertraglich festgehaltenen Form zu melden und zu dokumentieren, z.B. mit Screenshots, Beschreibungen. Wird ein Fehler nicht, unvollständig oder zu spät gemeldet, kann dies zu einer Einschränkung der Haftung durch den Dienstleister führen, sofern es vertraglich vereinbart ist.
Üblich ist in vielen Fällen, dass der Dienstleister direkt auf das System beim Kunden zugreifen kann, um den Fehler zu beheben. Dazu sollten Voraussetzungen und Berechtigungen genau definiert werden, besonders bei Kunden mit sehr sensitiven Daten (Banken, Spitäler, Behörden). Externe Zugriffe sind nur eingeschränkt zu vergeben und nur dann, wenn dies effektiv notwendig ist.
Die Datensicherung ist Aufgabe des Kunden, sofern diese Aufgabe nicht dem Dienstleister vertraglich übertragen wurde.
Cloud Computing: Eigenschaften und Besonderheiten
Cloud Computing zeichnet sich durch folgende Charakteristika aus:
On-demand Self-Service
Bündelung von Ressourcen (Speicherkapazität, Lizenzen)
Rapid Elasticity (schneller Bezug von hohen Ressourcen mit anschliessender Reduktion derselben)
Measured Services (messbare Dienstleistungen)
Pay-per-Use (Bezahlung der Ressourcen, die effektiv genutzt wurden)
Cloud Services werden in unterschiedlichen Formen bereitgestellt:
Infrastructure as a Service (IaaS)
Software as a Service (SaaS)
Platform as a Service (PaaS)
Durch Auslagerung von IT-Systemen oder Prozessen entsteht laufend Wettbewerb zwischen den verschiedenen Anbietern, sodass die Kosten gemindert werden können. Anders als bei internen Abläufen hat ein externer Dritter Interesse daran, die Abläufe so zu vereinfachen und zu vereinheitlichen, dass möglichst wenige Systeme bzw. Prozesse unterhalten werden müssen. Cloud Services bieten ausserdem den Vorteil, dass in den Kosten der effektive Gebrauch mit berücksichtigt wird (z.B. Microsoft365, Amazon).
Die Risiken bei Cloud Computing bestehen in der Abhängigkeit vom Cloud Service Provider (CSP) und dem dadurch verursachten Verlust an Kontrolle und Transparenz sowie der unzureichenden Datensicherheit, sofern nicht zusätzlich abgesichert. Um das Risiko der Abhängigkeit vom CSP zu minimieren, wird empfohlen, zusätzlich zu den oben erwähnten Punkten eine Ausstiegsstrategie für den konkreten Cloud Service zu vereinbaren – d.h., dass ein möglicher Wechsel zu einem anderen CSP oder die Überführung in einen Eigenbetrieb vertraglich vorgesehen wird.
Ebenso wichtig ist ein Back-up vorzusehen, um einen Datenverlust auf das Minimum zu reduzieren oder bestenfalls vorzubeugen und auch eine Migration zu einem Drittanbieter zu erleichtern. Bezüglich der Datensicherheit ist es nützlich, in der Planungsphase eine Sicherheitsanalyse durchzuführen, um den Schutzbedarf der Daten und so die notwendigen Sicherheitsanforderungen zu bestimmen.
Vertragsende
Schliesslich hat jeder Vertrag eine Laufzeit, oder er kann per Kündigung beendet werden, sei es ordentlich oder ausserordentlich. Es ist sinnvoll und nötig, die Fristen und Prozesse für beide Szenarien im IT-Vertragswerk vorzusehen. Ordentlich endet ein Vertrag, wenn dieser im Voraus befristet wurde oder innerhalb einer festgehaltenen Kündigungsfrist in der vorgesehenen Form gekündigt wird. Für die ausserordentliche Kündigung, d.h. eine Kündigung aus wichtigem Grund (Weiterführung des Vertrags ist objektiv unzumutbar), sollten die Voraussetzungen sowie die Kündigungsschritte definiert werden. Kündigungsfristen dienen der Berechenbarkeit der zum Teil investitionsintensiven Verpflichtungen beider Parteien. Zu beachten ist jedoch, dass in Verträgen, in welchen das Beendigungsrecht nach Auftragsrecht zur Anwendung kommt (Art. 404 OR), ein beidseitig jederzeitiges Kündigungsrecht vorgesehen ist, welches in gewissen Fällen aufseiten des Dienstleisters zu unbefriedigenden Ergebnissen führen kann (nicht gedeckte Personal- oder Investitionskosten). Dies gilt es beim Verfassen der entsprechenden Klauseln im Auge zu behalten, z.B. durch Festlegung möglicher (Schadenersatz-)Zahlungen oder Pönalen.
Fazit
Transparente, klare und präzise Vertragsdokumente schaffen gegenseitiges Vertrauen und vereinfachen die Kommunikation und die Vertragsabwicklung zwischen den Parteien. Eine offene und transparente Kommunikation sollte nicht als Formalismus abgetan werden, sondern als Chance. Daten und Informationen werden zunehmend zu wichtigen Assets der Kunden. Es ist für den IT-Leister von Vorteil, wenn er auch in der Vertragsgestaltung aufzeigen kann, dass er im Umgang mit den Kundendaten diese Wichtigkeit entsprechend würdigt.
Checkliste für IT-Verträge
Die folgende Checkliste fasst die wichtigsten zu beachtenden Punkte bei IT-Verträgen zusammen:
Vertragsleistungen
Sind alle Vertragsleistungen vollständig, klar und übersichtlich definiert?
Sind Leistungen, die nicht in den Vertrag gehören und zuzüglich verrechnet werden, eindeutig als solche gekennzeichnet?
Preise
Ist für jede vertragliche Leistung der Preis definiert oder klar berechenbar?
Ist der Preis pro Einheit (Stück, Stunde, Pauschale) eindeutig festgehalten?
Ist der Preis für zusätzliche Leistungen vorab festgelegt und eindeutig?
Ist ein Preisanpassungsmechanismus vorgesehen?
Lizenzverträge
Bestehen Lizenzverträge von eigenen Produkten?
Bestehen Lizenzverträge über Produkte von Herstellern, Zulieferern oder anderen Dritten?
Datenschutz
Werden Daten bearbeitet?
Wenn ja: Werden Personendaten bearbeitet?
Wenn ja: Besteht ein internationaler Zusammenhang? Prüfung der einschlägigen Datenschutzgesetze (z.B. DSG oder EU DSGVO).
Sind die datenschutzrechtlichen Vorschriften bekannt?
Wenn nein: Fachkundige Hilfe einholen.
Gewährleistungsrecht und Haftung
Sind die Mangelanmeldeprozesse eindeutig definiert?
Ist definiert, was Mangelbehebung und was (kostenpflichtiger) Support ist?
Hafte ich beschränkt oder unbeschränkt?
Kann ich meine Haftung beschränken? • Ausschluss einfacher Fahrlässigkeit • Ausschluss Haftung Dritter, Zulieferer soweit möglich
Vertragsauflösung
Ordentliche Auflösung • befristeter Vertrag oder • unbefristeter Vertrag mit Kündigungsfrist
Ausserordentliche Auflösung • Kündigung aus wichtigem Grund • wichtige Gründe definieren
Beachten: Für Verträge, auf welche das Auftragsrecht Anwendung findet, gilt Art. 404 OR (beidseitiges, jederzeitiges Auflösungsrecht). • Kündigungsfristen und -modalitäten bei ausserordentlicher Kündigung definieren • Kündigung aus wichtigem Grund
