Ein IT-Dienstleister liefert die ERP-Schnittstelle drei Wochen zu spät, das CRM ist täglich für Stunden offline — und der Vertrag schweigt dazu. Genau dieser Moment zeigt, ob ein IT-Vertrag im B2B-Verhältnis rechtssicher formuliert ist oder nur eine Absichtserklärung darstellt.
IT-Verträge zwischen Unternehmen decken ein breites Spektrum ab: vom klassischen Software-Überlassungsvertrag über SaaS-Abonnements bis hin zu umfassenden IT-Dienstleistungsrahmenverträgen. Jeder Typ folgt eigenen rechtlichen Regeln — insbesondere bei Gewährleistung, Haftungsbeschränkung und Kündigung. Wer die vertragstypologische Einordnung ignoriert, verliert im Streitfall entscheidende Hebel.
Dieser Artikel vertieft gezielt die IT-spezifischen Besonderheiten innerhalb des B2B-Vertragsrechts. Den breiteren Rahmen zu AGB-Gestaltung und allgemeinen Vertragsklauseln für KMU liefert der Pillar-Artikel 'B2B-Vertragsrecht und AGB: Der Leitfaden für KMU'. Zur Rügepflicht bei Warenmängeln nach § 377 HGB sowie zu AGB-Klauseln im B2B gibt es im Cluster bereits eigene Artikel — deren Kerninhalte werden hier nicht wiederholt.
Welchen Vertragstyp hat Ihr IT-Vertrag — und warum entscheidet das alles?
Die vertragstypologische Einordnung eines IT-Vertrags bestimmt, welche gesetzlichen Gewährleistungs- und Haftungsregeln gelten. Ein SaaS-Vertrag folgt primär Mietrecht, ein Implementierungsprojekt dem Werkvertragsrecht — bei falscher Einordnung greifen falsche gesetzliche Auffangregeln.
Der BGH hat in seinem Urteil vom 15.11.2006 – XII ZR 120/04 entschieden, dass die Online-Bereitstellung von Standardsoftware (damals als ASP, heute als SaaS) als Mietvertrag nach §§ 535 ff. BGB einzuordnen ist. Der Anbieter schuldet damit nicht bloß Bemühen, sondern die dauerhafte Funktionsfähigkeit der Software. Fällt die Anwendung wiederholt aus, liegt ein Sachmangel im mietrechtlichen Sinne vor — mit der Konsequenz der Minderung oder Kündigung.
Individualsoftware-Entwicklung und Datenmigration hingegen sind als Werkvertrag nach §§ 631 ff. BGB einzuordnen: Der Auftragnehmer schuldet ein abnahmefähiges Werk, kein bloßes Tätigwerden. Wartung und Support können je nach Ausgestaltung dem Dienst- oder Werkvertragsrecht unterfallen. In der Praxis entstehen dadurch typengemischte Verträge, bei denen jeder Leistungsbestandteil seinem eigenen Recht folgt.
Für KMU als Auftraggeber bedeutet das: Bereits beim Vertragsschluss muss klargestellt werden, welches Recht für welchen Leistungsteil gilt. Eine Klausel wie 'der gesamte Vertrag unterliegt Dienstvertragsrecht' kann die gesetzlichen Gewährleistungsrechte des Bestellers aushebeln — denn beim Dienstvertrag nach § 611 BGB wird nur Tätigwerden, kein Erfolg geschuldet. Gerichte prüfen im Streitfall die tatsächliche Leistungsstruktur, nicht nur die Vertragsbezeichnung.
In einem typischen Beratungsfall aus dem Mittelstand hatten ein Maschinenbauunternehmen aus dem Stuttgarter Raum und sein IT-Dienstleister die gesamte ERP-Implementierung als Dienstvertrag bezeichnet. Als das System nach sechs Monaten noch immer nicht produktiv nutzbar war, fehlten dem Unternehmen die werkvertraglichen Nachbesserungsrechte — ein kostspieliger Irrtum, der sich durch präzise vertragstypologische Einordnung hätte vermeiden lassen.
Was muss ein wirksames SLA im B2B-IT-Vertrag regeln?
Ein Service Level Agreement ohne Sanktionsmechanismus ist rechtlich eine Absichtserklärung. Erst wenn konkrete Pönalen, Gutschriften oder Minderungsrechte für den Fall der Zielverfehlung vereinbart sind, entsteht echter vertraglicher Leistungsdruck gegenüber dem IT-Dienstleister.
Mindestinhalt eines belastbaren SLA sind: Verfügbarkeit in Prozent bezogen auf einen definierten Messzeitraum (z. B. 99,5 % pro Kalendermonat), Reaktionszeit nach Störungsmeldung, Behebungszeit gestaffelt nach Schweregrad (kritisch, hoch, mittel), Service-Fenster (8×5 oder 24×7) sowie ein Eskalationspfad mit namentlich benannten Ansprechpartnern. Fehlen diese Parameter, lässt sich eine Verletzung des SLA im Streitfall kaum nachweisen.
Gesetzliche Gewährleistungsbestimmungen können durch SLA-Regelungen überlagert werden. Entscheidend ist, ob das SLA als abschließende Beschaffenheitsvereinbarung im Sinne des Gewährleistungsrechts ausgestaltet ist oder ob die gesetzlichen Mängelrechte daneben bestehen bleiben. Wer das SLA als abschließend formuliert und zugleich alle Pönalen auf symbolische Beträge begrenzt, legt dem Kunden faktisch alle Risiken auf — eine solche Gestaltung ist nach § 307 BGB angreifbar.
Preis- und Indexklauseln gehören ebenfalls in den SLA-Kontext: Eine Klausel, die dem Anbieter Preisanpassungen 'nach billigem Ermessen' gestattet, ist im B2B-Verhältnis ein Warnsignal. Transparente Indexierungen, etwa gekoppelt an den Verbraucherpreisindex mit einer definierten Jahresobergrenze, sind dem vorzuziehen. Gleiches gilt für automatische Vertragsverlängerungen: Im B2B sind lange Verlängerungszyklen zwar zulässig, aber ein Signal für ungleiche Verhandlungsmacht — verhandeln Sie Verlängerungszeiträume von drei bis sechs Monaten.
Aus der Praxis: Ein Hamburger Logistik-Startup hatte mit seinem Cloud-Provider eine Verfügbarkeit von 99,9 % vereinbart, ohne die Messperiode und die Berechnungsmethode zu definieren. Als die Plattform an mehreren kritischen Tagen ausfiel, berechnete der Anbieter die Verfügbarkeit auf Jahresbasis — und lag rechnerisch über dem Schwellenwert. Ohne eine präzise SLA-Definition waren Minderungsansprüche kaum durchzusetzen. Das OLG Hamburg hat in vergleichbaren Konstellationen mehrfach betont, dass unklare SLA-Formulierungen zu Lasten des Verwenders gehen, vgl. § 305c Abs. 2 BGB.
Praxis-Tipp
SaaS-Verträge werden vom BGH überwiegend als Mietverträge nach §§ 535 ff. BGB eingeordnet — ohne klare SLA-Regelung schuldet der Anbieter dennoch die dauerhafte Gebrauchsfähigkeit der Software.
Haftungsbeschränkungen im IT-Vertrag: Was ist wirksam, was fällt?
Eine pauschale Haftungsfreizeichnung im IT-Vertrag ist auch gegenüber Unternehmen nicht unbegrenzt zulässig. Der Maßstab ist § 307 BGB: Klauseln, die den Vertragspartner unangemessen benachteiligen, sind unwirksam — und zwar unabhängig davon, ob der Vertrag als AGB oder als weitgehend individuell verhandelter Rahmenvertrag erscheint.
Die absoluten Haftungsgrenzen gelten auch im B2B: Haftung für Vorsatz und grobe Fahrlässigkeit kann nicht ausgeschlossen werden. Ein Haftungsausschluss für Körper- und Gesundheitsschäden ist stets unwirksam, ebenso die Freizeichnung von Garantien. Diese Grundsätze folgen aus §§ 276, 309 Nr. 7 BGB — deren Indizwirkung gilt nach ständiger Rechtsprechung des BGH auch im unternehmerischen Rechtsverkehr.
Kardinalpflichten sind der zweite kritische Punkt: Wesentliche Vertragspflichten, auf deren Erfüllung der Auftraggeber vertrauen darf und die den Vertragszweck überhaupt erst ermöglichen, dürfen in ihrer Haftung nicht vollständig ausgeschlossen werden. Die Rechtsprechung verlangt, dass die Haftung für Kardinalpflichtverletzungen mindestens den vorhersehbaren, vertragstypischen Schaden umfasst — die sogenannte Vorhersehbarkeitsformel. Der BGH hat diese Grundlinie in seiner Entscheidung vom 05.06.2014 – VII ZR 276/13 nochmals bestätigt.
Für KMU als Auftraggeber gilt: Lassen Sie Haftungsbeschränkungsklauseln nicht ungeprüft passieren. Formulierungen wie 'die Haftung des Anbieters ist auf die im letzten Monat gezahlte Vergütung begrenzt' klingen plausibel, können aber bei einem Jahresvertrag mit monatlicher Abrechnung bedeuten, dass Schäden in substanzieller Höhe mit einem Bruchteil des tatsächlichen Schadens abgegolten werden. Prüfen Sie zusätzlich, ob eine Vermögensschaden-Haftpflichtversicherung des Dienstleisters vertraglich nachgewiesen werden muss.
Als Auftraggeber sollten Sie die Gegenseite darauf bestehen, dass der IT-Dienstleister eine Vermögensschaden-Haftpflichtversicherung mit ausreichender Deckungssumme nachweist. Fehlt dieser Nachweis, nützt selbst eine im Vertrag vereinbarte Haftung wenig, wenn der Dienstleister im Schadensfall nicht zahlungsfähig ist. Dokumentieren Sie SLA-Verletzungen konsequent — die Beweislast liegt im Streitfall beim Auftraggeber.
Wichtig zu wissen
Ein vollständiger Haftungsausschluss ist im B2B-IT-Vertrag auch gegenüber Unternehmern unwirksam, wenn er Kardinalpflichten oder Vorsatz und grobe Fahrlässigkeit erfasst — der Maßstab ist § 307 BGB.
DSGVO im IT-Vertrag: Wann ist ein Auftragsverarbeitungsvertrag Pflicht?
Sobald ein IT-Dienstleister personenbezogene Daten im Auftrag des Unternehmens verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht — ohne ihn begeht der Auftraggeber selbst einen Datenschutzverstoß, unabhängig davon, ob der Dienstleister sorgfältig handelt.
Der AVV muss als separater Anhang zum IT-Vertrag abgeschlossen werden, von beiden Seiten unterzeichnet sein und technisch-organisatorische Maßnahmen (TOMs) sowie eine Liste der eingesetzten Unterauftragsverarbeiter enthalten. Ein Verweis auf 'unsere Datenschutzrichtlinien auf der Website' genügt nicht. Fehlt der AVV, drohen Bußgelder der Datenschutzaufsichtsbehörden — zusätzlich haftet das Unternehmen als verantwortliche Stelle gegenüber betroffenen Personen.
Besondere Aufmerksamkeit verdienen Serverstandort und Drittlandtransfers: Verarbeitet der SaaS-Anbieter Daten außerhalb der EU, etwa in US-Rechenzentren, sind zusätzliche Garantien nach Art. 46 DSGVO erforderlich, typischerweise EU-Standardvertragsklauseln. Seit dem Schrems-II-Urteil des EuGH vom 16.07.2020 – C-311/18 reicht die bloße Berufung auf das EU-US Privacy Shield nicht mehr aus — jeder Drittlandtransfer muss individuell bewertet werden.
Seit September 2025 gilt zusätzlich der EU Data Act: Er stärkt die Rechte zur Datenportabilität, verbietet unfaire Klauseln in Cloud-Verträgen und verpflichtet Anbieter, einen einfachen Anbieterwechsel zu ermöglichen. Für KMU bedeutet das konkret: Prüfen Sie, ob Ihr SaaS-Vertrag Datenexport in offenen Formaten und eine aktive Migrationsunterstützung durch den Anbieter vorsieht — fehlende Regelungen können nach dem EU Data Act angreifbar sein.
Ein Beratungsbeispiel aus der Praxis: Ein Berliner HR-Software-Dienstleister hatte mit rund 30 KMU-Kunden seit Jahren IT-Serviceverträge ohne separaten AVV. Nach einer Prüfung durch die Berliner Beauftragte für Datenschutz wurden alle betroffenen Auftraggeber auf die fehlende Grundlage hingewiesen. Die nachträgliche AVV-Erstellung kostete Zeit und Rechtsberatungsaufwand — und hätte beim Vertragsschluss mit minimalem Mehraufwand vermieden werden können.
Exit-Klauseln und Kündigung: So sichern Sie Ihre Handlungsfreiheit
Fehlt eine Exit-Klausel im IT-Vertrag, sind Unternehmen beim Dienstleisterwechsel faktisch Geisel ihres Anbieters. Passwörter, Admin-Zugänge, Dokumentationen und Kundendaten können zurückgehalten werden — rechtlich ist das oft schwer angreifbar, wenn der Vertrag dazu schweigt.
Eine vollständige Exit-Klausel regelt mindestens: die vollständige Rückgabe aller Admin-Zugänge und Passwörter innerhalb einer definierten Frist nach Kündigung (seriöser Standard: fünf Werktage ohne Zurückbehaltungsrecht), den Export aller Daten in offenen, maschinenlesbaren Formaten wie CSV, JSON oder SQL-Dump, die Übergabe aktueller und vollständiger Systemdokumentation sowie eine geordnete Parallelphase mit dem Nachfolge-Dienstleister von mindestens 30 Tagen.
Laufzeit- und Kündigungsfristen müssen sorgfältig verhandelt werden. Marktüblich sind zwölf Monate Mindestlaufzeit mit drei Monaten Kündigungsfrist zum Laufzeitende und eine Verlängerung um drei bis sechs Monate. Vertragslaufzeiten von 36 Monaten ohne Sonderkündigungsrecht sind ein erhebliches unternehmerisches Risiko — insbesondere wenn sich das Geschäftsmodell ändert oder der Dienstleister Leistungsqualität nicht hält. Im B2B-Bereich sind lange Verlängerungszyklen zwar formal zulässig, aber verhandelbar.
Das außerordentliche Kündigungsrecht nach § 626 BGB greift bei IT-Verträgen in Werk- und Dienstvertrags-Anteilen, wenn dem Auftraggeber die Fortsetzung des Vertragsverhältnisses unzumutbar ist — etwa bei wiederholten schwerwiegenden SLA-Verletzungen oder bei Insolvenz des Dienstleisters. Mietrechtliche Vertragsanteile folgen § 543 BGB. Sichern Sie das Sonderkündigungsrecht zusätzlich vertraglich ab, um Auslegungsstreitigkeiten über den anwendbaren Vertragstyp zu vermeiden.
Praktischer Hinweis für die Vertragsverhandlung: Bestehen Sie darauf, dass Datenexport und Passwort-Rückgabe ausdrücklich ohne Zurückbehaltungsrecht vereinbart werden. IT-Dienstleister berufen sich im Streit gelegentlich auf offene Forderungen als Grundlage für ein Zurückbehaltungsrecht — ohne klare vertragliche Regelung ist die Durchsetzung des Herausgabeanspruchs zeitaufwendig und prozessual unsicher.
Ihre Checkliste auf einen Blick
- SaaS-Verträge werden vom BGH überwiegend als Mietverträge nach §§ 535 ff. BGB eingeordnet — ohne klare SLA-Regelung schuldet der Anbieter dennoch die dauerhafte Gebrauchsfähigkeit der Software.
- Ein vollständiger Haftungsausschluss ist im B2B-IT-Vertrag auch gegenüber Unternehmern unwirksam, wenn er Kardinalpflichten oder Vorsatz und grobe Fahrlässigkeit erfasst — der Maßstab ist § 307 BGB.
- Service Level Agreements (SLA) ohne Pönalen-Regelung sind rechtlich wertlos: Nur wenn bei Zielverfehlung konkrete Folgen wie Gutschriften oder Minderungsrechte vereinbart sind, entsteht echter Leistungsdruck.
- Fehlt eine Exit-Klausel im IT-Vertrag, droht faktischer Anbieter-Lock-in — Passwort-Rückgabe, Datenexport in offenen Formaten und eine geordnete Übergangsphase müssen vertraglich gesichert sein.
- Verarbeitet der IT-Dienstleister personenbezogene Daten, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwingend — sein Fehlen begründet unmittelbar einen Datenschutzverstoß des Auftraggebers.
Fazit
IT-Verträge im B2B-Bereich sind keine Standardware. Wer als KMU einen SaaS-Anbieter, einen IT-Dienstleister oder einen Software-Entwickler engagiert, schließt einen rechtlich komplexen Vertrag ab, dessen Tücken sich erst im Störungsfall zeigen. Präzise SLA-Formulierungen, wirksame Haftungsbeschränkungen mit klaren Ausnahmen, ein rechtzeitig abgeschlossener AVV nach Art. 28 DSGVO und eine vollständige Exit-Klausel sind keine Luxus-Positionen in der Verhandlung — sie sind das Fundament rechtssicherer IT-Beschaffung. Lassen Sie kritische IT-Verträge vor Unterzeichnung anwaltlich prüfen, nicht erst wenn die SLA-Verletzung eingetreten ist.
Dieser Beitrag wurde von Rechtsanwalt Marek Schauer fachlich geprüft — mehr zur Person unter /anwaelte/marek-schauer. Er ersetzt keine individuelle Rechtsberatung — bei konkreten Fragen zu Ihrem IT-Vertrag wenden Sie sich an einen auf IT-Recht spezialisierten Rechtsanwalt.



