Der IT-Dienstleister geht insolvent, die Lohnabrechnungs-Software ist offline, und Ihr Unternehmen steht ohne Zugang zu den eigenen Mitarbeiterdaten da. Solche Szenarien sind kein Randproblem — sie entstehen regelmäßig, wenn Outsourcing-Verträge nur auf Preis und Laufzeit verhandelt, aber nicht rechtlich durchdacht werden.
Ob IT-Betrieb, HR-Prozesse oder Buchhaltungs-Outsourcing: Das beauftragende Unternehmen bleibt gegenüber Dritten, Behörden und Betroffenen stets in der Verantwortung. Ein schwacher Dienstleister-Vertrag verlagert zwar die Aufgabe, nicht aber das Haftungsrisiko. Dieser Ratgeber zeigt, welche Klauseln KMU und Geschäftsführer vor Vertragsunterzeichnung prüfen und durchsetzen müssen.
Die folgenden Abschnitte behandeln die vier kritischen Vertragsbausteine: präzise Leistungsbeschreibung und SLA, Datenschutz- und Auftragsverarbeitungs-Pflichten, Haftungsklauseln sowie Exit- und Kündigungsregelungen — ergänzt durch aktuelle Rechtsprechung und ein Praxis-Beispiel aus der Beratung.
Warum eine vage Leistungsbeschreibung Ihr größtes Vertragsrisiko ist
Der häufigste Fehler bei Outsourcing-Verträgen ist keine fehlende Klausel, sondern eine zu weiche: Formulierungen wie 'der Dienstleister erbringt IT-Support nach bestem Bemühen' oder 'die Software wird regelmäßig aktualisiert' sind rechtlich kaum durchsetzbar. Die Leistungsbeschreibung bestimmt, wann eine Leistung als nicht erfüllt gilt und ab wann Haftungsansprüche entstehen. Je ungenauer sie formuliert ist, desto schwächer ist die Rechtsposition des Auftraggebers.
Ein Service Level Agreement (SLA) ist kein eigenständiger Vertrag, sondern ergänzt den Hauptvertrag um messbare Qualitätskennzahlen. Sinnvoll sind dabei konkrete Verfügbarkeitswerte — etwa 99,5 Prozent Uptime pro Kalendermonat — kombiniert mit definierten Reaktions- und Lösungszeiten bei Störungen sowie einem Eskalationsweg mit benannten Ansprechpartnern. Fehlt das, hat der Dienstleister bei Ausfällen faktisch keine vertragliche Konsequenz zu befürchten.
Vertragsstrafen als Sanktionsmechanismus sind ein zentrales Durchsetzungsinstrument. Klauseln sollten ein Stufenmodell vorsehen: Nachbesserungsfrist, Eskalation an die Geschäftsführung, außerordentliches Kündigungsrecht bei wiederholten SLA-Verstößen. Nach § 309 Nr. 6 BGB gelten pauschalierte Vertragsstrafen im AGB-Recht grundsätzlich als unwirksam, wenn sie den Schuldner unangemessen benachteiligen — im individuell ausgehandelten B2B-Vertrag sind sie hingegen flexibler gestaltbar.
Wichtig ist auch die Subunternehmer-Klausel: Viele Dienstleister lagern ihrerseits Teilleistungen aus. Der Outsourcing-Vertrag sollte regeln, ob und unter welchen Bedingungen Subunternehmer eingesetzt werden dürfen, und verpflichten, dass diese denselben vertraglichen Standards — insbesondere datenschutzrechtlich — unterliegen wie der Hauptdienstleister selbst.
Praxis-Beispiel: Ein Hamburger Logistikunternehmen mit rund 80 Mitarbeitern hatte seinen IT-Helpdesk an einen Dienstleister ausgelagert. Der Vertrag enthielt keine SLA-Werte. Als der Dienstleister über zwei Wochen sporadisch nicht erreichbar war, konnte das Unternehmen keinen Vertragsbruch nachweisen — weil 'Erreichbarkeit' nirgends definiert war. Nach anwaltlicher Prüfung wurde der Vertrag neu verhandelt: mit definierten Reaktionszeiten, Reporting-Pflichten und einem Sonderkündigungsrecht bei dreimaliger monatlicher Fristüberschreitung.
Datenschutz-Pflichten beim Outsourcing: Was Art. 28 DSGVO zwingend verlangt
Sobald ein externer Dienstleister personenbezogene Daten Ihres Unternehmens verarbeitet — gleich ob Kunden-, Mitarbeiter- oder Lieferantendaten — ist ein schriftlicher Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Dieser regelt, welche Daten zu welchem Zweck verarbeitet werden, wie lange sie gespeichert bleiben, welche technischen und organisatorischen Schutzmaßnahmen nach Art. 32 DSGVO gelten und wie mit Datenpannen umzugehen ist. Fehlt der AVV, droht bereits eine Ordnungswidrigkeit nach Art. 83 DSGVO.
Als Auftraggeber bleiben Sie datenschutzrechtlich immer Verantwortlicher. Das bedeutet: Sie müssen nicht nur den AVV abschließen, sondern auch regelmäßig kontrollieren, ob der Dienstleister die vereinbarten Maßnahmen tatsächlich umsetzt. Eine ISO-27001-Zertifizierung kann ein Indikator für ein hohes Sicherheitsniveau sein, ersetzt aber die vertragliche und tatsächliche Kontrolle nicht. Besonders bei sensiblen Datenkategorien — etwa HR-Daten wie Gehalts- oder Gesundheitsinformationen — empfiehlt sich eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
Kritisch ist auch die Frage des Speicherorts. Verarbeitet der Dienstleister Daten außerhalb der EU oder des EWR, sind zusätzliche Anforderungen zu erfüllen: Standardvertragsklauseln der EU-Kommission oder ein Angemessenheitsbeschluss sind Voraussetzung für einen rechtmäßigen Datentransfer. Wer Anbieter nutzt, die Daten auf US-Servern speichern, sollte dies vertraglich und technisch sorgfältig absichern und regelmäßig den aktuellen Status der Angemessenheitsbeschlüsse prüfen.
Seit dem BGH-Urteil vom 11. November 2025 (VI ZR 396/24) ist klar: Die Kontrollpflicht endet nicht mit dem Vertragsende. Wer personenbezogene Daten an einen Dienstleister übermittelt hat, muss nach Vertragsbeendigung aktiv und nachweisbar sicherstellen, dass diese vollständig gelöscht wurden. Eine bloße E-Mail-Ankündigung des Dienstleisters reicht nicht — der Auftraggeber muss eine dokumentierte Löschbestätigung einfordern. Unterbleibt das, haftet das Unternehmen für spätere Datenpannen mit nach Art. 82 DSGVO.
Praxis-Tipp
Fehlt ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, haftet das auftraggebende Unternehmen bei Datenpannen des Dienstleisters selbst — unabhängig davon, wer den Fehler verursacht hat.
Haftungsklauseln richtig verhandeln: Was zulässig ist und was nicht
Viele Dienstleister versuchen, ihre Haftung in AGB oder Standardverträgen weitgehend auszuschließen. Das ist jedoch nur begrenzt möglich. Vorformulierte Klauseln, die die Haftung für grobe Fahrlässigkeit oder Vorsatz ausschließen, sind nach § 309 Nr. 7 BGB unwirksam — auch im unternehmerischen Rechtsverkehr (B2B). Ebenso wenig kann die Haftung für die Verletzung sogenannter Kardinalpflichten vollständig wegbedungen werden. Kardinalpflichten sind die Kernpflichten, ohne deren Erfüllung der Vertragsgegenstand seinen Sinn verliert.
Zulässig ist hingegen im B2B-Verhältnis eine betragsmäßige Haftungsbegrenzung für leichte Fahrlässigkeit, sofern sie auf den typischerweise vorhersehbaren Schaden begrenzt bleibt. Häufig deckt diese Obergrenze aber bei Weitem nicht die tatsächlichen Schäden ab — etwa bei Betriebsunterbrechungen durch IT-Ausfall oder bei DSGVO-Bußgeldern infolge eines Datenlecks beim Dienstleister. Prüfen Sie daher sorgfältig, ob die im Vertrag genannte Haftungsobergrenze realistisch ist, und ziehen Sie eine eigene Cyber- oder Betriebs-Haftpflichtversicherung in Betracht.
Der BGH hat mit Urteil vom 7. April 2022 (I ZR 212/20) diverse Haftungsausschluss-Klauseln eines Dienstleisters für unwirksam erklärt, weil sie den Vertragspartner überraschend benachteiligten. Entscheidend war, dass Klauseln, die auch die Haftung für Folgeschäden und entgangenen Gewinn ausschlossen, bei kundenfeindlicher Auslegung auch gegenüber Unternehmern gemäß § 307 BGB unwirksam sein können. Das gilt immer dann, wenn die Auslegung der Klausel auch die Haftung für qualifiziertes Verschulden erfasst.
Für das auftraggebende Unternehmen gilt zudem: Gegenüber Dritten — also eigenen Kunden oder Behörden — haftet es für Fehler und Falschleistungen des Dienstleisters in der Regel selbst. Der Regress beim Dienstleister ist zwar vertraglich einklagbar, muss aber ausdrücklich geregelt sein. Formulieren Sie daher im Vertrag präzise, unter welchen Bedingungen und bis zu welcher Höhe Sie beim Dienstleister Rückgriff nehmen können — und vereinbaren Sie, dass der Dienstleister einen ausreichenden Versicherungsschutz nachweisen muss.
Wichtig zu wissen
SLA-Klauseln ohne messbare Verfügbarkeitswerte und konkrete Vertragsstrafen sind wertlos — der BGH hat bestätigt, dass vorformulierte Haftungsfreizeichnungen für grobe Fahrlässigkeit nach § 309 Nr. 7 BGB auch im B2B-Verhältnis unwirksam sind.
Exit-Strategie und Kündigung: So sichern Sie Ihre Position am Vertragsende
Das Vertragsende ist der am häufigsten unterschätzte Vertragsbestandteil. Viele Unternehmen stellen erst dann fest, dass sie ihre eigenen Daten nicht ohne Weiteres zurückbekommen oder einen Anbieterwechsel nicht reibungslos vollziehen können. Eine vertragliche Exit-Strategie regelt mindestens: Datenrückgabe in einem verarbeitbaren Format, Löschung aller Kopien beim Dienstleister mit dokumentierter Bestätigung, Unterstützung bei der Migration zu einem neuen Anbieter sowie eine Übergangsphase, in der der Dienstleister parallel weiterarbeitet.
Seit dem 12. September 2025 gilt der EU Data Act unmittelbar in allen EU-Mitgliedstaaten. Für Cloud-Dienstleister enthält er klare Vorgaben: Nutzer können bestehende Cloud-Verträge innerhalb von 30 Tagen kündigen und haben das Recht, kostenlos zu einem anderen Anbieter zu wechseln. Wechselentgelte werden bis zum 12. Januar 2027 schrittweise abgeschafft. Außerdem müssen Cloud-Anbieter die Datenmigration in standardisierten, maschinenlesbaren Formaten ohne technische oder vertragliche Hürden ermöglichen. Diese Rechte gelten auch, wenn der bestehende Vertrag keine entsprechenden Regelungen enthält.
Bei der ordentlichen oder außerordentlichen Kündigung sollten Fristen und Voraussetzungen klar definiert sein. Ein Sonderkündigungsrecht bei schwerwiegenden SLA-Verstößen, Insolvenz des Dienstleisters oder erheblichen Datenschutzverstößen ist für KMU besonders wichtig. Ohne diese Klausel sind Sie an lange Laufzeiten gebunden, selbst wenn der Dienstleister dauerhaft schlecht leistet.
Überprüfen Sie außerdem, ob der Vertrag Änderungsvorbehalte zugunsten des Dienstleisters enthält — also Klauseln, die dem Anbieter erlauben, Leistungsumfang oder Preise einseitig anzupassen. Solche Klauseln sind nach § 307 BGB kritisch und können unwirksam sein, wenn sie den Auftraggeber unangemessen benachteiligen. Bei Standardverträgen großer Cloud-Anbieter ist eine vollständige Nachverhandlung oft nicht möglich — dann sollten Sie zumindest interne Gegenmaßnahmen treffen, etwa regelmäßige Datensicherungen oder einen Notfallplan für den Anbieter-Ausfall.
Prüfen Sie vor Vertragsschluss außerdem Gerichtsstand und anwendbares Recht. Viele internationale Anbieter vereinbaren irisches oder amerikanisches Recht sowie ausländische Gerichtsstände — das erschwert im Streitfall die Rechtsdurchsetzung erheblich. Für KMU in Deutschland empfiehlt sich die Vereinbarung deutschen Rechts und eines deutschen Gerichtsstands ausdrücklich im Vertrag.
HR-Outsourcing: Besondere Risiken bei Lohnabrechnung und Personalverwaltung
Das Auslagern von HR-Prozessen — Lohnabrechnung, Zeiterfassung, Bewerbermanagement — ist unter KMU weit verbreitet. Dabei werden besonders sensible Datenkategorien verarbeitet: Gehaltsdaten, Sozialversicherungsnummern, Krankenstand, Konfessionszugehörigkeit für die Kirchensteuer. Für diese Daten gelten nach Art. 9 DSGVO erhöhte Schutzpflichten, und der AVV muss entsprechend detaillierte Sicherheitsmaßnahmen vorsehen.
Das Bundesarbeitsgericht (BAG) und die Datenschutzbehörden haben in den letzten Jahren die Anforderungen an den Einsatz von HR-Software und die Auftragsverarbeitung bei Personaldaten deutlich verschärft. Wer HR-Prozesse ins Ausland auslagert — etwa an einen Lohnbuchhaltungsdienstleister in einem Drittstaat außerhalb der EU — muss besondere Sorgfalt bei der Prüfung der Datentransfer-Grundlage aufwenden und gegebenenfalls eine Datenschutz-Folgenabschätzung durchführen.
Hinzu kommt die Frage des Betriebsrats: Sofern ein Betriebsrat existiert, hat er nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht beim Einsatz technischer Einrichtungen zur Leistungs- und Verhaltenskontrolle von Mitarbeitern — dazu zählen auch viele HR-Software-Lösungen. Wird eine neue Software ohne Betriebsvereinbarung eingeführt, kann das zur Nichtigkeit der eingesetzten Systeme oder zu empfindlichen Schadensersatzforderungen führen.
Ein weiteres Risiko beim HR-Outsourcing: Bei einem Wechsel des Dienstleisters oder einer Insolvenz muss sichergestellt sein, dass Lohnabrechnungen, Meldungen an Sozialversicherungsträger und Steuerbehörden lückenlos weitergeführt werden. Unterbleibt das, entstehen nicht nur Bußgelder, sondern auch direkte Haftungsrisiken für den Geschäftsführer persönlich. Der Outsourcing-Vertrag sollte daher eine Business-Continuity-Klausel enthalten, die den Dienstleister verpflichtet, im Falle einer Betriebsunterbrechung die Übergabe an einen Nachfolger aktiv zu unterstützen.
Ihre Checkliste auf einen Blick
- Fehlt ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, haftet das auftraggebende Unternehmen bei Datenpannen des Dienstleisters selbst — unabhängig davon, wer den Fehler verursacht hat.
- SLA-Klauseln ohne messbare Verfügbarkeitswerte und konkrete Vertragsstrafen sind wertlos — der BGH hat bestätigt, dass vorformulierte Haftungsfreizeichnungen für grobe Fahrlässigkeit nach § 309 Nr. 7 BGB auch im B2B-Verhältnis unwirksam sind.
- Der BGH stellte mit Urteil vom 11. November 2025 (VI ZR 396/24) klar: Auch nach Vertragsende muss der Auftraggeber aktiv nachweisen, dass personenbezogene Daten beim Dienstleister gelöscht wurden — eine bloße vertragliche Löschungspflicht reicht nicht.
- Die Leistungsbeschreibung im Outsourcing-Vertrag bestimmt, wann eine Leistung als nicht erfüllt gilt und Haftungsansprüche entstehen — je ungenauer sie formuliert ist, desto schwächer ist die Rechtsposition des Auftraggebers.
- Seit dem 12. September 2025 gilt der EU Data Act unmittelbar: Cloud-Anbieter müssen Datenmigration ohne übermäßige Kosten ermöglichen, und Nutzer können bestehende Cloud-Verträge künftig innerhalb von 30 Tagen kündigen.
Fazit
Ein Outsourcing-Vertrag ist kein Verwaltungsdokument, das man einmal unterzeichnet und in der Schublade vergisst. Er ist das zentrale Steuerungsinstrument für eine externe Leistungsbeziehung — und der einzige Hebel, den Sie im Streitfall haben. Wer Leistungsbeschreibung, SLA, Datenschutz-Pflichten, Haftungsklauseln und Exit-Strategie sauber regelt, schützt sein Unternehmen vor Betriebsunterbrechungen, DSGVO-Bußgeldern und einer Haftung, die eigentlich beim Dienstleister liegen sollte. Lassen Sie Ihren Outsourcing-Vertrag vor Unterzeichnung anwaltlich prüfen — insbesondere dann, wenn der Dienstleister einen Standardvertrag vorlegt, der erkennbar auf seine Interessen zugeschnitten ist.
Dieser Beitrag wurde von Rechtsanwalt Marek Schauer fachlich geprüft — mehr zur Person unter /anwaelte/marek-schauer. Er ersetzt keine individuelle Rechtsberatung — bei konkreten Fragen zu Ihrem Outsourcing-Vertrag wenden Sie sich an einen auf IT- oder Vertragsrecht spezialisierten Rechtsanwalt.
