Vertragsentwurf / Rahmenvertrag

Der Zweck dieses Vertrages ist die Bereitstellung einer CAFM-Lösung einschließlich Implementierungsleistungen und anschließender Betriebsleistungen, so dass der Auftraggeber die in den Vergabeunterlagen beschriebenen Facility-Management-Prozesse effizient, nachvollziehbar und revisionssicher unterstützen kann. Ziel ist ein einsatzbereites System im vereinbarten Zielzustand („Target Operating Model“), inklusive konfigurierter Module, integrierter Schnittstellen, migrierter Daten, geschulter Nutzergruppen sowie definierter Support- und Serviceprozesse. Der Auftragnehmer schuldet die Erreichung der vertraglich festgelegten Ergebnisse und Abnahmekriterien, nicht nur die Tätigkeit als solche, sofern dies aus den Anlagen hervorgeht.

Der Leistungsumfang umfasst (a) Implementierung, Konfiguration und Inbetriebnahme (Go-Live) einschließlich Projektmanagement, Solution Design, Konfiguration/Customizing innerhalb definierter Grenzen, Schnittstellen- und Integrationsleistungen, Datenmigration, Tests und Abnahmen, Training sowie Hypercare und Übergang in den Regelbetrieb sowie (b) Betriebs-/Serviceleistungen wie Hosting/Deployment (je nach Modell), Wartung, Updates/Release-Management, Support/Service Desk, Monitoring, Backup/Restore und Disaster-Recovery-Vorsorge. Der konkrete Leistungsinhalt, die Verantwortlichkeiten und die Abgrenzungen ergeben sich aus Anlage A1 sowie den weiteren Anlagen und ggf. Abrufaufträgen.

Die vom Auftragnehmer zu erbringenden Deliverables, Meilensteine, Qualitätskriterien und Abnahmepunkte sind in Anlage A1 (Leistungsbeschreibung) sowie in Anlage A2 (Implementierungsplan) und Anlage A3 (Abnahme- und Testplan) definiert. Deliverables gelten nur als erbracht, wenn sie vollständig, prüffähig und in der vereinbarten Form vorliegen. Erfolgskriterien umfassen insbesondere die Erfüllung der funktionalen und nicht-funktionalen Anforderungen, die erfolgreichen Testnachweise sowie die Erreichung der Go-Live-Readiness-Kriterien. Soweit die Anlagen Mess- oder Nachweisverfahren vorsehen, sind diese verbindlich.

Der Auftragnehmer erbringt die Leistungen auf Grundlage der Mitwirkungspflichten des Auftraggebers, die in [Mitwirkungsanlage oder Abschnitt: ________] beschrieben sind. Dazu können u. a. gehören: Bereitstellung von Ansprechpartnern und Key Usern, Zugang zu relevanten Systemen und Datenquellen, Bereitstellung von Infrastruktur-/Netzwerkzugängen (falls erforderlich), Freigabeentscheidungen innerhalb definierter Fristen sowie Bereitstellung und Qualitätssicherung von Stamm- und Bewegungsdaten. Der Auftragnehmer darf sich nicht auf fehlende Mitwirkung berufen, wenn er erkennbare Mitwirkungsrisiken nicht unverzüglich schriftlich angezeigt und geeignete Gegenmaßnahmen vorgeschlagen hat. Schnittstellen, Datenqualität, Zugänge und Abhängigkeiten sind im Integrations-/Migrationskonzept transparent zu dokumentieren und in der Projektplanung zu berücksichtigen.

Der Vertrag tritt in Kraft am [Datum: ________], vorbehaltlich der Unterzeichnung durch beide Parteien und ggf. weiterer aufschiebender Bedingungen gemäß [Bedingungen: ________]. Der operative Leistungsbeginn (Projektstart) erfolgt am [Datum: ________] oder nach dem in Anlage A2 definierten Startmechanismus.

Die Erstlaufzeit beträgt [Dauer: ________]. Der Auftraggeber kann den Vertrag gemäß [Verlängerungsmechanismus: ________] um [Optionen/Dauer: ________] verlängern, sofern die vertraglichen Bedingungen eingehalten werden. Verlängerungen erfolgen schriftlich und sind an die Einhaltung von Leistungs- und Compliance-Vorgaben geknüpft, soweit vertraglich vorgesehen.

Der Roll-out erfolgt phasenweise nach dem in Anlage A2 definierten Vorgehen. Üblicherweise umfasst dies eine Pilotphase zur Validierung der Konfiguration, der Integrationen und der operativen Prozesse, gefolgt von einem stufenweisen Roll-out auf weitere Standorte/Einheiten sowie einer Stabilisierung, in der Fehlerbehebung, Performance-Tuning und Prozessfeinschliff priorisiert werden. Jede Phase endet mit einem definierten Gate/Meilenstein, der erst nach Erfüllung der jeweiligen Kriterien (z. B. Testabdeckung, Datenqualität, Training Completion) freigegeben wird. Der Auftragnehmer hat eine roll-out-fähige Projektorganisation zu stellen, die parallele Wellen (falls vorgesehen) steuern kann, ohne die Qualität oder Terminsteuerung zu gefährden.

Nach Go-Live erbringt der Auftragnehmer für die Dauer von [Hypercare-Zeitraum: ________] Hypercare-Leistungen, um die Betriebsstabilität sicherzustellen. Hypercare umfasst mindestens erhöhte Support-Verfügbarkeit, priorisierte Incident-Behandlung, engmaschiges Monitoring und tägliche/wöchentliche Statusreviews gemäß [Governance-Regeln: ________]. Der Übergang in den Regelbetrieb ist erst abgeschlossen, wenn die in Anlage A3 definierten Stabilitätskriterien erfüllt sind und der Auftraggeber die Übergabe schriftlich bestätigt.

Die Service Levels und Verfügbarkeits-/Reaktions-/Behebungszeiten sind in Anlage A5 (SLA & KPI Framework) geregelt. Der Auftragnehmer verpflichtet sich, die SLA einzuhalten und die dafür notwendigen organisatorischen, technischen und personellen Voraussetzungen vorzuhalten. SLA gelten nur für Leistungen, die innerhalb der vereinbarten Systemgrenzen und Verantwortlichkeiten liegen; Abhängigkeiten zu Drittleistungen sind zu benennen und in den Betriebsprozessen zu berücksichtigen.

Der Auftragnehmer stellt KPI-Reports im Turnus [monatlich/quartalsweise: ________] bereit und nimmt an regelmäßigen Service-Reviews teil. Die KPI-Definitionen, Messmethoden, Datenquellen und Schwellwerte ergeben sich aus Anlage A5 sowie den Reporting-Templates in Anlage A8. KPI-Reports müssen nachvollziehbar, reproduzierbar und auditierbar sein; bei Abweichungen sind Ursachenanalyse und Maßnahmenplan verpflichtend.

Die Parteien etablieren ein Service-Management-Modell mit klaren Rollen, Kontaktpunkten und Eskalationsstufen. Eskalationen erfolgen stufenweise (operativ → Management → Steering), mit definierten Reaktionszeiten und Dokumentationspflichten. Der Auftragnehmer stellt sicher, dass Eskalationen nicht nur entgegengenommen, sondern aktiv gelöst werden, inklusive klarer Entscheidungs- und Kommunikationswege. Kritische Störungen sind unverzüglich zu melden und bis zur Stabilisierung mit erhöhter Frequenz zu berichten.

Ein kontinuierlicher Verbesserungsprozess ist Bestandteil des Regelbetriebs. Der Auftragnehmer identifiziert proaktiv Optimierungspotenziale (z. B. Prozessverschlankung, Automatisierung, Performance-Verbesserungen, Usability-Anpassungen) und legt diese dem Auftraggeber in einem CIP-Backlog vor. Priorisierung und Umsetzung erfolgen im Rahmen des Change-Control-Prozesses und unter Beachtung der Budget- und Release-Restriktionen. CIP darf nicht zur Umgehung vereinbarter SLA oder zur nachträglichen Monetarisierung von Basisanforderungen genutzt werden.

Die Projektorganisation, einschließlich Rollen, Verantwortlichkeiten, Gremien und Entscheidungswegen, wird in einer RACI-Matrix dokumentiert: [RACI-Referenz: ________]. Der Auftragnehmer stellt ein Projektteam mit relevanter Erfahrung bereit und benennt Projektleitung sowie fachliche Leads. Der Auftraggeber benennt Sponsor, Product Owner/Vertreter sowie Key User und stellt Entscheidungsfähigkeit innerhalb definierter Fristen sicher. Änderungen an Schlüsselrollen unterliegen den Regelungen zu Key Personnel.

Der Auftragnehmer führt eine strukturierte Validierung der Anforderungen durch, um die Konfiguration, Integrationen und Migrationslogik auf eine klare Spezifikation zu stützen. Diese Validierung darf nicht dazu dienen, Pflichtanforderungen nachträglich auszuschließen oder umzudeuten. Ergebnisse sind in einem Solution Design Dokument festzuhalten, das mindestens Prozessabbildungen, Datenmodelle, Integrationsübersicht, Sicherheitskonzept auf Systemebene und Annahmen/Abhängigkeiten enthält. Das Solution Design ist durch den Auftraggeber freizugeben, ohne dass dadurch die Verantwortung des Auftragnehmers für die Vertragserfüllung entfällt.

Die Lösung ist primär durch Konfiguration umzusetzen. Customizing/Entwicklung ist nur innerhalb der in Anlage A1 festgelegten Grenzen zulässig und muss upgradefähig, dokumentiert und testbar sein. Der Auftragnehmer hat darzulegen, welche Elemente konfigurierbar sind und welche Entwicklung erfordern. Jegliche Anpassungen müssen einer Qualitätssicherung unterliegen, inklusive Code-/Konfigurationsreviews, Tests und Dokumentation. Nicht genehmigte oder nicht dokumentierte Änderungen sind unzulässig und gelten als Vertragsverstoß.

Der Auftragnehmer liefert die vereinbarten Integrationen gemäß Integrationskatalog [Referenz: ________]. Verantwortlichkeiten für Design, Entwicklung, Test, Betrieb und Monitoring sind pro Schnittstelle eindeutig festzulegen. Integrationen müssen sichere Authentifizierung/Autorisierung, robuste Fehlerbehandlung (Retry/Queueing), Protokollierung und nachvollziehbare Monitoring-Mechanismen enthalten. Abhängigkeiten zu Drittplattformen oder Middleware sind offen zu legen; Lizenz- oder Betriebsabhängigkeiten sind im Preisblatt separat auszuweisen, soweit vorgesehen.

Die Datenmigration erfolgt gemäß Migrationskonzept [Referenz: ________] und umfasst Mapping, Datenaufbereitung, Import/Validierung sowie Reconciliation. Der Auftragnehmer unterstützt bei der Definition von Datenqualitätsregeln, Plausibilitätsprüfungen und Abnahmekriterien. Die Abnahme der Migration setzt voraus, dass definierte Vollständigkeits- und Korrektheitswerte erreicht sind und dass relevante Stichprobenprüfungen bestanden werden. Werden Mängel festgestellt, sind diese innerhalb der vereinbarten Korrekturzyklen zu beheben, ohne dass hierfür zusätzliche Vergütung entsteht, sofern die Ursache im Verantwortungsbereich des Auftragnehmers liegt.

Tests und Abnahmen erfolgen gemäß Anlage A3. Der Auftragnehmer ist verantwortlich für Testplanung, Testumgebungen (soweit vereinbart), Testdatenbereitstellung im vereinbarten Umfang, Defect-Management und Retests. Abnahmen erfolgen stufenweise (z. B. Modul-/System-/Integration-/UAT-/Performance-Abnahme) und sind an definierte Exit-Kriterien gebunden. Eine Abnahme gilt nur bei schriftlicher Abnahmeerklärung oder bei Abnahmefiktion, sofern diese ausdrücklich vereinbart und rechtlich zulässig ist.

Der Auftragnehmer erbringt Trainings- und Wissenstransferleistungen gemäß Trainingskonzept [Referenz: ________]. Trainings müssen rollenbasiert, praxisnah und an der konfigurierten Lösung ausgerichtet sein. Der Auftragnehmer stellt Trainingsunterlagen, Übungen und, soweit erforderlich, ein Trainingssystem bereit. Wissenstransfer umfasst auch Administratorenschulungen, Betriebsübergabe, Dokumentationsübergabe und die Befähigung zur Durchführung vereinbarter Konfigurationen und Standardreports.

Go-Live erfolgt nur nach Erfüllung der Go-Live-Readiness-Kriterien in Anlage A3. Der Auftragnehmer erstellt einen Cutover-Plan mit Aufgabenliste, Verantwortlichkeiten, Zeitfenstern, Kommunikationsplan und Rollback-Optionen. Während Cutover und Go-Live sind erhöhte Verfügbarkeiten und klare Entscheidungswege sicherzustellen. Der Auftragnehmer darf Go-Live nicht durch offene kritische Defekte oder unzureichende Stabilität erzwingen; der Auftraggeber darf Go-Live nicht ohne sachlichen Grund verzögern, sofern die Kriterien erfüllt sind.

Das Hosting-/Deployment-Modell ist: [On-Prem / Cloud / Hybrid: ________]. Die Verantwortungsverteilung (z. B. Betriebssystem, Datenbank, Applikationsbetrieb, Patching, Plattformbetrieb) ist in [Betriebsanlage/Responsibility Matrix: ________] festzulegen. Der Auftragnehmer hat sicherzustellen, dass das Betriebsmodell die SLA erfüllen kann und dass Änderungen am Modell nur im Rahmen des Change-Control-Prozesses erfolgen.

Der Auftragnehmer erbringt Wartung und Updates gemäß Release-Kalender [________] und unter Beachtung vereinbarter Wartungsfenster. Releases sind vorab zu kommunizieren, in einer Nicht-Produktivumgebung zu testen und hinsichtlich Auswirkungen auf Konfigurationen, Integrationen und Reports zu bewerten. Sicherheitsupdates sind priorisiert zu behandeln. Der Auftragnehmer stellt Release Notes, bekannte Einschränkungen, erforderliche Kundenaktionen und Rollback-Optionen bereit, soweit technisch möglich.

Support umfasst mindestens Incident-, Service-Request- und Problem-Management nach den vereinbarten Prozessen. Tickets werden über [Ticketkanal: ________] angenommen und gemäß Priorität/SLA bearbeitet. Der Auftragnehmer stellt eine eindeutige Klassifikation, Statusführung, Dokumentation von Ursachen und Maßnahmen sowie Eskalationsmöglichkeiten sicher. Für wiederkehrende Störungen sind Problem Records und nachhaltige Korrekturmaßnahmen verpflichtend.

Backup- und Restore-Prozesse, Aufbewahrungsfristen, Wiederherstellungsziele sowie DR-Tests sind in Anlage A6 bzw. einer dedizierten DR-Anlage beschrieben. Der Auftragnehmer führt regelmäßige Wiederherstellungstests durch und dokumentiert deren Ergebnisse. Im Notfallfall sind Kommunikations- und Wiederanlaufprozesse einzuhalten, inklusive klarer Statusupdates und Priorisierung kritischer Funktionen.

Der Auftragnehmer überwacht Systemzustand, Schnittstellen, Performance und Verfügbarkeit und stellt Monitoringberichte nach den Reporting-Templates (Anlage A8) bereit. Monitoring umfasst mindestens Systemressourcen, Anwendungsmetriken, Integrationsqueues/Fehler, Verfügbarkeitsmessung und sicherheitsrelevante Ereignisse im vereinbarten Umfang. Bei Grenzwertüberschreitungen sind automatische Alarme und definierte Reaktionsprozesse sicherzustellen.

Änderungen am Leistungsumfang, an Konfigurationen, Integrationen, Zeitplänen, SLA-relevanten Parametern oder Kosten erfolgen ausschließlich über ein formales Change-Request-Verfahren. Change Requests sind anhand des CR-Formulars (Anlage A9) zu dokumentieren, einschließlich Beschreibung, Begründung, Auswirkungen und Entscheidungsvorlage. Mündliche oder informelle Absprachen entfalten keine Wirkung.

Changes werden nach Kriterien wie Umfang, Risiko, Aufwand, Release-Relevanz und Betriebsimpact klassifiziert. Minor Changes können innerhalb definierter Grenzen als Standard Change umgesetzt werden, sofern Governance und Dokumentation eingehalten werden. Major Changes erfordern stets eine formale Impact-Analyse und schriftliche Freigabe durch die zuständigen Gremien.

Der Auftragnehmer erstellt für Changes eine Impact-Analyse, die Zeitplanänderungen, Aufwand, Kosten, Risiken, Abhängigkeiten, Testaufwand, Release-Planung und Betriebsrisiken transparent darstellt. Kosten sind anhand des Preisblatts (Anlage A4) abzuleiten, sofern anwendbar. Der Auftragnehmer darf keine Arbeiten beginnen, die Kosten auslösen, bevor die Freigabe vorliegt, außer es handelt sich um zwingende Notfallmaßnahmen im Rahmen der SLA, soweit vertraglich vorgesehen.

Freigaben erfolgen gemäß [Governance/Freigabeprozess: ________] und sind revisionssicher zu dokumentieren. Jede genehmigte Änderung wird in einem Change Log erfasst, das Bestandteil der Projekt-/Betriebsdokumentation ist. Umgesetzte Changes sind zu testen und mit Nachweisen zu dokumentieren.

Rund um kritische Zeitpunkte (z. B. Cutover/Go-Live, Peak-Betriebszeiten) gelten Change-Freeze-Regeln gemäß [Freeze-Zeiträume/Regeln: ________]. In Freeze-Zeiten sind nur Notfallchanges zulässig, die zur Stabilisierung oder Sicherheitsbehebung erforderlich sind. Notfallchanges sind nachträglich zu dokumentieren und im nächsten Governance-Review zu bestätigen.

Die Preisstruktur ist in Anlage A4 definiert und bildet die vertraglich verbindliche Grundlage für alle Entgelte. Preise sind nach Einmal- und wiederkehrenden Leistungen getrennt auszuweisen. Soweit Abruflogik gilt, enthält Anlage A4 die Preisbasis für Abrufe (z. B. Einheitspreise, Tagessätze, Pauschalen), einschließlich etwaiger Preisstaffeln, sofern zugelassen.

Einmalige Entgelte umfassen insbesondere Implementierungsleistungen und einmalige Setups. Wiederkehrende Entgelte umfassen insbesondere Lizenzen/Subscriptions, Hosting (falls anwendbar) sowie Support-/Wartungsleistungen. Der Auftragnehmer darf keine wiederkehrenden Entgelte für Leistungen erheben, die nach dem Vertrag als einmalig abgegolten sind, und umgekehrt. Die Abgrenzung richtet sich nach Anlage A4 und der Leistungsbeschreibung.

Abrufpreise gelten für die Dauer der Rahmenlaufzeit bzw. für den in Anlage A4 definierten Preisbindungszeitraum. Abrufe erfolgen gemäß Abschnitt 1.4. Der Auftragnehmer ist verpflichtet, Abrufe zu den vereinbarten Konditionen auszuführen, sofern der Abruf innerhalb der vertraglich definierten Grenzen liegt. Überschreitet ein Abruf die Grenzen (z. B. Volumen, besondere Sonderleistungen), ist ein Change Request oder eine gesonderte vertragliche Vereinbarung erforderlich.

Rechnungsstellung erfolgt gemäß den vereinbarten Meilensteinen [Meilensteine: ________] und gegen prüffähige Nachweise (z. B. Abnahmeprotokolle, Leistungsnachweise, Reporting). Zahlungsziel ist [Zahlungsziel: ________] nach Eingang einer ordnungsgemäßen Rechnung. Der Auftraggeber kann Rechnungen zurückweisen, wenn Nachweise fehlen oder wenn die abgerechnete Leistung nicht vertragsgemäß erbracht wurde. Teilzahlungen, Einbehalte oder Abnahmerückbehalte gelten gemäß [Regelung: ________], sofern vorgesehen.

Auslagen und Reisekosten sind nur erstattungsfähig, wenn dies ausdrücklich zugelassen ist und die Regeln in [Reiserichtlinie/Regelwerk: ________] eingehalten werden. Erstattungsfähige Kosten bedürfen vorheriger Genehmigung und sind durch Belege nachzuweisen. Pauschalen, Aufschläge oder nicht genehmigte Nebenkosten sind ausgeschlossen, sofern nicht ausdrücklich anders vereinbart.

Preisänderungen sind nur zulässig, wenn der Vertrag eine explizite Mechanik vorsieht. Mechanik, Index, Bezugszeitraum, Kappungsgrenzen und Anwendungsbereiche sind in [Preisänderungsregel: ________] festzulegen. Ohne ausdrückliche Regelung sind Preise fest. Preisänderungen gelten nicht rückwirkend und bedürfen einer schriftlichen Bestätigung.

Der Auftragnehmer gewährt dem Auftraggeber das Recht, die CAFM-Software und zugehörige Komponenten im vertraglich definierten Umfang zu nutzen, insbesondere hinsichtlich Nutzeranzahl, Standorten, Mandanten/Einheiten und Modulen: [Lizenzumfang: ]. Die Lizenz umfasst das Recht zur Nutzung für eigene Zwecke des Auftraggebers und ggf. für verbundene Unternehmen, soweit ausdrücklich vereinbart: []. Laufzeit, Übertragbarkeit und Nutzungsbeschränkungen richten sich nach diesem Vertrag und nicht nach abweichenden Standardbedingungen.

Nutzungsregeln (z. B. Verbot der Umgehung von Lizenzmechanismen, Schutz von Sicherheitsfunktionen, Verbot unzulässiger Reverse-Engineering-Handlungen) sind in einem angemessenen Umfang zulässig, dürfen jedoch den vertraglich vereinbarten Zweck nicht vereiteln. Der Auftragnehmer stellt sicher, dass Lizenzmessung und -durchsetzung transparent erfolgen und keine unvorhersehbaren Nutzungssperren entstehen, solange der Auftraggeber vertragsgemäß zahlt und nutzt.

Soweit Drittkomponenten erforderlich sind (z. B. Datenbanken, Middleware, Reporting-Tools), sind diese in [Drittkomponentenliste: ________] zu benennen, einschließlich Lizenzmodell, Verantwortlichkeiten und Supportschnittstellen. Der Auftragnehmer haftet dafür, dass die Drittkomponenten im Zusammenspiel mit der Lösung die vertraglich geschuldeten Funktionen ermöglichen, soweit sie Bestandteil seines Lieferumfangs sind.

Für kundenspezifische Entwicklungen/Erweiterungen ist zu regeln, wem die Rechte zustehen und welche Nutzungs-/Wiederverwendungsrechte bestehen. Die Regelung erfolgt in [IP-Klausel/Anlage: ________] und stellt sicher, dass der Auftraggeber die für den Betrieb und die Weiterentwicklung notwendigen Rechte erhält. Der Auftragnehmer darf kundenspezifische Ergebnisse nur in dem Umfang wiederverwenden, wie es der Vertrag ausdrücklich erlaubt und soweit keine vertraulichen Informationen oder Schutzrechte des Auftraggebers betroffen sind.

Sofern ein Escrow vereinbart wird, werden Bedingungen, Trigger (z. B. Insolvenz, Supporteinstellung), Umfang (Quellcode, Build-Anleitungen, Dokumentation) und Zugriffsvoraussetzungen in [Escrow-Anlage: ________] geregelt.

Alle Daten, die der Auftraggeber in die Lösung einbringt oder die im Betrieb entstehen (einschließlich Stammdaten, Bewegungsdaten, Work-Order-Daten, Audit-Logs), verbleiben im Eigentum bzw. in der Datenhoheit des Auftraggebers. Der Auftragnehmer erhält nur die Rechte, die für Vertragserfüllung und Support erforderlich sind. Der Auftraggeber hat das Recht auf Zugriff, Export und Rückgabe seiner Daten in den in Anlage A1/A8 definierten Formaten und Frequenzen.

Der Auftragnehmer erfüllt die IT-Sicherheitsanforderungen gemäß Anlage A6. Dies umfasst u. a. Zugangssicherheit, Verschlüsselung, Schwachstellenmanagement, Patch-Management, Logging/Monitoring, sichere Schnittstellen sowie organisatorische Sicherheitsmaßnahmen. Sicherheitsvorfälle sind unverzüglich zu melden, nach definiertem Incident-Prozess zu behandeln und mit Ursachenanalyse sowie Maßnahmenplan zu dokumentieren.

Soweit der Auftragnehmer personenbezogene Daten im Auftrag verarbeitet, schließen die Parteien eine Datenschutzvereinbarung gemäß Anlage A7 ab. Diese regelt Zweck, Kategorien, technische und organisatorische Maßnahmen, Unterauftragsverarbeiter, Unterstützungsleistungen bei Betroffenenrechten sowie Melde- und Nachweispflichten. Ohne Abschluss der erforderlichen Datenschutzdokumente darf keine produktive Verarbeitung personenbezogener Daten erfolgen.

Vertrauliche Informationen sind alle nicht öffentlich bekannten Informationen, die einer Partei im Zusammenhang mit diesem Vertrag offenbart werden. Vertrauliche Informationen dürfen nur zur Vertragserfüllung genutzt und nur an Personen weitergegeben werden, die sie zwingend benötigen und zur Vertraulichkeit verpflichtet sind. Der Schutz gilt über das Vertragsende hinaus für [Dauer: ________] oder solange die Information vertraulich bleibt, je nachdem, was länger ist, sofern rechtlich zulässig.

Der Auftraggeber ist berechtigt, die Einhaltung der Sicherheits- und Datenschutzpflichten zu auditieren oder auditieren zu lassen, nach vorheriger Ankündigung und unter Wahrung von Vertraulichkeit und angemessener Betriebsstörung. Umfang, Frequenz, Nachweise (z. B. Berichte, Zertifikate) und Mitwirkungspflichten sind in [Auditregel: ________] zu definieren. Festgestellte Abweichungen sind innerhalb definierter Fristen zu beheben.

Der Einsatz von Nachunternehmern ist nur im vereinbarten Umfang zulässig. Kritische Nachunternehmerleistungen (z. B. Hosting, Sicherheitsbetrieb, Kernintegrationen) bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers, soweit vereinbart. Der Auftragnehmer bleibt für sämtliche Leistungen voll verantwortlich und haftet für Nachunternehmer wie für eigenes Verschulden, soweit rechtlich zulässig.

Der Auftragnehmer stellt sicher, dass alle vertraglichen Verpflichtungen, die für Nachunternehmer relevant sind (insbesondere Vertraulichkeit, Datenschutz, Informationssicherheit, Auditrechte, IP-Regeln, SLA-relevante Pflichten), an Nachunternehmer wirksam „durchgereicht“ werden. Auf Verlangen weist der Auftragnehmer die entsprechende vertragliche Bindung nach.

Schlüsselpersonal ist in [Key-Personnel-Liste: ________] definiert. Der Auftragnehmer verpflichtet sich, dieses Personal in den vorgesehenen Rollen einzusetzen. Ein Austausch ist nur aus sachlichem Grund zulässig und bedarf, soweit vereinbart, der vorherigen Zustimmung des Auftraggebers. Ersatzpersonal muss mindestens gleichwertige Qualifikation und Erfahrung aufweisen. Der Auftragnehmer sorgt für geordneten Wissenstransfer und minimiert Risiken durch Fluktuation.

Der Auftragnehmer gewährleistet, dass die Implementierungsdeliverables den vertraglichen Anforderungen entsprechen und frei von Sach- und Rechtsmängeln sind. Gewährleistungsfrist, Beginn und Umfang sind in [Gewährleistungsregel: ________] festgelegt. Die Gewährleistung umfasst auch die Dokumentation und die upgradefähige Umsetzung vereinbarter Konfigurationen/Erweiterungen.

Mängel werden nach Schwereklassen kategorisiert (z. B. kritisch/hoch/mittel/niedrig) gemäß [Mängelklassifikation: ________]. Für jede Klasse gelten definierte Reaktions- und Behebungsfristen. Der Auftragnehmer dokumentiert Mängelbearbeitung, Workarounds und endgültige Korrekturen und stellt sicher, dass Korrekturen keine Regressionen verursachen (Retestpflicht).

Primäre Abhilfe ist Nachbesserung/Nacherfüllung. Soweit Service Credits an SLA gekoppelt sind, sind diese in Anlage A5 geregelt und werden nach einem klaren Berechnungsmechanismus angewendet. Service Credits ersetzen nicht zwingende gesetzliche Rechte, soweit anwendbar, und begrenzen nicht die Verpflichtung zur nachhaltigen Fehlerbehebung.

Mängel, die nachweislich durch unsachgemäße Nutzung, nicht genehmigte Änderungen des Auftraggebers oder durch Störungen außerhalb der Verantwortung des Auftragnehmers verursacht wurden, unterliegen den in [Abgrenzungsregel: ________] definierten Regeln. Der Auftragnehmer hat den Nachweis der Ursachenabgrenzung zu erbringen. Unabhängig davon bleibt der Auftragnehmer verpflichtet, bei der Störungsanalyse angemessen zu unterstützen.

Die Haftung der Parteien richtet sich nach [anwendbarem Recht: ________] und den vertraglich vereinbarten Haftungsregelungen. Haftungshöchstgrenzen (Caps) und Haftungskategorien sind festzulegen, beispielsweise getrennt nach Implementierung, Betrieb, Datenschutz/Sicherheit und IP-Rechten: [Haftungsmodell/Cap: ________]. Unabhängig von Caps gelten zwingende Haftungstatbestände nach anwendbarem Recht.

Soweit zulässig, können bestimmte Schadenskategorien ausgeschlossen oder begrenzt werden, jedoch nur, wenn dies mit dem Vertragszweck, dem Risikoprofil und den zwingenden Rechtsvorgaben vereinbar ist. Ausschlüsse dürfen die Durchsetzbarkeit wesentlicher Vertragspflichten nicht entleeren. Konkrete Regelungen sind in [Haftungsklausel: ________] festzulegen.

Der Auftragnehmer unterhält während der Vertragslaufzeit angemessene Versicherungen, insbesondere [Versicherungsarten: ], mit Mindestdeckungssummen []. Nachweise sind vor Leistungsbeginn und auf Verlangen während der Laufzeit vorzulegen. Versicherungsschutz entbindet nicht von Haftung.

Der Auftragnehmer hält sämtliche auf die Leistungserbringung anwendbaren gesetzlichen und regulatorischen Anforderungen ein sowie die vom Auftraggeber verbindlich gemachten Richtlinien, soweit diese rechtmäßig, zumutbar und vorab kommuniziert sind: [Policies: ________]. Dazu zählen u. a. Vorgaben zu Informationssicherheit, Datenschutz, Arbeitsschutz und Zugang zu Liegenschaften, sofern relevant.

Der Auftragnehmer verpflichtet sich zu Integrität und zur Unterlassung unzulässiger Einflussnahme. Er stellt sicher, dass keine verbotenen Zahlungen, Vorteile oder Zuwendungen im Zusammenhang mit diesem Vertrag angeboten oder gewährt werden. Sanktions- und Embargoregeln sind einzuhalten, soweit anwendbar. Meldepflichten und Prüfmechanismen werden in [Compliance-Anlage: ________] konkretisiert.

Der Auftragnehmer führt vollständige, nachvollziehbare Leistungs- und Abrechnungsnachweise. Relevante Unterlagen sind für [Aufbewahrungsfrist: ________] aufzubewahren, soweit rechtlich zulässig, und dem Auftraggeber bzw. Prüfinstanzen im vereinbarten Umfang zugänglich zu machen. Dies umfasst insbesondere Nachweise zu SLA/KPI, Changes, Releases, Sicherheitsereignissen und Abnahmen.

Kündigungsrechte richten sich nach [Regelung: ________]. Eine außerordentliche Kündigung aus wichtigem Grund ist möglich, wenn eine wesentliche Vertragsverletzung trotz angemessener Fristsetzung nicht behoben wird oder wenn andere Kündigungsgründe vorliegen, die im Vertrag definiert sind. Eine ordentliche Kündigung (Kündigung aus Bequemlichkeit) ist nur zulässig, wenn sie ausdrücklich vereinbart ist und die Bedingungen (Fristen, Abwicklung, ggf. Ausgleich) geregelt sind.

Im Fall der Vertragsbeendigung erbringt der Auftragnehmer Exit-Unterstützung für die Dauer von [Exit-Zeitraum: ________] gemäß Exit-Plan (Anlage A10). Exit-Leistungen umfassen mindestens die geordnete Übergabe von Dokumentation, Konfigurationen, Schnittstellenbeschreibungen, Betriebsprozessen sowie Unterstützung beim Übergang zu einem neuen Provider oder in den Eigenbetrieb, soweit dies vorgesehen ist.

Der Auftragnehmer stellt dem Auftraggeber alle Daten in den vereinbarten Formaten zur Verfügung und löscht Daten nach Abschluss der Rückgabe gemäß [Löschkonzept: ________], soweit rechtlich zulässig und soweit keine Aufbewahrungspflichten entgegenstehen. Die Löschung ist auf Verlangen durch geeignete Nachweise zu bestätigen. Etwaige Backups sind nach den vereinbarten Regeln zu behandeln und innerhalb definierter Zeiträume zu bereinigen.

Der Auftragnehmer arbeitet in angemessenem Umfang mit dem Nachfolgeprovider zusammen, um einen reibungslosen Übergang zu ermöglichen. Dazu gehören technische Abstimmungen, Bereitstellung von Exporten, Unterstützung bei Schnittstellenübergaben und Wissenstransfer. Der Auftragnehmer darf den Übergang nicht durch unangemessene Bedingungen behindern und stellt sicher, dass keine unzulässigen technischen Sperren (Lock-in) entstehen, sofern der Auftraggeber seinen vertraglichen Pflichten nachkommt.

Vor Einleitung formeller Streitbeilegung bemühen sich die Parteien um eine Eskalation entlang des Governance-Modells mit Management- und Steering-Ebene. Ziel ist eine zeitnahe, dokumentierte Lösung. Fristen, Eskalationsstufen und erforderliche Unterlagen sind in [Dispute-Eskalationsregel: ________] festzulegen.

Dieser Vertrag unterliegt dem Recht von []. Ausschließlicher Gerichtsstand ist [], sofern rechtlich zulässig. Alternativ/ergänzend kann ein Verfahren der alternativen Streitbeilegung vereinbart werden: [________].

Vertragsmitteilungen sind schriftlich an die in [Kontaktliste/Anlage: ________] benannten Adressen zu richten. Elektronische Zustellung ist zulässig, sofern [Zustellregeln: ________] eingehalten werden. Änderungen der Kontaktdaten sind unverzüglich schriftlich mitzuteilen.

Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt der Vertrag im Übrigen wirksam. Die Parteien werden die unwirksame Bestimmung durch eine wirksame Regelung ersetzen, die dem wirtschaftlichen Zweck möglichst nahekommt. Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform, sofern nicht zwingendes Recht eine andere Form zulässt. Dieser Vertrag einschließlich Anlagen stellt die vollständige Vereinbarung dar; Nebenabreden bestehen nicht.