Vertragsdokumente – SaaS & IT-Services (CH) – B2B & B2C

AGBSLAAVV / DPA (DSGVO + revDSG)Enterprise AddendumSecurity AnnexPreismodellVerhandlungsleitfaden

Inhalt

Teil A – Allgemeine Geschäftsbedingungen (AGB)

Anbieter: handel gmbh, Gesellschaft mit beschränkter Haftung (GmbH), Grabenstrasse 15a, 6340 Baar, Schweiz, UID: CHE-339.453.650 („Anbieter“)

Kunde: Vertragspartner gemäss Angebot/Bestellung/Registrierung („Kunde“)

B2B = Kunde handelt in Ausübung gewerblicher/beruflicher Tätigkeit. B2C = Kunde als Konsument.

1. Geltungsbereich

Diese AGB gelten für sämtliche Leistungen des Anbieters, insbesondere für (i) cloudbasierte Software-as-a-Service („SaaS“) sowie (ii) IT-Dienstleistungen (Support, Wartung, Consulting, Projekt- und Vor-Ort-Leistungen). Abweichende Bedingungen des Kunden gelten nur, wenn der Anbieter deren Geltung schriftlich zustimmt.

2. Vertragsabschluss

Ein Vertrag kommt zustande durch (a) Online-Registrierung und Aktivierung eines Abos, (b) Annahme eines Angebots, (c) schriftliche oder elektronische Bestellung (E-Mail genügt), oder (d) konkludente Leistungserbringung. Der Anbieter kann Bestellungen aus sachlichen Gründen ablehnen (z.B. Missbrauch, Compliance).

3. Leistungsbeschreibung

3.1 SaaS

Der Anbieter stellt dem Kunden die SaaS-Applikation handel-it Services über das Internet zur Nutzung bereit. Der konkrete Funktionsumfang ergibt sich aus Leistungsbeschreibung/Plan (z.B. „Basic/Pro/Enterprise“).

Nicht geschuldet sind insbesondere Internet-/Netzwerkverbindungen des Kunden, Endgeräte, sowie Fremdsysteme ausserhalb des Einflussbereichs des Anbieters.

3.2 Dienstleistungen

Dienstleistungen werden grundsätzlich als Dienstvertrag erbracht (Sorgfaltspflicht, keine Erfolgsgarantie), ausser es wird ausdrücklich eine Werkleistung (definierter Erfolg/Abnahme) vereinbart.

4. Verfügbarkeit, Wartung & Änderungen (SaaS)

Zielwerte und Servicegutschriften sind im SLA geregelt. Geplante Wartungen werden nach Möglichkeit vorab angekündigt; sicherheitskritische Änderungen dürfen kurzfristig erfolgen.

5. Mitwirkungspflichten des Kunden

Der Kunde ist verpflichtet, rechtzeitig:

  • korrekte Informationen, Daten und Ansprechpartner bereitzustellen,
  • erforderliche Zugänge/Accounts/ Freigaben zu erteilen,
  • Änderungen an Systemen, Volumen, Schnittstellen oder Security-Anforderungen mitzuteilen,
  • Sicherheitsvorgaben (z.B. MFA, Passwörter, Rollen) einzuhalten.

Mehraufwände und Verzögerungen, die aus fehlender/verspäteter Mitwirkung entstehen, gehen zulasten des Kunden und sind nach Aufwand vergütungspflichtig.

6. Preise, Abrechnung & Zahlung

Preise ergeben sich aus Angebot, Preisliste oder Online-Checkout. SaaS-Abos werden periodisch im Voraus fakturiert. Dienstleistungen werden nach Aufwand oder pauschal abgerechnet.

  • Rechnungsfrist: 30 Tage netto (sofern nicht anders vereinbart)
  • Verzug: Verzugszins gemäss schweizerischem OR; Anbieter darf Leistungen bei erheblichem Verzug aussetzen
  • B2B: Kein Zurückbehaltungs- oder Verrechnungsrecht, soweit gesetzlich zulässig
  • B2C: Preise inkl. MwSt, sofern anwendbar; besondere Konsumentenrechte bleiben unberührt

7. Nutzungsrechte & geistiges Eigentum

7.1 SaaS-Nutzung

Der Kunde erhält ein nicht exklusives, nicht übertragbares, zeitlich begrenztes Nutzungsrecht an der SaaS im Umfang des Vertrags. Kein Anspruch auf Herausgabe des Quellcodes.

7.2 Projektergebnisse

Vorbestehende Komponenten, Frameworks, Tools, Templates und generisches Know-how bleiben Eigentum des Anbieters. Kundenspezifische Ergebnisse (z.B. Konfigurationen, Dokumentation, kundenspezifischer Code) werden dem Kunden als einfaches Nutzungsrecht zur internen Nutzung eingeräumt, sofern nichts Abweichendes vereinbart ist. Der Anbieter darf Know-how, Methoden und nicht-kundenspezifische Teile weiterverwenden.

8. Daten, Datenschutz & Cloud-Subunternehmer

Kundendaten bleiben Eigentum des Kunden. Der Anbieter verarbeitet personenbezogene Daten als Auftragsverarbeiter, soweit anwendbar. Details regelt die AVV / DPA. Hosting kann über AWS und/oder Microsoft Azure erfolgen (EU/CH-Regionen).

9. Gewährleistung

Der Anbieter betreibt die SaaS nach Stand der Technik, garantiert jedoch keine absolute Fehlerfreiheit. Mängel sind unverzüglich zu melden.

  • B2B: Gewährleistung wird im gesetzlich zulässigen Umfang ausgeschlossen; vorrangig Nacherfüllung.
  • B2C: Zwingende gesetzliche Gewährleistungsrechte bleiben unberührt.

10. Haftung

Der Anbieter haftet für direkte, vertragstypische Schäden. Eine Haftung für indirekte Schäden, Folgeschäden, entgangenen Gewinn, Betriebsunterbruch und reine Vermögensschäden ist ausgeschlossen, soweit gesetzlich zulässig.

Haftungs-Cap (Standard): maximal 12 Monate Vertragsumsatz, absolut maximal CHF 500’000 pro Vertragsjahr.

Unbeschränkt: Vorsatz, grobe Fahrlässigkeit, Personenschäden sowie zwingende Produkthaftung (soweit anwendbar).

11. Vertragsdauer & Kündigung

SaaS-Abos laufen gemäss gewählter Periode (monatlich/jährlich) und verlängern sich, sofern nicht fristgerecht gekündigt. Kündigungsfrist: 30 Tage zum Periodenende (sofern nicht anders vereinbart). Enterprise-Laufzeiten sind im Enterprise Addendum geregelt.

12. Sperrung, Missbrauch, Compliance

Bei Missbrauch, Sicherheitsvorfällen oder Rechtsverletzungen darf der Anbieter den Zugriff vorübergehend sperren, soweit dies zur Gefahrenabwehr erforderlich ist. Der Kunde ist über Sperrungen nach Möglichkeit zu informieren.

13. Vertraulichkeit

Beide Parteien behandeln vertrauliche Informationen zeitlich unbegrenzt vertraulich. Ausnahmen: allgemein bekannt, rechtmässig erhalten, oder gesetzliche Offenlegungspflichten.

14. Änderungen der AGB

Der Anbieter kann AGB anpassen. Wesentliche Änderungen werden angekündigt. B2B: Widerspruch innerhalb 30 Tagen, ansonsten gelten Änderungen als akzeptiert. B2C: Änderungen nur bei sachlichem Grund; bei erheblicher Änderung besteht ein Sonderkündigungsrecht.

15. Schlussbestimmungen

Anwendbares Recht: Schweiz. Gerichtsstand: Kanton Zug (B2C: zwingende Gerichtsstände bleiben vorbehalten). Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam (Salvatorische Klausel).

Teil B – SLA (Service Level Agreement)

Anhang zu den AGB – gilt, sofern im Vertrag nichts Abweichendes vereinbart ist.

1. Definitionen

  • Verfügbarkeit: Anteil der Zeit, in der die SaaS produktiv nutzbar ist (ohne Ausschlusszeiten).
  • Wartungsfenster: angekündigte Zeitfenster für Updates/Wartung.
  • Service Credits: Gutschriften auf zukünftige Gebühren (keine Barauszahlung).

2. Zielverfügbarkeit

Standard (KMU): 99,5 % im Jahresmittel

Enterprise (optional): 99,7 % bis 99,9 % gemäss Vertrag

3. Ausschlüsse (nicht eingerechnet)

  • Geplante Wartungsfenster
  • Ausfälle durch höhere Gewalt
  • Ausfälle/Incident bei AWS oder Azure ausserhalb der Kontrolle des Anbieters
  • Kunden- oder Drittverschulden (Netzwerk, Identity Provider, Fehlkonfigurationen)
  • Missbrauch, Angriffe, Sperrungen zur Gefahrenabwehr

4. Supportzeiten

ProfilSupportzeitenKanal
Standard (KMU)Mo–Fr 08:00–18:00 (CH), Feiertage ausgenommenTicket/E-Mail, optional Telefon
Enterprise (optional)24/7 oder erweiterte Zeiten gemäss VertragTicket + Hotline + Eskalation

5. Prioritäten & Reaktionszeiten

PrioritätBeschreibungReaktion (Standard)Reaktion (Enterprise optional)
P1 KritischProduktivsystem nicht nutzbar≤ 4 Std≤ 1–2 Std
P2 HochWesentliche Funktion stark eingeschränkt≤ 8 Std≤ 4 Std
P3 MittelBeeinträchtigung ohne Stillstand≤ 2 AT≤ 1 AT
P4 NiedrigFragen, Changes, Verbesserungnach Planungnach Planung

6. Service Credits

VerfügbarkeitGutschrift (Monatsgebühr)
< 99,5 %5 %
< 99,0 %10 %
< 98,0 %20 %

Maximal 20 % pro Abrechnungsmonat. Service Credits sind das ausschliessliche Rechtsmittel für Verfügbarkeitsverstösse, soweit gesetzlich zulässig.

7. Mitwirkung

Der Kunde stellt erforderliche Informationen innerhalb angemessener Frist bereit (bei P1 möglichst sofort). Verzögerungen, die durch fehlende Kundenmitwirkung entstehen, hemmen SLA-Fristen entsprechend.

Teil C – AVV / DPA (Auftragsverarbeitung)

DSGVO + revDSG – Anhang zu den AGB / Hauptvertrag

1. Parteien & Rollen

Verantwortlicher: Kunde

Auftragsverarbeiter: handel gmbh, Grabenstrasse 15a, 6340 Baar, Schweiz

2. Gegenstand, Dauer, Weisungen

Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der SaaS- und IT-Leistungen. Dauer entspricht der Vertragslaufzeit. Der Anbieter verarbeitet Daten ausschliesslich auf dokumentierte Weisung des Kunden, ausser bei gesetzlicher Verpflichtung.

3. Art und Zweck der Verarbeitung

  • Hosting, Betrieb und Bereitstellung der SaaS
  • Support, Wartung, Incident-Analyse
  • Backups/Restore gemäss Leistungsbeschreibung
  • Security Monitoring/Logging (minimal erforderlich)

4. Kategorien betroffener Personen / Daten

Je nach Nutzung: Mitarbeitende, Endkunden, Partner; Datenkategorien gemäss Kundeneingaben und Systemdaten (Logs).

5. TOMs (Kurzbeschreibung)

Der Anbieter implementiert geeignete technische und organisatorische Massnahmen, insbesondere:

  • Zugriffskontrolle (RBAC), MFA wo möglich
  • Transportverschlüsselung (TLS), Verschlüsselung ruhender Daten soweit verfügbar/konfiguriert
  • Patch- und Vulnerability-Management
  • Backups, Wiederherstellungsprozesse, Monitoring
  • Mandantentrennung (Tenant Isolation) nach Architektur

6. Subunternehmer / Cloud Provider

Genehmigte Subunternehmer: Amazon Web Services (AWS), Microsoft Azure

Regionen: Schweiz und/oder EU (gemäss Konfiguration/Vertrag)

Weitere Subunternehmer: Information vor Einsatz; Kunde kann bei wichtigen Gründen widersprechen. Widerspruch kann zur Vertragsbeendigung führen, wenn Leistung ohne Subunternehmer nicht möglich ist.

7. Drittlandübermittlungen

Sofern ausnahmsweise Übermittlungen ausserhalb CH/EU erfolgen, geschieht dies nur auf Basis geeigneter Garantien (z.B. SCC, zusätzliche Massnahmen), gemäss DSGVO/revDSG.

8. Unterstützung bei Betroffenenrechten

Der Anbieter unterstützt den Kunden angemessen bei Auskunft, Berichtigung, Löschung, Einschränkung und Portabilität, soweit dies im Rahmen der Systeme möglich ist.

9. Meldung von Datenschutzverletzungen

Der Anbieter meldet dem Kunden relevante Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnis (sofern die Informationen verfügbar sind), und unterstützt bei der Analyse.

10. Löschung / Rückgabe nach Vertragsende

Nach Vertragsende: Export/Rückgabe nach Vereinbarung; anschliessend Löschung nach angemessener Frist, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Audit & Nachweise

B2B/Enterprise: Audit max. 1× pro Jahr, nach Vorankündigung, während Geschäftszeiten, ohne Störung. Alternativ können Zertifikate/Atteste der Cloud-Provider und Anbieter-Nachweise akzeptiert werden.

12. Haftung

Es gilt die Haftungsregelung des Hauptvertrags/AGB, soweit gesetzlich zulässig.

Teil D – Enterprise Addendum

Gilt nur, wenn im Vertrag explizit als „Enterprise“ bezeichnet und vereinbart.

1. Laufzeit & Kündigung

  • Mindestlaufzeit: 12–36 Monate (gemäss Vertrag)
  • Kündigungsfrist: 3–6 Monate zum Laufzeitende
  • Verlängerung: jährlich, sofern nicht gekündigt

2. Erhöhte SLAs (optional)

Optionale Anpassung gemäss Vertrag: Zielverfügbarkeit 99,7–99,9 %, kürzere Reaktionszeiten, 24/7 Support.

3. Haftungsoptionen

Standard-Cap bleibt bestehen, sofern nicht schriftlich abweichend geregelt. Optional: höherer Cap gegen Aufpreis / höheres Servicepaket / Versicherung.

4. Security & Compliance

  • Erweiterte Security-Dokumentation (z.B. Policies, Architecture Overview, Incident Response Prozess)
  • Auditrecht wie in AVV beschrieben, alternativ Nachweise (z.B. Cloud-Provider Atteste)

5. Escrow (optional)

Quellcode-Escrow nur bei kritischen Systemen und separater Vereinbarung (Trigger: Insolvenz, dauerhafte Leistungseinstellung).

6. Change Management

Für kundenspezifische Anpassungen: Change Requests, Aufwandsschätzung, Freigabe, Priorisierung; Dokumentation im Ticket-/Projekttool.

Teil E – Security Annex (TOMs kompakt)

1. Grundprinzipien

  • Least Privilege / Rollenbasiertes Berechtigungskonzept (RBAC)
  • Defense-in-Depth
  • Secure-by-Default (wo möglich)
  • Protokollierung & Monitoring gemäss Notwendigkeit

2. Identität & Zugriff

  • MFA für Admin-Konten
  • Starke Passwortregeln / SSO wenn vereinbart
  • Provisioning/Deprovisioning Prozesse

3. Kryptografie

  • TLS für Daten in Transit
  • Verschlüsselung ruhender Daten, sofern verfügbar/aktiviert (z.B. Cloud-KMS)
  • Key Management in AWS/Azure (KMS/Key Vault) je nach Setup

4. Secure SDLC

  • Code Reviews & Branch Protection
  • Abhängigkeits-/SCA-Scans (wo implementiert)
  • Vulnerability Management & Patchprozesse

5. Betrieb, Logging, Monitoring

  • Monitoring (Uptime, Performance, Error Rates)
  • Logging mit Zugriffsschutz; Log-Retention gemäss Policy/Vertrag
  • Incident Response Prozess inkl. Kommunikation

6. Backup & Recovery

  • Backups gemäss Leistungsbeschreibung
  • Wiederherstellung nach Best Effort, sofern nicht RTO/RPO vertraglich zugesichert

7. Penetration Tests (optional)

Für Enterprise optional: periodische Pen-Tests durch Dritte nach Vereinbarung (Scope, Zeitfenster, Regeln).

8. Kundenpflichten (Security)

  • Schutz von Zugangsdaten, MFA aktivieren, Rollen korrekt vergeben
  • Gerätesicherheit / Endpoint Protection
  • Keine unautorisierten Security-Tests ohne Freigabe

Teil F – Preismodell & Abrechnung

1. SaaS-Abonnements

Beispiele (ersetzen/anpassen):

PlanAbrechnungInkludiertLimits
Basicmonatlich/jährlichKernfunktionenz.B. Nutzer/Storage/API Calls
Promonatlich/jährlichAdvanced Featureshöhere Limits
EnterprisejährlichSSO, Audit, 24/7 optionalvertraglich

2. Nutzungsbasierte Gebühren (optional)

  • z.B. pro Nutzer, pro Mandant, pro GB Storage, pro 1’000 API Calls, pro Transaktion
  • Überschreitungen werden gemäss Preisliste nachverrechnet

3. Dienstleistungen

LeistungAbrechnungBeispiel
Consulting/Engineeringnach AufwandCHF/EUR [X]/h
ProjektpauschaleFixpreisgemäss Statement of Work
Vor-Ort Einsatznach Aufwand + SpesenReisezeit/Spesen gemäss Policy
On-Call / 24/7Retainer + EinsatzEnterprise optional

4. Spesen & Reisezeit

Reisezeit und Spesen können verrechnet werden, sofern nicht ausdrücklich im Preis enthalten. Spesen nach Aufwand (Bahn/Flug/Hotel) gemäss Belegen oder Pauschalen, sofern vereinbart.

5. Preisänderungen

Preislisten können angepasst werden. Für laufende Abos gilt eine Ankündigungsfrist (z.B. 30–90 Tage). B2C: bei Preiserhöhung Sonderkündigungsrecht.

Teil G – Verhandlungsleitfaden (Redlines & Antworten)

Ziel: Schnell abschliessen (KMU) und kontrolliert skalieren (Enterprise), ohne unkalkulierbare Risiken.

1. „Nicht verhandelbar“ (deine roten Linien)

  • Kein unlimitierter Schadensersatz; Haftung muss gecappt bleiben.
  • Keine Haftung für indirekte Schäden / entgangenen Gewinn.
  • Kein automatischer vollständiger IP-Übergang (Quellcode bleibt beim Anbieter).
  • Keine garantierte Fehlerfreiheit; SLA über Credits, nicht über Strafzahlungen.
  • Keine unangekündigten Kunden-Audits ohne Rahmen (Zeit, Umfang, Häufigkeit).

2. „Gute Verhandlungshebel“ (geben gegen nehmen)

Forderung KundeDein GegenangebotWarum gut
Höherer Haftungs-CapCap ↑ nur gegen Preis ↑ / Enterprise-Paket / VersicherungRisiko wird bezahlt
99,9 % SLAPremium SLA + definierte Ausschlüsse + CreditsKalkulierbar
Auditrecht „jederzeit“1×/Jahr, Vorankündigung, Scope & NDAOperativ machbar
QuellcodeEscrow mit klaren TriggernVertrauen ohne IP-Verlust

3. Standard-Antworten (Copy/Paste)

Haftung: „Wir können den Cap erhöhen, wenn wir das Risiko bepreisen (Premium-Paket/Versicherung). Ohne Cap können wir nicht liefern.“

Unlimitierte Gewähr: „SaaS ist ein laufender Betrieb. Wir garantieren Stand-der-Technik und ein SLA mit Credits, aber keine absolute Fehlerfreiheit.“

Audit: „Wir ermöglichen Audits planbar (1×/Jahr, Vorankündigung, Scope). Alternativ liefern wir Nachweise der Cloud-Provider und unsere Security-Doku.“

4. Deal-Check (Enterprise)

  • SLA-Stufe und Supportzeiten klar?
  • Cap + Ausschlüsse klar?
  • AVV unterschrieben, Subunternehmer akzeptiert?
  • Rollen/SSO/MFA Anforderungen dokumentiert?
  • Change-Prozess & Pricing schriftlich?