Service Level Agreement rechtssicher gestalten



Dr. Sener Dincer

Rechtsanwalt

Zuletzt aktualisiert

23. April 2026 • 20 Min Lesezeit

Das Wichtigste in Kürze

Wer schließt faktisch ein Service Level Agreement?: Wer Cloud-Dienste, SaaS-Tools oder Managed Services einkauft, verhandelt faktisch ein Service Level Agreement (SLA); nach § 307 Abs. 1 Satz 2 BGB müssen dessen Klauseln transparent sein, sonst sind intransparente Verfügbarkeits- oder Wartungsfensterregelungen unwirksam und die gesetzliche Haftung bleibt voll bestehen.
Wann sind Service-Credit-Klauseln unwirksam?: Service-Credit-Klauseln, die weitergehende Schadensersatzansprüche in Allgemeinen Geschäftsbedingungen pauschal ausschließen, sind regelmäßig unwirksam; Anbieter haften dann nach dem gesetzlichen Vertragstyp, bei SaaS also mietrechtlich.
Was verlangt DORA seit Januar 2025?: Seit dem 17. Januar 2025 verlangt DORA für Verträge mit IKT-Drittdienstleistern Beschreibungen der Dienstleistungsgüte mit präzisen Leistungszielen; Standardvorlagen sollten vor jeder Unterzeichnung gegen Art. 30 DORA und die aktuelle Rechtslage geprüft werden.

Individuelle Prüfung

Jeder Fall ist speziell. Lassen Sie uns Ihren Sachverhalt unverbindlich prüfen.

Soforthilfe anfragen Artikel weiterlesen

Ein Service Level Agreement, kurz SLA, regelt die Qualität und Verfügbarkeit einer IT-Leistung zwischen Anbieter und Kunde. In der deutschen Vertragspraxis ist es selten ein eigenständiger Vertrag, sondern fast immer eine Anlage zum Cloud-, SaaS-, Wartungs- oder Outsourcing-Vertrag. Wer diese Anlage unterschätzt, riskiert intransparente Verfügbarkeitsmessungen, unwirksame Haftungsdeckel und im Streitfall einen Ausfall ohne Rechtsfolgen für den Anbieter. Bei größeren Managed-Services-Strukturen sollte der SLA deshalb zusammen mit dem IT-Outsourcing-Rahmenvertrag geprüft werden.

Dieser Ratgeber beantwortet drei Fragen:

Was genau ist ein Service Level Agreement und wie grenzt es sich von operativer Leistungsvereinbarung, Wartungsvertrag, Auftragsverarbeitungsvertrag und Lizenzvertrag ab?
Welche Pflichtinhalte muss ein SLA enthalten, damit es der deutschen AGB-Kontrolle nach §§ 305 ff. BGB standhält?
Welche Besonderheiten gelten seit 2025 durch die neue regulatorische Landschaft aus DORA, NIS2 und EVB-IT Cloud?

Was ein Service Level Agreement ausmacht

Ein Service Level Agreement ist die vertragliche Vereinbarung über die Qualität einer IT-Dienstleistung, insbesondere über Verfügbarkeit, Reaktionszeiten und die Rechtsfolgen bei Unterschreitung dieser Ziele. In der Praxis besteht es aus einer Leistungsbeschreibung, messbaren Kennzahlen, einer Messmethode und einem Sanktionsmechanismus, meist in Form von Service Credits oder Sonderkündigungsrechten.

Das SLA ist im deutschen Zivilrecht kein eigener Vertragstyp.

Es ist meist Teil eines übergeordneten Vertrags, dessen rechtliche Natur sich nach den vorrangigen Leistungen bestimmt, etwa Mietrecht nach § 535 BGB bei SaaS.

Bei reinen Software-als-Dienstleistung-Angeboten liegt nach gefestigter Rechtsprechung des Bundesgerichtshofs ein Mietvertrag nach §§ 535 ff. BGB vor; bei Hosting mit Abrufbarkeitszusage dominiert der Werkvertrag nach §§ 631 ff. BGB.

Diese Einordnung bestimmt, welche Haftungsregeln, Gewährleistungsfristen und Mitwirkungspflichten greifen.

Abgrenzung zu verwandten Vertragsdokumenten

Das SLA wird in der Praxis regelmäßig mit operativen Leistungsvereinbarungen, Wartungsverträgen, Lizenzverträgen oder Auftragsverarbeitungsverträgen verwechselt. Die Abgrenzung ist nicht nur terminologisch: Jede dieser Vertragsarten regelt einen eigenen Regelungsgegenstand, und derselbe Sachverhalt kann mehrere dieser Dokumente gleichzeitig erfordern.

Die operative Leistungsvereinbarung, englisch Operational Level Agreement (OLA), ist eine interne Abmachung innerhalb des Anbieters oder zwischen Anbieter und Subdienstleister.

Sie regelt, welche Abteilung oder welcher Unterauftragnehmer welche Teilleistung zu welchen Zeiten liefert. Ein Kunde sieht die OLA in der Regel nicht; sie ist aber die verletzliche Stelle jedes SLA. Wenn die interne OLA nur 99,5 Prozent Verfügbarkeit zusagt, kann der Anbieter dem Kunden über das SLA keine 99,9 Prozent garantieren, ohne die Differenz selbst zu tragen. Bei Cloud-Produkten sollte man deshalb parallel den SaaS-Vertrag prüfen lassen.

Der zugrundeliegende Vertrag mit einem Drittanbieter, englisch Underpinning Contract (UC), liegt noch eine Ebene tiefer.

Wenn ein Managed-Services-Anbieter seinerseits Rechenzentrumsleistungen bei einem großen Hyperscaler bezieht, bildet dessen Standardvertrag den Underpinning Contract. Die Garantien des UC sind praktisch immer schwächer als das, was der Managed-Services-Anbieter dem Endkunden verspricht. Diese Lücke muss der Anbieter wirtschaftlich tragen oder im eigenen SLA gegenüber dem Endkunden offen begrenzen. Wenn der Drittanbieter zugleich klassische Lizenz- oder Pflegeleistungen schuldet, sollte man auch den Softwarevertrag prüfen lassen.

Der Wartungsvertrag regelt Pflege- und Fehlerbeseitigungsleistungen wie Updates, Patches und Second-Level-Support.

Er enthält häufig Reaktionszeiten, aber keine klassische Verfügbarkeitsgarantie. Ein Angebot mit der Formulierung “Premium-Support mit Reaktionszeit am nächsten Werktag” ist ein Wartungsvertrag, kein SLA, solange keine messbare Uptime-Kennzahl vereinbart ist. Für KI-gestützte Services müssen zudem Modellqualität, Output-Risiken und Verfügbarkeiten im KI-Vertrag abgebildet werden.

Der Lizenz- oder Nutzungsvertrag regelt den Umfang der eingeräumten Nutzungsrechte: wieviele Nutzer, welche Module, welche Nutzungszwecke sind erlaubt. Er sagt nichts über die Servicequalität aus. Widersprüche zwischen Lizenz und SLA, etwa wenn die Frontpage 99,5 Prozent Verfügbarkeit garantiert, das Kleingedruckte der Lizenz aber jede Verfügbarkeit ausschließt, werden nach § 305c Abs. 2 BGB regelmäßig zulasten des Verwenders ausgelegt.

Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO steht neben dem SLA auf einer eigenen datenschutzrechtlichen Ebene und ersetzt es nicht.

Der AVV regelt, unter welchen Bedingungen personenbezogene Daten verarbeitet werden, während das SLA die Servicequalität dieses Verarbeitungsprozesses definiert.

Die 72-Stunden-Meldefrist nach Art. 33 Abs. 1 DSGVO erfordert interne Meldeprozesse, die durch SLA-Eskalationsketten unterstützt werden können.

Tiefer gehende Informationen zur Abgrenzung enthält unser Ratgeber zum Auftragsverarbeitungsvertrag.

Kurz gesagt: Rolle des SLA im Vertragsgefüge

Das SLA ist die Qualitätsschicht eines IT-Vertrags. Es beantwortet die Fragen, wie stabil, wie schnell und wie nachvollziehbar eine IT-Leistung erbracht wird und was passiert, wenn diese Zusagen verfehlt werden. Lizenz, Wartung und AVV regeln parallel andere Aspekte desselben Sachverhalts.

Wie das deutsche Recht ein SLA einordnet

Ob ein SLA einklagbar und wirtschaftlich tragbar ist, hängt wesentlich davon ab, wie der übergeordnete Vertrag zivilrechtlich eingeordnet wird.

Das deutsche Recht unterscheidet drei relevante Grundtypen (Miete, Werk, Dienst) plus einen Sonderfall für Verbraucherverträge über digitale Produkte.

Der Bundesgerichtshof hat mit dem Urteil vom 15. November 2006 (Az. XII ZR 120/04) ASP-Verträge als Mietverträge qualifiziert; diese Leitentscheidung ist für SLA bei SaaS relevant.

Warum SaaS und Cloud nach deutschem Recht Miete sind

Software-as-a-Service-Verträge sind nach der Rechtsprechung des Bundesgerichtshofs Mietverträge.

Das hat weitreichende Folgen: Die Gewährleistung ist streng, der Anbieter haftet verschuldensunabhängig für Mängel, die bei Vertragsschluss vorliegen, und er schuldet die laufende Erhaltung der Gebrauchstauglichkeit.

Der Bundesgerichtshof hat in seinem Urteil vom 15. November 2006 (Az. XII ZR 120/04) entschieden, dass Application-Service-Providing-Verträge, also die zeitlich begrenzte Bereitstellung von Software zur Nutzung über das Internet gegen Entgelt, Mietverträge im Sinne der §§ 535 ff. BGB sind.

Der entscheidende Satz dieses Urteils: Eine körperliche Besitzverschaffung ist nicht erforderlich.

Schon der Zugang zur Anwendung über das Internet gilt als Überlassung der Mietsache.

Diese Logik wurde in Literatur und Instanzrechtsprechung konsequent auf Software-as-a-Service übertragen.

Auch frühere Vorgängerentscheidungen des Bundesgerichtshofs stützen das Ergebnis.

Bereits mit Beschluss vom 28. Oktober 1992 (Az. XII ZR 92/91) hat der Bundesgerichtshof den entgeltlichen Fernzugriff auf fremde Rechnerkapazitäten mietvertraglich eingeordnet.

Für die SLA-Gestaltung bedeutet das: Verfügbarkeit ist nicht nur eine Qualitätskennzahl, sondern Teil der Hauptleistungspflicht.

Wird die zugesagte Verfügbarkeit nicht erreicht, liegt ein Mangel im mietrechtlichen Sinne vor.

Der Kunde kann mindern, Ersatz des Mangelschadens verlangen und bei schwerwiegenden Verletzungen außerordentlich kündigen.

Ein SLA kann diese gesetzlichen Rechtsbehelfe begrenzen, aber nur innerhalb der engen Grenzen der AGB-Kontrolle.



Garantiehaftung bei anfänglichen Mängeln

Im Mietrecht haftet der Anbieter nach § 536a Abs. 1 BGB für Mängel, die bereits bei Vertragsschluss vorliegen, verschuldensunabhängig. Eine Haftungsfreizeichnung für anfängliche Mängel in AGB ist extrem schwer zu konstruieren. Anbieter müssen daher die Übergabe der Mietsache, also den funktionsfähigen Zugang zur Plattform, vor Vertragsschluss belastbar prüfen.

Wann Hosting als Werkvertrag eingeordnet wird

Hosting-Leistungen mit konkreter Erfolgszusage werden vom Bundesgerichtshof als Werkvertrag behandelt.

Die Abgrenzung ist subtiler als bei reinem Software-as-a-Service, aber für die Haftungslage entscheidend.

Der Bundesgerichtshof hat mit Urteil vom 4. März 2010 (Az. III ZR 79/09) entschieden, dass ein Vertrag über die Erstellung, Gestaltung und Betreuung einer Internet-Präsenz einschließlich der Gewährleistung der Abrufbarkeit insgesamt als Werkvertrag zu qualifizieren ist.

Der BGH qualifiziert Hosting mit Erfolgszusage als Werkvertrag; der Anbieter schuldet die Abrufbarkeit als Erfolg nach § 631 BGB, eine klassische Abnahmepflicht entfällt jedoch bei Dauerschuldverhältnissen.

Das aktiviert die werkvertraglichen Gewährleistungsrechte nach §§ 634 ff. BGB inklusive Selbstvornahme und Minderung. In der SLA-Praxis heißt das: Wer eine Abrufbarkeitsgarantie gibt, muss auch die Mechanismen zur Nacherfüllung definieren.

Für reines Infrastruktur-Hosting ohne gestalterische Leistung gilt die werkvertragliche Einordnung nicht zwingend.

Hier greift häufig wiederum das Mietrecht, wenn der Anbieter Speicher- und Rechenkapazität zur Nutzung überlässt.

Die Einordnung muss immer am Einzelfall geprüft werden; entscheidend ist der Schwerpunkt der Leistung.

Dienstvertrag für Support und Managed Services

Reine Tätigkeitsschuld ohne Erfolgsbezug, wie sie für klassischen Support, Beratung oder Access-Provider typisch ist, unterfällt dem Dienstvertragsrecht nach §§ 611 ff. BGB.

Der Anbieter schuldet hier nicht einen konkreten Erfolg, sondern eine sachgerechte Bemühung.

Die Haftung ist milder, die Anforderungen an SLA-Klauseln aber nicht geringer: Reaktions- und Lösungszeiten bleiben einklagbar, wenn sie konkret vereinbart sind.

In der Praxis sind viele Managed-Services-Verträge typengemischt.

Ein Anbieter liefert Software-Bereitstellung (mietvertraglich), Wartung und Patches (werkvertraglich) und Support (dienstvertraglich) aus einer Hand.

Die Rechtsfolgen werden dann nach dem Schwerpunkt oder getrennt pro Teilleistung bestimmt.

Ein gut gestaltetes SLA bildet diese Aufteilung sauber ab und verhindert, dass streng mietrechtliche Gewährleistung auf milde dienstvertragliche Nebenleistungen durchschlägt.

Sonderfall Verbrauchervertrag

Bei Verträgen mit Verbrauchern über digitale Produkte greift seit dem 1. Januar 2022 ein eigenes Regime.

Es setzt die europäische Richtlinie über digitale Inhalte um und verdrängt für Verbraucherverträge die klassischen Miet- und Kaufregelungen weitgehend.

Seit dem 1. Januar 2022 gelten die §§ 327 ff. BGB für Verbraucherverträge über digitale Produkte; nach § 578b BGB und § 475a BGB verdrängen diese Vorschriften die Miet- und Kaufregelungen, soweit sie Regelungsgegenstände abschließend regeln.

Für SLA sind zwei Normen besonders wichtig. § 327f BGB verpflichtet den Anbieter zu Aktualisierungen, insbesondere Sicherheitsupdates, während des Zeitraums, den der Verbraucher nach der Natur des Produkts erwarten darf; bei dauerhafter Bereitstellung während der gesamten Vertragslaufzeit. Und § 327k BGB kehrt die Beweislast um: Zeigt sich innerhalb eines Jahres ein Mangel, muss der Anbieter beweisen, dass das Produkt bei Bereitstellung mangelfrei war.

Für B2B-Verträge gelten diese Normen nicht unmittelbar.

Trotzdem strahlen sie in die AGB-Kontrolle hinein: Abweichungen zum Nachteil des Unternehmenskunden werden nach § 307 BGB gemessen, und die Wertungen der Digitale-Produkte-Vorschriften fließen in die Angemessenheitsprüfung ein.

Warum die Einordnung die Haftungsschärfe bestimmt

Die Vertragstypisierung entscheidet über die gesetzliche Grundlinie. Je strenger der Vertragstyp, desto mehr muss ein SLA leisten, um die Risiken beherrschbar zu halten. Die Unterschiede im Überblick:

 Wischen

Vertragstyp	Hauptpflicht	Haftungslogik	Typische SLA-Konstellation
Mietvertrag (§§ 535 ff. BGB)	Dauerhafte Gebrauchsüberlassung	Verschuldensunabhängige Haftung für anfängliche Mängel (§ 536a BGB)	Cloud, SaaS, IaaS, PaaS
Werkvertrag (§§ 631 ff. BGB)	Herbeiführung eines bestimmten Erfolgs	Gewährleistung nach §§ 634 ff. BGB, Abnahmepflicht	Website-Hosting mit Abrufbarkeitszusage, Softwareerstellung, Pflegeverträge mit Erfolgsbezug
Dienstvertrag (§§ 611 ff. BGB)	Sachgerechte Tätigkeit ohne Erfolgsbezug	Allgemeines Schuldrecht, keine Gewährleistung	Support, Beratung, Access-Provider
§§ 327 ff. BGB	Bereitstellung digitaler Produkte an Verbraucher	Aktualisierungspflicht, Beweislastumkehr binnen 1 Jahr	B2C-SaaS, Consumer-Apps, digitale Abos

Cloud-Dienste sind im B2B- und B2C-Bereich häufig mietvertraglich nach § 535 BGB einzuordnen; im B2C-Bereich kommen zusätzlich Verbraucherschutzregelungen nach §§ 327 ff. BGB hinzu.

Anbieter, die beide Märkte bedienen, brauchen SLA-Varianten für beide Zielgruppen und dürfen auf keinen Fall ein einziges Template unverändert übernehmen.

Pflichtinhalte eines rechtssicheren SLA

Ein SLA, das vor deutschen Gerichten Bestand haben soll, braucht klar definierte Leistungskennzahlen, transparente Messmethoden und eine Sanktionslogik, die mit §§ 305 ff. BGB vereinbar ist. Die Mindeststruktur folgt einem einheitlichen Muster, das sich aus der Praxis großer Anwender, dem EVB-IT-Cloud-Standard und der Rechtsprechung zu AGB-Klauseln entwickelt hat.

Die folgende Übersicht fasst die wichtigsten Pflichtinhalte zusammen. Sie dient als Rahmen für eigene SLA-Entwürfe und als Prüfraster für Anbietervorlagen.

 Wischen

Bestandteil	Zweck	Rechtlicher Anker
Leistungsbeschreibung und Service-Scope	Was ist enthalten, was ausdrücklich nicht	Transparenzgebot § 307 Abs. 1 S. 2 BGB
Servicezeit und Wartungsfenster	Zeitraum der zugesagten Leistung	§ 307 BGB, AGB-Kontrolle
Verfügbarkeitsziel und Messmethode	Objektive, prüfbare Qualitätskennzahl	Transparenzgebot, BSI C5
Reaktions- und Lösungszeiten nach Priorität	Eskalationskette bei Störfällen	Vertragsrecht, § 307 BGB
Service Credits und Sanktionslogik	Rechtsfolge bei Unterschreitung	§ 309 Nr. 5 BGB, § 307 BGB
Haftungsbegrenzung und Kardinalpflichten	Risikosteuerung im Schadensfall	§ 309 Nr. 7 BGB, § 307 Abs. 2 BGB
Meldeketten für Sicherheitsvorfälle	Einhaltung gesetzlicher Meldefristen	Art. 33 DSGVO, NIS2
Exit-Klausel und Datenexport	Verhinderung von Vendor-Lock-in	§ 307 BGB, Wettbewerbsrecht
Unterauftragnehmer und Subprozessoren	Kontrolle der Verarbeitungs- und Lieferkette	Art. 28 Abs. 2 DSGVO (Daten), NIS2 (IKT-Sicherheit)
Audit- und Prüfrechte	Nachweis datenschutzrechtlicher Pflichten und relevanter Leistungsprozesse	Art. 28 Abs. 3 lit. h DSGVO; ergänzend BSI C5
Change Management	Geordnete Änderung von Services	§ 308 Nr. 4 BGB
Sonderkündigungsrechte	Reaktion auf wiederholte Verstöße	§ 314 BGB

Zwischen diesen Bestandteilen bestehen wichtige Wechselwirkungen. Die Messmethode ist nur so gut wie ihr Messpunkt, und die Service Credits sind nur so wirksam wie die Haftungsklausel, die ihnen folgt. Die nächsten Abschnitte gehen auf die streitanfälligsten Pflichtinhalte im Detail ein.

Leistungsbeschreibung und Scope-Definition

Die Leistungsbeschreibung ist die Grundlage des gesamten SLA. Sie muss in nachvollziehbarer Form benennen, welche Services umfasst sind, welche Komponenten explizit ausgenommen werden und wer welche Mitwirkungspflichten trägt. Unklare Scope-Definitionen sind in der Praxis der häufigste Streitauslöser: Der Kunde meldet einen Vorfall, der Anbieter verneint die Zuständigkeit, und beide Seiten streiten darüber, ob ein Konfigurationsfehler, ein Netzwerkproblem des Kunden oder ein Plattformfehler vorliegt.

Eine belastbare Leistungsbeschreibung listet Systeme, Schnittstellen und Bestandteile einzeln auf. Sie benennt auch abgrenzbare Sonderfälle: Dritte Komponenten, die der Kunde selbst stellt, sind ausdrücklich vom Scope auszunehmen, ebenso wie individuelle Konfigurationen oder Customizings, für die der Anbieter keine Qualität garantieren kann.

Verfügbarkeit, Messpunkt und Wartungsfenster

Verfügbarkeit ist die wichtigste Kennzahl eines SLA und gleichzeitig die am häufigsten intransparent formulierte. Die Standardformel nach ISO/IEC 20000 lautet: Verfügbarkeit in Prozent gleich der Differenz aus Gesamtservicezeit und Ausfallzeit, geteilt durch die Gesamtservicezeit, multipliziert mit hundert. Was harmlos wirkt, birgt drei Fallen.

Erstens: der Messpunkt. Wird am Internet-Uplink des Rechenzentrums gemessen, am Load-Balancer des Anbieters oder am Endgerät des Anwenders? Zwischen diesen Messpunkten liegen oft mehrere Prozentpunkte. Ein SLA ohne klare Messpunktdefinition verfehlt das Transparenzgebot.

Zweitens: das Wartungsfenster.

Es darf von der Verfügbarkeitsberechnung ausgenommen werden, aber nur, wenn es vorab angekündigt, zeitlich klar begrenzt und in seiner Häufigkeit angemessen ist.

Wartungsfenster, die faktisch einen Freibrief für dauerhafte Teilausfälle darstellen, halten einer AGB-Kontrolle nicht stand.

Drittens: die Definition der Ausfallzeit. Zählt eine deutliche Verlangsamung, also eine Performance-Degradation, bereits als Ausfall oder nur der Vollausfall?

Gerichte haben mehrfach entschieden, dass die Unerreichbarkeit der Funktion und nicht nur der technische Portstatus als Ausfall zu werten ist.

Zur Einordnung der Zahlen hilft eine Benchmark-Übersicht.

 Wischen

Verfügbarkeit	Maximale Ausfallzeit pro Jahr	Typisches Einsatzfeld
99,0 %	rund 87 Stunden 40 Minuten	Entwicklung, unkritische Systeme
99,5 %	rund 43 Stunden 50 Minuten	Standard-Business
99,9 %	rund 8 Stunden 45 Minuten	Geschäftskritisch
99,95 %	rund 4 Stunden 20 Minuten	Enterprise-SaaS
99,99 %	rund 52 Minuten	Hochverfügbarkeit, Finanzdienstleister
99,999 %	rund 5 Minuten	Telekommunikation, Gesundheitsversorgung

Die Sprunghöhe zwischen den Stufen ist wirtschaftlich erheblich.

Der Sprung von 99,9 % auf 99,95 % halbiert die zulässige Ausfallzeit; zur Erreichung von 99,95 % sind jedoch in der Regel zusätzliche Redundanzmaßnahmen erforderlich.

Kunden, die höhere Verfügbarkeiten verlangen, müssen die damit einhergehenden Mehrkosten im Vertrag akzeptieren.

Reaktions- und Lösungszeiten nach Priorität

Reaktionszeit ist der Zeitraum bis zur ersten Bearbeitung eines Störfalls; Lösungs- oder Bearbeitungszeit ist der Zeitraum bis zur Wiederherstellung der Servicefähigkeit.

Beide Kennzahlen sind nur dann aussagekräftig, wenn sie nach Prioritätsstufen differenziert und an klare Kriterien gebunden sind.

Ein belastbares Prioritätsschema arbeitet mit drei bis vier Stufen.

Priorität 1 beschreibt den Vollausfall geschäftskritischer Funktionen; Priorität 2 die erhebliche Beeinträchtigung; Priorität 3 kleinere Störungen mit Workaround; Priorität 4 Anfragen und Änderungswünsche.

Die Einordnung eines Vorfalls in eine dieser Stufen muss objektiven Kriterien folgen, nicht dem Ermessen des Anbieters.

Sonst wird der “Bekannte Fehler” zum Missbrauchsinstrument: Der Anbieter stuft einen wiederkehrenden Mangel dauerhaft als niedrige Priorität ein und entzieht ihn so der eigenen Reaktionspflicht.

Service Credits als pauschalierter Schadensersatz

Service Credits sind der zentrale Sanktionsmechanismus moderner SLA.

Service Credits können als Vertragsstrafe, Minderung oder pauschalierter Schadensersatz ausgestaltet sein.

Das heißt: Statt den konkreten Schaden im Einzelfall zu berechnen, einigen sich die Parteien vorab auf eine feste Gutschrift bei Unterschreitung der vereinbarten Kennzahl. Das spart Streit, birgt aber AGB-rechtliche Risiken.

Nach § 309 Nr. 5 BGB ist in Allgemeinen Geschäftsbedingungen die Vereinbarung eines pauschalierten Schadensersatzes nur zulässig, wenn die Pauschale den in den geregelten Fällen nach dem gewöhnlichen Lauf der Dinge zu erwartenden Schaden nicht übersteigt und dem anderen Vertragsteil der Nachweis gestattet wird, dass ein Schaden überhaupt nicht entstanden oder wesentlich niedriger als die Pauschale ist.

Der Bundesgerichtshof hat in seinem Urteil vom 14. April 2010 (Az. VIII ZR 123/09) klargestellt, dass pauschalierter Schadensersatz in Allgemeinen Geschäftsbedingungen nur dann wirksam ist, wenn der Gegennachweis eines geringeren oder ausgebliebenen Schadens ausdrücklich offen bleibt.

Im B2B-Bereich ist § 309 Nr.

5 BGB zwar nicht direkt anwendbar; die Wertung wird aber über § 307 BGB regelmäßig übernommen.

Praktisch bedeutet das: Ein SLA, das Service Credits in Höhe von 5 bis 15 Prozent der monatlichen Vergütung je Stufe vorsieht und den Gegennachweis geringerer Schäden offen lässt, ist regelmäßig haltbar.

Eine Klausel, die jeden weiteren Schadensersatzanspruch ausschließt und nur die Service Credits als Rechtsbehelf zulässt, ist in AGB im Regelfall unwirksam.

Haftungsbegrenzung und Kardinalpflichten

Die Haftungsklausel ist in jedem SLA die Stelle mit dem höchsten Streitwert. Der Anbieter versucht, sein Risiko zu deckeln; der Kunde will im Ernstfall nicht mit einer faktischen Nullhaftung dastehen. Das deutsche AGB-Recht zieht hier enge Grenzen.

Nach § 309 Nr. 7 BGB sind in Allgemeinen Geschäftsbedingungen Haftungsausschlüsse für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für sonstige Schäden aus grober Fahrlässigkeit oder Vorsatz unwirksam.

Auch im B2B-Bereich, in dem § 309 Nr.

7 BGB nicht unmittelbar gilt, lässt die Rechtsprechung keinen Ausschluss der Haftung für Kardinalpflichten zu.

Kardinalpflichten sind die wesentlichen Vertragspflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglichen und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.

Bei SaaS und Cloud gehören Verfügbarkeit, Datenintegrität und Datensicherheit regelmäßig zu den Kardinalpflichten.

Praxistaugliche Haftungsklauseln kombinieren deshalb drei Elemente: einen betragsmäßigen Deckel für leichte Fahrlässigkeit, die Ausnahme von Vorsatz und grober Fahrlässigkeit sowie eine separate Regelung für die Verletzung von Kardinalpflichten. Oft wird die Haftung summenmäßig an das Jahresvolumen oder eine feste Vielfache der monatlichen Vergütung gekoppelt.

Incident-Meldeketten und die 72-Stunden-Frist

Sicherheitsvorfälle werfen zwei parallele Fragen auf: Wie wird der Kunde informiert, und wie werden regulatorische Meldefristen eingehalten? Die DSGVO gibt hier den engsten Zeitrahmen vor.

Nach Art. 33 Abs. 1 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden melden.

Nach Art. 33 Abs. 2 DSGVO hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird.

Damit der Verantwortliche seine 72-Stunden-Frist überhaupt einhalten kann, muss das SLA dem Auftragsverarbeiter eine deutlich kürzere Meldefrist vorgeben.

In regulierten Branchen wie dem Finanzsektor oder bei kritischen Infrastrukturen sehen Rechtsvorgaben häufig kurze Meldefristen vor, typischerweise bis zu 24 Stunden für eine erste Warnung und in bestimmten Fällen eine Meldung innerhalb von vier Stunden nach Klassifizierung.

Bei Finanzdienstleistern kann bereits eine Ausfallzeit von mehr als einer Stunde ein Kriterium dafür sein, ob ein Vorfall als schwerwiegend einzustufen ist; die Erstmeldung selbst knüpft regelmäßig an die Klassifizierung an.

Die Meldekette muss außerdem einen technischen Kanal, einen Eskalationsweg und einen Mindestinhalt definieren, damit die Meldung rechtlich verwertbar ist.

Exit-Klausel und Datenexport

Das Ende eines Vertrags ist der Moment, in dem der Kunde seine größte Verhandlungsschwäche hat: Er braucht den Anbieter noch einmal für den reibungslosen Übergang. Ohne Exit-Klausel riskiert er einen Vendor-Lock-in, der ihn entweder zum Verbleib zwingt oder teure Migrationsprojekte erfordert.

Eine belastbare Exit-Klausel regelt drei Punkte. Sie benennt ein offenes Exportformat (etwa CSV, JSON oder einen offenen Standard); sie legt eine Frist fest, innerhalb derer der Export nach Vertragsende bereitzustellen ist (typisch 30 Tage, bei kritischen Services auch länger); und sie definiert die Kosten, zu denen der Export erfolgt. Ohne alle drei Elemente bleibt die Exit-Klausel wirkungslos.

Das deutsche Wettbewerbsrecht strahlt in diese Regelung hinein.

Eine Anbieterposition, die den Datenexport wirtschaftlich unmöglich macht, kann bei marktmächtigen Providern kartellrechtlich relevant werden.

Unabhängig davon fließen diese Wertungen in die AGB-Kontrolle ein: Eine Klausel, die faktisch jeden Ausstieg verhindert, unterliegt einer strengen Angemessenheitsprüfung nach § 307 BGB.

Unterauftragnehmer und Subprozessoren

Moderne IT-Dienstleistungen basieren fast immer auf Lieferketten. Ein SaaS-Anbieter nutzt Cloud-Infrastruktur eines Hyperscaler, dessen Rechenzentrum wiederum Netzbetreiber einbindet. Das SLA muss diese Kette transparent machen. Fehlt die Transparenz, kann der Kunde weder Verfügbarkeit prüfen noch DSGVO-konforme Auftragsverarbeitung sicherstellen.

Nach Art. 28 Abs. 2 DSGVO darf der Auftragsverarbeiter keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen einsetzen.

Das SLA sollte deshalb eine Liste der eingesetzten Subprozessoren enthalten, einen Mechanismus für Aktualisierungen dieser Liste und ein Widerspruchsrecht des Kunden bei wesentlichen Änderungen. Ein Widerspruch darf dabei nicht voraussetzungslos zu einem Sonderkündigungsrecht führen, sonst wird der Anbieter unbeweglich. Gängige Praxis ist, dass der Kunde innerhalb einer angemessenen Frist widersprechen kann und der Anbieter dann entweder auf den neuen Subprozessor verzichtet oder dem Kunden eine Sonderkündigung gegen Erstattung von Restposten einräumt.

AGB-Kontrolle und typische Fallen in SLA-Klauseln

Vorformulierte SLA sind AGB nach § 305 Abs. 1 BGB.

Das heißt: Sie werden einseitig vom Anbieter gestellt, für eine Vielzahl von Verträgen vorformuliert und nur in Ausnahmefällen im Einzelnen ausgehandelt.

Damit unterliegen sie der Inhaltskontrolle der §§ 305 ff. BGB, auch im B2B-Geschäft, wenn auch in milderer Form.

Die praktische Konsequenz: Viele marktübliche Klauseln halten einer gerichtlichen Prüfung nicht stand. Kunden, die in einen Streit geraten, entdecken oft erst dann, dass zentrale Bestimmungen unwirksam sind und das gesetzliche Regelregime greift. Umgekehrt riskieren Anbieter, die ihre Standardklauseln nicht auf AGB-Festigkeit prüfen, höhere Haftungsrisiken als kalkuliert.

Wann SLA-Klauseln überhaupt AGB sind

Der entscheidende Unterschied liegt in der Frage, ob eine Klausel verhandelt oder ausgehandelt wurde. § 305 Abs. 1 S.

3 BGB verlangt mehr als ein bloßes Verhandeln: Der Anbieter muss die Bestimmung ernsthaft zur Disposition stellen und dem Kunden die reale Möglichkeit geben, inhaltlich Einfluss zu nehmen.

Eine formale Verhandlungsrunde, an deren Ende der Standardtext steht, reicht nicht.

Im Enterprise-Geschäft werden einzelne Kernklauseln, etwa Haftungsdeckel oder Service Credits, durchaus individuell ausgehandelt. Der Rest des Vertrags bleibt aber AGB.

Die Abgrenzung erfolgt deshalb klauselweise, nicht vertragsweise.

Eine ausgehandelte Haftungsklausel liegt neben nicht ausgehandelten Regelungen zur Messmethode, die weiterhin AGB-Kontrolle unterliegen.

Service Credits als Exklusivrechtsbehelf

Eine der riskantesten Klauseln in SLA ist der Versuch, Service Credits als abschließenden Rechtsbehelf zu etablieren.

Die Klausel lautet typischerweise: “Bei Unterschreitung der Verfügbarkeit stehen dem Kunden ausschließlich die im Anhang geregelten Service Credits zu; weitergehende Ansprüche sind ausgeschlossen.” In AGB ist eine solche Klausel nach deutscher Rechtslage regelmäßig unwirksam.

Eine spezifische BGH-Leitentscheidung genau zu diesem Klauseltyp existiert bislang nicht; die Bewertung folgt aus den allgemeinen Grundsätzen des § 307 BGB und der Ausstrahlungswirkung des § 309 Nr. 5 BGB.

Die herrschende Literaturmeinung und die Instanzrechtsprechung halten einen solchen Exklusivausschluss im B2B nur dann für haltbar, wenn er tatsächlich individuell ausgehandelt wurde oder wenn Service Credits den typischen Schaden vollständig abdecken, was bei Cloud-Ausfällen praktisch nie der Fall ist.

Anbieter, die diese Klausel in ihren Standard-SLA führen, müssen damit rechnen, dass ein Gericht im Streitfall ihre Haftung nach dem gesetzlichen Regelregime beurteilt.

Einseitige Änderungsvorbehalte

Ein weiterer Klassiker ist die einseitige Änderungsklausel: Der Anbieter behält sich das Recht vor, Leistungsinhalte, Preise oder Service-Level einseitig zu verändern.

In AGB ist das nach § 308 Nr. 4 BGB kritisch: Die Klausel ist unwirksam, wenn die Änderung für den Kunden unzumutbar ist.

Wirksam sind nur eng definierte Änderungsvorbehalte, die den Rahmen der möglichen Änderung konkret benennen und Anlass sowie Umfang nachvollziehbar an objektive Kriterien binden, etwa Preisanpassungen an Indexverfahren oder funktionale Änderungen an regulatorische Vorgaben.

Pauschale Klauseln, nach denen der Anbieter die Leistung nach eigenem Ermessen anpassen darf, sind unwirksam.

Haftungsdeckel und ihre Grenzen

Haftungsdeckel sind im B2B-Bereich üblich, aber nur in bestimmten Größenordnungen zulässig.

Eine Deckelung auf eine Monatsgebühr mag bei kleinen Services noch gehen; bei geschäftskritischen Systemen wird sie regelmäßig als unangemessene Benachteiligung angesehen.

Die Rechtsprechung verlangt, dass der Deckel im Verhältnis zum typischen Schaden und zum Vertragsvolumen steht.

Haftungsbeschränkungen in B2B-AGB sind nur wirksam, wenn sie typischerweise vorhersehbare Schäden abdecken.

Ein besonders niedriger Haftungsdeckel lässt sich in AGB nicht allein mit niedriger Vergütung rechtfertigen; maßgeblich bleibt die Interessenabwägung nach § 307 BGB.

Intransparente Verfügbarkeitsdefinition

Das Transparenzgebot des § 307 Abs. 1 S.

2 BGB ist bei Verfügbarkeitsklauseln besonders streng.

Eine Klausel, die “marktübliche Verfügbarkeit” zusagt oder “best effort” verspricht, ist inhaltsleer und deshalb nicht wirksam.

Ebenso unzulässig sind Klauseln, die zwar einen Prozentwert nennen, aber Messpunkt, Wartungsfenster und Ausfallsdefinition offen lassen.

Gerichte haben mehrfach betont, dass der Kunde aus der Klausel heraus rechnen können muss, welche Leistung er erwarten darf.

Wo die Klausel unklar bleibt, gilt die ungeklärte Stelle nach § 305c Abs. 2 BGB zulasten des Verwenders.

Das trifft besonders bei englischsprachigen Vorlagen, die eine detaillierte Messmethodik voraussetzen, die der deutsche Text nicht enthält.

Typische Fallen aus ausländischen Vorlagen

Viele Anbieter übernehmen US-Templates unverändert. Das erzeugt mehrere Probleme.

Die Vorlagen verwenden Begriffe wie “liquidated damages” und “sole and exclusive remedy”, die in der deutschen Rechtslage nur mit erheblichen Einschränkungen übersetzbar sind.

Sie verzichten regelmäßig auf die Ausnahme für Kardinalpflichten.

Und sie binden Rechtsfolgen an Bedingungen (etwa Benachrichtigungen des Kunden innerhalb weniger Tage), die nach deutschem Recht unangemessen sind.

Wer US-Templates einsetzt, muss sie mindestens in drei Punkten überarbeiten: Streichung des Exklusivausschlusses weiterer Rechtsbehelfe, ausdrückliche Ausnahme für Vorsatz, grobe Fahrlässigkeit und Kardinalpflichten sowie transparente Definition von Messmethode, Messpunkt und Wartungsfenster.

Regulatorische Sonderanforderungen ab 2025

Die regulatorische Landschaft hat sich seit Anfang 2025 deutlich verschoben. Finanzdienstleister und ihre IT-Lieferanten unterliegen neuen europäischen Resilienzvorgaben, kritische Infrastrukturen der neuen Cybersicherheitsrichtlinie, und öffentliche Auftraggeber nutzen das überarbeitete EVB-IT-Regelwerk. Wer diese Regime ignoriert, bekommt im Ausschreibungsprozess Probleme oder im Aufsichtsverfahren.

Anforderungen für Finanzdienstleister und IKT-Provider

Die Verordnung über die digitale operationale Resilienz im Finanzsektor, kurz DORA, definiert seit Januar 2025 verbindliche Mindestinhalte für Verträge zwischen Finanzunternehmen und ihren IT-Drittdienstleistern.

Sie gilt für Banken, Versicherer, Wertpapierinstitute, Zahlungsdienstleister und viele weitere beaufsichtigte Einheiten und strahlt über die Lieferkette auch auf Subdienstleister aus.

Die Verordnung (EU) 2022/2554 (DORA) gilt seit dem 17. Januar 2025 und verpflichtet Finanzunternehmen in Art. 30, in allen Verträgen mit IKT-Drittdienstleistern bestimmte Mindestinhalte vorzusehen, darunter klare Leistungsbeschreibungen, Meldepflichten, Auditrechte und Ausstiegsstrategien.

Art. 30 Abs. 3 DORA verlangt für Verträge über kritische oder wichtige IKT-Services zusätzlich vollständige Service-Level-Beschreibungen mit präzisen quantitativen und qualitativen Leistungszielen, Regelungen zur Unterstützung bei IKT-Sicherheitsvorfällen, Mitwirkungspflichten bei Penetrationstests sowie Ausstiegsstrategien einschließlich angemessener Übergangsphasen.

Das hat zwei Konsequenzen für die SLA-Gestaltung. Erstens: Standard-SLA großer Anbieter reichen regelmäßig nicht aus, wenn Finanzkunden betroffen sind. Zweitens: IT-Dienstleister, die Finanzkunden bedienen, müssen ihr Vertragswerk spezifisch für diese Kundengruppe ertüchtigen. Wer im Finanzsektor tätig werden will, ohne dort jemals Kunde zu sein, kann die Anforderungen indirekt über seine Endkunden in die Pflicht bekommen.

Lieferketten-SLA bei kritischen Infrastrukturen

Die neue europäische Cybersicherheitsrichtlinie NIS2 weitet den Kreis der kritischen Infrastrukturen deutlich aus und nimmt auch mittelständische Unternehmen in bestimmten Sektoren in die Pflicht.

Die deutsche Umsetzung befand sich zum Redaktionsstand dieses Ratgebers im Gesetzgebungsverfahren; der exakte Zeitpunkt des Inkrafttretens sollte vor Unterzeichnung neuer Verträge an den aktuellen Stand angepasst werden.

Die Richtlinie selbst verlangt in Art. 21 Risikomanagementmaßnahmen entlang der Lieferkette: Wesentliche und wichtige Einrichtungen müssen ihre IT-Lieferanten vertraglich zu angemessenen Sicherheitsmaßnahmen verpflichten.

Für SLA bedeutet das konkret, dass Anforderungen an technische und organisatorische Maßnahmen, Meldepflichten und Auditrechte nicht mehr optional sind, sondern regulatorisch unterlegt.

Zusätzlich schreibt die Richtlinie in Art. 23 eine zweistufige Meldekette vor: Frühwarnung binnen 24 Stunden, Vorfallsmeldung binnen 72 Stunden.

SLA mit Incident-Meldeklauseln müssen diese Fristen abbilden und der Verantwortlichkeitszuordnung Raum geben.

Standardwerk für die öffentliche Hand

Der IT-Planungsrat hat mit den Ergänzenden Vertragsbedingungen für die IT-Beschaffung, kurz EVB-IT, Standardverträge geschaffen, die Bundes- und Landesbehörden im Regelfall verbindlich nutzen müssen. Für SLA besonders relevant sind die Vertragstypen EVB-IT Cloud, EVB-IT Dienstvertrag und EVB-IT Pflege.

Der IT-Planungsrat hat mit Beschluss 2022/01 vom 11. Februar 2022 die EVB-IT Cloud eingeführt, deren AGB die BSI-C5-Basiskriterien als Mindeststandard für Cloud-Leistungen der öffentlichen Verwaltung vorsehen.

Anbieter, die Ausschreibungen der öffentlichen Hand gewinnen wollen, müssen ihre SLA auf EVB-IT-Kompatibilität prüfen. Das betrifft insbesondere die Verfügbarkeitsmessung, die Audit- und Prüfrechte des Auftraggebers, die Eskalationsstufen und das Exit-Management. Abweichungen vom EVB-IT-Standard sind zulässig, müssen aber begründet und dokumentiert sein.

Unabhängige Prüfung durch Audit-Standards

Der C5-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik hat sich über den öffentlichen Sektor hinaus als Marktstandard für Cloud-Compliance in Deutschland etabliert. Viele private Unternehmen verlangen C5-Testate ihrer Cloud-Anbieter, teils als Ausschlusskriterium bei der Ausschreibung.

Für SLA ist der C5-Standard in zweifacher Hinsicht relevant. Erstens: Anforderungen an die Messung und das Reporting der Verfügbarkeit lassen sich gut an C5-Testate koppeln. Zweitens: Auditrechte des Kunden müssen in den Vertrag integriert werden. Anbieter, die Testate vorlegen, sollten dies im SLA dokumentieren und den Aktualisierungszyklus der Testate festlegen. Einen breiteren Überblick zum passenden Vorgehen bietet der Ratgeber Datenschutz-Audit.

Praxis-Tipps für die SLA-Verhandlung

Ein rechtssicheres SLA entsteht nicht durch das Kopieren von Vorlagen, sondern durch systematische Prüfung der eigenen Situation. Die folgenden Hinweise fassen die wichtigsten Verhandlungshebel für Kunden und Anbieter zusammen.

Prüfraster für Kundeneinkäufer

Kunden, die ein SLA bewerten, sollten die folgenden Punkte in der vorgegebenen Reihenfolge prüfen. Die Liste ist nicht abschließend, deckt aber die häufigsten Schwachstellen marktüblicher Anbieter-SLA ab.

Service-Scope klar abgegrenzt - alle eingeschlossenen Komponenten sind namentlich benannt, Ausnahmen ausdrücklich markiert.
Verfügbarkeit eindeutig definiert - Prozentsatz, Messmethode, Messpunkt und Wartungsfenster sind ohne Spielraum formuliert.
Reaktions- und Lösungszeiten differenziert - klare Prioritätsstufen mit objektiven Einordnungskriterien, keine Ermessensklauseln.
Service Credits angemessen gestaffelt - die Pauschalen decken den typischen Schaden ab und lassen weiteren Schadensersatz ausdrücklich zu.
Haftungsdeckel realistisch - Kardinalpflichten sind ausgenommen, der Deckel korrespondiert mit dem Vertragsvolumen.
Incident-Meldefristen unter 24 Stunden - kürzer, wenn personenbezogene Daten verarbeitet werden.
Exit-Regelung vollständig - Exportformat, Frist und Kosten sind benannt; der Zugriff auf die Daten bleibt bis zum Abschluss der Migration sichergestellt.
Auditrechte durchsetzbar - nicht bloß formal zugesagt, sondern mit Häufigkeit, Vorlauf und Kostenregelung unterlegt.
Subprozessoren transparent - aktuelle Liste, Aktualisierungsmechanismus und Widerspruchsrecht sind vorgesehen.
Sonderkündigungsrechte bei wiederholten Verstößen - ab einer definierten Schwelle (typisch drei Verstöße pro Jahr oder ein schwerwiegender Vorfall) ohne weitere Abmahnung.

Prüfraster für Anbieter

Anbieter sollten ihr Standard-SLA regelmäßig auf die folgenden Risiken prüfen und im Zweifel anpassen.

AGB-Festigkeit aller Kernklauseln - mindestens die Klauseln zu Haftung, Service Credits, Änderungsvorbehalten und Verfügbarkeit werden durch eine juristische Prüfung gegen die aktuelle Rechtsprechung validiert.
OLA-Stabilität prüfen - die internen und externen Lieferketten können das nach außen versprochene SLA halten; andernfalls wird das externe Versprechen reduziert.
Incident-Prozess probeweise durchlaufen - die Meldefristen des SLA sind im Ernstfall technisch erreichbar, einschließlich der 24-Stunden-Grenze bei personenbezogenen Daten.
Finanzielle Rückstellungen - für Service Credits und Schadensersatz werden ausreichende Rückstellungen gebildet, insbesondere bei Eintritt einer systemischen Störung.
Regulatorische Abdeckung - das Vertragswerk passt auf die Kundensegmente; Finanzkunden brauchen DORA-Konformität, öffentliche Kunden EVB-IT-Kompatibilität.
Deutsche Umlaute und Vertragssprache - Vertragswerke, die nur in englischer Sprache vorliegen, sind für deutsche Gerichte gültig, können aber im Streitfall durch Übersetzungsbedarf zeitlich und inhaltlich schwierig werden.
Transparente Berichtsformate - Verfügbarkeitsreports werden automatisch und nachvollziehbar erzeugt; im Streitfall steht eine belastbare Datenbasis bereit.

Häufige Fehler im Verhandlungsprozess

Unabhängig von der Seite gibt es wiederkehrende Fehler, die SLA-Verhandlungen aufwändig und teuer machen. Die folgende Liste hebt besonders kostspielige Irrtümer hervor.

Kopie ohne Prüfung - Vorlagen aus anderen Märkten oder anderen Regulierungskreisen werden unverändert übernommen und verfehlen die deutsche Rechtslage.
Nur Verfügbarkeit, keine Reaktionszeit - hohe Verfügbarkeitszahlen ohne passende Reaktionszeiten für Störfälle erzeugen eine inkohärente Qualitätszusage.
Service Credits als einzige Sanktion - der Kunde verzichtet bei der Unterschrift faktisch auf alle weiteren Ansprüche, ohne das zu merken.
Kein Exit-Plan - am Ende der Vertragslaufzeit verliert der Kunde den Zugriff auf seine Daten oder zahlt unverhältnismäßige Gebühren.
AVV ignoriert - das SLA wird isoliert verhandelt, ohne das parallele Auftragsverarbeitungsregime einzubinden; Folge: inkonsistente Meldeketten.
Unklare Prioritätsstufen - Einordnungen nach Anbieterermessen werden im Streitfall zur Freikarte für geringe Leistung.
Versäumte regulatorische Prüfung - neue Vorgaben aus dem Finanzsektor, der Cybersicherheit oder dem öffentlichen Vergaberecht werden übersehen, bis ein Audit oder eine Aufsichtsbehörde sie einfordert.

Wann anwaltliche Beratung sinnvoll ist

Nicht jedes SLA erfordert eine juristische Vollprüfung. Bei Standard-Cloud-Diensten mit geringem Volumen reicht oft die interne Qualitätssicherung. In drei Konstellationen ist anwaltliche Beratung aber regelmäßig ratsam.

Erstens bei Enterprise-Ausschreibungen mit hohen Volumina oder kritischer Funktion. Zweitens bei Verträgen im regulierten Umfeld, insbesondere Finanzdienstleister, kritische Infrastrukturen und öffentliche Hand. Drittens bei internationalen Verträgen mit ausländischem Recht, bei denen die deutsche Partei ihre Rechtslage aktiv durchsetzen will.

In diesen Fällen lohnt es sich, ein SLA nicht nur formal auf Vollständigkeit, sondern inhaltlich auf Belastbarkeit und Durchsetzbarkeit zu prüfen. Wir begleiten diese Prüfung in unserer Kanzlei als Teil der Beratung im IT-Recht und arbeiten dabei eng mit den Themen aus dem Ratgeber DSGVO-Compliance, dem Überblick zum Auftragsverarbeitungsvertrag und dem Ratgeber zum Digital Services Act zusammen.

Fazit

Ein Service Level Agreement ist weit mehr als ein technisches Anhangdokument. Es bestimmt, welche Qualität ein IT-Dienst tatsächlich liefert, wie Störungen behandelt werden und wer am Ende für Ausfälle einsteht. Die deutsche Rechtslage setzt an vielen Stellen Grenzen, die englischsprachige Vorlagen oder internationale Marktstandards nicht automatisch abbilden.

Wer als Kunde ein SLA verhandelt, sollte den Scope klar eingrenzen, die Verfügbarkeit messbar definieren, Service Credits und Haftungsdeckel auf ihre Angemessenheit prüfen und einen belastbaren Exit-Plan sicherstellen. Anbieter sollten ihr Standard-SLA regelmäßig auf Klauselfestigkeit prüfen und die aktuelle regulatorische Landschaft mit ihren verschärften Anforderungen an Finanzdienstleister und kritische Infrastrukturen in ihre Vorlagen integrieren.

In komplexen Vertragskonstellationen, insbesondere im regulierten Umfeld oder bei hohen Vertragsvolumina, ist eine juristische Prüfung des gesamten Vertragsgefüges aus Hauptvertrag, SLA, Wartungsvereinbarung und Auftragsverarbeitungsvertrag der wirksamste Schutz gegen unerwartete Haftungsrisiken und unwirksame Klauseln. Eine früh angesetzte Prüfung rechnet sich regelmäßig schon beim ersten Störfall.

Antworten auf einen Blick

Häufige Fragen

Die häufigsten Fragen zum Thema, kompakt beantwortet. Für die vollständige Einordnung bleiben die Abschnitte oben maßgeblich.

Was ist ein Service Level Agreement?

Ein Service Level Agreement (SLA) ist die vertragliche Vereinbarung über die Qualität einer IT-Dienstleistung – insbesondere über Verfügbarkeit, Reaktionszeiten und Rechtsfolgen bei Unterschreitung. Im deutschen Recht ist es kein eigener Vertragstyp, sondern stets eine Anlage zum übergeordneten Cloud-, SaaS-, Wartungs- oder Outsourcing-Vertrag. Es besteht aus Leistungsbeschreibung, messbaren Kennzahlen, einer Messmethode und einem Sanktionsmechanismus.

Ist SaaS nach deutschem Recht Miete oder Kauf?

SaaS-Verträge sind nach der Rechtsprechung des BGH (XII ZR 120/04 vom 15. November 2006) Mietverträge nach §§ 535 ff. BGB. Der Anbieter schuldet die dauerhafte Gebrauchsüberlassung; eine körperliche Besitzverschaffung ist nicht erforderlich. Die Konsequenz: Verfügbarkeit ist Teil der Hauptleistungspflicht, der Anbieter haftet nach § 536a Abs. 1 BGB verschuldensunabhängig für anfängliche Mängel. Bei Hosting mit Abrufbarkeitszusage kann nach BGH III ZR 79/09 Werkvertragsrecht greifen.

Was muss ein SLA mindestens enthalten?

Ein rechtssicheres SLA enthält zumindest: Leistungsbeschreibung mit Service-Scope, Verfügbarkeitsziele mit Messmethoden, Reaktions- und Lösungszeiten nach Priorität, Service-Credit-Logik, Haftungsbegrenzung mit Ausnahme für Kardinalpflichten nach § 307 Abs. 2 Nr. 2 BGB, Incident-Meldeketten nach Art. 33 DSGVO, Exit-Klauseln mit Datenexportformaten, Subprozessoren-Transparenz, Audit-Rechte und Sonderkündigungsrechte. Im regulierten Umfeld gelten zusätzliche Mindestinhalte, etwa nach Art. 30 DORA für kritische Funktionen.

Was sind Service Credits und wie wirken sie rechtlich?

Service Credits sind pauschalierter Schadensersatz – eine vorab vereinbarte Gutschrift bei Unterschreitung der SLA-Kennzahlen. Nach § 309 Nr. 5 BGB und BGH VIII ZR 123/09 muss in AGB der Gegennachweis eines geringeren oder ausgebliebenen Schadens offen bleiben. Klauseln, die Service Credits als abschließenden Rechtsbehelf unter Ausschluss weiterer Ansprüche etablieren, sind in AGB regelmäßig unwirksam. Übliche Höhen liegen bei 5 bis 15 Prozent der Monatsvergütung je Stufe.

Welche Haftungsklauseln sind in SLA-AGB unwirksam?

Nach § 309 Nr. 7 BGB sind Haftungsausschlüsse für Lebens-, Körper- und Gesundheitsschäden sowie für grobe Fahrlässigkeit und Vorsatz unwirksam. Auch im B2B-Bereich ist die Haftung für Kardinalpflichten nicht ausschließbar. Intransparente Verfügbarkeitsdefinitionen verstoßen gegen § 307 Abs. 1 Satz 2 BGB. Einseitige Änderungsvorbehalte ohne objektive Kriterien scheitern an § 308 Nr. 4 BGB. US-Templates mit „sole and exclusive remedy"-Klauseln sind regelmäßig nach deutschem Recht unwirksam.

Was verlangt DORA für IT-Verträge im Finanzsektor?

Die DORA-Verordnung (EU) 2022/2554 gilt seit dem 17. Januar 2025 und verlangt in Art. 30 Mindestinhalte für alle Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern: klare Leistungsbeschreibungen, Meldepflichten, Auditrechte und Ausstiegsstrategien. Für kritische IKT-Services fordert Art. 30 Abs. 3 zusätzlich präzise quantitative Service-Level-Ziele, Mitwirkungspflichten bei Penetrationstests und angemessene Übergangsphasen. Standard-SLA reichen für Finanzkunden regelmäßig nicht aus.

Wie wird Verfügbarkeit in einem SLA korrekt gemessen?

Die Standardformel lautet: Verfügbarkeit = (Gesamtservicezeit minus Ausfallzeit) geteilt durch Gesamtservicezeit mal 100. Drei Punkte müssen klar definiert sein: der Messpunkt (Internet-Uplink, Load-Balancer oder Endgerät), die Wartungsfenster (vorab angekündigt, zeitlich begrenzt) und die Ausfalldefinition (ob auch Performance-Degradation zählt). 99,9 Prozent erlauben rund 8 Stunden 45 Minuten Ausfall pro Jahr; 99,99 Prozent nur rund 52 Minuten.

Was ist bei der 72-Stunden-Meldefrist zu beachten?

Nach Art. 33 Abs. 1 DSGVO meldet der Verantwortliche Datenschutzverletzungen binnen 72 Stunden an die Aufsichtsbehörde. Der Auftragsverarbeiter muss nach Art. 33 Abs. 2 DSGVO unverzüglich den Verantwortlichen informieren, nicht die Aufsichtsbehörde. Das SLA kann dem Auftragsverarbeiter kürzere Fristen vorgeben, damit der Verantwortliche seine 72-Stunden-Frist praktisch einhalten kann. Die Meldekette muss einen technischen Kanal, Eskalationsweg und Mindestinhalt definieren.

Was gehört in eine Exit-Klausel?

Eine belastbare Exit-Klausel regelt drei Punkte: ein offenes Exportformat (CSV, JSON oder offener Standard), eine Frist für die Bereitstellung nach Vertragsende (typisch 30 Tage) und die Kosten des Exports. Ohne alle drei Elemente droht Vendor-Lock-in. Eine Anbieterposition, die den Datenexport wirtschaftlich unmöglich macht, unterliegt strenger AGB-Kontrolle nach § 307 BGB und kann bei marktmächtigen Providern kartellrechtlich relevant werden.

Wann sind SLA-Klauseln AGB im Sinne des BGB?

Die meisten SLA sind AGB nach § 305 Abs. 1 BGB – einseitig vom Anbieter gestellt und für eine Vielzahl von Verträgen vorformuliert. Nur wenn der Anbieter die Bestimmung ernsthaft zur Disposition stellt und der Kunde inhaltlich Einfluss nehmen kann, liegt eine Individualvereinbarung vor. Die Abgrenzung erfolgt klauselweise: Eine individuell ausgehandelte Haftungsklausel kann neben nicht-ausgehandelten Messvorschriften stehen, die weiterhin der AGB-Kontrolle unterliegen.

Noch offene Fragen?

Wir prüfen SLA-Klauseln auf AGB-Festigkeit und DORA-Konformität und zeigen, wo Haftungs- oder Verfügbarkeitslücken drohen.

SLA-Check anfordern

Beliebte Ratgeber

Zwei Fäuste prallen von beiden Seiten gegen ein schwebendes gläsernes Copyright-Zeichen, das an den Kontaktstellen bricht

Markenrecht

Service Level Agreement rechtssicher gestalten

Das Wichtigste in Kürze

Individuelle Prüfung

Was ein Service Level Agreement ausmacht

Abgrenzung zu verwandten Vertragsdokumenten

Kurz gesagt: Rolle des SLA im Vertragsgefüge

Wie das deutsche Recht ein SLA einordnet

Warum SaaS und Cloud nach deutschem Recht Miete sind

Garantiehaftung bei anfänglichen Mängeln

Wann Hosting als Werkvertrag eingeordnet wird

Dienstvertrag für Support und Managed Services

Sonderfall Verbrauchervertrag

Warum die Einordnung die Haftungsschärfe bestimmt

Pflichtinhalte eines rechtssicheren SLA

Leistungsbeschreibung und Scope-Definition

Verfügbarkeit, Messpunkt und Wartungsfenster

Reaktions- und Lösungszeiten nach Priorität

Service Credits als pauschalierter Schadensersatz

Haftungsbegrenzung und Kardinalpflichten

Incident-Meldeketten und die 72-Stunden-Frist

Exit-Klausel und Datenexport

Unterauftragnehmer und Subprozessoren

AGB-Kontrolle und typische Fallen in SLA-Klauseln

Wann SLA-Klauseln überhaupt AGB sind

Service Credits als Exklusivrechtsbehelf

Einseitige Änderungsvorbehalte

Haftungsdeckel und ihre Grenzen

Intransparente Verfügbarkeitsdefinition

Typische Fallen aus ausländischen Vorlagen

Regulatorische Sonderanforderungen ab 2025

Anforderungen für Finanzdienstleister und IKT-Provider

Lieferketten-SLA bei kritischen Infrastrukturen

Standardwerk für die öffentliche Hand

Unabhängige Prüfung durch Audit-Standards

Praxis-Tipps für die SLA-Verhandlung

Prüfraster für Kundeneinkäufer

Prüfraster für Anbieter

Häufige Fehler im Verhandlungsprozess

Wann anwaltliche Beratung sinnvoll ist

Fazit

Häufige Fragen

Was ist ein Service Level Agreement?

Ist SaaS nach deutschem Recht Miete oder Kauf?

Was muss ein SLA mindestens enthalten?

Was sind Service Credits und wie wirken sie rechtlich?

Welche Haftungsklauseln sind in SLA-AGB unwirksam?

Was verlangt DORA für IT-Verträge im Finanzsektor?

Wie wird Verfügbarkeit in einem SLA korrekt gemessen?

Was ist bei der 72-Stunden-Meldefrist zu beachten?

Was gehört in eine Exit-Klausel?

Wann sind SLA-Klauseln AGB im Sinne des BGB?

Bösgläubige Markenanmeldung abwehren

E-Commerce Compliance für Online-Händler

Gesellschaftsvertrag GmbH richtig gestalten

GPSR Compliance für Online-Händler

Dr. Sener Dincer

Kostenlos beraten