Wie man einen Vertrag mit einer IT-Outsourcing-Agentur abschließt

Alles, was Sie wissen sollten, bevor Sie einen Vertrag mit einer IT-Outsourcing-Agentur unterzeichnen

Outsourcing ist eine hervorragende Möglichkeit, die Entwicklungskosten zu senken und gleichzeitig höchste Qualitätsstandards für das Produkt zu gewährleisten. Allerdings ist es entscheidend, die Bedingungen der Zusammenarbeit im Vorfeld festzulegen, um das Produkt zu schützen und Verantwortlichkeiten, Rechte und Vertragsbedingungen klar zu definieren.

Ein Vertrag mit einer IT-Outsourcing-Agentur stellt zudem sicher, dass das Produkt gemäß der definierten Qualität und innerhalb eines festgelegten Zeitrahmens geliefert wird und dass die erbrachten Leistungen entsprechend der Vereinbarung entlohnt werden. Im Falle von Problemen legt der Vertrag fest, welche Konsequenzen zu ziehen sind und wie die Situation zu beheben ist.

Doch schauen wir uns die Angelegenheit etwas genauer an.

Ein Outsourcing-Vertrag ist eine rechtlich bindende Vereinbarung, in der die Rollen, Verantwortlichkeiten und Rechte aller beteiligten Parteien festgelegt werden. Er enthält Projektdetails wie Zeitintervalle, Preis, Zahlungsmethoden, Qualitätsanforderungen, Risiken, Abhilfemaßnahmen, IP-Fragen, Schutz sensibler Daten und vieles mehr. Ziel eines Outsourcing-Vertrags ist es, sicherzustellen, dass alle Parteien von der Zusammenarbeit profitieren und das Projekt mit dem gewünschten Ergebnis abschließen.

Konkret regelt ein Outsourcing-Vertrag in der Regel:

1. Dienstleistungen. Der Vertrag sollte eine Beschreibung der zu erbringenden Dienstleistungen, Anforderungen und Standards enthalten (mindestens in groben Zügen). Wie detailliert der Projektumfang vorab definiert wird, hängt von dem jeweiligen Projekt ab.
2. Zahlungsbedingungen. Hier werden die Methode und die spezifischen Zahlungsbedingungen festgelegt, einschließlich Betrag, Häufigkeit und Abwicklung. Der Vertrag sollte zudem festhalten, welche Konsequenzen eintreten, wenn eine der beiden Parteien ihre Pflichten (Zahlung oder Leistungserbringung) nicht vertragsgemäß erfüllt.
3. Datenschutz und Datensicherheit. Regelmäßige Audits sind notwendig, um zu gewährleisten, dass hohe Standards zum Schutz sensibler Daten eingehalten und die dafür geltenden Richtlinien befolgt werden. Die entsprechende Klausel im Vertrag muss mit den geltenden Vorschriften (z. B. DSGVO in der EU, CCPA in Kalifornien usw.) übereinstimmen.
4. Rechte an geistigem Eigentum. Der Outsourcing-Vertrag legt fest, wem das im Rahmen des Projekts entwickelte geistige Eigentum (IP) gehört. In den meisten Fällen ist der Auftraggeber der IP-Inhaber, sofern er seine Zahlungspflichten erfüllt. Kommt es allerdings zu Zahlungsrückständen, kann es sein, dass der Anbieter das von ihm erstellte IP weiter nutzen darf.
5. Vertretung, Haftung und Garantien. In diesem Abschnitt werden unter anderem Haftungshöchstgrenzen festgelegt und Angaben zu Projektfristen, Produktqualität, Zahlungsbedingungen und Vorschriften gemacht. Diese Klausel hilft, Risiken zu managen und die finanzielle Belastung im Falle von Datenverlust, Subunternehmer-Haftung oder sonstigen Verstößen zu begrenzen.
6. Notfall- und Geschäftskontinuitätsplan (BCDR). Diese Klausel stellt sicher, dass die Geschäftstätigkeiten ohne größere Unterbrechungen fortgesetzt werden können, falls der Outsourcing-Anbieter aus irgendeinem Grund kurzfristig nicht in der Lage ist, die vereinbarten Leistungen zu erbringen.
7. Kündigungsfrist. In diesem Abschnitt wird festgelegt, wie lange die Frist ist, innerhalb derer Änderungen noch zugelassen werden und wie diese zu berücksichtigen sind.
8. Vertragsbeendigung. Eine sogenannte Exit-Klausel regelt den vorzeitigen Ausstieg aus dem Outsourcing-Vertrag. Sie kann Verfahren zur Rückgabe von Eigentum, Strafen, Haftung, Umgang mit geistigem Eigentum usw. enthalten.

Natürlich bestimmt die individuelle Natur des Projekts den konkreten Inhalt des Vertrags. In Absprache mit dem Business- und Rechtsteam sollten sich beide Parteien auf ein Vertragsmodell, eine Liste von Anforderungen und einen oder mehrere Outsourcing-Verträge einigen, die die Interessen beider Seiten schützen.

5 wichtige Vertragstypen, die Sie unterzeichnen sollten

Obwohl die Parteien ihre Rechtsabteilungen bitten können, beliebige Vertragsarten zu erstellen, die sie für das jeweilige Projekt als notwendig erachten, möchten wir hier die folgenden vier (plus einen) hervorheben, die unserer Meinung nach für eine Outsourcing-Geschäftsbeziehung am wichtigsten sind:

1. Geheimhaltungsvereinbarung (NDA)

Die Geheimhaltungsvereinbarung (NDA, Non-Disclosure Agreement) ist ein Standarddokument zwischen zwei Parteien, die sensible Informationen austauschen wollen. Das Hauptziel dieser Vereinbarung besteht darin, die Weitergabe vertraulicher Informationen an Dritte zu verhindern.

Eine NDA sollte folgende Punkte umfassen:

• Definition vertraulicher Informationen wie Passwörter, Zugriffsrechte, Prozesse, Entwicklungsstrategien, Datenbanken, Prototypen, Quellcode usw.
• Verwendung vertraulicher Informationen, um festzulegen, wie die definierten vertraulichen Informationen von den beteiligten Parteien genutzt werden dürfen.
• Rückgabe oder Vernichtung vertraulicher Informationen, um festzulegen, was die Parteien nach Beendigung der Zusammenarbeit mit den vertraulichen Daten tun (bzw. nicht tun) dürfen. Die NDA sollte verschiedene Speichermedien abdecken (Cloud, USB-Speicher, Festplatten, Services, Kopien usw.).
• Vertraulichkeitsdauer, um den Zeitraum festzulegen, über den die Informationen als vertraulich zu behandeln sind und nicht an Dritte weitergegeben werden dürfen.
• Offenlegungsklausel, in der alle Parteien benannt werden, die Zugang zu den vertraulichen Informationen erhalten dürfen (z. B. interne und/oder externe Mitarbeiter, Stakeholder, freiberufliche Auftragnehmer usw.).
• Rechtsfolgen bei Vertragsbruch, um festzulegen, wie ein Verstoß gegen die NDA gehandhabt wird und wie die Partei, die den Vertrag verletzt, für die Offenlegung aufkommen muss.

2. Rahmenvertrag (MSA)

Ein Master Service Agreement (MSA) wird von Parteien unterzeichnet, die eine langfristige Zusammenarbeit anstreben.

Der MSA deckt dabei unter anderem ab:

1. Leistungserbringung, also die Reihenfolge bzw. Vorgehensweise bei der Erbringung der vereinbarten Dienstleistungen.
2. Leistungsabnahme und Zahlung, einschließlich Steuern, Stundenzetteln und eventuellen Zusatzgebühren.
3. Vertragslaufzeit, also die Gültigkeitsdauer des MSA und Bedingungen für seine Beendigung.
4. Geistige Eigentumsrechte und Besitzverhältnisse, in denen festgehalten wird, was als geistiges Eigentum (IP) gilt und wie damit verfahren wird (z. B. Urheberrechte, Markenrechte oder Patente). Solch eine Klausel findet sich häufig auch in einer NDA.
5. Klausel über vertrauliche Informationen, in der vertrauliche Daten und deren Handhabung definiert werden.
6. Haftung, Garantien und Vertretung, um die Projektbeteiligten und ihre Verantwortlichkeiten zu definieren.
7. Freistellungsklausel (Indemnification Clause), die beschreibt, wie eine Partei zu entschädigen ist, wenn sie gegen die MSA-Bedingungen verstößt.
8. Salvatorische Klausel, um festzulegen, wie mit unwirksamen oder undurchführbaren Bestimmungen im Vertrag umzugehen ist.

Der MSA kann außerdem spezielle Hinweise und sonstige Bestimmungen enthalten, die festlegen, wie die Vereinbarung übermittelt wird, sowie Vorteile, Änderungen oder andere relevante Punkte.

3. Statement of Work (SOW)

Das Statement of Work beschreibt die Projektdetails, Phasen, Produktfunktionen, Risiken, Kriterien usw. Typischerweise enthält das SOW:

1. CI/CD-Pipeline-Diagramm
2. Zeitplan für Entwicklungsprozesse, wie Projektkommunikation, Genehmigungsverfahren, Einwände, Berichtwesen, Deployment, Projektabschluss usw.
3. Liste der Geräte und Spezifikationen, beispielsweise Bildschirmauflösungen, Browser und bestimmte Versionen, die für Testzwecke verwendet werden.

Das SOW kann auch einen Anhang zur gewählten Zahlungsmodell-Option enthalten. Zudem können Punkte wie Hauptrisiken und ihre Konsequenzen, Auswirkungen auf das Projekt, unvorhergesehene Umstände und vieles mehr thematisiert werden.

4. Datenverarbeitungsvertrag (DPA)

Der Data Processing Agreement (DPA) zielt darauf ab, die Datenverarbeitung und das Verhältnis zwischen dem Datenverarbeiter (Auftragnehmer) und dem Datenverantwortlichen (Auftraggeber) zu regeln. In dem Vertrag wird festgehalten, wie die Daten gespeichert, verarbeitet und geschützt werden. Dementsprechend wird der DPA unter Einhaltung der geltenden Datenschutzvorschriften erstellt.

5. Service-Level-Agreement (SLA)

Im Service-Level-Agreement (SLA) werden die Dienstleistungen definiert, die die Outsourcing-Agentur erbringen soll – von der Entwicklung einer Funktion bis hin zur vollständigen Softwareentwicklung von Grund auf. Zudem ist im SLA aufgeführt, welche Liefergegenstände der Auftraggeber bereitstellt und welche die Outsourcing-Agentur verantwortet. Ein SLA legt die Qualitätsstandards für das Produkt fest und kann die dafür notwendigen Schritte zur Qualitätssicherung beinhalten.

Ein SLA kann folgende Punkte umfassen:

1. Meilensteine und deren Fristen
2. Vertragsstrafen bei Nichterfüllung der Anforderungen
3. Prozesse für Änderungs- oder Überprüfungsanfragen
4. Details zur Beauftragung von Subunternehmern, sofern die Outsourcing-Firma weitere Dienstleister einsetzt (z. B. Nennung der Subunternehmer zur Prüfung auf deren Eignung)

3 gängige Vertragsmodelle

Es gibt verschiedene Modelle von Outsourcing-Verträgen, die sich an den Preis- und Engagementmodellen orientieren. Aus unserer Erfahrung ergeben sich dabei vor allem drei häufige Vertragsmodelle:

1. Festpreis-Modell

Das Festpreis-Modell eignet sich für kleinere Projekte mit klar umrissenen Anforderungen. Hierbei verpflichtet sich der Outsourcing-Anbieter, das Produkt entsprechend den Vorstellungen des Auftraggebers und innerhalb eines vorher festgelegten (festen) Budgets zu liefern. Der ausgelagerte Partner trägt dabei die volle Verantwortung für das Ergebnis und den Erfolg des Projekts.

Bei diesem Vertragstyp wird oft ein Request for Proposal (RFP) genutzt – ein formales Dokument, das die Projektanforderungen und eine Beschreibung der Vorgehensweise des Anbieters festhält. Da Festpreise wenig Flexibilität erlauben, müssen Änderungen während der Entwicklungsphase durch eine Change Order ergänzt werden.

Unternehmen, die sich für einen Festpreis-Vertrag entscheiden, müssen sich frühzeitig umfassende Gedanken über alle Aspekte des Projekts machen und Budget, Zeitpläne und andere Details im Voraus definieren. Dieses Modell verliert bei Softwareentwicklern zunehmend an Popularität, da sich Anforderungen in frühen Projektphasen oft nur grob abschätzen lassen.

Der Vorteil eines Festpreis-Vertrags liegt in der reduzierten Verantwortung und geringeren Einbindung des Kunden, da das Projektmanagement vom Outsourcing-Dienstleister übernommen wird. Daher ist es allerdings entscheidend, dass der Anbieter detaillierte Anforderungen und klare Erwartungen erhält.

Ein Festpreis-Vertrag eignet sich für:

1. Kleine Projekte mit kurzem Zeitrahmen
2. Klar definierte Projekte, bei denen alle Details bereits im Vorfeld bekannt sind
3. Einfache Projekte, die ohne viele Änderungen umsetzbar sind
4. Unternehmen mit begrenztem Budget, die keine unerwarteten Zusatzkosten riskieren möchten

2. Zeit- und Materialaufwand (Time & Materials, T&M)

Der Time and Materials (T&M)-Vertrag wird in der Regel abgeschlossen, wenn ein Unternehmen einen externen Anbieter für ein langfristiges Projekt hinzuziehen möchte. “Time” bezieht sich dabei auf den Stundensatz, der für jeden Mitarbeiter des externen Teams vereinbart wird, und “Materials” auf sämtliche physischen oder digitalen Werkzeuge, die für das Projekt benötigt werden. Für einen reibungslosen Ablauf empfehlen wir, in T&M-Verträgen regelmäßige und realistische Meilensteine zu definieren und den Projektfortschritt kontinuierlich zu analysieren.

Die Vergütung erfolgt auf Basis der geleisteten Arbeitsstunden und des Materials, das für die Fertigstellung erforderlich ist. Anders als beim Festpreis-Modell bietet T&M mehr Flexibilität und endet erst, wenn die vereinbarten Ergebnisse erreicht sind.

Ein Time & Materials-Vertrag eignet sich für:

1. Agile Projekte
2. Innovative Ideen, bei denen der Projektumfang schwer abzuschätzen ist
3. Projekte, die neue Technologien erfordern
4. Komplexe und noch nicht klar definierte Projektkonzepte

3. Dediziertes Entwicklungsmodell

Beim dedizierten Team-Modell beauftragt der Kunde ein spezialisiertes Team, das an der Produktentwicklung arbeitet – optimal für langfristige Kooperationen. Das externe Team fungiert als Erweiterung des internen Teams und wird häufig auch in nachfolgenden Projekten eingesetzt. Bei diesem Modell übernimmt der Kunde in der Regel das Management des Entwicklungsteams, das seine Arbeitsweise an sich ändernde Projektanforderungen flexibel anpasst. Die Zahlung erfolgt hier monatlich, häufig ohne festen Endzeitpunkt oder definierte Ausstiegsklauseln.

Ein dediziertes Entwicklungsmodell eignet sich für:

1. Langfristige und komplexe Projekte
2. Projekte, bei denen Änderungen erwartet werden
3. Projekte, bei denen der Kunde die Leitung über das externe Team behalten möchte
4. Unternehmen mit Wachstums- und Expansionsplänen

Warum ein Vertrag die größten Remote-Work-Herausforderungen entschärft

Im Endeffekt wird ein Outsourcing-Vertrag geschlossen, um sowohl dem Anbieter als auch dem Auftraggeber zu helfen, die häufigsten Herausforderungen bei der Zusammenarbeit mit Remote-Teams zu bewältigen oder ganz zu vermeiden. Auf welche Weise?

Klare Festlegung von Projektanforderungen und Erwartungen

Wir befürworten eine flexible, agile Herangehensweise an die Softwareentwicklung. Sie ermöglicht Innovation, kontinuierliche Verbesserung und Maßnahmen, die oft erst im Projektverlauf an Bedeutung gewinnen.

Dennoch halten wir es für sinnvoll, zumindest Grundregeln im Outsourcing-Vertrag festzulegen. Diese Regeln sorgen für Orientierung und Klarheit hinsichtlich gegenseitiger Erwartungen und bieten gleichzeitig genügend Freiraum für kreative Lösungen und neue Ideen.

Richtlinien zur Produktivitätskontrolle

Das Management von Remote-Teams gehört zu den größten Outsourcing-Herausforderungen. Häufig stellt sich die Frage, wie die geleistete Arbeitszeit der Remote-Mitarbeiterinnen und -Mitarbeiter überwacht und bewertet werden kann.

Daraus hat sich eine ganze Ära von Zeiterfassungstools entwickelt. Obwohl diese in manchen Kreisen kritisch gesehen werden, lässt sich nicht leugnen, dass sie häufig zu besseren Ergebnissen führen. Gerade bei Stundenabrechnungen sorgen solche Tools für Transparenz und eine faire Vergütung.

Gleichzeitig weckt der Einsatz von Zeiterfassungstools oft den Gedanken an Mikromanagement und kann das gesamte Projekt überschatten. Doch wenn die Einführung dieser Tools transparent und zielorientiert erfolgt, muss dies nicht zwangsläufig die Mitarbeiterzufriedenheit beeinträchtigen.

Aus unserer Erfahrung ist es wichtig, allen Teammitgliedern vorab zu erläutern, warum ein Zeiterfassungstool zum Einsatz kommt, welche Aktivitäten getrackt werden, wie dies geschieht und welchen Nutzen das System für sie hat.

Wird erklärt, dass das Tool nicht auf die minutiöse Überwachung jeder einzelnen Aktivität abzielt, sondern vielmehr Verantwortung und Selbstorganisation fördern soll, ist die Akzeptanz meist wesentlich höher. So wird ein besseres Verständnis der eigenen Produktivität ermöglicht und klar, wie jeder Einzelne zum Erfolg des Projekts beiträgt.

Nicht wenige Unternehmen führen deshalb in ihren Outsourcing-Verträgen konkrete Regelungen ein, wie und wann Zeiterfassungstools eingesetzt werden sollen.

Erhöhte Sicherheit

Trotz immer neuer Technologien zur Cybersicherheit stehen Remote-Teams weiterhin vor spezifischen Herausforderungen in Sachen Risikominimierung. Typische Gefahren sind beispielsweise Phishing-Angriffe, fehlende Sichtbarkeit durch Monitoring-Tools, anfällige Infrastrukturen und veraltete Notfallpläne. Bei Remote-Teams können mögliche Probleme zudem oft erst spät erkannt oder behoben werden.

Um diese Risiken zu minimieren und effektiv auf Bedrohungen zu reagieren, sollten Outsourcing-Partner detaillierte Sicherheitsrichtlinien und einen Business-Continuity-Management-Plan (BCP) etablieren. Diese Dokumente sollten verschiedene Szenarien abdecken und sowohl mit lokalen als auch internationalen Sicherheitsstandards konform sein (z. B. PCI DSS, relevante ISO-Normen, DSGVO, HIPAA usw.). Insbesondere sollte der BCP Maßnahmen für den Umgang mit Stromausfällen, Server- oder Backup-Problemen, Netzwerkangriffen, VPN-Tests sowie Backup-Strategien beinhalten.

Checkliste: Wie man einen Vertrag schreibt und unterzeichnet

1. Dienstleistungen spezifizieren
2. Besitzverhältnisse für Liefergegenstände festlegen
3. Eigentum an geistigem Eigentum definieren
4. Vertrauliche Informationen definieren
5. Einhaltung relevanter Regeln und Vorschriften durchsetzen
6. Übertragung der IT-Ressourcen klären
7. Zahlungsmethode festlegen
8. Szenarien bei Vertragsbruch festlegen
9. Verfahren zur Vertragsbeendigung bestimmen

Sobald der Vertrag unterzeichnet ist, muss der Auftraggeber der Outsourcing-Agentur die benötigten IT-Ressourcen zur Verfügung stellen. Dazu können Hardware, Softwarelizenzen, Werkzeug- und Equipment-Leasing, Telekommunikationsausrüstung und mehr gehören.

NearUp bietet sowohl Business-Consulting als auch bedarfsgerechte Entwicklungsleistungen. Mit einem Jahrzehnt gebündelter Erfahrung kennen wir die typischen Herausforderungen im IT-Outsourcing und wissen, wie wir Probleme bereits im Vorfeld vermeiden. Gerne stehen wir Ihnen für weitere Informationen zu diesem Thema zur Verfügung oder unterstützen Sie dabei, geeignete Verträge zwischen Ihnen und einer Outsourcing-Agentur aufzusetzen.