Vertragsvorlagen: Kunden- & Lieferantenvereinbarungen
Disclaimer: Diese Seite enthält allgemeine Informationen, keine Rechtsberatung. Lassen Sie sie vor der Verwendung von einem Anwalt überprüfen.
Dieses Paket soll Ihnen helfen, schnell Umsätze zu generieren, ohne rechtliche Fallstricke zu begehen. Es ist optimiert für Seed- bis Series B-Teams, die sinnvolle Standardeinstellungen, kurze Verhandlungszyklen und prüffreundliche Unterlagen benötigen, die Ihren zukünftigen Investoren keine Kopfschmerzen bereiten.
Was Sie hier finden
Dieser Leitfaden ist in drei Hauptkategorien von Rechtsdokumenten unterteilt, die Vorlagen und Kontext für jede Kategorie bieten.
-
Kundenseite (Wenn Sie verkaufen):
- Clickwrap-Nutzungsbedingungen: Für Self-Service-SaaS-Produkte.
- Kunden-MSA (Master Services Agreement): Der wichtigste rechtliche Rahmen für ausgehandelte Geschäfte.
- Bestellformular: Das einseitige Dokument, das alle kommerziellen Details erfasst.
- SLA (Service Level Agreement): Ihr Uptime-Versprechen und Ihre Servicegutschriften.
- DPA (Data Processing Addendum): Erforderlich, wenn Sie personenbezogene Daten verarbeiten.
- Sicherheitsanlage: Ihre technischen und organisatorischen Sicherheitskontrollen.
- SOW (Statement of Work): Für professionelle Dienstleistungen oder spezifische Projekte.
- Änderungsauftrag: Ein einfaches Formular zur Änderung eines bestehenden SOW.
-
Lieferantenseite (Wenn Sie kaufen):
- Lieferanten-MSA: Eine Vorlage zur Verwendung, wenn Sie Dienstleistungen beschaffen.
- Versicherungsplan: Standardmäßige Versicherungsanforderungen für Ihre Lieferanten.
- Checkliste für die Beschaffungs-Due-Diligence: Ein Leitfaden zur Überprüfung neuer Lieferanten.
-
Übergreifende Dokumente:
- Gegenseitige NDA (Geheimhaltungsvereinbarung): Zum Schutz vertraulicher Diskussionen.
- Verhandlungsleitfaden: Ein Leitfaden mit gängigen Klauseln, Fallbacks und Checklisten.
Schnellstartanleitung
Sie sind sich nicht sicher, wo Sie anfangen sollen? Finden Sie Ihr Szenario unten und verwenden Sie den empfohlenen Dokumentenstapel.
-
Für Self-Service-SaaS-Produkte:
- Verwenden Sie: Clickwrap-Nutzungsbedingungen + eine öffentliche Datenschutzerklärung + einen Link zu Ihrem DPA während des Anmeldevorgangs.
- Nachweis: Stellen Sie sicher, dass Ihr System einen Zeitstempel für die Zustimmung jedes Benutzers und die spezifische Version der Bedingungen, denen er zugestimmt hat, speichert.
-
Für Enterprise SaaS (Typisches Geschäft):
- Verwenden Sie: MSA + Bestellformular + SLA + DPA + Sicherheitsanlage.
- Ablauf: Beginnen Sie das Gespräch mit dem Logo und den allgemeinen kommerziellen Bedingungen auf dem Bestellformular. Führen Sie das MSA nur ein, wenn der Kunde es anfordert oder die Größe des Geschäfts dies rechtfertigt. Halten Sie das DPA und die Sicherheitsanlage bereit, da dies Standardanforderungen von größeren Kunden sind.
-
Für Dienstleistungen oder Beratungsaufträge:
- Verwenden Sie: MSA + SOW. Verwenden Sie Änderungsaufträge, um alle Umfangsanpassungen formell zu dokumentieren.
-
Für den Einkauf bei Lieferanten:
- Verwenden Sie: Ihr Lieferanten-MSA + das Bestellformular oder SOW des Lieferanten + dessen DPA und Sicherheitsanlage. Überprüfen Sie immer den Versicherungsschutz.
Der Verhandlungsleitfaden: Standardeinstellungen & Fallbacks
Hier sind startup-freundliche Positionen zu gängigen Vertragsklauseln. Beginnen Sie mit der "Standardeinstellung" und verwenden Sie den "Fallback" als vorab genehmigten Kompromiss, um die Verhandlungen zu beschleunigen.
-
Zahlung & Steuern
- Standard: Zahlungsbedingungen von Netto 30 Tagen, wobei Rechnungen bei Unterzeichnung oder Inbetriebnahme der Dienstleistung versendet werden.
- Fallbacks: Stimmen Sie bei Bedarf Netto 45 Tagen zu. Erwägen Sie bei größeren Geschäften eine gestaffelte Abrechnung (z. B. 40 % bei Unterzeichnung, 40 % bei Inbetriebnahme, 20 % nach 30 Tagen).
- Verzugsgebühr: Berechnen Sie 1,5 % pro Monat oder den gesetzlich zulässigen Höchstsatz, je nachdem, welcher Wert niedriger ist.
- Steuern: Geben Sie klar an, dass der Kunde für alle anfallenden Umsatz-, Gebrauchs- und sonstigen Steuern verantwortlich ist, während Sie für Steuern auf Ihr eigenes Einkommen verantwortlich sind.
-
Laufzeit & Verlängerung
- Standard: Eine anfängliche Laufzeit von 12 Monaten, die sich automatisch um weitere 12 Monate verlängert.
- Ausstieg: Erlauben Sie die Kündigung bei einer wesentlichen Vertragsverletzung, die nicht innerhalb einer Frist von 30 Tagen behoben wird.
- Vorausbezahlte Rückerstattungen: Bieten Sie eine anteilige Rückerstattung an, wenn Sie aus Gründen der Zweckmäßigkeit kündigen (falls Sie dies anbieten) oder wenn der Kunde aufgrund Ihrer nicht behobenen wesentlichen Vertragsverletzung kündigt.
-
Geistiges Eigentum (IP)
- SaaS: Sie behalten alle IP in Ihrer Plattform. Sie gewähren dem Kunden eine nicht-exklusive, nicht übertragbare Lizenz zur Nutzung des Dienstes während seiner Abonnementlaufzeit.
- Dienstleistungen: Der Kunde besitzt die endgültigen Lieferergebnisse (z. B. einen Bericht oder benutzerdefinierten Code). Sie behalten das Eigentum an Ihrem gesamten Hintergrund-IP (Ihren Tools, Frameworks und vorhandenen Code) und gewähren dem Kunden eine Lizenz zur Nutzung als Teil der Lieferergebnisse.
-
Vertraulichkeit
- Standard: Gestalten Sie die Verpflichtungen gegenseitig. Die Geheimhaltungspflicht sollte die Beendigung des Vertrags um 2–5 Jahre überdauern. Fügen Sie Standardausnahmen für Informationen hinzu, die öffentlich sind, bereits bekannt sind oder unabhängig entwickelt wurden. Skizzieren Sie einen klaren Prozess für die erzwungene Offenlegung, falls dies gesetzlich vorgeschrieben ist.
-
Sicherheit & Datenschutz
- DPA: Verwenden Sie immer einen Data Processing Addendum, wenn Sie personenbezogene Daten im Auftrag eines Kunden verarbeiten.
- Benachrichtigung über Verstöße: Verpflichten Sie sich, eine Benachrichtigung über eine Sicherheitsverletzung innerhalb von 72 Stunden oder, flexibler, "ohne unangemessene Verzögerung" bereitzustellen.
- Subunternehmer: Führen Sie eine öffentliche Liste Ihrer Subunternehmer und geben Sie Kunden das Recht, neue abzulehnen (vorbehaltlich der wirtschaftlichen Zumutbarkeit).
- Datenverarbeitung: Verpflichten Sie sich, Kundendaten am Ende der Laufzeit zurückzugeben oder zu löschen.
-
Haftungsbeschränkung (LoL)
- Basisobergrenze: Beschränken Sie die Gesamthaftung jeder Partei auf die Gebühren, die der Kunde in den 12 Monaten vor dem Anspruch gezahlt hat oder zu zahlen hat.
- Ausschlüsse: Schließen Sie die Haftung für alle indirekten, Folge-, Sonder- oder Strafschäden, einschließlich entgangenen Gewinns, aus.
- Super-Cap: Bieten Sie für risikoreiche Bereiche eine höhere Haftungsobergrenze (einen "Super-Cap") von bis zu 3 Mal der Basisobergrenze an. Häufige Ausnahmen hierfür sind Datenschutzverletzungen, Ansprüche wegen Verletzung von IP-Rechten und Verstöße gegen die Vertraulichkeit.
-
Entschädigungen
- Ihre Entschädigung: Sie entschädigen den Kunden gegen Ansprüche Dritter, dass Ihr Produkt dessen geistiges Eigentum verletzt.
- Kundenentschädigung: Der Kunde entschädigt Sie für Probleme, die sich aus seinen Daten oder seiner illegalen Nutzung Ihres Dienstes ergeben.
- Prozess: Die entschädigte Partei muss unverzüglich benachrichtigen, und die entschädigende Partei erhält die Kontrolle über die Verteidigung und jede Einigung.
-
Öffentlichkeit
- Standard: Fügen Sie eine optionale Klausel hinzu, die es Ihnen ermöglicht, den Namen und das Logo des Kunden auf Ihrer Website und in Vertriebsmaterialien zu verwenden.
-
Geltendes Recht & Gerichtsstand
- Standard: Eine gängige, unternehmensfreundliche Wahl für US-Startups ist Delaware-Recht mit Gerichtsstand in New York, NY, oder der San Francisco Bay Area.
- Streitigkeiten: Erwägen Sie eine optionale Schiedsgerichtsbarkeit, behalten Sie sich jedoch immer das Recht vor, bei einem Gericht eine einstweilige Verfügung zu beantragen.
-
Versicherung (Für von Ihnen beauftragte Lieferanten)
- Mindestbeträge: Kommerzielle allgemeine Haftpflichtversicherung (1 Mio. USD pro Schadensfall), Tech E&O/Cyber (2 Mio. USD insgesamt) und Arbeiterunfallversicherung gemäß den gesetzlichen Bestimmungen. Fordern Sie gegebenenfalls, dass diese Sie als zusätzlichen Versicherten benennen.
Rote Flaggen, gegen die man sich wehren sollte
Wenn Sie diese Bedingungen im Papier eines Kunden oder Lieferanten sehen, wehren Sie sich entschieden.
- Unbegrenzte Haftung oder vage Formulierungen wie Entschädigung für "alle Verluste".
- Most Favored Nation (MFN) -Preisklauseln, unbegrenzte Prüfungsrechte oder das Recht, Richtlinien, die Sie betreffen, einseitig zu ändern.
- IP-Übertragung Ihrer Kernplattform, Tools oder Ihres generellen Know-hows.
- Automatische Verlängerungen, die länger als 12 Monate dauern oder eine Kündigungsfrist von mehr als 90 Tagen erfordern.
- "Step-in"-Rechte, die es einem Kunden ermöglichen, Ihren Service zu übernehmen oder Ihre Mitarbeiter einzustellen.
- Persönliche Garantien, übermäßig weit gefasste Wettbewerbsverbote oder unbegrenzter Schadenersatz für Datenschutzverletzungen.
Checklisten für die Ausführung
"Vor dem Senden"-Checkliste ✅
- Kommerzielle Angaben sind vollständig: Preis, Laufzeit, Startdatum und Abrechnungsplan sind alle ausgefüllt.
- Das Bestellformular stimmt mit Ihrem Angebot und den Daten in Ihrem CRM überein.
- Richtlinien (wie Datenschutzrichtlinie, SLA) sind mit unveränderlichen URLs verknüpft, die Versionsnummern enthalten.
- DPA, SLA und Sicherheitsanlage sind bei Bedarf für das Geschäft beigefügt oder verlinkt.
- Unterschriftsblöcke enthalten die korrekten Namen der juristischen Personen für beide Parteien.
- Dateinamen sind eindeutig versioniert:
Kundenname_MSA_v2_2025-08-17.pdf
.
"Vor der Unterzeichnung"-Checkliste ✍️
- Die Redline-Überprüfung ist abgeschlossen. Alle nachverfolgten Änderungen wurden behoben, und alle offenen Punkte werden protokolliert und bewusst akzeptiert.
- Die Rangfolge ist festgelegt. Die typische, lieferantenfreundliche Reihenfolge ist: Bestellformular > MSA > SOW > Anlagen > Richtlinien.
- Automatische Verlängerungs- und Kündigungsfristen sind mit Kalenderbenachrichtigungen in Ihrem CRM vermerkt.
- Kündigungs-, Rückerstattungs- und Datenrückgabeprozesse sind klar und für Sie betrieblich durchführbar.
- Der Versicherungsnachweis wurde erhalten (bei der Unterzeichnung mit einem neuen Lieferanten).
Klauselbibliothek (Kopieren-Einfügen, dann anpassen)
Hier sind einige gängige Klauseln, die Sie anpassen können.
Haftungsbeschränkung – Basis
AUSGENOMMEN FÜR HAFTUNG, DIE GESETZLICH NICHT BESCHRÄNKT WERDEN KANN, ÜBERSCHREITET DIE GESAMTHAFTUNG JEDER PARTEI, DIE SICH AUS DIESER VEREINBARUNG ERGIBT ODER DAMIT ZUSAMMENHÄNGT, NICHT DIE BETRÄGE, DIE DER KUNDE AN DAS UNTERNEHMEN IM RAHMEN DIESER VEREINBARUNG IN DEN ZWÖLF (12) MONATEN VOR DEM EREIGNIS, DAS ZUR HAFTUNG FÜHRT, GEZAHLT HAT ODER ZU ZAHLEN HAT. IN KEINEM FALL HAFTET EINE DER PARTEIEN FÜR INDIREKTE, ZUFÄLLIGE, BESONDERE, FOLGE- ODER STRAFSCHÄDEN ODER FÜR ENTGANGENEN GEWINN, UMSATZ, GESCHÄFTSWERT ODER DATEN, AUCH WENN AUF DIE MÖGLICHKEIT HINGEWIESEN WURDE.
Super-Cap-Ausnahmen (Optionale Ergänzung)
DIE OBIGE OBERGRENZE GILT NICHT FÜR (A) EINE VERLETZUNG DER VERTRAULICHKEIT DURCH EINE PARTEI, (B) EINE VERLETZUNG ODER UNTERSCHLAGUNG DER GEISTIGEN EIGENTUMSRECHTE DER ANDEREN PARTEI ODER (C) EINE VERLETZUNG DER DATENSICHERHEITSVERPFLICHTUNGEN IN DER SICHERHEITSANLAGE ODER IM DPA. FÜR SOLCHE ANSPRÜCHE IST DIE GESAMTHAFTUNG AUF DAS DREIFACHE (3) DER IN DEN VORANGEGANGENEN ZWÖLF (12) MONATEN GEZAHLTEN ODER ZU ZAHLENDEN BETRÄGE BESCHRÄNKT.
IP – Services Deliverables
Der Kunde besitzt alle in einem SOW ausdrücklich genannten Deliverables nach vollständiger Bezahlung. Das Unternehmen behält das gesamte Hintergrund-IP (vorhandene Materialien, Tools, Frameworks) und gewährt dem Kunden eine unbefristete, weltweite, gebührenfreie Lizenz zur Nutzung von Hintergrund-IP ausschließlich in den Deliverables.
Öffentlichkeit (Opt-in)
Der Kunde gestattet dem Unternehmen, den Namen und das Logo des Kunden in Kundenlisten, Websites und Präsentationen zu verwenden. Jede Pressemitteilung bedarf der vorherigen schriftlichen Zustimmung.
Abtretung
Keine der Parteien darf diese Vereinbarung ohne die Zustimmung der anderen Partei abtreten, außer an eine verbundene Gesellschaft oder im Zusammenhang mit einer Fusion, einem Erwerb oder dem Verkauf von im Wesentlichen allen Vermögenswerten, vorausgesetzt, der Zessionar übernimmt alle Verpflichtungen.
Vorlagen (Kurz, gründerfreundlich)
1) Gegenseitige NDA (Kurzform)
GEGENSEITIGE GEHEIMHALTUNGSVEREINBARUNG
Diese gegenseitige NDA ("Vereinbarung") wird zwischen [NAME DES UNTERNEHMENS], einer [STAAT/LAND] [ENTITÄTSTYP] unter [ADRESSE] ("Unternehmen") und [NAME DER GEGENPARTEI] unter [ADRESSE] ("Gegenpartei") mit Wirkung zum [DATUM] geschlossen.
1. **Vertrauliche Informationen.** Nicht-öffentliche Informationen, die von einer Partei offengelegt und als vertraulich gekennzeichnet werden oder die vernünftigerweise als vertraulich zu verstehen sein sollten.
2. **Verwendung & Sorgfalt.** Die empfangende Partei wird vertrauliche Informationen nur verwenden, um eine Geschäftsbeziehung zu bewerten und sie mit angemessenen Maßnahmen zu schützen.
3. **Ausschlüsse.** Informationen, die öffentlich sind, bereits bekannt sind, unabhängig entwickelt wurden oder rechtmäßig ohne Geheimhaltungspflicht empfangen wurden.
4. **Erzwungene Offenlegung.** Darf offengelegt werden, wenn dies gesetzlich vorgeschrieben ist, mit unverzüglicher Benachrichtigung und Zusammenarbeit.
5. **Laufzeit.** 2 Jahre ab dem Datum des Inkrafttretens; die Geheimhaltungspflichten bestehen noch 3 Jahre (Geschäftsgeheimnisse bestehen so lange, wie sie geschützt sind).
6. **Keine Lizenz.** Es werden keine IP-Rechte gewährt.
7. **Keine Verpflichtungen.** Keine Verpflichtung, eine Transaktion fortzusetzen.
8. **Sonstiges.** Geltendes Recht: [STAAT]. Vollständige Vereinbarung; Gegenstücke; elektronische Unterschriften.
Unterzeichnet von ordnungsgemäß bevollmächtigten Vertretern:
[NAME DES UNTERNEHMENS] [NAME DER GEGENPARTEI]
Von: ___________________ Von: ___________________
Name/Titel: __________________ Name/Titel: __________________
Datum: __________________________ Datum: ________________________
2) Kunden-MSA (SaaS; Kernbedingungen)
MASTER-ABONNEMENTVEREINBARUNG (MSA)
Zwischen [NAME DES UNTERNEHMENS] ("Unternehmen") und [NAME DES KUNDEN] ("Kunde"). Gültig ab [DATUM].
1. **Dienstleistungen.** Das Unternehmen stellt die im Bestellformular beschriebene gehostete Software ("Dienstleistungen") bereit.
2. **Zugang.** Nicht-ausschließliches, nicht übertragbares Recht zur Nutzung der Dienstleistungen während der Laufzeit, vorbehaltlich dieser MSA und des Bestellformulars.
3. **Kundendaten.** Der Kunde behält alle Rechte. Das Unternehmen verwendet Kundendaten nur zur Bereitstellung und Verbesserung der Dienstleistungen und wie im DPA gestattet.
4. **Support & SLA.** Das Unternehmen wird Support- und Uptime-Zusagen gemäß dem SLA leisten, das dem Bestellformular beigefügt oder in diesem verlinkt ist.
5. **Sicherheit & Datenschutz.** Das Unternehmen unterhält administrative, physische und technische Schutzmaßnahmen, wie in der Sicherheitsanlage und im DPA dargelegt.
6. **Gebühren & Zahlung.** Gebühren gemäß Bestellformular. Rechnungen fällig netto [30] Tage. Verzugsgebühren in Höhe von [1,5 %/Monat] oder maximal zulässig. Steuern ausgeschlossen.
7. **IP & Feedback.** Das Unternehmen besitzt die Dienstleistungen und alle damit verbundenen IP. Feedback darf vom Unternehmen ohne Verpflichtung verwendet werden.
8. **Einschränkungen.** Kein Reverse Engineering, keine Umgehung von Nutzungslimits, keine rechtswidrige oder risikoreiche Nutzung.
9. **Vertraulichkeit.** Gegenseitig; Bestehen [3] Jahre.
10. **Garantien.** Die Dienstleistungen werden im Wesentlichen gemäß der Dokumentation ausgeführt. Keine Malware; Einhaltung der Gesetze. Disclaimer: "wie besehen" für Betas, Bewertungen oder kostenlose Stufen.
11. **Entschädigungen.** Das Unternehmen entschädigt für IP-Ansprüche Dritter, die behaupten, dass die Dienstleistungen verletzend sind; der Kunde entschädigt für Daten/Inhalte und illegale Nutzung.
12. **Haftung.** Wie in der Klauselbibliothek angegeben (Basisobergrenze + Ausschlüsse; optionale Super-Cap-Ausnahmen).
13. **Laufzeit & Kündigung.** Laufzeit gemäß Bestellformular; Verlängerungen gemäß Bestellformular. Jede Partei kann den Vertrag nach [30] Tagen Heilung bei wesentlicher Vertragsverletzung kündigen. Bei Beendigung kann der Kunde Daten exportieren; das Unternehmen löscht gemäß DPA.
14. **Öffentlichkeit.** [Opt-in/out Sprache].
15. **Geltendes Recht & Gerichtsstand.** [STAAT/LAND]; Gerichtsstand [STADT, STAAT].
16. **Rangfolge.** Bestellformular > diese MSA > SLA > DPA > Sicherheitsanlage > Dokumentation.
Unterzeichnet von bevollmächtigten Vertretern.
3) Bestellformular (Einseitig)
BESTELLFORMULAR # [NUMMER]
Kunde: [JURISTISCHER NAME] Unternehmen: [IHR JURISTISCHER NAME]
Gültigkeitsdatum: [DATUM] Laufzeitbeginn: [DATUM] Anfängliche Laufzeit: [12] Monate
Dienstleistungen: [Plan / Module / Sitze / Umgebungen]
Gebühren: [USD $X pro Monat/Jahr]; Abrechnung: [jährlich im Voraus / monatlich]; Überschreitungen: [beschreiben]
SLA-Stufe: [Standard / Erweitert]
DPA & Sicherheitsanlage: [verlinkte URLs + Version]
Professionelle Dienstleistungen (falls vorhanden): [Umfangszusammenfassung] zu [Satz]
Besondere Bedingungen: [Rabatte, Ramp-up, EAP, kundenspezifische Verpflichtungen]
Verlängerung: Automatische Verlängerung um [12]-Monats-Zeiträume, sofern nicht [30] Tage im Voraus gekündigt wird.
Bestellung: [erforderlich? J/N] Rechnungsstellung: [E-Mail/AP-Portal]
Rangfolge: Dieses Bestellformular hat Vorrang vor der MSA im Falle von Konflikten.
Unterschriften: [Blöcke]
4) SLA (Lean)
SERVICE LEVEL AGREEMENT
Uptime: 99,9 % monatlich, ausgenommen geplante Wartungsarbeiten (≤ 4 Stunden/Monat mit 48 Stunden Vorankündigung) und höhere Gewalt.
Gutschriften:
- 99,0–99,9 % → 5 % der monatlichen Gebühr
- 98,0–99,0 % → 10 %
- <98,0 % → 25 %
Gilt als Gutschrift auf die nächste Rechnung nach Anspruch innerhalb von 30 Tagen. Gutschriften sind das einzige Rechtsmittel bei SLA-Fehlern.
Unterstützung:
- Priorität 1 Antwort innerhalb von 1 Geschäftsstunde; Workaround- oder Mitigation-Updates alle 4 Stunden.
- Supportzeiten: [Zeitzone, Stunden]. Kanäle: [E-Mail/Portal].
5) DPA (Skeleton)
DATA PROCESSING ADDENDUM
Parteien: Unternehmen (Verarbeiter) und Kunde (Verantwortlicher).
1. **Gegenstand & Dauer:** Verarbeitung von Kundendaten zur Bereitstellung der Dienstleistungen für die Laufzeit.
2. **Art & Zweck:** Hosting, Speicherung, Übertragung, Analyse nach Bedarf zur Bereitstellung von Funktionen.
3. **Kategorien:** [Mitarbeiter, Kunden, Endbenutzer]; Datentypen: [Kontaktinformationen, Nutzungsprotokolle, Kennungen]; Sensible Daten: [falls vorhanden].
4. **Anweisungen:** Der Verarbeiter handelt nur auf dokumentierte Anweisungen des Verantwortlichen.
5. **Sicherheitsmaßnahmen:** Wie in der Sicherheitsanlage (Anhang) aufgeführt.
6. **Subunternehmer:** Aufgeführt unter [URL]; Der Verarbeiter bleibt haftbar; Benachrichtigung über Änderungen; Der Kunde kann aus triftigen Gründen Einspruch erheben.
7. **Internationale Transfers:** Verwenden Sie gegebenenfalls geeignete Schutzmaßnahmen (z. B. SCCs).
8. **Unterstützung:** Anfragen von betroffenen Personen, DPIAs, Benachrichtigungen über Verstöße ohne unangemessene Verzögerung.
9. **Rückgabe/Löschung:** Bei Beendigung Rückgabe der Daten in [Format] und Löschung innerhalb von [X] Tagen, es sei denn, das Gesetz schreibt eine Aufbewahrung vor.
10. **Audit:** Bereitstellung von SOC 2/ISO Bericht oder Äquivalent; Vor-Ort-Audits mit angemessener Vorankündigung und Grenzen.
Standardvertragsklauseln (falls zutreffend) im Anhang.
6) Sicherheitsanlage (Zusammenfassung)
SICHERHEITSANLAGE
- **Governance:** Sicherheitsbeauftragter, jährliche Risikobewertung, Richtlinien (Zugriffskontrolle, Reaktion auf Vorfälle, Lieferantenmanagement).
- **Zugriff:** SSO/MFA; geringste Privilegien; vierteljährliche Überprüfungen; sichere Schlüsselverwaltung.
- **Daten:** Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand; Backups; Aufbewahrungsplan.
- **Entwicklung:** Sichere SDLC, Code-Review, Dependency Scanning, Schwachstellenmanagement (Patch P1 ≤ 7 Tage).
- **Infrastruktur:** Netzwerksegmentierung; Protokollierung & Überwachung; Endpunktschutz; Änderungsmanagement.
- **Vorfälle:** Überwachung rund um die Uhr; Benachrichtigung des Kunden innerhalb von 72 Stunden; Bereitstellung eines Vorfallberichts und eines Sanierungsplans.
- **Compliance:** SOC 2 Typ II oder ISO 27001 (falls zutreffend) oder Roadmap-Termine.
7) SOW (Services Work) & Änderungsauftrag
STATEMENT OF WORK # [NUMMER]
Projekt: [Name]
Umfang: [Lieferergebnisse, Ausschlüsse]
Meilensteine & Zeitplan: [Daten]
Verantwortlichkeiten des Kunden: [Zugriff, Daten, Genehmigungen]
Gebühren: [Festpreis / T&M-Sätze], Ausgaben: [Obergrenze, Genehmigungsschwelle]
Abnahme: [Kriterien, Überprüfungszeitraum]
Änderungskontrolle: Schriftliche Änderungsaufträge, die von beiden Parteien unterzeichnet wurden.
Abhängigkeiten & Annahmen: [Liste]
Kontakte & Governance: [wöchentliches Standup, Demo-Kadenz]
Änderungsauftrag (Einzeiler):
ÄNDERUNGSAUFTRAG # [x] zu SOW # [y]
Änderung: [beschreiben]
Auswirkung: [Zeitplan, Gebühren, Umfang]
Alle anderen SOW-Bedingungen bleiben unverändert. Unterschriften: [Blöcke]
8) Lieferanten-MSA (Wenn Sie kaufen)
VENDOR MASTER SERVICES AGREEMENT
1. **Services & Deliverables** gemäß SOW/PO. Der Lieferant garantiert eine professionelle, fachgerechte Leistung, die den Spezifikationen entspricht.
2. **Gebühren & Ausgaben.** All-inclusive, sofern nicht schriftlich vorab genehmigt. Netto [30/45].
3. **Compliance.** Der Lieferant hält Gesetze, Anti-Bestechungsgesetze, Exportbestimmungen und Ihren Verhaltenskodex ein.
4. **IP.** Sie besitzen alle bezahlten Deliverables; Der Lieferant behält das Hintergrund-IP mit einer Lizenz für Sie zur Nutzung der Deliverables.
5. **Vertraulichkeit.** Gegenseitig.
6. **Sicherheit & Datenschutz.** Wenn der Lieferant Ihre persönlichen Daten oder die Ihrer Benutzer verarbeitet, gelten DPA + Sicherheitsanlage; Benachrichtigung über Verstöße ≤ 72 Stunden.
7. **Audit & Berichte.** Bereitstellung von SOC 2/ISO (oder Fragebogen). Beschränktes Recht zur Prüfung mit Benachrichtigung; Umfang & Häufigkeit angemessen.
8. **Entschädigung.** Der Lieferant entschädigt für IP-Verletzungen, Körperverletzungen, Sachschäden und Verstöße des Lieferanten gegen das Gesetz.
9. **Versicherung.** CGL 1 Mio. USD pro Schadensfall; Tech E\&O/Cyber 2 Mio. USD insgesamt; Bereitstellung von Zertifikaten; Benennung Sie als zusätzlichen Versicherten, wo üblich.
10. **Haftung.** Obergrenzen gelten möglicherweise nicht für die IP-Entschädigung des Lieferanten, die Verletzung der Vertraulichkeit oder die Verletzung der Datensicherheit (verhandeln).
11. **Subunternehmer.** Vorabgenehmigung für wesentliche Teile; Der Lieferant bleibt haftbar.
12. **Laufzeit & Kündigung.** Sie können den Vertrag aus Gründen der Zweckmäßigkeit mit einer Frist von [30] Tagen kündigen; Zahlung für geleistete Arbeit. Kündigung bei Vertragsbruch mit [30] Tagen Heilung.
13. **Öffentlichkeit.** Der Lieferant benötigt Ihre schriftliche Zustimmung zur Verwendung Ihres Namens/Logos.
14. **Geltendes Recht & Gerichtsstand.** [Ihr bevorzugtes Forum].
9) Clickwrap TOS (Self-Serve Skeleton)
NUTZUNGSBEDINGUNGEN
Akzeptanz. Durch das Erstellen eines Kontos oder das Klicken auf "Akzeptieren" akzeptieren Sie diese Bedingungen und die Datenschutzrichtlinie.
Konto & Nutzung. Sie müssen 18+ sein. Halten Sie die Anmeldeinformationen sicher. Keine rechtswidrige oder verbotene Nutzung.
Abonnements & Abrechnung. Pläne, Limits und Preise werden bei der Anmeldung veröffentlicht; wiederkehrende Abrechnung; Kündigung am Ende des Zeitraums.
Inhalt & IP. Sie besitzen Ihren Inhalt. Wir besitzen den Service. Lizenz zur Bedienung des Service erteilt.
Verbotene Verwendungen. [Beispiele]. Wir können bei Missbrauch, Sicherheitsrisiko oder Nichtzahlung sperren.
Garantien & Haftungsausschlüsse. Der Service wird "wie besehen" bereitgestellt (mit Ausnahme von bezahlten Stufen, die die SLA enthalten können).
Haftung. Gemäß Haftungsbeschränkungsklausel.
Daten & Datenschutz. Siehe DPA (falls zutreffend) und Datenschutzrichtlinie.
Änderungen. Wir können die Bedingungen mit Benachrichtigung aktualisieren; wesentliche nachteilige Änderungen treten im nächsten Abrechnungszyklus in Kraft.
Geltendes Recht; Streitigkeiten. [Forum]. Wenden Sie sich zuerst an den Support; Schiedsgerichtsbarkeit optional.
Kontakt. [legal@yourcompany].
Procurement Due-Diligence Checklist (Use with Vendors)
- Unternehmen: Rechtlicher Name, Adresse, W-9/Steuerdaten, alle kürzlichen Eigentumsänderungen.
- Dienstleistungen: Klarer Umfang, SLAs, Ausstiegsplan und Datenexportformat.
- Sicherheit: SOC 2/ISO Bericht oder Sicherheitsfragebogen; Subunternehmerliste; Schwachstellenmanagementprozess; Richtlinie zur Reaktion auf Vorfälle.
- Datenschutz: DPA, Datenübersicht, Richtlinien zur Datenaufbewahrung und -löschung sowie Details zu grenzüberschreitenden Datentransfers.
- Compliance: Überprüfungen auf Sanktionen/Exportkontrollen, Anti-Bestechungsrichtlinien, Barrierefreiheit (z. B. WCAG) und Open-Source-Software-Richtlinie.
- Finanzen: Klare Preise, Ramp-up-/Rabattbedingungen, True-up-Richtlinien und automatische Verlängerungsfenster.
- Versicherung: Überprüfung der Deckungen und Limits; Bestätigen Sie, ob Sie gegebenenfalls als zusätzlicher Versicherter genannt werden.
Issue Log (Track Every Redline)
Während einer Verhandlung verwenden Sie ein einfaches Tracking-Protokoll wie dieses, um Redlines zu verwalten. Es hält das Deal-Team auf dem Laufenden und bietet eine klare Aufzeichnung dessen, was besprochen und vereinbart wurde.
| # | Klausel | Kundenwunsch | Ihre Position | Status | Verantwortlicher | Zieldatum | | --- | --- | --- | -- | - | | - | | 1 | Haftungsgrenze | Der Kunde verlangt Gebühren für 24 Monate | Bieten Sie Gebühren für 12 Monate + 3× Super-Cap für Sicherheit/IP an | Offen | AE | 2025-08-20 | | 2 | Öffentlichkeitsarbeit | Logo-Nutzung vollständig entfernen | Akzeptieren; werde später nach einer Fallstudie fragen | Geschlossen | Rechtliches | 2025-08-18 |
Speichern Sie dieses Protokoll in Ihrem CRM oder Deal Room und verknüpfen Sie es direkt mit dem Vertragsentwurf.
Speicher- & Namenskonventionen
- Zentrales Repository: Erstellen Sie eine klare Ordnerstruktur wie
/Legal/Contracts/Executed/JJJJ/
. - Dateinamen: Verwenden Sie eine einheitliche Namenskonvention:
Gegenpartei_Dokumenttyp_v#_JJJJ-MM-TT_unterzeichnet.pdf
. - Versionen: Bewahren Sie sowohl die endgültige, ausgeführte PDF-Datei als auch die Quelldatei (.docx) mit allen Redlines auf. Fügen Sie diese dem Opportunity-Datensatz in Ihrem CRM hinzu.
- Erinnerungen: Richten Sie in Ihrem Kalender und CRM Erinnerungen an die Verlängerung 60, 30 und 7 Tage vor Ablauf der Laufzeit ein.
So passen Sie sich an die Bühne an
Ihr Vertragsprozess sollte sich mit dem Wachstum Ihres Unternehmens weiterentwickeln.
- Pre-PMF: Halten Sie sich an eine einfache Clickwrap TOS und eine Kurzform-NDA. Ziel ist es, Reibungsverluste zu minimieren und von frühen Kunden zu lernen.
- Frühes Unternehmen (Erste 10+ Kunden): Verwenden Sie ein einseitiges Bestellformular und eine Lean-MSA. Fügen Sie die DPA und die Sicherheitsanlage nur dann hinzu, wenn ein Kunde danach fragt.
- Skalierung (Series A/B und darüber hinaus): Formalisieren Sie Ihre Dokumente. Verfügen Sie über eine robuste SLA, regionalspezifische DPAs (z. B. für GDPR, CCPA), Sicherheitsbescheinigungen (wie SOC 2) und ein formelles Vendor-Management-Playbook.
Abschließende Bemerkungen
- Denken Sie daran, alle eingeklammerten Felder
[...]
durch Ihre spezifischen Informationen zu ersetzen. - Führen Sie immer eine Versionshistorie und speichern Sie Redline-Kopien während der Verhandlung.
- Am wichtigsten ist, stellen Sie sicher, dass eine Übereinstimmung zwischen dem, was der Vertrieb verspricht, dem, was der Vertrag recht