Externe IT-Betreuung: Welches Vertragsmodell wirklich für KMU funktioniert (und welches gegen euch arbeitet)

Modell 3: SLA-basiert mit klar definierten Reaktionszeiten

Ein SLA-basiertes Modell (Service Level Agreement) baut in der Regel auf einer Pauschale auf, ergänzt sie aber um messbare Zusagen. Im Zentrum stehen Reaktionszeiten und Lösungszeiten, gestaffelt nach Priorität.

Ein typisches Staffelmuster sieht so aus: Bei einem kritischen Ausfall (das gesamte Unternehmen steht) reagiert der Dienstleister innerhalb von 30 bis 60 Minuten. Bei einer hohen Priorität (ein wesentliches System betroffen, aber nicht alles) innerhalb von vier Stunden. Bei Standardanfragen innerhalb eines Arbeitstages. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen Mindestanforderungen, SLAs so zu gestalten, dass alle vereinbarten Kriterien messbar, nachprüfbar und eindeutig formuliert sind, damit kein Interpretationsspielraum bleibt.

Warum SLAs für KMU oft unterbewertet werden

SLAs gelten als „Großkundenthema“. Das ist ein Missverständnis. Für eine Arztpraxis in Wien-Favoriten ist es existenziell, ob die Praxisverwaltungssoftware am Montagmorgen in 30 Minuten oder erst nachmittags wieder läuft. Dazwischen liegen abgesagte Termine, verärgerte Patientinnen, verlorener Umsatz.

Die Preisaufschläge für höhere SLA-Stufen sind spürbar, aber überschaubar. Standard-SLAs mit vier bis acht Stunden Reaktionszeit sind in vielen Pauschalverträgen enthalten. Premium-SLAs mit Reaktionszeiten unter einer Stunde und 24/7-Abdeckung kosten deutlich mehr und lohnen sich nur für Branchen mit kritischen Zeitfenstern (Handel mit Ladengeschäft und Registrierkasse, Hotellerie, Gesundheitswesen).

Worauf Sie in der SLA-Formulierung achten müssen

Ein SLA lebt von Präzision. „Schnellstmögliche Reaktion“ ist kein SLA, das ist Prosa. Relevant sind harte Zeiten in Minuten oder Stunden, eine klare Definition der Servicezeit (zum Beispiel Montag bis Freitag 8 bis 18 Uhr) und eine Definition, was „Reaktion“ überhaupt heißt. Ist es der automatisierte Ticket-Eingang? Ein Anruf? Ein Techniker, der wirklich zu arbeiten beginnt? Nur Letzteres ist für Sie als Kunde wertvoll.

Modell 4: Hybrid-Modelle und wann sie Sinn machen

Hybride Verträge kombinieren eine Pauschale für den laufenden Betrieb mit einem Kontingent oder Stundensatz für Projekte. Sie sind besonders dann sinnvoll, wenn ein KMU einen stabilen Grundbetrieb will, aber regelmäßig größere Vorhaben plant: eine Cloud-Migration, eine Rollout-Welle neuer Notebooks, ein Umzug, die Einführung von Microsoft Intune oder Conditional Access.

Die Stärke liegt in der Trennung von Run und Change. Der Run-Teil (laufender Betrieb) wird planbar über die Pauschale abgebildet. Der Change-Teil (Projekte) wird separat kalkuliert, damit Sie Kosten und Nutzen einzelner Vorhaben sauber abgleichen können.

Für ein Architekturbüro in Innsbruck, das jedes Jahr zwei bis drei neue CAD-Arbeitsplätze einrichtet und gelegentlich Großprojekte wie SharePoint-Migrationen fährt, ist das Hybrid-Modell oft die beste Lösung. Für eine kleine Steuerkanzlei in Linz, die nur laufenden Betrieb braucht, kann die reine Pauschale ausreichen.

Typische Ausgestaltung in der Praxis: Pauschale pro User mit einem festen Anteil an „Consulting-Stunden“ pro Monat (zum Beispiel zwei Stunden), alles darüber wird über einen reduzierten Projektsatz abgerechnet.

Was muss in einem guten IT-Betreuungsvertrag stehen (Checkliste)

Unabhängig vom gewählten Modell gibt es Elemente, die in jedem seriösen Vertrag zur externen IT-Betreuung auftauchen sollten. Die folgende Checkliste fasst sie zusammen. Nutzen Sie sie beim nächsten Angebot als Prüfraster.

1. Klarer Leistungskatalog. Was ist inkludiert, was nicht? Inkludiert sollten mindestens sein: Monitoring, Patch-Management, Support (Telefon, E-Mail, Remote), Backup-Überwachung, Benutzerverwaltung, Microsoft-365-Administration und ein definierter Anteil Beratung.
2. Servicezeiten und Erreichbarkeit. Von wann bis wann ist der Dienstleister erreichbar? Gibt es eine Notrufnummer außerhalb dieser Zeiten, und was kostet der Abruf?
3. SLAs mit harten Zeiten. Reaktionszeit, Lösungszeit, Definition, was „Reaktion“ heißt. Gestaffelt nach Priorität.
4. Auftragsverarbeitungsvertrag (AVV). Nach Artikel 28 DSGVO ist er Pflicht, sobald der Dienstleister auf Systeme zugreift, in denen personenbezogene Daten liegen. Die WKO stellt einen kostenlosen Mustervertrag zur Verfügung, den viele seriöse Anbieter als Grundlage verwenden.
5. Eskalationswege. Wer ist Ihr fester Ansprechpartner, wer vertritt ihn, an wen eskaliert man, wenn die normale Bearbeitung nicht reicht?
6. Dokumentation und Transparenz. Monatlicher oder quartalsweiser Bericht über Tickets, offene Punkte, Systemstatus, durchgeführte Wartungen. Ohne diese Sichtbarkeit wissen Sie nie, wofür Sie zahlen.
7. NIS2-/NISG-2026-Kompatibilität. Auch wenn Sie selbst nicht direkt betroffen sind: Der Vertrag sollte vorsehen, dass der Dienstleister Sicherheitsmaßnahmen dokumentieren und auf Anfrage nachweisen kann. Die WKO weist ausdrücklich darauf hin, dass Lieferanten betroffener Unternehmen vertraglich zu Risikomanagementmaßnahmen verpflichtet werden.
8. Exit- und Übergabe-Klauseln. Was passiert bei Vertragsende? Welche Daten, Passwörter, Dokumentationen werden in welchem Format herausgegeben, in welcher Frist, und zu welchem Preis?
9. Preisanpassungs-Regelung. Wie oft und in welcher Höhe darf der Preis steigen? Üblich ist Indexbindung an den VPI oder eine Deckelung (zum Beispiel maximal 3% pro Jahr).
10. Laufzeit und Kündigungsfrist. Zwölf bis 24 Monate sind Standard, drei Monate Kündigungsfrist sind üblich. Alles darüber wird für Sie riskanter.

Worauf Anbieter achten, das nicht in eurem Interesse ist (rote Flaggen)

Nicht jede Vertragsklausel ist böse Absicht. Einige sind einfach Standard aus Zeiten, in denen Dienstleister mehr Marktmacht hatten. Aber als KMU sollten Sie wissen, wo es sich lohnt, nachzuverhandeln.

Lange Laufzeiten ohne ordentliches Kündigungsrecht. 36- oder 60-Monats-Verträge ohne Sonderkündigungsrecht binden Sie über Jahre an einen Anbieter, dessen Qualität Sie erst im Betrieb beurteilen können. Seriös sind 12 oder 24 Monate mit dreimonatiger Kündigung.

Schwammige SLAs oder gar keine. Formulierungen wie „angemessene Bearbeitungszeit“ oder „schnellstmöglich“ sind nicht durchsetzbar. Wenn es keine harten Zeiten gibt, gibt es keinen Service Level.

Fehlender AVV. Wenn der Anbieter auf die Frage nach dem AVV ausweicht oder behauptet, er „sehe keine personenbezogenen Daten“, ist Vorsicht angebracht. Er sieht sie. Jeder IT-Dienstleister mit Administrator-Zugriff auf Ihr Microsoft-365-Tenant sieht mindestens Mail-Postfächer, Kalender und Kontakte.

Exit-Fallen. Ein klassischer Stolperstein, den das CIO Magazin in einer Analyse zu Outsourcing-Verträgen beschreibt: Allgemeine Zusicherungen wie „Unterstützung in einem angemessenen Umfang“ sind keine Exit-Klausel. Fehlen konkrete Vereinbarungen zu Datenrückgabe, Übergabedokumentation und Migrationsunterstützung, ist der Dienstleisterwechsel in der Praxis kaum machbar.

Hardware und Lizenzen im Vertrag gebündelt. Wenn Ihre Notebooks, Server oder Microsoft-365-Lizenzen über den IT-Dienstleister laufen und vertraglich an ihn gebunden sind, entsteht ein Vendor-Lock-in, der Sie beim Wechsel doppelt schmerzt.

Keine transparente Preisliste für Zusatzleistungen. „Projekte nach Aufwand“ ohne Stundensatz-Nennung ist ein Blankoscheck. Stundensätze, Projektpauschalen und Sonderleistungen gehören in den Vertrag oder einen nummerierten Anhang.

Keine Berichtspflicht. Ein Dienstleister, der nicht monatlich oder quartalsweise über den Zustand Ihrer IT berichtet, arbeitet im Dunkeln. Sie werden nie erfahren, was er tatsächlich tut, und ob seine Rechnungen nachvollziehbar sind.

Unser Modell transparent erklärt

Damit Sie ein Beispiel haben, wie die Punkte aus diesem Artikel in einem echten Vertrag aussehen: Ich arbeite mit einer fixen Monatspauschale pro aktivem Anwender und pro betreutem Server. Richtwert 150 € netto pro Person und 150 € netto pro Server. Mehr Kollegen, mehr Kosten. Weniger Kollegen, weniger Kosten. Kein Stückpreis für jeden Klick.

In dieser Pauschale steckt die laufende Betreuung Ihrer IT, von Microsoft 365 und E-Mail-Schutz über Backups und Sicherheits-Überwachung rund um die Uhr bis zu Updates, Netzwerkpflege und regelmäßigen Mitarbeiter-Schulungen. Wie tief wir gehen, hängt vom Paket ab.

Im Vertrag stehen klare Reaktionszeiten in Stunden, nicht in Marketingsprache. Ein Auftragsverarbeitungsvertrag nach DSGVO ist automatisch dabei, nicht als kostenpflichtiges Extra. Größere Projekte und Arbeiten außerhalb der Pauschale werden zu transparenten Stundensätzen abgerechnet.

Mindestlaufzeit 12 Monate, danach jederzeit zum Monatsende kündbar. Bei Vertragsende gibt es bis zu 60 Tage Übergangsunterstützung. Zugänge, Dokumentation und Backups wandern sauber zum neuen Dienstleister oder zu Ihnen.

Das Entscheidende an einer sauberen Pauschale: Ich verdiene Geld, wenn bei Ihnen wenig passiert. Je stabiler Ihre IT läuft, desto besser für beide Seiten. Kein Anreiz, Probleme zu strecken. Mein Interesse ist deckungsgleich mit Ihrem: Ihre IT soll leise im Hintergrund laufen, damit Sie sich auf Ihr Geschäft konzentrieren können.

Wenn Sie bei Ihrem aktuellen Anbieter nicht mehr verstehen, wofür Sie eigentlich zahlen, sprechen wir. Eine Stunde Bestandsaufnahme, danach wissen Sie, wo Sie stehen.

Häufige Fragen

Was kostet externe IT-Betreuung für ein KMU in Österreich?

Die Höhe einer Pauschale hängt stark vom Leistungsumfang, der SLA-Tiefe und der Anzahl verwalteter Server ab. In der Praxis sind zweistellige bis niedrige dreistellige Eurobeträge pro Arbeitsplatz und Monat marktüblich. Stundensätze einzelner Dienstleister liegen im niedrigen bis mittleren dreistelligen Bereich. Lassen Sie sich von jedem Anbieter ein schriftliches, aufgeschlüsseltes Angebot geben, damit Sie vergleichen können.

Brauche ich einen Auftragsverarbeitungsvertrag mit meinem IT-Dienstleister?

Ja. Sobald der IT-Dienstleister auf Systeme zugreift, in denen personenbezogene Daten verarbeitet werden, ist nach Artikel 28 DSGVO ein Auftragsverarbeitungsvertrag Pflicht. Das betrifft faktisch jede externe IT-Betreuung. Die WKO stellt einen kostenlosen Mustervertrag zur Verfügung.

Welches Vertragsmodell eignet sich für kleine Firmen unter zehn Mitarbeitenden?

Für sehr kleine Firmen ist eine schlanke Pauschale pro Arbeitsplatz meistens die beste Wahl. Sie liefert Kostensicherheit, deckt Standardwartung ab und vermeidet das Ausfallrisiko reiner Stundenkontingent-Modelle. Reine Stundensatz-Verträge sind nur dann sinnvoll, wenn die Firma intern selbst sehr IT-kompetent ist und den Dienstleister nur in Ausnahmefällen braucht.

Wie lange sollte die Mindestvertragslaufzeit sein?

Übliche Laufzeiten sind zwölf oder 24 Monate mit automatischer Verlängerung und drei Monaten Kündigungsfrist. Alles über 24 Monate ist kritisch zu prüfen, besonders wenn gleichzeitig Hardware oder Softwarelizenzen an den Vertrag gekoppelt sind. Eine monatliche Kündbarkeit nach einer kurzen Initialphase ist inzwischen am Markt verfügbar und aus Kundensicht fairer.

Wie erkenne ich einen unseriösen IT-Betreuungsvertrag?

Typische Warnsignale sind lange Laufzeiten über 24 Monate ohne Kündigungsrecht, fehlende oder schwammige SLAs, kein Auftragsverarbeitungsvertrag, eine versteckte Preisstaffel bei Zusatzleistungen sowie Exit-Klauseln, die den Wechsel zu einem anderen Anbieter erschweren, zum Beispiel durch hohe Gebühren für die Datenrückgabe oder Zugangsdaten.

Muss mein IT-Dienstleister NIS2- beziehungsweise NISG-2026-Vorgaben erfüllen?

Auch wenn Ihr eigenes Unternehmen nicht direkt unter das NISG 2026 fällt, geben betroffene Kunden die Anforderungen über die Lieferkette an IT-Dienstleister weiter. Ab Inkrafttreten am 1. Oktober 2026 erwarten viele mittlere und große Unternehmen vertraglich dokumentierte Sicherheitsmaßnahmen von ihren IT-Partnern.

Außerdem sind IT-Dienstleister selbst ab einer mittleren Unternehmensgröße von den NIS2 Vorgaben betroffen.

Fazit

Der Vertrag für Ihre externe IT-Betreuung entscheidet darüber, ob Sie einen Partner haben oder einen Problemverwalter. Stundenkontingent-Modelle arbeiten strukturell gegen Sie, weil sie den Dienstleister für Vorfälle belohnen, statt für deren Vermeidung. Eine Pauschale pro User oder Gerät, idealerweise ergänzt um ein klares SLA und transparente Berichtspflichten, ist für die meisten österreichischen KMU das fairste und kalkulierbarste Modell. Hybride Verträge lohnen sich, wenn regelmäßig Projekte anfallen.

Wichtiger als das Modell ist, dass Sie den Vertrag verstehen, bevor Sie ihn unterschreiben. Prüfen Sie Leistungskatalog, SLA, AVV, Exit-Klauseln und Laufzeit. Wenn einer dieser Punkte fehlt oder schwammig ist, fragen Sie nach. Ein seriöser Anbieter freut sich über diese Fragen, ein unseriöser beginnt auszuweichen. Genau das ist die Information, die Sie brauchen.