Kostenlose Vorlage: SaaS-Vertrag (B2B Cloud Services) Schweiz

SaaS-VERTRAG (CLOUD SERVICES)

Software As A Service — Gemischter Vertrag Mit Schwerpunkt OR Art. 394 (Auftrag) Sowie Swico/swissict-standard, Ndsg Art. 9 Und — Soweit Anwendbar — EU AI Act (VO 2024/1689)

Die Parteien schliessen — in Anwendung des Grundsatzes der Vertragsfreiheit (OR Art. 19) sowie unter Beachtung von Treu und Glauben (ZGB Art. 2) — den nachfolgenden SaaS-Vertrag über die Bereitstellung der vorbezeichneten Cloud-Software als Dienstleistung. Der Vertrag ist als Innominatvertrag mit gemischtem Charakter zu qualifizieren; soweit nachfolgend nichts anderes bestimmt ist, gelten subsidiär die Bestimmungen des Auftragsrechts (OR Art. 394 ff.). Bei der Bearbeitung von Personendaten durch den Anbieter im Auftrag des Kunden ist zusätzlich ein Auftragsbearbeitungsvertrag (AVV) nach Art. 9 nDSG abzuschliessen, der als integrierender Bestandteil dieses Vertrags gilt.

Der Anbieter stellt dem Kunden die Software CloudWorks Suite Pro als Multi-Tenant-Cloud-Lösung über das Internet zur Nutzung bereit.

Funktions- und Modulumfang:
Modulare Business-Suite mit CRM, Projektmanagement, Time-Tracking, Rechnungs- und Belegmanagement sowie integriertem Reporting-Dashboard. Multi-Tenant Cloud-Architektur mit REST-API und Single-Sign-On (SAML 2.0 / OIDC). Inkl. Mobile-App (iOS/Android) und Browser-Client.

Die Bereitstellung erfolgt im aktuellen Versionsstand. Der Anbieter ist berechtigt, die Software fortlaufend weiterzuentwickeln, Funktionen anzupassen, sicherheitsrelevante Aktualisierungen einzuspielen und neue Features auszurollen. Wesentliche Änderungen, die den vereinbarten Leistungsumfang einschränken (Breaking Changes), kündigt der Anbieter mit einer Vorlauffrist von mindestens 60 Tagen schriftlich oder per E-Mail an.

Der Anbieter räumt dem Kunden für die Dauer und im Umfang dieses Vertrags ein nicht-exklusives, nicht übertragbares, zeitlich beschränktes Recht zur Nutzung der Software für eigene Geschäftszwecke ein. Die Nutzung ist auf 50 benannte Nutzer (Named Users) beschränkt. Eine Weitergabe der Zugangsdaten an Dritte ist untersagt; Sub-Lizenzen und White-Label-Nutzung bedürfen einer separaten schriftlichen Vereinbarung.

Sämtliche Immaterialgüterrechte am Produkt — namentlich Urheberrechte (URG), Marken und Patente — verbleiben uneingeschränkt beim Anbieter bzw. seinen Lizenzgebern. Dieser Vertrag überträgt keinerlei Eigentumsrechte. Vom Kunden in das System eingegebene oder dort erzeugte Daten (Kundendaten) verbleiben jederzeit im Eigentum des Kunden; der Anbieter hält daran ausschliesslich die zur Vertragserfüllung notwendigen Bearbeitungsrechte.

Der Kunde schuldet dem Anbieter eine jährlich Subscription-Gebühr in Höhe von 36'000.00 CHF zzgl. MwSt. (8.1%) pro Jahr.

Die Gebühr ist jeweils zu Beginn der Abrechnungsperiode im Voraus zur Zahlung fällig und innert 30 Tagen ab Rechnungsstellung auf das vom Anbieter bezeichnete Konto zu überweisen. Bei Zahlungsverzug schuldet der Kunde ohne weitere Mahnung einen Verzugszins von 5% per annum (OR Art. 104 Abs. 1). Bei Verzug von mehr als 30 Tagen ist der Anbieter nach vorheriger schriftlicher Mahnung mit Nachfrist von 14 Tagen berechtigt, den Zugang zur Software zu suspendieren, ohne dass der Anspruch auf die Subscription-Gebühr für die volle Vertragsperiode entfällt.

Der Anbieter ist berechtigt, die Subscription-Gebühren jährlich an den schweizerischen Landesindex der Konsumentenpreise (LIK) anzupassen; weitergehende Anpassungen bedürfen einer Vorankündigung von mindestens 60 Tagen und gewähren dem Kunden ein ausserordentliches Kündigungsrecht auf den Wirksamwerdungs-Zeitpunkt.

Der Vertrag beginnt am 1. April 2026 und hat eine initiale Mindestvertragsdauer von 12 Monate. Der Vertrag verlängert sich nach Ablauf der initialen Vertragsdauer automatisch um jeweils 12 Monate, sofern er nicht von einer Partei mit der vereinbarten Kündigungsfrist gekündigt wird.

Die ordentliche Kündigung ist mit einer Frist von 90 Tagen auf das Ende der initialen Vertragsdauer bzw. einer Verlängerungsperiode möglich. Die Kündigung bedarf der Textform (E-Mail mit Lesebestätigung oder eingeschriebener Brief).

Das Recht zur ausserordentlichen Kündigung aus wichtigem Grund — insbesondere bei wesentlicher Vertragsverletzung trotz Mahnung mit Frist von 30 Tagen, bei Insolvenz oder bei nachhaltigem Zahlungsverzug — bleibt vorbehalten. Das jederzeitige Widerrufsrecht aus reinem Auftragsrecht (OR Art. 404) ist angesichts des überwiegenden Dauerschuld-Charakters dieses Vertrags abbedungen, soweit gesetzlich zulässig.

Soweit der Anbieter im Rahmen der Vertragserfüllung Personendaten des Kunden bearbeitet, geschieht dies ausschliesslich als Auftragsbearbeiter im Sinne von Art. 9 nDSG (Schweizer Datenschutzgesetz, SR 235.1, in Kraft seit 1.9.2023) und — soweit anwendbar — Art. 28 DSGVO. Die Parteien schliessen hierzu einen separaten Auftragsbearbeitungsvertrag (AVV) ab, der als integrierender Bestandteil dieses Vertrags gilt; im Konfliktfall gehen die Bestimmungen des AVV in datenschutzrechtlichen Fragen vor.

Die Datenschutzerklärung des Anbieters ist über folgenden Link einsehbar: https://cloudworks.ch/datenschutz. Der Anbieter trifft technische und organisatorische Massnahmen (TOM) nach nDSG Art. 7 und 8 i.V.m. DSV Art. 1-6 nach dem Stand der Technik. Verletzungen der Datensicherheit meldet der Anbieter dem Kunden unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme (EDÖB-Leitfaden Data Breach Version 1.2 vom 23.04.2025).

Der Kunde ist verpflichtet:
• die Zugangsdaten vertraulich zu halten und vor unbefugtem Zugriff zu schützen;
• die Software ausschliesslich im Rahmen der vertraglich vereinbarten Nutzungsrechte zu verwenden;
• keine rechts- oder sittenwidrigen Inhalte in das System einzugeben oder über die Software zu verbreiten (insbesondere Persönlichkeitsverletzungen, Urheberrechtsverletzungen, Malware, Spam);
• keine automatisierten Massen-Abfragen, Lasttests oder Reverse-Engineering ohne ausdrückliche schriftliche Genehmigung durchzuführen, soweit nicht gesetzlich zulässig (URG Art. 21 Software-Interoperabilität);
• selbstständig für die Sicherung der eingegebenen Daten zu sorgen, soweit der Anbieter keine vertragliche Backup-Verpflichtung übernommen hat;
• ausschliesslich legale Inhalte hochzuladen und die Rechte Dritter (Persönlichkeitsrecht, IP-Rechte) zu wahren.

Der Anbieter gewährleistet die Funktionstauglichkeit der Software gemäss der Leistungsbeschreibung. Bei Mängeln hat der Anbieter das Recht und die Pflicht zur Nachbesserung innert angemessener Frist; gelingt die Nachbesserung auch nach zwei Versuchen nicht, hat der Kunde Anspruch auf angemessene Minderung der Subscription-Gebühr.

Die Haftung des Anbieters ist — soweit gesetzlich zulässig — auf die Höhe der innerhalb der letzten 12 Monate effektiv geleisteten Subscription-Gebühren (Cap) beschränkt. Die Haftung für indirekte Schäden, Folgeschäden, entgangenen Gewinn, Produktionsausfall und Datenverlust ist ausgeschlossen, soweit zulässig. Die Haftung für Vorsatz und grobe Fahrlässigkeit ist nach OR Art. 100 Abs. 1 zwingend und kann nicht ausgeschlossen werden. Gleiches gilt für Personenschäden sowie für Ansprüche aus zwingenden gesetzlichen Haftungstatbeständen (Produktehaftpflichtgesetz). Der Anbieter haftet für das Handeln seiner Hilfspersonen und Sub-Processors wie für eigenes Handeln (OR Art. 101).

Keine Partei haftet für die Nichterfüllung oder verzögerte Erfüllung vertraglicher Pflichten, soweit diese auf höhere Gewalt zurückzuführen sind. Als höhere Gewalt gelten insbesondere Naturkatastrophen, Krieg, Pandemien, behördliche Massnahmen, grossflächige Strom- oder Internet-Ausfälle, koordinierte Cyberangriffe auf kritische Infrastruktur sowie vergleichbare, für die betroffene Partei unvorhersehbare und unbeeinflussbare Ereignisse. Die betroffene Partei benachrichtigt die andere Partei unverzüglich und ergreift zumutbare Massnahmen zur Schadensminderung. Dauert die Beeinträchtigung länger als 90 Tage an, ist jede Partei berechtigt, den Vertrag mit sofortiger Wirkung zu kündigen.

Der Anbieter garantiert für die Software eine monatliche Verfügbarkeit von mindestens 99.9% (Service-Tier Premium). Die Verfügbarkeit wird gemessen als Verhältnis der nutzbaren Service-Zeit zur gesamten Monatszeit (Total Time = 24/7), abzüglich geplanter Wartungsfenster (höchstens 8 Stunden pro Monat, angekündigt mit 5 Werktagen Vorlauf).

Wird die monatliche Soll-Verfügbarkeit unterschritten, hat der Kunde Anspruch auf Service Credits in Höhe von 10% der monatlichen Subscription-Gebühr pro angefangenes Prozent Unterschreitung, höchstens jedoch 50% der monatlichen Gebühr als Cap. Service Credits werden auf die nächstfolgende Rechnung gutgeschrieben; sie stellen die ausschliessliche Rechtsfolge der SLA-Unterschreitung dar, soweit kein vorsätzliches oder grob fahrlässiges Verhalten des Anbieters vorliegt.

Geltendmachung: Der Kunde meldet die SLA-Unterschreitung innerhalb von 30 Tagen nach Ende des betreffenden Monats unter Angabe der Unterbruchzeiten an den Anbieter; der Anbieter prüft die Meldung und schreibt die Service Credits innerhalb von 30 Tagen gut. Ausgenommen von der SLA-Berechnung sind Ausfälle durch höhere Gewalt, Verschulden des Kunden, Drittanbieter-Ausfälle ausserhalb der Kontrolle des Anbieters und Beta-/Preview-Funktionen, die als solche gekennzeichnet sind.

Die Bearbeitung und Speicherung der Kundendaten erfolgt in Rechenzentren im EU-/EWR-Raum (nDSG Anhang 1 DSV — adäquates Datenschutzniveau). Der Anbieter führt eine aktuelle Liste der eingesetzten Sub-Processors (insbesondere Hyperscaler-Anbieter wie AWS, Azure, Google Cloud, Hetzner) und stellt diese dem Kunden auf Anfrage zur Verfügung.

Sind US-amerikanische Sub-Processors beteiligt, erfolgt die Bekanntgabe gestützt auf das Swiss-US Data Privacy Framework (Swiss-US DPF), in Kraft seit 15.09.2024. Der Anbieter stellt sicher, dass eingesetzte US-Empfänger im DPF zertifiziert sind und auf der Liste des U.S. Department of Commerce geführt werden; der fortlaufende Zertifizierungsstatus wird überwacht.

Wesentliche Änderungen am Bearbeitungsstandort oder der Sub-Processor-Liste werden dem Kunden mit einer Vorlauffrist von 30 Tagen mitgeteilt; der Kunde kann der Änderung aus berechtigten datenschutzrechtlichen Gründen widersprechen, gegebenenfalls verbunden mit einem ausserordentlichen Kündigungsrecht.

Der Kunde ist berechtigt, die Einhaltung der vertraglichen Verpflichtungen — namentlich der Datensicherheit (TOM) und der Datenschutz-Compliance — durch geeignete Massnahmen zu kontrollieren:

(a) Dokumenten-Audit: Der Anbieter stellt dem Kunden jährlich aktuelle Zertifikate und Auditberichte über seine Sicherheits- und Datenschutz-Compliance zur Verfügung (ISO 27001:2022, SOC 2 Typ II (jährlich), ISO 27701 (Datenschutz-Management)).

(b) Vor-Ort-Audit: Bei begründetem Anlass (Datenschutzvorfall, behördliche Anordnung) kann der Kunde durch einen unabhängigen, zur Verschwiegenheit verpflichteten Prüfer eine Vor-Ort-Kontrolle durchführen, mit Vorlauffrist von mindestens 30 Tagen, während der ordentlichen Geschäftszeiten und ohne Beeinträchtigung des Geschäftsbetriebs. Die Kosten trägt der Kunde, sofern keine wesentliche Vertragsverletzung festgestellt wird.

(c) Penetration Testing: Der Kunde kann mit Vorankündigung von 60 Tagen — und nach schriftlicher Vereinbarung von Scope, Zeitfenster und Verhaltensregeln — ein Penetration Testing seiner Tenant-Umgebung durch einen qualifizierten Drittanbieter (CREST/OSCP-zertifiziert) durchführen. Findings werden vertraulich behandelt und dem Anbieter zur Mitigation gemeldet.

Bei Beendigung des Vertrags — gleich aus welchem Rechtsgrund — gewährt der Anbieter dem Kunden für die Dauer von 90 Tagen ab Vertragsende ("Exit-Phase") fortlaufenden lesenden Zugriff auf seine Daten, um eine geordnete Migration auf einen anderen Anbieter oder eine Eigenlösung zu ermöglichen.

Während der Exit-Phase stellt der Anbieter den Daten-Export in einem gängigen, strukturierten, maschinenlesbaren Format (CSV, JSON, XML, ggf. SQL-Dump) bereit und unterstützt den Kunden bei der Erstellung und Verifikation der Export-Datensätze ("Transition Assistance"). Eine darüber hinausgehende Migrations-Unterstützung erfolgt nach Aufwand zum jeweils gültigen Tagessatz des Anbieters.

Nach Ablauf der Exit-Phase löscht der Anbieter sämtliche Kundendaten — einschliesslich Backups — innert weiteren 30 Tagen unwiderruflich und bestätigt die Löschung schriftlich. Vorbehalten bleiben gesetzliche Aufbewahrungspflichten (insbesondere OR Art. 958f — 10 Jahre Geschäftsbücher); in deren Umfang werden die Daten gesperrt und ausschliesslich zu Aufbewahrungszwecken vorgehalten.

Die Software enthält oder integriert Komponenten der Künstlichen Intelligenz (KI). Der Anbieter klassifiziert die eingesetzte KI-Komponente gemäss EU AI Act (Verordnung 2024/1689) als: Limited Risk.

Der Anbieter erfüllt — soweit der EU AI Act extraterritorial anwendbar ist (Output-Verwendung im EU-Markt) — die einschlägigen Pflichten für seine KI-Risikoklasse, insbesondere:
• Transparenz gegenüber dem Kunden: Information über Funktion, Grenzen und Trainings-Datenquellen;
• Technische Dokumentation nach EU AI Act Anhang IV (bei High-Risk);
• Risikomanagement, Data Governance, menschliche Aufsicht (bei High-Risk);
• GPAI-Pflichten: Veröffentlichung der Trainings-Daten-Zusammenfassung, Einhaltung des EU-Urheberrechts (DSM-RL Art. 4 — Opt-Out-Berücksichtigung — ab 2.8.2025);
• Verbotene Praktiken nach Art. 5 EU AI Act werden nicht angewendet (anwendbar seit 2.2.2025).

Anwendbarkeitskalender EU AI Act: Inkrafttreten 1.8.2024; Prohibited Practices ab 2.2.2025; GPAI-Pflichten ab 2.8.2025; High-Risk-Pflichten ab 2.8.2026; vollständige Anwendung ab 2.8.2027. Bei Output-Verwendung des Kunden in der EU trägt der Kunde als Betreiber ("Deployer") die Compliance-Verantwortung in seinem Verantwortungsbereich (insbesondere Datenschutz, menschliche Aufsicht).

Beta- und Preview-Features: Funktionen, die als "Beta", "Preview", "Experimental" oder vergleichbar gekennzeichnet sind, werden ohne Gewährleistung und ohne SLA bereitgestellt. Der Anbieter behält sich vor, solche Funktionen jederzeit anzupassen oder einzustellen. Der Kunde nutzt Beta-Features auf eigenes Risiko.

Open-Source-Komponenten: Die Software kann Open-Source-Komponenten enthalten. Auf Anfrage stellt der Anbieter eine aktuelle Liste der eingesetzten Open-Source-Bibliotheken mit den jeweiligen Lizenzen zur Verfügung (Software Bill of Materials, SBOM).

Change Management: Wesentliche, dem Kunden zumutbare Änderungen am Funktionsumfang (Feature-Erweiterungen, UI-Anpassungen) kann der Anbieter jederzeit vornehmen; Breaking Changes mit Auswirkung auf APIs oder bestehende Integrationen werden mit einer Vorlauffrist von mindestens 60 Tagen schriftlich angekündigt und — wo möglich — durch Übergangsfristen oder Migrationsleitfäden begleitet.

Die Parteien verpflichten sich, sämtliche im Zusammenhang mit diesem Vertrag erhaltenen vertraulichen Informationen — insbesondere technische Einzelheiten, Geschäftsgeheimnisse, Preise, Kundendaten und kaufmännische Informationen — streng vertraulich zu behandeln und nicht an unbefugte Dritte weiterzugeben. Die Verpflichtung gilt während der Vertragsdauer sowie für die Dauer von fünf Jahren nach Vertragsende fort; Geschäftsgeheimnisse im Sinne von UWG Art. 6 sind unbefristet zu wahren. Die Vertraulichkeitspflicht entfällt für allgemein bekannte Informationen oder solche, die ohne Verschulden der empfangenden Partei bekannt werden.

(a) Schriftform: Änderungen, Ergänzungen und Nebenabreden zu diesem Vertrag bedürfen zu ihrer Gültigkeit der Schriftform (OR Art. 11 ff., Art. 16). Dies gilt auch für den Verzicht auf das Schriftformerfordernis selbst. Der qualifizierten elektronischen Signatur nach Bundesgesetz über die elektronische Signatur (ZertES) kommt die gleiche Wirkung wie der Eigenhandunterschrift zu (OR Art. 14 Abs. 2bis).

(b) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam oder undurchsetzbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame Regelung, die dem wirtschaftlich Gewollten am nächsten kommt.

(c) Anwendbares Recht: Dieser Vertrag untersteht ausschliesslich schweizerischem Recht unter Ausschluss der Kollisionsnormen des IPRG und unter Ausschluss des UN-Kaufrechts (CISG), soweit dieses auf Software-Lieferungen anwendbar sein sollte.

(d) Gerichtsstand: Ausschliesslicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Zürich (ZPO Art. 17). Zwingende Gerichtsstände zugunsten von Konsumenten bleiben vorbehalten.

(e) Rangfolge: Im Falle von Widersprüchen zwischen diesem Vertrag und dem separaten Auftragsbearbeitungsvertrag (AVV) gehen die Bestimmungen des AVV in datenschutzrechtlichen Fragen vor; im Übrigen gilt dieser Vertrag.

ZU URKUND DESSEN haben die Parteien diese Vereinbarung am angegebenen Datum unterzeichnet.