Vorlage: Outsourcing-Vertrag (BPO / IT) Schweiz

OUTSOURCING-VERTRAG

Auslagerung Von Geschäftsprozessen / It-services Gemäss Schweizerischem Vertrags-, Arbeits- Und Datenschutzrecht

Die unterzeichnenden Parteien (nachfolgend «Auftraggeber» und «Service Provider» bzw. gemeinsam «Parteien») vereinbaren auf Grundlage der Vertragsfreiheit (OR Art. 19) und unter Beachtung von Treu und Glauben (ZGB Art. 2) die Auslagerung der nachstehend beschriebenen Geschäftsprozesse vom Auftraggeber an den Service Provider. Der Vertrag ist als Innominatvertrag konzipiert mit Elementen des Werkvertrags (OR Art. 363 ff., Erfolgs-Schuld bei Deliverables) und Auftrags (OR Art. 394 ff., Bemühensschuld bei laufenden Services). Soweit Personal übertragen wird, gelten ergänzend die zwingenden Bestimmungen über den Betriebsübergang (OR Art. 333, 333a).

Outsourcing-Bereich: IT-Infrastruktur

Beschreibung:
Vollständige Auslagerung der IT-Infrastruktur (Rechenzentrum, Server-Betrieb, Netzwerk, Workplace-Management, Service Desk) für die Helvetia Versicherungen AG Schweiz. Umfang: 4'500 Workplaces, 800 Server (physikalisch + virtuell), 12 Standorte CH, Verfügbarkeit 24x7 für kritische Versicherungs-Anwendungen (Schaden, Vertrag, Policy-Management).

Leistungs-Katalog (Service-Beschreibung):
— Rechenzentrum-Betrieb (Tier-III Standard, redundant Zürich + Bern);
— Server-Management (Patching, Backup, Monitoring 24x7);
— Netzwerk-Betrieb (WAN, LAN, VPN, Firewall);
— Workplace-Management (Hardware-Lifecycle, Software-Deployment, Endpoint-Security);
— Service Desk Level 1-3 (Multi-Channel: Phone, E-Mail, Self-Service);
— Application Hosting für 47 kritische Versicherungs-Anwendungen;
— Cyber-Security-Operations-Center (SOC) mit 24x7 Threat-Monitoring.
Der detaillierte Leistungs-Katalog wird als Anlage Service-Beschreibung beigefügt und Bestandteil dieses Vertrags. Änderungen am Leistungs-Katalog erfolgen schriftlich im Change-Request-Verfahren (Vorlage Service Provider innerhalb 10 Arbeitstagen, Genehmigung Auftraggeber).

Die Transition-Phase (Knowledge Transfer vom Auftraggeber zum Service Provider, technische Setup, Run-Book-Erstellung, Schulung Provider-Personal) dauert 6 Monate ab Vertragsschluss. Während der Transition stellt der Auftraggeber die für die Übergabe notwendigen Dokumentationen, System-Zugänge, Prozess-Beschreibungen und Schlüssel-Mitarbeitenden bereit; der Service Provider übernimmt schrittweise die Service-Verantwortung.
Der reguläre Service-Beginn ist der 1. Januar 2027 — ab diesem Datum gelten die SLA-Standards und die volle Service-Verantwortung des Service Providers. Bei nicht erfolgreicher Transition (z.B. mangelnde Knowledge-Transfer-Qualität, fehlende System-Bereitstellung) wird der Service-Beginn einvernehmlich verschoben.

Verfügbarkeit (Uptime): Der Service Provider gewährleistet eine Verfügbarkeit von mindestens 99.5 % im Monatsmittel, gemessen ausserhalb angekündigter Wartungsfenster.
Reaktionszeit (Response Time): bei kritischen Vorfällen (P1 — Service-Ausfall) reagiert der Service Provider innerhalb von 2 Stunden nach Meldung mit ersten Massnahmen.
Service-Hours: Standard 8x5 (Mo-Fr, 08:00-18:00 CET); 24x7-Erweiterung gegen separates Service-Credit-Schema vereinbar.
Bei SLA-Unterschreitung schuldet der Service Provider Service Credits auf die nächste Monatsrechnung: pro vollständigem Prozentpunkt Unterschreitung 5 % der Monatsgebühr, kumuliert maximal 30 % der Monatsgebühr. Service Credits sind die einzige finanzielle Rechtsfolge bei nicht-Vorsatz; bei Vorsatz/Grobfahrlässigkeit (OR Art. 100 Abs. 1) greifen weitergehende Schadenersatz-Ansprüche.

Die Vergütung erfolgt hybrid: Pauschalbetrag von 850'000 CHF pro Monat plus variable Komponente nach Verbrauch (Workplace (CHF 95 pro Workplace/Monat), Service-Ticket über SLA-Volumen (CHF 28 pro Ticket)). MWST 8.1 % zzgl.
Rechnungen werden monatlich am Ende des Leistungs-Monats ausgestellt und sind 30 Tage netto fällig. Bei Verzug schuldet der Auftraggeber Verzugszins von 5 % p.a. (OR Art. 104 Abs. 1) sowie allfällige Mahngebühren bis CHF 20 pro Mahnung. Bei wesentlicher Verschlechterung der Kreditwürdigkeit des Auftraggebers ist der Service Provider berechtigt, Vorauszahlung oder Bankgarantie zu verlangen.

Dieser Vertrag wird auf eine Mindestlaufzeit von 60 Monaten ab Service-Beginn geschlossen. Anschliessend verlängert er sich automatisch um jeweils 12 Monate, sofern nicht eine Partei der anderen mit einer Frist von 12 Monaten vor Ablauf schriftlich kündigt.
Aus wichtigem Grund (OR Art. 418r analog) — insbesondere schwerwiegende oder wiederholte SLA-Unterschreitung trotz schriftlicher Mahnung, nDSG-Datenschutz-Vorfall mit hohem Risiko, Insolvenz, Sub-Provider-Wechsel ohne Zustimmung — kann jede Partei jederzeit fristlos kündigen. Die Kündigung erfolgt schriftlich und enthält eine konkrete Begründung. Bei berechtigter ausserordentlicher Kündigung durch den Auftraggeber greift die Reverse-Transition-Klausel (siehe Expert).

Vertraulichkeit: Der Service Provider verpflichtet sich, sämtliche im Rahmen des Outsourcings erhaltenen Informationen — insbesondere Geschäftsgeheimnisse, Strategien, Kundendaten, technische Spezifikationen, Mitarbeiter-Daten — vertraulich zu behandeln. Die Verpflichtung gilt während der Vertragsdauer und für weitere 5 Jahre nach Vertragsende. Strafrechtliche Verantwortlichkeit nach UWG Art. 6 und StGB Art. 162 bleibt vorbehalten.

Datenschutz / nDSG-Auftragsbearbeitung: Soweit der Service Provider im Rahmen des Outsourcings Personendaten des Auftraggebers oder von dessen Kunden, Mitarbeitenden und Lieferanten bearbeitet, gilt der Service Provider als Auftragsbearbeiter im Sinne von nDSG Art. 9. Die Parteien schliessen einen separaten Auftragsbearbeitungsvertrag (AVV) als integralen Bestandteil dieses Vertrags ab; bei Fehlen oder Widersprüchen gehen die nDSG-Bestimmungen vor. Datenschutz-Verletzungen werden gegenseitig unverzüglich gemeldet; an den EDÖB nach nDSG Art. 24 bei hohem Risiko.

Im Zusammenhang mit diesem Outsourcing werden 42 Mitarbeitende vom Auftraggeber auf den Service Provider übertragen. Der Übergang erfolgt zum Service-Beginn unter Anwendung von OR Art. 333:
• Automatischer Übergang aller Rechte und Pflichten (Abs. 1) — Lohn, Sozialleistungen, Pensionskasse, Ferienanspruch, Dienstalter, Probezeit-Status etc.;
• Widerspruchs-Recht der Mitarbeitenden innerhalb 30 Tagen ab Information über den Übergang (Abs. 2) — bei Widerspruch endet das Arbeitsverhältnis nach Ablauf der gesetzlichen Kündigungsfrist (OR Art. 335c);
• Solidarhaftung Auftraggeber und Service Provider für vor dem Übergang entstandene Arbeitsverhältnis-Forderungen für 3 Jahre nach Übergang (Abs. 3);
• Konsultationspflicht OR Art. 333a (verschärft seit Reform 1.5.2024): die Arbeitnehmer-Vertretung (PV / Personalvertretung) wird mindestens 30 Tage vor dem geplanten Übergang konsultiert; die Stellungnahme wird vor der Entscheidung berücksichtigt.
Bei Verletzung der Konsultationspflicht drohen Schadenersatz-Klagen der Mitarbeitenden sowie Sanktionen des SECO/kantonalen Arbeitsamts (BGE 145 III 446). Lohn- und Arbeitsbedingungen werden für mindestens 12 Monate nach Übergang nicht zum Nachteil der Mitarbeitenden verändert (Best Practice; bei GAV-Bezug zwingend).

Step-In Rights des Auftraggebers: Bei wesentlichen Service-Ausfällen, wiederholter SLA-Unterschreitung trotz Mahnung, Insolvenz des Service Providers oder folgenden zusätzlichen Triggern: Datenschutz-Vorfall mit hohem Risiko (≥ 1'000 betroffene Personen),, Wiederholte SLA-Unterschreitung auf P1-Incidents (3x in 30 Tagen),, Sub-Provider-Wechsel ohne vorgängige Genehmigung,, Compliance-Sanktion seitens FINMA / EDÖB / OFAC ist der Auftraggeber berechtigt, die Service-Erbringung mit sofortiger Wirkung direkt zu übernehmen oder einem Sub-Provider zu übertragen. Cost-Reimbursement zugunsten des Auftraggebers: angemessene Übergabe-Kosten plus die durch den Service Provider verursachten Mehrkosten beim Sub-Provider; gegen-Verrechnung der Service Provider Vergütung.

Reverse Transition bei Vertragsende: Bei ordentlicher Kündigung oder bei berechtigter ausserordentlicher Kündigung verpflichtet sich der Service Provider zu einer Reverse-Transition-Phase von 12 Monaten, in der er den Service entweder an den Auftraggeber zurückgibt oder an einen Nachfolge-Provider übergibt. Reverse-Transition-Leistungen:
• Vollständiger Knowledge Transfer (aktualisierte Run-Books, Prozess-Dokumentationen, Schulung Auftraggeber-/Nachfolger-Personal);
• Source-Code, Konfigurationen, Customizings, Skripte, Daten in maschinen-lesbarem Format (CSV/JSON/SQL);
• Kontakt-Daten von Sub-Providern, Lieferanten, externen Partnern;
• Cooperation bei Personal-Rückübertragung (analog OR Art. 333) — falls Auftraggeber dies wünscht;
• Endgültige Daten-Löschung beim Service Provider mit Löschungs-Bestätigung.
Vergütung der Reverse-Transition-Leistungen gemäss vereinbarter Pauschale (typisch ein Monatsgehalt der bestehenden Service-Vergütung pro Reverse-Transition-Monat) oder Stundensatz.

Benchmarking-Klausel: Einmal jährlich (frühestens nach 12 Monaten Service-Beginn) hat der Auftraggeber das Recht, einen externen Benchmark der Service-Preise und der Service-Qualität durch ein anerkanntes Benchmarking-Institut (Gartner, ISG, Cognizant Benchmarking, KPMG) durchführen zu lassen. Bei einer Marktabweichung von mehr als 10 % (zu Lasten Auftraggeber) verpflichtet sich der Service Provider zu Verhandlungen über die Anpassung der Vergütung an Marktbedingungen. Erfolgt innerhalb 60 Tagen keine Einigung, hat der Auftraggeber ein ausserordentliches Kündigungsrecht mit 6-Monats-Frist.

Audit-Recht des Auftraggebers: Einmal jährlich (sowie ausserordentlich bei begründetem Anlass — Datenschutz-Vorfall, wesentliche SLA-Unterschreitung) hat der Auftraggeber das Recht, mit 30 Tagen Vorankündigung den Service Provider zu auditieren. Audit-Umfang: Service-Erbringung, IT-Sicherheit, Datenschutz, Compliance, Sub-Provider-Management. Akzeptierte Zertifikate: ISO 27001, ISO 27017, ISO 27018, SOC 2 Typ II, ISAE 3402, FINMA-Outsourcing-Compliance — gültige Zertifikate ersetzen das Vor-Ort-Audit. Audit-Kosten trägt der Auftraggeber; bei festgestellten wesentlichen Verfehlungen Service Provider.

Sub-Provider mit Genehmigung: Der Service Provider darf Sub-Provider beauftragen, jedoch nur mit vorgängiger schriftlicher Genehmigung des Auftraggebers. Die Genehmigung gilt als erteilt, wenn der Auftraggeber innerhalb 14 Tagen nicht widerspricht. Service Provider haftet für Sub-Provider wie für eigene Erfüllungs-Gehilfen (OR Art. 101).

nDSG-AVV erweitert + Hosting-Lokalisierung: Die im Auftragsbearbeitungsvertrag detaillierten Pflichten umfassen Vertraulichkeit, technische und organisatorische Massnahmen (TOM nach nDSG Art. 7-8), Sub-Auftragsbearbeiter-Regelung, Auskunfts- und Löschungs-Unterstützung, Breach-Notification (an Verantwortlichen innerhalb 24h, an EDÖB nach nDSG Art. 24 wenn hohes Risiko).
Hosting-Region: Die Personendaten werden in der Schweiz und/oder EU/EWR (Anhang 1 DSV als adäquates Datenschutzniveau) verarbeitet. Bei Änderung der Hosting-Region ist die vorherige schriftliche Zustimmung des Auftraggebers erforderlich.

KI / AI-Komponenten — EU AI Act 2024/1689 Compliance: Soweit der Service Provider KI-Komponenten (KI-basierte Customer Service Bots, Predictive Analytics, Personal-Entscheidungs-Tools, automatisierte Compliance-Prüfungen) im Outsourcing einsetzt, gilt:
• Compliance mit EU AI Act 2024/1689 — Prohibited Practices ab 2.2.2025, GPAI-Modell-Pflichten ab 2.8.2025, High-Risk-AI-Systems ab 2.8.2026;
• Personal-Entscheidungen (Rekrutierung, Performance, Promotion) sind nach Annex III EU AI Act High-Risk-AI-Systeme — Service Provider verpflichtet sich zur vollständigen High-Risk-Compliance: Risiko-Management, Datenqualität, Logging, Human Oversight, technische Dokumentation, Konformitäts-Bewertung;
• Folgende KI-Komponenten qualifizieren als High-Risk-AI-Systeme nach Annex III EU AI Act:
— Automatisierte Erstklassifikation von Schaden-Meldungen (Anwendung Annex III Punkt 5(c) — Kreditwürdigkeitsbewertung analog Versicherungs-Risiko);
— KI-basierter Anti-Fraud-Sensor zur Schaden-Plausibilisierung;
— Genaue Klassifikation High-Risk vorbehalten der gemeinsamen Beurteilung vor Go-Live.
• CH-Brücke: bei reiner CH-Verwendung gelten die nDSG-Bestimmungen über automatisierte Einzelentscheidungen (nDSG Art. 21) — Betroffene können menschliche Überprüfung verlangen.

Compliance-Programm: Der Service Provider unterhält ein dokumentiertes Compliance-Programm umfassend Anti-Korruption (StGB Art. 322septies — Bestechung fremder Amtsträger; StGB Art. 102 Abs. 2 Strafbarkeit des Unternehmens), Trade Sanctions (Schweizer EmbG SR 946.231, EU-Sanktionen, OFAC), Geldwäscherei-Prävention (GwG SR 955.0), Datenschutz (nDSG) sowie — bei kritischer Infrastruktur — Cyber-Resilience (EU NIS2 indirekt via EU-Markt-Bezug). Compliance-Reporting jährlich an Auftraggeber; bei wesentlichen Compliance-Vorfällen unverzüglich.

Haftung Service Provider: Die Haftung des Service Providers für direkte Schäden ist je Vertragsjahr auf das Dreifache der jährlichen Service-Vergütung begrenzt, mindestens jedoch CHF 1'000'000. Die Haftung für indirekte Schäden, Folgeschäden, entgangenen Gewinn, Reputations-Schäden und Datenverlust ist ausgeschlossen — vorbehältlich der zwingenden Haftung für Vorsatz und grobe Fahrlässigkeit (OR Art. 100 Abs. 1) sowie für Personenschäden. Bei nDSG-Datenschutz-Vorfällen mit Bussgeld-Risiko gilt eine erweiterte Haftungs-Cap von CHF 5'000'000.
Höhere Gewalt: Naturkatastrophen, Pandemien, Krieg, behördliche Anordnungen, Cyberangriffe auf Dritt-Infrastruktur (z.B. Provider-Rechenzentrum bei Hyperscaler-Ausfall), anhaltende Lieferengpässe bei Vorlieferanten — soweit unvorhersehbar und unabwendbar — befreien die betroffene Partei für die Dauer der Behinderung. Ab 90 Tagen Behinderung steht jeder Partei ausserordentliches Kündigungsrecht zu.
Versicherung: Der Service Provider unterhält angemessene Berufshaftpflicht- und Cyber-Risk-Versicherungen mit Deckungssummen von mindestens CHF 5'000'000 je Schadensfall. Versicherungs-Bestätigung wird dem Auftraggeber auf Anfrage vorgelegt.

(a) Anwendbares Recht: Dieser Vertrag untersteht ausschliesslich schweizerischem Recht, unter Ausschluss der Kollisionsnormen des IPRG und des UN-Kaufrechts (CISG).
(b) Gerichtsstand: Ausschliesslicher Gerichtsstand ist Zürich (ZPO Art. 17). Bei Streitigkeiten ab CHF 500'000 wird einvernehmlich ein Schiedsgericht nach SCAI Rules (Sitz am Gerichtsstand, Sprache Deutsch) bevorzugt.
(c) Schriftform und Salvatorische Klausel: Änderungen bedürfen der Schriftform (OR Art. 11 ff.); qualifizierte elektronische Signatur ZertES gleichwertig (OR Art. 14 Abs. 2bis). Sollten einzelne Bestimmungen ungültig sein, bleiben die übrigen wirksam.
(d) Anlagen: Folgende Anlagen sind Bestandteil dieses Vertrags: (1) Service-Beschreibung, (2) Auftragsbearbeitungsvertrag (AVV), (3) ggf. Personal-Übergangs-Anhang OR 333, (4) ggf. Sub-Provider-Liste, (5) SLA-Detail-Schema.
(e) Ausfertigung: Dieser Vertrag wird in zwei gleichlautenden Ausfertigungen erstellt; jede Partei erhält ein unterzeichnetes Exemplar.

ZU URKUND DESSEN haben die Parteien diese Vereinbarung am angegebenen Datum unterzeichnet.