AGB IKT‑Leistungen 2025: Was merken IT‑Dienstleister sofort?

Wer IT-Leistungen für die öffentliche Hand in der Schweiz erbringt, kommt an den AGB IKT-Leistungen nicht vorbei. Sie gelten für Beratung, Projektarbeit, Softwarelizenzen, Entwicklung, Betrieb sowie Wartung und Support. Am 17. März 2025 sind die neuen AGB 2025 in Kraft getreten. Die frühere Fassung, bekannt als AGB SIK, wurde umfassend überarbeitet. Damit verändern sich die Rahmenbedingungen für künftige IT-Verträge mit der öffentlichen Hand in wesentlichen Punkten.

In diesem Beitrag zeigen wir, was sich geändert hat, worauf man als Dienstleister achten sollte und wie man sich gut auf Ausschreibungen und Projektverträge mit öffentlichen Auftraggebern vorbereitet.

Einheitliche Regeln – wozu eigentlich?

Die AGB IKT-Leistungen der Digitalen Verwaltung Schweiz dienen als vertragliche Grundlage für IT- und IKT-Projekte und IKT- Services im öffentlichen Sektor. Sie schaffen Klarheit in der Zusammenarbeit zwischen Behörden (Leistungsbezügern) und IT-Dienstleistern, indem sie Themen wie Haftung, Datenschutz, Leistungsänderungen oder Vergütung einheitlich regeln.

Gerade bei öffentlichen Ausschreibungen bieten die AGB den Vorteil, dass Angebote besser vergleichbar werden. Die rechtlichen Spielregeln sind von Anfang an klar. Für IT-Dienstleister bedeuten sie aber auch: wenig Verhandlungsspielraum und hohe Anforderungen an Professionalität, Dokumentation und Datenschutz.

Was ist neu in der Version 2025?

Die Teilrevision bringt zahlreiche kleinere und grössere Änderungen. Viele davon sind redaktioneller oder systematischer Natur. Doch es gibt auch inhaltliche Anpassungen, die direkte Auswirkungen auf die Praxis haben. Insbesondere in den folgenden Bereichen:

Subunternehmen nur noch mit schriftlicher Genehmigung

Eine der deutlichsten Änderungen betrifft den Einsatz von Subunternehmen (Ziff. 9.1.). Neu darf ein IT-Dienstleister Subunternehmen nur noch beiziehen, wenn die Verwaltung dies vorgängig schriftlich genehmigt hat. Diese Zustimmung kann verweigert werden. Insbesondere, wenn Datenschutz- oder Sicherheitsbedenken bestehen. Zudem müssen Subunternehmen vertraglich dazu verpflichtet werden, alle relevanten Datenschutz- und Sicherheitsanforderungen ebenfalls einzuhalten. Für Dienstleister bedeutet das: Der Einsatz von Partnerfirmen muss frühzeitig geplant, offengelegt und vertraglich sauber geregelt werden. Spontane oder nachträgliche Auslagerungen sind künftig kaum mehr möglich.

Datenschutz: Strengere Regeln für Auslandbearbeitungen

Die neue Version der AGB trägt dem revidierten Datenschutzgesetz Rechnung. Besonders deutlich zeigt sich das beim Thema Datenbearbeitung im Ausland. Die Bearbeitung von Personendaten ausserhalb der Schweiz oder eines Landes mit anerkanntem Datenschutzniveau ist nur noch zulässig, wenn dies ausdrücklich schriftlich vereinbart wurde und wenn entsprechende Schutzmassnahmen durch den Dienstleister getroffen werden.

Praktisch bedeutet das: Dienstleister müssen ihre Datenflüsse genau kennen und offenlegen. Wer Cloud-Dienste oder externe Rechenzentren nutzt, muss im Vorfeld klären, wo die Daten liegen und sicherstellen, dass die vertraglichen und technischen Anforderungen erfüllt sind. Werden KI-Dienste im Service eingebunden, muss dem IT-Dienstleister klar sein, wie die Datenbearbeitung beim Inference- oder Plattformanbieter erfolgt und wie die KI-Anfragen genau funktionieren. Er muss sich entsprechend dokumentieren lassen.

Meldepflicht bei Sicherheitsvorfällen

Die Pflicht zur Meldung von Sicherheitsvorfällen ist nicht neu, sondern wurde im Wesentlichen aus den SIK-AGB 2020 (Ziff. 13.8) übernommen. Neu ist aber, dass die Diskussion im Zuge der Revision gezeigt hat: weitergehende Regelungen,etwa die vom BBL vorgeschlagenen Musterklauseln zu Cyberangriffen, wurden auf AGB-Stufe bewusst nicht übernommen. Der Grund: Solche Klauseln sind eher für Einzelverträge geeignet, wo sie fallbasiert und mit konkreten Sicherheitsanforderungen ausgestaltet werden können.

Für IT-Dienstleister bedeutet das: Die AGB setzen einen Mindeststandard, verlangen aber dennoch unverzügliche Meldung und Sofortmassnahmen bei jedem Vorfall oder schon Verdacht. Wer an Ausschreibungen teilnimmt, sollte sich bewusst sein, dass zusätzliche Anforderungen regelmässig auf Stufe Einzel- oder Abrufvertrag hinzukommen können. Entscheidend ist, dass ein Incident-Management vorhanden ist, das schnelle Reaktion, Dokumentation und Zusammenarbeit mit der Verwaltung sicherstellt.

Prüfrechte der Verwaltung: Transparenz wird Pflicht

Neu erhalten öffentliche Auftraggeber deutlich erweiterte Kontrollrechte (Ziff. 17). Sie dürfen Audits durchführen, Systeme prüfen und Einblick in Dokumentationen verlangen. Stellt die Behörde dabei Mängel oder Vertragsverletzungen fest, muss der Dienstleister diese auf eigene Kosten beheben. Auch die Prüfkosten können in diesem Fall dem Dienstleister auferlegt werden. Wer gut dokumentiert arbeitet und strukturierte Projektabläufe vorweisen kann, hat hier wenig zu befürchten. Für andere kann es jedoch teuer werden, insbesondere, wenn Unterlagen fehlen oder Sicherheitsvorgaben nicht eingehalten wurden. Aus der Praxis wissen wir, dass vor allem das Patch Management ein wiederkehrendes Sorgenkind ist und die Ressourcen oftmals nicht ausreichen, um die Patches zeitnah auszuspielen. Hier hilft ein klarer Prozess und eine Weisung für die Einstufung, Priorisierung und Zuweisung der Patches sowie Fristen und Zielvorgaben für die verantwortlichen Mitarbeitenden.

Preisänderungen nur bei vertraglicher Vereinbarung

Ebenfalls neu geregelt ist die Möglichkeit zur Preisanpassung. Während früher ein gewisser Interpretationsspielraum bestand, gilt jetzt: Anpassungen der Vergütung während der Vertragslaufzeit sind nur zulässig, wenn dies ausdrücklich vertraglich vorgesehen ist, zum Beispiel durch eine Indexklausel.

Für IT-Dienstleister bedeutet das: Wer keine entsprechende Regel im Vertrag vorsieht, muss mit den ursprünglich vereinbarten Preisen auskommen – selbst bei steigenden Kosten oder geänderten Rahmenbedingungen. Besonders relevant ist diese Thematik bei der Ausschreibung von langjährigen Verträgen, bei denen die Gewichtung des Preises in den Zuschlagskriterien hoch ist. Wer zu tiefen Preisen anbieten möchte, muss sein Angebot mit Berücksichtigung von tendenziell steigenden Lohn- und Lizenz- oder Cloudkosten kalkulieren. Zudem erhöhen sich mit der Einbindung von mehr Funktionalität und KI in Software nicht nur die Lizenz- sondern auch die Wartungskosten. Bei der Schnürung des Angebots sollte man daher seine Drittabhängigkeiten und insbesondere die Preisanpassungsklauseln seiner Subunternehmer und Lieferanten kennen.

Anforderungen an Personal: Fachlich UND persönlich geeignet

Ein weiteres Thema, das in der Praxis oft unterschätzt wird: die Anforderungen an das eingesetzte Personal. Neu muss nicht nur die fachliche Qualifikation stimmen, auch die persönliche Eignung (z. B. Sozialverhalten, Integrität) wird in den AGB genannt.

Nebenbeschäftigungen, die die Leistungserbringung beeinträchtigen könnten, müssen der Verwaltung gemeldet und von dieser genehmigt werden. Zudem ist der IT-Dienstleister verpflichtet, sein Personal laufend zu überwachen und bei Bedarf auszutauschen.

Was heisst das für IT-Dienstleister?

Die neuen AGB erhöhen den Standard, den öffentliche Auftraggeber an ihre IT-Partner stellen. Dies gilt vor allem in Bezug auf Transparenz, Sicherheit und vertragliche Disziplin. Für Unternehmen bedeutet das:

• Mehr Planungsaufwand: Subunternehmen, Personal und Datenschutzfragen müssen früher und präziser geklärt werden.
• Mehr Dokumentation: Wer keinen klaren Überblick über Leistungen, Prozesse und Datenflüsse hat, riskiert Probleme bei Audits.
• Weniger Spielraum bei Preisen: Ohne Indexklauseln oder klare Preisanpassungsregeln bleibt man schnell auf steigenden Kosten sitzen.
• Mehr Verantwortung beim Personal: Auswahl, Kontrolle und Kommunikation müssen professionell organisiert sein.

Aber: Wer diese Vorgaben erfüllt, kann sich auch positiv abheben. Behörden schätzen IT-Dienstleister, die strukturiert, verlässlich und regelkonform arbeiten. Wer die neuen AGB kennt und proaktiv umsetzt, verschafft sich damit einen klaren Wettbewerbsvorteil.

Praxistipps:

Grundsatzüberlegung zur Prüfung (nebst den bekannten Hilfsmitteln und IKT-Vertragsvorlagen) erachten wir folgende Praxistipps als hilfreich:

• Subunternehmer
  • Subunternehmerliste aktuell halten
  • Frühzeitig Genehmigungen der Verwaltung einholen
  • Datenschutz- und Sicherheitsanforderungen vertraglich absichern
• Datenschutz & Informationssicherheit
  • Datenflüsse und Speicherorte dokumentieren (inkl. Cloud, KI-Dienste, Rechenzentren)
  • Zugriffsregelungen und Schutzmassnahmen nachweisbar festhalten
  • Meldeprozesse für Sicherheitsvorfälle (Ziff. 16.5) einrichten
  • Incident-Management etablieren: Sofortmassnahmen, Dokumentation, Kommunikation
• Audits & Prüfrechte
  • Prozesse für Audits schaffen (inkl. vollständige Dokumentation von Leistungen und Sicherheitsmassnahmen)
  • Patch-Management mit klaren Priorisierungs- und Fristenregelungen organisieren
  • Nachweise und interne Weisungen regelmässig überprüfen
• Vertragliche Regelungen
  • Indexklauseln oder Preisanpassungsklauseln in Angebote und Verträge aufnehmen
  • Abhängigkeiten von Subunternehmern und Lieferanten vertraglich prüfen
  • Regelungen zu Personalwechseln und Nebenbeschäftigungen klar festlegen
• Personalmanagement
  • Fachliche Qualifikationen regelmässig überprüfen
  • Persönliche Eignung (Integrität, Sozialverhalten) sicherstellen
  • Nebenbeschäftigungen kontrollieren und Genehmigungen einholen
  • Austauschprozesse bei ungeeignetem Personal vorbereiten
• Projektorganisation
  • Klare Abläufe und Verantwortlichkeiten definieren
  • Lückenlose Dokumentation von Leistungen und Prozessen sicherstellen
  • Ressourcenplanung für langfristige Verträge (Kostensteigerungen, Wartung, KI-Einbindung) realistisch kalkulieren