Anleitung

Was gehört in einen Website-Wartungsvertrag?

Ein vollständiger Wartungsvertrag besteht aus zwölf klar abgegrenzten Abschnitten. Diese Seite erklärt jeden Abschnitt: warum er wichtig ist und welche Punkte konkret hineingehören. Gedacht für Webdesigner, Agenturen und IT-Dienstleister, die Website-Wartung sauber regeln möchten — ohne Schwurbel und ohne Lücken.

Inhaltsverzeichnis

Die zwölf Abschnitte im Überblick

Jeder Abschnitt ist anklickbar. Wer einen Vertrag selbst aufsetzt, sollte alle zwölf Punkte mindestens berührt haben — auch wenn ein einzelner Punkt mit einem Satz auskommt.

  1. 01Vertragsparteien und Vertragsgegenstand
  2. 02Leistungsumfang: Technische Wartung
  3. 03Backups und Wiederherstellung
  4. 04Sicherheit
  5. 05Monitoring und Reporting
  6. 06Inhaltspflege
  7. 07Rechtliche Pflege und Compliance
  8. 08Performance und SEO
  9. 09Support, Reaktionszeiten und SLA
  10. 10Auftragsverarbeitungsvertrag (AVV / DSGVO)
  11. 11Preise, Laufzeit und Kündigung
  12. 12Haftung, Eigentum, Beendigung und Übergabe
  13. +Anhänge und Beilagen

ABSCHNITT 01

Vertragsparteien und Vertragsgegenstand

Jeder Vertrag beginnt mit der Frage, wer ihn schließt und worüber. Klingt banal — wird aber häufig schludrig formuliert und führt später zu Streit, sobald sich Eigentümer, Domain oder zuständige Person ändern.

Das gehört hinein

  • Vollständige Bezeichnung von Auftraggeber und Auftragnehmer mit Sitz, vertretungsberechtigter Person und Rechnungsadresse
  • Eindeutige Identifikation der gewarteten Website(n): Hauptdomain, Subdomains, Sprachversionen
  • Verwendetes CMS und Hosting-Umgebung
  • Beginn und Geltungsbereich der Vereinbarung
  • Kurze Zweckbeschreibung („Laufende technische Betreuung der Website")

ABSCHNITT 02

Leistungsumfang: Technische Wartung

Hier steht, welche wiederkehrenden technischen Arbeiten der Anbieter übernimmt und in welchem Rhythmus. Je konkreter dieser Abschnitt, desto weniger Diskussionen über „war das jetzt drin?".

Das gehört hinein

  • CMS-Core-Updates mit konkreter Frequenz (z. B. wöchentlich, monatlich)
  • Plugin-, Theme- oder Extension-Updates inklusive Vorab-Test auf Staging
  • PHP-, Node- oder Datenbank-Patches, soweit der Anbieter den Server verwaltet
  • Datenbankpflege: Bereinigung von Revisionen, Transients und verwaisten Einträgen
  • Cache- und CDN-Konfiguration
  • Bildoptimierung und regelmäßige Broken-Link-Prüfungen
  • Pflege einer Staging-Umgebung als Test- und Freigabe-Stufe
Tipp: Größere Versionssprünge wie PHP 8 → 9 oder ein TYPO3-LTS-Wechsel gehören in der Regel nicht in die Standardwartung. Halten Sie das ausdrücklich fest, sonst entsteht hier der teuerste Streitpunkt.

ABSCHNITT 03

Backups und Wiederherstellung

Backups sind die Lebensversicherung der Website. Ein Vertrag, der nur „Backups inbegriffen" sagt, ohne Frequenz, Aufbewahrung und Wiederherstellungszeit zu nennen, ist im Ernstfall wertlos.

Das gehört hinein

  • Frequenz: stündlich, täglich oder wöchentlich
  • Aufbewahrungsdauer: 7, 30, 90 Tage oder länger
  • Speicherort, idealerweise off-site bei einem zweiten Anbieter oder in einer anderen Region
  • Snapshot vor jedem Update-Zyklus
  • Wiederherstellungszeit (RTO) und maximaler Datenverlust (RPO) in Stunden
  • Quartalsweiser Restore-Test als Nachweis, dass die Backups tatsächlich funktionieren

ABSCHNITT 04

Sicherheit

Sicherheitsleistungen verhindern teure Notfälle und sollten klar beziffert sein. „Sicherheit inklusive" ist keine Zusage, sondern eine Floskel.

Das gehört hinein

  • Malware-Scan mit definierter Frequenz und benanntem Werkzeug
  • Malware-Bereinigung — meist mit Mengenbegrenzung (z. B. eine Bereinigung pro Quartal)
  • WAF / Firewall-Regeln (Cloudflare, Wordfence, Sucuri)
  • Schwachstellen-Scans (Patchstack, WPScan, OWASP ZAP)
  • SSL-Zertifikat erneuern und überwachen
  • Zwei-Faktor-Authentifizierung für alle Admin-Konten
  • Login-Härtung: Rate-Limit, IP-Allowlist, geänderte Admin-URL
  • Reaktion auf Sicherheitsvorfälle inklusive maximaler Reaktionszeit
Hinweis: Penetrationstests, forensische Untersuchungen oder eine vollständige Wiederherstellung nach einem Hack sind Sondereinsätze und gehören als Add-on in den Vertrag — nicht in die Standardpauschale.

ABSCHNITT 05

Monitoring und Reporting

Monitoring macht sichtbar, dass die Website tatsächlich läuft. Reporting macht sichtbar, dass der Anbieter etwas dafür tut.

Das gehört hinein

  • Uptime-Monitoring mit klar benanntem Polling-Intervall (1 oder 5 Minuten)
  • Performance-Monitoring der Core Web Vitals (LCP, CLS, INP)
  • Fehler-Monitoring (Sentry, Server-Logs)
  • SEO-Regression-Checks (Sitemap, Indexierbarkeit, Meta-Tags)
  • Monatlicher Report als PDF oder Dashboard mit den wichtigsten Kennzahlen
  • Optional: quartalsweises Strategiegespräch in höheren Tarifen

ABSCHNITT 06

Inhaltspflege

Inhaltsänderungen sind die häufigste Quelle für Streit über den Leistungsumfang. Ein klares Kontingent mit klaren Grenzen löst dieses Problem.

Das gehört hinein

  • Monatliches Stunden- oder Minutenkontingent für kleine Änderungen
  • Regel für ungenutztes Kontingent — verfällt am Monatsende oder rollt N Monate weiter
  • Stundensatz für Zusatzaufwand außerhalb des Kontingents
  • Anzahl neuer Seiten oder Beiträge, die im Paket enthalten sind
  • Bildbeschaffung und Bildbearbeitung (häufig als Add-on)
  • Übersetzungen, Newsletter und Formularpflege
  • Klare Abgrenzung zu Relaunch, neuen Funktionen und Designarbeit

ABSCHNITT 07

Rechtliche Pflege und Compliance

Rechtstexte und Compliance-Pflichten ändern sich mehrmals pro Jahr. Wer die Website wartet, wartet auch ihre rechtliche Substanz mit — andernfalls läuft sie still in Verstöße hinein.

Das gehört hinein

  • Aktualisierung des Impressums bei Änderung von Firma, Adresse oder Vertretung
  • Aktualisierung der Datenschutzerklärung bei neuen Tools, Trackern oder Auftragsverarbeitern
  • Pflege des Cookie-Banners (TCF v2.2, dokumentierter Einwilligungsspeicher, Audit-Log)
  • TTDSG-konforme Einwilligung vor jedem nicht-essenziellen Speicherzugriff
  • Barrierefreiheit nach EAA — seit 28.06.2025 für viele B2C-Websites verpflichtend (WCAG 2.1 / 2.2 AA)
  • Periodischer Cookie-Scan und Einwilligungs-Audit
Wichtig: Der Auftragsverarbeitungsvertrag (AVV) ist nahezu immer Pflicht und gehört als eigenes Dokument an den Wartungsvertrag. Siehe Abschnitt 10.

ABSCHNITT 08

Performance und SEO

Performance und Sichtbarkeit verfallen leise. Ohne regelmäßige Pflege kostet die Reparatur später ein Vielfaches.

Das gehört hinein

  • Tuning von LCP, CLS und INP nach Core-Web-Vitals-Standard
  • Lighthouse-Audits monatlich oder quartalsweise
  • Cache- und CDN-Strategie regelmäßig prüfen
  • Bild- und Asset-Optimierung (WebP/AVIF, Lazy Loading)
  • Pflege strukturierter Daten (schema.org), insbesondere für Shops
  • Indexierungs-Monitoring in Google Search Console und Bing Webmaster Tools
  • Redirect-Management bei URL-Änderungen (301/410)

ABSCHNITT 09

Support, Reaktionszeiten und SLA

Ein „schneller Support" ohne Definition führt zu unterschiedlichen Erwartungen auf beiden Seiten. Dieser Abschnitt legt fest, wie schnell der Anbieter reagiert und welche Verfügbarkeit er zusichert.

Das gehört hinein

  • Supportkanäle: E-Mail, Ticket-Portal, Slack, Telefon
  • Supportzeiten: werktags 9–18 Uhr, erweitert oder 24/7
  • Drei Prioritätsstufen mit eigener Reaktions- und Lösungszeit (siehe Tabelle)
  • Verfügbarkeitszusage: 99,5 % oder 99,9 % pro Jahr
  • Service Credits bei SLA-Verletzung — z. B. 10 / 25 / 50 % der Folgemonats-Gebühr
  • Optional: benannter Ansprechpartner („Named Contact") in höheren Tarifen

Übliche Prioritätsstufen

PrioritätDefinitionReaktionszeitLösungszeit
P1 — kritischWebsite nicht erreichbar, Bezahlung ausgefallen, Datenleck1 h (geschäftlich) / 2 h (24×7)4–8 h, beste Bemühung
P2 — hochWichtige Funktion fehlerhaft, Teilausfall, Sicherheitswarnung4 Geschäftsstunden1–2 Werktage
P3 — normalBug, Änderungswunsch, kosmetische Korrektur1–2 Werktage5 Werktage

ABSCHNITT 10

Auftragsverarbeitungsvertrag (AVV / DSGVO)

Sobald der Anbieter technisch auf personenbezogene Daten zugreifen kann — und das ist bei jedem CMS-Login und jedem Backup der Fall — ist ein AVV nach Art. 28 DSGVO Pflicht. Ohne ihn ist jeder Login formal ein Datenschutzverstoß.

Das gehört hinein

  • Gegenstand, Art, Zweck und Dauer der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Dokumentierte Weisungen des Verantwortlichen
  • Vertraulichkeitsverpflichtung der eingesetzten Mitarbeitenden
  • Liste der Sub-Auftragsverarbeiter mit Mitteilungspflicht bei Änderungen
  • Anhang technischer und organisatorischer Maßnahmen (TOM)
  • Unterstützung bei Anfragen Betroffener (Auskunft, Löschung, Übertragbarkeit)
  • Audit- und Prüfungsrecht des Auftraggebers
  • Rückgabe oder Löschung der Daten am Vertragsende
Achtung: Der AVV gehört als eigenes Dokument an den Hauptvertrag. Eine pauschale Erwähnung im Wartungsvertrag genügt nicht — die DSGVO verlangt ein eigenständiges, unterzeichnetes Dokument.

ABSCHNITT 11

Preise, Laufzeit und Kündigung

Hier wird verhandelt — und hier entstehen die meisten späten Konflikte. Klare Preis- und Kündigungsregeln verhindern stille Margenerosion und unangenehme Verlängerungen.

Das gehört hinein

  • Monatspreis und Abrechnungszyklus (monatlich, quartalsweise, jährlich)
  • Stundensatz für Zusatzaufwand (in der DACH-Region üblich: 90–180 €/h)
  • Einmalige Setup- oder Onboarding-Gebühr (häufig 250–1.500 €)
  • Mindestlaufzeit, häufig 12 oder 24 Monate
  • Kündigungsfrist (typisch 30, 60 oder 90 Tage in Schriftform; E-Mail meist akzeptiert)
  • Automatische Verlängerung — und wie sie ausgeschlossen wird
  • Preisanpassungsklausel: CPI-Indexierung oder fester Prozentsatz pro Jahr
  • Zahlungsbedingungen, Mahnwesen und Folgen bei Zahlungsverzug

ABSCHNITT 12

Haftung, Eigentum, Beendigung und Übergabe

Was passiert, wenn etwas schiefgeht — oder wenn die Zusammenarbeit endet? Diese Klauseln schützen beide Seiten und verhindern eine unschöne Off-Boarding-Phase.

Das gehört hinein

  • Haftungsobergrenze, häufig zwölf Monatsgebühren oder ein fester Betrag (z. B. 10.000–50.000 €)
  • Ausschluss indirekter Schäden und Folgeschäden
  • Force-Majeure-Klausel (DDoS, Registrar-Ausfall, Drittanbieter-Plattform-Probleme)
  • Schadenshaftung bei Update-Fehlern: meist nur bei Fahrlässigkeit; Staging-Tests als Risikoteilung
  • Geistiges Eigentum: Kunde besitzt Inhalte, individuell erstellten Code und Markenrechte; Anbieter behält interne Werkzeuge und wiederverwendbare Bibliotheken
  • Vertraulichkeit / NDA mit zwei- bis dreijähriger Nachwirkung
  • Reversibilitätsklausel: Übergabe von Codebasis, Datenbank-Dump, Medien, Zugängen und Logs in maschinenlesbarer Form ohne Zusatzgebühr
  • Datenlöschnachweis nach abgeschlossener Übergabe
  • Gerichtsstand und anwendbares Recht (meist Sitz des Anbieters; bei Verbrauchern gelten Sonderregeln)

ANHÄNGE

Diese Dokumente gehören zusammen

Ein vollständiger Wartungsvertrag besteht aus dem Hauptvertrag und mehreren Anlagen. Erst zusammen ergeben sie ein juristisch tragfähiges Paket.

  • Hauptvertrag (Master Agreement)
  • Leistungsbeschreibung mit allen ausgewählten Bausteinen
  • AVV mit TOM-Anhang
  • Liste der Sub-Auftragsverarbeiter
  • SLA-Anhang mit Prioritäten, Reaktions- und Lösungszeiten und ggf. Service Credits
  • Preisliste mit Stundensätzen für Zusatzaufwand und optionalen Modulen
Hinweis: Diese Seite ist eine strukturierte Übersicht und ersetzt keine Rechtsberatung. Lassen Sie individuelle Vertragsentwürfe — insbesondere AVV, Haftungsklauseln und Gerichtsstand — vor dem produktiven Einsatz juristisch prüfen.

Diese Struktur als fertiger Vertrag

Wartungsvertrag Website führt durch alle zwölf Abschnitte und erzeugt am Ende ein unterschriftsreifes PDF — inklusive Paket, Frequenzen, AVV und SLA.