Softwareentwicklungsvertrag-Check

Softwareentwicklungsvertrag prüfen: Scope, Rechte, Abnahme, Code und Exit strukturiert einordnen

Dieser interaktive Check unterstützt Unternehmen, Agenturen, SaaS-Anbieter, Entwickler, Einkauf, Legal und IT dabei, zentrale Risiken in Softwareentwicklungsverträgen früh zu erkennen: Leistungsbeschreibung, agile Änderungen, Abnahme, Vergütung, Nutzungsrechte, Quellcode, Open Source, Datenschutz, Security, Haftung und Anbieterwechsel.

IT-Verträge Software & SaaS IP-Rechte OSS/SBOM DSGVO & AVV CRA/NIS2-Schnittstellen

Wofür dieser Check gedacht ist

Softwareprojekte scheitern selten nur an Code. Häufig entstehen Risiken durch unklare Anforderungen, fehlende Abnahmekriterien, nicht geregelte Change Requests, unvollständige Rechteketten, ungeklärte Open-Source-Komponenten, Datenschutzlücken, Sicherheitsanforderungen oder fehlende Exit-Regeln. Der Check liefert eine erste Orientierung, ersetzt aber keine Prüfung des konkreten Vertrags, Angebots, SOW, Pflichtenhefts oder Projektverlaufs.

Projekt- und Vertragslogik

Der belastbare Softwareentwicklungsvertrag als Lieferkette

Ein belastbarer Vertrag verbindet fachlichen Scope, technische Umsetzung, Rechte, Compliance, Abnahme und Exit. Die Grafik zeigt die typischen Prüfebenen, die im Projekt zusammenpassen müssen.

Orientierung

So hilft der Check bei der ersten Einordnung

Projektrolle klären

Auftraggeber, Entwickler, SaaS-Anbieter, Freelancer, Einkauf oder Eskalationsfall haben unterschiedliche Vertragsrisiken und Verhandlungsziele.

Vertragsmodell einordnen

Festpreis, Werkvertrag, agile Entwicklung, Time & Material, Wartung, Support oder Exit benötigen unterschiedliche Regeln.

Risikofelder markieren

Scope, Abnahme, Change Requests, Rechte, Quellcode, Open Source, Datenschutz, Security und Haftung werden strukturiert abgefragt.

Priorität bestimmen

Der Check unterscheidet präventive Prüfung, erhöhten Vertragsbedarf und akute Eskalationslagen mit Frist- oder Streitbezug.

Unterlagen vorbereiten

Das Ergebnis nennt typische Dokumente, die für eine anwaltliche Prüfung sinnvoll sind.

Einordnung

Was dieser Softwareentwicklungsvertrag-Check leistet

Der Check bewertet keine Vertragsklausel abschließend. Er macht typische Risikosignale sichtbar und hilft, die nächsten Prüfschwerpunkte für einen Softwareentwicklungsvertrag, ein Angebot, ein Statement of Work, ein Pflichtenheft, ein agiles Projekt, eine Wartungsvereinbarung oder eine Eskalation vorzubereiten.

Wann ist ein Softwareentwicklungsvertrag besonders prüfungsbedürftig?

Besonders prüfungsbedürftig ist ein Vertrag, wenn Scope, Mitwirkung, Abnahme, Vergütung, Change Requests, Nutzungsrechte, Quellcode, Open Source, Datenschutz, Security, Haftung oder Exit nicht konkret geregelt sind. Kritisch wird es, wenn zusätzlich eine Unterschrift, ein Go-live, eine Kundenabnahme, ein Zahlungsstreit oder eine Kündigung bevorsteht.

Welche regulatorischen Schnittstellen können eine Rolle spielen?

Je nach Softwareprojekt können DSGVO und AVV, TDDDG, Data Act, AI Act, NIS2/BSIG, Cyber Resilience Act, Produkthaftung, Open-Source-Compliance, Geschäftsgeheimnisschutz und bei B2C-Modellen zusätzlich Verbraucherrecht relevant werden. Ob diese Pflichten tatsächlich greifen, hängt vom konkreten Geschäftsmodell und Einsatzkontext ab.

Warum sind Nutzungsrechte und Quellcode so wichtig?

Ohne klare Regelung kann unklar bleiben, ob der Auftraggeber die Software dauerhaft nutzen, bearbeiten, weiterentwickeln, übertragen, sublicenzieren oder mit einem anderen Anbieter fortführen darf. Ebenso sollten Repository-Zugriff, Dokumentation, Build-Skripte, Deployment, Admin-Zugänge und Herausgabe im Exit geregelt sein.

Wo liegen die Grenzen dieses Checks?

Der Check ist eine erste Orientierung. Er ersetzt keine Prüfung des konkreten Vertrags, der Projektkommunikation, der technischen Architektur, der Rechtekette, der Datenschutzunterlagen, der Leistungsbeschreibung oder der Beweislage im Streitfall.

Interaktiver Check

Softwareentwicklungsvertrag jetzt einordnen

Beantworten Sie die folgenden Fragen. Am Ende erhalten Sie eine vorläufige Risikoeinstufung, typische Gründe, empfohlene Prüfpunkte und eine kopierbare Zusammenfassung für Ihre Anfrage.

1 von 5 Schritten

1. Welche Rolle haben Sie im Softwareprojekt? Auftraggeber / KundeSie lassen Software, App, Website, Plattform, Schnittstelle oder ein digitales Produkt entwickeln. Entwickler, Agentur oder IT-DienstleisterSie entwickeln, implementieren, integrieren, betreuen oder hosten Software für Kunden. SaaS- oder ProduktanbieterSie entwickeln ein eigenes Softwareprodukt oder eine SaaS-Plattform und arbeiten mit externen Entwicklern. Freelancer / externer EntwicklerSie wirken als Einzelperson oder kleines Team an Code, Architektur, UI, Backend, DevOps oder Testing mit. Einkauf, Legal, IT oder Vendor ManagementSie prüfen Vertrag, Angebot, SOW, Pflichtenheft, Lieferantenangebot oder Projektstruktur. Projektstreit / EskalationEs gibt Streit über Leistung, Rechte, Bugs, Verzug, Zahlung, Kündigung, Quellcode oder Abnahme.

2. In welcher Projektphase oder Vertragsstruktur befinden Sie sich? Planung, Angebot oder VertragsentwurfScope, Budget, Zeitplan, Rollen, Pflichtenheft oder Vertrag werden gerade erstellt. Festpreis, Meilensteine oder werkvertragliches ProjektEin bestimmtes Ergebnis soll zu Preis, Termin und Leistungsumfang geliefert werden. Agiles Projekt / Scrum / Time & MaterialBacklog, Sprints, laufende Priorisierung, Tickets, Retainer oder Abrechnung nach Aufwand stehen im Vordergrund. Laufende Entwicklung oder ImplementierungDas Projekt läuft bereits; Anforderungen, Tickets, Releases oder Meilensteine verändern sich. Wartung, Support, Hosting oder BetriebEs geht um SLA, Updates, Bugfixes, Security, Support, Monitoring oder Weiterentwicklung. Übergabe, Kündigung, Exit oder AnbieterwechselQuellcode, Dokumentation, Daten, Accounts, Deployments oder Wissen sollen übergeben werden. Mängel, Verzug, Zahlung oder Abnahme streitigProjektverzug, Bugs, verweigerte Abnahme, offene Rechnungen oder Kündigung stehen im Raum.

3. Welche Vertragsbausteine sind kritisch oder unklar?

Bitte markieren Sie alles, was zutrifft.

Leistungsbeschreibung, Scope oder Pflichtenheft unklarAnforderungen, User Stories, Akzeptanzkriterien, Deliverables oder Nicht-Leistungen sind nicht sauber abgegrenzt. Abnahme, Tests oder Mängelprozess unklarEs fehlen Testverfahren, Abnahmekriterien, Mängelklassen, Fristen oder Abnahmefiktion. Change Requests oder agile Änderungen ungeregeltNeue Anforderungen, Backlog-Änderungen, Mehraufwand, Priorisierung oder Scope Creep sind nicht geregelt. Mitwirkungspflichten des Auftraggebers fehlenFeedback, Zugänge, Testdaten, Freigaben, Product Owner, Ansprechpartner oder Inhalte sind nicht klar geregelt. Vergütung, Meilensteine oder Zahlungsplan unklarFestpreis, Aufwand, Retainer, Abschläge, Budgetdeckel, Lizenzkosten, Reisekosten oder Zurückbehaltung sind offen. Support, Wartung, SLA oder Betrieb unklarReaktionszeiten, Verfügbarkeit, Security Updates, Bugfixes, Hosting, Monitoring oder Betriebsverantwortung sind offen. Haftung, Vertragsstrafe oder Freistellung unklarHaftungscaps, IP-Freistellung, Datenschutz-/Security-Verstöße, Verzug, Vertragsstrafe oder Folgeschäden sind nicht geregelt. Kündigung, Exit oder Projektabbruch unklarAbbruch, Kündigung aus wichtigem Grund, Vergütung bei Kündigung, Übergabe, Datenexport oder Herausgabe sind offen. Keine bekannten VertragslückenDie Vertragsstruktur wirkt vorhanden, soll aber fachlich geprüft werden.

4. Welche Rechte-, Technik- oder Compliance-Themen gibt es?

Bitte markieren Sie alles, was relevant ist.

Nutzungsrechte am Code oder Ergebnis unklarAusschließlich oder einfach, zeitlich, räumlich, inhaltlich, übertragbar, sublicenzierbar, bearbeitbar oder quellcodebezogen. Quellcode, Repository oder Dokumentation unklarGit-Zugriff, Dokumentation, Build-Skripte, Deployment, Admin-Accounts, Übergabe oder Escrow sind nicht geregelt. Open Source, Drittbibliotheken oder SBOM relevantOSS-Lizenzen, Copyleft, Notice Files, Third-Party-Komponenten, Container, SDKs, CVEs oder SBOM. KI-generierter Code oder KI-Tools im ProjektCode-Assistenten, ChatGPT, Copilot, KI-Assets, Trainingsdaten, Prompt-Daten oder Output-Risiken sind relevant. Personenbezogene Daten oder AVV/DPATestdaten, Produktivdaten, Nutzerkonten, Logs, Supportzugriffe, Hosting oder Auftragsverarbeitung spielen eine Rolle. Security, CRA, NIS2 oder Produkt-ComplianceSecure Coding, PenTest, Schwachstellen, Security Updates, CRA, NIS2, ISO, SOC 2 oder regulierte Kunden sind relevant. Drittanbieter, APIs, Cloud oder Data-Act-SchnittstellenPayment, Maps, AI API, App Store, Cloud, Datenbank, CDN, Auth, Marketplace, externe Lizenzen oder Vendor Lock-in. Geschäftsgeheimnisse, Kundendaten oder Know-howQuellcode, Roadmap, Kundendaten, Geschäftsmodell, interne Informationen oder vertrauliche Dokumente. Keine besonderen Rechte-/Tech-Themen bekanntEs geht vor allem um die allgemeine Vertragsprüfung.

5. Gibt es konkreten Handlungsdruck?

Bitte markieren Sie alles, was zutrifft.

Vertrag soll kurzfristig unterschrieben werdenRahmenvertrag, SOW, Angebot, NDA, AVV, SLA oder Projektvertrag steht vor Abschluss. Go-live, Launch oder Kundenabnahme steht bevorRelease, App-Store-Launch, Produktivsetzung, Migration oder öffentlicher Rollout ist terminiert. Projektverzug oder TerminproblemeMeilensteine, Deadlines, Abhängigkeiten, Freigaben oder Kundenzusagen werden nicht eingehalten. Bugs, Mängel oder AbnahmeverweigerungStreit über Fehler, Qualität, Tests, Abnahme, Nachbesserung oder Produktivfähigkeit. Zahlungsstreit, Zurückbehaltung oder BudgetüberschreitungOffene Rechnungen, Mehrvergütung, Mehraufwand, Scope Creep, Abschläge oder Kündigungsabrechnung. Kündigung, Anbieterwechsel oder Quellcode-HerausgabeProjektabbruch, Exit, Repository, Dokumentation, Accounts, Daten, Deployment oder Übergabe sind streitig. Kunde, Investor, Auditor oder Versicherung verlangt NachweiseDue Diligence, Security Questionnaire, Vendor Assessment, OSS/SBOM, IP-Kette oder Vertragsnachweise. Präventive PrüfungKein akuter Streit, aber Vertrag, Template oder Projektstruktur sollen sauber aufgesetzt werden.

Fristen, Risiken, Nachweise

Typische Schnittstellen bei Softwareentwicklungsverträgen

Je nach Projekt können neben Vertragsrecht auch Datenschutz, Cybersecurity, Open Source, KI, Data Act, Produkthaftung und Verbraucherrecht relevant werden. Die folgende Matrix ist eine erste Orientierung.

Thema	Typisches Risiko	Prüfpunkt	Zeit-/Fristhinweis
Scope & Abnahme	Streit über Fertigstellung, Mängel, Zahlung oder Nachbesserung	Leistungsbeschreibung, Akzeptanzkriterien, Testverfahren, Mängelklassen, Abnahmefiktion	Projekt- und vertragsspezifisch; Fristen vor Kommunikation, Abnahmeverweigerung oder Kündigung prüfen
Nutzungsrechte & Quellcode	Software kann nicht wie geplant genutzt, bearbeitet, übertragen oder fortgeführt werden	Rechteumfang, Bearbeitung, Unterlizenzierung, Übertragbarkeit, Repository, Dokumentation, Build und Deployment	Vor Vertragsschluss, spätestens vor Übergabe, Investorprüfung, Anbieterwechsel oder Go-live prüfen
Open Source & SBOM	Copyleft-, Lizenz-, Notice-, Security- und Kundenvertragsrisiken	Komponenteninventar, Lizenzprüfung, Notice Files, CVE-Monitoring, SBOM pro Release	Releasebezogen; bei Produkten mit digitalen Elementen CRA-Readiness zusätzlich einplanen
DSGVO & AVV	Unklare Rollen, fehlende AVV, unsichere Testdaten, Drittlandtransfers oder Supportzugriffe	Verantwortlicher/Auftragsverarbeiter, AVV, TOM, Subprocessor, Löschung, Breach-Prozess	Datenpannen können binnen 72 Stunden meldepflichtig sein; Betroffenenrechte regelmäßig binnen 1 Monat beantworten
Cybersecurity, NIS2, CRA	Fehlende Secure-SDLC-, Update-, Vulnerability- oder Meldeprozesse	Security Annex, Patch SLA, Schwachstellenprozess, SBOM, PSIRT, Incident Response, Lieferkette	CRA-Meldepflichten ab 11.09.2026 und Hauptpflichten ab 11.12.2027 vorbereiten; NIS2/BSIG-Scope bei betroffenen Einrichtungen prüfen
Data Act & Cloud-Switching	Datenzugang, Datenportabilität, Wechselunterstützung oder Vendor Lock-in unklar	Dateninventar, Schnittstellen, Export, Geschäftsgeheimnisse, Cloud-Switching, Vertragsklauseln	Data Act gilt seit 12.09.2025; Datenzugänglichkeitsanforderung für neue vernetzte Produkte/verbundene Dienste ab 12.09.2026 beachten
KI-Code & KI-Tools	Unklare Rechtekette, vertrauliche Prompts, Toolbedingungen, Datenschutz- oder Output-Risiken	KI-Nutzungsrichtlinie, Toolfreigabe, Prompt-Daten, Review, Rechtekette, AI-Act-Schnittstellen	AI-Literacy- und Verbotsprüfungen sind bereits relevant; Hochrisiko-Änderungen durch AI-Omnibus final prüfen

Nächste sinnvolle Schritte

Softwareentwicklungsvertrag rechtlich prüfen lassen

Wenn ein Vertrag kurz vor Unterschrift steht, ein Go-live ansteht, ein Projekt eskaliert oder Rechte, Quellcode, Open Source, Datenschutz oder Security unklar sind, sollte der konkrete Vertrag mit den Projektunterlagen geprüft werden.

Anfrage an ITMR senden

Rechtlicher Orientierungshinweis

Dieser Checker bietet eine unverbindliche Erstorientierung und ersetzt keine Rechtsberatung. Ob und welche Ansprüche, Pflichten, Fristen, Risiken oder Handlungsmöglichkeiten bestehen, hängt vom konkreten Vertrag, Projektverlauf, Geschäftsmodell, technischen Setup, beteiligten Rollen, Datenflüssen, Rechteketten und Einzelfall ab.