- Ein Wartungsvertrag ohne konkrete Leistungsbeschreibung ist wertlos. Bestehen Sie auf schriftlich fixierten Leistungen: Updates, Backups, Monitoring und Reaktionszeiten.
- Reaktionszeit bedeutet nicht Wiederherstellungszeit. Ein Dienstleister kann innerhalb von vier Stunden antworten und trotzdem zwei Tage für die Reparatur brauchen.
- Klären Sie vor Vertragsschluss, wer die Domain hält und wer nach Kündigung welche Daten herausgibt. Fehlt das im Vertrag, geraten Sie in Abhängigkeit.
- Warnsignale: keine Backups erwähnt, Domain beim Anbieter, Mindestlaufzeit über 12 Monate, keine Datenherausgabepflicht bei Vertragsende.
Wer eine WordPress-Website betreibt, braucht jemanden, der sich um Updates, Backups und Sicherheit kümmert. Die meisten Agenturen und Freelancer bieten dafür einen Wartungsvertrag an. Das klingt beruhigend. Problematisch wird es dann, wenn im Vertrag steht, dass der Anbieter die Domain hält, keine Backup-Regelung zu finden ist und die Kündigungsfrist zwei Jahre beträgt. Dieser Artikel zeigt Ihnen, worauf Sie als Auftraggeber beim Lesen des Kleingedruckten achten, welche Fragen Sie stellen und was ein fairer Vertrag zwingend enthalten muss.
Was ein Wartungsvertrag leisten soll und was nicht
Eine WordPress-Website besteht aus vielen beweglichen Teilen: dem WordPress-Kern, dem verwendeten Theme, einer Handvoll bis mehrere Dutzend Plugins und dem Hosting darunter. Diese Komponenten werden regelmäßig von ihren Herstellern mit Updates versorgt. Spielen die Updates nicht zusammen, kann die Website ausfallen oder eine Sicherheitslücke entstehen. Dafür ist der Wartungsvertrag da: Er stellt sicher, dass jemand systematisch prüft, aktualisiert und sichert.
Was ein Wartungsvertrag dagegen typischerweise nicht umfasst: neue Funktionen, Designänderungen, das Schreiben von Texten oder die Optimierung für Suchmaschinen. Diese Leistungen fallen unter Entwicklung oder Consulting und werden separat berechnet. Den genauen Umfang der laufenden Pflege erklärt der Artikel Website-Wartung: Was monatlich und jährlich zu tun ist.
Was in jeden Wartungsvertrag gehört
Ohne diese Bestandteile ist ein Wartungsvertrag im Streitfall wenig wert. Fehlt einer der folgenden Punkte, fragen Sie direkt nach. Ein seriöser Anbieter kann jeden Punkt benennen und erklären.
| Bestandteil | Warum er Pflicht ist | Mindeststandard |
|---|---|---|
| WordPress-Core-Updates | Sicherheitslücken werden im Kern am häufigsten geschlossen | Innerhalb von 48 Stunden nach Release |
| Plugin-Updates | Veraltete Plugins sind der häufigste Angriffsvektor | Wöchentlich, mit Kompatibilitätstest |
| Theme-Updates | Themes enthalten eigenen Code mit eigenen Lücken | Monatlich oder bei Sicherheitsrelevanz sofort |
| Backups mit Test | Ein Backup, das nicht wiederhergestellt werden kann, ist keines | Täglich, extern gespeichert, regelmäßig testweise wiederhergestellt |
| Sicherheitsmonitoring | Viele Kompromittierungen laufen Wochen unbemerkt | Automatisiertes Malware-Scanning, Logfile-Prüfung |
| Verfügbarkeitsmonitoring | Ohne Monitoring merken Sie einen Ausfall erst, wenn Kunden sich beschweren | Minütliche Abfrage von außen |
| Reporting | Sie müssen nachvollziehen können, was gemacht wurde | Monatlicher Bericht mit durchgeführten Maßnahmen |
| Reaktionszeit | Im Notfall muss klar sein, wie schnell jemand reagiert | Nach Schweregrad gestaffelt, schriftlich im Vertrag |
Ein Praxishinweis zu Backups: Backups, die auf demselben Server gespeichert werden wie die Website, schützen nicht gegen Server-Ausfall oder Ransomware. Externe Speicherung, zum Beispiel in einem separaten Cloud-Speicher, ist der Mindeststandard. Fragen Sie explizit danach.
SLA verstehen: Reaktionszeit, Wiederherstellungszeit, Servicezeiten
SLA steht für Service Level Agreement, auf Deutsch: Vereinbarung über Servicequalität. In einem Wartungsvertrag definiert die SLA, welche Reaktionszeiten der Anbieter bei Problemen einhält und innerhalb welcher Zeiten Probleme behoben sein sollen. Was viele Auftraggeber nicht wissen: Eine automatisch versendete Eingangsbestätigung gilt im technischen Sinne bereits als Reaktion. Sie haben nichts davon.
Fragen Sie deshalb konkret nach einer qualifizierten Reaktion: Das heißt, dass ein Techniker das Problem analysiert hat und Ihnen eine realistische Einschätzung der Behebungszeit nennt. Diese qualifizierte Reaktion ist das, was tatsächlich hilft.
| Begriff | Was er bedeutet | Was Sie stattdessen fragen sollten |
|---|---|---|
| Reaktionszeit | Zeit bis zur ersten Rückmeldung (kann eine automatische E-Mail sein) | Wie lange bis zur qualifizierten Erstanalyse durch einen Techniker? |
| Wiederherstellungszeit (MTTR) | Zeit bis zur vollständigen Behebung des Problems | Für welche Schweregrade gibt es eine garantierte Wiederherstellungszeit? |
| Servicezeiten | Stunden, in denen der Anbieter erreichbar ist (z.B. Mo-Fr 9-17 Uhr) | Was passiert an Wochenenden und Feiertagen bei einem Notfall? |
| Notfallunterstützung | Wie wird ein kritischer Ausfall behandelt (z.B. Website komplett down)? | Gibt es einen 24/7-Notfallkanal? Ist dieser im Preis enthalten? |
| Schweregrad-Klassifizierung | Einteilung von Problemen nach Dringlichkeit | Welche Ereignisse gelten als Notfall? Was gilt als normale Anfrage? |
Ein konkretes Beispiel: Ein Anbieter verspricht vier Stunden Reaktionszeit. Ihr Shop fällt am Freitagabend aus. Die vier Stunden beginnen erst, wenn Sie das Problem gemeldet haben, und laufen nur innerhalb der Servicezeiten. Wenn der Anbieter nur Mo-Fr 9-17 Uhr erreichbar ist, beginnt die Frist frühestens Montagmorgen. Ohne explizite Notfallregelung im Vertrag haben Sie keinen Anspruch auf schnellere Hilfe. Details zum Umgang mit Ausfällen lesen Sie im Artikel Disaster Recovery: Der Notfallplan, wenn die Website komplett ausfällt.
Was inklusive ist und was extra kostet
Pauschalen klingen einfach. Die Frage ist, was tatsächlich in der Pauschale steckt. In der Praxis unterscheiden sich Wartungspakete stark darin, was als Standardleistung gilt und was als Zusatzauftrag abgerechnet wird.
| Leistung | Typisch inklusive | Typisch extra |
|---|---|---|
| WordPress-Core-Updates | Ja | |
| Plugin-Updates | Ja | |
| Automatische Backups | Ja | Langzeitarchivierung (über 30 Tage) oft extra |
| Monitoring und Reporting | Meist ja | |
| Kleine Inhaltskorrekturen | Nur wenn Stundenkontingent vereinbart | Meist extra, nach Aufwand |
| Notfallhilfe (Hack-Bereinigung) | Selten pauschal inklusive | Oft separat abgerechnet |
| Neue Seiten, neue Funktionen | Nein | Immer separat |
| SEO-Optimierung | Nein | Eigenes Thema |
| PHP-Version-Upgrade | Selten | Oft als Sonderauftrag |
| SSL-Zertifikat-Erneuerung | Kommt auf Anbieter an | Manchmal Hosting-Leistung |
Viele Wartungspakete enthalten ein monatliches Stundenkontingent für kleine Änderungen, zum Beispiel eine Stunde pro Monat. Das reicht für kleine Textkorrekturen oder das Einfügen eines neuen Bildes. Umfangreichere Aufgaben werden darüber hinaus nach Stundensatz abgerechnet. Klären Sie im Vorfeld, welchen Stundensatz der Anbieter dafür ansetzt, und stellen Sie sicher, dass dieser im Vertrag steht. Was WordPress-Wartung insgesamt kostet, lesen Sie im Artikel WordPress Wartung: Was kostet die monatliche Pflege wirklich?.
Warnsignale im Kleingedruckten
Die folgenden Punkte haben in der Praxis zu Streit, Datenverlust und Abhängigkeiten geführt. Wenn Sie eines dieser Muster im Vertrag oder im Gespräch entdecken, fragen Sie nach oder suchen Sie einen anderen Anbieter.
Keine Backups oder unklare Backup-Regelung
Wenn ein Wartungsvertrag das Wort Backup nicht erwähnt oder nur vage formuliert („auf Anfrage“ oder „nach Absprache“), ist das ein ernstes Warnsignal. Ohne festgeschriebene Backup-Frequenz, externen Speicherort und Aufbewahrungsdauer existiert für Sie keine verlässliche Sicherung. Fragen Sie konkret: Wie oft? Wo gespeichert? Wie lange aufbewahrt? Wird die Wiederherstellung regelmäßig getestet?
Domain und Hosting beim Anbieter, nicht beim Auftraggeber
Manche Anbieter registrieren Domain und Hosting auf sich selbst. Das klingt bequem, schafft aber eine gefährliche Abhängigkeit: Wenn der Anbieter insolvent wird, die Zusammenarbeit eskaliert oder Sie wechseln wollen, können Sie nicht ohne Weiteres auf Ihre eigene Adresse zugreifen. Die Faustregel lautet: Domain und Hosting laufen immer auf den Auftraggeber. Der Anbieter erhält nur die notwendigen Zugänge, um seine Arbeit zu erledigen.
Zugangsdaten bleiben beim Anbieter
Achten Sie darauf, dass Sie jederzeit Zugang zu allen relevanten Systemen haben: WordPress-Backend, FTP oder SFTP, Datenbank, Hosting-Panel und Domain-Provider. Wenn im Vertrag steht, dass Zugangsdaten nicht weitergegeben werden oder nur „auf Anfrage“ zur Verfügung stehen, schränkt das Ihre Kontrolle über Ihre eigene Website ein. Bei einer Kündigung kann sich daraus ein handfester Konflikt entwickeln.
Keine Regelung zur Datenherausgabe bei Vertragsende
Was passiert, wenn Sie den Vertrag kündigen? Ein fairer Vertrag regelt, dass der Anbieter innerhalb einer definierten Frist alle Zugangsdaten übergibt, eine aktuelle Datensicherung bereitstellt und bei der Übergabe an einen neuen Dienstleister mitwirkt. Fehlt diese Klausel, fehlt Ihnen im Streitfall die Grundlage für eine schnelle Übergabe. Auch die rechtssichere Website-Abnahme zu Beginn einer Zusammenarbeit berührt dieses Thema: Die rechtssichere Website-Abnahme.
Lange Mindestlaufzeiten ohne Sonderkündigungsrecht
Zwölf oder 24 Monate Mindestlaufzeit sind nicht per se unzulässig, aber sie binden Sie auch dann, wenn der Anbieter die vereinbarten Leistungen nicht erbringt. Bestehen Sie auf einem Sonderkündigungsrecht bei erheblichen Schlechtleistungen, und fragen Sie, ob es eine Möglichkeit gibt, monatlich zu kündigen, wenn auch zu einem höheren Preis.
Pauschale ohne Leistungsbeschreibung
Ein Angebot, das nur einen Monatspreis nennt und die Leistung als „Rundum-Betreuung“ oder „Full-Service“ beschreibt, ohne jede einzelne Leistung zu benennen, ist nicht verhandelbar. Im Streitfall können Sie nicht nachweisen, was vereinbart war. Verlangen Sie eine konkrete, nummerierte Leistungsliste als Vertragsbestandteil.
Haftungsausschluss für Datenverlust
Haftungsbeschränkungen sind in der IT-Branche üblich. Legitim ist es, die Haftung auf den Vertragswert zu begrenzen. Bedenklich ist ein vollständiger Ausschluss jeder Haftung für Datenverlust, selbst wenn der Anbieter ausdrücklich Backups verspricht. Wenn jemand für etwas Geld nimmt, muss er auch dafür einstehen, wenn es schiefgeht.
Dienstvertrag oder Werkvertrag? Was der Unterschied bedeutet
Dieser Punkt ist wichtig, weil er bestimmt, was der Anbieter Ihnen schuldet. Das Bürgerliche Gesetzbuch unterscheidet zwei grundlegend verschiedene Vertragstypen.
Beim Dienstvertrag nach § 611 BGB schuldet der Anbieter die Erbringung der vereinbarten Tätigkeit, aber keinen bestimmten Erfolg. Ein Wartungsvertrag ist fast immer ein Dienstvertrag: Der Anbieter verpflichtet sich, Ihre Website zu betreuen, Updates einzuspielen und auf Probleme zu reagieren. Ob die Website danach tatsächlich nie ausfällt, kann niemand garantieren.
Beim Werkvertrag nach § 631 BGB schuldet der Anbieter einen konkreten Erfolg: ein funktionierendes Werk. Das passt zu einem Entwicklungsprojekt („Website geht live und funktioniert wie vereinbart“), aber nicht zu laufender Wartung.
Praktische Konsequenz: Bei einem Dienstvertrag können Sie einen Anbieter nicht auf Schadensersatz verklagen, weil Ihre Website trotz aller Pflege einmal gehackt wurde. Sie können aber auf unterlassene Leistungen pochen, wenn Backups laut Vertrag täglich sein sollen und tatsächlich nie gemacht wurden. Deshalb ist die Leistungsliste so wichtig: Sie ist das Fundament für jede Reklamation.
Praxisbeispiel: Was schief gehen kann
In einem Projekt haben wir eine Website übernommen, die zuvor ein anderer Anbieter „betreut“ hatte. Der Auftraggeber, ein Handwerksbetrieb, hatte seit zwei Jahren monatlich für einen Wartungsvertrag gezahlt. Als wir die Website prüften, fanden wir WordPress in einer Version von vor 18 Monaten, mehrere Plugins ohne jedes Update seit Vertragsstart und keinerlei Hinweis auf eine Backup-Routine. Die Domain lief auf den früheren Anbieter. Die Übergabe dauerte mehrere Wochen, weil der Anbieter zunächst keine Zugänge herausgab.
Was das gezeigt hat: Ein Wartungsvertrag ohne Reporting ist ein Blindflug. Der Auftraggeber hatte keine Möglichkeit zu prüfen, ob die vereinbarten Leistungen tatsächlich erbracht wurden. Ein monatlicher Bericht, der dokumentiert, welche Updates eingespielt wurden und wann das letzte Backup erstellt wurde, hätte das Problem früh sichtbar gemacht.
Fragen, die Sie vor dem Vertragsschluss stellen sollten
Sie müssen kein Techniker sein, um diese Fragen zu stellen. Jeder seriöse Anbieter beantwortet sie ohne Umstände.
- Wer hält die Domain? Auf wen ist das Hosting registriert?
- Erhalte ich jederzeit Zugang zu allen Systemen: Backend, FTP, Datenbank, Hosting-Panel?
- Wie oft werden Backups erstellt? Wo werden sie gespeichert? Wie lange werden sie aufbewahrt?
- Wird die Wiederherstellung aus dem Backup regelmäßig getestet?
- Was passiert, wenn ein Update eine Seite unbrauchbar macht? Wer behebt das? Ist das inklusive?
- Was ist Ihre Reaktionszeit im Notfall? Gilt das auch an Wochenenden und Feiertagen?
- Was genau ist in der Pauschale enthalten? Gibt es ein Stundenkontingent für kleinere Änderungen?
- Welchen Stundensatz rechnen Sie für Leistungen außerhalb des Vertrags?
- Wie sieht die Übergabe bei Kündigung aus? Wann erhalte ich alle Zugangsdaten und ein aktuelles Backup?
- Erhalte ich monatlich einen Bericht darüber, was gemacht wurde?
- Handelt es sich um einen Dienst- oder Werkvertrag?
- Was gilt als Notfall in Ihrer SLA, und was als normale Anfrage?
Wenn ein Anbieter bei diesen Fragen ausweicht, pauschalisiert oder nervös wird, sagt das mehr als jedes Angebot. Gute Anbieter freuen sich über präzise Fragen, weil sie zeigen, dass der Auftraggeber die Qualität ihrer Arbeit einschätzen kann.
Verhandlungs-Checkliste
- Leistungsbeschreibung: alle Einzelleistungen schriftlich im Vertrag (Updates, Backups, Monitoring, Reporting)?
- Backup: Frequenz, externer Speicherort und Aufbewahrungsdauer konkret angegeben?
- Backup-Wiederherstellungstest: wird er regelmäßig durchgeführt und dokumentiert?
- SLA: Reaktionszeit nach Schweregrad gestaffelt und schriftlich festgehalten?
- Notfallregelung: Erreichbarkeit und Reaktionszeit auch an Wochenenden und Feiertagen geregelt?
- Domain: Inhaberschaft liegt beim Auftraggeber, nicht beim Anbieter?
- Hosting: Vertrag beim Auftraggeber oder zumindest mit Herausgabepflicht im Wartungsvertrag geregelt?
- Zugangsdaten: vollständiger Zugang zu Backend, FTP, Datenbank und Hosting-Panel beim Auftraggeber?
- Vertragsende: Herausgabe aller Zugangsdaten und aktuelles Backup bei Kündigung vertraglich gesichert?
- Stundenkontingent: Anzahl der enthaltenen Stunden und Stundensatz für Mehraufwand im Vertrag?
- Reporting: monatlicher Bericht mit Nachweis der durchgeführten Maßnahmen vereinbart?
- Laufzeit: Mindestlaufzeit und Kündigungsfristen geprüft, Sonderkündigungsrecht bei Schlechtleistung vereinbart?
- Haftung: kein vollständiger Ausschluss der Haftung für Datenverlust bei zugesagten Backups?
- Vertragstyp: Dienstvertrag oder Werkvertrag im Vertrag ausdrücklich benannt?
- DSGVO: Auftragsverarbeitungsvertrag abgeschlossen, wenn der Anbieter auf personenbezogene Daten zugreift?
- Ein guter Wartungsvertrag listet jede einzelne Leistung. Ohne Leistungsbeschreibung haben Sie im Streitfall keine Grundlage.
- Reaktionszeit und Wiederherstellungszeit sind nicht dasselbe. Fragen Sie nach der qualifizierten Reaktion und einer Einschätzung der Behebungszeit.
- Domain und Hosting gehören zum Auftraggeber. Die Zugänge dazu ebenfalls, jederzeit.
- Warnsignale sind nicht selten. Ein offenes Gespräch darüber zeigt Ihnen, ob Sie es mit einem seriösen Anbieter zu tun haben.
Häufige Fragen
Muss ein WordPress-Wartungsvertrag schriftlich sein?
Gesetzlich vorgeschrieben ist die Schriftform für laufende IT-Dienstleistungsverträge in der Regel nicht. Praktisch ist sie aber unverzichtbar: Nur ein schriftlicher Vertrag belegt, was vereinbart wurde. Bei mündlichen Absprachen haben Sie im Streitfall kaum Möglichkeiten, die vereinbarten Leistungen nachzuweisen. Bestehen Sie auf einem unterzeichneten Dokument mit vollständiger Leistungsliste.
Was ist eine faire Kündigungsfrist für einen Wartungsvertrag?
Üblich und fair sind monatliche oder vierteljährliche Kündigungsfristen. Jahresverträge mit deutlichem Preisvorteil können sinnvoll sein, sollten aber ein Sonderkündigungsrecht bei anhaltenden Schlechtleistungen enthalten. Mindestlaufzeiten von zwei Jahren oder mehr sind für eine laufende Dienstleistung kaum zu rechtfertigen.
Darf der Anbieter die Zugangsdaten nach der Kündigung einbehalten?
Nein. Die Zugangsdaten zur Website, zur Domain und zum Hosting gehören zum Auftraggeber. Ein Einbehalten nach Kündigung ist rechtlich nicht haltbar. Gerichte haben die Herausgabe von IT-Zugangsdaten im einstweiligen Verfügungsverfahren bereits mehrfach durchgesetzt (so z. B. LG Wiesbaden, 29.05.2013, Az. 2 O 128/13). Regeln Sie die Herausgabepflicht vorsorglich schriftlich im Vertrag.
Was ist der Unterschied zwischen Reaktionszeit und Wiederherstellungszeit?
Die Reaktionszeit beschreibt, wann sich der Anbieter nach Ihrer Meldung erstmalig zurückmeldet. Das kann auch eine automatische Eingangsbestätigung sein. Die Wiederherstellungszeit beschreibt, wann das Problem tatsächlich behoben ist. Im Ernstfall zählt nur die Wiederherstellungszeit. Fragen Sie, ob der Anbieter eine qualifizierte Erstreaktion durch einen Techniker zusagt und für welche Schweregrade er eine Wiederherstellungszeit garantiert.
Was bedeutet es, wenn der Anbieter ein Pauschalpreis-Angebot nennt, ohne Leistungen aufzulisten?
Es bedeutet, dass Sie im Streitfall nicht nachweisen können, was vereinbart war. Verlangen Sie eine detaillierte Leistungsliste als Vertragsbestandteil, bevor Sie unterschreiben. Seriöse Anbieter haben diese ohnehin fertig und ergänzen sie gerne.
Muss ich für die Backup-Wiederherstellung extra bezahlen?
Das ist Verhandlungssache und muss im Vertrag stehen. Manche Anbieter zahlen die Wiederherstellung inklusive, andere rechnen sie als Sonderleistung ab. Klären Sie das vor Vertragsschluss. Wenn jemand für Backups bezahlt wird und diese nicht wiederhergestellt werden können oder dürfen, ohne extra zu bezahlen, ist das ein Warnsignal.
Brauche ich einen Auftragsverarbeitungsvertrag mit meinem Wartungsanbieter?
In der Regel ja. Wenn der Wartungsanbieter auf Ihre WordPress-Datenbank zugreift, liegen dort häufig personenbezogene Daten: Kundendaten, Formulareingaben, Kommentare. Dann gilt er als Auftragsverarbeiter im Sinne von Art. 28 DSGVO, und Sie sind als Verantwortlicher verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Fragen Sie direkt danach.
Was passiert, wenn der Anbieter ein Update einspielt und die Website danach nicht mehr funktioniert?
Ein seriöser Anbieter testet Updates vor dem Einspielen auf einer Staging-Umgebung und stellt vorher ein Backup sicher. Geht trotzdem etwas schief, stellt er die Website aus dem Backup wieder her. Fragen Sie, ob dieser Ablauf so vereinbart ist und ob die Wiederherstellung bei Update-Problemen inklusive ist oder separat abgerechnet wird. Was WordPress-Updates ohne Risiko bedeutet, erklärt der Artikel WordPress Updates ohne Risiko.