Klinik-IT-Vertragsklauseln: Welche fünf Punkte am häufigsten übersehen werden

Auf dem Tisch der Klinik-Geschäftsführerin liegen am Vorabend der Vertrags-Unterschrift drei Stapel — das Lastenheft, der Anbieter-Vertragsentwurf, der rechtlich geprüfte Vertrags-Anhang. Der technische Teil ist über Monate verhandelt worden: Funktions-Umfang, Schnittstellen-Standards, Test-Kriterien, Schulungs-Umfang. Der wirtschaftliche Teil ist klar: Lizenz-Modell, Wartung, Implementierungs-Pauschale. Was wenig Verhandlungs-Energie auf sich gezogen hat, sind fünf Klausel-Typen, die fünf Jahre lang die Verhandlungs-Macht der Klinik tragen oder verlieren werden — Datenexport-Rechte, Subprozessor-Wechsel, Preisanpassungs-Formel, Leistungs-Indikatoren mit Folge-Mechanik, Exit-Pfad. Die Asymmetrie zwischen Anbieter-Verhandlungs-Erfahrung und Klinik-Verhandlungs-Disziplin ist in Beiträgen des Bundesgesundheitsblatts zur Klinik-IT-Beschaffung wiederkehrend benannt. Sie zahlt sich nicht am Tag der Unterschrift aus. Sie zahlt sich im Betrieb.

Die fünf Klauseln teilen ein Merkmal: Sie wirken in der Sustainability-Phase, nicht im Implementierungs-Punkt. Lastenheft und Lizenz-Tarif tragen den Vertragsbeginn; die fünf Klausel-Typen tragen die Jahre danach. In dieser Zeit verlässt der Anbieter selten den Markt unverändert, die Doku-Anforderungen der Kostenträger verschieben sich, die operative Datenmenge wächst, der Anbieter wechselt Sub-Auftragsverarbeiter aus betrieblichen Gründen, der Inflations-Druck verändert die Preisanpassungs-Logik. In Standard-Lieferanten-Verträgen sind die fünf Klauseln entweder abstrakt formuliert oder gar nicht enthalten. Das ist die ehrliche Ausgangslage. Eine Klausel, die nur am Tag der Unterschrift trägt und im laufenden Betrieb keine Mechanik hat, ist keine Klausel — sie ist eine Höflichkeit.

Klausel 1 — Datenexport-Rechte. Die Standard-Form lautet sinngemäß „Datenexport auf Anfrage in geeignetem Format“. Das ist operativ leer. „Geeignet“ definiert weder das Daten-Modell noch den Liefer-Umfang noch die Frist. Eine strukturell tragende Datenexport-Klausel benennt drei Dinge: ein Format pro Datenklasse — etwa Health Level Seven Fast Healthcare Interoperability Resources (HL7 FHIR) für strukturierte Patient:innen-Daten, JavaScript Object Notation (JSON) für Audit-Logs, dokumentierte Tabellen-Schemata für Konfiguration —, eine Vollständigkeits-Definition pro Datenklasse (Stammdaten, Bewegungsdaten, Audit-Logs, Provenance-Daten der KI-generierten Inhalte, Konfigurations-Stand) und eine kalendarische Liefer-Frist, typischerweise sechzig bis neunzig Tage nach Anforderung. Die Beschaffungs-Empfehlungen des Katholischen Krankenhausverbands Deutschlands (KKVD) und die IT-Empfehlungen der Deutschen Krankenhausgesellschaft (DKG) benennen diese drei Dimensionen seit Jahren. Was in der Verhandlung gerne ergänzt wird, fehlt aber häufiger: ein Test-Recht, das die Klinik einmal jährlich ohne Anlass den Datenexport probehalber ziehen lässt. Eine Klausel ohne Test-Recht ist eine Klausel, die im Konfliktfall zum ersten Mal vollzogen wird. Das ist genau der Moment, an dem die Mechanik nicht halten muss.

Klausel 2 — Subprozessor-Wechsel. Die Standard-Form führt eine Liste der Sub-Auftragsverarbeiter im Vertrags-Anhang B und sichert „Mitteilung bei Änderungen“ zu. Operativ heißt das, dass die Klinik den Wechsel erfährt, nachdem er stattgefunden hat — typischerweise per Verbund-Brief, oft ohne Auftragsverarbeitungs-Vertrag des neuen Sub-Anbieters im Anhang. Eine strukturell tragende Klausel verschiebt den Zeitpunkt: Voraus-Anzeige-Pflicht von dreißig bis sechzig Tagen, Widerspruchs-Recht der Klinik mit definierter Folge-Mechanik (im Konflikt-Fall Sonder-Kündigungsrecht), Pflicht des Anbieters, den neuen Auftragsverarbeitungs-Vertrag mitzuliefern, und eine Listen-Form, die Eigentümer-Änderungen einschließt — nicht nur Firmen-Namen. Der Mindeststandard zur Lieferanten-Risiko-Bewertung des Bundesamts für Sicherheit in der Informationstechnik (BSI) im KRITIS-Sektor empfiehlt eine systematische Erfassung der Sub-Auftragsverarbeiter-Kette inklusive Eigentümer-Strukturen — und eine Fortschreibung der Bewertung über die Vertragslaufzeit, mit dokumentierter Reaktion auf Veränderungen. Eine Klausel, die nur den Vertrags-Tag abbildet, kann diese Fortschreibung nicht tragen.

Wo das Pricing in den Vertrag verlagert wird

Klausel 3 — Preisanpassungs-Formel. Die Standard-Form lautet „Anpassung gemäß Verbraucherpreisindex (VPI)“. Das ist operativ unscharf, weil der VPI keine Klinik-IT-Kostenstruktur abbildet. Der Anbieter trägt Lohn- und Cloud-Infrastruktur-Kosten, die anders steigen; der VPI ist eine Konsumenten-Index-Größe und wird in der Anbieter-Kalkulation selten als Mehr-Kosten-Treiber erlebt. Eine strukturell tragende Klausel benennt vier Dinge: einen explizit definierten Index-Mix (etwa eine gewichtete Kombination aus VPI und einem klinik-IT-typischen Kosten-Index, falls verfügbar — sonst eine Lohn-Komponente plus eine Infrastruktur-Komponente), eine Höchst-Steigerung pro Jahr (Cap), einen Verhandlungs-Punkt nach vierundzwanzig oder sechsunddreißig Monaten (an dem sich die Preis-Frage strukturell öffnet, nicht erst am Vertrags-Ende), und eine Mengen-Annahme im Vertrag — X Aufnahmen pro Jahr, Y Patient:innen-Datensätze — mit Anpassungs-Mechanik, falls die tatsächliche Menge im Betrieb stark abweicht. Die Empfehlungen des Bundesverbands Deutscher Privatkliniken (BDPK) benennen Cap-Werte als Mindest-Standard. Privatkliniken pflegen die Preisanpassungs-Frage strukturell, weil ihre Eigentümer-Modelle und ihre Bilanz-Disziplin direkter auf langlaufende Verträge wirken; der Befund ist auf öffentlich-rechtliche Häuser sinngemäß übertragbar.

Klausel 4 — Leistungs-Indikatoren mit Folge-Mechanik. Die Standard-Form benennt ein Service Level Agreement (SLA) mit einer pauschalen Verfügbarkeit, etwa 99,5 Prozent, in einem Anhang. Verfügbarkeit ohne Folge-Mechanik ist eine Höflichkeit. Eine strukturell tragende Klausel trägt vier Dimensionen: die Indikator-Definition pro Funktions-Modul (Verfügbarkeit ist nicht für jedes Modul gleich relevant), die Mess-Methode (wer misst, mit welchen Werkzeugen, wie wird der Mess-Bericht zwischen den Vertragsparteien geteilt), die Folge-Mechanik bei Unterschreitung (typischerweise eine Service-Gutschrift mit einem Prozent-Anteil der Monats-Lizenz pro Schwere-Klasse) und eine eskalierende Mechanik bei wiederholter Unterschreitung (außerordentliche Verhandlungs-Pflicht, am Ende ein Sonder-Kündigungsrecht). Der Bundesverband Gesundheits-IT (bvitg) — die Anbieter-Verbands-Sicht — verzeichnet, dass sich ein Branchen-Standard für SLA-Folge-Mechanik in der deutschen Klinik-IT-Vertragspraxis nicht durchgesetzt hat. Das heißt für die Klinik-Seite: Die Folge-Mechanik wird in der Verhandlung gemacht oder gar nicht. Sie kommt nicht aus dem Branchen-Standard nach.

Klausel 5 — Exit-Pfad. Die Standard-Form lautet „Vertrag endet zum Ablauf der Mindestlaufzeit; Daten werden auf Anfrage übergeben“. Operativ ist das unzureichend, weil der Übergang an einen anderen Anbieter selten an einem Tag passiert. Die Klinik läuft im Echt-Betrieb weiter, der Nachfolger steht in der Einführung, der scheidende Anbieter hat keinen Anreiz mehr für Begleitung. Eine strukturell tragende Klausel definiert eine Übergangs-Phase von typischerweise sechs bis zwölf Monaten, in der der scheidende Anbieter den Betrieb stützt; ein Übergabe-Format, das über die Datenexport-Klausel hinausgeht und eine operative Dokumentation, einen Konfigurations-Stand und eine Liste offener Tickets umfasst; Pflichten des scheidenden Anbieters zur Begleitung der Migrations-Mannschaft auf Klinik-Seite; und einen Treuhand-Mechanismus (Escrow) für den Insolvenz- oder Auflösungs-Fall, in dem der Vertrags-Partner als handelnder Akteur ausfällt. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) benennt Exit-Klauseln mit definierter Übergangs-Phase und Daten-Übergabe-Format als wiederkehrende Empfehlung für Häuser im KRITIS-Sektor — und das gilt für jede mittelgroße Klinik, nicht nur für die formalen KRITIS-Akteure.

Die fünf Klauseln liegen nicht in einem Spezial-Anhang. Sie liegen im Hauptteil des Vertrags, neben Lizenz und Funktions-Umfang — und werden in der typischen Verhandlungs-Disziplin selten in einer Linie gelesen, weil jede Klausel von einem anderen Team geprüft wird. Wer sie als Bündel liest, sieht die Klinik-IT-Beschaffung als fünfjährige Begleitungs-Architektur. Wer sie einzeln liest, sieht fünf Detail-Themen, die nichts miteinander zu tun haben — und der laufende Betrieb wird das Pendant der Klausel-Form, die in einer langen Verhandlungs-Nacht entweder mitgenommen oder verdrängt wurde.