ISO 27001
AI first
GDPR by design
AI Act compliant
Cloud + on-prem
Mobile-ready

Digitalisierung 25. Februar 2026 · Milan Cák

10 Fragen, die Sie Ihrem ERP-Anbieter vor der Unterschrift stellen müssen

Checkliste mit 10 kritischen Fragen, die Sie Ihrem ERP-Anbieter vor Vertragsunterzeichnung stellen müssen – API, Exit-Strategie, Data Ownership, SLA, Security.

Die Vertragsunterzeichnung mit einem ERP-Anbieter ist eine der langfristigsten Entscheidungen, die Sie im Business treffen. Ein durchschnittliches slowakisches KMU bleibt 7 – 9 Jahre bei seinem ERP-Anbieter. Eine Scheidung ist meist teuer, schmerzhaft und voller verlorener Daten. Daher lohnt es sich, vor der Unterschrift einige Stunden mit den richtigen Fragen zu verbringen – und noch mehr Zeit damit, die Antworten aufmerksam zu lesen.

In diesem Artikel finden Sie 10 Fragen, die unsere Berater allen Klienten empfehlen. Es geht nicht um „Standardfragen“ wie „Wie ist der Preis?“ (die jeder Vertriebler ohne Zögern beantwortet), sondern um tiefere Fragen, die seriöse Anbieter von solchen unterscheiden, mit denen Sie am Ende fünf Jahre lang Schmerzen erleben.

1. „Welche API stellen Sie bereit und was können wir alles darüber tun?”

Die API ist der Grundstein eines modernen Unternehmens. Wenn Ihr ERP keine vollwertige API hat, sind Sie in einem Silo eingeschlossen und die zukünftige Integration mit E-Shop, Buchhaltung oder Lohnsystem wird teuer und fragil.

Worauf Sie in der Antwort achten sollten:

REST oder GraphQL? (Moderne ERPs unterstützen meist beides)
Welche Operationen sind verfügbar? Ideal – alles, was Sie im UI sehen, können Sie auch über die API erledigen. Wenn der Anbieter sagt „API haben wir, aber nur für einige Funktionen“, Vorsicht.
Webhooks? Event-getriebene Integrationen sind 2026 Standard.
Rate Limiting und Limits. Wie viele API-Aufrufe pro Tag? Zahlen Sie für zusätzliche?
Dokumentation. Bitten Sie um einen Link – wenn sie Ihnen nicht gezeigt werden kann (oder erst „nach der Unterschrift“), laufen Sie weg.

Modulario stellt eine vollständig dokumentierte REST API mit allen CRUD-Operationen, Webhooks und einem kostenlosen Limit von 10.000 Aufrufen pro Tag für jeden Klienten bereit.

Tipp: Verlangen Sie im Vertrag eine Garantie, dass die API nicht ohne 12-monatige Vorankündigung abgeschaltet wird. Einige Anbieter haben in der Vergangenheit alte API-Versionen „sofort“ abgeschaltet und die Klienten hatten 30 Tage zur Reaktion. Das ist existenzbedrohend.

2. „Wem gehören die Daten und wie bekomme ich sie jederzeit raus?”

Data Ownership ist die wichtigste Vertragsfrage. Die Daten, die Sie im ERP generieren – Rechnungen, Kunden, Lager, Mitarbeiter, Produktion – gehören Ihnen. Nicht dem Anbieter. Aber das ist nicht immer klar im Vertrag formuliert.

Worauf Sie in der Antwort achten sollten:

„Die Daten gehören Ihnen“ (alles andere ist nicht akzeptabel)
Welche Exportformate – ideal CSV, JSON, SQL-Dump, plus strukturierte PDF-Rechnungen
Wie oft können Sie exportieren – ideal unbegrenzt und jederzeit
Gibt es einen „Export-Button“ im UI oder nur auf Anfrage
Beinhaltet der Export auch historische Daten, Logs und Audit Trail

Rote Flaggen:

„Export ist gegen Gebühr”
„Export erst nach Ablauf der Garantiefrist”
„Exportformat ist unser proprietäres”

3. „Wie sieht die Exit-Strategie aus – wie würde es aussehen, wenn ich in 5 Jahren aufhören möchte?”

Diese Frage hören Vertriebler ungern – deshalb müssen Sie sie stellen. Ein seriöser Anbieter hat die Exit-Strategie dokumentiert und kann sie im Standardvertrag zeigen.

Worauf Sie in der Antwort achten sollten:

Vorgehensplan: Wie viele Tage für den Export, Format, Hilfe des Anbieters
Migrationskosten weg: Ideal kostenlos im ersten Jahr, nominale Gebühr in weiteren Jahren
Wann werden Ihre Daten gelöscht: Typischerweise 90 Tage nach Beendigung, aber muss klar geschrieben sein
Wer unterschreibt „Daten wurden übergeben“: Übergabezertifikat ist wichtig für Ihre Compliance

DORA und NIS2 verlangen 2026 von Finanzinstituten und Anbietern kritischer Infrastruktur eine schriftliche Exit-Strategie als Vertragsbedingung. Auch wenn Sie keine Bank sind, fordern Sie sie ein.

4. „Wie ist Ihr SLA und welche Kompensation gibt es bei Verletzung?”

Service Level Agreement (SLA) definiert, wie oft das System funktionieren muss und was Sie bekommen, wenn es nicht funktioniert. Viele Anbieter bieten schöne „99,9 %“, aber im Kleingedruckten gibt es Ausnahmen (geplante Wartung, höhere Gewalt, Infrastrukturänderungen), die das SLA zur Marketing-Zahl machen.

Worauf Sie in der Antwort achten sollten:

Tatsächliche Uptime-Zahl. 99,9 % = 8,7 Stunden Ausfall pro Jahr. 99,95 % = 4,4 Stunden. 99,99 % = 52 Minuten.
Was zählt und was nicht. Geplante Wartung außerhalb der Arbeitszeit zählt meist nicht. Fair. Aber „höhere Gewalt“ sollte nicht das Problem des Cloud-Anbieters umfassen.
Response Time und Resolution Time. P1-kritisches Problem – Meldung innerhalb einer Stunde, Lösung innerhalb von 4 Stunden? Oder nur „so schnell wie möglich“?
Kompensation. Service Credit (Rabatt auf die nächste Rechnung) ist Standard. Konkret – bei 99,8 % erhalten Sie 10 %, bei 99 % erhalten Sie 30 %.

5. „Was haben Sie in der Roadmap für die nächsten 18 Monate?”

Ein guter Anbieter hat eine öffentliche Roadmap und kann sie zeigen. Nicht jedes Detail, aber zumindest die Hauptlinien der Entwicklung – neue Module, Integrationen, Plattformverbesserungen.

Worauf Sie in der Antwort achten sollten:

Konkretheit: „Q3 2026 Mobile App Refresh, Q4 2026 KI-Reporting-Modul“ ist gut. „Wir arbeiten an vielen Dingen“ ist schlecht.
Fokus: Adressiert der Anbieter Ihre Branche? Wenn Sie ein Bauunternehmen sind und in der Roadmap nur E-Commerce-Module sehen, sind Sie nicht ihre Zielgruppe.
Innovationskraft: 2026 sollte die Roadmap KI-Assistenz, Compliance-Verbesserungen (DORA, NIS2), Mobile-First-Funktionen enthalten.

6. „Wie lösen Sie Security und wo wird das auditiert?”

Sicherheit ist 2026 keine optionale Funktion. Wenn der Anbieter nicht mindestens grundlegende Zertifizierungen und Prozesse hat, gehen Sie.

Worauf Sie in der Antwort achten sollten:

Zertifizierungen: ISO 27001 ist heute Minimum. SOC 2 Type II ist ein Plus. ISO 27701 (Privacy) ist Bonus.
Penetrationstests: Mindestens einmal jährlich durch externe Firma, Bericht auf Anfrage (zumindest Management Summary).
Verschlüsselung: AES-256 at rest, TLS 1.3 in transit.
MFA: Verpflichtend für Admins, empfohlen für alle.
Backups: 3-2-1-Regel (3 Kopien, 2 Medien, 1 Off-Site). RPO und RTO in Stunden, nicht Tagen.
Incident Response: 24-Stunden-Meldung an Kunden, 72-Stunden-NIS2-Meldung an Behörden.

7. „Wie viele Kunden aus meiner Branche / meiner Größe nutzen Ihr System?”

Referenzen sind Gold wert. Ein ERP, das gut für eine Marketingagentur funktioniert, kann für ein Produktionsunternehmen die Hölle sein – und umgekehrt. Fragen Sie konkret.

Worauf Sie in der Antwort achten sollten:

Der Anbieter stellt Ihnen bereitwillig 3 – 5 Referenzkontakte aus Ihrer Branche und Größenordnung zur Verfügung.
Ideal – einige sind für ein direktes Telefonat verfügbar, nicht nur als Textreferenz.
Wenn Sie anrufen, fragen Sie: „Was nervt Sie am System am meisten?“ und „Würden Sie wieder kaufen, wenn Sie die Wahl hätten?“

8. „Wie sieht ein typischer Onboarding und Implementierung bei Unternehmen meiner Größe aus?”

Eine schlechte Implementierung zerstört auch das beste System. Eine gute Implementierung rettet auch ein durchschnittliches System.

Worauf Sie in der Antwort achten sollten:

Dauer: 2 – 8 Wochen für KMU, 3 – 6 Monate für mittelständische Unternehmen. Alles Kürzere oder Längere bedarf einer Erklärung.
Phasen: Kick-off, Datenmigration, Konfiguration, Testing, Schulung, Go-Live, Stabilisierung.
Team: Projektmanager auf Ihrer Seite + Berater auf Anbieterseite + technischer Spezialist. Wenn alles auf einer Person liegt, wird es nicht gut.
Methodik: Agile mit 2-wöchigen Sprints oder Wasserfall. Beides funktioniert bei richtigem Management.
Preis: Festpreis oder T&M? Festpreis gibt Vorhersagbarkeit, T&M gibt Flexibilität. Hybrid (Festpreis für stabile Teile, T&M für Anpassung) ist ideal.

9. „Was machen Sie, wenn ein Kunde eine Anpassung verlangt, die Sie nicht planen?”

Eine ausgezeichnete Frage, die die Kultur des Anbieters offenbart. Manche ignorieren (rigider Monolith), andere „programmieren wir Ihnen alles“ (aber dann haben Sie eine Custom-Version, die nicht upgradefähig ist).

Worauf Sie in der Antwort achten sollten:

Product Roadmap: Wenn die Anforderung für mehrere Klienten relevant ist, kommt sie in die Roadmap (3 – 12 Monate).
Anpassung über Konfiguration: Ein gutes modernes ERP hat reichhaltige Konfiguration – Custom Fields, Custom Workflows, Custom Reporting – ohne Code-Eingriff.
Plugin / Skript: Für spezifische Bedürfnisse die Möglichkeit, ein eigenes Plugin oder Skript zu schreiben (oder über einen Partner).
Hard-coded Anpassung: Letzte Möglichkeit, nur wenn wirklich kein anderer Weg, und muss im Vertrag spezifiziert sein, wie sie bei Upgrades gepflegt wird.

10. „Was passiert, wenn Ihr Unternehmen pleitegeht oder jemand es kauft?”

Eine unangenehme, aber Schlüsselfrage. Ihr ERP ist kritische Infrastruktur – wenn der Anbieter fällt, fallen Sie auch.

Worauf Sie in der Antwort achten sollten:

Finanzielle Stabilität: Bitten Sie um die letzten 2 Jahresabschlüsse (sind im Handelsregister, also kein Problem zu zeigen).
Anzahl der Mitarbeiter und Gründungsjahr. Wenn der Anbieter 3 Mitarbeiter und ein Jahr am Markt hat, ist das ein anderes Risiko als 50 Personen und 10 Jahre.
Escrow: Manche Anbieter bieten Source Code Escrow – im Konkursfall haben Sie Anspruch auf den Quellcode. Für kritische Systeme empfehlen wir es.
M&A-Szenario: Was passiert, wenn sie von einem größeren Unternehmen gekauft werden? Garantie der Produktkontinuität von mindestens 36 Monaten ist eine faire Forderung.

Bonus – wie Sie die Antworten verifizieren

Es genügt nicht, die Antwort zu hören. Sie müssen sie verifizieren. Vier Techniken, die funktionieren:

Trial oder Sandbox. Minimum 14 Tage, ideal 30 Tage mit echten Daten.
Proof of Concept (PoC). Für wichtige Integrationen verlangen Sie, dass der Anbieter einen funktionierenden PoC vor der Unterschrift zeigt.
Technisches Due Diligence mit eigener IT oder externem Berater. 4 – 8 Stunden Arbeit, 500 – 1.500 EUR, kann Zehntausende sparen.
Referenzbesuch. Verbringen Sie einen halben Tag bei einem bestehenden Klienten. Sie sehen das System in der Produktion, sprechen mit Nutzern, spüren die Realität.

Fazit – Ehrlichkeit über Verkaufstalent

Bei der ERP-Auswahl starten Sie nicht mit Vertrauen – starten Sie mit Fragen. Ein Anbieter, der ehrlich auch unangenehme Fragen beantwortet (was passiert, wenn ich Konkurs anmelde, wie sieht die Exit-Strategie aus), ist verlässlicher als einer, der alles „auf ein Marketingvideo umleitet“. Die zehn Fragen oben helfen Ihnen, in einem einzigen 90-minütigen Meeting herauszufinden, mit wem Sie es zu tun haben.

Wenn Sie sicher sein möchten, dass Sie mit offenen Augen in den Vertrag gehen, laden Sie unsere detaillierte Checkliste mit Notizraum herunter – wir haben sie genau für diese zehn Bereiche erstellt. Wenn Sie interessiert, wie Modulario diese Fragen beantwortet, buchen Sie eine 45-minütige Demo – die Antworten erhalten Sie schriftlich und unterschrieben.

Verwandte Ressourcen

Bezpečnosť

MC

Milan Cák

Modulario

Často kladené otázky

Welche Fragen muss ich einem ERP-Anbieter vor der Unterschrift stellen?

10 kritische Fragen: (1) Welche API bieten Sie? (2) Wem gehören die Daten? (3) Wie sieht die Exit-Strategie aus? (4) Was ist Ihr SLA und die Kompensation? (5) Was steht auf Ihrer 18-Monats-Roadmap? (6) Wie handhaben Sie Sicherheit und Zertifizierungen? (7) Wie viele Kunden aus meiner Branche? (8) Wie sieht das Onboarding aus? (9) Wie handhaben Sie Customizing? (10) Was passiert bei Insolvenz? Ohne diese Antworten im Vertrag riskieren Sie 30.000-100.000 € Verlust beim Anbieterwechsel in 5 Jahren.

Welches SLA muss ein ERP-Anbieter 2026 bieten?

KMU-Standard: 99,5 % monatliche Verfügbarkeit (= max 3,6 Stunden Ausfall/Monat), 4-Stunden Response-Zeit für kritische (P1) Tickets, 8-Stunden Resolution-Zeit. Kompensation: mindestens 5 % der monatlichen Gebühr pro 0,5 % unter SLA. Für regulierte Sektoren (Banken, Healthcare) fordern Sie 99,9 % = 8,7 Stunden pro Jahr. „Höhere Gewalt“ im Kleingedruckten darf keine Cloud-Anbieter-Probleme einschließen - das ist Verantwortung des Anbieters, nicht Ihre.

Wem gehören die Daten im ERP und wie hole ich sie beim Ausstieg heraus?

Daten gehören immer Ihnen - das muss im Vertrag explizit stehen. Fordern Sie: Export in Standardformaten (CSV, JSON, SQL Dump) jederzeit ohne Gebühr, Export-Button direkt im UI (nicht „auf Anfrage, 30 Tage“), Einbeziehung historischer Daten + Audit Trail. DORA und NIS2 fordern 2026 schriftliche Exit-Strategie für kritische Infrastruktur. Ein Anbieter, der für Export Gebühren verlangt, hält Sie im Lock-in.

Welche Sicherheitszertifizierungen muss ein ERP-Anbieter haben?

Minimum 2026: ISO 27001 (Pflicht), SOC 2 Type II (Plus für US-Kunden), Penetrationstest durch externe Firma mindestens einmal jährlich. Bonus: ISO 27701 (Privacy), TISAX (Automotive). Verschlüsselung AES-256 at rest, TLS 1.3 in transit. MFA Pflicht für Admin-Konten. Backup nach 3-2-1-Regel (3 Kopien, 2 Medien, 1 off-site) mit RPO/RTO in Stunden, nicht Tagen. Marketing Claims ohne Audit Reports = rote Flagge.

Wie lange dauert eine ERP-Implementierung und was sind typische Phasen?

KMU (10-50 Mitarbeiter): 2-8 Wochen. Mittelstand (50-250): 3-6 Monate. Phasen: Kick-off (1 W), Datenmigration (2-6 W), Konfiguration (2-4 W), Testing (2 W), Schulung (1-2 W), Go-Live + Hyper-Care (4 W). Team muss mindestens 3 Personen haben: Projektmanager, Berater, technischer Spezialist. Implementierung mit 1 Mitarbeiter = rote Flagge.

Wie überprüfe ich die Antworten des ERP-Anbieters vor Unterschrift?

Vier Techniken: (1) Trial/Sandbox mindestens 14 Tage mit Ihren echten Daten, ideal 30 Tage. (2) Proof of Concept für kritische Integrationen vor Unterschrift. (3) Technische Due Diligence mit externem Berater: 4-8 Stunden Arbeit für 500-1 €.500 € kann Zehntausende sparen. (4) Besuch einer bestehenden Referenz - halber Tag beim Kunden, System in Produktion sehen. Referenzgespräche mit 3 ähnlichen Kunden sind der stärkste Filter.

Was, wenn der ERP-Anbieter insolvent geht oder übernommen wird?

Vor Unterschrift fordern: (1) Source Code Escrow - bei Insolvenz haben Sie Recht auf den Quellcode. (2) Liste der Sub-Processors und deren vertragliche Verpflichtungen für Kontinuität bei SaaS. (3) M&A-Klausel - „no material change“ mindestens 12-36 Monate bei Akquisition. (4) Letzte 2 Jahresabschlüsse (öffentlich im Handelsregister). Ein Anbieter mit 3 Mitarbeitern und 1 Jahr am Markt ist ein anderes Risiko als 50 Personen und 10 Jahre.

Verwandte Artikel

Sicherheit & Compliance

KI-Gesetz der EU: Pflichten für ERP-Nutzer in 2026

Welche Pflichten bringt der EU AI Act für Unternehmen, die KI-Funktionen im ERP einsetzen? Risikoklassen, Verbote, Transparenzpflichten und wie Modulario die Compliance sicherstellt.

7 min čítania

Sicherheit & Compliance

NIS2-Richtlinie in der Praxis: Wen sie betrifft und welche Pflichten entstehen

NIS2-Richtlinie der EU für KMU in DACH: Wen sie betrifft, zentrale Pflichten, Sanktionen bis 10 Mio. EUR, Vorbereitungsablauf und Bezug zu ERP/CRM-Systemen.

10 min čítania

Digitalisierung

E-Mail-Integration in ERP und CRM: Praxisleitfaden

Wie die E-Mail-Integration in ERP und CRM funktioniert — Outlook-/Gmail-Sync, automatische Zuordnung zu Kunden und Deals, E-Mail-Tracking, gemeinsamer Posteingang. Für DACH-KMU.

8 min čítania