Cloud-Services / Software as a Service (SaaS)

Wir wissen, worauf es bei den Verhandlungen von SaaS-Verträgen ankommt - sowohl für Auftraggeber als auch für Auftragnehmer. Wir sind Experten im Bereich IT- und Datenrecht mit langjähriger Praxiserfahrung Wir bieten qualitativ hochwertige und praxisorientierte rechtliche Lösungen für SaaS und sonstige Cloud-Services

Thema: Cloud-Services / Software as a Service (SaaS)


Die rechtlichen Besonderheiten und Herausforderungen, die mit der Gestaltung von SaaS-Verträgen einhergehen, sind so vielfältig wie die Anwendungsgebiete von SaaS und sonstigen Cloud-Services.

Benötigen Sie hierbei Unterstützung? Nehmen Sie gern Kontakt mit unserem Expertenteam auf.

Einen kurzen Überblick zu den häufigsten Fragen unserer Mandanten in der Praxis zum Thema Vertragsgestaltung bei SaaS/Cloud-Verträgen sowie einiges Grundlagenwissen haben wir in unseren FAQ zusammengefasst.

Legal-Tech: Smarte SaaS-Vertragsgestaltung für Anbieter

Auf dem Markt gibt es eine Vielzahl von SaaS-Lösungen. So vielfältig die Auswahl und der jeweilige Funktionsumfang von SaaS-Lösungen ist, so unterschiedlich sind auch die Aspekte, die bei der Vertragsgestaltung zu berücksichtigen sind. Um als Anbieter einer SaaS-Lösung rechtlich möglichst umfassend abgesichert zu sein, sollte der SaaS-Vertrag die Besonderheiten der jeweiligen SaaS-Lösung und des geplanten Geschäftsmodells widerspiegeln. Die ungeprüfte Übernahme von Standardformulierungen kann im ungünstigsten Fall potenzielle Haftungsrisiken unberücksichtigt lassen. Eine Beratung bei der Erstellung der im Standard zu verwendenden Kundenverträge ist daher ratsam.

Nehmen Sie Kontakt mit unserem Expertenteam auf

Wir bieten unseren Mandanten die praxisorientierte Beratung bei der Gestaltung von SaaS-Verträgen, die sie benötigen. Dank unserer Legal Tech-Lösung zur SaaS-Vertragsgestaltung können wir schnell und zielgerichtet maßgeschneiderte SaaS-Verträge zur Verwendung gegenüber Kunden erstellen - zu vorab kalkulierbaren Kosten bei maximaler Effizienz und Qualität.

Unsere Datenschutzerklärung informiert Sie, wie wir mit Ihren Daten im Rahmen Ihrer Kontaktaufnahme umgehen und welche Rechte Ihnen nach dem Datenschutzrecht zustehen.

* Pflichtfeld

FAQ: Vertragsgestaltung SaaS- und Cloud-Services

Was versteht man unter SaaS?

Software as a Service („SaaS“) und sonstige Cloud-Services erfreuen sich bei Unternehmen und öffentlichen Stellen immer größerer Beliebtheit. Als SaaS werden Anwendungen angeboten wie z.B. Software im Bereich HR- und Recruiting und Customer-Relationship-Management. Sonstige Cloud-Services betreffen beispielsweise die Bereitstellung von Speicher-, Server- oder sonstige IT-Ressourcen als Infrastructure as a Service („IaaS“) oder cloudbasierte Umgebungen, in denen eigene Anwendungen entwickelt und bereitgestellt werden, als Platform as a Service („PaaS“).

Auf welche Bestimmungen im Vertrag sollte ich im Regelfall besonders achten?
  • Beschreibung der geschuldeten Leistung
  • Verfügbarkeit und Störungsbeseitigung (Service Level Agreement)
  • Art und Umfang der Nutzungsrechte
  • Lizenzmetrik
  • Datenschutz, Geheimhaltung und Datensicherheit
  • Haftung und Haftungsbeschränkungen
  • Supportleistungen
  • Kündigungsregelungen

Was ist ein Service Level Agreement („SLA") und warum ist das SLA so wichtig?

Das SLA enthält Angaben zu qualitativen Mindeststandards („Service Level), welche durch die jeweiligen SaaS- oder sonstigen Cloud-Services eingehalten werden müssen.

Besonders relevant ist die im SLA zugesagte störungsfreie Verfügbarkeit der SaaS- oder sonstigen Cloud-Services. Hiermit ist das Maß gemeint, in dem gewährleistet wird, dass auf die entsprechenden Services zugegriffen werden kann und diese wie vereinbart genutzt werden können.

Im Rahmen eines SLA ist daher insbesondere auf Folgendes zu achten:

  • Verfügbarkeitsquote

Es macht einen erheblichen Unterschied, ob die Verfügbarkeit z.B. 98% monatlich oder 98% jährlich beträgt. Bei 98% pro Jahr beträgt die maximal zulässige Ausfallzeit ca. 7 Tage und 7 Stunden am Stück je Jahr. Bei 98% pro Monat hingegen ca. 14 Stunden am Stück je Monat.

  • § Ausnahmefälle

In vielen SLAs wird eine Vielzahl an Fällen aufgezählt, welche nicht als Ausfall der SaaS- oder sonstigen Cloud-Services zählen. Diese Ausnahmefälle bleiben bei der Überprüfung, ob die zugesagte Verfügbarkeit eingehalten wurde, unberücksichtigt.

Klassische Ausnahmefälle sind:

  • Vorgesehene Wartungsfenster
  • Höhere Gewalt
  • Verschulden des Kunden

Daneben befinden sich in einigen SLAs spezifische Ausnahmen, wie bspw. für bestimmte Fehlermeldungen oder wenn ein Ausfall durch einen Subunternehmer des Anbieters verursacht wird.

Umso mehr Ausnahmen vom SLA vorgesehen sind, desto mehr wirkt sich dies auf die versprochenen Leistungsparameter wie bspw. die Verfügbarkeit aus.

  • Reaktions- und Abhilfefristen

Kommt es mal zu einem Ausfall der SaaS- oder sonstigen Cloud-Services sind insbesondere die Reaktions- und Abhilfefristen relevant.

Die Reaktionsfrist bestimmt, innerhalb welcher Frist eine Erstreaktion durch den Support des Anbieters erfolgen muss. Die Abhilfefrist bestimmt, innerhalb welchen Zeitraums die jeweils aufgetretene Störung behoben werden muss.

  • § Rechte der nutzenden Organisation

Daneben verkürzen einige SLAs die nach deutschem Recht bestehenden gesetzlichen Rechte der nutzenden Organisation für den Fall der Verletzung des SLA (z.B. Schadensersatzansprüche, Mängelrechte). Das kann mit weitgehenden Haftungsausschlüssen einhergehen. Wenn diese wirksam sind, ist das gut für den Service Provider und schlecht für den Kunden.

Worauf muss ich bei den Lizenzbestimmungen achten?

Die Lizenzbestimmungen regeln, in welchem inhaltlichen, zeitlichen und räumlichen Umfang die Organisation die SaaS- und sonstigen Cloud-Services nutzen kann.

So macht es bspw. einen erheblichen Unterschied, ob nur bestimmte namentliche benannte Personen (sog. „Named User“) oder eine bestimmte Anzahl von beliebigen Personen gleichzeitig (sog. „Concurrent User“) die SaaS- bzw. Cloud-Services verwenden dürfen.  

Daneben sind insbesondere die zulässige Nutzungsintensität und ggf. auch die konkret technische Einbindung der SaaS- und sonstigen Cloud-Services in die vorhandenen IT-Systeme relevant.

Was ist bei der Preisgestaltung zu beachten?

Vergütungsmodelle für SaaS- und Cloud-Services können vielfältig ausgestaltet sein.

Mögliche Vergütungsmodelle können bspw. sein:

  • Fixpreis/Flatfees z.B. monatlich oder jährlich zu zahlende Vergütungspauschalen
  • Vergütung pro Nutzer
  • Pay-per-Use z.B. von der Anzahl der Abrufe oder durchgeführter Transaktionen abhängig
  • Mischmodelle z.B. Fixpreis, ergänzt durch nutzungsabhängige Vergütung
  • Vergütung für Zusatzleistungen wie z.B. Installation von Updates, Support

Bei der Preisgestaltung ist insbesondere auf folgende Aspekte zu achten:

  • Preisanpassungsklauseln

SaaS/Cloud-Verträge haben häufig eine lange Vertragslaufzeit. Bei längeren Geschäftsbeziehungen sind Preisanpassungsklauseln üblich. Regelungen zu Preisanpassungen sind jedoch grundsätzlich nach deutschem Recht nur in engen Grenzen möglich.

Als Alternative zu Preisanpassungen können Gunsten der Kalkulationssicherheit z.B. fixe Staffelpreise vereinbart werden.

  • Fälligkeit der Vergütung

Die Fälligkeit der Vergütung fällt im Rahmen von umfassenden IT-Projektenhäufig auf den Zeitpunkt der Abnahme der SaaS- bzw. sonstigen Cloud-Services. Gerade bei längerfristigen Projekten können Zahlungen für die Erreichung bestimmter Meilensteine vereinbart werden, um die Zahlungen in ein angemessenes Verhältnis zu den Leistungsergebnissen zu setzen.

Inwiefern darf der Anbieter seine Haftung beschränken?

Viele Haftungsbeschränkungen in Verträgen – auch zum Teil prominenter Anbieter – sind bei Zugrundelegung des Maßstabs der deutschen Rechtsordnung unwirksam.

Vorformulierte Vertragsbedingungen unterliegen häufig dem deutschen AGB-Recht (§§ 305 ff. BGB), sofern deutsches Recht Anwendung findet. In diesem Falle unterliegt der Vertrag der AGB-Kontrolle. Viele Haftungsklauseln halten einer AGB-Kontrolle nicht stand und sind unwirksam. Die Haftung für Vorsatz kann beispielsweise nach deutschem Recht nicht ausgeschlossen werden. Ist hingegen eine andere Rechtsordnung auf den Vertrag anzuwenden, können umfassende Haftungsbeschränkungen wirksam sein.

Sind die Bestimmungen zur Haftung in den AGB unwirksam und es wird nicht verhandelt, finden die, in der Regel für Kunden günstigeren, gesetzlichen Vorschriften Anwendung.

Warum ist ein umfassendes Exit-Management essenziell?

Mit Vertragsbeendigung endet auch die Pflicht des Anbieters, die SaaS- bzw. Cloud-Services weiterhin zur Nutzung zur Verfügung zu stellen. Allerdings kann es in einigen Fällen (z.B. bei für den Anwender besonders geschäftskritischen SaaS-/Cloud-Produkten) notwendig sein, dass zumindest übergangsweise noch Unterstützungsleistungen nach Vertragsende erbracht werden. Daher kann es unter Umständen sinnvoll sein von Anfang an vertraglich ein Exit-Management zu regeln.

Warum ist die Rechtswahl bei SaaS/Cloud-Verträgen wichtig?

Gerade bei SaaS- und sonstigen Cloud-Services werden Leistungen häufig grenzüberschreitend erbracht. Wegen der möglichen Vielzahl an Rechtsordnungen, die auf diese Weise betroffen sein können, sollte das anwendbare Recht im Vertrag bestimmt werden. Grundsätzlich sind die Parteien eines Vertrages bei der Rechtswahl frei. Warum die Rechtswahl so wichtig ist, zeigt das nachfolgende Beispiel auf.

Klauseln, die nach deutschem AGB-Recht unwirksam wären, sind im US-amerikanischem Recht zulässig, da diese keiner AGB-Kontrolle unterliegen. In den USA gilt ein anderes Haftungsregime als in der deutschen Rechtsordnung mit z.B. wesentlich weitgehenderen Möglichkeiten, die Haftung zu beschränken.

Wem gehören die Daten bei SaaS-/Cloud-Services?

Im Regelfall gehören die Daten auch bei der Nutzung eines cloudbasierten Dienstes der Organisation. Einzelheiten oder abweichende Regelungen können im Vertrag vereinbart werden.

Wie können Datenschutz und Datensicherheit vertraglich abgesichert werden?

Bei SaaS- und Cloud-Services werden die Daten der Organisation im Regelfall auf den Servern des Anbieters in der Cloud gespeichert und verarbeitet. Da die Daten vor unbefugten Zugriffen durch Dritte geschützt werden müssen, ist die richtige Vertragsgestaltung für die Gewährleistung von Datenschutz und Datensicherheit in der Cloud entscheidend. Je nach Einsatzzweck der SaaS- bzw. Cloud-Services, der Sensitivität der Daten und der Umgebung sind an die Sicherheit unterschiedliche Anforderungen zu stellen.

Werden personenbezogene Daten (z.B. Kunden- oder Mitarbeiterdaten) in der Cloud verarbeitet, sind verschiedene gesetzliche Vorgaben, insbesondere diejenigen der Datenschutz-Grundverordnung („DSGVO“) zwingend einzuhalten.

Was ist besonders in Bezug auf datenschutzrechtliche Aspekte zu beachten?

Der Datenschutz sollte im Rahmen von Cloud-/SaaS-Services nicht nachlässig behandelt werden. Insbesondere folgende Aspekte sollten geprüft werden:

  • Notwendigkeit einer Datenschutzvereinbarung und ggf. Abschluss (insbesondere Auftragsverarbeitungsvertrag)
  • Vorliegen adäquater technischer und organisatorischer Maßnahmen zur Verhinderung von bspw. Datenverlust, Datendiebstahl und Datenmanipulation
  • Vorliegen von Drittlandtransfers

20.05.2022

IT-Recht und Datenschutz

Geschäftsführer haften auch persönlich für Datenschutzverstöße

Die Zahl der Schadensersatzklagen von Betroffenen wegen Datenschutzverstößen auf Grundlage von Art. 82 der Datenschutz-Grundverordnung (DSGVO) nimmt stetig zu und beschäftigt die Rechtsprechung. Bislang war noch nicht geklärt, ob Geschäftsführer gemeinsam…

28.06.2021

IT-Recht und Datenschutz

Apps und Datenschutz – Was gilt es beim Einsatz im Unternehmen oder der Behörde zu beachten?

„Drum prüfe, wer sich ewig bindet“

Möchte man eine App langfristig gewinnbringend in der eigenen Organisation einsetzen, ohne im Nachhinein unliebsame Überraschungen zu erleben, so muss die einzusetzende App im Vorfeld geprüft…

04.06.2021

IT-Recht und Datenschutz

Internationaler Datentransfer: Behörden beginnen mit bundesweiter Prüfung

Über eines sind sich alle einig: Der Europäische Gerichtshof (EuGH) hat mit seiner Entscheidung zum Privacy Shield im vergangenen…

20.11.2020

IT-Recht und Datenschutz

Microsoft macht internationalen Datentransfer sicherer

Erst letzte Woche stellte der Europäische Datenschutzausschuss (EDSA – das Gremium der europäischen Datenschutzaufsichtsbehörden) seine

13.11.2020

IT-Recht und Datenschutz

Neue Leitlinien des EDSA zu Schrems II und neue Standarddatenschutzklauseln veröffentlicht

Wer derzeit Daten in Länder außerhalb der EU/des EWR exportieren möchte, muss mit den Folgen des EuGH Urteils in Sachen Schrems II kämpfen. Wie den meisten Lesern bekannt sein dürfte, hat der

09.10.2020

IT-Recht und Datenschutz

Der US CLOUD Act: Eine Gefahr für den Datenschutz in Europa?

Nachdem die Debatte rund um den internationalen Datentransfer in Folge der „Schrems II“-Entscheidung des EuGH (hier unsere Analyse…