23. Mai 2022Datenschutz, Informationstechnologie

Software-as-a-Service und Recht – Ein Überblick

Software-as-a-Service (SaaS) Anwendungen sind aus Unternehmen kaum noch wegzudenken und stellen eine gängige Lösung für die Bewerkstelligung von Arbeitsprozessen dar. Zu den bekanntesten SaaS-Produkten gehören unter anderem Microsoft Office 365 und Google Workspace oder auch diverse Anbieter:innen für Videokonferenzen, die während der Corona-Krise wichtiger denn je geworden sind. Dieser Beitrag soll einen ersten Überblick über SaaS-Anwendungen verschaffen und darstellen, welche Vorteile sie bieten und wie sie rechtlich einzuordnen sind.

I. Was ist SaaS?

Software-as-a-Service bedeutet, dass der Anbieter nicht die Software selbst, sondern deren Nutzung als Produkt anbietet. Software und IT-Infrastruktur werden bei einem externen IT-Dienstleister betrieben. Software-as-a-Service ist deshalb ein Teilbereich des Cloud-Computing. Es gibt zahlreiche Anwendungsfälle, von den bereits erwähnten Office- und Videokonferenz-Applikationen bis zu Lösungen für das Personal-, Customer-Relationship- und Finanzmanagement.

Neben Software-as-a-Service (SaaS) tauchen auch häufig die Begriffe Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS) auf. Diese Geschäftsmodelle stellen ebenfalls Teilbereiche des Cloud-Computings dar und werden oft mit SaaS zusammen in einem pyramidenförmigen Diagramm dargestellt, da sie sich in den Anwendungsfällen gegenseitig ergänzen können. Beispielsweise kann ein SaaS-Anbieter die Nutzung der Software zur Verfügung stellen, indem er die Software selbst programmiert und sie dann auf einem Server hostet, deren Nutzung der SaaS-Anbieter von einem IaaS-Anbieter einkauft. Der IaaS-Anbieter kümmert sich dann um den Betrieb des Servers.

Beim Einsatz von SaaS-Produkten entstehen häufig sog. Dienstleisterketten. Der SaaS-Anbieter greift z.B. auf PaaS-Dienste zurück und der PaaS-Anbieter auf einen IaaS-Dienst. In Dienstleisterketten gibt es ein paar Besonderheiten zu beachten, etwa was die Verteilung der Zugriffsmöglichkeiten oder die Ausfallsicherheit betrifft. Auch Drittlandübermittlungen können eine Rolle spielen. Die Dienstleister müssen die Vertraulichkeit der Daten sicherstellen und der Kunde sollte einen Überblick darüber haben, welche Dienstleister mit seinen Datensätzen in Berührung kommen.

Infrastructure-as-a-Service stellt die unterste Ebene der Pyramide dar. IaaS-Anbieter stellen nur die grundlegende Infrastruktur (z. B. Rechenleistung, Speicher) zur Verfügung. Alles weitere betreiben die Nutzenden selbständig. Beispiele hierfür sind die Anbieter AWS oder Microsoft Azure.

Auf der mittleren Ebene der Pyramide befindet sich das Geschäftsmodell Platform-as-a-Service. Zielgruppe sind insbesondere Programmierende denen eine Plattform zur Verfügung gestellt wird, auf der sie eigene Anwendungen entwickeln können, ohne dass sie die hierfür nötige Infrastruktur selbst verwalten müssen. Beispiele für PaaS sind Google App Engine oder Heroku.

SaaS steht an der Spitze der Pyramide, denn die in diesem Geschäftsmodell entwickelten Dienste richten sich direkt an den End-Benutzer.

Die Abgrenzung von SaaS zu PaaS und IaaS kann gelegentlich schwierig sein, da Dienste ineinandergreifen können. Man orientiert sich dabei eher an der technischen Ausgestaltung. Von Seiten der Rechtsprechung hat SaaS noch nicht viel Beachtung gefunden; häufig beziehen sich Urteile auf ältere Dienst- und Vertragsarten, die heutzutage in der Praxis weniger wichtig sind.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

II. Vorteile von SaaS-Verträgen

Die Verwendung von SaaS-Produkten bietet für die Nutzenden vielfältige Vorteile. Die Anschaffungskosten für SaaS-Produkte sind in der Regel gegenüber on-premise-Lösungen niedriger und oftmals besteht die Möglichkeit einer Abrechnung nach dem Pay-as-you-go-Prinzip, denn häufig wird SaaS in Abonnement-Form verkauft.

Darüber hinaus ist der Einsatz von SaaS-Software gegenüber on-premise-Lösungen einfacher: die Software muss nicht installiert, gepflegt, gewartet oder geupdatet werden. All dies erfolgt durch den Anbieter. Auch die Voraussetzungen an die Infrastruktur sind deutlich geringer, in der Regel genügt eine Internetzugang und ein Standard-Browser. Letztendlich bekommt der End-Benutzer nur den Zugang zur Software zur Verfügung gestellt

III. Rechtliche Einordnung

Bevor konkrete Fragen, etwa zu Vertragsgestaltung, Haftung oder Gewährleistung, beantwortet werden können, muss zunächst die Rechtsnatur von SaaS-Verträgen geklärt werden.

Rechtsnatur

In einem SaaS-Vertrag kommen Elemente aus verschiedenen Vertragstypen zusammen: das Werkvertragsrecht, §§ 631 ff. BGB, das Dienstvertragsrecht, §§ 611 ff. BGB und das Mietvertragsrecht, §§ 535 ff. BGB.

Im Rahmen eines Werkvertrages wird im Gegensatz zum Dienstvertrag über das bloße Tätigwerden hinaus auch ein Erfolg geschuldet. Ein Erfolg kann etwa bei einer Datenmigration, der Implementierung der Software oder bei individueller Softwareanpassung geschuldet sein. In diesen Fällen soll der Anbietende nicht nur versuchen, etwa eine Datenmigration durchzuführen, sondern diese auch tatsächlich bewerkstelligen.

Ein reines Tätigwerden nach den Vorschriften des Dienstvertrages kann beispielsweise bei Schulungen über die Software geschuldet sein. Der Anbietende muss lediglich die Schulungen von entsprechend qualifiziertem Personal durchführen, ist aber für keinen Erfolg verantwortlich, etwa dass die Teilnehmenden die Software verstanden haben und mit dieser umgehen können.

Den Kernbereich eines SaaS-Vertrags stellt jedoch das Mietrecht dar. Dieser Ansicht ist auch der Bundesgerichtshof (BGH, Urteil vom 15.11.2006 – XII ZR 120/04). Das Urteil stammt aus dem Jahr 2006, ist also älter als viele heute gängige SaaS-Geschäftsmodelle. Die Rechtsprechung zu SaaS ist insgesamt eher überschaubar. Trotzdem: Die Bereitstellung einer Software zu Gebrauchszwecken ist am ehesten mit der Besitzüberlassung aus dem Mietrecht vergleichbar. Dies war lange streitig, weil Mietrecht voraussetzt, dass der/die Mieter:in Besitz an einer Sache erlangt und der/die Vermieter:in diesen Besitz vollständig aufgibt. Im Rahmen eines SaaS-Vertrages bleibt die Software jedoch im Besitz des Anbietenden, nur die Nutzung wird ermöglicht. Zudem ist Software juristisch gesehen keine „Sache“. Diese Gebrauchsüberlassung auf Zeit ist nach Ansicht des BGH jedoch derart mit den Regelungen und dem vom Mietrecht verfolgten Zweck vergleichbar, dass Mietrecht den Hauptbestandteil eines SaaS-Vertrages prägt.

Regelmäßig stellt sich die Frage, welcher Vertragsbestandteil Mietrecht, Werkvertragsrecht oder Dienstleistungsvertragsrecht unterfällt. Grundsätzlich sollte dasjenige Recht angewendet werden, welches für die konkreten Leistungsteile gilt, also etwa Werkrecht für eine Datenmigration und Mietrecht für die Bereitstellung der Software. Soweit der Vertrag als Ganzes betroffen ist, beziehungsweise ein Leistungsteil nicht sinnvoll abgetrennt werden kann, wird dagegen einheitlich dasjenige Recht angewendet, welches den Schwerpunkt des Vertrages bildet, regelmäßig Mietrecht. Entsprechend wird etwa bei Leistungsstörungen das spezifische Recht angewendet (z. B. Werkrecht, wenn ein Mangel bei der Datenmigration vorliegt), die Kündigung eines SaaS-Vertrages richtet sich dagegen regelmäßig nach Mietrecht.

Auch Updates und Upgrades sollten rechtlich gut auseinandergehalten werden. Weil die Unterschiede zwischen beiden technisch nicht immer trennscharf sind, lassen sie sich nicht leicht auseinanderhalten. Für die rechtliche Bewertung ist der Unterschied allerdings relevant, da sie verschiedenen Vertragstypen zugeordnet werden.

Das könnte Sie auch interessieren:

Vertragsgestaltung

Wie häufig bei der Vertragsgestaltung, gibt es auch im SaaS-Bereich viele mögliche Fallstricke. Ohne Anspruch auf Vollständigkeit werden im Folgenden einige Themen angesprochen, die einem bei SaaS-Verträgen häufiger begegnen können.

In der Regel werden SaaS-Verträge als vorformulierte Verträge bereitgestellt und fallen damit unter den Regelungsbereich der allgemeinen Geschäftsbedingungen (§§ 305 bis 310 BGB). Dies hat unter anderem zur Folge, dass eine ungültige Klausel durch die gesetzliche Regelung ersetzt wird (keine geltungserhaltende Reduktion). Gerade bei der Nutzung von US-amerikanischen Verträgen als Vorlage für SaaS-Verträge ist deshalb Vorsicht geboten. Oftmals enthalten US-amerikanische SaaS-Verträge beispielsweise drastische Haftungsausschlüsse, die der differenzierten deutschen Rechtslage widersprechen. Wird eine solche Version lediglich übersetzt und dem deutschen Recht unterstellt, dürften diese Haftungsausschlüsse in aller Regel unwirksam sein mit der Folge, dass allein das gesetzliche Haftungsregime gilt. Zulässig sind nach deutscher Rechtslage etwa Beschränkungen bei verschuldensunabhängiger Haftung (§ 536a BGB z. B. unbeabsichtigter Programmierfehler) oder bei einfacher Fahrlässigkeit (Ausnahme: Verletzung von Kardinalspflichten). Vorsätzliches oder grob fahrlässiges Verhalten sowie Verletzungen von Leben, Leib oder Gesundheit können nicht von der Haftung ausgeschlossen werden (§§ 307, 309 BGB). Gleiches gilt, wenn der/die Anbieter:in eine Garantie übernommen oder pauschal die Haftung begrenzt hat.

SaaS-Produkte können sich während der Vertragslaufzeit ändern. Beschreibungen der Funktionen und Dokumentation müssen angepasst werden, wenn sich das Produkt ändert. Häufig finden diese Änderungen plattformweit für eine Vielzahl von Nutzern statt. Damit die Verträge zu diesen Änderungen nicht in Widerspruch stehen, müssen diese Dokumente AGB-konform in die Verträge eingebunden werden. Dies kann beispielsweise durch die dynamische Einbindung und Kennzeichnung von Links geschehen.

Des Weiteren sollte die Leistungsbeschreibung genau geprüft werden. Hier werden die Fähigkeiten und Funktionen der Software beschrieben und somit der geschuldete Leistungsumfang definiert. Eine genaue Leistungsbeschreibung kann somit auch den Haftungsrahmen präzisieren.

Ein weiterer wichtiger Teil eines SaaS-Vertrages ist das Service-Level-Agreement (SLA). Dieses trifft Regelungen unter anderem zu der Verfügbarkeit der Software, der Erreichbarkeit des Supports, den Reaktions- und Problembehebungszeiten, Wartungsfenstern sowie gegebenenfalls Minderungsrechten. Da die Bereitstellung der Software regelmäßig Mietrecht unterliegt, stellt insbesondere die Verfügbarkeitsregelung der Software einen Kernpunkt des SLA dar. Grundsätzlich schuldet der Vermietende im Rahmen eines Mietvertrages die unterbrechungsfreie Zurverfügungstellung der Mietsache. Dies kann bei SaaS-Verträgen selten in genau diesem Umfang gewährleistet werden. Daher sollten die Verfügbarkeit der Software und die Folgen einer eventuellen Nichtverfügbarkeit konkret vereinbart werden.

Sonderproblem: Datenschutz

SaaS-Verträge stellen in der Regel eine Auftragsverarbeitung nach Art. 28 DSGVO dar und erfordern daher eine Auftragsverarbeitungsvereinbarung (AVV). Es besteht eine Pflicht zur Gewährleistung technischer und organisatorischer Maßnahmen, um personenbezogene Daten angemessen zu schützen. Zwar werden bei der Nutzung von SaaS-Anwendungen Daten des Nutzenden verarbeitet und dieser ist grundsätzlich für diese Daten verantwortlich. Da die Software jedoch vom Anbietenden betrieben und verwaltet wird, wird dieser als Auftragsverarbeiter für den Nutzenden tätig und übernimmt vertraglich die Gewährleistung bezüglich der Datensicherheit. Darüber hinaus muss bei der Verarbeitung von Daten außerhalb des Europäischen Wirtschaftsraums oder eines Drittlandes, dessen Datenschutzniveau von der Europäischen Kommission als mit dem der EU vergleichbar erklärt wurde ein angemessenes Datenschutzniveau gewährleistet werden. Somit ist auch bei SaaS-Nutzung häufig das “Schrems II”- Urteil des EuGH zu beachten.

SaaS-Produkte setzen oftmals, wie auch andere Online-Dienste, Cookies ein. Dabei besteht im Rahmen von SaaS-Verträgen an sich keine Sonderreglung. Es bleibt bei dem Grundsatz, dass ohne eine Rechtfertigung keine personenbezogenen Daten verarbeitet werden dürfen. Ohne eine Einwilligung dürfen etwa nur unbedingt erforderliche Cookies oder andere Tools, die Informationen im Endgerät des Nutzers speichern oder auf diese zugreifen, eingesetzt werden. In Deutschland wurde diese Anforderung des Art.5 Abs. 3 ePrivacy-Richtlinie zunächst unzureichend umgesetzt und lediglich auf den bestehenden § 15 Abs. 3 TMG verwiesen, was jahrelange Rechtsunsicherheit brachte. Durch den neuen § 25 TTDSG wird die Anforderung aus der ePrivacy-Richtlinie korrekt umgesetzt.

IV. Fazit und Ausblick

SaaS-Lösungen werden beliebter und kommen immer häufiger zum Einsatz. Sie besitzen großes Potential und stellen für die Nutzenden eine bequeme und kostengünstige Lösung dar.

Durch die Umsetzung der Digitale-Inhalte-Richtlinie wird im B2C-Bereich mehr Klarheit geschaffen. Es wird ein Rechtsrahmen für Verträge über digitale Produkte geschaffen, innerhalb dessen auch Punkte wie Aktualisierungspflichten und Bezahlen mit Daten durch Verbraucher geregelt werden.

Dahingegen wird es bei B2B-Verträgen weiterhin erforderlich sein, eine Einzelfallbetrachtung vorzunehmen und viele Details – vom Leistungsinhalt bis zu Haftungs- und Gewährleistungsfragen – genau zu prüfen.

Kontaktieren Sie uns gern bei Fragestellungen rund um Software-as-a-Service und Recht!

nach oben
Mehr zum Thema

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.