16. Februar 2021Datenschutz, Informationstechnologie

SaaS: Rechtliche & praktische Tipps – von AVV bis Service Level Agreement

SaaS-Lösungen sind für viele Unternehmen eine wichtige Basis für ihren Geschäftsbetrieb. Sie ermöglichen etwa die gemeinsame Bearbeitung und Speicherung von Dokumenten, die Analyse von Geschäftsabläufen und des Kundenverhaltens, vereinfachen die Buchhaltung oder stellen je nach Branche die Grundlage für das eigene Geschäftsmodell gegenüber den eigenen Kunden dar. Doch so vielfältig die verschiedenen Anwendungsfelder sind, so vielfältig sind auch die rechtlichen Besonderheiten und Herausforderungen, die damit verbunden sind. In diesem Blogartikel geben wir hilfreiche Tipps aus rechtlicher Sicht und für die Praxis. Wir beantworten die wichtigsten Fragen in unserem FAQ.

Welchen Vertragstyp stellt SaaS dar?

Welchen Vertragstyp Software as a Service darstellt, ist teilweise umstritten und hängt wesentlich davon ab, welchen Bestandteil des SaaS man gerade betrachtet. Auswirkung hat die Einordnung zu einem Vertragstyp auch hinsichtlich der gesetzlichen Regelungen zu allgemeinen Geschäftsbedingungen (AGB).

Der eigentliche SaaS-Betrieb, also die Softwareüberlassung bzw. die Einräumung des Zugangs zu bereitgestellten Online-Services, entspricht am ehesten einem Mietvertrag nach § 535 BGB. Denn hier wird die Bereitstellung und der Gebrauch der SaaS-Services gegen ein Entgelt gewährt. Es handelt sich insoweit um ein Dauerschuldverhältnis, bei dem der Anbieter die Gebrauchsfähigkeit des SaaS sicherstellen muss. Begründet wird diese Einordnung insbesondere mit einem schon etwas älteren Urteil des Bundesgerichtshofs (BGH), in welchem er die Softwareüberlassung (als ASP – „Application Service Providing“) als Mietvertrag einstufte (BGH, 15.11.2006 – XII ZR 120/04).

Sofern dem SaaS-Betrieb die Implementierung und Datenmigration vorangeht, etwa von Datenbanken von Kunden oder Partnern, so ist dieser Leistungsbestandteil am ehesten als Werkvertrag nach § 631 BGB einzustufen. Denn hierbei wird ein Erfolg geschuldet, also die erfolgreiche Implementierung der Daten, um das SaaS danach effektiv nutzen zu können. Begründet wird diese Einordnung auch mit der Ansicht des BGH, nach der die Anpassung von Software im Regelfall als Werkvertrag einzustufen sei (so etwa BGH, 05.06.2014 – VII ZR 276/13).

Wird etwa aufgrund der Komplexität der SaaS-Anwendung auch eine Schulung durchgeführt, kann dieser Leistungsbestandteil wiederum am ehesten als Dienstvertrag nach § 611 BGB angesehen werden. Dabei wird nur das Tätigwerden – also die Durchführung der Schulung – und kein expliziter Erfolg geschuldet.

Die ebenfalls oftmals geschuldeten Leistungen wie Wartung und der Support beim SaaS müssen je nach Einzelfall einem Vertragstyp zugeordnet werden, je nachdem, ob Wartung und Support im Rahmen des Betriebs notwendigerweise Bestandteil des Mietvertrags sind, ob ein bestimmter Erfolg geschuldet ist, wie die Behebung eines Problems, oder schlicht nur das Tätigwerden nach der Beschwerde über ein Problem geschuldet wird. Ausgangspunkt hierfür sind die vertraglichen Regelungen. Wichtig ist insofern im vertraglichen Bereich, dass die einzelnen Leistungsbestandteile sauber voneinander getrennt werden, auch da die unterschiedliche rechtliche Einordnung gewichtige Unterschiede im Hinblick auf damit verbundene Gewährleistungsrechte mit sich bringt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Was gehört in die Leistungsbeschreibung bei SaaS?

Die Leistungsbeschreibung legt die Art, den Umfang und die Güte der geschuldeten Leistung fest – bei Software as a Service also, was die bereitgestellte Softwarelösung genau kann bzw. was sie nicht kann. Sie sollte so genau wie möglich sein, um Missverständnisse und rechtliche Streitigkeiten um den genauen Umfang der Leistung zu vermeiden. Aus AGB-rechtlicher Sicht empfiehlt sich hierbei, die verfügbaren Leistungen im Detail zu formulieren, etwa in einer zugehörigen Anlage zum Vertrag.

Dabei sollte beachtet werden, dass für die Beurteilung des Leistungsumfangs unter Umständen auch Aussagen in Werbematerialien herangezogen werden können, weshalb diese nicht über den Leistungsrahmen hinausgehen sollten. Vorsicht ist auch geboten bei Formulierungen wie „sichert zu“, „garantiert“ und „versprochen“, wenn nicht beabsichtigt ist, tatsächlich eine Garantie abzugeben. Sofern die Softwarelösung bekannte Fehler hat, sollten diese transparent mitgeteilt werden, um zu verhindern, dass diese bei Bekanntwerden Grundlage für rechtliche Auseinandersetzungen sind. Dies insbesondere, da im Bereich des Mietvertragsrechts eine verschuldensunabhängige Haftung für Mängel vorliegt, die bereits bei Beginn der Nutzungsgewährung vorlagen, § 536a Abs. 1 BGB. Diese Haftung sollte aus Anbietersicht soweit wie möglich reduziert werden.

Was gehört in ein Service Level Agreement (SLA)?

Das sogenannte Service Level Agreement (SLA) bildet üblicherweise einen gesonderten Teil des Leistungsvertrags, der auf die Leistungsbeschreibung Bezug nimmt und die genauen Leistungsinhalte (Service Levels) sowie die Rechtsfolgen im Falle eines Verstoßes näher bestimmt. Vereinfacht gesagt regelt das SLA die Verfügbarkeit der bereitgestellten SaaS-Lösung und Fragen zur Erreichbarkeit von Wartung und Support. Folgende Bestandteile können beispielsweise im SLA geregelt werden:

  • Definition der Leistungsstörung
  • Definition und Erklärung zur Messung der Verfügbarkeit bzw. Betriebszeit (insgesamt oder pro abgrenzbaren Bestandteil der Anwendung)
  • Angaben zur Verfügbarkeit (z. B. „99% im Monat ohne geplante Wartungszeiten“) und zu geplanten Wartungszeiten (z. B. „1 Stunde pro Monat“)
  • Support und Reaktionszeit im Falle einer Störung (z. B. „innerhalb von 24 Stunden“)
  • Wiederherstellungszeit und Backups
  • Beweislastverteilung
  • Monitoring und Reporting
  • Rechte des Kunden und mögliche Vertragsstrafen
  • Kündigungsmöglichkeiten

Inwiefern darf die Haftung bei SaaS beschränkt werden?

Die meisten SaaS-Verträge sind vorformuliert und unterliegen so den AGB-Anforderungen. Deshalb sind überraschende und unangemessen benachteiligende Klauseln unzulässig. Der Anbieter kann die Haftung insbesondere in folgenden Fällen nicht ohne Weiteres beschränken:

  • Vorsatz
  • Grobe Fahrlässigkeit
  • Verletzung von Leben, Körper oder Gesundheit
  • Arglist
  • Übernahme einer Garantie (z. B. im SLA)

Hingegen kann die Haftung bei einfacher Fahrlässigkeit grundsätzlich beschränkt werden, sofern es sich nicht um besonders wichtige Pflichten, sogenannte Kardinalpflichten, handelt. Nach ständiger Rechtsprechung des BGH muss die Haftung für die Verletzung dieser Kardinalpflichten mindestens den vorhersehbaren, vertragstypischen Schaden umfassen (sog. Vorhersehbarkeitsformel).

Aber auch, wenn ein Haftungsausschluss grundsätzlich möglich ist, sollte man mit pauschalen Haftungsausschlüssen sehr vorsichtig sein, denn diese sind insbesondere in folgenden Fällen oftmals unwirksam für:

  • Indirekte/mittelbare Schäden
  • Entgangenen Gewinn
  • Betriebsausfallschäden
  • Im Falle von Datenverlust

Muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden?

Software as a Service stellt in der Regel eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar. Der Nutzer beauftragt also den Anbieter des SaaS zur Verarbeitung personenbezogener Daten und entscheidet über die Zwecke und wesentlichen Mittel der Verarbeitung. Dabei darf der Anbieter die Daten zumindest im Rahmen des AVV nicht ohne Weiteres zu anderen Zwecken (eigene Geschäftsinteressen) verarbeiten, er unterliegt insofern einem Nutzungsverbot. Diese Regeln werden in einem Auftragsverarbeitungsvertrag (AVV) festgehalten, den vor allem die großen Anbieter auch öffentlich einsehbar machen.

Der AVV sollte vor Unterzeichnung bzw. vor Nutzung des SaaS auf die Einhaltung der in Art. 28 DSGVO geregelten Mindeststandards geprüft werden. Dies ist wichtig, weil der Nutzer haftbar ist, wenn er sich nicht von der Einhaltung der gesetzlichen Vorgaben überzeugt hat, also neben dem datenschutzkonformen AVV auch die erforderlichen technischen und organisatorischen Maßnahmen (TOMs) für die Datenverarbeitung vorliegen. Die Haftung kann nach der DSGVO nicht vollständig ausgeschlossen werden.

Muss das Urteil zum Privacy Shield beachtet werden?

Auch für SaaS-Anwendungen, die in großer Zahl von US-Dienstleistern angeboten werden oder bei der sich europäische Anbieter US-Dienstleistern für das Hosting bedienen (wie z.B. AWS, MS Azure), muss das Urteil des EuGH zur Übermittlung von Daten in Drittländer wie den USA („Schrems II“) beachtet werden. Das heißt, dass geprüft werden muss, von wem die Daten wo und unter welchen vertraglichen und technischen Bedingungen verarbeitet werden. Das betrifft nicht nur Daten, die in den USA gespeichert und verarbeitet werden, sondern insbesondere wegen des US-amerikanischen CLOUD Act auch Daten bei Tochterfirmen von US-Dienstleistern in der Europäischen Union.

Werden Standardvertragsklauseln (SCC) abgeschlossen, müssen nach dem EuGH zusätzliche Maßnahmen (wie etwa die Inhaltsverschlüsselung der Daten und das Schlüsselmanagement beim Nutzer) geprüft und umgesetzt werden, um ein angemessenes Datenschutzniveau zu gewährleisten. Dies erfordert umfassende Beratung.

Braucht SaaS ein Cookie-Management?

Auch bei Software as a Service müssen die aktuellen rechtlichen Rahmenbedingungen zur Nutzung von Cookies und ähnlichen Technologien beachtet werden. Der BGH hat in seinem Urteil zu „Planet49“ (BGH, Urt. v. 28. Mai 2020 – Az. I ZR 7/16) klar gemacht, dass er die korrekte Umsetzung der europäischen ePrivacy-Richtlinie in Deutschland erwartet – und hat mit seiner richtlinienkonformen Auslegung des § 15 Abs. 3 S. 1 TMG den Weg für die Einwilligungspflicht für Cookies und ähnliche Technologien geebnet. Eine gesetzliche Neuregelung nach dem BGH-Urteil folgt mit der Reform des TMG.

Aber auch bis dahin gilt, dass Cookies und ähnliche Technologien bei SaaS-Anwendungen nur dann ohne Einwilligung gesetzt bzw. verwendet werden dürfen, wenn diese technisch für den Betrieb der SaaS-Lösung erforderlich sind. Dies entspricht bei Software as a Service im Endeffekt der objektiven Erforderlichkeit für einen Vertrag nach Art. 6 Abs. 1 lit. b DSGVO. Deshalb sind etwa Tools zur Nutzungsanalyse oder für das Tracking des Nutzers bei kostenpflichtigen SaaS-Anwendungen wohl nicht ohne Einwilligung zulässig.

Solche optionalen Tools dürfen dann auch nicht ohne Weiteres „durch die Hintertür“ über vertragliche Regelungen in den AGB eingebunden werden. Auch wäre eine Einwilligung mithilfe einer Pflicht-Checkbox beim Abschluss des SaaS-Vertrags unzulässig. Eine solche Koppelung wäre allenfalls bei unentgeltlichen SaaS-Anwendungen möglich, wenn die personenbezogenen Daten die Gegenleistung für die Nutzung der SaaS-Lösung sind (vgl. OLG Frankfurt, 17.12.2015 – 6 U 30/15).

Muss der SaaS-Anbieter Upgrades vornehmen?

Der SaaS-Anbieter hat eine aus dem Mietvertrag hervorgehende Instandhaltungs- und Instandsetzungspflicht für seine angebotene SaaS-Anwendung. Dies umfasst Wartungs- und Pflegearbeiten, etwa durch Bugfixing und Sicherheitsupdates, um die Nutzbarkeit (also den vertragsgemäßen Gebrauch) des SaaS sicherzustellen. Der Anbieter ist jedoch nicht dazu verpflichtet, das SaaS durch Upgrades weiterzuentwickeln, außer dies wurde vertraglich so geregelt (z. B. automatisches Upgrade auf neueste Version).

Kann Open Source in SaaS integriert werden?

Inwiefern Open Source in eine SaaS-Anwendung integriert werden kann, hängt von der Softwarelizenz ab, unter der sie veröffentlicht wurde. Diese sieht häufig umfassende Haftungsbeschränkungen vor, weshalb der Anbieter des SaaS gegebenenfalls für Fehler aufgrund der Open-Source-Komponente seines SaaS haften könnte. Deshalb ist es wichtig, die Softwarelizenz umfassend zu prüfen.

Um Haftungsschwierigkeiten aufgrund von Open Source zu vermeiden, bietet es sich an, diese Komponenten klar von dem SaaS zu entkoppeln, etwa indem diese als optional zuschaltbare Option angeboten werden. Eine Entkopplung ist mitunter auch aufgrund des Copyleft-Effekts empfehlenswert.

Ist eine Anwendungs-Dokumentation verpflichtend?

Eine Dokumentation über die Funktionen einer Anwendung ist nach der Rechtsprechung des BGH zumindest im Bereich der klassischen Softwareüberlassung eine Hauptleistungspflicht und insofern eine „wesentliche, wenn nicht unerlässliche Vertragsleistung“ (BGH, 16.12.2003 – X ZR 129/01). Mit Abstrichen wird man eine solche Pflicht auch für den Bereich von SaaS-Lösungen bejahen müssen. Maßgeblich dafür, ob die Dokumentation für die SaaS-Anwendung die rechtlichen Anforderungen erfüllt, ist die Brauchbarkeit für den Nutzer. Die Dokumentation kann auch lediglich online (mit Möglichkeit zum Ausdrucken) zur Verfügung gestellt werden. Wichtig ist auch, dass die Dokumentation aktuell und verständlich ist. Der notwendige Umfang und der Inhalt der Dokumentation richtet sich nach der jeweiligen SaaS-Anwendung und dem Nutzerkreis.

Welche Bedeutung hat die Digitale-Inhalte-Richtlinie für SaaS?

Die Digitale-Inhalte-Richtlinie der EU betrifft Verträge über die Bereitstellung von digitalen Inhalten und Dienstleistungen eines Unternehmens an Verbraucher (B2C). Sie soll den rechtlichen Rahmen innerhalb der EU vereinheitlichen und erfasst mit ihrem weiten Anwendungsbereich auch SaaS-Anwendungen für Verbraucher. Hierzu zählen beispielsweise Health- und Sport-Apps und etwa die Anwendungen zur Erstellung von Steuererklärungen. Erfasst werden auch insbesondere kostenlose SaaS-Anwendungen, die sich etwa über Werbung finanzieren, denn personenbezogene Daten sind ausdrücklich als „Gegenleistung“ für digitale Inhalte und Dienstleistungen anerkannt.

In der Digitale-Inhalte-Richtlinie werden die Funktionalität, die Kompatibilität, die Zugänglichkeit, die Kontinuität und die Sicherheit als wichtige Leistungsmerkmale genannt. Maßstab sollen die vernünftige Erwartung des Verbrauchers und die üblichen Merkmale vergleichbarer digitaler Inhalte und Dienstleistungen sein. Wichtig ist, dass die Digitale-Inhalte-Richtlinie die Pflicht zur Bereitstellung von Updates und die Beweislastumkehr für ein Jahr festschreibt.

Die Richtlinie muss bis zum 01.07.2021 in Deutschland in nationales Recht umgesetzt werden. Ab 01.01.2022 sollen die umgesetzten Regelungen dann angewendet werden. Unternehmen, die digitale Inhalte und Dienstleistungen für Verbraucher anbieten, sollten sich bereits jetzt über die kommenden rechtlichen Anforderungen informieren und beraten lassen.

Fazit und Empfehlung

SaaS bietet großes Potential, aber zugleich einige rechtliche Besonderheiten und Herausforderungen. Insbesondere sind hinsichtlich der vertraglichen Einordnung, der Vertragsgestaltung und der Service Level Agreements viele Aspekte zu beachten. Aber auch datenschutzrechtliche Themen, wie die Nutzung von Cookies und ähnlichen Technologien sowie die Übermittlung von Daten in Drittländer wie den USA, müssen beachtet werden.

Insgesamt ergeben sich bei Software as a Service so erhöhte Anforderungen sowohl für die Anbieter als auch für die Nutzer. Deshalb ist eine rechtliche Beratung für Nutzer und Anbieter von SaaS gleichermaßen empfohlen. Wir beraten Sie gerne dabei, wie Sie SaaS-Lösungen rechts- und datenschutzkonform anbieten bzw. SaaS-Lösungen datenschutzkonform nutzen und vertragliche Besonderheiten erkennen können.

Wissenswertes zu SaaS

Was ist SaaS im Vergleich zu PaaS und IaaS?

SaaS („Software as a Service“) beschreibt die cloudbasierte Bereitstellung von Anwendungen, die ohne weitere technische Kenntnisse sofort genutzt werden können. Damit unterscheidet es sich von ähnlichen Modellen wie PaaS („Platform as a Service“), welches kurz gesagt eine Programmier- und Entwicklungsplattform für Anwendungen bietet, und IaaS („Infrastructure as a Service“), im Rahmen dessen Rechenleistung, Speicher oder Netzwerkkapazitäten bereitgestellt werden. Während bei SaaS der Anbieter die Kontrolle darüber hat, welches Betriebssystem eingesetzt wird und wie die Anwendung funktioniert, übt bei IaaS zumeist der Nutzer die Kontrolle über das Betriebssystem und die darauf laufenden Anwendungen aus. Das Verhältnis von SaaS, PaaS und IaaS lässt sich so am besten als Pyramide mit SaaS an der Spitze und IaaS an der Basis beschreiben, bei welcher die Kontrolle des Nutzers von der Basis bis zur Spitze ab- und des Anbieters zunimmt.

Welche Vor- und Nachteile hat SaaS?

Software as a Service hat gewichtige Vorteile. So hat es geringe Anschaffungskosten („pay as you go“) und erfordert nicht den Betrieb eigener Serverräume. Außerdem wird in der Regel eine hohe Erreichbarkeit der Dienste garantiert und die Anwendungen werden durch den Anbieter gewartet und mit notwendigen Updates versorgt. Dadurch bietet SaaS je nach Bedarf und abhängig von der Nutzerzahl eine sehr flexible Skalierbarkeit und ermöglicht es, Ressourcen in der Cloud voll auszuschöpfen.

Allerdings kann Software as a Service auch Nachteile mit sich bringen, wie etwa die Abhängigkeit vom Anbieter, auch hinsichtlich möglicher Leistungsstörungen wie Serverausfälle. Zudem lassen sich die SaaS-Anwendungen in der Regel nur wenig auf die eigenen Bedürfnisse anpassen. Auch der Schutz der Daten und Geschäftsgeheimnisse ist mitunter ein wichtiges Thema, besonders dann, wenn mehrere Subunternehmen (Reseller) eingesetzt werden, bei denen dann unklar ist, wer die Daten alles bekommt und wo sie eigentlich lagern. Auch eine Insolvenz des Anbieters bringt Risiken für die Nutzer mit sich.

Weitere spannende Beiträge zu IT-Verträgen, Sourcecodes & IT-Outsourcing

Source Code für Software im Insolvenzfall sicher hinterlegen
Auswirkungen von Covid-19 auf IT-Verträge: Ansprüche aufgrund von Leistungs­störungen
IT-Outsourcing: Vertragsgestaltung und Datenschutz

nach oben
Mehr zum Thema

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.