Software as a Service (SaaS) in der rechtlichen Umsetzung
Software as a Service (SaaS) ist kein neuer Begriff, dennoch hat das Geschäftsmodell in den letzten Jahren im Cloud Computing an Bedeutung gewonnen. Im Jahr 2018 werden deutsche Unternehmen voraussichtlich über 20 Milliarden Euro in die Cloud-Dienste investieren. Ein nicht unerheblicher Teil hiervon betrifft SaaS-Lösungen.
Was ist Software as a Service (SaaS)?
Unter SaaS wird prinzipiell die cloud- bzw. serverbasierte Bereitstellung von bestimmten Softwarediensten für einen vereinbarten Zeitraum gegen Entgelt verstanden. In der Regel erfolgt die Nutzung der Software direkt über den Browser. Aufgrund ihrer Handhabung finden die SaaS-Lösungen in sämtlichen Unternehmensbereichen Anwendung, insbesondere im Customer-Relationship-Management (CRM), im Human Resource Management (HRM) sowie im Finanzmanagement. Der SaaS-Anbieter ist dabei nicht zwingend mit dem Softwarehersteller identisch, jedoch zumindest Inhaber der erforderlichen urheberrechtlichen Nutzungsrechte an der Software. Im Zusammenhang mit SaaS-Verträgen stellen sich daher regelmäßig auch urheber- und datenschutzrechtliche Fragen.
Als Vorgänger von SaaS kann das sog. Application Service Providing (ASP) verstanden werden. Der wesentliche Unterschied zwischen SaaS und ASP besteht darin, dass im Rahmen einer ASP-Lösung üblicherweise eine Zuordnung des Computers beim Nutzer zur Software hergestellt wurde, während die SaaS-Dienste ohne diese besondere Zuordnung zu bestimmten Hardwareressourcen genutzt werden können und somit eine größere Flexibilität bieten.
Vor- und Nachteile von SaaS
Aus Kundensicht liegt der wohl größte Vorteil von SaaS-Lösungen in den geringen Anschaffungskosten. Durch das Outsourcing von Wartung und Updates der Software sowie der Server-Administration an den Anbieter, wird insgesamt eine höhere Kostenkontrolle geschaffen. Zudem gewährleistet die cloud- bzw. serverbasierte Bereitstellung eine umfassende Mobilität für Mitarbeiter des Unternehmens. Trotz dieser Vorteile sind mit der Nutzung von SaaS-Dienten allerdings auch Risiken verbunden, denn die Kunden sind vom Anbieter hinsichtlich der Funktionsfähigkeit der Software abhängig. Es kommen nicht nur Leistungsstörungen in der Sphäre des Anbieters in Betracht, sondern auch solche, die mit der Internetverbindung zusammenhängen. Zudem werden bei der Benutzung in der Regel auch Unternehmensdaten weitergegeben, sodass ein gewisses Vertrauen in die Datenintegrität des Anbieters erforderlich ist.
Service-Level-Agreements
Im Zusammenhang mit SaaS sind noch zahlreiche rechtliche Aspekte ungeklärt. Bereits die Frage nach der rechtlichen Einordnung der Vereinbarung zwischen dem Anbieter und dem Kunden ist umstritten. Die Bestimmung des Vertragscharakters hat nicht nur akademischen Wert, sondern ist auch aus Praxissicht äußerst relevant. Während etwa im Mietvertrag bei Leistungsstörungen, die bei Vertragsschluss vorhanden sind, eine verschuldensunabhängige Mängelhaftung des Anbieters gesetzlich vorgesehen ist, fehlt eine solche beim Dienstvertrag. Kommt es etwa zu Serverausfällen beim Anbieter, so würde die Geltendmachung von Ansprüchen möglicherweise von der Einordnung des Vertrages abhängen. Die herrschende Auffassung nimmt unter Berücksichtigung der Rechtsprechung des Bundesgerichtshofs zwar einen Mietvertrag an, dem wird jedoch entgegengehalten, dass die hier ergangenen Entscheidungen sich lediglich auf ASP-Verträge bezogen haben und aufgrund der technischen Neuerung der SaaS-Dienste auf diese nicht anwendbar sind.
Zur Risikominimierung empfiehlt es sich daher durch Service-Level-Agreements Fragen zur Haftung und zum Schadensersatz bei Leistungsstörungen ausdrücklich zu regeln. Diese sollten zumindest die nachfolgend genannten Bereiche umfassen:
- Verfügbarkeit des Dienstes einschließlich eines Messverfahrens zu deren Feststellung
- Definition von Leistungsstörungen
- Reaktions- und Wiederherstellungszeiten bei Leistungsstörungen
- Regelungen zur Beweislastverteilung bei Leistungsstörungen
- Vertragsstrafen und Kündigungsmöglichkeiten bei Leistungsstörungen
Urheberrechtliche Lizenz als Gegenstand des SaaS-Vertrages
Auch das Urheberrecht ist im Rahmen von SaaS-Verträgen zu beachten. Konkret geht es hierbei um die Frage, ob dem Kunden seitens des Anbieters ein (zumindest) einfaches Nutzungsrecht an der Software eingeräumt werden muss. Dies wird hier teilweise mit der Begründung angenommen, dass das Vervielfältigungsrecht des § 69c Nr. 1 UrhG durch das Bereitstellen der Software berührt wird, da jedenfalls eine „vorübergehende Vervielfältigung“ auf dem Arbeitsspeicher des Kunden stattfindet. Dem wird allerdings entgegengehalten, dass die wesentliche technische Vervielfältigung auf dem Server des Anbieters erfolgt. Die bloße Benutzung der Softwareanwendungen durch den Kunden sei hierfür nicht ausreichend.
Im Ergebnis kommt es wohl entscheidend die konkrete Ausgestaltung und Nutzung der Software an, so z.B. wenn die Software auf dem Computer des Nutzers installiert werden muss. Sofern hierbei dem Kunden die Zugriffssoftware vom Anbieter gestellt wurde, kann darin ggf. auch die konkludente Übertragung eines Vervielfältigungsrechts gesehen werden. Eine Regelung bzgl. der Nutzungsrechte ist in einem SaaS-Vertrag gleichwohl sinnvoll und empfehlenswert, um Rechtssicherheit für die SaaS-Anbieter und Nutzer zu schaffen.
SaaS und Datenschutzrecht
Darüber hinaus ist die Sicherheit der Daten des Kunden von großer Bedeutung, da diese zunächst erstellt und sodann auf den Anlagen des Anbieters gespeichert werden. Nicht nur der Anbieter, sondern ebenso der Kunde muss gewisse Vorschriften des Datenschutzrechts beim Abschluss eines SaaS-Vertrages berücksichtigen, gerade dann, wenn die Softwarenutzung (auch) die Verarbeitung von personenbezogenen Daten zum Gegenstand hat. In diesen Fällen wäre zur Meidung von möglichen Geldbußen wegen des Verstoßes gegen datenschutzrechtliche Regelungen ggf. ein Auftragsverarbeitungsvertrag unter Berücksichtigung des § 11 BDSG bzw. Art. 28 DSGVO zu schließen.
Ein weiter wichtiger Aspekt ist, dass der Kunde sich bei der Datenverarbeitung mittels SaaS per Erstkontrolle und sodann mit regelmäßigen Kontrollen von der Einhaltung der organisatorischen und technischen Maßnahmen überzeugen muss. Wie genau diese Kontrollen auszusehen haben und welche geeignet sind ist jeweils im Einzelfall zu bestimmen. Unter anderem spielt dabei eine Rolle, welche Daten bei der Benutzung der SaaS-Lösung verarbeitet werden. Der Anbieter kann beispielsweise zur Einhaltung von vertraglich vereinbarten Datensicherheitskonzepten, zur Vorlage von IT-Sicherheitszertifikaten oder zu ergänzenden Informationspflichten verpflichtet werden.
Fazit und Bewertung
Im Ergebnis weisen die SaaS-Dienste aus Nutzersicht zahlreichen Vorteilen auf, jedoch sind damit auch gewisse rechtliche Risiken verbunden. Nicht nur die für die Haftung relevante Bestimmung des Vertragscharakters bleibt umstritten, sondern auch die Frage, ob dem SaaS-Kunden ein Nutzungsrecht eingeräumt werden muss. Zudem sollte die Sicherheit der Daten des Kunden gewährleistet sein und dieser bei Verarbeitung personenbezogener Daten auch datenschutzrechtliche Vorschriften einhalten, denn die Daten liegen nicht mehr auf den eigenen Rechnern des Kunden, sondern auf dem des Anbieters. Bei der Auswahl des SaaS-Dienstleister sollte daher mit Sorgfalt vorgegangen werden und ggf. regelmäßige Kontrolle stattfinden. Ferner empfiehlt sich, auch bei der Erstellung bzw. Prüfung der verwendeten Verträge mit besonderer Sorgfalt vorzugehen, um die bestehenden Risiken weitestgehend auszuschließen.
Sie haben rechtliche Fragen zu SaaS?