CLOUD-SERVICES / SOFTWARE AS A SERVICE (SAAS)

  • Wir wissen, worauf es bei den Verhandlungen von SaaS-Verträgen ankommt - sowohl für Auftraggeber als auch für Auftragnehmer.
  • Wir sind Experten im Bereich IT- und Datenrecht mit langjähriger Praxiserfahrung
  • Wir bieten qualitativ hochwertige und praxisorientierte rechtliche Lösungen für SaaS und sonstige Cloud-Services

Die rechtlichen Besonderheiten und Herausforderungen, die mit der Gestaltung von SaaS-Verträgen einhergehen, sind so vielfältig wie die Anwendungsgebiete von SaaS und sonstigen Cloud-Services.

Benötigen Sie hierbei Unterstützung? Nehmen Sie gern Kontakt mit unserem Expertenteam auf.

Einen kurzen Überblick zu den häufigsten Fragen unserer Mandanten in der Praxis zum Thema Vertragsgestaltung bei SaaS/Cloud-Verträgen sowie einiges Grundlagenwissen haben wir in unseren FAQ zusammengefasst.

Legal-Tech: Smarte SaaS-Vertragsgestaltung für Anbieter

Auf dem Markt gibt es eine Vielzahl von SaaS-Lösungen. So vielfältig die Auswahl und der jeweilige Funktionsumfang von SaaS-Lösungen ist, so unterschiedlich sind auch die Aspekte, die bei der Vertragsgestaltung zu berücksichtigen sind. Um als Anbieter einer SaaS-Lösung rechtlich möglichst umfassend abgesichert zu sein, sollte der SaaS-Vertrag die Besonderheiten der jeweiligen SaaS-Lösung und des geplanten Geschäftsmodells widerspiegeln. Die ungeprüfte Übernahme von Standardformulierungen kann im ungünstigsten Fall potenzielle Haftungsrisiken unberücksichtigt lassen. Eine Beratung bei der Erstellung der im Standard zu verwendenden Kundenverträge ist daher ratsam.

Nehmen Sie Kontakt mit unserem Expertenteam auf

Wir bieten unseren Mandanten die praxisorientierte Beratung bei der Gestaltung von SaaS-Verträgen, die sie benötigen. Dank unserer Legal Tech-Lösung zur SaaS-Vertragsgestaltung können wir schnell und zielgerichtet maßgeschneiderte SaaS-Verträge zur Verwendung gegenüber Kunden erstellen - zu vorab kalkulierbaren Kosten bei maximaler Effizienz und Qualität.

LUTZ | ABEL - Kontaktformular (Klein)

Informationen
Unsere Datenschutzerklärung informiert Sie, wie wir mit Ihren Daten im Rahmen Ihrer Kontaktaufnahme umgehen und welche Rechte Ihnen nach dem Datenschutzrecht zustehen.
* Pflichtfelder

FAQ: Vertragsgestaltung SaaS- und Cloud-Services

Was versteht man unter SaaS?

Software as a Service („SaaS“) und sonstige Cloud-Services erfreuen sich bei Unternehmen und öffentlichen Stellen immer größerer Beliebtheit. Als SaaS werden Anwendungen angeboten wie z.B. Software im Bereich HR- und Recruiting und Customer-Relationship-Management. Sonstige Cloud-Services betreffen beispielsweise die Bereitstellung von Speicher-, Server- oder sonstige IT-Ressourcen als Infrastructure as a Service („IaaS“) oder cloudbasierte Umgebungen, in denen eigene Anwendungen entwickelt und bereitgestellt werden, als Platform as a Service („PaaS“).

Auf welche Bestimmungen im Vertrag sollte ich im Regelfall besonders achten?

  • Beschreibung der geschuldeten Leistung
  • Verfügbarkeit und Störungsbeseitigung (Service Level Agreement)
  • Art und Umfang der Nutzungsrechte
  • Lizenzmetrik
  • Datenschutz, Geheimhaltung und Datensicherheit
  • Haftung und Haftungsbeschränkungen
  • Supportleistungen
  • Kündigungsregelungen

Was ist ein Service Level Agreement („SLA") und warum ist das SLA so wichtig?

Das SLA enthält Angaben zu qualitativen Mindeststandards („Service Level“), welche durch die jeweiligen SaaS- oder sonstigen Cloud-Services eingehalten werden müssen.

Besonders relevant ist die im SLA zugesagte störungsfreie Verfügbarkeit der SaaS- oder sonstigen Cloud-Services. Hiermit ist das Maß gemeint, in dem gewährleistet wird, dass auf die entsprechenden Services zugegriffen werden kann und diese wie vereinbart genutzt werden können.

Im Rahmen eines SLA ist daher insbesondere auf Folgendes zu achten:

  • Verfügbarkeitsquote

Es macht einen erheblichen Unterschied, ob die Verfügbarkeit z.B. 98% monatlich oder 98% jährlich beträgt. Bei 98% pro Jahr beträgt die maximal zulässige Ausfallzeit ca. 7 Tage und 7 Stunden am Stück je Jahr. Bei 98% pro Monat hingegen ca. 14 Stunden am Stück je Monat.

  • § Ausnahmefälle

In vielen SLAs wird eine Vielzahl an Fällen aufgezählt, welche nicht als Ausfall der SaaS- oder sonstigen Cloud-Services zählen. Diese Ausnahmefälle bleiben bei der Überprüfung, ob die zugesagte Verfügbarkeit eingehalten wurde, unberücksichtigt.

Klassische Ausnahmefälle sind:

  • Vorgesehene Wartungsfenster
  • Höhere Gewalt
  • Verschulden des Kunden

Daneben befinden sich in einigen SLAs spezifische Ausnahmen, wie bspw. für bestimmte Fehlermeldungen oder wenn ein Ausfall durch einen Subunternehmer des Anbieters verursacht wird.

Umso mehr Ausnahmen vom SLA vorgesehen sind, desto mehr wirkt sich dies auf die versprochenen Leistungsparameter wie bspw. die Verfügbarkeit aus.

  • Reaktions- und Abhilfefristen

Kommt es mal zu einem Ausfall der SaaS- oder sonstigen Cloud-Services sind insbesondere die Reaktions- und Abhilfefristen relevant.

Die Reaktionsfrist bestimmt, innerhalb welcher Frist eine Erstreaktion durch den Support des Anbieters erfolgen muss. Die Abhilfefrist bestimmt, innerhalb welchen Zeitraums die jeweils aufgetretene Störung behoben werden muss.

  • § Rechte der nutzenden Organisation

Daneben verkürzen einige SLAs die nach deutschem Recht bestehenden gesetzlichen Rechte der nutzenden Organisation für den Fall der Verletzung des SLA (z.B. Schadensersatzansprüche, Mängelrechte). Das kann mit weitgehenden Haftungsausschlüssen einhergehen. Wenn diese wirksam sind, ist das gut für den Service Provider und schlecht für den Kunden.

Worauf muss ich bei den Lizenzbestimmungen achten?

Die Lizenzbestimmungen regeln, in welchem inhaltlichen, zeitlichen und räumlichen Umfang die Organisation die SaaS- und sonstigen Cloud-Services nutzen kann.

So macht es bspw. einen erheblichen Unterschied, ob nur bestimmte namentliche benannte Personen (sog. „Named User“) oder eine bestimmte Anzahl von beliebigen Personen gleichzeitig (sog. „Concurrent User“) die SaaS- bzw. Cloud-Services verwenden dürfen.  

Daneben sind insbesondere die zulässige Nutzungsintensität und ggf. auch die konkret technische Einbindung der SaaS- und sonstigen Cloud-Services in die vorhandenen IT-Systeme relevant.

Was ist bei der Preisgestaltung zu beachten?

Vergütungsmodelle für SaaS- und Cloud-Services können vielfältig ausgestaltet sein.

Mögliche Vergütungsmodelle können bspw. sein:

  • Fixpreis/Flatfees z.B. monatlich oder jährlich zu zahlende Vergütungspauschalen
  • Vergütung pro Nutzer
  • Pay-per-Use z.B. von der Anzahl der Abrufe oder durchgeführter Transaktionen abhängig
  • Mischmodelle z.B. Fixpreis, ergänzt durch nutzungsabhängige Vergütung
  • Vergütung für Zusatzleistungen wie z.B. Installation von Updates, Support

Bei der Preisgestaltung ist insbesondere auf folgende Aspekte zu achten:

  • Preisanpassungsklauseln

SaaS/Cloud-Verträge haben häufig eine lange Vertragslaufzeit. Bei längeren Geschäftsbeziehungen sind Preisanpassungsklauseln üblich. Regelungen zu Preisanpassungen sind jedoch grundsätzlich nach deutschem Recht nur in engen Grenzen möglich.

Als Alternative zu Preisanpassungen können Gunsten der Kalkulationssicherheit z.B. fixe Staffelpreise vereinbart werden.

  • Fälligkeit der Vergütung

Die Fälligkeit der Vergütung fällt im Rahmen von umfassenden IT-Projektenhäufig auf den Zeitpunkt der Abnahme der SaaS- bzw. sonstigen Cloud-Services. Gerade bei längerfristigen Projekten können Zahlungen für die Erreichung bestimmter Meilensteine vereinbart werden, um die Zahlungen in ein angemessenes Verhältnis zu den Leistungsergebnissen zu setzen.

Inwiefern darf der Anbieter seine Haftung beschränken?

Viele Haftungsbeschränkungen in Verträgen – auch zum Teil prominenter Anbieter – sind bei Zugrundelegung des Maßstabs der deutschen Rechtsordnung unwirksam.

Vorformulierte Vertragsbedingungen unterliegen häufig dem deutschen AGB-Recht (§§ 305 ff. BGB), sofern deutsches Recht Anwendung findet. In diesem Falle unterliegt der Vertrag der AGB-Kontrolle. Viele Haftungsklauseln halten einer AGB-Kontrolle nicht stand und sind unwirksam. Die Haftung für Vorsatz kann beispielsweise nach deutschem Recht nicht ausgeschlossen werden. Ist hingegen eine andere Rechtsordnung auf den Vertrag anzuwenden, können umfassende Haftungsbeschränkungen wirksam sein.

Sind die Bestimmungen zur Haftung in den AGB unwirksam und es wird nicht verhandelt, finden die, in der Regel für Kunden günstigeren, gesetzlichen Vorschriften Anwendung.

Warum ist ein umfassendes Exit-Management essenziell?

Mit Vertragsbeendigung endet auch die Pflicht des Anbieters, die SaaS- bzw. Cloud-Services weiterhin zur Nutzung zur Verfügung zu stellen. Allerdings kann es in einigen Fällen (z.B. bei für den Anwender besonders geschäftskritischen SaaS-/Cloud-Produkten) notwendig sein, dass zumindest übergangsweise noch Unterstützungsleistungen nach Vertragsende erbracht werden. Daher kann es unter Umständen sinnvoll sein von Anfang an vertraglich ein Exit-Management zu regeln.

Warum ist die Rechtswahl bei SaaS/Cloud-Verträgen wichtig?

Gerade bei SaaS- und sonstigen Cloud-Services werden Leistungen häufig grenzüberschreitend erbracht. Wegen der möglichen Vielzahl an Rechtsordnungen, die auf diese Weise betroffen sein können, sollte das anwendbare Recht im Vertrag bestimmt werden. Grundsätzlich sind die Parteien eines Vertrages bei der Rechtswahl frei. Warum die Rechtswahl so wichtig ist, zeigt das nachfolgende Beispiel auf.

Klauseln, die nach deutschem AGB-Recht unwirksam wären, sind im US-amerikanischem Recht zulässig, da diese keiner AGB-Kontrolle unterliegen. In den USA gilt ein anderes Haftungsregime als in der deutschen Rechtsordnung mit z.B. wesentlich weitgehenderen Möglichkeiten, die Haftung zu beschränken.

Wem gehören die Daten bei SaaS-/Cloud-Services?

Im Regelfall gehören die Daten auch bei der Nutzung eines cloudbasierten Dienstes der Organisation. Einzelheiten oder abweichende Regelungen können im Vertrag vereinbart werden.

Wie können Datenschutz und Datensicherheit vertraglich abgesichert werden?

Bei SaaS- und Cloud-Services werden die Daten der Organisation im Regelfall auf den Servern des Anbieters in der Cloud gespeichert und verarbeitet. Da die Daten vor unbefugten Zugriffen durch Dritte geschützt werden müssen, ist die richtige Vertragsgestaltung für die Gewährleistung von Datenschutz und Datensicherheit in der Cloud entscheidend. Je nach Einsatzzweck der SaaS- bzw. Cloud-Services, der Sensitivität der Daten und der Umgebung sind an die Sicherheit unterschiedliche Anforderungen zu stellen.

Werden personenbezogene Daten (z.B. Kunden- oder Mitarbeiterdaten) in der Cloud verarbeitet, sind verschiedene gesetzliche Vorgaben, insbesondere diejenigen der Datenschutz-Grundverordnung („DSGVO“) zwingend einzuhalten.

Was ist besonders in Bezug auf datenschutzrechtliche Aspekte zu beachten?

Der Datenschutz sollte im Rahmen von Cloud-/SaaS-Services nicht nachlässig behandelt werden. Insbesondere folgende Aspekte sollten geprüft werden:

  • Notwendigkeit einer Datenschutzvereinbarung und ggf. Abschluss (insbesondere Auftragsverarbeitungsvertrag)
     
  • Vorliegen adäquater technischer und organisatorischer Maßnahmen zur Verhinderung von bspw. Datenverlust, Datendiebstahl und Datenmanipulation
  • Vorliegen von Drittlandtransfers

25.09.2024

IT-Recht und Datenschutz

NIS-2-Richtlinie: Neue Cybersicherheitsanforderungen für Unternehmen

Am 17. Oktober 2024 endet die Umsetzungsfrist für die NIS-2-Richtlinie (RL (EU) 2022/2555) . Die NIS-2-Richtlinie zielt darauf ab, das Cybersicherheitsniveau in der EU insgesamt zu erhöhen. Im Unterschied zu der bisherigen Regulierung (insb. KRITIS) wird ein breiterer Regelungsansatz gewählt, der zahlreiche Sektoren in den Blick nimmt: Allein in Deutschland sind über 30.000 Unternehmen betroffen, sobald die Richtlinie ins nationale Recht umgesetzt wird.

28.08.2024

IT-Recht und Datenschutz

Cloud-Computing-Dienste im Gesundheitswesen – welche Anforderungen stellt der neue § 393 SGB V?

Mit Wirkung zum 1. Juli 2024 ist der § 393 SGB V in seiner neuen Fassung in Kraft getreten und verschärft die Pflichten beim Einsatz von Cloud-Computing-Diensten im Gesundheitswesen erheblich. Hierzu gehört auch eine Zertifizierungspflicht.

27.06.2024

IT-Recht und Datenschutz

Die KI-Verordnung kommt – Risikoklassifizierung am Beispiel von KI-Systemen im Arbeitskontext

Die KI-Verordnung (KI-VO) wurde offiziell verkündet. Da die ersten Verbote bereits ab 2. Februar 2025 greifen, müssen Anbieter und Betreiber schon jetzt evaluieren, ob ihre KI-Systeme unter eine der verbotenen Praktiken fallen oder sich so gestalten lassen, dass sie „nur“ Hochrisiko-KI-Systeme sind – vor dieser Aufgabe stehen insbesondere Arbeitgeber.

16.04.2024

IP-Recht, IT-Recht und Datenschutz

Verletzung von Open Source Lizenzbedingungen – Nur ein theoretisches Problem?

Rechtsstreitigkeiten wegen Verletzungen von Open Source Lizenzbedingungen sind im deutschen Raum recht überschaubar. Daher stellt sich die Frage, ob die Notwendigkeit besteht, Ressourcen für die Software Licence Compliance einzusetzen und Verstöße praktische und kommerzielle Folgen haben. Ein auf Herausgabe von Source Code gerichtetes Verfahren bietet einen aktuellen Anlass, auf diese Fragen einzugehen.

08.01.2024

Bank- und Kapitalmarktrecht, Bau- und Immobilienrecht, IP-Recht, IT-Recht und Datenschutz, Litigation und Arbitration

LUTZ | ABEL ernennt eine Partnerin und einen Partner sowie drei Senior Associates aus den eigenen Reihen

27.09.2023

IT-Recht und Datenschutz

Schmerzensgeld für Datenklau? Erste Berufungsentscheidung im Facebook-Scraping-Verfahrenskomplex

Die Klagewelle wegen eines Facebook „Hacks“ beschäftigt derzeit landauf landab die Gerichte. Nun hat das Oberlandesgericht Hamm die erste Berufungsentscheidung getroffen und den Schadensersatzanspruch verneint. Die Entscheidung verdeutlicht die aktuellen Hindernisse bei DSGVO-Masseverfahren im Kontext von Data-Leaks. (Co-Autorin: Wissenschaftliche Mitarbeiterin Kristina Gutzke)

20.09.2023

IT-Recht und Datenschutz

Zoom trainiert KI nicht (mehr) mit Nutzerdaten – Wie Unternehmen ihre Daten vor ungewolltem KI-Training durch andere Tools schützen können

Immer mehr Software-Anbieter versuchen, Nutzerdaten für das Training von Künstlicher Intelligenz (KI) fruchtbar zu machen. Das jüngste Beispiel einer Änderung der Zoom-AGB zeigt, dass sich Verwender schnell unbemerkt rechtlichen Risiken aussetzen.

05.09.2023

IT-Recht und Datenschutz

Worauf ist bei Preisanpassungsklauseln in IT-Verträgen zu achten?

Vielmals werden in IT-Verträgen insbesondere bei längeren Vertragsdauern sog. Preisanpassungsklauseln vereinbart. Diese unterliegen allerdings strengen Wirksamkeitsanforderungen. Worauf Sie bei dem Entwurf neuer oder beim Überprüfen schon bestehender Klauseln achten sollten, erfahren Sie in unserem neuen Aktuellen Beitrag. (Co-Autorin: Wissenschaftliche Mitarbeiterin Maren Rehder)

24.07.2023

IT-Recht und Datenschutz

EU-Parlamentsentwurf einer KI-Verordnung – Wie geht’s weiter?

Kaum ein Thema wurde in letzter Zeit so ausgiebig und kontrovers diskutiert wie der Umgang mit der stetig fortschreitenden künstlichen Intelligenz. Während die Nutzung von KI enorme Chancen für Bürger, Unternehmen und die öffentliche Hand birgt, dürfen die potenziellen Risiken, die eine zunehmende Abhängigkeit von KI mit sich bringt, nicht unterschätzt werden. Deshalb hat das Europäische Parlament am 14.06.2023 den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union (KI-VO) beschlossen, den wir im Nachfolgenden kurz zusammenfassen.

09.05.2023

IT-Recht und Datenschutz

Das Grundsatzurteil des EuGH zum immateriellen Schadensersatz nach der DSGVO: Der Vorhang zu und alle Fragen offen?

Der immaterielle Schadensersatz nach Art. 82 DSGVO (auch Schmerzensgeld genannt) ist einer der praxisrelevantesten Ansprüche im Datenschutzrecht. Bislang gibt es in der Anwendung der Norm jedoch erhebliche Unsicherheiten. Kann das Grundsatzurteil des EuGH vom 4. Mai 2023 dies ändern? (Co-Autorin: Wissenschaftliche Mitarbeiterin Kristina Gutzke)