CLOUD-SERVICES / SOFTWARE AS A SERVICE (SAAS)

• Beschreibung der geschuldeten Leistung
• Verfügbarkeit und Störungsbeseitigung (Service Level Agreement)
• Art und Umfang der Nutzungsrechte
• Lizenzmetrik
• Datenschutz, Geheimhaltung und Datensicherheit
• Haftung und Haftungsbeschränkungen
• Supportleistungen
• Kündigungsregelungen

Das SLA enthält Angaben zu qualitativen Mindeststandards („Service Level“), welche durch die jeweiligen SaaS- oder sonstigen Cloud-Services eingehalten werden müssen.

Besonders relevant ist die im SLA zugesagte störungsfreie Verfügbarkeit der SaaS- oder sonstigen Cloud-Services. Hiermit ist das Maß gemeint, in dem gewährleistet wird, dass auf die entsprechenden Services zugegriffen werden kann und diese wie vereinbart genutzt werden können.

Im Rahmen eines SLA ist daher insbesondere auf Folgendes zu achten:

• Verfügbarkeitsquote

Es macht einen erheblichen Unterschied, ob die Verfügbarkeit z.B. 98% monatlich oder 98% jährlich beträgt. Bei 98% pro Jahr beträgt die maximal zulässige Ausfallzeit ca. 7 Tage und 7 Stunden am Stück je Jahr. Bei 98% pro Monat hingegen ca. 14 Stunden am Stück je Monat.

• § Ausnahmefälle

In vielen SLAs wird eine Vielzahl an Fällen aufgezählt, welche nicht als Ausfall der SaaS- oder sonstigen Cloud-Services zählen. Diese Ausnahmefälle bleiben bei der Überprüfung, ob die zugesagte Verfügbarkeit eingehalten wurde, unberücksichtigt.

Klassische Ausnahmefälle sind:

• Vorgesehene Wartungsfenster
• Höhere Gewalt
• Verschulden des Kunden

Daneben befinden sich in einigen SLAs spezifische Ausnahmen, wie bspw. für bestimmte Fehlermeldungen oder wenn ein Ausfall durch einen Subunternehmer des Anbieters verursacht wird.

Umso mehr Ausnahmen vom SLA vorgesehen sind, desto mehr wirkt sich dies auf die versprochenen Leistungsparameter wie bspw. die Verfügbarkeit aus.

• Reaktions- und Abhilfefristen

Kommt es mal zu einem Ausfall der SaaS- oder sonstigen Cloud-Services sind insbesondere die Reaktions- und Abhilfefristen relevant.

Die Reaktionsfrist bestimmt, innerhalb welcher Frist eine Erstreaktion durch den Support des Anbieters erfolgen muss. Die Abhilfefrist bestimmt, innerhalb welchen Zeitraums die jeweils aufgetretene Störung behoben werden muss.

• § Rechte der nutzenden Organisation

Daneben verkürzen einige SLAs die nach deutschem Recht bestehenden gesetzlichen Rechte der nutzenden Organisation für den Fall der Verletzung des SLA (z.B. Schadensersatzansprüche, Mängelrechte). Das kann mit weitgehenden Haftungsausschlüssen einhergehen. Wenn diese wirksam sind, ist das gut für den Service Provider und schlecht für den Kunden.

Die Lizenzbestimmungen regeln, in welchem inhaltlichen, zeitlichen und räumlichen Umfang die Organisation die SaaS- und sonstigen Cloud-Services nutzen kann.

So macht es bspw. einen erheblichen Unterschied, ob nur bestimmte namentliche benannte Personen (sog. „Named User“) oder eine bestimmte Anzahl von beliebigen Personen gleichzeitig (sog. „Concurrent User“) die SaaS- bzw. Cloud-Services verwenden dürfen.  

Daneben sind insbesondere die zulässige Nutzungsintensität und ggf. auch die konkret technische Einbindung der SaaS- und sonstigen Cloud-Services in die vorhandenen IT-Systeme relevant.

Vergütungsmodelle für SaaS- und Cloud-Services können vielfältig ausgestaltet sein.

Mögliche Vergütungsmodelle können bspw. sein:

• Fixpreis/Flatfees z.B. monatlich oder jährlich zu zahlende Vergütungspauschalen
• Vergütung pro Nutzer
• Pay-per-Use z.B. von der Anzahl der Abrufe oder durchgeführter Transaktionen abhängig
• Mischmodelle z.B. Fixpreis, ergänzt durch nutzungsabhängige Vergütung
• Vergütung für Zusatzleistungen wie z.B. Installation von Updates, Support

Bei der Preisgestaltung ist insbesondere auf folgende Aspekte zu achten:

• Preisanpassungsklauseln

SaaS/Cloud-Verträge haben häufig eine lange Vertragslaufzeit. Bei längeren Geschäftsbeziehungen sind Preisanpassungsklauseln üblich. Regelungen zu Preisanpassungen sind jedoch grundsätzlich nach deutschem Recht nur in engen Grenzen möglich.

Als Alternative zu Preisanpassungen können Gunsten der Kalkulationssicherheit z.B. fixe Staffelpreise vereinbart werden.

• Fälligkeit der Vergütung

Die Fälligkeit der Vergütung fällt im Rahmen von umfassenden IT-Projektenhäufig auf den Zeitpunkt der Abnahme der SaaS- bzw. sonstigen Cloud-Services. Gerade bei längerfristigen Projekten können Zahlungen für die Erreichung bestimmter Meilensteine vereinbart werden, um die Zahlungen in ein angemessenes Verhältnis zu den Leistungsergebnissen zu setzen.

Viele Haftungsbeschränkungen in Verträgen – auch zum Teil prominenter Anbieter – sind bei Zugrundelegung des Maßstabs der deutschen Rechtsordnung unwirksam.

Vorformulierte Vertragsbedingungen unterliegen häufig dem deutschen AGB-Recht (§§ 305 ff. BGB), sofern deutsches Recht Anwendung findet. In diesem Falle unterliegt der Vertrag der AGB-Kontrolle. Viele Haftungsklauseln halten einer AGB-Kontrolle nicht stand und sind unwirksam. Die Haftung für Vorsatz kann beispielsweise nach deutschem Recht nicht ausgeschlossen werden. Ist hingegen eine andere Rechtsordnung auf den Vertrag anzuwenden, können umfassende Haftungsbeschränkungen wirksam sein.

Sind die Bestimmungen zur Haftung in den AGB unwirksam und es wird nicht verhandelt, finden die, in der Regel für Kunden günstigeren, gesetzlichen Vorschriften Anwendung.

Mit Vertragsbeendigung endet auch die Pflicht des Anbieters, die SaaS- bzw. Cloud-Services weiterhin zur Nutzung zur Verfügung zu stellen. Allerdings kann es in einigen Fällen (z.B. bei für den Anwender besonders geschäftskritischen SaaS-/Cloud-Produkten) notwendig sein, dass zumindest übergangsweise noch Unterstützungsleistungen nach Vertragsende erbracht werden. Daher kann es unter Umständen sinnvoll sein von Anfang an vertraglich ein Exit-Management zu regeln.

Gerade bei SaaS- und sonstigen Cloud-Services werden Leistungen häufig grenzüberschreitend erbracht. Wegen der möglichen Vielzahl an Rechtsordnungen, die auf diese Weise betroffen sein können, sollte das anwendbare Recht im Vertrag bestimmt werden. Grundsätzlich sind die Parteien eines Vertrages bei der Rechtswahl frei. Warum die Rechtswahl so wichtig ist, zeigt das nachfolgende Beispiel auf.

Klauseln, die nach deutschem AGB-Recht unwirksam wären, sind im US-amerikanischem Recht zulässig, da diese keiner AGB-Kontrolle unterliegen. In den USA gilt ein anderes Haftungsregime als in der deutschen Rechtsordnung mit z.B. wesentlich weitgehenderen Möglichkeiten, die Haftung zu beschränken.

Im Regelfall gehören die Daten auch bei der Nutzung eines cloudbasierten Dienstes der Organisation. Einzelheiten oder abweichende Regelungen können im Vertrag vereinbart werden.

Bei SaaS- und Cloud-Services werden die Daten der Organisation im Regelfall auf den Servern des Anbieters in der Cloud gespeichert und verarbeitet. Da die Daten vor unbefugten Zugriffen durch Dritte geschützt werden müssen, ist die richtige Vertragsgestaltung für die Gewährleistung von Datenschutz und Datensicherheit in der Cloud entscheidend. Je nach Einsatzzweck der SaaS- bzw. Cloud-Services, der Sensitivität der Daten und der Umgebung sind an die Sicherheit unterschiedliche Anforderungen zu stellen.

Werden personenbezogene Daten (z.B. Kunden- oder Mitarbeiterdaten) in der Cloud verarbeitet, sind verschiedene gesetzliche Vorgaben, insbesondere diejenigen der Datenschutz-Grundverordnung („DSGVO“) zwingend einzuhalten.

Der Datenschutz sollte im Rahmen von Cloud-/SaaS-Services nicht nachlässig behandelt werden. Insbesondere folgende Aspekte sollten geprüft werden:

• Notwendigkeit einer Datenschutzvereinbarung und ggf. Abschluss (insbesondere Auftragsverarbeitungsvertrag)
   
• Vorliegen adäquater technischer und organisatorischer Maßnahmen zur Verhinderung von bspw. Datenverlust, Datendiebstahl und Datenmanipulation
• Vorliegen von Drittlandtransfers