Dr. Thomas Helbing zu SaaS: Vertragsgestaltung und Datenschutz

Softmixx: Sie sind Anwalt und beraten Anbieter aber auch SaaS-Kunden zu rechtlichen Fragen rund um das Thema Cloud Computing und "onDemand". Was macht SaaS für Sie als Juristen spannend?

Dr. Helbing: Interessant ist vorallem die Vertragsgestaltung: SaaS-Verträge sind eine Art Mischung aus klassischem Softwarelizenzvertrag, Hosting-Vertrag und Application Service Providing (ASP). Daneben sind Themen zu regeln, die klassisch zum IT-Outsourcing gehören. 

Softmixx: Geben Sie uns ein paar Beispiele.

Dr. Helbing: Wie beim Outsourcing sollte der SaaS Vertrag zum Beispiel festlegen, in welchem Format und Zeitrahmen der Kunde seine Daten am Ende der Vertragslaufzeit wiederbekommt und wie der Anbieter den Kunden bei der Migration zu einem anderen Anbieter oder beim In-Sourcing zu unterstützen hat. Ansonsten droht dem Kunden ein Lock-In: Er kann zwar den Vertrag formal kündigen, praktisch scheitert eine Beendigung der Geschäftsbeziehung aber am Wechsel zu einem neuen Anbieter. Bei langfristig angelegten Verträgen empfehlen sich zudem Obergrenzen für die Erhöhung der Gebühren, eine Regelung die ebenfalls für das Outsourcing typisch ist. 

Softmixx: Ben Ellison, der CEO von Oracle hat einmal gesagt: 

"The interesting thing about cloud computing is that we’ve redefined cloud computing to include everything that we already do. (...) I’m not going to fight this thing. But I don’t understand what we would do differently in the light of cloud computing other than change the wording of some of our ads". 

Ist SaaS letztlich nicht nur die Neuauflage des alten Application Service Providing? 

Dr. Helbing: Begriffe wie Cloud Computing und auch SaaS haben natürlich eine gewisse Unschärfe. Für mich liegt die Besonderheit bei SaaS gegenüber ASP vorallem in der Art der Zurverfügungstellung (multi-tenancy), der nutzungsabhängigen Vergütung und einfachen Skalierbarkeit. Bei SaaS wie bei ASP greift der Kunde "remote" auf eine Software zu, die nicht mehr bei ihm installiert ist. Service Levels, Verfügbarkeit und Datenschutz sind rechtliche Themenkreise, die bei beiden Modellen ähnlich sind.

Softmixx: Was bedeutet die Verwandtschaft mit ASP konkret?

Dr. Helbing: Der Bundesgerichtshof hat etwa in einer Entscheidung aus dem Jahr 2006 in einem ASP-Vertrag die entgeltliche Gebrauchsüberlassung einer beweglichen oder unbeweglichen Sache gesehen und deshalb Mietrecht für einschlägig gehalten. Diese Entscheidung ist auch für SaaS-Verträge relevant. Mit weitreichenden Folgen für die Vertragsgestaltung. So sieht das Mietrecht eine Garantiehaftung für anfängliche Mängel, eine automatische Herabsetzung der Vergütung bei Mängeln und ein grundsätzlich ständige Verfügbarkeit vor. 

Softmixx: 100% Verfügbarkeit, ist das nicht utopisch?

Dr. Helbing: Ja, deshalb sind in jedem SaaS-Vertrag unbedingt Service-Levels aufzunehmen, die Regeln, welche Verfügbarkeit tatsächlich geschuldet ist. Oft wird dies als Bonbon für den Kunden verkauft, tatsächlich schützt sich aber dadurch auch der Anbieter, da ohne vertragliche Regelung das Leitbild des Mietrechts Anwendung fände und das geht von ständiger Verfügbarkeit aus. 

Softmixx: Das SaaS-Modell hat bei Datenschützern einen schlechten Ruf, teilweise wird "Cloud Computing" generell als mit dem Datenschutz unvereinbar angesehen. Stimmt das?

Dr. Helbing: Nein, so pauschal nicht. Aber es gibt viel Unsicherheit auf diesem Gebiet. Viele Unternehmen, gerade mittelgroße, interessieren sich für SaaS, um Kosten zu senken und IT-Ressourcen flexibler beziehen zu können. Doch der Geschäftsführer oder Datenschutzbeauftragte hat irgendwo mal gehört oder gelesen, dass es rechtliche Probleme gibt. Dieses nebulöses Unbehagen ist durchaus ein Problem für die Branche. 

Softmixx: Was raten Sie Anbietern?

Dr. Helbing: SaaS-Anbieter sollten rechtlichen Bedenken ihrer Kunden proaktiv begegnen. Dazu gehören transparente und faire Vertragsbedingungen und klare Regelungen zum Datenschutz, zum Beispiel wie die in der Anlage zu § 9 des Bundesdatenschutzgesetzes geforderten technischen und organisatorischen Maßnahmen konkret umgesetzt werden.  Die großen SaaS-Anbieter schenken diesen Themen nicht zu Unrecht große Aufmerksamkeit, denn ein SaaS Angebot macht eben nicht nur die schicke Oberfläche und die beeindruckenden Funktionalitäten aus, sondern gerade die stark variierenden Bedingungen im "Kleingedruckten". Wenn zum Beispiel der Mustervertrag den Anforderungen des § 11 BDSG nicht genügt, wird der Datenschutzbeauftragte beim Kunden schnell die Freude verlieren. 

Softmixx: Und Kunden sollten entsprechend auf das "Kleingedruckte" achten und die Bedingungen der SaaS-Anbieter sorgfältig vergleichen. Herr Helbing, wir danken für das Gespräch. 

Dr. Thomas Helbing arbeitete knapp  fünf Jahre als Anwalt bei einer führenden internationalen Wirtschaftskanzlei im Bereich "Intellectual Property, Media and Technology" und beriet dort führende SaaS Anbieter. Seit 2009 hat er seine eigene Kanzlei für IT- und Datenschutzrecht. 

Herr Helbing schreibt regelmäßig Fachartikel und hält Vorträge zu IT- und Datenschutzthemen auf Konferenzen, zuletzt der CloudSlam 2010. Er arbeitet in der Kompetenzgruppe "Recht & Compliance" beim Eurocloud Deutschland_eco e.V. an Empfehlungen und Musterverträgen zum Cloud Computing mit. Mehr über ihn im Internet unter: http://www.thomashelbing.com, E-Mail: helbing@thomashelbing.com.