Service Level Agreement regeln das Kleingedruckte

Beim Thema SaaS herrscht noch viel Unsicherheit. Das ist verständlich, da man als Anwender das Heft mehr oder weniger aus der Hand

gibt und sich in eine starke Abhängigkeit begibt. Dabei läuft man stets Gefahr, an den Falschen zu geraten, der es mit dem Datenschutz oder der Datensicherheit nicht allzu genau nimmt. Vor einem solchen Reinfall können Sie sich aber schützen – und zwar mit sauber formulierten Service Level Agreements (SLA), was auf Deutsch nichts anderes als Dienstgütevereinbarung (DGV) heißt. Solche SLA sind schriftlich dokumentierte Regeln, die festhalten, welche Leistung zu welchen Konditionen geliefert werden müssen und mit welchen Konsequenzen der Anbieter bei Schwierigkeiten zu rechnen hat.

Auch wenn es sich banal anhört. In die SLA gehören als erstes die jeweiligen Parteien und die zuständigen Ansprechpartner. Spätestens wenn Sie bei einem Problem von Pontius zu Pilatus laufen müssen, ist dieser Gegenstand nicht mehr lapidar.

Ein ebenso wichtiger Punkt ist die genaue Bezeichnung der Ware, in diesem Fall ist es das Programm und der damit verbundene Leistungsumfang. Eine Software kann sich nämlich in ihren verschiedenen Editionen unterscheiden. Bei Eigenentwicklungen eines sehr kleinen Anbieters sollten Sie zudem festhalten, dass ein Transfer auf andere Systeme möglich ist und dass gewisse Standards garantiert werden, wie dass z.B. die Buchhaltungssoftware der GoBS und der GDPdU Genüge tut. Neben dem eigentlichen Programm sollte auch das Ganze „drum herum“ näher definiert werden, sprich, wie viele Personen sollen damit arbeiten können und welche Versionen werden eingesetzt. Klären Sie hier gleich auch die Frage nach den dazugehörigen Updates. Die halten Sie auch sicherheitstechnisch auf dem neuesten Stand. Neben den Updates müssen auch andere Servicedienstleistungen festgehalten werden, wie der Umfang des Supports und die genaue Erreichbarkeit des Anbieters. Regeln Sie die Sprechzeiten und ob der Kontakt per Mail oder telefonisch mit einem deutschsprachigen Experten unter welcher Hotline zu welchen Kosten stattfinden soll. In diesem Kontext ist der Punkt Antwortzeiten ist von großer Wichtigkeit. In dem wird abgeklärt, wie schnell Sie mit einem Feedback rechnen dürfen. Gleichzeitig sollten Sie definieren, wie schnell die Fehler behoben sein müssen und wie hoch die Verfügbarkeit ist. Letztere hält fest, zu welchen Zeiten es keine Einbußen geben darf, wie z.B. Werktags zwischen 8:00 und 17:00 Uhr, weil es sonst zu Problemen führen würde.

Zu einem Problem ganz anderer Art kann es kommen, wenn der Datenschutz nicht garantiert wird. Halten Sie daher fest, dass Ihre Daten sauber von denen der anderen Klienten getrennt werden, und dass sie vor unberechtigten Einblicken und Zugriffen geschützt sind. Klären Sie bei dieser Gelegenheit auch, wo die Daten gelagert werden. Misstrauen ist angesagt, wenn es im nichteuropäischen Ausland ist. Dort hat man häufig ein anderes Verständnis von Datenschutz als in Deutschland oder im europäischen Ausland. Besonders kritisch scheinen die USA zu sein. Auf dem Nachrichtenticker von heise online konnte man am 23.01.2009 beunruhigende Details über den Lauschangriff der National Security Agency (NSA) auf die elektrische Kommunikation lesen. Dass bei solchen Lauschprogrammen meist auch Betriebsspionage im Spiel ist, ist seit dem des Echelon-Skandals bekannt, über den Spiegel.de im Jahr 2000 ausführlich berichtet hat. Eine andere Katastrophe ist es, wenn die Daten verloren gehen. Fixieren Sie daher, welche Backups von welchen Daten erstellt werden. Vor einem weiteren Problem stehen Sie, wenn der Dienstleister seine Pflicht nicht erfüllt und Sie nicht arbeiten können.

In solchen Problemfällen stellt sich generell die Frage nach der Haftung. Klären Sie daher, wie der Anbieter die Schäden absichert, bzw. ob er überhaupt in der Lage ist, Schadensersatz zu zahlen. Wenn Sie ganz sicher gehen wollen, können Sie sich die Police zeigen lassen. Grundsätzlich sollte der Dienstleister ein überzeugendes Sicherheitskonzept haben. Das muss analysieren, welcher Schaden wann und wie eintreten kann – und was dann zu tun ist. Klären Sie, ob und nach welchen Zertifikaten überwacht wird. Besonders streng ist die ISO 27001-Zertifizierung nach BSI (Bundesamt für Sicherheit in der Informationstechnik). Hier kommt tatsächlich ein Mitarbeiter vorbei und lässt sich alles ganz genau zeigen.

Der Anbieter sollte aber nicht nur gut abgesichert sein, sondern auch flexibel auf Ihre Wünsche eingehen können. Schließlich kann man nie wissen, wie die Situation in einem Jahr sein wird. Vielleicht müssen Sie Mitarbeiter entlassen oder Sie wollen oder müssen sich von dem bisherigen Anbieter trennen, weil sich Ihre Bedürfnisse geändert haben. Regeln Sie, wann Sie unter welchen Bedingungen vom Vertrag zurücktreten können und halten Sie sich ein Hintertürchen für den geordneten Rückzug offen. Das macht schon deshalb Sinn, weil kein Anbieter vor Insolvenz gefeit ist. Sorgen Sie deshalb dafür, dass bei einem Anbieterwechsel der Nachfolger ohne Unterbrechung den Service weiterbetreiben kann und dass keine Sicherheitslücken entstehen. Legen Sie für die Übergabe gleich noch eine Kooperationspflicht und eine Vertraulichkeitsregelung fest. Und stellen Sie sicher, dass alle Dienstleistungen, Prozesse etc. ausreichend dokumentiert werden und dass Sie einen technischen und rechtlichen Zugriff darauf haben.

Falls Sie einen Vertrag mit fester Laufzeit eingehen, sollten Sie die Informationen eine bestimmte Zeit vor Vertragsende erhalten. Auch wenn es kleinkariert klingt: Klären Sie alle notwendigen Details so genau wie möglich. Ansonsten kann es schnell zu Missverständnissen kommen, und im schlimmsten Fall sehen Sie sich vor Gericht wieder. Die Wahrscheinlichkeit für ein Verfahren sinkt, wenn die Fronten geklärt und keine Punkte offen sind. Ein Streitpunkt für sich, an den viele nicht denken, sind die vielen Fachbegriffe und Kürzel. Die sollten Sie lieber definieren, denn über die genaue Bedeutung sind sich selbst Spezialisten nicht immer grün. Wenn Sie Ihren Sitz in Deutschland haben, ist es natürlich vorteilhaft, wenn der ganze Vertrag nach deutschem Recht abgeschlossen wurde. Denn wer sich in einem ausländischen Rechtsraum bewegt, kann schnell in Schwierigkeiten geraten. Sie können nämlich schwer überblicken, was Sie genau unterschreiben. Dazu brauchen Sie einen spezialisierten Anwalt, der sich seine Sonderdienste teuer bezahlen lässt. Noch kostspieliger wird es, wenn es zu einem Prozess im Ausland kommt. Klären Sie daher auch, wo der Gerichtsstand ist.

Sie sehen, es gibt viele Fragen, die Sie sich stellen müssen. Am besten erarbeiten Sie einen Kriterienkatalog, in dem Sie festhalten, welche Punkte für Sie wichtig und welche weniger wichtig sind. Fragen Sie sich dabei auch, welches Risiko Sie eingehen können. Dann könnte es auch billiger werden. Denn es kann sich durchaus positiv auf den Preis auswirken, wenn das System z.B. nur an bestimmten Werktagen verfügbar sein muss, aber nicht rund um die Uhr. In Sachen Datenschutz und Datensicherheit sollten Sie jedoch keine Kompromisse eingehen. Hier ist das Risiko definitiv zu hoch.

von Sabine Philipp