Cloud-Verträge meistern – Worauf es ankommt
Kernthemen und Fallstricke bei SaaS-Verträgen für Unternehmen – von SLA bis Exit-Strategie
Von Jens Stanger, Braunschweig
Leistungsbeschreibung
Die angebotenen Variationen von SaaS-Leistungen sind mittlerweile breit gefächert; eine einheitliche Definition solcher Leistung fehlt. Das macht es umso wichtiger, genau festzulegen, was der Anbieter mindestens erbringen muss. Üblicherweise ist dies die Pflicht, dem Anwender die Nutzung der Vertragssoftware auf anbietereigener IT-Infrastruktur als betriebsbereiten SaaS-Dienst über das Internet zu ermöglichen, was auch die Beseitigung von Fehlern bzw. Störungen sowie die Nutzung der jeweils neuesten Version der Vertragssoftware erfasst. Dabei sollten auch die Datensicherung sowie der Kundensupport fest im Leistungskatalog verankert werden.
Ein weiteres entscheidendes Detail: Wie wird auf die Software zugegriffen? Ist der Zugang nur über den Browser möglich, kann dies zu Einschränkungen führen. So lassen sich beispielsweise Scanner bislang nicht über eine lediglich per Browser aufrufbare Cloudsoftware ansteuern. Derartige Digitalisierungsabläufe lassen sich bislang nur mit separaten Apps umsetzen.
Bestimmte Geräte oder Programme, die zwingend mit der Software zusammenarbeiten müssen, sollten im Vertrag als „unterstützte Drittapplikationen und Geräte“ aufgenommen werden – mit der Pflicht des Anbieters, entsprechende Schnittstellen hierfür bereitzustellen.
Service-Level-Agreement (SLA)
Durch die Verlagerung des Betriebs der Anwendung auf Server des Anbieters entstehen neue Fehlerquellen. Server können ausfallen oder zu schwach für die zu bewältigenden Aufgaben sein. Dies führt zur Nichtverfügbarkeit der Anwendung oder aber einer sehr langsam reagierenden Anwendung. Das alte Bürgerliche Gesetzbuch (BGB) bietet für diese modernen Herausforderungen keine angemessenen Regelungen, wenn die Service-Qualität nicht den Erwartungen entspricht.
Um einer solchen Situation vorzubeugen, werden üblicherweise Service-Level für den Dienst vereinbart, wie z.B. die Verfügbarkeit des Dienstes (nicht selten unter 98 %), Dialogantwortzeiten bei Eingaben oder Störungsbeseitigungs- oder Wiederherstellungszeiten bei Ausfällen. Werden diese Ziele nicht eingehalten, sollte der Vertrag Sanktionen wie Vertragsstrafen oder eine Minderung der Vergütung vorsehen.
Datenschutz und Datensicherheit
Bei einer Cloud-Anwendung ist die Weitergabe von Unternehmensdaten an den Cloud-Anbieter immanent. Sobald hiervon personenbezogene Daten betroffen sind, greift die Datenschutzgrundverordnung (DSGVO). Der Anwender muss dann sicherstellen, dass er weiterhin Kontrolle über die Daten behält und der Cloud-Dienstleister hinreichende Maßnahmen trifft, um den Schutz der Daten des Anwenders zu gewährleisten.
Dies wird über eine zusätzlich geschlossene Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO erreicht. Darin muss auch eine Liste der vom Anbieter eingesetzten Unterauftragnehmer und der ergriffenen technischen und organisatorischen Maßnahmen enthalten sein.
Auch sollte der Standort, wo die Daten gespeichert und verarbeitet werden (Serverstandort) vereinbart sein. Für regulierte Unternehmen, etwa im Finanz- oder Versicherungssektor, ist beispielsweise das Gebiet des Serverstandorts vorgeschrieben (Deutschland- oder EU-weit).
Prüfungs- und Kontrollrechte
Es empfiehlt sich ferner, Prüfungs- und Kontrollrechte gegenüber dem Cloud-Anbieter zu vereinbaren. Solche Kontrollrechte sind für datenschutzrelevante Bereiche ohnehin gesetzlich vorgeschrieben. Darüber hinaus sollten sie jedoch mindestens auf die Einhaltung der vereinbarten Servicelevel und die Durchführung regelmäßiger Datensicherungen ausgeweitet werden, um sicherzustellen, dass alle vertraglich festgelegten Leistungen ordnungsgemäß erbracht werden. Diese Überwachung erfolgt häufig durch den Einsatz von Monitoring-Tools.
Für regulierte Unternehmen können darüber hinaus Aufsichtsbehörden eigene Prüfungsrechte gegenüber dem Cloud-Anbieter beanspruchen. Dies muss im Vertrag ebenfalls berücksichtigt werden.
Rechte an der Software und Anpassungen
In der Regel erhält der Anwender bei Cloud-Verträgen ein zeitlich auf die Dauer des Vertrages beschränktes Recht, die Vertragssoftware zu nutzen. Diese Einschränkung ist insofern angemessen, da ihr in der Regel der Vorteil einer geringeren Vergütung gegenübersteht.
Oft beauftragt der Anwender jedoch spezifische Anpassungen oder Zusatzprogrammierungen der Software, die vom Anbieter nach Aufwand berechnet werden. Haben diese Ergänzungen eine allgemeine Funktionalität, die über die spezifische Cloud-Software hinausgeht (z. B. spezielle Preisberechnungen), ist es aus kaufmännischer Sicht ratsam, sich die Rechte an diesen Programmierungen auch für Nachfolgeanwendungen zu sichern. Ohne eine entsprechende vertragliche Vereinbarung verliert der Anwender bei Vertragsende seine Rechte an diesen Individualprogrammierungen vollständig und kann sie weder auf eigenen Systemen speichern noch an neue Dienstleister weitergeben.
Wenn der Anbieter nicht bereit ist, dem Anwender die Programmierungen bei Vertragsende exklusiv zur Verfügung zu stellen, sollte zumindest vereinbart werden, dass der Anwender das dauerhafte Recht an den von ihm bezahlten Programmierungen erhält, diese Programmierungen auch bei einem neuen Anbieter zu nutzen und entsprechend zu verändern und zu erweitern. Zudem sollte die Verpflichtung zur Herausgabe des bearbeitbaren Quellcodes sowie der dazugehörigen Dokumentation klar festgelegt werden.
Zurückbehaltungsrecht
Durch die Auslagerung der Anwendung und Daten an den Cloud-Anbieter gerät der Anwender in Konfliktsituationen oft in eine abhängige Position. In den Standardverträgen der Anbieter finden sich häufig Klauseln, die es ihnen im Falle eines Zahlungsverzuges gestatten, ihre Leistungen für den Anwender einzustellen. Das Zurückbehaltungsrecht, auf dem diese Regelungen basieren, ist gesetzlich vorgesehen und grundsätzlich berechtigt.
Eine ausgewogene Regelung sollte das Zurückbehaltungsrecht des Anbieters auf Fälle eindeutigen Zahlungsverzugs beschränken, nicht aber, wenn sich die Parteien über Mängel der Leistung streiten. Zudem sollte der Anbieter verpflichtet sein, eine Sperrung der Dienste im Voraus anzukündigen, bevor er den Zugriff tatsächlich einschränkt.
Im Falle einer plötzlichen Einstellung des Dienstes hilft dies dem Anwender natürlich auch nicht. In einem gerichtlichen Eilverfahren erhöht eine ausgeglichene Klausel jedoch die Chancen des Anwenders, eine Wiederherstellung des Dienstes zu erwirken.
Kündigungsmodalitäten und Exit-Strategie
Ein oft unterschätzter Aspekt in Cloud-Verträgen sind die Regelungen zu Kündigungsfristen und der Unterstützung durch den Anbieter bei Vertragsende.
Bei SaaS-Anwendungen hat der Anwender Software wie auch seine Daten vollständig auf den Cloud-Anbieter ausgelagert. Ein Wechsel zu einem neuen Anbieter erfordert daher eine sorgfältige und langfristige Vorbereitung, zumal die Suche nach einem geeigneten Ersatzanbieter oft zeitaufwändig ist. Monatliche oder quartalsmäßige Kündigungsfristen für beide Vertragsseiten sind in diesem Zusammenhang äußerst ungünstig. Empfehlenswert sind asynchrone Kündigungsfristen: Während dem Anwender eine flexible monatliche oder quartalsweise Kündigungsmöglichkeit eingeräumt wird, sind für den Anbieter längere Fristen von mindestens einem Jahr, idealerweise sogar zwei Jahren, festgelegt.
Für das Vertragsende sollte zudem eine klare Verpflichtung mit dem Anbieter ausbedungen werden, in welcher Form er die Daten an den Anwender zurückgeben muss. Ebenso ist zu regeln, wie lange der SaaS-Anbieter nach Vertragsende Unterstützung bietet, um eine reibungslose Übergabe und den Übergang zu einem neuen Dienstleister sicherzustellen.
- Schlagwörter
- Cloud-Verträge|
- SaaS-Verträge|
- SLA|
- Service-Level-Agreement|
- Datenschutz|
- Exit-Strategie|
- Cloud|
- Mindmap
- IT & Digitalisierung
- IT & Digitalisierung 2025