Miete, Dienste, Werke – SaaS-Verträge: Einordnung, Möglichkeiten und rechtliche Fallstricke

Von Jan O. Baier, Berlin

Eine einheitliche Definition von „Software as a Service“ (SaaS) existiert nicht und wurde auch nicht in der EU-Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (diD-Richtlinie) oder den darauf basierenden Änderungen im BGB festgelegt. Anhand grundlegender Merkmale ist es aber gut möglich, sich dem Begriff anzunähern: Damit von SaaS gesprochen werden kann, müssen Software und IT-Infrastruktur von einem externen Dienstleister über eine Datenverbindung, wie Internet oder VPN, bereitgestellt werden. Statt einer dauerhaften Lizenz erhalten Kund:innen das Recht, die Software für einen bestimmten Zeitraum als Dienst zu nutzen – der Kunde spart Installation, Pflege/Wartung und eigene IT-Infrastruktur. Oft lassen sich SaaS-Produkte auch über das Pay-as-you-go-Prinzip abberechnen, sodass ihre Nutzung nicht nur mit geringeren Kosten, sondern auch mit weniger Risiko verbunden ist. Zudem sollten Anpassungen und Aktualisierungen sehr flexibel und individuell einzurichten sein.

Wie die ebenfalls angebotenen Leistungen „Infrastructure as a Service“ (IaaS) und „Platform as a Service“ (PaaS) fällt SaaS unter den Oberbegriff „Everything as a Service“ (XaaS). Während unter IaaS erst einmal nur die Bereitstellung grundlegender Infrastruktur, wie Rechenleistung oder Speicher, zu verstehen ist (beispielsweise AWS oder Microsoft Azure), haben Nutzer:innen bei PaaS einen größeren Spielraum: Hier können nicht zuletzt Programmierer:innen eine Plattform nutzen, um eigene Anwendungen zu erstellen.

Rechtliche Einordnung

Genauso wenig wie SaaS als solches gesetzlich definiert wird, kennt das deutsche Recht einen spezifischen „SaaS-Vertrag“. Bei der rechtlichen Betrachtung ist zu beachten, dass je nach konkretem Produktangebot unterschiedliche Vertragstypen einschlägig sein können. Bei Angeboten, die beispielsweise in einer Datenmigration, der Implementierung der SaaS-Software oder einer individuellen Software-Anpassung bestehen, schuldet der Dienstleister rechtlich gesehen den Kund:innen einen Erfolg: Es kommt also nicht auf die Durchführung einer bestimmten Dienstleistung, sondern auf das erfolgreich bereitgestellte Ergebnis an. In diesem Fall handelt es sich rechtlich gesehen um einen Werkvertrag (§§ 631 ff BGB).

Besteht das Angebot hingegen in erster Linie aus der Durchführung einer Leistung (unabhängig von einem konkreten Erfolg), liegt ein Dienstvertrag vor, für den andere Regelungen gelten (§§ 611 ff BGB). Das ist etwa in der Regel dann der Fall, wenn eine Schulung über eine SaaS-Software angeboten wird und das anbietende Unternehmen sich dazu verpflichtet hat, diese durch qualifiziertes Personal durchzuführen – denn an dieser Stelle wird kein bestimmtes Ergebnis geschuldet, beispielsweise, dass die Teilnehmer:innen die Lerninhalte verstanden haben oder mit der bereitgestellten Software umgehen können.

Klassische SaaS-Verträge werden jedoch vorrangig im rechtlichen Sinne als Mietverträge eingeordnet (§§ 535 ff BGB). Da es, wie eingangs beschrieben, im Wesentlichen darum geht, eine Software zeitweilig zu Gebrauchszwecken zu überlassen, kommt dies dem Mietvertrag, durch den ein bestimmter Besitz vorübergehend überlassen wird, am nächsten. Da man eine Software allerdings nicht auf die gleiche Weise wie eine Sache „besitzen“ kann und der SaaS-Vertrag nur die Nutzung der Software festlegt und der „Besitz“ beim anbietenden Unternehmen verbleibt, war die Einordnung lange Zeit umstritten. Letztlich hat jedoch der Bundesgerichtshof in einer Entscheidung (BGH, Urteil vom 15. Nov. 2006, Az. XII ZR 120/04) zu sogenannten Application-Service-Providing-Verträgen (ASP) geurteilt, dass die Rechtsnatur solcher Verträge denen des Mietvertragsrechts „ausreichend vergleichbar“ ist.

Da Leistungen häufig in einem Paket angeboten werden, sind SaaS-Verträge meist als gemischte Verträge einzuordnen. Dann ist zu differenzieren: Für die jeweiligen Teile des SaaS-Vertrags gelten jeweils andere Regeln – je nach vertragsrechtlicher Beurteilung solche aus dem Werk-, Dienst- und Mietvertragsrecht. Ist etwa eine Software mangelhaft implementiert, muss man auf die werkrechtlichen Vorgaben zurückgreifen – für die Kündigung eines SaaS-Vertrags zugleich auf die mietrechtlichen. Betrifft eine Vereinbarung oder eine Unklarheit mehrere Bestandteile des SaaS-Vertrags oder ist eine klare Abgrenzung der unterschiedlichen Vertragstypen nicht möglich, kommt es darauf an, wo der Schwerpunkt der Vereinbarung liegt. Das dürfte in der überwiegenden Zahl der Fälle im Mietrecht sein.

Der neue Verbrauchervertrag über digitale Produkte

Ab dem 1. Januar 2022 gelten mit den §§ 327 ff des Bürgerlichen Gesetzbuchs (BGB) in neuer Fassung im Verhältnis zwischen Unternehmen und Verbraucher:inne:n neue Regelungen, die auf der dID-Richtlinie beruhen und unter anderem auch SaaS-Verträge betreffen. Mit dem Vertrag über digitale Produkte ist ein neuer Typ in das BGB aufgenommen worden, der für den Erwerb digitaler Inhalte oder Dienstleistungen vorgesehen ist, zu denen auch SaaS gehört.

Vor allem zwei neue Bestimmungen sind in diesem Zusammenhang relevant: Erstens gelten neue Voraussetzungen dafür, wann eine Software als mangelfrei gilt. Dafür müssen sowohl subjektive als auch objektive Anforderungen gegeben sein: Während die subjektiven Anforderungen erfüllt sind, wenn die Software die vereinbarte Beschaffenheit aufweist, sich für die vertraglich vorausgesetzte Verwendung eignet und mit Zubehör, Anleitung und Kundendienst übergeben wurde, muss sich die Software aufgrund der objektiven Anforderungen für die gewöhnliche Verwendung eignen und die übliche Beschaffenheit aufweisen. Daher kann ein Mangel sogar dann vorliegen, wenn ein Produkt so beschaffen ist, wie es vertraglich vereinbart wurde.

Zweitens besteht eine Updatepflicht, aufgrund der Verkäufer:innen während eines „maßgeblichen Zeitraums“ Aktualisierungen der Software bereitstellen müssen. Da diese Angabe im Gesetz nicht weiter konkretisiert wird, dürfte die Rechtsprechung in diesem Punkt noch für Klarheit sorgen müssen.

Vertrags-Gestaltung

Das Risiko, bei der Gestaltung eines Vertrags etwas zu übersehen, besteht selbstverständlich immer. SaaS-Verträge sind allerdings häufig besonders komplex, sodass es empfehlenswert ist, sich alle wichtigen Fragen im Vorfeld sorgfältig anzusehen. Aufgrund der Vielzahl möglicher Konstellationen können auch hier nur die gängigsten Punkte angeführt werden. In der Praxis sollte man darüber hinaus immer auch die individuellen Umstände der eigenen Vertragsgestaltung mit berücksichtigen.

Zumeist stellen die anbietenden Unternehmen die Vereinbarungen als vorformulierte Verträge zur Verfügung. In diesem Fall bleibt für Kund:inn:en nur die Möglichkeit, diese genau zu überprüfen. Bei vorformulierten Verträgen handelt es sich in der Regel um Allgemeine Geschäftsbedingungen (AGB), sodass die Regelungen der §§ 305 ff. BGB gelten. Für AGB gilt das sogenannte Prinzip der geltungserhaltenden Reduktion: Das bedeutet, dass vertragliche Vereinbarungen, die nach dem Gesetz nicht erlaubt und damit ungültig sind, nicht wegfallen, sondern durch die gesetzlich vorgegebenen Regelungen ersetzt werden. Kund:inn:en sollten daher beachten, dass unter Umständen ganz andere Bestimmungen gelten können als die, die wörtlich im Vertrag zu finden sind.

Das gilt umso mehr für Verträge mit US-amerikanischen Unternehmen, die nicht immer unter Berücksichtigung des deutschen Rechts erstellt werden. Beispielsweise befinden sich (nicht nur in Vereinbarungen über SaaS) in vorformulierten Verträgen internationaler Unternehmen oft Klauseln, welche die Haftung des Anbieters stärker einschränken als es das nationale Recht zulässt. So ist es etwa nach §§ 307, 309 BGB nicht möglich, vorsätzliches oder grob fahrlässiges Verhalten oder Verletzungen an Leben, Leib und Gesundheit von der Haftung auszuschließen – eine solche Bestimmung ist daher nicht wirksam. Des Weiteren darf die Haftung nicht pauschal begrenzt werden. Dagegen besteht aber auch in Deutschland die Möglichkeit, Haftungen von verschuldensunabhängigen Handlungen, wie zum Beispiel unbeabsichtigte Programmierfehler, oder von einfacher Fahrlässigkeit einzuschränken.

Neben den einzelnen Klauseln des Vertrags sollte auch ermittelt werden, welche Inhalte die Leistungsbeschreibung genau enthält, etwa in Bezug auf die Funktionen der Software. Darüber hinaus sollten Kund:inn:en besonders auf das Service-Level-Agreement (SLA) achten, in dem die Bestimmungen über Support, Verfügbarkeit der Software, Problembehandlungszeiten sowie gegebenenfalls Minderungsrechte und anderes festgelegt sind.

Ein SLA sollte möglichst mit abgeschlossen werden! Besondere Aufmerksamkeit sollte man hierbei auf die Verfügbarkeitsregelung legen, da dieser Teil des SaaS-Vertrags regelmäßig dem Mietrecht unterliegt, demzufolge Vermieter:innen das Zurverfügungstellen der Mietsache ohne jede Unterbrechung gewährleisten müssen. Das lässt sich im Rahmen der Bereitstellung von Software aber selten vollständig umsetzen. Es ist daher sinnvoll, die Verfügbarkeit der Software und die vertraglichen Rechtsfolgen von Unterbrechungen konkret zu klären. Hier kann etwa mit Zeiträumen oder Quoten gearbeitet werden, wie lange die Zurverfügungstellung sicherzustellen ist.

Wichtig: Sowohl für Bestimmungen, die zu ungenau gefasst sind, als auch für solche, die gänzlich fehlen, gelten ersatzmäßig die gesetzlichen Vorgaben! Das kann, vor allem weil das Mietrecht ursprünglich nicht für die Überlassung von Software gedacht war, Nachteile bedeuten. Beispielsweise würde für die anbietenden Unternehmen dann die Verpflichtung der ununterbrochenen Bereitstellung gelten. Insgesamt sollte man deshalb darauf achten, dass die geschuldeten Leistungen sowie die Folgen von Verstößen so genau wie möglich beschrieben sind. Inhaltlich gehören dazu unter anderem der Umfang der Hauptleistung, eventuelle Zusatzleistungen wie Schulungen oder Mitwirkungspflichten der Kund:inn:en.

Anforderungen des Datenschutzrechts

Da das anbietende Unternehmen die Kontrolle über die SaaS-Software behält, diese pflegt und weiterentwickelt, verarbeitet es vorrangig die Daten, mit denen die Kund:inn:en umgehen. Wenn es sich dabei um personenbezogene Daten handelt, ist die EU Datenschutzgrundverordnung (DSGVO) anzuwenden. Da zumindest zum Teil personenbezogene Daten, also solche, die sich auf eine konkrete Person beziehen, zum Beispiel Kontaktdaten von Mitarbeiter:inne:n oder Kund:inn:en, regelmäßig verarbeitet werden, liegt mit dem anbietenden Unternehmen ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO vor.

Dabei handelt der Auftragsverarbeiter, bei SaaS-Verträgen das anbietende Unternehmen, auf Weisung des oder der Verantwortlichen, also seiner Kunden – der Auftragsverarbeiter darf durchaus aber noch gewisse eigene Entscheidungsspielräume haben. In einer solchen Konstellation muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden, der die wichtigsten datenschutzrechtlichen Anforderungen festlegt. Dazu gehört die Verpflichtung des Auftragsverarbeiters, die personenbezogenen Daten ausreichend durch die Implementierung technischer und organisatorischer Maßnahmen zu schützen.

Da sich der Umgang mit den Daten hauptsächlich im Rahmen der Softwarenutzung vollzieht, liegt die Verantwortung grundsätzlich bei den Mitarbeiter:inne:n, die mit der Software arbeiten, beziehungsweise dem/der Arbeitgeber:in. Dennoch betreibt das anbietende Unternehmen die Software über den gesamten Zeitraum der Überlassung hinweg und muss daher entsprechende Vorkehrungen für die Sicherheit der personenbezogenen Daten treffen.

Werden im Zuge der Softwarenutzung Daten außerhalb der EU oder des EWR verarbeitet, müssen die Verarbeitungen auf eine besondere Rechtsgrundlage für Drittlandsverarbeitungen gestützt werden, etwa auf einen Angemessenheitsbeschluss nach Art. 45 DSGVO oder Standardvertragsklauseln (Standard Contractual Clauses, SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Hier hat die EU-Kommission am 4. Juni 2021 neue SCC veröffentlicht, die auf der Grundlage des „Schrems II“-Urteils des Europäischen Gerichtshofs vom 16. Juli 2020 (EuGH C 311/18) erarbeitet wurden (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_de).

Verantwortliche Unternehmen müssen in diesem Zusammenhang in eigener Verantwortung die datenschutzrechtliche Lage im Drittland und das Datenschutzniveau der jeweiligen Datenverarbeitungen überprüfen und entsprechende Schutzmaßnahmen umsetzen.

Sofern über eine SaaS-Software Cookies eingesetzt werden, sind – wie bei allen anderen mit Cookies verbundenen Onlinediensten auch – spezielle Anforderungen zu beachten: Für alle Cookies, die nicht technisch erforderlich sind (z. B. für den Betrieb einer Website), muss zwingend eine Einwilligung der Nutzer:innen eingeholt werden. Bei solchen nicht unbedingt erforderlichen Cookies handelt es sich vor allem um Cookies zur Nutzungsanalyse oder für Werbezwecke. Nachdem die Voraussetzung der Einwilligung gemäß dem „Planet49“-Urteil des Bundesgerichtshofs vom 28. Mai 2020 (BGH I ZR 7/16) unionsrechtskonform in den § 15 Abs. 3 Telemediengesetz (TMG) hineingelesen wurde, steht sie nun ausführlich im neuen § 25 des Telekommunikation-Telemedien-DatenschutzGesetzes (TTDSG).

Formal ist die Einwilligung nach den Vorgaben der DSGVO auszugestalten: Demnach muss sie freiwillig abgegeben werden und darf für die einwilligende Person keine Nachteile zur Folge haben (Kopplungsverbot). Sie muss darüber hinaus informiert und aktiv, etwa durch Opt-in, erteilt werden und jederzeit widerruflich sein. Das Einwilligungserfordernis gilt im Übrigen auch für alle anderen vergleichbaren Verfahren, die Informationen auf Endgeräten von Nutzer:inne:n speichern oder auf diese zugreifen.

Fazit

Da SaaS-Verträge in deutschen Gesetzen nicht ausdrücklich geregelt sind, ist auf eine sorgfältige und umfassende Vertragsgestaltung zu achten. Dem Vorteil von SaaS-Produkten, dass sie eine flexible und auf die Kundenwünsche abgestimmte Ausarbeitung ermöglichen, sollte man mit passenden und möglichst genauen Vereinbarungen Rechnung tragen. Kund:inn:en sollten zudem darauf achten, ein Service-Level-Agreement (SLA) abzuschließen. Wo Individualvereinbarungen nicht möglich oder zweckmäßig sind, sollten Verträge dahingehend überprüft werden, dass sie inhaltlich keinen gesetzlichen Vorgaben widersprechen. In jedem Fall sollte man berücksichtigen, dass bei Verstößen etwa gegen die AGB-Regelungen rechtlich ein anderer Vertragsinhalt gelten kann als eigentlich vereinbart. Insgesamt lassen sich die rechtlichen Vorgaben mit der richtigen Beratung und Vorbereitung allerdings auch in rechtlicher Hinsicht gut umsetzen.

Jan O. Baier ist Rechtsanwalt, Fachanwalt für Urheber- und Medienrecht und Associated Partner der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte.