Juristische Aspekte der SaaS-Nutzung

ASP ist tot, lang lebe SaaS. Die "neue" Vermarktungs- und Nutzungsform von Computerapplikationen unter dem Stichwort Software as a Service, kurz SaaS, gewinnt zunehmend an Bedeutung. Application Service Providing führte trotz anfänglicher Euphorie nur ein Nischendasein. Schuld waren unter anderem die hohen Kosten für die Beschaffung der erforderlichen Telekommunikationsverbindungen. Jetzt kündigen namhafte Unternehmen, beispielsweise SAP mit der Mittelstandssoftware SAP Business By-Design, den großen Einstieg in den SaaS-Markt an. Ob SaaS – im Gegensatz zu ASP – allerdings zu einer Erfolgsgeschichte werden und sich als weiterer Absatzkanal etablieren wird, hängt nicht zuletzt von den rechtlichen und insbesondere den vertragsrechtlichen Gestaltungen der Beziehungen zwischen den Beteiligten ab.

Wechselfreudige Kunden

Die Vorteile von SaaS auf der Seite des Kunden können schnell zu Nachteilen für den Anbieter werden. Muss der Kunde nicht mehr viel Geld in den Aufbau einer für bestimmte Applikationen ausgerichteten IT-Infrastruktur stecken, wird seine Bereitschaft, den Anbieter bei Unzufriedenheit mit dessen Leistungen zu wechseln, höher sein als im klassischen Softwareabsatz – zumindest bei Unternehmenssoftware, die sich bislang kaum ohne größeren Aufwand einführen ließ. Bei SAP gibt es bereits Zwischenlösungen wie das "CRM on demand". Ein SAP-Kunde kann sich über dieses Vertriebsprogramm die zeitweilige Nutzung zusätzlicher Komponenten dazu"kaufen", ohne volle Lizenzen zur Nutzung zu erhalten und ohne weitere erhebliche Investitionen in seine Infrastruktur stecken zu müssen.

Ein wesentliches rechtliches Merkmal von SaaS ist, dass der Kunde kein dauerhaftes Nutzungsrecht an der genutzten Software erhält, denn er kauft sie nicht. Man könnte in dem Fall an eine Nutzungsüberlassung auf Zeit denken, ein mietähnliches Verhältnis. Aber auch das trifft es juristisch nicht. Denn die Software wird dem Kunden ja nicht "überlassen", sie läuft vielmehr auf Rechnern des Anbieters. Das Rechtsverhältnis zwischen Nutzer und SaaSAnbieter lässt sich also auch nicht ohne Weiteres als Mietvertrag einordnen. Trotzdem hat der BGH für den Bereich von ASP entschieden, dass auf solche Verträge Mietvertragsrecht anzuwenden ist. Denn es passt noch am ehesten auf die Besonderheiten dieser Nutzungsform von Software.

Entscheidend ist das bei den Fragen, welche Rechte und Pflichten die Vertragsparteien haben und wer Mängel der Leistung darzulegen und zu beweisen hat. Selbstverständlich können die Vertragsparteien hier abweichende Regelungen treffen. Fehlen diese, bleibt es bei den gesetzlichen Vorgaben. Sie gelten ebenfalls, wenn der SaaS-Anbieter Standardverträge verwendet und diese einseitig und in unfairer Weise zu Lasten seines Kunden gehen. Denn Standardverträge unterliegen in Deutschland auch im unternehmerischen Bereich dem Recht der allgemeinen Geschäftsbedingungen, die verlangen, dass Verträge – wenn sie nicht verhandelt wurden – ausgewogen sein müssen.

Die Vertragsparteien schließen bei SaaS einen Vertrag über das Recht des Nutzers, eine Software, die auf den Rechnern des Anbieters läuft, über Fernzugriff zu verwenden. Aus lizenzrechtlicher Sicht bedeutet das, dass der Kunde kein Vervielfältigungsstück, also keine Kopie der Software auf seinen Rechner lädt und dort laufen lässt. Er greift nur per Webapplikation auf die dargestellten Ergebnisse seiner Eingaben auf dem Fremdrechner zu.

Diese vermeintliche juristische Spitzfindigkeit spielt bei der lizenzrechtlichen Gestaltung von SaaS-Produkten meist keine Rolle. Der Anbieter muss, wenn er nicht selbst Hersteller der Software ist, vom Entwickler des Computerprogramms entsprechende Nutzungsrechte erwerben. Fehlen solche vertragsrechtlichen Vereinbarungen, darf er das Programm nicht per SaaS anbieten. Denn auch in diesem Rechtsbereich muss man zum Schutz der Urheberrechtsinhaber lizenzrechtlich davon ausgehen, dass die Software zeitweise zum Gebrauch "überlassen" wird, was laut Gesetz einer besonderen Gestattung durch den Rechtsinhaber bedarf.

Spezialfall Open Source

Im Open-Source-Bereich kann die fehlende Gebrauchsüberlassung einen bedeutenden rechtlichen Effekt haben. Programme, die nach den klassischen GPL-Lizenzen lizenziert werden, müssen nicht im Quellcode offengelegt werden, wenn man sie Kunden nur online und nicht auf einer eigenen Kopie zur Verfügung stellt. Der Anbieter kann GPL-lizenzierte Software demzufolge sogar ändern, ohne den Quellcode offenlegen zu müssen.

Etwas anderes gilt bei der Affero GPL, einer abgeänderten GPL-Lizenz. Diese schreibt ausdrücklich vor, dass auch über Netzwerke genutzte Programme dem Nutzer im Quellcode zur Verfügung gestellt werden müssen – und zwar laut Zusatz in Ziffer 2d der Affero-GPL-Lizenzbedingungen sämtlichen Nutzern im Netzwerk. Wer also sicherstellen will, dass seine unter der GPL stehenden Entwicklungen auch als SaaS an die Nutzer gelangen können, sollte sich eher für die Affero GPL entscheiden als für die klassische.

Zu beachten ist dabei aber, dass die Affero GPL nicht mit der GPL Version 2 kompatibel ist. Eine Verknüpfung von GPL-lizenzierten Teilkomponenten mit unter Affero GPL-lizenzierten Teilen zu einem Gesamtprogramm ist daher nicht möglich. Das soll sich im Bereich der GPL Version 3 ändern. Derzeit arbeitet die Free Software Foundation an einer Version 3 der Affero GPL. Auch bei dieser wird es sich um eine leicht modifizierte Fassung der GPL handeln, in diesem Fall der erst kürzlich fertiggestellten GPL Version 3.

Datenschutz im Vertrag verankern

Neben den Nutzungsrechten sind weitere Aspekte bei der Nutzung von SaaS zu beachten. Besonderes Augenmerk ist darauf zu legen, dass die von den Applikationen auf dem Fremdrechner verarbeiteten Daten technisch nicht in eigenen Datenbanken abgelegt werden, sondern sich beim Anbieter befinden. Sobald allerdings unternehmenskritische Daten oder dem Datenschutzrecht unterliegende personenbezogene Daten den eigenen Herrschaftsbereich verlassen, ist Vorsicht angezeigt.

Datenschutzrechtlich handelt es sich um eine Auftragsdatenverarbeitung, wenn personenbezogene Daten per SaaS verarbeitet werden. Das wäre zum Beispiel bei einer SaaS-Lohnbuchhaltung der Fall. Das deutsche Bundesdatenschutzgesetz verlangt dann aber, dass ein schriftlicher Vertrag vorliegt. Der Kunde muss den Anbieter zudem sorgfältig auswählen, wobei hierbei insbesondere die von ihm zum Schutz der Daten getroffenen technischen und organisatorischen Maßnahmen zu berücksichtigen sind. Diese Maßnahmen, und das übersehen viele, müssen schriftlich niedergelegt und Vertragsbestandteil werden.

Außerdem sind die Datensätze strikt von Datensätzen anderer Kunden zu trennen, wobei eine streng-logische Trennung ausreicht. Im Gegensatz zu ASP dürfte gerade der Aspekt der Multimandantenfähigkeit von SaaS-Angeboten es hier deutlich einfacher machen, mit dem strengen Datenschutz kompatible Verträge abzuschließen. Empfehlenswert ist aber auch bei nicht-personenbezogenen Daten die Orientierung an datenschutzrechtlichen Regelungen, so kann man die eigenen Daten vertraglich absichern.

In SaaS-Nutzungsverträgen sind ebenfalls Regelungen wichtig, wie man an seine Daten gelangt, wenn man das möchte. Ein SaaS-Kunde ist gut beraten, ein Zurückbehaltungsrecht des Anbieters an diesen Daten ausdrücklich auszuschließen. Wenn er beispielsweise seine Rechnungen nicht begleicht, weil er der Meinung ist, dass der Anbieter seine vertraglichen Leistungspflichten nicht erfüllt hat, könnte dieser auf die Idee kommen, dem Nutzer seine Daten vorzuenthalten, bis die Rechnung bezahlt ist. Ohne eine vertragliche Regelung darf der Anbieter dies in bestimmten gesetzlich geregelten Fällen sogar. Wer hier auf Nummer sicher gehen will, schlägt dem Anbieter dieses Recht von vornherein vertraglich aus der Hand. Diese Aspekte muss man auch bedenken, wenn es um die Regelung der Beendigung eines SaaS-Vertrages geht oder um die Frage, was passieren soll, wenn der Anbieter insolvent wird und sein Angebot einstellt.

Absichern nach allen Richtungen

Neben dem Schutz der Daten und der Pflicht des SaaS-Anbieters, angemessene Sicherheitsmaßnahmen zur gefahrlosen Übermittlung von Daten zu ergreifen, muss sich der Nutzer Gedanken über die Verfügbarkeit machen. Wichtig sind hier Service-Level-Vereinbarungen, die regeln, wann das SaaS-Angebot zur Verfügung stehen muss, wann gewartet werden darf et cetera. Idealerweise sind diese Verfügbarkeiten mit entsprechenden Vertragsstrafen versehen, wenn der Anbieter sie unterschreitet. Alternativ bieten sich Bonus-Malus-Regelungen an. Ein SaaS-Vertrag ist gerade in diesem Bereich mit einem Outsourcing- Vertrag gut vergleichbar.

Aufpassen müssen die Kunden aber dann, wenn SaaS-Anbieter und Internet Access Provider nicht identisch sind. Was nützt die beste Verfügbarkeit des SaaS-Angebots, wenn die eigenen Mitarbeiter mangels Konnektivität nicht auf dessen Systeme zugreifen können? Wichtig ist daher, den SaaS-Vertrag und den Vertrag mit dem TK-Anbieter aufeinander abzustimmen. Nur wenn alles aus einer Hand kommt, worauf sich die TK-Anbieter derzeit schon einstellen, hat der Kunde nur einen Ansprechpartner, den er in Anspruch nehmen kann, wenn die Leistung nicht stimmt – vorausgesetzt, der Vertrag ist ausgewogen und die Leistungspflichten des SaaS-/TK-Anbieters sind ausreichend beschrieben.

Auch wie es mit der Softwarepflege, Fehlerbeseitigung, Upgrades und dergleichen steht, sollte vertraglich geklärt sein. Der SaaS-Anbieter hat im Vergleich zur Wartung vieler Einzelsysteme den Vorteil, dass er nur eines oder nur wenige Systeme warten muss, auf die dann die einzelnen Kunden zugreifen. Wie und wann er das aber tut, sollte seine Kunden interessieren. Aus diesem Grund müssen die entsprechenden vertraglichen Pflichten auch transparent sein, damit die Kunden genau wissen, worauf sie in diesen Bereichen Anspruch haben.

Fazit

SaaS und ASP sind nicht nur technisch miteinander verwandt. Auch vertraglich müssen sich Anbieter und Kunden über ähnliche Fragestellungen Gedanken machen. Kunden müssen sich insbesondere um den Schutz ihrer Daten kümmern und wie, wann und in welchem Format man auf sie zugreifen kann. Daneben stehen die Fragen nach der vertraglich geschuldeten Verfügbarkeit der Applikationen, wobei man zwischen dem Internet Access Provider und dem SaaS-Anbieter trennen muss, wenn die Leistungen nicht aus einer Hand kommen. Lizenzrechtlich ist SaaS gut in den Griff zu bekommen. Besonderheiten bestehen allerdings im Bereich der GPL-Lizenzen. Für Software aus Netzwerken existiert die besondere Affero GPL, die auch hier das Recht des Nutzers auf den Quellcode festschreibt. Demnächst wird auch eine Affero GPL Version 3 erscheinen, die auf der GPLv3 basiert.

Der Autor Tobias Haar, LL.M., ist Rechtsanwalt mit Schwerpunkt IT-Recht. (gs)