SaaS-Vertrag (Software as a Service)

SaaS-Vertrag (Software as a Service): Miete von Software über die Cloud, regelt Verfügbarkeit und Datensicherheit.

 

Einleitung

Software as a Service (SaaS) hat die Art und Weise revolutioniert, wie Unternehmen Softwarelösungen nutzen und verwalten. Anstatt teure Lizenzen zu kaufen und komplexe Installationen durchzuführen, mieten Organisationen heute flexible cloudbasierte Anwendungen. Der SaaS-Vertrag bildet dabei das rechtliche Fundament dieser modernen Geschäftsbeziehung. Dieser Artikel beleuchtet umfassend, wie SaaS-Verträge funktionieren, welche kritischen Aspekte sie regeln und warum ein tiefes Verständnis dieser Vereinbarungen für Ihr Unternehmen essentiell ist. Erfahren Sie, wie Verfügbarkeitszusagen, Datenschutzbestimmungen und weitere Vertragselemente Ihre Cloud-Investitionen schützen.

Was ist ein SaaS-Vertrag und wie funktioniert er?

Definition und grundlegendes Konzept von Software as a Service

Ein SaaS-Vertrag regelt die Bereitstellung von Softwareanwendungen über das Internet nach dem Mietmodell. Dabei stellt der Anbieter die Anwendung auf seinen eigenen Servern bereit, und Sie greifen über einen Webbrowser oder eine API auf die Software zu, ohne diese lokal installieren zu müssen. Im Gegensatz zu klassischen Lizenzkäufen zahlen Sie regelmäßig Gebühren für den Zugang zur Software, ähnlich wie bei einem Abonnement.

Dieses Modell bringt für Ihr Unternehmen erhebliche Vorteile mit sich. Sie benötigen keine großen initialen Kapitalinvestitionen für den Kauf von Lizenzen und sparen Kosten für die interne IT-Infrastruktur. Der SaaS-Anbieter kümmert sich um die Wartung, die Sicherheit und die kontinuierliche Aktualisierung der Software, sodass Sie sich auf Ihr Kerngeschäft konzentrieren können.

Unterschiede zwischen SaaS-Modellen und klassischen Softwarelizenzierungen

Bei klassischen Softwarelizenzierungen erwerben Sie ein unbegrenztes Recht, die Software auf Ihren Computern zu nutzen. Sie installieren die Software lokal, sind selbst für Sicherheit und Wartung verantwortlich und zahlen häufig hohe Vorlaufkosten. Darüber hinaus sind Sie an lange Lizenzverträge gebunden.

Im Gegensatz dazu funktioniert das SaaS-Modell auf Abonnementbasis mit folgenden Charakteristiken:

  • Keine lokale Installation erforderlich
  • Nutzungsbasierte oder abonnementbasierte Preisgestaltung
  • Automatische Updates und Wartung durch den Anbieter
  • Keine Hardware-Investitionen notwendig
  • Höhere Flexibilität bei der Skalierung
  • Einfacheres Abonnement-Management über zentrale Verwaltungskonsolen

Die Rolle des Vertrags im SaaS-Ökosystem

Der SaaS-Vertrag ist das rechtliche Fundament der Geschäftsbeziehung zwischen Ihrem Unternehmen und dem Softwareanbieter. Er definiert die Rechte und Pflichten beider Parteien und schafft Klarheit über Leistungsstandards, Datenschutz, Support und finanzielle Verpflichtungen. Ein gut strukturierter Vertrag schützt Sie vor Missverständnissen und bietet eine klare Eskalationsbasis bei Problemen oder Meinungsverschiedenheiten.

Verfügbarkeitsgarantien und Service Level Agreements

Uptime-Verpflichtungen und deren Bedeutung für Geschäftskontinuität

Service Level Agreements, kurz SLAs, definieren die garantierte Verfügbarkeit der SaaS-Anwendung. Diese wird üblicherweise als Prozentsatz angegeben, beispielsweise 99,5 % oder 99,9 % Verfügbarkeit im Monat. Eine Verfügbarkeit von 99,9 % bedeutet, dass die Anwendung im Laufe eines Monats maximal etwa 43 Minuten ausfallen darf.

Für Ihre Geschäftskontinuität ist dies essentiell. Wenn Ihr Unternehmen von der SaaS-Anwendung abhängig ist, wird ein Ausfall zu Produktivitätsverlusten führen. Ein hoher Uptime-Prozentsatz schützt Sie vor wirtschaftlichen Schäden und stellt sicher, dass Ihre Mitarbeiter und Kunden unterbrechungsfrei auf die benötigten Funktionen zugreifen können.

Messung und Überwachung von Service-Level-Zielen

Der SaaS-Anbieter ist verpflichtet, die Verfügbarkeit kontinuierlich zu messen und zu dokumentieren. Hierzu werden typischerweise automatisierte Monitoring-Systeme eingesetzt, die von verschiedenen geografischen Standorten aus die Erreichbarkeit der Dienste überprüfen.

Die Messparameter sollten in Ihrem Vertrag klar definiert sein:

  • Definierte Messmethoden und Messzeiträume
  • Ausschlüsse von geplanten Wartungsfenstern
  • Definition von Ausfallzeiten und deren Dokumentation
  • Verfügbare Monitoring-Dashboards für Ihre Überwachung
  • Regelmäßige SLA-Berichte des Anbieters

Entschädigungen und Gutschriften bei Nicht-Erfüllung von SLAs

Sollte der SaaS-Anbieter die vereinbarten Uptime-Verpflichtungen nicht erfüllen, sieht Ihr Vertrag typischerweise Gutschriften oder Entschädigungen vor. Diese werden häufig in Form von Servicegutschriften für zukünftige Rechnungen gewährt.

Achten Sie darauf, dass der Vertrag folgende Punkte enthält:

  • Klare Berechnung der Gutschriftshöhe basierend auf dem Umfang der SLA-Verletzung
  • Automatische Gutschriften ohne separaten Antrag oder Mindestbenachrichtigungszeit
  • Maximale Gutschriften, die über alle Ausfallzeiten eines Monats hinweg gewährt werden
  • Regelung, ob Gutschriften auf zukünftige Rechnungen angerechnet oder als Rückerstattung erfolgen

Datensicherheit und Datenschutz in SaaS-Verträgen

Verschlüsselung und Schutzmaßnahmen für sensible Unternehmensdaten

Wenn Sie sensible Geschäftsdaten in einer SaaS-Anwendung speichern, ist die Verschlüsselung dieser Daten nicht verhandelbar. Ihr Vertrag sollte explizit festhalten, dass alle Daten sowohl während der Übertragung als auch im Ruhezustand verschlüsselt werden.

Wichtige Verschlüsselungsstandards sind:

  • TLS 1.2 oder höher für die Verschlüsselung während der Übertragung
  • AES-256-Verschlüsselung für ruhende Daten
  • End-to-End-Verschlüsselung für besonders sensible Informationen
  • Sichere Schlüsselverwaltung und Schlüsselrotation

Über die Verschlüsselung hinaus sollten weitere Schutzmaßnahmen vereinbart werden: Multi-Faktor-Authentifizierung, regelmäßige Sicherheitstests, Penetrationstests durch unabhängige Sicherheitsfirmen und umfassende Zugriffskontrolle mit rollenbasierten Berechtigungen.

Compliance mit DSGVO und weiteren internationalen Datenschutzbestimmungen

Wenn Ihre Organisation in der Europäischen Union tätig ist oder mit europäischen Kunden arbeitet, muss der SaaS-Anbieter die Datenschutz-Grundverordnung (DSGVO) einhalten. Dies ist nicht optional, sondern eine gesetzliche Anforderung, die in Ihrem Vertrag explizit adressiert werden muss.

Der Vertrag sollte folgende DSGVO-Aspekte regeln:

  • Rolle des Anbieters als Auftragsverarbeiter oder Datenverantwortlicher
  • Standort und rechtliche Zulässigkeit der Datenspeicherung
  • Mechanismen für sichere Drittlandtransfers (beispielsweise Standard-Vertragsklauseln)
  • Betroffenenrechte wie Auskunft, Berichtigung und Löschung
  • Regelmäßige Datenschutz-Folgenabschätzungen

Auch weitere internationale Regulierungen könnten relevant sein, je nachdem, wo Sie tätig sind: die kalifornische Consumer Privacy Act (CCPA), Kanadas PIPEDA oder Australiens Privacy Act.

Verantwortlichkeiten bei Datenverlust und Sicherheitsverstößen

Ein Sicherheitsverstoss ist ein ernsthaftes Szenario, das in Ihrem Vertrag klar geregelt sein muss. Der Anbieter sollte verpflichtet sein, Sie unverzüglich, spätestens aber innerhalb von 24 bis 72 Stunden, über einen Verdacht auf Datenverlust oder Sicherheitsverstoss zu benachrichtigen.

Die Verantwortlichkeiten sollten folgende Punkte beinhalten:

  • Verpflichtung des Anbieters zur sofortigen Benachrichtigung
  • Bereitstellung detaillierter Informationen über den Umfang des Vorfalls
  • Unterstützung bei der Benachrichtigung der betroffenen Personen
  • Übernahme der Kosten für Benachrichtigungen und mögliche Überwachungsmassnahmen
  • Verpflichtung zur forensischen Analyse und Bereitstellung des Abschlussberichts

Zugriffsrechte und Benutzerlizenzen verstehen

Festlegung der Anzahl von Benutzern und deren Berechtigungen

SaaS-Verträge regeln typischerweise die Anzahl der Benutzer, die auf die Anwendung zugreifen dürfen. Dabei unterscheiden sich die Modelle: Einige Anbieter berechnen pro Benutzer und Monat, andere bieten unbegrenzte Benutzer für einen Pauschalpreis an.

In Ihrem Vertrag sollte klar definiert sein:

  • Wie viele gleichzeitige oder registrierte Benutzer in der Lizenz enthalten sind
  • Ob Benutzer zwischen verschiedenen Abteilungen oder Teams umgestellt werden können
  • Welche Besitzverhältnisse für Benutzerkonten bestehen (wem gehört das Konto?)
  • Wie Sie zusätzliche Benutzer hinzufügen oder entfernen können
  • Berechnung der Kosten bei Benutzeränderungen

Administratorrechte und Verwaltungsberechtigungen regeln

Die Verwaltung von Systemzugriff und Berechtigungen ist entscheidend für die Sicherheit. Ihr Vertrag sollte klären, welche administrativen Funktionen Ihrem Unternehmen zur Verfügung stehen und welche Funktionen nur der Anbieter durchführen kann.

Wichtige Aspekte der Administratorrechte:

  • Fähigkeit zur Erstellung und Deaktivierung von Benutzerkonten
  • Änderung von Berechtigungsstufen und Rollenzuweisungen
  • Audit-Logs zur Verfolgung administrativer Aktionen
  • Sicherheit der administrativen Konten durch Multi-Faktor-Authentifizierung
  • Beschränkung des administrativen Zugriffs auf notwendige Mitarbeiter

Skalierbarkeit der Lizenzen bei wachsenden Unternehmensanforderungen

Ihr Unternehmen wächst, und damit wächst auch der Bedarf an Softwarelizenzen. Ein guter SaaS-Vertrag sollte flexible Skalierungsmöglichkeiten bieten, ohne dass Sie einen völlig neuen Vertrag aushandeln müssen.

Achten Sie auf folgende Skalierungsbestimmungen:

  • Prozess für die schnelle Hinzufügung neuer Benutzer oder Funktionen
  • Abrechnung von Lizenzerhöhungen ab dem Aktualisierungsdatum
  • Möglichkeit zur Reduktion von Lizenzen, wenn der Bedarf sinkt
  • Jährliche oder monatliche Flexibilität bei der Anpassung von Ressourcen
  • Keine Strafgebühren für das Hinzufügen zusätzlicher Kapazität

Dateneigentum und Portabilität im Cloud-Modell

Klärung von Eigentumsrechten an hochgeladenen Daten

Eine der wichtigsten Fragen bei SaaS ist: Wem gehören meine Daten? Dies muss unmissverständlich in Ihrem Vertrag geregelt sein. Grundsätzlich sollte Ihr Unternehmen das vollständige Eigentum an allen Daten behalten, die Sie in die SaaS-Anwendung hochladen oder dort generieren.

Die Dateneigentumsklausel sollte folgende Punkte klären:

  • Sie behalten das Eigentum an all Ihren Daten und Inhalten
  • Der Anbieter hat nur ein Nutzungsrecht zur Bereitstellung der Dienstleistung
  • Der Anbieter darf Ihre Daten nicht für andere Zwecke verwenden oder mit Dritten teilen
  • Dies gilt auch, wenn der Vertrag endet oder Sie die Anwendung verlassen

Export- und Migrationsrechte zu anderen Plattformen

Sie sollten nicht an einen SaaS-Anbieter gebunden sein, wenn Sie kündigen möchten. Ein fairer Vertrag garantiert Ihnen das Recht, Ihre Daten zu exportieren und zu einer konkurrierenden Lösung zu migrieren. Dies wird häufig als Portabilität bezeichnet.

Ihre Export- und Migrationsrechte sollten beinhalten:

  • Recht zum Export aller Ihrer Daten in einem standardisierten Format
  • Gebührenfreie oder angemessen begrenzte Exportkosten
  • Zeitfenster für den Datenexport nach Vertragsende
  • Technische Unterstützung bei Migration zu anderen Plattformen
  • Zugriff auf historische Daten und Audit-Logs

Datenlöschung und Aufbewahrungspflichten bei Vertragsende

Was passiert mit Ihren Daten, wenn Sie den Vertrag beenden oder Ihr Abonnement auslaufen lassen? Der Vertrag muss klare Regelungen für die Datenlöschung enthalten, sowohl aus praktischer als auch aus rechtlicher Perspektive.

Die Lösch- und Aufbewahrungsrichtlinien sollten folgende Aspekte regeln:

  • Aufbewahrungsdauer nach Vertragsende (typischerweise 30 bis 90 Tage)
  • Ihre Möglichkeit, Daten vor der Löschung zu exportieren
  • Frist für Datenabbau und permanente Löschung
  • Zertifizierung, dass Daten vollständig gelöscht wurden
  • Ausnahmen für Daten, die aus rechtlichen Gründen aufbewahrt werden müssen

Zahlungsmodelle und Vertragslaufzeiten

Abonnement- und nutzungsbasierte Preismodelle analysieren

SaaS-Anbieter nutzen verschiedene Preismodelle. Das am weitesten verbreitete ist das Abonnement-Modell, bei dem Sie monatlich oder jährlich eine feste Gebühr zahlen. Einige Anbieter nutzen auch nutzungsbasierte Modelle, bei denen Sie nur für tatsächlich genutzte Ressourcen bezahlen.

Unterschiedliche Preismodelle im Detail:

  • Abonnement-Modell: Feste monatliche oder jährliche Gebühren pro Benutzer oder für bestimmte Funktionspakete
  • Nutzungsbasiertes Modell: Zahlungen basierend auf Datenspeicher, API-Aufrufe, Transaktionen oder andere verbrauchte Ressourcen
  • Hybrid-Modell: Kombination aus Basisgebühr und zusätzlichen Nutzungskosten
  • Tiered Pricing: Verschiedene Pakete mit unterschiedlichem Funktionsumfang zu unterschiedlichen Preisen

Mindestvertragslaufzeiten und automatische Verlängerungen

Viele SaaS-Anbieter fordern Mindestvertragslaufzeiten, typischerweise 12 Monate. Dies gibt ihnen Planungssicherheit, kann für Sie aber zu Inflexibilität führen. Achten Sie darauf, dass die Mindestlaufzeit für Ihr Unternehmen akzeptabel ist.

Kritische Punkte zur Vertragslaufzeit:

  • Länge der initialen Laufzeit und Bedingungen für vorzeitige Kündigung
  • Automatische Verlängerung oder manuelle Verlängerung nach Ablauf
  • Benachrichtigungsfrist vor automatischer Verlängerung (mindestens 30 bis 60 Tage empfohlen)
  • Möglichkeit, den Vertrag ohne Strafe zu beenden, wenn Sie rechtzeitig kündigen
  • Preisgarantien während der Laufzeit und Preiserhöhungsbeschränkungen

Kündigungsklauseln und deren Bedingungen

Eine gute Kündigungsklausel gibt Ihnen Flexibilität und Ausstiegsoptionen. Idealerweise sollten Sie die Möglichkeit haben, den Vertrag mit kurzer Frist zu beenden, besonders wenn Sie nicht mit der Leistung des Anbieters zufrieden sind.

Kündigungsbestimmungen sollten folgende Elemente enthalten:

  • Kündigungsfrist (ideal: 30 Tage oder weniger)
  • Kündigungsgründe (mit oder ohne Grund)
  • Möglichkeit zur Kündigung bei Sicherheitsverstößen oder Service-Problemen
  • Abrechnung bei vorzeitiger Kündigung (sollte fair sein, keine übermäßigen Strafgebühren)
  • Übergangszeitraum und Datenübergabeverfahren nach Kündigung

Haftung und Haftungsbegrenzungen in SaaS-Verträgen

Versicherungsschutz und Haftungsausschlüsse verstehen

SaaS-Verträge enthalten typischerweise Haftungsbegrenzungen, die die Haftung des Anbieters nach oben deckeln. Dies ist für den Anbieter geschäftlich notwendig, aber Sie sollten sicherstellen, dass diese Begrenzungen für Ihr Unternehmen akzeptabel sind.

Wichtige Aspekte der Haftungsbegrenzung:

  • Maximale Haftung ist oft auf 12 Monate Gebühren begrenzt
  • Ausschluss von Haftung für indirekte, zufällige oder Folgeschäden
  • Ausschluss von Haftung für Datenverluste, die durch Ihre Fahrlässigkeit verursacht wurden
  • Der Anbieter sollte aber weiterhin für Datenschutzverstöße und grobes Verschulden haftbar sein

Entschädigungspflichten des SaaS-Anbieters

Neben der Haftung für direkte Schäden sollte der SaaS-Anbieter Sie auch vor Drittforderungen schützen. Eine typische Schutzbestimmung ist die Indemnifikation, bei der der Anbieter versichert, dass Ihre Nutzung der Software keine Rechte Dritter verletzt.

Die Entschädigungsklausel sollte den Anbieter zur Übernahme folgender Kosten verpflichten:

  • Kosten für Ansprüche Dritter wegen Verletzung von Urheberrechten oder Patenten
  • Rechtliche Verteidigungskosten in solchen Fällen
  • Schadensersatzzahlungen an Dritte
  • Kostenübernahme für Lizenzgebühren alternativer Software, falls die ursprüngliche Software nicht mehr nutzbar ist

Garantien und deren Grenzen innerhalb des Vertragsdokuments

Der SaaS-Anbieter gibt in der Regel begrenzte Garantien ab. Die wichtigsten sind die Funktionszusicherungen und die Gewährleistung von Sicherheitsstandards. Es ist jedoch wichtig zu verstehen, welche Garantien gewährt werden und welche explizit ausgeschlossen sind.

Typische Garantien und Ausschlüsse:

  • Garantie, dass die Software in Übereinstimmung mit der Dokumentation funktioniert
  • Garantie der Datensicherheit und des Datenschutzes
  • Ausschluss von Garantien, dass die Software Ihre spezifischen Anforderungen erfüllt
  • Ausschluss von Garantien für Funktionen, die Sie in Betaversionen testen
  • Garantien sind typischerweise Ihre einzige Abhilfe bei Nicht-Erfüllung durch den Anbieter

Sicherheit und Notfall-Wiederherstellung

Backup-Strategien und Redundanzmaßnahmen des Anbieters

Backups sind essentiell für den Schutz Ihrer Daten vor Verlust. Ihr Vertrag sollte detaillierte Anforderungen an Backup-Strategien des Anbieters festlegen, einschließlich Häufigkeit, geografischer Verteilung und Redundanz.

Backup-Anforderungen sollten beinhalten:

  • Häufigkeit der Backups (mindestens täglich, idealerweise mehrmals täglich)
  • Getrennte Speicherung von Backups an geografisch verschiedenen Standorten
  • Mehrfache Kopien von Daten (Redundanz) zur Verhinderung von Datenverlust
  • Ihre Möglichkeit, jederzeit Backups durchzuführen oder auf frühere Versionen zugreifen zu können
  • Regelmäßige Tests der Backup-Integrität durch den Anbieter

Disaster-Recovery-Pläne und deren Testung

Ein Disaster-Recovery-Plan beschreibt, wie der Anbieter im Falle eines schweren Ausfalls oder einer Katastrophe handelt, um Ihre Daten wiederherzustellen und Dienstleistungen schnell wieder bereitzustellen. Dies ist besonders wichtig für geschäftskritische Anwendungen.

Die Disaster-Recovery-Bestimmungen sollten enthalten:

  • Detaillierter Plan zur Wiederherstellung im Falle von Naturkatastrophen, Cyberangriffen oder anderen schwerwiegenden Vorfällen
  • Identifizierung kritischer Systemkomponenten und deren Wiederherstellungspriorität
  • Häufigkeit und dokumentierte Ergebnisse von Disaster-Recovery-Tests
  • Verpflichtung des Anbieters, die Testergebnisse auf Anfrage zu teilen
  • Etablierte Kommunikationsprotokolle während eines Notfalls

Wiederherstellungszeiten und Recovery Point Objectives (RPO)

Recovery Point Objective (RPO) definiert, wie viel Daten Sie maximal verlieren dürfen, und Recovery Time Objective (RTO) definiert, wie lange eine Wiederherstellung dauern darf. Diese Metriken sind kritisch für die Geschäftskontinuität.

RPO und RTO-Anforderungen:

  • RPO: Maximales Alter der Daten nach einer Wiederherstellung (z.B. Datenverlust von maximal einer Stunde)
  • RTO: Maximalzeit bis zur vollständigen Systemwiederherstellung nach einem Ausfall (z.B. maximal 4 Stunden)
  • Unterschiedliche RPO/RTO-Anforderungen für verschiedene Datenklassen möglich
  • Regelmäßige Überprüfung und Anpassung dieser Ziele basierend auf Geschäftsanforderungen
  • Dokumentation und Nachweise, dass der Anbieter diese Ziele konsistent erfüllt

Datenschutz-Grundverordnung und internationale Regelungen

DSGVO-Konformität für europäische Unternehmen

Die Datenschutz-Grundverordnung ist seit 2018 in Kraft und regelt streng die Verarbeitung personenbezogener Daten in der EU. Wenn Sie mit europäischen Daten arbeiten, muss Ihr SaaS-Vertrag explizit DSGVO-konform sein.

Wesentliche DSGVO-Elemente im Vertrag:

  • Klare Definition der Rollen: Sind Sie Datenverantwortlicher oder sind Sie gemeinsam verantwortlich?
  • Der Anbieter muss als Auftragsverarbeiter fungieren, wenn er Daten in Ihrem Auftrag verarbeitet
  • Dokumentation der Verarbeitungszwecke und -mittel
  • Einhaltung von Datenschutzprinzipien wie Datensparsamkeit und Speicherbegrenzung
  • Betroffenenrechte wie Auskunft, Korrektur, Löschung und Datenportabilität

Auftragsverarbeitung und Datenschutzerklärungen

Wenn der SaaS-Anbieter Daten in Ihrem Auftrag verarbeitet, muss ein Auftragsverarbeitungsvertrag (Processing Agreement) vorliegen. Dies ist eine separatere oder integrierte Anlage zum SaaS-Vertrag, die speziell die DSGVO-Anforderungen regelt.

Der Auftragsverarbeitungsvertrag sollte folgende Punkte abdecken:

  • Vertrag zwischen Auftraggeber (Sie) und Auftragsverarbeiter (SaaS-Anbieter)
  • Beschreibung der Verarbeitungstätigkeiten und Datentypen
  • Verpflichtung des Anbieters, Daten nur auf Ihre Anweisung zu verarbeiten
  • Implementierung angemessener technischer und organisatorischer Maßnahmen
  • Unterauftragsverarbeiter und deren Genehmigung durch Sie
  • Betroffenenrechte und deren Umsetzung

Grenzüberschreitende Datentransfers und Regelungen

Viele SaaS-Anbieter speichern Daten in Servern außerhalb der EU. Grenzüberschreitende Datentransfers außerhalb des Europäischen Wirtschaftsraums erfordern spezielle Schutzmechanismen, besonders seit dem Schrems II-Urteil des Europäischen Gerichtshofs.

Grenzüberschreitende Transfermechanismen:

  • Standard-Vertragsklauseln (SCCs): Von der EU genehmigte Vertragsbestimmungen, die Schutz bei Drittlandtransfers bieten
  • Angemessenheitsbeschluss: EU-Entscheidung, dass ein Drittland angemessenes Datenschutzniveau bietet (z.B. Schweiz)
  • Binding Corporate Rules: Für Multi-nationale Unternehmen mit internen Datenschutzrichtlinien
  • Verpflichtung des Anbieters, Schutzmaßnahmen zu implementieren und zu dokumentieren
  • Benachrichtigung über Behördenzugriff auf Ihre Daten in Drittländern

Support und Wartung im SaaS-Vertrag

Ebenen des technischen Supports und Reaktionszeiten

Guter Support ist entscheidend, wenn Sie Probleme mit der SaaS-Anwendung haben. Verträge definieren typischerweise verschiedene Support-Stufen mit unterschiedlichen Reaktionszeiten und Verfügbarkeit.

Typische Support-Ebenen:

  • Premium/24×7: Rund um die Uhr Support, 7 Tage die Woche, mit sehr kurzen Reaktionszeiten (unter 1 Stunde)
  • Standard: Geschäftszeitenunterstützung, typischerweise Montag bis Freitag, 8:00 bis 18:00 Uhr, mit Reaktionszeiten von 4 bis 8 Stunden
  • Basic: Eingeschränkter Support, möglicherweise nur E-Mail-basiert, mit längeren Reaktionszeiten (16 bis 24 Stunden)
  • Eskalationswege für kritische Probleme mit garantierten Reaktionszeiten

Wartungsfenster und geplante Ausfallzeiten

SaaS-Anbieter führen regelmäßig Wartungen durch, um Updates zu installieren und die Systemstabilität zu gewährleisten. Geplante Ausfallzeiten sind akzeptabel, sollten aber minimiert und klar kommuniziert werden.

Wartungsbestimmungen sollten enthalten:

  • Maximale Häufigkeit von Wartungsfenstern (typischerweise nicht mehr als einmal pro Woche)
  • Bevorzugte Zeitfenster, idealerweise außerhalb Ihrer Geschäftszeiten
  • Vorankündigung von mindestens einer Woche für größere Wartungen
  • Geplante Ausfallzeiten werden nicht auf Ihre SLA-Verfügbarkeit angerechnet
  • Kommunikation des Wartungsstatus während der Fenster

Updates, Patches und Feature-Rollouts regeln

SaaS-Anwendungen werden kontinuierlich aktualisiert. Es ist wichtig, dass Ihr Vertrag Ihre Kontrolle über diese Updates balanciert und Sie Zeit zur Anpassung gibt, wenn notwendig.

Update- und Patch-Richtlinien:

  • Verpflichtung des Anbieters, Sicherheitspatches zeitnah zu installieren
  • Möglichkeit für Sie, Beta-Features abzulehnen und bei stabilen Versionen zu bleiben
  • Ankündigung von Breaking Changes mit ausreichender Vorlaufzeit (mindestens 30 Tage)
  • Rollback-Möglichkeit zu vorherigen Versionen bei kritischen Problemen nach Updates
  • Testing-Umgebung zur Vorbereitung auf Updates, falls gewünscht

Änderungen und Aktualisierungen der Vereinbarungen

Verfahren zur Vertragsänderung und Mitteilungspflichten

Verträge sind nicht statisch. Der SaaS-Anbieter kann Vertragsbestimmungen ändern müssen, um auf Marktveränderungen oder neue Anforderungen zu reagieren. Ihr Vertrag sollte klare Verfahren für solche Änderungen festlegen.

Änderungsverfahren sollten vorsehen:

  • Mindestbenachrichtigungsfrist vor Änderungen (idealerweise 30 bis 60 Tage)
  • Änderungen sollten nicht rückwirkend sein oder sollten Ihnen Zeit zur Anpassung geben
  • Ihre Kündigungsoption, falls Sie sich nicht mit wichtigen Änderungen einverstanden erklären
  • Dokumentation aller Vertragsänderungen in einer Change Log
  • Mitteilung durch mehrere Kanäle (E-Mail, Anwendungs-Dashboard, Website)

Anpassungen an neue Datenschutzgesetze und Regulierungen

Die Regulierungslandschaft ändert sich ständig. Ein fairer Vertrag erlaubt beiden Parteien, sich an neue Gesetze und Regulierungen anzupassen, ohne eine vollständige Vertragsverhandlung zu erfordern.

Regulierungsanpassungsbestimmungen:

  • Automatische Anpassung an neue gesetzliche Anforderungen ohne zusätzliche Gebühren

  • Fazit

    SaaS-Verträge sind komplexe Rechtsdokumente, die weit über einfache Mietvereinbarungen hinausgehen. Sie regeln entscheidende Aspekte wie Datensicherheit, Verfügbarkeitszusagen, Haftungsfragen und Datenschutz, die direkten Einfluss auf den Geschäftsbetrieb haben. Ein tiefgreifendes Verständnis der Vertragsbedingungen hilft Unternehmen, ihre Interessen zu schützen und maximalen Nutzen aus ihren Cloud-Investitionen zu ziehen. Bei der Auswahl eines SaaS-Anbieters sollten Organisationen nicht nur auf Funktionalität und Preis achten, sondern auch kritisch Datenschutzstandards, Sicherheitsmaßnahmen und Kundenunterstützung bewerten. Nehmen Sie sich Zeit, um Verträge sorgfältig zu überprüfen oder lassen Sie sie durch Rechtsbeistand prüfen. So stellen Sie sicher, dass Ihre Cloud-Lösungen sowohl leistungsfähig als auch sicher sind und Ihre Unternehmensanforderungen vollständig erfüllen.