SaaS in der Praxis: Cloud-Services sind IT-Ressourcen und Anwendungen, die über das Internet bereitgestellt werden. Unternehmen müssen somit keine eigene Hardware und Software mehr vor Ort betreiben.
Eine spezielle Form davon ist „Software as a Service“ (SaaS). Dabei wird die Software zentral auf den Servern des Anbieters gehostet und den Kunden über das Internet zur Verfügung gestellt. Das bedeutet, dass Kunden die Software direkt über einen Webbrowser nutzen können, ohne sie selbst installieren oder warten zu müssen. Doch welche rechtlichen Besonderheiten gelten bei SaaS-Verträgen?
Mehr zu konkreten IT-Verträgen finden Sie auf unserer Webseite, wir sind im IT-Vertragsrecht beratend tätig:
Was sind verbreitete Beispiele für SaaS-Angebote?
Zu den bekanntesten SaaS-Angeboten gehören E-Mail-Dienste wie Google Mail, Bürosoftware wie Microsoft Office 365, Kundenmanagement-Systeme wie Salesforce, und Werkzeuge zur Zusammenarbeit wie Slack oder Trello. Diese Dienste sind weit verbreitet, weil sie kostengünstig, skalierbar und leicht zugänglich sind.
Was ist vertraglich bei SaaS zu bedenken?
Bei SaaS-Verträgen muss vor allem der genaue Leistungsumfang des Anbieters klar definiert sein. Das beinhaltet die Verfügbarkeit der Software, Wartungsarbeiten und den Umfang des Kundensupports. Außerdem sind Regelungen über die Nutzungsberechtigungen, Datenbesitz und -sicherheit sowie die Vertragslaufzeit und Kündigungsbedingungen wesentlich. Die Vergütungsmodelle sind oft flexibel und richten sich nach der Anzahl der Nutzer oder dem Datenvolumen.
Professionelles IT-Vertragsrecht
Unser Fachanwalt für IT-Recht berät und vertritt Unternehmen in IT-Vertragsangelegenheiten, insbesondere in Bezug auf Künstliche Intelligenz und Cloud-Dienste, um rechtliche Risiken zu minimieren und die Einhaltung relevanter Vorschriften zu gewährleisten.
Rechtliche Herausforderungen bei SaaS-Verträgen
SaaS-Verträge (Software as a Service) bieten Unternehmen Flexibilität und Skalierbarkeit, werfen aber spezifische rechtliche Fragen auf, die bei der Vertragsgestaltung und -umsetzung zu beachten sind. Die zentralen Problemfelder lassen sich in vertragstypologische Einordnung, Gewährleistung, Haftung, Datenschutz und die Gestaltung von Service Level Agreements (SLAs) unterteilen.
Die vertragstypologische Einordnung von SaaS ist nicht einheitlich geklärt, aber die Rechtsprechung tendiert dazu, die Softwareüberlassung als Mietverhältnis zu qualifizieren. Dies bedeutet, dass der Anbieter die Software in einem funktionsfähigen Zustand bereitzustellen und während der Vertragslaufzeit instand zu halten hat. Vorangestellte Implementierungs- und Migrationsprojekte werden dagegen meist als Werkverträge eingeordnet, da hier ein konkreter Erfolg – die betriebsbereite Software – geschuldet wird. Diese Differenzierung hat Konsequenzen für Gewährleistungsansprüche: Während Mängel der Software selbst nach Mietrecht zu behandeln sind, unterliegen Fehler bei der Implementierung oder Datenmigration dem Werkvertragsrecht. Praktisch relevant wird dies etwa bei der Frage, ab wann Vergütungsansprüche fällig werden oder welche Rechte bei Mängeln bestehen. So beginnt die Vergütungspflicht für die Softwareüberlassung erst nach erfolgreicher Abnahme des Implementierungsprojekts, nicht bereits mit Vertragsbeginn.
Ein weiteres zentrales Thema ist die Gewährleistung. Nach Mietrecht hat der Anbieter die Software während der gesamten Laufzeit in einem mangelfreien Zustand zu erhalten. Dies umfasst auch Anpassungen, die durch geänderte Rahmenbedingungen (z. B. neue gesetzliche Vorgaben) erforderlich werden. Im Gegensatz dazu beschränkt sich die kaufrechtliche Gewährleistung bei klassischer On-Premise-Software auf Mängel, die bereits bei Übergabe bestanden. SaaS-Kunden haben daher weitergehende Ansprüche, die jedoch durch AGB nicht unangemessen eingeschränkt werden dürfen. Besonders kritisch sind Klauseln, die eine Doppelvergütung für die Instandhaltung vorsehen – etwa wenn Fehlerbeseitigungen, die bereits von der Miete abgedeckt sind, zusätzlich über Servicegebühren abgerechnet werden. Solche Regelungen sind intransparent und können unwirksam sein.
Die Gestaltung von SLAs erfordert klare Abgrenzungen. Üblich sind Vereinbarungen zu Verfügbarkeit, Reaktionszeiten bei Störungen und Vertragsstrafen bei Nichteinhaltung. Hier ist darauf zu achten, dass Gewährleistungsansprüche Vorrang vor entgeltlichen Serviceleistungen haben. Zudem sollten SLAs erst mit dem produktiven Einsatz der Software („Go Live“) in Kraft treten, um eine Vergütung für noch nicht nutzbare Leistungen zu vermeiden.
Datenschutzrechtliche Aspekte gewinnen an Bedeutung, da der Anbieter als Auftragsverarbeiter nach Art. 28 DSGVO agiert. Eine Vereinbarung zur Auftragsverarbeitung ist zwingend, und bei Servern außerhalb der EU sind zusätzliche Garantien (z. B. Standardvertragsklauseln) erforderlich. Die Abhängigkeit von Subunternehmern – etwa bei Hosting-Leistungen – erhöht das Risiko von Compliance-Verstößen und erfordert kongruente Verpflichtungen in der Vertragskette.
Haftungsfragen sind ebenfalls zu klären. Die verschuldensunabhängige Haftung für anfängliche Mängel (§ 536a BGB) kann zwar vertraglich ausgeschlossen werden, doch bleiben Kardinalpflichten wie die Gewährleistung der Datensicherheit unberührt. Bei internationalen Verträgen ist zudem zu prüfen, ob AGB-Klauseln, die von deutschen Gewährleistungsregeln abweichen, wirksam sind. Dynamische Verweise auf externe Dokumente (z. B. Leistungsbeschreibungen per Link) sind problematisch, da sie dem Transparenzgebot widersprechen und den Kunden unangemessen benachteiligen können.
Abschliessend wird der Vertrag Regelungen für den Fall der Insolvenz des Anbieters oder eines Anbieterwechsels enthalten müssen, um die Kontinuität der Software-Nutzung samt Datenzugriff zu sichern. Eine klare Definition der Laufzeiten, Kündigungsrechte und Übergangsunterstützung minimiert hier Risiken.
Übersicht: Typische rechtliche Risiken bei SaaS
- Datenschutz: Besonders bei internationalen Anbietern muss sichergestellt werden, dass die Datenübertragung und -speicherung den lokalen Datenschutzgesetzen entspricht. SaaS-Lösungen können Herausforderungen bei der Datenübertragung in Drittländer mit sich bringen.
- Verfügbarkeit und Service Levels: Die vereinbarte Verfügbarkeit der Dienste und die Reaktionszeiten bei Problemen (Service Levels) müssen genau festgelegt werden. Bei Nichteinhaltung dieser Vereinbarungen können Strafzahlungen oder andere rechtliche Konsequenzen folgen.
- Eigentumsrechte und Zugriffsrechte: Es muss klar geregelt sein, wer die Datenhoheit hat und wie mit den Daten nach Beendigung des Vertrags umgegangen wird. Auch die Nutzungsrechte an der Software sollten eindeutig definiert werden, um rechtliche Unsicherheiten zu vermeiden.
- Haftung: Die Haftung bei Softwaremängeln oder Datenverlusten und die damit verbundenen Gewährleistungsansprüche sind komplex und sollten vertraglich genau geregelt sein, um spätere Streitigkeiten zu vermeiden.
- Arbeitsrecht: Arbeitsrechtlich gibt es einen Blumenstrauß an Themen. SO muss man nicht nur an betriebsinterne Richtlinien, Belehrungen von Mitarbeitern, IT-Sicherheit und Arbeitnehmerrechte denken; vielmehr kann und wird in größeren Betrieben auch der Betriebsrat eine Rolle spielen!
Allein, es hilft nichts: eine in brauchbarem Maß rechtssichere Gestaltung von SaaS-Verträgen verlangt nach präziser Abgrenzung der Leistungsphasen, transparente Vergütungsmodelle und die Einhaltung datenschutzrechtlicher Vorgaben. In der Praxis wird das aber leider gerne ausgeblendet, es soll „unkompliziert laufen“ … bis es knallt.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI: Transparenz, Deepfakes und digitale Gewalt bei künstlicher Intelligenz (Update 2026) – 9. Juni 2026
- Wann die Unterlassungstat im Steuerstrafrecht endet – 9. Juni 2026
- Strafanzeige für Unternehmen: Warum geschädigte Unternehmen den Strafprozess nicht der Staatsanwaltschaft überlassen sollten – 8. Juni 2026