+49 (0) 30 28047033
Logo des Portals Datenrecht-Kompass

SaaS-Vertrag: Was muss geregelt werden?

Kategorie: IT-Recht

Ein SaaS-Vertrag sollte klar festlegen, welche Leistungen Sie erhalten, welche technischen und rechtlichen Anforderungen erfüllt werden müssen und wie mit Konflikten, Updates und Kündigungssituationen umgegangen wird. Gerade weil SaaS‑Lösungen dynamisch betrieben und fortlaufend weiterentwickelt werden, sind eindeutige Regelungen entscheidend, um böse Überraschungen zu vermeiden.

weiterlesen
SaaS-Verträge Tipps für Unternehmen

Warum ein sauberer SaaS-Vertrag so wichtig ist

Wenn Sie eine Software nicht bei sich installieren, sondern als „Software as a Service“ nutzen, haben Sie weniger technische Kontrolle. Gleichzeitig sind Sie stark abhängig vom Anbieter – Updates, Sicherheit, Verfügbarkeit, Datenhaltung und Support liegen dort. Ein SaaS-Vertrag ist deshalb Ihr zentraler Hebel, um Verlässlichkeit und Standards verbindlich festzulegen.

Viele Unternehmen lassen jedoch genau hier entscheidende Punkte offen.

Leistungsbeschreibung und unverhandelbare Anforderungen

Ein häufiger Fehler besteht darin, die Leistungsbeschreibung zu oberflächlich zu formulieren. Auch wenn SaaS-Lösungen oft agil weiterentwickelt werden, brauchen Sie klare „Fixpunkte“.

Typische unverhandelbare Anforderungen sind:

  • Welche Kernfunktionen müssen dauerhaft vorhanden sein?
  • Welche Schnittstellen und Interoperabilitäten sind zwingend erforderlich?
  • Soll die Lösung bestimmte Open‑Source‑Lizenzen (oder gerade keine) nutzen?
  • Muss die Software bestimmte Standards (z. B. DSGVO, DORA, NIS‑2) erfüllen?

Solche Punkte dürfen Sie nicht der späteren agilen Abstimmung überlassen. Sie müssen vertraglich fixiert sein – genauso wie bei anderen IT‑Projektverträgen. Falls Sie sich grundsätzlich einlesen möchten, finden Sie hier einen Überblick zum IT‑Recht.

Updates, Sicherheit und Verfügbarkeit (SLA)

Der Betrieb liegt beim Anbieter – deshalb müssen gerade diese Aspekte im SaaS-Vertrag kristallklar geregelt sein:

  • Wie oft werden Sicherheitsupdates eingespielt?
  • Wie wird der „State of the Art“ technisch gewährleistet?
  • Welche Reaktionszeiten gelten bei Störungen?
  • Welche garantierten Verfügbarkeiten (Uptime) werden zugesichert?
  • In welchen Zeitfenstern dürfen Wartungsarbeiten stattfinden?

Viele Streitigkeiten entstehen, weil Anbieter Updates oder Wartungsarbeiten zu Zeiten durchführen, in denen Ihr Betrieb darauf angewiesen ist. Wenn das im Vertrag nicht geregelt ist, haben Sie kaum Handhabe.

IT-Recht für Ihr Unternehmen

Erhalten Sie fundierte Unterstützung im IT-Recht – abgestimmt auf Ihr Unternehmen und Ihre konkreten digitalen Herausforderungen.

+49 (0) 30 28047033

jacobsen@cloverlaw.de

Eskalations- und Kommunikationsmechanismen

Gerade bei SaaS-Projekten oder Weiterentwicklungen kommt es schnell zu Meinungsverschiedenheiten. Deshalb sollten Sie festlegen:

  • Wer auf beiden Seiten Ansprechpartner ist
  • Welche Personen weisungsbefugt sind
  • Wie bei Unstimmigkeiten eskaliert wird (z. B. ein Steering Committee)
  • Innerhalb welcher Fristen Konflikte zu klären sind

Solche Mechanismen verhindern Stillstand – und Stillstand ist im SaaS‑Umfeld meist teuer.

Kündigung und Herausgabe von Code und Daten

Besonders wichtig – und oft sträflich vernachlässigt – ist die Frage: Was passiert im Fall einer Kündigung?

Sie benötigen vertraglich gesicherte Ansprüche auf:

  • Herausgabe aller Daten in einem übergabefähigen Format
  • eine vollständige und dokumentierte Exportmöglichkeit
  • klare Regelungen zur Qualität der Übergabe

Wenn solche Punkte fehlen, stehen Sie im schlimmsten Fall mit unvollständigen Daten, unlesbarem Code oder kostspieligen Nacharbeiten da. Mehr zu strukturierten IT‑Verträgen finden Sie im Beitrag „IT‑Projektvertrag: Diese Inhalte müssen hinein“.

Datenschutz und regulatorische Anforderungen

SaaS bedeutet fast immer Datenverarbeitung beim Anbieter. Daher gehören zwingend in den Vertrag:

  • Regelungen zur DSGVO‑Konformität
  • Datenexport- und Löschkonzepte
  • Anforderungen an Verschlüsselung und Sicherheitsstandards
  • Branchenregulatorik (z. B. Finanzmarkt, Gesundheitswesen)

Gerade Lösch- und Exportfunktionen werden in der Praxis oft vergessen. Dabei sind sie mit einer einzigen Klausel früh im Projekt leicht lösbar, später aber extrem teuer nachzurüsten.

Wenn Sie Unterstützung bei der Bewertung Ihrer SaaS‑Risiken brauchen, kann ein externer Datenschutzbeauftragter helfen. Für komplexere Fälle lohnt sich die Zusammenarbeit mit einem Fachanwalt für IT‑Recht.

Fazit

Ein SaaS-Vertrag muss technische, rechtliche und organisatorische Aspekte sorgfältig regeln. Viele Probleme entstehen nicht aufgrund komplizierter Klauseln, sondern weil scheinbar selbstverständliche Punkte nicht ausdrücklich festgelegt werden. Je klarer die Eckpfeiler definiert sind – Leistungsumfang, Sicherheit, Verfügbarkeit, Konfliktlösung und Datenübergabe –, desto stabiler ist die Nutzung der Software für Ihr Unternehmen.

Individuelle Fragen zum Thema oder sonstige Anliegen?

Jetzt kontaktieren
Beitragsautor
Dr. Jonas Jacobsenhttps://datenrecht-kompass.de/
Beitrag teilen:
Vorheriger Beitrag
Typische Fehler in IT‑Verträgen vermeiden
Nächster Beitrag
IT-Vertrag prüfen lassen: Wann der Anwalt unverzichtbar ist