Software as a Service wird eine stetig wachsende Nachfrage prognostiziert. Anwender müssen aber darauf achten, dass der Einsatz der gehosteten Software ihren Anforderungen und den gesetzlichen Verpflichtungen genügt.
Im Gegensatz zum derzeit wohl noch vorherrschenden Software-Distributions-Modell, der zeitlich beschränkten oder dauerhaften Überlassung von Software an den Kunden, der die Softwareanwendungen dann auf seiner eigenen IT-Landschaft betreibt, hat der Nutzer bei Software as a Service (SaaS) über Web-Services Zugriff auf die Applikation, die ihm der Anbieter in eigenen Rechenzentren bereitstellt. Nach Ansicht einiger Marktbeobachter wird die steigende Nachfrage zu einer Konsolidierung der IT-Landschaft führen, an deren Ende Mega-Rechenzentren die Anwendungen bereitstellen. Diese würden in den Regionen entstehen, wo die günstigsten ökonomischen Rahmenbedingungen herrschen. Somit werden die SaaS-Applikationen häufig außerhalb der Europäischen Union und vor allem in Asien betrieben. Betrachtet man die SaaS-Angebote, so wird die Software dem Kunden für eine bestimmte Vertragslaufzeit über Rechenzentren des Anbieters beziehungsweise eines Dritten, den der SaaS-Provider zur Erfüllung seiner Verpflichtungen gegenüber dem Kunden einsetzt, bereitgestellt. Ein Vertrag über solche Leistungen wird grundsätzlich als Mietvertrag qualifiziert. Die Hauptpflicht des Providers besteht in der Bereitstellung der funktionstüchtigen Software während der gesamten Vertragslaufzeit. Hierfür sind zudem Rechenzentrumsleistungen durch den Anbieter zu erbringen. Im Gegenzug zahlt der Nutzer eine zumeist regelmäßig fällig werdende Nutzungsgebühr. Die Preismodelle der SaaS-Anbieter sind hier vielschichtig. So sind neben monatlichen Pauschalzahlungen auch Modelle möglich, die eine Abrechnung abhängig von der tatsächlichen Nutzung der Anwendungen vorsehen. An der rechtlichen Einordnung der Verträge ändern diese Preismodelle jedoch nichts. Aus Nutzersicht ist für die Beurteilung von SaaS-Angeboten neben den finanziellen Konditionen maßgebend, dass der Einsatz der gehosteten Software den betrieblichen Bedürfnissen und gesetzlichen Verpflichtungen genügt. So stellt die Sicherstellung einer ausreichenden Verfügbarkeit der Software einen wesentlichen Punkt dar. Denn je nach Anwendung muss diese für den Nutzer während der Kernarbeitszeiten oder gar ununterbrochen verfügbar sein. Notwendige Unterbrechungen, beispielsweise zur Einspielung von Updates, sollten nur in bestimmten Zeitfenstern erlaubt sein. Zur Absicherung der SLA-Vereinbarung bietet sich die Vereinbarung von Vertragsstrafen an. Diese sollten so gewählt sein, dass sie für den Provider motivierend wirken, die vereinbarte Verfügbarkeit einzuhalten und mögliche Schäden des Nutzers bei Unterschreitung der Verfügbarkeit abdecken. Denn der Nachweis konkreter Schäden infolge der Nichtverfügbarkeit der Software dürfte dem Nutzer in der Regel schwer fallen.
Soll die SaaS-Anwendung die Übertragung und Verarbeitung personenbezogener Daten beispielsweise beim Einsatz von HR-Anwendungen unterstützen, so sind dem rechtlich Grenzen gesetzt, wenn sich die Server des SaaS-Providers außerhalb der EU befinden. Neben diesen datenschutzrechtlichen Gesichtspunkten ist zu überlegen, wie gesetzliche Archivierungspflichten erfüllt werden können, wenn insbesondere Handels- und Geschäftsbriefe mit der gehosteten Software erstellt und verarbeitet werden sollen. Allein der Ausdruck – von E-Mails etwa – genügt nicht, vielmehr sind die digitalen Unterlagen zu archivieren. Die digitale Sicherung kann natürlich durch den Provider erfolgen. Neben den dann zu beachtenden Datenschutzbestimmungen ist dabei auch sicherzustellen, dass der Kunde auf die gesicherten Daten im Rahmen einer Außenprüfung ohne zeitraubende Hindernisse zugreifen kann. Schließlich sollte sich der Kunde auch immer die Frage stellen, ob die Nutzung einer Standardanwendung auf längere Sicht seinen Bedürfnissen gerecht wird. Ist nicht auszuschließen, dass ein Customizing der Software an veränderte betriebliche Bedürfnisse während der Vertragslaufzeit erforderlich wird, sollte der Vertrag entsprechende Regelungen vorsehen.
Erstveröffentlichung: InformationWeek, Ausgabe 8/2009 (auch online)