§ 24 IT-Recht / III. Software as a Service-Vertrag

1. Typischer Sachverhalt

Rz. 45

Nicht immer verfügen Nutzer über ausreichend Kapazitäten, eigene Server zu unterhalten und eigene Software auf diesen Servern ablaufen zu lassen. Zudem – und das ist heute oft der entscheidende Punkt – lassen sich mit der eigenen Infrastruktur und auf der Grundlage der "on premise"-Lizenzmodelle der Standardsoftwarehersteller oft keine oder nur geringe Skalierungseffekte erzielen. Vor diesem Hintergrund und aufbauend auf den rapide wachsenden technologischen Möglichkeiten erkämpfen sich "Software as a Service" (SaaS)-Angebote eine immer stärkere Position auf dem Markt für Standardsoftware.

Bei SaaS-Angeboten erfolgt die Nutzung von Software (verbunden mit Rechnerleistung, Speicherplatz, Datenbankapplikationen und anderen Infrastrukturkomponenten) über das Internet, ohne dass diese auf eigener Infrastruktur des Nutzers geladen und gespeichert würde. Vielmehr nutzen in der Regel mehrere Nutzer (gleichzeitig) dieselbe Installation auf fremder Infrastruktur. Urheberrechtliche Nutzungsrechte sind hierfür, solange insb. keine Vervielfältigungen der Software auf Infrastruktur des Nutzers entstehen, nicht erforderlich, wenn auch in den Standardverträgen der Hersteller meist von "Lizenzen" die Rede ist. Im Gegensatz zum Kauf von Computerprogrammen bezahlt der Kunde bei diesem Geschäftsmodell auch nur für die zeitlich beschränkte Berechtigung, bestimmte online zur Verfügung gestellte Softwarelösungen zu benutzen.

SaaS ist zudem häufig ein Unterbereich des sog. Cloud-Computing ("Rechnen in der Wolke"). Cloud-Angebote umfassen nicht nur "Software as a Service", sondern auch "Platform as a Service", "Database as a Service" und andere "as a Service"-Angebote, d.h. im Prinzip die Nutzung jeglicher Art von IT-Infrastruktur in der vorstehend beschriebenen Art und Weise. Allen gemeinsam ist, dass der Betrieb einer eigenen IT-Infrastruktur im entsprechenden Umfang für die Nutzer nicht notwendig ist. Die genutzten Services werden vielmehr auf Fremdservern, die zuvor nicht exakt spezifiziert werden, über eine Datenleitung verwendet.

2. Rechtliche Grundlagen

a) Vertragsrechtliche Einordnung

Rz. 46

Die vertragsrechtliche Einordnung von SaaS-Verträgen war und ist umstritten.^[83] Weit überwiegend wird davon ausgegangen, dass es sich um einen gemischten Vertrag mit miet- und dienstvertraglichen Komponenten handelt, aufgrund dessen der Vermieter (der Softwareanbieter) verpflichtet ist, die Mietsache (die Software) in einem dem vertragsgemäßen Gebrauch entsprechenden Zustand zu überlassen und während der Vertragsdauer auch in diesem Zustand zu erhalten (§ 535 Abs. 1 S. 2 BGB). Die "Instandhaltungspflicht" folgt demnach ebenfalls direkt aus dem Gesetz und muss nicht gesondert vereinbart werden. Anderes gilt hingegen für Updates und Upgrades, die, sofern und soweit sie nicht der Fehlerbeseitigung dienen, als dienstleistungs- bzw. werkvertragliche Komponente, gesondert vereinbart werden müssen.^[84]

Die mietrechtliche Einordnung entspricht zwar der temporären Überlassung der Nutzungsberechtigung, überlassen wird aber, im Gegensatz zur "klassischen" Miete, keine bewegliche oder unbewegliche Sache, sondern eben nur eine Nutzungsberechtigung, deren rechtliche Einordnung ebenfalls fraglich ist.^[85] Insofern wird man korrekterweise von einem Vertrag sui generis mit mietvertraglicher Prägung sprechen müssen.^[86]

Hinsichtlich der rechtlichen Einordnung der Nutzungsberechtigung wird überwiegend vertreten, dass der Nutzer keinerlei urheberrechtliche Verwertungsrechte in Anspruch nimmt und ihm diese daher auch nicht eingeräumt werden müssen.^[87] Von der fehlenden Notwendigkeit einer Einräumung von Nutzungsrechten gehen auch diejenigen aus, die von einer urheberrechtlich relevanten Vervielfältigung der fraglichen Software im Arbeitsspeicher des Nutzers ausgehen.^[88]

[83] Vgl. Selk, ITRB 2012, 201.

[84] Automatische Upgrades und Updates können AGB-rechtlich nur eingeschränkt vereinbart werden, da es sich um Leistungsänderungen handelt: LG Frankfurt MMR 2013, 645.

[85] Zu den Nutzungsberechtigungen siehe Spindler/Schuster/Wiebe, Recht der elektronischen Medien, 4. Aufl. 2019, 12. Teil, § 69c UrhG Rn 60 ff.

[86] Ebenso BITKOM Leitfaden Cloud Computing, 2019, S. 27.

[87] Siehe zur genauen technischen Differenzierung der Sachverhalte Grützmacher, CR 2015, 779; zur rechtlichen Einordnung ferner Nägele/Jakobs, ZUM 2010, 280, 281; Niemann/Paul, K&R 2009, 444, 448.

[88] Niemann/Paul, K&R 2009, 444, 448.

b) Datenschutzrechtliche Aspekte

Rz. 47

Eines der Hauptproblemfelder bei SaaS-Angeboten ist der Datenschutz.^[89] Regelmäßig verarbeitet der Nutzer mit Hilfe der verwendeten Software personenbezogene Daten. Das bedeutet aber in aller Regel zwangsläufig, dass auch der Anbieter der Software mit den personenbezogenen Daten in Berührung kommt und diese meist auch als Auftragnehmer verarbeitet. Das reicht aus für die Annahme einer Auftragsverarbeitung. Zumindest im Zuge der Wartung der Systeme wird sich ein Zugriff auf personenbezogene Daten meist nicht ausschließen lassen, so dass regelmäßig die Regeln der Auftragsverarbeitung nach Art. 28 DS-GVO entsprechen...