Software aus der Cloud: SaaS, Cloud-Verträge und die neue Abhängigkeit von digitalen Dienstleistern

Software wird heute meist nicht mehr installiert, sondern als laufender Cloud-Dienst genutzt. SaaS-Verträge wirken dadurch oft einfach und flexibel – rechtlich sind sie aber anspruchsvoll: Es geht nicht nur um Nutzungsrechte, sondern auch um Verfügbarkeit, Datenschutz, IT-Sicherheit, Datenexport und die Frage, wie der Kunde am Ende wieder aus dem System herauskommt.

Unternehmen, Behörden, Schulen, Kanzleien, Arztpraxen, Händler und Industrieunternehmen nutzen Software zunehmend nicht mehr lokal, sondern über das Internet aus der Cloud. Die frühere „Software aus der Steckdose“, die Anfang der 2000er-Jahre noch unter dem Begriff ASP, also Application Service Providing, diskutiert wurde, ist heute in professioneller, skalierbarer und wirtschaftlich dominierender Form zum SaaS-Modell geworden.

SaaS bedeutet: Der Anbieter stellt dem Kunden eine Softwareanwendung über das Internet zur Nutzung bereit. Die Software läuft regelmäßig nicht auf Systemen des Kunden, sondern in einer Cloud-Infrastruktur des Anbieters oder eines von ihm eingesetzten Hyperscalers. Der Kunde erhält keine dauerhaft überlassene Programmkopie, sondern einen zeitlich begrenzten Zugriff auf Funktionen, Datenverarbeitung, Speicher, Support, Updates, Sicherheit und Verfügbarkeit.

Gerade darin liegen die Attraktivität, aber auch die rechtlichen Risiken dieses Modells.

Die öffentliche Hand hat auf diese Entwicklung mit den EVB-IT Cloud reagiert. Seit März 2022 stehen mit dem EVB-IT Cloudvertrag, den EVB-IT Cloud-AGB und einem Kriterienkatalog für Cloudleistungen eigene Vertragsmuster für die Beschaffung von SaaS-, PaaS-, IaaS- und Managed-Cloud-Leistungen zur Verfügung. Die EVB-IT Cloud erfassen damit ausdrücklich moderne Cloudleistungen; der Kriterienkatalog dient dazu, die Leistung technisch, organisatorisch und rechtlich konkreter zu beschreiben.

Vom ASP zum SaaS: alter Begriff, neue Marktrealität

Der Begriff ASP ist heute weitgehend verschwunden. Die dahinterstehende Grundidee ist aber aktueller denn je. Schon beim ASP ging es darum, Software nicht auf eigenen Rechnern zu installieren, sondern über Datenleitungen auf eine Anwendung zuzugreifen, die beim Anbieter betrieben wird. Heute wird dieses Modell als SaaS bezeichnet und ist Teil der Cloud-Ökonomie.

Der Unterschied liegt weniger in der rechtlichen Grundstruktur als in der wirtschaftlichen und technischen Bedeutung. ASP war häufig ein Sondermodell für einzelne Anwendungen. SaaS ist heute die dominierende Form der Softwarebereitstellung. Office-Anwendungen, CRM-Systeme, ERP-Systeme, Kollaborationstools, Personalsoftware, Zeiterfassung, Dokumentenmanagement, Shopsysteme, Lernplattformen, Security-Tools, Buchhaltungssoftware und Fachverfahren werden vielfach als SaaS angeboten.

Der Anbieter schuldet nicht mehr nur die Überlassung einer Software. Er schuldet einen laufenden digitalen Dienst. Dieser umfasst je nach Vertragsgestaltung insbesondere die Bereitstellung der Anwendung, den Betrieb der technischen Umgebung, die Datenspeicherung, den Zugriff über definierte Schnittstellen, Updates, Patches, IT-Sicherheit, Support, Verfügbarkeit, Backup, Monitoring, Reporting, Datenschutz, Datenexport und Unterstützung bei Vertragsende.

Damit verschiebt sich auch der Schwerpunkt der rechtlichen Betrachtung. Bei klassischer Softwareüberlassung standen Nutzungsrechte, Mängelhaftung und Pflege im Vordergrund. Bei SaaS geht es zusätzlich und oft vorrangig um laufende Betriebsverantwortung, Datenhoheit, Informationssicherheit, Exit-Fähigkeit, Anbieterabhängigkeit, Unterauftragnehmerketten, internationale Datenflüsse, Interoperabilität und Compliance.

Was bedeutet „SaaS“ rechtlich?

SaaS ist kein eigener gesetzlicher Vertragstyp. Das Bürgerliche Gesetzbuch kennt keinen „SaaS-Vertrag“. Deshalb muss auch heute noch gefragt werden, welchem gesetzlichen Vertragstyp ein SaaS-Vertrag am nächsten steht. Diese Frage ist keine juristische Formalie. Sie entscheidet darüber, welche gesetzlichen Rechte und Pflichten gelten, wenn der Vertrag Lücken enthält oder einzelne Klauseln unwirksam sind.

Bei SaaS kommen je nach Ausgestaltung mietvertragliche, dienstvertragliche, werkvertragliche, kaufrechtliche und lizenzvertragliche Elemente in Betracht. Der Anbieter stellt eine Anwendung zur Nutzung bereit. Er betreibt die Umgebung. Er erbringt Support. Er spielt Updates ein. Er verarbeitet Daten. Er kann Customizing- oder Einführungsleistungen übernehmen. Er kann Schnittstellen erstellen oder Migrationen durchführen. Ein SaaS-Projekt ist deshalb oft ein typengemischter Vertrag.

Der Schwerpunkt liegt bei der reinen SaaS-Nutzung aber regelmäßig in der zeitweisen Gebrauchsüberlassung einer funktionsfähigen Softwareanwendung. Das spricht weiterhin für eine mietrechtliche Einordnung. Der Bundesgerichtshof hat bereits für das damalige ASP-Modell entschieden, dass die zeitweise Nutzung von Software über das Internet mietvertraglich eingeordnet werden kann. Diese Entscheidung aus dem Jahr 2006 ist auch heute noch der zentrale Ausgangspunkt für die rechtliche Behandlung von SaaS-Verträgen.

Die mietrechtliche Einordnung bedeutet: Der Anbieter muss die Software während der Vertragslaufzeit in einem zum vertragsgemäßen Gebrauch geeigneten Zustand bereitstellen und erhalten. Er schuldet also nicht nur eine einmalige Bereitstellung, sondern eine fortdauernde Gebrauchstauglichkeit. Genau das passt zu SaaS, weil der Kunde die Software nicht selbst betreibt und Mängel regelmäßig nicht selbst beseitigen kann.

SaaS als Mietvertrag: Warum diese Einordnung wichtig ist

Wird ein SaaS-Vertrag im Schwerpunkt als Mietvertrag eingeordnet, hat dies erhebliche Folgen. Der Anbieter ist dann nach § 535 BGB verpflichtet, dem Kunden den Gebrauch der Anwendung während der Mietzeit zu gewähren und die Anwendung in einem zum vertragsgemäßen Gebrauch geeigneten Zustand zu erhalten. Daraus folgt eine laufende Erhaltungs- und Instandhaltungspflicht.

Für den Kunden ist diese Einordnung vorteilhaft. Er erhält bei Mängeln nicht nur einen verschuldensabhängigen Schadensersatzanspruch, sondern kann insbesondere Minderung geltend machen, wenn die Anwendung nicht vertragsgemäß nutzbar ist. Bei schwerwiegenden oder dauerhaften Störungen kommen Kündigungsrechte in Betracht.

Ist die SaaS-Leistung mangelhaft, kann der Kunde je nach Einzelfall insbesondere:

• nach § 536 BGB die Vergütung mindern,
• nach § 536a BGB Schadensersatz verlangen,
• nach § 536a BGB den Mangel selbst beseitigen lassen, was bei SaaS praktisch schwierig sein kann, weil die Anwendung nicht in der eigenen technischen Umgebung des Kunden betrieben wird,
• und nach § 543 BGB den Vertrag außerordentlich kündigen.

Für den Anbieter ist die mietrechtliche Einordnung dagegen anspruchsvoll, weil er nicht nur für eine einmalige Leistung einstehen muss, sondern während der gesamten Vertragslaufzeit für die Gebrauchstauglichkeit der Anwendung verantwortlich bleibt.

Gerade deshalb muss der Vertrag sehr genau beschreiben, was der Anbieter schuldet. Unklare Leistungsbeschreibungen helfen keiner Seite. Der Anbieter benötigt klare Grenzen seiner Verantwortung. Der Kunde benötigt belastbare Zusagen zu Verfügbarkeit, Support, Datensicherung, Sicherheit und Datenexport.

SaaS ist mehr als Softwareüberlassung

Ein SaaS-Vertrag regelt typischerweise insbesondere:

• die Bereitstellung der Anwendung,
• die technische Verfügbarkeit,
• die Rechenzentrums- oder Cloud-Infrastruktur,
• die Authentifizierung und Rechteverwaltung,
• die Speicherung und Verarbeitung der Kundendaten,
• Schnittstellen und APIs,
• Updates und Releases,
• Patches und Sicherheitsupdates,
• Support und Störungsbeseitigung,
• Datensicherung und Wiederherstellung,
• Monitoring und Reporting,
• Datenschutz und Auftragsverarbeitung,
• Informationssicherheit,
• Unterauftragnehmer und Hyperscaler,
• sowie Datenexport, Löschung, Migration und Unterstützung beim Anbieterwechsel.

Damit ist SaaS rechtlich nicht bloß eine „Softwaremiete“. SaaS ist ein dauerhaftes Leistungsbündel. Dieses Leistungsbündel muss vertraglich so beschrieben werden, dass klar ist, welche Pflichten Hauptleistungspflichten sind, welche Pflichten Nebenpflichten sind und welche Leistungen nur zusätzlich gegen gesonderte Vergütung erbracht werden.

Besonders wichtig ist die Abgrenzung zwischen der geschuldeten Erhaltung der Gebrauchstauglichkeit und gesondert vergütungspflichtigen Zusatzleistungen. Sicherheitsupdates, Fehlerkorrekturen und Maßnahmen zur Aufrechterhaltung der vereinbarten Nutzbarkeit gehören bei SaaS regelmäßig zur Grundverantwortung des Anbieters. Funktionale Erweiterungen, kundenspezifisches Customizing, individuelle Schnittstellen oder besondere Migrationsleistungen können dagegen gesondert bepreist werden.

SaaS und Nutzungsrechte

Auch bei SaaS braucht der Kunde Nutzungsrechte. Er erhält aber regelmäßig keine Programmkopie zur dauerhaften Nutzung, sondern ein zeitlich befristetes, einfaches, nicht übertragbares Recht, über die vereinbarte Zugriffsmöglichkeit auf die SaaS-Anwendung zuzugreifen und sie für eigene Zwecke zu nutzen.

Das Nutzungsrecht ist typischerweise beschränkt auf die Vertragslaufzeit, die vereinbarte Nutzerzahl, die vereinbarte Nutzungsart, die vereinbarte Organisationseinheit, die vereinbarte Region und die vertraglich zugelassenen Funktionen. Der Kunde darf die Software regelmäßig nicht vervielfältigen, bearbeiten, dekompilieren, Dritten überlassen, weitervermieten oder außerhalb der vereinbarten Zwecke nutzen.

Bei SaaS ist aber zusätzlich zu regeln, wer Rechte an den vom Kunden eingebrachten Daten, Konfigurationen, Auswertungen, Arbeitsergebnissen und gegebenenfalls KI-generierten Ergebnissen hat. Die Kundendaten müssen grundsätzlich dem Kunden zugeordnet bleiben. Der Anbieter darf sie nur im vertraglich vereinbarten Umfang verarbeiten.

Jede darüberhinausgehende Nutzung, etwa zu Trainings-, Analyse-, Produktverbesserungs- oder Benchmarking-Zwecken, bedarf einer klaren vertraglichen Grundlage und muss datenschutzrechtlich zulässig sein.

Verfügbarkeit und Service Level: Das Herzstück des SaaS-Vertrages

Bei lokal installierter Software konnte der Kunde bei Störungen häufig noch auf eigene Systeme, eigene Administratoren oder lokale Daten zugreifen. Bei SaaS ist er auf den Anbieter angewiesen. Deshalb ist die Verfügbarkeit der Anwendung eine zentrale Vertragspflicht.

Ein SaaS-Vertrag sollte nicht nur allgemein versprechen, dass die Software „verfügbar“ ist. Er muss konkret regeln, wann und in welchem Umfang die Anwendung zur Verfügung steht.

Dazu gehören insbesondere:

• die Bezugsgröße der Verfügbarkeit,
• der Messzeitraum,
• die Servicezeit,
• geplante Wartungsfenster,
• nicht zu berücksichtigende Ausfallzeiten,
• Reaktionszeiten,
• Wiederherstellungszeiten,
• Eskalationsprozesse,
• Informationspflichten,
• und Sanktionen bei Unterschreitung vereinbarter Service Level.

Eine Verfügbarkeit von 99,5 Prozent klingt hoch, kann aber je nach Bezugsgröße erhebliche Ausfallzeiten erlauben. Wird die Verfügbarkeit auf ein Kalenderjahr und einen 24/7-Betrieb bezogen, bedeutet dies eine andere Risikoverteilung als bei einer Verfügbarkeit nur während werktäglicher Servicezeiten. Deshalb muss die Verfügbarkeitsregelung verständlich und rechnerisch nachvollziehbar sein.

Sanktionen können als Service Credits, Minderung, Vertragsstrafe oder Sonderkündigungsrecht ausgestaltet werden. Service Credits allein reichen für geschäftskritische Anwendungen häufig nicht aus, weil sie nur einen kleinen Teil der wirtschaftlichen Schäden abbilden. Für kritische Anwendungen sollten daher zusätzlich Eskalationsrechte, Exit-Rechte und gegebenenfalls Schadensersatzregelungen vorgesehen werden.

Datenschutz: SaaS ist fast immer Auftragsverarbeitung

SaaS-Anwendungen verarbeiten regelmäßig personenbezogene Daten. Das können Kundendaten, Beschäftigtendaten, Schülerdaten, Patientendaten, Kommunikationsdaten, Nutzungsdaten, Protokolldaten oder Inhaltsdaten sein. In den meisten Fällen ist der SaaS-Anbieter Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Dann muss zusätzlich zum SaaS-Vertrag eine Auftragsverarbeitungsvereinbarung abgeschlossen werden.

Diese AVV darf nicht nur formal vorhanden sein. Sie muss zum tatsächlichen SaaS-Betrieb passen.

Zu regeln sind insbesondere:

• Gegenstand und Dauer der Verarbeitung,
• Art und Zweck der Verarbeitung,
• Kategorien personenbezogener Daten,
• Kategorien betroffener Personen,
• technische und organisatorische Maßnahmen,
• Unterauftragsverhältnisse,
• Kontrollrechte,
• Unterstützungspflichten,
• Meldepflichten bei Datenschutzverletzungen,
• sowie Löschung und Rückgabe der Daten bei Vertragsende.

Besondere Aufmerksamkeit verdienen Unterauftragnehmer. Viele SaaS-Anbieter betreiben ihre Anwendungen nicht auf eigener Infrastruktur, sondern nutzen Hyperscaler wie Microsoft Azure, AWS oder Google Cloud. Das ist nicht per se unzulässig, muss aber transparent gemacht und vertraglich abgesichert werden.

Der Kunde muss wissen, welche Unterauftragnehmer eingesetzt werden, wo Daten verarbeitet werden, welche Sicherheitsstandards gelten und wie Änderungen in der Unterauftragnehmerkette behandelt werden.

Informationssicherheit: Von der Nebenfrage zur Hauptpflicht

Bei SaaS ist Informationssicherheit keine technische Nebensache. Sie ist Vertragsinhalt. Der Kunde gibt Betrieb, Zugriff, Datenhaltung und teilweise ganze Geschäftsprozesse aus der Hand. Deshalb muss vertraglich geregelt werden, welche Sicherheitsstandards der Anbieter einhält.

Die EVB-IT Cloud machen dies besonders deutlich. Die EVB-IT Cloud knüpfen im Bereich Datenschutz und IT-Sicherheit an etablierte Vorgaben wie den BSI-C5-Kriterienkatalog an. Der C5, der „Cloud Computing Compliance Criteria Catalogue“, spezifiziert Mindestanforderungen an sicheres Cloud Computing und dient als anerkannter Prüfungs- und Nachweisstandard für Cloudanbieter.

Auch außerhalb der öffentlichen Beschaffung wird C5 zunehmend als Referenzstandard verwendet. Daneben spielen ISO/IEC 27001, branchenspezifische Sicherheitsanforderungen, DORA, NIS-2, KRITIS-Anforderungen, interne Sicherheitsrichtlinien und Kundenvorgaben eine Rolle.

Das deutsche NIS-2-Umsetzungsgesetz ist nach Angaben der Bundesregierung am 6. Dezember 2025 in Kraft getreten und erweitert die Cybersicherheitsanforderungen und Meldepflichten für zahlreiche Unternehmen und Einrichtungen.

Für SaaS-Verträge bedeutet dies: Sicherheitsanforderungen müssen nicht nur abstrakt erwähnt, sondern konkret beschrieben werden.

Dazu gehören insbesondere:

• Verschlüsselung,
• Berechtigungskonzepte,
• Protokollierung,
• Schwachstellenmanagement,
• Patchfristen,
• Penetrationstests,
• Backup,
• Wiederherstellung,
• Notfallmanagement,
• Incident Response,
• Meldewege,
• und Auditnachweise.

Updates, Releases und Änderungsmanagement

Ein wesentlicher Unterschied zwischen klassischer Software und SaaS liegt darin, dass der Anbieter die Anwendung fortlaufend weiterentwickelt. Updates und Releases werden oft zentral eingespielt. Der Kunde kann sich dem häufig nicht entziehen.

Das ist einerseits ein Vorteil. Sicherheitslücken können schneller geschlossen, neue Funktionen bereitgestellt und technische Schulden reduziert werden. Andererseits entsteht ein erhebliches Risiko. Updates können Funktionen verändern, Schnittstellen brechen, Workflows beeinträchtigen oder Schulungsbedarf auslösen. In Multi-Tenant-Umgebungen hat der einzelne Kunde oft wenig Einfluss auf Zeitpunkt und Inhalt von Änderungen.

Deshalb braucht jeder professionelle SaaS-Vertrag ein Änderungsmanagement.

Zu regeln ist insbesondere:

• welche Änderungen der Anbieter ohne Zustimmung vornehmen darf,
• welche Änderungen ankündigungspflichtig sind,
• welche Mindestfristen gelten,
• welche Änderungen unzulässig sind,
• und welche Rechte der Kunde bei wesentlichen Leistungsverschlechterungen hat.

Besonders kritisch sind Änderungen, die den Funktionsumfang reduzieren, Schnittstellen verändern, Datenformate betreffen, Sicherheitsfunktionen abschwächen, Compliance-Anforderungen beeinträchtigen oder den Kunden zu zusätzlichen kostenpflichtigen Modulen drängen. Solche Änderungen dürfen nicht einseitig und unbegrenzt zulasten des Kunden möglich sein.

Datenhoheit, Datenexport und Anbieterwechsel

Die größte Schwäche vieler SaaS-Verträge liegt nicht beim Vertragsschluss, sondern beim Vertragsende. Solange die Anwendung funktioniert, wird die Abhängigkeit vom Anbieter oft unterschätzt. Erst wenn Preise steigen, Leistungen verschlechtert werden, der Anbieter verkauft wird, der Support unzureichend ist oder ein Wechsel erforderlich wird, zeigt sich, ob der Kunde seine Daten wirklich beherrscht.

Ein guter SaaS-Vertrag muss daher von Anfang an den Exit regeln.

Dazu gehören insbesondere:

• Datenexport,
• Exportformate,
• Exportfristen,
• Vollständigkeit der Daten,
• Dokumentation,
• Unterstützung bei Migration,
• Löschung nach erfolgreichem Export,
• Nachweispflichten,
• und gegebenenfalls Übergangsleistungen.

Der EU Data Act verstärkt diese Entwicklung. Er ist am 11. Januar 2024 in Kraft getreten und gilt seit dem 12. September 2025 in der Europäischen Union. Er enthält unter anderem Vorgaben, die den Wechsel zwischen Cloud-Anbietern erleichtern sollen.

Für SaaS-Verträge bedeutet dies, dass Lock-in-Klauseln, überhöhte Wechselentgelte, unzureichende Datenexportmöglichkeiten und unklare Portabilitätsregelungen künftig noch kritischer zu beurteilen sind.

Für Kunden ist entscheidend: Daten müssen in einem brauchbaren, dokumentierten, maschinenlesbaren und weiterverarbeitbaren Format herausgegeben werden. Ein bloßer PDF-Export genügt regelmäßig nicht, wenn strukturierte Daten in ein anderes System übernommen werden sollen.

Für Anbieter ist entscheidend: Die Exit-Leistung muss kalkulierbar beschrieben und vergütungsrechtlich sauber geregelt werden.

Auftragnehmer-AGB, Hyperscaler-Bedingungen und die Realität des SaaS-Marktes

Ein besonderes Problem moderner SaaS-Verträge liegt darin, dass große Anbieter ihre Leistungen nur zu standardisierten Bedingungen anbieten. Diese Bedingungen bestehen häufig aus mehreren Dokumenten, die online abrufbar sind und dynamisch geändert werden können. Dazu gehören Nutzungsbedingungen, Datenschutzbedingungen, Sicherheitsbeschreibungen, Service Level, Acceptable Use Policies, Supportbedingungen, Produktbeschreibungen, Lizenzmetriken und Subprocessor Lists.

Für Kunden ist dies gefährlich, wenn nicht klar geregelt ist, welche Dokumente Vertragsbestandteil werden, in welcher Fassung sie gelten, welche Rangfolge besteht und ob der Anbieter Bedingungen einseitig ändern darf. Für öffentliche Auftraggeber ist dies zusätzlich vergaberechtlich sensibel, weil wesentliche Vertragsbedingungen nicht nach Zuschlag beliebig verändert werden dürfen.

Ein SaaS-Vertrag sollte daher eine klare Dokumentenhierarchie enthalten. Vorrang sollten individuelle Vereinbarungen, Leistungsbeschreibung, AVV, Sicherheitsanlage und SLA haben. Auftragnehmerseitige Online-Bedingungen dürfen nur einbezogen werden, soweit sie transparent benannt, verfügbar, inhaltlich geprüft und mit den vorrangigen Vertragsunterlagen vereinbar sind. Dynamische Verweisungen auf beliebig änderbare Bedingungen sind kritisch.

Haftung und Mängelrechte bei SaaS

Die Haftung des SaaS-Anbieters ist einer der schwierigsten Punkte. Aus Kundensicht können Ausfälle, Datenverlust, Sicherheitsvorfälle, Fehlfunktionen oder unzureichende Verfügbarkeit erhebliche Schäden verursachen. Aus Anbietersicht sind unbegrenzte Haftungsrisiken wirtschaftlich kaum tragbar, insbesondere bei standardisierten, skalierbaren SaaS-Angeboten.

Die Lösung liegt nicht in pauschalen Haftungsausschlüssen, sondern in einer differenzierten Regelung. Zunächst muss die geschuldete Leistung klar beschrieben werden. Nur dann lässt sich feststellen, wann ein Mangel vorliegt. Sodann müssen Mängelrechte, Service Credits, Schadensersatz, Haftungshöchstgrenzen, Ausnahmen von Haftungsbegrenzungen und besondere Risiken wie Datenschutzverletzungen, Geheimnisverletzungen, IT-Sicherheitsvorfälle und Datenverlust geregelt werden.

Bei mietrechtlicher Einordnung ist zu beachten, dass eine vollständige Verdrängung der gesetzlichen Mängelrechte in Allgemeinen Geschäftsbedingungen problematisch sein kann. Anbieter sollten daher nicht versuchen, jede Verantwortung auszuschließen. Besser ist eine transparente, interessengerechte und nach Risikokategorien abgestufte Regelung.

Vorteile von SaaS für Kunden

SaaS hat erhebliche Vorteile. Kunden müssen keine eigene Serverinfrastruktur aufbauen, keine lokale Installation pflegen und keine dauerhaften Lizenzen erwerben. Die Einführung kann schneller erfolgen. Die Vergütung ist häufig planbarer und nutzungsabhängiger. Updates werden zentral bereitgestellt. Skalierung ist einfacher. Zugriff ist ortsunabhängig möglich. Professionelle Anbieter können oft ein Sicherheits- und Verfügbarkeitsniveau erreichen, das kleinere Kunden intern kaum leisten könnten.

Besonders attraktiv ist SaaS für standardisierte Prozesse, bei denen keine tiefgreifende Individualanpassung erforderlich ist. Je näher der Kunde am Standard bleibt, desto besser funktioniert das Modell. SaaS ist dann kostengünstig, schnell verfügbar und technisch aktuell.

Auch für die öffentliche Hand kann SaaS vorteilhaft sein. Fachverfahren, Kollaborationslösungen, Lernplattformen, Zeiterfassung, Dokumentenmanagement oder Sicherheitsdienste lassen sich häufig wirtschaftlicher als Cloudleistung beschaffen als durch Aufbau eigener Infrastruktur. Die EVB-IT Cloud geben hierfür ein strukturiertes Vertragsmodell vor.

Nachteile und Risiken von SaaS für Kunden

Die Vorteile von SaaS haben ihren Preis. Der Kunde verliert einen Teil seiner technischen Selbstbestimmung. Er ist abhängig von der Verfügbarkeit des Anbieters, von dessen Sicherheitsniveau, von dessen Unterauftragnehmern, von dessen Produktstrategie und von dessen wirtschaftlicher Stabilität.

Zu den wichtigsten Risiken gehören:

• Anbieterabhängigkeit,
• Datenverlust,
• unzureichender Datenexport,
• Preiserhöhungen,
• Funktionsänderungen,
• Einstellung von Leistungen,
• eingeschränkte Individualisierbarkeit,
• internationale Datenübermittlung,
• unklare Unterauftragnehmerketten,
• mangelnde Transparenz,
• unzureichende Auditmöglichkeiten,
• und Abhängigkeit von Internetverbindungen.

Ein weiteres Risiko liegt in der scheinbaren Einfachheit des Vertragsschlusses. Viele SaaS-Verträge werden per Klick abgeschlossen. Gerade im B2B-Bereich werden dabei häufig erhebliche Datenbestände und geschäftskritische Prozesse in eine fremde Infrastruktur verlagert, ohne dass Leistungsbeschreibung, Datenschutz, Sicherheit, Haftung und Exit ausreichend geprüft wurden.

Vorteile und Nachteile für Anbieter

Für Anbieter ist SaaS wirtschaftlich attraktiv. Das Modell ermöglicht wiederkehrende Umsätze, direkte Kundenbeziehungen, zentrale Produktpflege, bessere Skalierung, laufende Weiterentwicklung und geringere Vertriebshürden. Statt einmaliger Lizenzverkäufe entstehen planbare Subscriptions.

Gleichzeitig steigen die rechtlichen und organisatorischen Pflichten erheblich. Der Anbieter muss die Anwendung dauerhaft betreiben, Sicherheitsstandards einhalten, Datenschutz gewährleisten, Support organisieren, Verfügbarkeit messen, Störungen dokumentieren, Unterauftragnehmer steuern, Datenexport ermöglichen und regulatorische Anforderungen beachten. Er haftet nicht nur für eine einmalige Lieferung, sondern für einen fortlaufenden Dienst.

Gerade kleinere Anbieter unterschätzen häufig, dass SaaS nicht nur ein anderes Preismodell ist. Wer SaaS anbietet, übernimmt Betriebsverantwortung. Diese Verantwortung muss technisch, organisatorisch, personell und vertraglich abgesichert werden.

Was ein moderner SaaS-Vertrag mindestens regeln muss

Ein professioneller SaaS-Vertrag sollte heute mindestens regeln:

• den Vertragsgegenstand und die genaue Beschreibung der SaaS-Anwendung,
• den Leistungsumfang und ausgeschlossene Leistungen,
• das Nutzer- und Lizenzmodell,
• das Rollen- und Berechtigungskonzept,
• die technischen Voraussetzungen auf Kundenseite,
• Verfügbarkeit und SLA,
• Wartungsfenster,
• Supportzeiten und Supportklassen,
• Reaktions- und Wiederherstellungszeiten,
• Updates und Releases,
• Änderungsmanagement,
• IT-Sicherheit,
• Datenschutz und AVV,
• Unterauftragnehmer,
• Datenstandorte,
• Backup und Restore,
• Monitoring und Reporting,
• Vergütung und Preisanpassung,
• Laufzeit und Kündigung,
• Mängelrechte,
• Haftung,
• Rechte an Kundendaten,
• Nutzungsrechte,
• Geheimhaltung,
• Compliance,
• Audit- und Nachweisrechte,
• Datenexport,
• Löschung,
• Exit-Unterstützung,
• und Regelungen für den Fall der Einstellung des Dienstes.

Für öffentliche Auftraggeber kommen vergaberechtliche Anforderungen hinzu. Die Leistung muss eindeutig und erschöpfend beschrieben werden. Eignungs- und Zuschlagskriterien müssen zur Cloudleistung passen. Sicherheits- und Datenschutzanforderungen müssen beschaffungsreif formuliert werden. Auftragnehmerseitige AGB müssen vor Zuschlag geprüft und in eine klare Rangfolge gebracht werden. Wesentliche spätere Leistungsänderungen sind am Maßstab des § 132 GWB zu messen.

SaaS erreicht die öffentliche Hand: Der EVB-IT Cloudvertrag seit März 2022 als neuer Standard

Dass SaaS und Cloudleistungen endgültig im Zentrum der IT-Beschaffung angekommen sind, zeigt sich besonders deutlich an der Entwicklung der EVB-IT. Während die klassische EVB-IT-Systematik lange Zeit vor allem auf Kauf, Überlassung, Pflege, Dienstleistung, Erstellung und Systemlieferung ausgerichtet war, fehlte für Cloudleistungen lange ein wirklich passgenaues Vertragsmodell.

SaaS-Leistungen mussten in der Praxis häufig mit vorhandenen EVB-IT-Vertragstypen nachgebildet werden, etwa durch Kombinationen aus Dienstleistung, Softwareüberlassung, Pflege und Betrieb. Das war möglich, aber regelmäßig umständlich und dogmatisch nicht immer überzeugend.

Im März 2022 wurde deshalb der EVB-IT Cloudvertrag veröffentlicht. Damit standen erstmals eigene ergänzende Vertragsbedingungen für die Beschaffung von Cloudleistungen durch die öffentliche Hand zur Verfügung. Die EVB-IT Cloud erfassen nicht nur Software as a Service, sondern auch Infrastructure as a Service, Platform as a Service und Managed Cloud Services. Sie tragen damit dem Umstand Rechnung, dass Cloudbeschaffung heute nicht mehr Randerscheinung, sondern Kernbestandteil moderner Verwaltungsdigitalisierung ist.

Besonders bemerkenswert ist, dass dem EVB-IT Cloudvertrag ein langer Abstimmungsprozess mit der IT-Wirtschaft vorausging. Die Verhandlungen mit der Industrie, vertreten insbesondere durch den Bitkom, dauerten nahezu drei Jahre. Das zeigt, wie schwierig es war, die Anforderungen der öffentlichen Hand an Kontrolle, Sicherheit, Datenschutz, Transparenz und vertragliche Durchsetzbarkeit mit den standardisierten, international geprägten Geschäftsmodellen der Cloudanbieter in Einklang zu bringen.

Die öffentliche Hand wollte keine bloße Übernahme von Anbieterbedingungen akzeptieren; die Industrie wiederum musste darauf achten, dass die Vertragsbedingungen mit skalierbaren Cloudmodellen, standardisierten Plattformen und Hyperscaler-Strukturen vereinbar bleiben.

Der EVB-IT Cloudvertrag ist deshalb mehr als ein weiteres Formular innerhalb der EVB-IT-Familie. Er ist Ausdruck eines Paradigmenwechsels. Die öffentliche Hand erkennt damit an, dass Cloud- und SaaS-Leistungen beschaffbar sein müssen, ohne die spezifischen Anforderungen des öffentlichen Sektors aufzugeben.

Zugleich zwingt der Vertrag öffentliche Auftraggeber dazu, Cloudleistungen genauer zu beschreiben: Welche Leistung wird erbracht? Wo werden Daten verarbeitet? Welche Unterauftragnehmer werden eingesetzt? Welche Verfügbarkeit wird zugesagt? Welche Sicherheitsanforderungen gelten? Welche Nachweise muss der Anbieter erbringen? Wie erfolgt der Datenexport bei Vertragsende?

Eine besondere Rolle spielen dabei die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik. Die EVB-IT Cloud knüpfen im Bereich Datenschutz und IT-Sicherheit an etablierte Vorgaben wie den BSI-C5-Kriterienkatalog an. Der C5 beschreibt Mindestanforderungen an sicheres Cloud Computing und dient als anerkannter Prüfungs- und Nachweisstandard für Cloudanbieter. Gerade für die öffentliche Hand ist dies von erheblicher Bedeutung, weil sie Cloudleistungen nicht nur wirtschaftlich, sondern auch sicherheits- und datenschutzkonform beschaffen muss.

Die EVB-IT Cloud verlangen daher nicht nur abstrakte Sicherheitsversprechen. Sie machen IT-Sicherheit zu einem beschreibbaren und nachweisbaren Vertragsinhalt. Cloudanbieter müssen sich mit Fragen der C5-Konformität, mit Nachweispflichten, Unterauftragnehmern, Kontrollrechten, Störungsmanagement, Reporting und Datensicherheit auseinandersetzen.

Der ergänzende Kriterienkatalog zu den EVB-IT Cloud dient dabei als Instrument, um die konkreten Anforderungen einer Ausschreibung strukturiert zu erfassen. Er hilft dem Auftraggeber, die Cloudleistung nicht nur funktional, sondern auch sicherheitstechnisch, organisatorisch und vertraglich zu beschreiben.

Für SaaS-Verträge insgesamt ist diese Entwicklung auch außerhalb der öffentlichen Beschaffung lehrreich. Sie zeigt, dass moderne Cloudverträge nicht mehr allein über Nutzungsrechte, Vergütung und Laufzeit gesteuert werden können. Entscheidend sind vielmehr Verfügbarkeit, Sicherheitsniveau, Nachweise, Datenhoheit, Unterauftragnehmerkontrolle, Exit-Fähigkeit und Änderungsmanagement.

Der EVB-IT Cloudvertrag macht damit sichtbar, was für professionelle SaaS-Verträge heute generell gilt: Wer Software nicht mehr lokal betreibt, sondern als laufenden Cloudservice nutzt, muss den Betrieb, die Sicherheit und die Rückholbarkeit der eigenen Daten vertraglich beherrschen.

Die EVB-IT Cloud bestehen nicht nur aus einem Vertragsformular. Sie umfassen insbesondere den Cloudvertrag, die Cloud-AGB, den Kriterienkatalog für Cloudleistungen und Anlagen zur Einbeziehung auftragnehmerseitiger AGB. Gerade Letzteres ist praxisrelevant, weil SaaS-Anbieter häufig mit eigenen Standardbedingungen, Online Terms, Product Terms, Service Descriptions, Security Addenda und Data Processing Addenda arbeiten.

Die EVB-IT Cloud versuchen, diese Realität nicht zu ignorieren, sondern kontrolliert in ein öffentliches Beschaffungsvertragsmodell einzubinden.

Für öffentliche Auftraggeber bleibt die Herausforderung aber erheblich. Sie müssen die Cloudleistung so beschreiben, dass sie vergaberechtlich eindeutig, technisch brauchbar und vertraglich durchsetzbar ist. Der Kriterienkatalog ist dabei ein wichtiges Hilfsmittel, ersetzt aber nicht die fachliche Entscheidung, welche Anforderungen im konkreten Projekt notwendig sind.

Fazit

SaaS bietet erhebliche wirtschaftliche und technische Vorteile. Es ermöglicht schnelle Einführung, flexible Nutzung, zentrale Pflege, laufende Aktualisierung und professionelle Betriebsmodelle.

Rechtlich ist SaaS aber anspruchsvoller, als es auf den ersten Blick wirkt. Der Kunde erhält nicht nur Software, sondern begibt sich in ein dauerhaftes Abhängigkeitsverhältnis. Der Anbieter schuldet nicht nur Zugriff, sondern laufende Gebrauchstauglichkeit, Sicherheit, Verfügbarkeit und Datenbeherrschbarkeit.

Der Vertrag muss deshalb genau regeln, was bereitgestellt wird, wie verfügbar die Leistung sein muss, wie Störungen behandelt werden, wie Daten geschützt werden, wie Änderungen erfolgen und wie der Kunde am Ende wieder aus dem System herauskommt.

Die mietrechtliche Einordnung bleibt ein wichtiger Ausgangspunkt. Sie erklärt, warum der Anbieter während der gesamten Vertragslaufzeit für die Gebrauchstauglichkeit der SaaS-Anwendung verantwortlich ist. Die heutige SaaS-Praxis verlangt aber mehr: Datenschutz, Informationssicherheit, Cloud-Compliance, NIS-2, Data Act, Exit-Fähigkeit und klare Service Level gehören inzwischen zum Kern eines rechtssicheren SaaS-Vertrages.

Für öffentliche Auftraggeber sind die EVB-IT Cloud seit 2022 der wichtigste vertragliche Ausgangspunkt. Für private Unternehmen sind sie jedenfalls eine wertvolle Orientierung, weil sie viele der heute entscheidenden Fragen strukturiert sichtbar machen.

Wer SaaS beschafft oder anbietet, sollte den Vertrag daher nicht als bloße Lizenzvereinbarung behandeln. SaaS ist ein laufender digitaler Betriebsvertrag – und genau so muss er gestaltet werden.