Cloud-Verträge - rechtliche Aspekte

Die Leistung des Anbieters beschränkt sich zumeist auf die Online-Bereithaltung, Wartung und Pflege der Softwareanwendung.

Nach herrschender Auffassung in der Literatur und Rechtsprechung ist der Vertrag als Mietvertrag oder mietähnlicher Vertrag einzuordnen.

Daraus folgt:

• Der Anbieter ist verpflichtet, die Mietsache dem Kunden in einem zum vertragsgemäßen Gebrauch geeigneten Zustand zu überlassen und während der gesamten Dauer des Vertragsverhältnisses zu erhalten.
• Softwarepflegevertrag und Wartungsvertrag sind daher in der Regel obsolet.
• Der SaaS-Vertrag kann – anders als ein Softwarekaufvertrag - gekündigt werden.
• Einige gesetzliche Regelungen sind zwingend und dürfen durch Vertrag nicht geändert oder umgangen werden.
• Auch AGB sind im Lichte des Vertragstyps Mietvertrag neu zu betrachten und ggf. anzupassen, da sie vom wesentlichen Grundgedanken der gesetzlichen Regelungen nicht abweichen dürfen.

Für Cloud-Anbieter gilt:

• Bislang verwendete Verträge passen beim Vertrieb der Software als Cloud-Lösungen nicht mehr und bedürfen für Bestandskunden gesonderter vertraglicher Vereinbarungen.
• Gesetzliche Regelungen zum Schutz des Mieters, z. B. § 536a BGB, sollten modifiziert oder ausgeschlossen werden, soweit diese disponibel sind.
• AGB müssen angepasst werden.
• Die turnusmäßige Vergütung (Miete) sollte Pflege und Wartung der Software einpreisen.

Für Nutzer von Cloud-Lösungen gilt:

• Die Endlichkeit der vertraglichen Nutzung – der Mietvertrag ist eine Überlassung auf Zeit – sollte bei der Entscheidung für eine Cloud-Lösung sorgsam bedacht werden. Unternehmenskritische Anwendungen bedürfen stets eines Plan B.
• Mit Blick auf eine potenzielle Beendigung des Vertrags bedarf es sogenannter Exit-Klauseln, die insbesondere die Unterstützung in der Phase des Übergangs zu einem Drittanbieter sichern.
• Die Verfügbarkeit der Anwendung sollte in Service Level Agreements (SLA) gesichert, die Nichtverfügbarkeit sanktioniert werden.
• Der Datenschutz muss ggf. vertraglich durch Auftragsverarbeitungsvereinbarungen (AVV) oder Standard Contractual Clauses (SCC) gesichert werden. Der Drittstaatentransfer in nicht sichere Länder (z.B. USA) bedarf einer gesonderten Prüfung.
• Die Datensicherheit sollte durch anerkannte Standards für ein Informationssicherheits-Managementsystems (ISM) vertraglich abgesichert werden, z. B. durch Einbeziehung der ISO/IEC 27001.

Der Trend zur Cloud führt zum Wechsel des Regimes von Rechtsregeln. Je nach Position, Anbieter oder Nutzer, bedarf es einer Vielzahl unterschiedlichster Anpassungen, nicht nur, aber vor allem rechtlicher Art. Hier - wie so oft in der Informationstechnologie - zeigt sich, dass informationstechnische, kaufmännische und rechtliche Aspekte in ein ausgewogenes Verhältnis gebracht werden müssen, um der digitalen Transformation zum Erfolg zu verhelfen.