Bei Software as a Service (SaaS) stellt der Anbieter seinem Kunden einen bestimmten Dienst (Service) remote zur Verfügung. Die hinter dem Service stehende Anwendung wird in der Regel nicht on-site beim Kunden, sondern auf Rechnern des Anbieters gehostet. Der Dienst wird dem Kunden etwa über das Internet oder ein VPN, zugänglich gemacht (daher auch als "Software on Demand" bezeichnet).

Mit diesem Modell werden vor allem Services im Bereich Customer-Relationship-Management (CRM) und Human- Resources (HR) angeboten. Anders als beim Application Service Providing (ASP) betreibt der Anbieter nicht für jeden Kunden eine Installation. Vielmehr wird der Dienst regelmäßig auf Basis einer einheitlichen Plattform und Datenbank erbracht, über die eine Vielzahl von Kunden bedient wird. Dies ermöglicht die Nutzung von Skalenvorteilen. Weitere Charakteristika für das SaaS-Modell sind eine nutzungsabhängige Vergütung und eine zeitliche Befristung der Laufzeit.

Entspräche der klassische Softwarelizenzvertrag einem Autokauf oder -leasing, wäre SaaS oder Software on Demand die Zeitkarte für den öffentlichen Nahverkehr. Der Kunde erwirbt nicht das Recht an einem bestimmten Gegenstand (Auto, Software), sondern nimmt eine Dienstleistung in Anspruch (Transport), die der Anbieter über von ihm betriebene Infrastruktur (Busse, Gleise, etc.) zur Verfügung stellt.

Warum SaaS?

Das SaaS-Modell verspricht niedrigere Investitions- und Umstellungskosten auf Kundenseite. Individuelle Lösungen lassen sich relativ schnell und günstig umsetzen. Außerdem sind SaaS-Angebote leicht nach oben skalierbar, ohne dass der Kunde Ressourcen binden muss. Viele Anbieter preisen SaaS zudem mit einer nutzungsabhängigen Vergütung an.

Das SaaS-Modell kann allerdings auch seine Tücken haben. Um die Vorteile von SaaS voll auszuschöpfen, gilt es, bei der Vertragsgestaltung auf folgende Punkte besonders zu achten:

Beschreibung des Services

Vergewissern Sie sich, dass der Service verbindlich und genau beschrieben ist. Geben Sie sich nicht mit allgemeinen Verweisen auf Marketing-Materialien, Beschreibungen auf Web-Seiten oder gar Benutzerhandbüchern zufrieden.

Bei einem Lizenzvertrag erhalten Sie ein Recht an einer konkreten Software, so wie beim Autokauf oder -leasing ein bestimmtes Fahrzeug. Bei SaaS erhalten Sie einen Dienst, mit dem Sie bestimmte Aufgaben erfüllen wollen. Sie müssen in einer Leistungsbeschreibung genau festlegen, was der Dienst beinhalten soll. Ansonsten können spätere Änderungen des Services, zum Beispiel eine neue Zusammenstellung von Modulen bei Paketangeboten, zu Nachteilen führen, ohne dass Sie dagegen vorgehen können. Das wäre dann so, als würde ihr Nahverkehrsverbund die Zoneneinteilung ändern, und Sie können mit Ihrem Jahres-Innenraum-Abo nicht mehr nach Hause fahren.

Verfügbarkeit

Wichtig bei SaaS-Modellen sind exakte Vorgaben zur Verfügbarkeit des Services. Beachten Sie, dass der SaaS-Anbieter in der Regel nur die Verfügbarkeit seiner eigenen Applikation sicherstellt. Durch Ausfälle der TK-Verbindung (VPN, Internet) kann die reale Verfügbarkeit beim Kunden deutlich niedriger liegen als das, was der Anbieter zusichert. Werte zwischen 99,5 und 99,9 Prozent sollten in Verhandlungen zu Service-Level-Agreements angepeilt werden. Achten Sie auch auf den Bezugszeitraum: pro Monat, nicht pro Jahr. Bei 99,5 Prozent Verfügbarkeit bezogen auf das Jahr dürfte der Service etwa über 40 Stunden am Stück ausfallen, ohne dass eine Pflichtverletzung vorläge.

Sichern Sie die Regelungen zur Verfügbarkeit durch Vertragsstrafen, Minderung des zu zahlenden Entgelts und Kündigungsrechte ab. Außerdem sollte durch Audit-Rechte sichergestellt sein, dass die tatsächliche Verfügbarkeit korrekt gemessen wird. Achten Sie auch auf klare Eskalationsregelungen im Falle schwerwiegender oder nicht rechzeitig behobener Fehler. Bei zeitkritischen Diensten (Call-Center) sollten sich im Vertrag neben Mindestverfügbarkeitswerten auch Vorgaben zur Response-Time des Services finden.

Versteckte Kosten

Die Vorteile einer nutzungsabhängigen Vergütung (die etwa anhand der Zahl der Nutzer oder Transaktionen bestimmt wird) und niedrigerer Investitions- und Umstellungskosten können durch versteckte Kosten aufgefressen werden. Klären Sie folgende Fragen:

• Welche Kosten entstehen durch das Setup und die Individualisierung des Services (Konvertierung und Einspielung der Daten)? Mangels Erfahrung mit SaaS- Lösungen ist die Höhe dieser Kostenpositionen für den Kunden oft schwer abschätzbar. Lassen Sie sich im Zweifel Pauschalangebote geben.

• Welche Kosten entstehen bei einer Erhöhung oder Senkung des Nutzungsumfangs? Teilweise werden bei SaaS zwar niedrige Einstiegskosten offeriert, bei Erhöhung des Nutzungsumfangs sind die Konditionen dann aber unter Umständen vergleichbar mit denen einer on-premise-Lösung. Das ist, als müssten Sie in der U-Bahn für Haustiere jeweils ein zusätzliches Erwachsenenticket lösen. Schlecht, wenn Sie später einen Hund anschaffen wollen. Achten Sie auch darauf, ob bei einer späteren Reduzierung der Nutzung Kosten entstehen oder Einschränkungen gelten.

• Müssen Sie die Kosten tragen, wenn der Anbieter zusätzliche Hardware oder Speicherplatz bereitstellt, um den Dienst für Sie zu erbringen? Fragen Sie bei Positionen, die Ihnen fraglich erscheinen, ob der Anbieter die Kosten nicht ohnehin auf eine Vielzahl von Kunden verteilen kann.

• Welche Schulungs- und Supportleistungen (etwa User-Hotline) sind im Preis inbegriffen?

• Nimmt der Kunde an anbieterseitigen Updates und Upgrades der Software automatisch ohne Aufpreis teil? Teilweise verlangen Anbieter hierfür gesonderte Gebühren.

• Wer darf kundenseitig den Dienst in Anspruch nehmen? Von Interesse ist hier, ob Tochterunternehmen und Geschäftspartner eingeschlossen sind oder ob diese eigene Verträge mit dem Anbieter benötigen.

Datenschutz

Da beim SaaS-Modell die Anwendung und Datenbank off-premise beim Anbieter läuft, muss der Kunde seine Daten dem Anbieter anvertrauen (z.B. Mitarbeiterdaten oder Daten über Kunden). Dies ist in Verhandlungen oft ein heikler Punkt. Regelmäßig finden sich in SaaS-Verträgen Regelungen, dass diese Daten weiterhin dem Kunden "gehören" und der Anbieter die einschlägigen Datenschutzvorschriften beachtet. Das ist gut, reicht aber alleine nicht aus.

Anbieter und Kunden müssen zusätzlich einen Auftragsdatenverarbeitungsvertrag schließen. Dies kann durch Regelungen innerhalb des SaaS-Vertrages, in einem Anhang oder als gesonderter Vertrag erfolgen. Das Bundesdatenschutzgesetz (BDSG) schreibt vor, dass solche Verträge bestimmte Mindestregelungen enthalten. Hierzu gehört auch, dass festgelegt wird, unter welchen Bedingungen der Anbieter Unterauftragnehmer (wie externe Betreiber von Rechenzentren) einschalten darf. Außerdem verlangt das BDSG vertragliche Verpflichtungen für den Anbieter zu den von ihm konkret zu treffenden technischen und organisatorischen Maßnahmen zum Datenschutz. Die Anlage zu Paragraf 9 des BDSG zählt auf, was durch solche Maßnahmen sichergestellt werden muss. Gleichen Sie den Vertrag Ihres Anbieters mit diesem Anhang ab. Die mehr oder weniger bloße Wiedergabe des Anhangs reicht nicht aus. Das BDSG verlangt von Ihnen als Kunde zudem, dass Sie sich von der Einhaltung der vereinbarten Maßnahmen überzeugen. Dies können Sie nur, wenn entsprechende Audit-Rechte vertraglich vereinbart sind.

Die Regelungen zur Auftragsdatenverarbeitung sind schriftlich zu vereinbaren. Das bedeutet, dass beide Parteien auf demselben Schriftstück zu unterschreiben haben. Vorsicht also bei rein online, per Fax oder mittels getrenntem Angebot und Annahmeschreiben geschlossenen Verträgen. Holen Sie auch Expertenrat ein, wenn Sie Zweifel an der Einhaltung des Schriftformerfordernisses haben.

Zusätzliche Anforderungen gelten, wenn Ihr SaaS-Anbieter seinen Sitz außerhalb der EU hat oder Ihre Daten dort in einem Rechenzentrum verarbeitet. Es muss dann sichergestellt sein, dass beim Anbieter ein ausreichendes Datenschutzniveau sichergestellt ist. Für bestimmte Länder - wie die Schweiz oder Kanada - hat die EU-Kommission entschieden, dass das Datenschutzniveau dort ausreicht. US-Anbieter können durch eine sogenannte Safe-Harbor-Zertifizierung ein angemessenes Datenschutzniveau sicherstellen. Achten Sie in diesem Fall darauf, dass Ihr SaaS-Vertrag bestimmt, dass der Anbieter seine Zertifizierung (die jedes Jahr zu erneuern ist) aufrechterhält und Ihre Daten auch tatsächlich im sicheren Hafen liegen. Die Safe-Harbor-Zertifizierung kann nämlich auf bestimmte Arten von Daten beschränkt sein. Eine weitere Möglichkeit zur Sicherstellung eines angemessenen Datenschutzniveaus ist die Vereinbarung bestimmter Standardklauseln, die die EU-Kommission veröffentlicht hat. Gerne weichen Anbieter von unliebsamen Regeln ab. Sprechen Sie Ihren Anbieter auf etwaige Abweichungen an und fragen Sie in Zweifelsfällen bei der zuständigen Datenschutzbehörde, Ihrem betrieblichen Datenschutzbeauftragen oder einem Anwalt nach.

Professionelle Anbieter von SaaS-Lösungen, etwa Salesforce.com, heben sich durch vorbildliche Regelungen zum Datenschutz hervor und gehen mit den Datenschutzanliegen ihrer Kunden professionell um.

Das Ende der Laufzeit

Achten Sie darauf, dass Sie an einen SaaS-Vertrag nicht zu lange gebunden sind. Bei längeren Laufzeiten (über zwei Jahre) sollten eine nutzungsabhängige Vergütung und die Möglichkeit zur flexiblen Reduzierung des Nutzungsumfangs vorgesehen sein.

Besonders wichtig ist, vertraglich klar festzulegen, in welchem Zeitrahmen und unter welchen Bedingungen, insbesondere zu welchen Kosten, Sie am Ende der Laufzeit Ihre Daten zurückerhalten. Diese befinden sich im System des Anbieters, unter Umständen in einem proprietären Format. Stellen Sie sicher, dass Sie Ihre Daten wieder zur Verfügung haben, wenn Sie am Ende der Laufzeit den Anbieter oder das Modell wechseln wollen.