MünchenBerlinMo–Fr 08:30–18:30
DE / EN
Wirtschaftskanzlei
für den Mittelstand
StartseiteInsightsGewerblicher Rechtsschutz, IT-Recht & Datenschutz
Gewerblicher Rechtsschutz, IT & Datenschutz · Rechtsgebiet 5

SaaS- und Cloud-Verträge gestalten – Rechtslage und Optionen

SaaS- und Cloud-Verträge gestalten: Rechtslage, Fristen und anwaltliche Begleitung für den Mittelstand – BRANDT & FALK, München & Berlin.

Ein mittelständisches Softwareunternehmen lagert sein ERP-System in die Cloud aus. Der Anbieter stellt den Dienst sechs Stunden lang wegen eines Serverausfalls ein. Wer haftet? Welche Kündigungsrechte bestehen? Und welche Pflichten treffen die Geschäftsführung, wenn personenbezogene Kundendaten betroffen sind? Diese Fragen stellen sich täglich in hunderten deutschen Unternehmen – und sie sind juristisch weitaus vielschichtiger, als die schlanken Anbieter-AGBs vermuten lassen.

SaaS- und Cloud-Verträge sind überwiegend als Mietverträge im Sinne des BGB einzuordnen, ergänzt durch dienst- und werkvertragliche Elemente sowie datenschutzrechtliche Anforderungen nach der DSGVO. Für Geschäftsführer im Mittelstand ergibt sich daraus ein konkretes Haftungsrisiko: Wer Verträge unreflektiert akzeptiert, überträgt unternehmerische Kernrisiken auf die eigene Gesellschaft. Eine sorgfältige Vertragsgestaltung – vor Vertragsschluss, nicht danach – ist entscheidend, um Verfügbarkeitsgarantien, Datenlokalisierung und Exit-Rechte rechtssicher zu verankern.

Dieser Beitrag analysiert die zivilrechtliche Einordnung von Cloud-Verträgen, beleuchtet die typischen Schwachstellen in der Praxis, zeigt gestalterische Optionen entlang des BGB-Normsystems auf und gibt Geschäftsführern eine klare Orientierung für den nächsten Schritt.

Wie werden SaaS- und Cloud-Verträge rechtlich eingeordnet?

Die Frage der Vertragseinordnung ist kein akademisches Problem – von ihr hängt ab, welche gesetzlichen Gewährleistungsrechte, Kündigungsfristen und Haftungsmaßstäbe gelten, wenn zwischen Angebot und Wirklichkeit eine Lücke klafft. Die herrschende Meinung in Rechtswissenschaft und höchstrichterlicher Rechtsprechung behandelt SaaS-Verträge (Software-as-a-Service) und allgemeine Cloud-Computing-Leistungen bei dauerhafter Nutzungsüberlassung gegen wiederkehrende Vergütung als Mietverhältnisse nach §§ 535 ff. BGB. Die Software selbst wird nicht übereignet; der Nutzer erhält lediglich das Recht auf zeitweisen Gebrauch.

Diese Einordnung hat weitreichende Konsequenzen. Stellt der Cloud-Anbieter die vereinbarte Funktion nicht in der vertraglich geschuldeten Qualität bereit, liegt ein Mangel der Mietsache vor. Dem Nutzer stehen dann Minderungs-, Schadensersatz- und – unter besonderen Voraussetzungen – außerordentliche Kündigungsrechte zu. Gleichzeitig greifen die mietrechtlichen Vorschriften zur Kündigung: Für Dauerschuldverhältnisse ohne bestimmte Laufzeit gelten die Grundfristen des BGB, soweit keine Individualvereinbarung besteht.

Komplizierter wird die Einordnung, wenn der Anbieter zugleich Anpassung, Datenmigration oder spezifische Integration übernimmt. Hier entsteht ein gemischttypischer Vertrag mit werkvertraglichen Elementen (§§ 631 ff. BGB), was für die Gewährleistungsverjährung relevant ist: Die werkvertragliche Verjährungsfrist beträgt nach der Regelverjährung des BGB grundsätzlich drei Jahre gemäß § 195 BGB, beginnt aber nach § 199 BGB erst mit Schluss des Jahres der Entstehung des Anspruchs. Daneben stehen §§ 633 ff. BGB für mangelhafte Werkleistungen zur Verfügung.

In der Mandatspraxis sehen wir regelmäßig, dass Anbieter diese zivilrechtliche Differenzierung in ihren Standardbedingungen verwischen – zu ihrem eigenen Vorteil. Wer als Geschäftsführer eine solche Einheitsklausel unterzeichnet, ohne den Vertragstyp zu prüfen, gibt möglicherweise werkvertragliche Nacherfüllungsansprüche auf, ohne es zu bemerken.

Welche Regelungslücken entstehen durch Anbieter-AGBs typischerweise?

Standardisierte Cloud-AGBs optimieren einseitig die Position des Anbieters. Die drei kritischsten Regelungslücken, die uns in der Beratung immer wieder begegnen, betreffen Verfügbarkeit, Haftungsbegrenzung und Datenrückgabe.

Erstens: Verfügbarkeits-SLAs (Service Level Agreements – Dienstgütevereinbarungen). Viele AGBs formulieren Verfügbarkeitszusagen als bloße Zielwerte, nicht als rechtsverbindliche Leistungspflichten. Eine Klausel wie „angestrebte Verfügbarkeit von 99,5 %" begründet ohne ausdrückliche Einstandspflicht keinen Minderungsanspruch. Wer eine echte Verfügbarkeitsgarantie will, muss diese als vertragliche Hauptpflicht mit definierten Reaktionszeiten (Response Time), Wiederherstellungszeiten (Recovery Time Objective) und klaren Sanktionsmechanismen verankern.

Zweitens: Haftungsbeschränkungen. Anbieter-AGBs begrenzen die Haftung regelmäßig auf den Jahresbetrag der entrichteten Vergütung oder schließen mittelbare Schäden und entgangenen Gewinn vollständig aus. Im B2B-Bereich sind solche Klauseln nach der AGB-Inhaltskontrolle gemäß §§ 305 ff. BGB zwar grundsätzlich zulässig, stoßen jedoch an Grenzen, wenn grobe Fahrlässigkeit oder Vorsatz vorliegen (§ 309 Nr. 7 BGB analog für Unternehmer). Liegt ein Datenverlust durch nachweislich fahrlässige Sicherheitslücke des Anbieters vor, können solche Klauseln scheitern – aber nur, wenn der Nutzer die Beweislast erfüllen kann.

Drittens: Exit und Datenrückgabe. Was passiert mit den Unternehmensdaten, wenn der Vertrag endet – durch ordentliche Kündigung, Insolvenz des Anbieters oder Wechsel zu einem Wettbewerber? Schweigen die AGBs hier, entsteht faktischer Lock-in (Herstellerabhängigkeit). Weder das BGB noch spezielles IT-Recht verpflichten den Anbieter ohne vertragliche Regelung zur Datenherausgabe in einem portablen Format. Ein Exit-Protokoll mit definierten Formaten, Fristen und Übergabepflichten gehört daher in jede sorgfältige Vertragsgestaltung.

Welche datenschutzrechtlichen Pflichten treffen Geschäftsführer bei Cloud-Nutzung?

Sobald ein Unternehmen personenbezogene Daten über einen Cloud-Dienst verarbeitet – Kundendaten, Personalakten, Buchungsdaten –, ist die DSGVO unmittelbar anwendbar. Das Unternehmen ist dann Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO; der Cloud-Anbieter agiert als Auftragsverarbeiter. Dieser Unterschied ist fundamental: Der Verantwortliche haftet gegenüber Betroffenen und Aufsichtsbehörden, auch wenn der Fehler technisch beim Anbieter liegt.

Pflicht Nummer eins ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO. Fehlt dieser Vertrag, stellt jede Datenverarbeitung einen eigenständigen Datenschutzverstoß dar. Die Bußgeldrahmen der DSGVO sind erheblich: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 und 5 DSGVO).

Pflicht Nummer zwei betrifft die Drittlandübermittlung. Viele große Cloud-Anbieter verarbeiten Daten auch außerhalb der EU/des EWR – in den USA, in Asien, auf wechselnden Serverstandorten. Fehlt ein geeignetes Übermittlungsinstrument (angemessener Schutzstandard, Standardvertragsklauseln nach Art. 46 DSGVO oder eine Angemessenheitsentscheidung der Kommission), ist die Übermittlung rechtswidrig. Die Vereinbarung einer Datenlokalisierungsklausel (Data Residency Clause), die die Verarbeitung auf EU-Rechenzentren beschränkt, ist daher praxisbewährte Lösung.

Kommt es zu einer Datenpanne – einem unbefugten Zugriff, Verlust oder einer unbeabsichtigten Offenlegung – muss das verantwortliche Unternehmen die zuständige Aufsichtsbehörde binnen 72 Stunden informieren (Art. 33 DSGVO). Auf diese Frist hat der Geschäftsführer keinen Einfluss, wenn der AVV kein Incident-Response-Protokoll mit anbieterseitiger Meldepflicht enthält. Nach unserer Erfahrung ist genau diese Vertragslücke der häufigste Anlass für aufsichtsbehördliche Verfahren gegen mittelständische Unternehmen.

Gestaltungsoptionen: Was sollte ein rechtssicherer Cloud-Vertrag enthalten?

Ein rechtssicherer SaaS- oder Cloud-Vertrag ist kein Standardprodukt – er entsteht im Verhandlungsprozess zwischen den Interessen des Nutzers und den AGBs des Anbieters. Für Geschäftsführer mittelständischer Unternehmen empfehlen wir die folgende Schichtung der Vertragsgestaltung.

Leistungsbeschreibung und SLA als Primärpflichten: Die funktionale Leistungsbeschreibung und die Verfügbarkeitszusagen müssen vertraglich als Hauptleistungspflichten ausgestaltet sein, nicht als bloße Zielwerte. Konkret: definierte Verfügbarkeitsklassen (z. B. „Platin: 99,9 %, Gold: 99,5 %"), Reaktionszeiten je Störungsstufe, automatische Service-Credits bei Unterschreitung ohne gesonderte Rüge. Diese Mechanik ist beim Vertragsschluss zu verhandeln – im Schadensfall ist es zu spät.

Wird dies in Standardklauseln vereinbart, ist die AGB-Kontrolle zu beachten: Eine überraschende oder unangemessen benachteiligende Klausel im Sinne der §§ 305c, 307 BGB ist unwirksam. Das Recht auf Minderung (§ 536 BGB im Mietverhältnis) kann in B2B-Verhältnissen zwar modifiziert, aber nicht vollständig ausgeschlossen werden, wenn der Ausschluss zur unangemessenen Benachteiligung führt.

Haftungsrahmen: Soweit die Anbieter-AGB Haftung summenmäßig begrenzt, sollten individuelle Obergrenzen für definierte Schadensfälle (insbesondere Datenverlust, Betriebsausfall) ausgehandelt werden. Im B2B-Kontext ist die individualvertragliche Anhebung des Haftungsrahmens möglich – ein Vorteil gegenüber dem Verbraucherrecht, den viele Mittelständler nicht nutzen.

Subauftragnehmer-Kontrolle: Cloud-Anbieter setzen ihrerseits Sub-Auftragsverarbeiter ein. Der AVV muss eine Genehmigungspflicht für wesentliche Unterauftragnehmer enthalten; eine Generalklausel, die dem Anbieter unbeschränkte Weitergabe erlaubt, verstößt gegen Art. 28 Abs. 2 DSGVO.

Exit-Management: Mindestens 90 Tage vor Vertragsende sollte der Anbieter verpflichtet sein, alle Daten in einem gängigen, maschinenlesbaren Format bereitzustellen. Die Verpflichtung zur sicheren Löschung der Daten nach Übergabe, mit Nachweis, ergänzt das Exit-Protokoll.

Welche Risiken entstehen bei Vertragsschluss ohne anwaltliche Begleitung?

Die Versuchung ist verständlich: Der Anbieter schickt einen Link, der Nutzer klickt auf „Akzeptieren". Tausende Mittelständler schließen Cloud-Verträge auf diese Weise ab – und merken die Konsequenzen erst, wenn etwas schiefgeht. Was sind die realen Risiken?

Erstens: Der Betriebsausfall ohne Schadensersatzanspruch. Fällt ein Cloud-Dienst aus, der für die Produktion oder den Vertrieb zentral ist, entsteht wirtschaftlicher Schaden. Ohne vertragliche Verfügbarkeitsgarantie und Sanktionsmechanismus ist der Nutzer auf das allgemeine Leistungsstörungsrecht des BGB angewiesen – das setzt in der Regel Vertretenmüssen des Anbieters voraus und ist schwer zu beweisen.

Zweitens: Persönliche Haftung des Geschäftsführers. Verletzt das Unternehmen DSGVO-Pflichten, weil der Geschäftsführer keinen AVV abgeschlossen hat oder die 72-Stunden-Meldefrist versäumt, kann dies nicht nur bußgeldrechtliche Konsequenzen für die Gesellschaft haben, sondern im Innenverhältnis zur persönlichen Haftung des Geschäftsführers gegenüber der Gesellschaft führen – insbesondere bei GmbHs, wo § 43 GmbHG den Sorgfaltsmaßstab des ordentlichen Kaufmanns anlegt.

Drittens: Kündigungsfallen. Viele Cloud-Verträge enthalten automatische Verlängerungsklauseln mit kurzen Widerspruchsfristen von 30 oder 60 Tagen vor Ablauf der Vertragslaufzeit. Wird diese Frist versäumt, verlängert sich der Vertrag – häufig zu erhöhten Konditionen. Ob eine solche Klausel nach § 309 Nr. 9 BGB (bei Verbrauchern) oder nach § 307 BGB (im B2B-Kontext) unwirksam ist, hängt von der konkreten Ausgestaltung ab.

Viertens: Vendor Lock-in als strategisches Unternehmensrisiko. Was wie ein technisches Problem klingt, ist eine rechtliche Frage: Wenn Daten beim Anbieter liegen, ohne dass ein Herausgabeanspruch vertraglich gesichert ist, ist das Unternehmen strukturell abhängig. Diese Abhängigkeit begrenzt Verhandlungsmacht bei Preiserhöhungen und erzeugt erhebliche Wechselkosten.

Aus der Mandatspraxis

In einem aktuellen Mandat beriet die Kanzlei ein mittelständisches Handelsunternehmen mit rund 80 Mitarbeitern, das seinen gesamten Warenwirtschaftsbetrieb auf eine SaaS-Plattform eines europäischen Anbieters migriert hatte. Ausgangslage: Ein Serverausfall führte zu einem mehrtägigen Ausfall der Bestellabwicklung; gleichzeitig stellte eine Datenschutzprüfung fest, dass kein AVV existierte und Kundendaten auf Servern außerhalb der EU verarbeitet wurden. Vorgehen: Die Kanzlei analysierte die Vertragsstruktur, klärte die mietrechtliche Einordnung und die daraus folgenden Minderungsrechte, verhandelte mit dem Anbieter einen Nachtrag mit DSGVO-konformem AVV, EU-Datenlokalisierung und einem Exit-Protokoll und koordinierte die Datenschutzmeldung an die zuständige Landesbehörde innerhalb der gesetzlichen Frist. Ergebnis: Das Unternehmen schloss die DSGVO-Lücke, sicherte sich Schadensersatz für den Betriebsausfall im Rahmen der verhandelten Haftungsöffnung und ist nunmehr mit einem vertraglich gesicherten Exit-Recht für einen künftigen Anbieterwechsel gewappnet – ohne Aussagen über den Umfang des erzielten Betrags zu machen.

Internationale Sachverhalte: Was gilt bei US-amerikanischen oder asiatischen Cloud-Anbietern?

US-amerikanische Hyperscaler und asiatische Cloud-Plattformen dominieren den Markt. Für europäische Unternehmen entstehen dadurch spezifische rechtliche Fragestellungen, die über das BGB hinausgehen.

US-Recht: Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ermöglicht es US-Behörden unter bestimmten Voraussetzungen, auf Daten zuzugreifen, die ein US-Unternehmen im Ausland – auch auf EU-Servern – gespeichert hat. Dieser Zugriff kann in Konflikt mit der DSGVO und dem Bankgeheimnis treten. Für Unternehmen mit sensiblen Daten (Mandantenbeziehungen, Forschungs- und Entwicklungsdaten, Personalakten) ist die Frage des anwendbaren Rechts und des effektiven Schutzniveaus daher sorgfältig zu prüfen.

Gerichtsstandsvereinbarungen: Viele US-Anbieter-AGBs vereinbaren US-amerikanische Gerichtsstände und US-Recht als anwendbares Recht. Ob solche Klauseln gegenüber einem deutschen Unternehmen wirksam sind, richtet sich nach Art. 25 EuGVVO und der Rom-I-Verordnung. Grundsätzlich können Unternehmen im B2B-Bereich ausländisches Recht vereinbaren – jedoch mit Grenzen: zwingende Normen des deutschen Rechts, insbesondere die DSGVO, bleiben anwendbar.

Vertragssprache: Ein englischsprachiger Vertrag ist nicht automatisch nach englischem Recht zu beurteilen. Maßgeblich ist die Rechtswahlklausel. Fehlt sie, gilt die Rom-I-Verordnung, die auf das Recht des gewöhnlichen Aufenthalts des Dienstleisters verweist. In der Beratung stellen wir regelmäßig fest, dass mittelständische Unternehmen englischsprachige Vertragsdokumente akzeptieren, ohne die Rechtswahl geprüft zu haben. Das ist ein lösbares, aber zunächst unbemerktes Risiko.

Bei grenzüberschreitenden Sachverhalten mit US-amerikanischen oder asiatischen Anbietern arbeitet BRANDT & FALK mit qualifizierten Berufsträgern in der jeweiligen Jurisdiktion zusammen, ohne dabei die einheitliche Mandatsführung aus Deutschland zu verlieren.

Entscheidungsmatrix: Welcher Vertragstyp passt zu welcher Cloud-Nutzung?

Nicht jede Cloud-Nutzung erfordert denselben Vertragsrahmen. Die richtige Einordnung bestimmt Gewährleistungsregime und Gestaltungsbedarf. Eine strukturierte Übersicht:

Konstellation A – Reine SaaS-Nutzung (standardisierte Software, keine Anpassung): Vertragstyp → Miete (§§ 535 ff. BGB) · Gewährleistung → Mängel begründen Minderungs- und Schadensersatzansprüche · Empfehlung → SLA als Hauptpflicht verankern, Haftungsobergrenzen verhandeln, AVV abschließen.

Konstellation B – SaaS mit Customizing (individuelle Anpassung, Datenmigration, Integration): Vertragstyp → gemischter Vertrag, Schwerpunkt Werkvertrag (§§ 631 ff. BGB) für Anpassungsleistungen · Gewährleistung → werkvertragliche Nacherfüllung, Rücktritt, Minderung; Regelverjährung nach § 195 BGB drei Jahre · Empfehlung → klare Trennung zwischen Customizing-Leistung (Werkvertrag) und Dauerbetrieb (Mietvertrag) im Vertragswerk.

Konstellation C – Infrastructure-as-a-Service (IaaS; Bereitstellung von Rechenkapazität ohne Software): Vertragstyp → Dienstvertrag oder Miete je nach Ausgestaltung · Gewährleistung → begrenzter gesetzlicher Rahmen; vertragliche SLAs essenziell · Empfehlung → besondere Sorgfalt bei Datenlokalisierung und Redundanzpflichten; Exit-Protokoll mit Datenrückgabe in portierbarem Format.

Konstellation D – Hybride Multi-Cloud-Umgebungen: Vertragstyp → mehrere parallele Vertragsverhältnisse · Risiko → widersprüchliche Datenschutzklauseln, ungeklärte Verantwortlichkeit bei Datenpannen · Empfehlung → Master Services Agreement (Rahmenvertrag) mit einheitlicher Datenschutzarchitektur; zentrales Vertragsregister für alle Cloud-Beziehungen.

Praktische Checkliste: Vertragsgestaltung in sieben Schritten

Nach unserer Erfahrung mit mittelständischen Mandanten lässt sich die Vertragsgestaltung für SaaS- und Cloud-Dienste in einer strukturierten Folge von sieben Prüfschritten abbilden. Diese Schritte gelten sowohl bei Neuabschluss als auch bei der Verlängerung bestehender Verträge.

  1. Vertragstyp bestimmen: Miet-, Werk- oder Dienstvertrag? Klärung vor Beginn der Vertragsverhandlung, um das richtige gesetzliche Gewährleistungsregime zu kennen.
  2. Leistungsbeschreibung prüfen: Ist die Verfügbarkeit als Hauptpflicht ausgestaltet? Gibt es messbare Qualitätskriterien und Sanktionsmechanismen?
  3. Datenschutz-Layer absichern: AVV nach Art. 28 DSGVO abschließen, Drittlandübermittlung klären, Datenlokalisierungsklausel verhandeln, 72-Stunden-Meldepflicht des Anbieters vertraglich absichern.
  4. Haftungsrahmen verhandeln: Summenmäßige Haftungsbeschränkungen auf ein dem Risiko angemessenes Niveau anheben; Karve-outs für Datenverlust und grobe Fahrlässigkeit durchsetzen.
  5. Subauftragnehmer-Kontrolle einfordern: Genehmigungspflicht für wesentliche Unterauftragsverarbeiter verankern; Liste aktuell halten.
  6. Exit-Management regeln: Datenrückgabe in portablem Format, Löschpflicht mit Nachweis, Übergabefrist mindestens 90 Tage vor Vertragsende.
  7. Laufzeit und Verlängerungsklausel prüfen: Automatische Verlängerungen mit Widerspruchsfristen im Vertragsregister dokumentieren; Klauseln nach § 307 BGB auf Wirksamkeit prüfen lassen.

Sind diese sieben Schritte durchlaufen, ist das Fundament eines rechtssicheren Cloud-Vertrags gelegt. Was bleibt, ist die laufende Vertragspflege: Änderungen in den Anbieter-AGBs, neue DSGVO-Entscheidungen der Aufsichtsbehörden und technische Entwicklungen erfordern regelmäßige Überprüfung.

Die vorstehende Darstellung betrifft die Regelfälle der SaaS- und Cloud-Vertragsgestaltung nach deutschem Recht. Ihr konkreter Vertrag erfordert die Prüfung der individuellen Klauselstruktur, der einschlägigen Datenschutzanforderungen und der aktuellen Rechtsprechung. Für eine erste Durchsicht Ihrer Unterlagen erreichen Sie uns unter info@brandtfalk.com.

Verwandte Leistungen

Häufige Fragen zu SaaS- und Cloud-Verträgen

Welcher Vertragstyp liegt einem SaaS-Vertrag nach deutschem Recht zugrunde?

SaaS-Verträge werden überwiegend als Mietverträge nach §§ 535 ff. BGB eingeordnet, da die Software nicht übereignet, sondern nur zur zeitweisen Nutzung überlassen wird. Werden individuelle Anpassungsleistungen erbracht, entsteht ein gemischttypischer Vertrag mit werkvertraglichen Elementen. Die Einordnung bestimmt, welche Gewährleistungsrechte – Minderung, Nacherfüllung, Schadensersatz – im Störungsfall gelten. Sie sollte vor Vertragsschluss geprüft werden.

Ist ein Auftragsverarbeitungsvertrag (AVV) bei Cloud-Nutzung immer erforderlich?

Ja, sobald personenbezogene Daten über einen Cloud-Dienst verarbeitet werden, ist ein AVV nach Art. 28 DSGVO zwingend erforderlich. Fehlt er, liegt ein eigenständiger Datenschutzverstoß vor – unabhängig davon, ob es zu einer Datenpanne kommt. Der Bußgeldrahmen der DSGVO beträgt bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Geschäftsführer können im Innenverhältnis persönlich haftbar gemacht werden, wenn sie diese Pflicht fahrlässig versäumen.

Welche Frist gilt bei einer Datenpanne im Cloud-Betrieb?

Das verantwortliche Unternehmen muss die zuständige Datenschutzaufsichtsbehörde binnen 72 Stunden nach Bekanntwerden der Datenpanne informieren (Art. 33 DSGVO). Diese Frist läuft ab dem Zeitpunkt, zu dem das Unternehmen – nicht der Cloud-Anbieter – von der Panne Kenntnis erlangt. Ohne ein vertragliches Incident-Response-Protokoll, das den Anbieter zur unverzüglichen Meldung verpflichtet, droht die Frist abzulaufen, bevor das Unternehmen handeln kann.

Können Haftungsbeschränkungen in Cloud-AGBs wirksam vereinbart werden?

Im B2B-Bereich sind summenmäßige Haftungsbeschränkungen nach §§ 305 ff. BGB grundsätzlich zulässig. Grenzen bestehen bei Vorsatz und grober Fahrlässigkeit sowie bei Schäden aus der Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). Eine vollständige Haftungsfreizeichnung für Datenverlust oder Betriebsausfall ist in der Regel unwirksam, wenn sie den Vertragszweck gefährdet. Individuelle Verhandlungen können den Haftungsrahmen zugunsten des Nutzers deutlich ausweiten.

Was ist ein Exit-Protokoll und warum ist es notwendig?

Ein Exit-Protokoll regelt die geordnete Beendigung des Cloud-Vertragsverhältnisses: Datenrückgabe in portablem Format, sichere Löschung beim Anbieter mit Nachweis sowie Fristen für die Übergabe. Ohne eine solche Regelung entsteht faktischer Vendor Lock-in – das Unternehmen ist bei Anbieterwechsel oder Kündigung auf die Kooperationsbereitschaft des Anbieters angewiesen. Das BGB sieht keine automatische Pflicht zur Datenherausgabe in einem bestimmten Format vor; die Regelung muss daher individualvertraglich getroffen werden.

Was gilt bei Cloud-Diensten mit Servern außerhalb der EU?

Werden personenbezogene Daten auf Servern außerhalb der EU oder des EWR verarbeitet, liegt eine Drittlandübermittlung vor. Ohne geeignetes Übermittlungsinstrument – Standardvertragsklauseln nach Art. 46 DSGVO, Angemessenheitsentscheidung der EU-Kommission oder verbindliche interne Datenschutzvorschriften – ist diese Übermittlung rechtswidrig. Eine vertragliche Datenlokalisierungsklausel, die die Verarbeitung auf EU-Rechenzentren beschränkt, ist die praktisch bewährteste Lösung für Unternehmen ohne spezifisches Drittlandmanagement.

Welche Rolle spielen automatische Verlängerungsklauseln in Cloud-Verträgen?

Automatische Verlängerungsklauseln sind in Cloud-AGBs häufig mit kurzen Widerspruchsfristen ausgestaltet. Im B2B-Bereich unterliegen sie der AGB-Inhaltskontrolle nach § 307 BGB. Ob eine konkrete Klausel wirksam ist, hängt von Laufzeit, Verlängerungsdauer und Widerspruchsfrist im Zusammenspiel ab. Wer die Frist versäumt, verlängert den Vertrag – häufig zu aktualisierten, teureren Konditionen. Ein zentrales Vertragsregister mit Wiedervorlage für Kündigungsfristen ist daher unverzichtbar.

Wie unterscheidet sich die Haftungslage zwischen SaaS und IaaS?

Bei SaaS-Verträgen schuldet der Anbieter eine funktionsfähige Anwendung; Störungen begründen Mängelrechte. Bei IaaS (Infrastructure-as-a-Service – Bereitstellung von Rechenkapazität) stellt der Anbieter nur Infrastruktur bereit; für die Konfiguration, Sicherheit und Applikationsschicht ist der Nutzer selbst verantwortlich. Das Gewährleistungsregime ist damit enger; vertragliche SLAs und Verfügbarkeitsgarantien sind bei IaaS noch wichtiger, weil das gesetzliche Schutznetz dünner ist.

BRANDT & FALK Rechtsanwälte ist eine unabhängige Wirtschaftskanzlei mit Sitz in München und Berlin. Die Kanzlei berät den deutschen Mittelstand bundesweit in IT-Recht, Datenschutz (DSGVO), gewerblichem Rechtsschutz sowie der Gestaltung und Verhandlung von SaaS- und Cloud-Verträgen. Bei grenzüberschreitenden Sachverhalten arbeiten wir mit qualifizierten Berufsträgern in der jeweiligen Jurisdiktion zusammen. Zu den Stärken der Kanzlei zählen die enge Vernetzung mit technischen Sachverständigen sowie die langjährige Begleitung mittelständischer Unternehmen in digitalisierten Beschaffungsprozessen. Kontakt: info@brandtfalk.com.

Verfasst von Dr. Philipp Sander · fachlich geprüft von Stephan Köhler

Die vorstehende Analyse betrifft typische Gestaltungskonstellationen bei SaaS- und Cloud-Verträgen. Ihr konkreter Fall erfordert die Prüfung der individuellen Vertragsdokumente, der Datenschutzarchitektur und der einschlägigen Rechtsprechung. Für eine erste Durchsicht Ihrer Unterlagen erreichen Sie uns unter info@brandtfalk.com.

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Er ersetzt nicht die anwaltliche Prüfung Ihres konkreten Sachverhalts. Für eine auf Ihre Situation zugeschnittene Beratung wenden Sie sich an info@brandtfalk.com.

Sprechen wir über Ihren Fall

Für eine erste Einschätzung schreiben Sie an info@brandtfalk.com.

Fall schildern

Dieser Beitrag ist eine allgemeine Information und stellt keine Rechtsberatung dar. Für eine Prüfung Ihres Falls kontaktieren Sie info@brandtfalk.com.