Christian M. Imhof, Der ASP-Vertrag,Schulthess 2008, 229 Seiten,ISBN/ISSN: 978-3-7255-5727-1,68 Franken
Informatikleistungen, wie Software as a Service (Saas), Managed Services und Cloud Computing werden von den Juristen gewöhnlich im Begriff Application Service Providing, kurz ASP zusammengefasst. Typisch für ein ASP ist, dass eine Informatikleistung nicht vor Ort erbracht wird, sondern über eine Datenleitung, in der Regel das Internet. Es handelt sich also um eine Ferndienstleistung. Beim Saas kommt dazu, dass Software nicht vor Ort installiert ist, sondern ebenfalls über eine Datenleitung auf einem anderen Server ausgeführt wird. Rechtlich relevant ist zudem, dass im Rahmen eines ASP regelmässig Personendaten an den Provider übermittelt werden, zur eigenen Bearbeitung auf dem Server des Providers oder zur Bearbeitung durch den Provider selbst.
Oft gehen Juristen beim ASP von einem Mietvertrag aus. Sogar der Deutsche Bundesgerichtshof (BGH) urteilte, beim ASP-Vertrag handle es sich um ein Mietverhältnis. In der Schweiz gibt es noch keine einschlägige Rechtsprechung zum Thema.
Die Sache ist jedoch differenzierter zu betrachten. Der BGH geht in seinem Urteil davon aus, dass es sich beim ASP um das Zurverfügungstellen einer Software über eine Datenleitung auf dem Server des Providers handelt. Das ASP umfasst aber je länger je mehr eine viel grössere Vielfalt von Informatikleistungen. Dabei bildet die Software-Miete oft den Kern. Darüber hinaus bietet der Provider z.B. eine Anpassung der Software an die individuellen Bedürfnisse des Kunden (Customizing) und/oder eine Software-Pflege an, er verpflichtet sich zur Datensicherung (Backup) oder er übernimmt vielleicht sogar die Bearbeitung von vom Kunden zur Verfügung gestellten Daten. Schlussendlich kann ein ASP z.B. für den Fall des Konkurses des Providers mit einer Hinterlegung des Source-Codes (Software Escrow Agreement) abgesichert werden. Damit wird aus einem ASP ein sogenannter gemischter Vertrag, bestehend aus auftragsrechtlichen, werkvertragsrechtlichen und/oder mietvertragsrechtlichen Elementen. Für die rechtliche Beurteilung werden in der Folge die entsprechenden Gesetzesbestimmungen zugezogen.
Der ASP-Vertrag ist grundsätzlich ein herkömmlicher Informatikvertrag, der aus einem oder mehreren Verträgen besteht, z.B. einem Software-Mietvertrag. Für das ganze Vertragsverhältnis geltende Bestimmungen können auch in einem Rahmenvertrag geregelt werden.
Wichtig für den ASP-Vertrag sind Vorkehrungen, die spezielle Risiken, die mit einem ASP verbunden sind, bereits vertragsrechtlich reduzieren. Aus Sicht des Kunden eines ASP ergeben sich die Risiken vor allem aus dem Umstand, dass er mit zunehmender Virtualität die Kontrolle über Teile seiner Geschäftstätigkeit und seiner Geschäftsdaten verliert. Zudem erfolgen die Dienstleistungen über eine Datenleitung, die in der Regel von einem Dritten zur Verfügung gestellt wird.
Gerade weil die Umstände die Sache schwer fassbar machen, ist es umso wichtiger, dass die Leistungen des Anbieters, aber auch die Mitwirkungspflichten des Kunden (z.B. Datenlieferung, eigenes Backup) umso genauer umschrieben werden. Dazu gehört auch die Definition von Begriffen, die möglicherweise nicht jedermann klar sind. Wichtig ist die genaue Umschreibung des Vertragsgegenstandes auch für die allfällige spätere Geltendmachung von Mängeln. Typisch für ASP-Verträge ist die Vereinbarung des Zugangs zum System des Providers betreffend Zeiten, aber auch Datenvolumen. Dabei ist es üblich, dass keine einhundert Verfügbarkeit von Seiten des Providers garantiert wird. Zu beachten ist diesbezüglich, dass schon eine Reduktion von ein, zwei Prozenten je nach Tageszeit zu beträchtlichen Störungen führen kann. Von Seiten des Providers müssen auch Zeitfenster für die Wartung vorgesehen werden.
Eine Motivation für die Wahl des ASP-Modells ist die Reduktion der fixen Kosten. Angestrebt werden damit flexible Preismodelle und voraussehbare Kosten. Aus rechtlicher Sicht ist darauf zu achten, dass die erhobenen Gebühren zeit- und/oder volumenabhängig (pay as you go) oder pauschal sind und dass nur so viele Leistungen bezogen werden müssen, wie gerade notwendig bzw. die Leistungen möglichst kurzfristig gekündigt werden können.
Da Dienstleistungen im Bereich der Informatik auch für die Anbieter mit grossen Risiken verbunden sind, tendieren die ASPs dazu, Gewährleistung und Haftung mindestens teilweise wegzubedingen.
Die Sach- und Rechtsgewährleistung kann gemäss schweizerischem Recht komplett wegbedungen werden, da die entsprechenden Gesetzesartikel nur zur Anwendung kommen, wenn nichts anderes vereinbart wird. Sach- und Rechtsgewährleistung ist das Einstehen für funktionelle oder rechtliche Mängel. Die Haftung, d.h. das Einstehen für Schaden, kann dagegen gemäss Art. 100 des Obligationenrechtes lediglich für leichte Fahrlässigkeit bzw. Sorgfaltspflichtverletzung wegbedungen werden. Nach dem Grundsatz von Treu und Glauben wird von den Gerichten möglicherweise auch eine im Informatikrecht oft praktizierte Beschränkung der Haftung auf einen Betrag, der in einem vernünftigen Verhältnis zum Gesamtvolumen des gesamten Service-Packages steht, akzeptiert.
Für Risiken, für die der Service Provider nicht haften will oder kann oder für Restrisiken, können die Parteien zudem den Abschluss einer speziellen Haftpflichtversicherung vereinbaren, an deren Prämien sich der Kunde allenfalls ebenfalls beteiligt.
Im Verhältnis zu den herkömmlichen Informatikleistungen nimmt das Risiko der Verletzung von Datenschutzvorschriften mit dem ASP-Vertrag stark zu. Denn im Rahmen des ASP-Vertrages werden praktisch immer Daten an den Provider übermittelt. Davon fallen aber lediglich die Daten, die einen Bezug zu einer natürlichen oder juristischen Person aufweisen, unter den Datenschutz.
Auch wenn der Kunde seine Personendaten an den Anbieter übermittelt, sei es zur eigenen Bearbeitung auf dessen Server, sei es zur Bearbeitung durch diesen, bleibt der Kunde in der Schweiz als Inhaber der Daten für die Einhaltung der schweizerischen Datenschutzbestimmungen verantwortlich. Er muss dafür besorgt sein, dass die Daten auch im Bereich des Providers datenschutzkonform bearbeitet werden. Dies bedingt, dass der Kunde beim Anbieter selbst Audits durchführen, dass der Provider regelmässige Datenschutz-Audits nachweisen kann oder über einen unabhängigen Datenschutzbeauftragten verfügt.
Erbringt der Service Provider seine Dienstleistungen ausserhalb der Schweiz, muss gemäss den schweizerischen Datenschutzbestimmungen geprüft werden, ob der entsprechende ausländische Staat ebenfalls einen angemessenen Datenschutz gewährt. Das trifft insbesondere auf alle Mitgliedstaaten der EU zu. Ein US-amerikanischer Partner, an den die Daten von der Schweiz aus gesendet werden, muss sich zu den Grundsätzen des Safe Harbor Agreement bekennen (siehe www.edoeb.admin.ch).
Wie bei der herkömmlichen Lizenzierung von Software, die einer Softwarepflege durch einen Service Provider bedarf, ist es unter Umständen auch im Rahmen eines ASP-Verhältnisses ratsam, den Entwickler der Software zu einer Hinterlegung des Source-Codes und der entsprechenden Dokumentation zu verpflichten, für den Fall, dass die Software vom Entwickler und vom Service Provider nicht mehr gepflegt werden kann oder die Pflege eingestellt wird. Dies geschieht im Rahmen eines separaten Software Escrow Agreement zwischen dem Entwickler, einem Agenten, bei dem der Source- Code plus Dokumentation hinterlegt wird (z.B. Rechtsanwalt, Treuhänder) und dem Kunden.
ASP-Verträge sind in der Regel Verträge, die für langfristige Verhältnisse konzipiert werden. Aus diesem Grund sind im ASP-Vertrag Prozesse zu vereinbaren, wie die Parteien auf veränderte Verhältnisse reagieren, ohne den Vertrag als Ganzes zu gefährden, da es oft bei entsprechenden Situationen zu Meinungsverschiedenheiten kommt. Solche Auseinandersetzungen sind erfahrungsgemäss am besten so zu lösen, dass die Probleme zuerst projektintern bzw. unternehmensintern auf verschiedenen Ebenen erörtert werden (Projektverantwortliche, Geschäftsleitungen, Verwaltungsräte). Für den Fall, dass intern keine Lösung gefunden werden kann, kann zum Voraus ein externer Vermittler bzw. Mediator (Informatikfachmann, Rechtsanwalt mit Spezialisierung Technologierecht) bestimmt werden. Sollte auch dies nicht zu einer Lösung des Problems führen, kann vor dem regelmässig ruinösen Gang ans staatliche Gericht die zwingende Vorlegung der Sache an ein Schiedsgericht mit entsprechenden Fachleuten (Informatiker, Juristen) vorgesehen werden. Ein solches Schiedsgericht bietet z.B. die UN-Weltorganisation für Geistiges Eigentum mit Sitz in Genf an (siehe www.arbiter.wipo.int).
Vor allem, wenn der Service Provider seine Dienstleistungen vom Ausland her erbringt, wird er im ASP-Vertrag den Gerichtsstand an seinem Sitz im Ausland vereinbaren wollen. Das bedeutet für den Kunden, dass er am Sitz des Service Provider im Ausland beklagt werden kann bzw. dort gegen den Service Provider klagen müsste. Ein Prozess im Ausland ist jedoch in der Regel für den Kunden sowohl finanziell, wie taktisch sehr ungünstig. Wenn immer möglich, sollte der Kunde darauf achten, dass er mindestens den Service Provider auch am Sitz des Kunden einklagen kann.
Nicht zu vergessen ist im Zusammenhang mit dem ASP auch die Vereinbarung mit dem Access Provider, der die Datenleitung bzw. deren Zugang zur Verfügung stellt. Das kann, muss aber nicht derselbe sein, wie der des Service Provider. Diese Vereinbarung ist unbedingt auf die Vereinbarung mit dem Service Provider abzustimmen, da der beste ASP-Vertrag nichts nützt, wenn es keinen oder keinen gesicherten bzw. zuverlässigen Zugang zum System des Service Provider gibt. Der Service Provider seinerseits tut gut daran, die Haftung für leitungsbasierte Ausfälle abzulehnen.
· Software as a Service (Saas), Managed Services, Cloud Computing und andere virtuelle Informatikdienstleistungen werden von den Juristen im Application Service Providing (ASP) zusammengefasst.
· Die Risiken für den Nachfrager sind erheblich und liegen im Verlust der Kontrolle über einen Teil seiner Geschäftstätigkeit und seine Geschäftsdaten.
· Spezielle Regelungen im Service-Vertrag, insbesondere zur Haftung, zum Datenschutz, zur Source-Code-Hinterlegung und zum Gerichtsstand, vermeiden böse Überraschungen.
