IT-Vertragsrecht: Rechtssichere Software-Verträge im Zeitalter von SaaS und KI

Die Digitalisierung hat die Art und Weise, wie Unternehmen Software beschaffen und nutzen, grundlegend verändert. Statt Lizenzen zu kaufen, mieten immer mehr Firmen Anwendungen als "Software as a Service" (SaaS). Gleichzeitig werden KI-Funktionen in nahezu jede Business-Software integriert. Diese Entwicklungen stellen das IT-Vertragsrecht vor neue Herausforderungen.

Von der Lizenz zur Subscription: Ein Paradigmenwechsel

Der klassische Softwarekauf mit einmaliger Lizenzgebühr und unbefristetem Nutzungsrecht ist ein Auslaufmodell. Heute dominieren Subscription-Modelle, bei denen Unternehmen monatliche oder jährliche Gebühren für die Nutzung cloud-basierter Dienste zahlen. Microsoft 365, Salesforce, SAP S/4HANA Cloud – die Liste der SaaS-Angebote ist lang.

Für Unternehmen hat dies weitreichende Konsequenzen. Anders als bei gekaufter Software besteht bei SaaS-Verträgen eine dauerhafte Abhängigkeit vom Anbieter. Wird der Vertrag gekündigt oder der Dienst eingestellt, verliert das Unternehmen den Zugang zu seinen Daten und Prozessen. Diese "Vendor Lock-in"-Problematik erfordert sorgfältige vertragliche Absicherung.

Kritische Vertragsklauseln bei SaaS-Verträgen

Bei der Prüfung von SaaS-Verträgen verdienen mehrere Klauseln besondere Aufmerksamkeit. Die Service Level Agreements (SLAs) definieren die zugesicherte Verfügbarkeit und Reaktionszeiten bei Störungen. Hier sollten konkrete Prozentwerte (etwa 99,9 Prozent Verfügbarkeit) und Kompensationsregelungen bei Unterschreitung vereinbart werden.

Ebenso wichtig sind die Regelungen zur Datenmigration und zum Datenexport. Was geschieht mit den Unternehmensdaten, wenn der Vertrag endet? In welchem Format werden die Daten bereitgestellt? Wie lange hat das Unternehmen Zeit für die Migration? Diese Fragen sollten vor Vertragsschluss geklärt sein.

Auch die Änderungsvorbehalte des Anbieters sind kritisch zu prüfen. Viele SaaS-Verträge erlauben dem Anbieter, Funktionen zu ändern oder einzustellen. Für geschäftskritische Anwendungen kann dies problematisch sein – hier sollten Bestandsschutzklauseln ausgehandelt werden.

KI-Klauseln: Neue Anforderungen an IT-Verträge

Mit der zunehmenden Integration von KI in Business-Software entstehen neue vertragliche Fragestellungen. Wer haftet, wenn eine KI-gestützte Entscheidung zu Schäden führt? Wer ist verantwortlich für die Einhaltung der KI-Verordnung? Wie werden die Trainingsdaten der KI geschützt?

Moderne IT-Verträge sollten klare Regelungen zu diesen Fragen enthalten. Dazu gehört die Festlegung, welche KI-Funktionen im Dienst enthalten sind und wie diese klassifiziert werden (Normal- vs. Hochrisikosystem). Auch die Verteilung der Compliance-Pflichten zwischen Anbieter und Nutzer sollte explizit geregelt sein.

Ein weiterer Aspekt betrifft die Nutzung von Kundendaten für das Training von KI-Modellen. Viele Anbieter behalten sich vor, anonymisierte Nutzungsdaten zur Verbesserung ihrer KI zu verwenden. Unternehmen sollten prüfen, ob dies mit ihren Datenschutzrichtlinien und Vertraulichkeitsverpflichtungen vereinbar ist.

Open-Source-Komponenten und Lizenzrisiken

Ein oft unterschätztes Risiko betrifft die Verwendung von Open-Source-Software. Viele kommerzielle Anwendungen basieren auf Open-Source-Komponenten, die eigene Lizenzbedingungen mitbringen. Einige dieser Lizenzen – etwa die GNU General Public License (GPL) – können weitreichende Pflichten auslösen, wenn die Software verbreitet oder modifiziert wird.

Unternehmen sollten von ihren Software-Lieferanten eine vollständige Auflistung der verwendeten Open-Source-Komponenten und deren Lizenzen verlangen. Diese "Software Bill of Materials" (SBOM) ermöglicht eine Risikoeinschätzung und ist zunehmend auch aus Cybersecurity-Gründen relevant.

Vertragsmanagement als strategische Aufgabe

Angesichts der Komplexität moderner IT-Verträge wird das Vertragsmanagement zur strategischen Aufgabe. Unternehmen sollten einen zentralen Überblick über alle IT-Verträge, deren Laufzeiten und Kündigungsfristen behalten. Automatisierte Erinnerungen vor Vertragsverlängerungen ermöglichen rechtzeitige Nachverhandlungen.

Auch die regelmäßige Überprüfung bestehender Verträge ist wichtig. Ändern sich die rechtlichen Rahmenbedingungen – etwa durch die KI-Verordnung –, müssen möglicherweise Vertragsanpassungen ausgehandelt werden. Eine proaktive Herangehensweise vermeidet böse Überraschungen.

Quellen:

[1] PSP München: "Was die KI-Verordnung für den deutschen Mittelstand bedeutet" (20.01.2026)

[2] Datenschutzberater NRW: "Compliance als Grundlage für sichere IT-Anwendungen" (19.01.2026)

[3] Handelsblatt: "Datenschutzfreundliche KI-Lösungen" (20.01.2026)

Anzeige

IT-Recht mit Pole Position: Rechtssichere Verträge für die digitale Welt

Die Rechtsanwaltskanzlei Mensing bietet umfassende Beratung im IT-Recht – von der Vertragsgestaltung über die Prüfung von AGB bis zur Durchsetzung von Ansprüchen bei Leistungsstörungen. Das Team verbindet juristische Expertise mit technischem Verständnis und begleitet Unternehmen durch alle Phasen der IT-Beschaffung.

Ob SaaS-Verträge, Lizenzvereinbarungen oder KI-spezifische Klauseln – die Kanzlei sorgt dafür, dass Ihre IT-Verträge den aktuellen rechtlichen Anforderungen entsprechen und Ihre Interessen schützen. Mit Standorten in Stadtlohn, Gescher, Heek und Osnabrück ist sie ein verlässlicher Partner für den deutschen Mittelstand.

Kontakt: [email protected] | www.recht-mensing.de