EU-Grenzen beachten

Soll die SaaS-Anwendung die Übertragung und Verarbeitung personenbezogener Daten beispielsweise beim Einsatz von HR-Anwendungen unterstützen, so sind dem rechtlich Grenzen gesetzt, wenn sich die Server des SaaS-Providers außerhalb der EU befinden. Neben diesen datenschutzrechtlichen Gesichtspunkten ist zu überlegen, wie gesetzliche Archivierungspflichten erfüllt werden können, wenn insbesondere Handels- und Geschäftsbriefe mit der gehosteten Software erstellt und verarbeitet werden sollen. Allein der Ausdruck – von E-Mails etwa – genügt nicht, vielmehr sind die digitalen Unterlagen zu archivieren. Die digitale Sicherung kann natürlich durch den Provider erfolgen. Neben den dann zu beachtenden Datenschutzbestimmungen ist dabei auch sicherzustellen, dass der Kunde auf die gesicherten Daten im Rahmen einer Außenprüfung ohne zeitraubende Hindernisse zugreifen kann. Schließlich sollte sich der Kunde auch immer die Frage stellen, ob die Nutzung einer Standardanwendung auf längere Sicht seinen Bedürfnissen gerecht wird. Ist nicht auszuschließen, dass ein Customizing der Software an veränderte betriebliche Bedürfnisse während der Vertragslaufzeit erforderlich wird, sollte der Vertrag entsprechende Regelungen vorsehen.

Dr. Antje Zimmerlich ist Rechtsanwältin bei DLA Piper UK LLP, München