Freitag, 17. September 2010

SLA - gesicherte (?) Leistungsvereinbarung für SaaS

Viele Nutzer von Software Services (SaaS) glauben, sie seien auf der sicheren Seite, wenn sie einen Servicevertrag unterzeichnen können, in dem standardisierte Vereinbarungen zu definierten Serviceleistungen gemacht werden. Diese sogenannten Service Level Agreement (SLA) gelten als Indikator für einen qualitativ hochwertigen Service. Doch so einfach können wir es uns nicht machen. Wir haben uns schon ende der 90er Jahre mit solchen SLAs beschäftigt, weil wir damals glaubten, dass das Fehlen von guten SLAs einer der Hauptgründe für das mangelnde Vertrauen der Anwender in die Miete von Software war. Das damalige ASP-Konsortium, welches 2003 mit dem eco Verband der deutschen Internetindustrie verschmolz, hatte einen eigenen Arbeitskreis, der sich diesem Thema widmete. Vielleicht war das Hauptproblem, dass dieser Arbeitskreis eine Überrepräsentanz von Juristen hatte. Er kam auf jeden Fall nicht zu einem tauglichen Endergebnis.
Anders der Arbeitskreis ASP des Bitkom. Er kam mit deutlich geringerem juristischen Einsatz zu einem Ergebnis für SLAs.

SLA strangulieren kleine Anbieter

Als wir 2005 als neugegründetete Bitobito GmbH unser erstes Vertragsangebot machten wurden wir wahrhaftig vom Interessenten gefragt, ob wir auch allgemein und juristisch saubere SLAs hätten. Schnell zauberten wir die SLAs aus der Tasche. Glücklicherweise überprüften wir vorher, was wir dem Kunden da zeigen würden. Und kamen zu dem Schluss: bloß nicht! Schließlich wollten wir nicht vor Vertragsabschluss den Vertragsabschuss.

Der Kunde will keine komplexen SLA

Also entschieden wir uns, die SLA anzupassen und strichen heraus, was uns nicht passte. einerseits, weil wir als junges Unternehmen nicht alle Risiken auf uns nehmen konnten und wollten, die uns unsere Existenz hätten können - was auch nicht im Interesse des Auftraggebers lag. Aber auch, weil viele Punkte juristisch unverständlich oder furchteinflössend waren und einem juristisch nicht geschulten Kunden den Eindruck verschafften, er solle über den tisch gezogen werden.

Es gibt keine SLA Standards

Die Frage nach den allgemein anerkannten SLAs überbewertet die Bedeutung von standardisierten Leistungsvereinbarungen. Inzwischen hat sich bei vielen Interessenten die Erkenntnis durchgesetzt, dass eh nicht alle Risiken durch SLAs an den Anbieter zurückdelegiert werden können.

Es ist eine nette aber unrealistische Vorstellung, man könne ohne SLAs auskommen. Das kann keiner. Auf der anderen Seite jedoch ein Beispiel um Sinn und Unsinn dazustellen: wenn der SaaS-Anbieter eine Verfügbarkeit von sagen wir 99,9% garantiert, was sehr hoch ist und damit normalerweise auch nicht billig sein kann. Gleichzeitig steht in den SLAs, dass der Anbieter nachzuweisen hat in einem monatlichen Bericht, wie hoch die wirkliche Verfügbarkeit war. Jetzt sendet der Anbieter am Monatsende den Report, dass die Verfügbarkeit bei 99,943% lag, also besser als garantiert. Wie will der Kunde das kontrollieren? Woher weiß der Kunde, dass wirklich der in dem Vertrag beschriebenen gesamte Leistungszeitraum und die korrekte Stichprobe betrachtet wurde und nicht nur die einzige Stichprobe, für die es zufälligerweise sich so ergab.

Einfachheit zählt bei Software as a Service

Der gesamten Nutzen von SaaS ist in Frage gestellt, wenn der Kunde anfängt, sein eigenes Messsystem zu betreiben um die Verfügbarkeit und die korrekten Antwortzeiten so nach zu verfolgen, dass er im Falle eines unzufriedenstellenden Service auch genau feststellen kann, dass womöglich nicht eine Komponente, die der SaaS Anbieter gar nicht zu verantworten hat, die Ursache war.

Wie gesagt: dies soll kein Plädoyer gegen den Einsatz von SLAs sein, sie sind wichtige Vertragsbestandteile, sollten sich aber nicht auf standardisierte Angebote von Juristen und Verbände stützen. Je komplexer die SLAs sind, um so mehr schaden sie dem Image von SaaS. SaaS hat das Image, dass die Nutzung einfach einzurichten ist.

SLA akzepiert mit Double-Opt-In

Wer bitte schön liest wirklich und immer die Nutzungsbedingungen und Lizenzvereinbarungen, die akzeptiert werden mit einem Double-Opt-In ein Webportal mit SaaS? Und falls doch: wenn dann ein Update kommt: wird das auch gelesen? Wohl kaum! es ist doch eher so, dass der Nutzer entweder zufrieden ist und bleibt oder kündigt oder bleibt einfach fern.

So einfach geht das natürlich nicht im geschäftlichen Umfeld. Da ist man womöglich gezwungen, das Ausschreibungsportal des Ausschreibenden zu nutzen, um überhaupt die Chance für die Angebotsabgabe zu erhalten.

SLA sind kein Garantieversprechen für SaaS

Halten wir fest. SLA können keine Leistungserbringung garantieren. Und sie können im Falle der Unzufriedenheit - egal wie gut der Service war - nicht verhindern, dass die Kunden kündigen. Eine deutliche Vereinfachung wäre also, auf die Basic-SLAs verzichten zu können und stattdessen auf die allgemeinen Rechtsstandards verweisen zu können, z. B. dass bestimmte Arten von Daten (Steuerdaten, Personendaten) nicht im Ausland gespeichert werden.

Bundesamt für Sicherheit im Internet

Glücklicherweise arbeitet das BSI an derartigen Standards. wir wissen wohl, dass es sich dabei um einen Hygienefaktor handelt. Je sinnvoller ein Service ist, um so eher akzeptieren die Nutzer niedrigere Services und hoffen, dass mit ihren Daten verantwortlich umgegangen wird.