Image for the current article

Wer in Vertrieb, HR, Finance oder Marketing SaaS-Tools einsetzt - vom CRM über Marketing Automation bis zur HR-Software - verarbeitet zwangsläufig personenbezogene Daten in fremden Systemen. Damit sind Sie verantwortliche Stelle nach DSGVO und brauchen für jedes dieser Tools einen rechtssicheren Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement - DPA).

In diesem Leitfaden erhalten Sie:

  • eine praxisnahe Zusammenfassung von Art. 28 DSGVO für SaaS-Szenarien,
  • eine Checkliste für Inhalte des AVV inklusive TOMs, Subprozessoren, Auditrechten und Löschung,
  • einen Überblick zu internationalen Datentransfers (inkl. EU-US Data Privacy Framework und Standardvertragsklauseln - SCCs),
  • eine Musterstruktur für Ihren AVV und Formulierungsvorschläge,
  • und den Blick aus der Praxis: IT-Vertragsrecht + Datenschutzberatung aus einer Hand - wo Vectocon Sie unterstützen kann.

1. Warum der AVV bei SaaS-Tools geschäftskritisch ist

Aus Sicht von Geschäftsführung, CFO und Legal geht es um drei Punkte:

  1. Bußgeldrisiko reduzieren
    Fehlende oder unzureichende Auftragsverarbeitungsverträge sind ein Klassiker bei DSGVO-Prüfungen. Je nach Verstoß drohen empfindliche Bußgelder und Reputationsschäden.
  2. Verhandlungsposition sichern
    Viele internationale SaaS-Anbieter spielen Ihnen ein Standard-DPA zu. Ohne strukturierte Prüfung und Anpassung übernehmen Sie oft unnötige Risiken (z.B. bei Haftung, Löschung, Subprozessoren).
  3. Betriebliche Sicherheit
    Ein sauber verhandelter AVV hilft, Betriebsunterbrechungen, Streitigkeiten mit Kunden und internen Ad-hoc-Aktionen zu vermeiden - insbesondere, wenn Kunden eigene Datenschutzanforderungen stellen (z.B. im B2B-Enterprise-Segment).

Kurz: Ein sauberer Auftragsverarbeitungsvertrag ist kein "nice to have", sondern Teil Ihrer Compliance- und Enterprise-Sales-Strategie.

2. Wann brauchen Sie einen Auftragsverarbeitungsvertrag für SaaS-Tools?

Sie benötigen einen AVV nach Art. 28 DSGVO immer dann, wenn:

  • Ihr Unternehmen Verantwortlicher ist (z.B. Betreiber eines Online-Shops, eines B2B-SaaS, eines Produktionsunternehmens mit HR/CRM-System), und
  • ein externer Dienstleister personenbezogene Daten "im Auftrag" für Sie verarbeitet - typischerweise:
    • CRM-/Sales-Tools
    • Marketing-Automation und Newsletter-Systeme
    • HR-Software, Bewerbermanagement, Payroll-Plattformen
    • Ticketing- und Support-Systeme
    • Cloud-Storage, Collaboration Tools, Logging-/Monitoring-Lösungen mit Personenbezug.

Grenzfälle:

  • Eigenständige Verantwortlichkeit des SaaS-Anbieters (z.B. bestimmte Analytics-Dienste) vs. Auftragsverarbeitung muss im Einzelfall geprüft werden.
  • Gemeinsame Verantwortlichkeit (Joint Controllership) kann in speziellen Konstellationen auftreten (z.B. bestimmte Plattformmodelle). Hier genügt ein klassischer AVV nicht.

Wenn Sie unsicher sind, ob ein Tool Auftragsverarbeiter oder (Mit-)Verantwortlicher ist, ist dies meist der erste Punkt einer integrierten IT-Vertrags- und Datenschutzberatung.

3. Rechtlicher Rahmen: Art. 28 DSGVO für SaaS in 7 Kernelementen

Art. 28 DSGVO sagt vereinfacht: Wenn ein Auftragsverarbeiter (z.B. SaaS-Anbieter) personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, muss der Verantwortliche sicherstellen, dass der Dienstleister hinreichende Garantien für eine datenschutzkonforme Verarbeitung bietet - und dies vertraglich regeln.

Die wichtigsten Anforderungen für Ihren DSGVO-konformen DPA für SaaS:

  1. Schriftform / elektronische Form
    Der AVV muss schriftlich oder in einem elektronischen Format abgeschlossen werden (z.B. Klick-Wrap in Admin-Konsole ist möglich, wenn dokumentierbar).
  2. Bindung an Weisungen
    Der Anbieter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen. Abweichungen dürfen nur erfolgen, wenn das Recht des Mitgliedstaats oder der EU dies zwingend vorgibt.
  3. Vertraulichkeit
    Personen mit Zugang zu personenbezogenen Daten müssen zur Vertraulichkeit verpflichtet sein bzw. einer gesetzlichen Verschwiegenheitspflicht unterliegen.
  4. Technische und organisatorische Maßnahmen (TOMs)
    Der Auftragsverarbeiter muss geeignete TOMs nach Art. 32 DSGVO implementieren. Diese Maßnahmen müssen zumindest beschrieben und idealerweise in einem TOM-Anhang dokumentiert sein.
  5. Unterauftragsverarbeiter (Subprozessoren)
    Der AVV muss klar regeln, ob und wie der Auftragsverarbeiter Subunternehmer einsetzen darf (Zustimmung / Genehmigungsverfahren, Informationspflichten, Kette der Verpflichtungen).
  6. Unterstützungspflichten
    Der Dienstleister muss Sie unterstützen bei:
    • Wahrnehmung von Betroffenenrechten (Auskunft, Löschung, Einschränkung etc.),
    • Meldung von Datenschutzverletzungen,
    • Datenschutz-Folgenabschätzungen (DPIA).
  7. Löschung und Rückgabe
    Nach Beendigung der Auftragsverarbeitung müssen Daten - nach Wahl des Verantwortlichen - gelöscht oder zurückgegeben werden, es sei denn, gesetzliche Aufbewahrungsfristen sprechen dagegen.

Merke: Ein AVV ist kein "Nice-to-Read"-Anhang, sondern zentrales Compliance-Dokument, das bei Prüfungen und Kunden-Audits regelmäßig angefordert wird.

4. Must-have-Inhalte eines AVV für SaaS (Checkliste)

Für ein DSGVO DPA Muster für SaaS sollten Sie folgende Punkte strukturiert abarbeiten:

4.1 Basisinformationen zur Verarbeitung

  • Parteien (Verantwortlicher / Auftragsverarbeiter)
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung (z.B. CRM-Betrieb, Support, Hosting)
  • Kategorien der betroffenen Personen (Kunden, Leads, Mitarbeiter, Bewerber etc.)
  • Kategorien personenbezogener Daten (Stammdaten, Kommunikationsdaten, Trackingdaten, ggf. besondere Kategorien)

4.2 Weisungsrecht

  • Klare Regelung: Verarbeitung nur auf dokumentierte Weisung
  • Form der Weisung (z.B. Ticketing-System, E-Mail, Administrator-Portal)
  • Umgang mit aus Ihrer Sicht unzulässigen Weisungen (z.B. Pflicht zur Rückfrage)

4.3 Vertraulichkeit & Zugriffskontrolle

  • Vertraulichkeitsverpflichtung aller Mitarbeitenden und Subunternehmer
  • Beschreibung des Need-to-know-Prinzips (Zugriff nur, soweit erforderlich)
  • ggf. Verweis auf interne Policies / Code of Conduct des Anbieters

4.4 Technische und organisatorische Maßnahmen (TOMs)

  • Anhang mit detaillierter TOM-Beschreibung
  • Verpflichtung des Anbieters, Sicherheitsniveau aufrechtzuerhalten und bei wesentlichen Änderungen zu informieren
  • Klarstellung der Verantwortlichkeiten (z.B. Shared-Responsibility-Modell bei Cloud-Infrastruktur)

4.5 Subprozessoren

  • Erlaubnis, Subunternehmer einzusetzen, aber:
    • Transparente Liste der Subprozessoren (z.B. im Anhang oder via URL)
    • Mechanismus zur Information bei Änderungen (E-Mail, Dashboard)
    • Recht zum Widerspruch innerhalb bestimmter Fristen (praktikabel gestalten)
  • Verpflichtung des Auftragsverarbeiters, die Subunternehmer mindestens zu denselben Datenschutzpflichten zu verpflichten (Back-to-back).

4.6 Unterstützung bei Betroffenenrechten und DSGVO-Pflichten

  • Reaktionsfristen und Prozesse für:
    • Auskunfts- und Löschanfragen
    • Datenportabilität
    • Berichtigung
  • Unterstützung bei:
    • Datenschutzverletzungen (Breach-Meldungen mit klar definierten Timings)
    • Datenschutz-Folgenabschätzungen (DPIA)
    • Anfragen der Aufsichtsbehörden

4.7 Audit- und Kontrollrechte

  • Recht des Verantwortlichen auf Prüfung der Einhaltung der TOMs:
    • Einsicht in Zertifikate (ISO 27001, SOC 2 etc.)
    • Fragebögen, Remote-Audits
    • On-site-Inspektionen (realistisch handhabbar, z.B. mit Vorlauf, Frequenz, Kostenregelungen)
  • Nutzung von externen Gutachten / Audit-Reports als Nachweis (um Aufwand für beide Seiten zu reduzieren).

4.8 Meldung von Datenschutzverletzungen (Data Breaches)

  • Definierte Meldewege und Ansprechpartner
  • Fristen (z.B. "unverzüglich", konkretisiert mit Zielzeitfenster)
  • Inhalt der Meldung (Art des Vorfalls, betroffene Datenkategorien, betroffene Personen, erste Gegenmaßnahmen)

4.9 Löschung, Rückgabe und Datenportabilität

  • Verfahren bei Vertragsende:
    • Löschung auf allen Systemen inkl. Backups (ggf. mit Frist)
    • Herausgabe exportierbarer Datensätze in gängigen Formaten
  • Regelung zu Archiv- und Backup-Systemen und zu gesetzlichen Aufbewahrungspflichten.

4.10 Haftung & Regress

  • Abstimmung mit Hauptvertrag / MSA / SLA:
    • Gibt es eine Haftungskappung (Cap)?
    • Wie wird eine Mitverschuldens- oder Rückgriffssituation voneinander abgegrenzt (Art. 82 DSGVO)?
  • Klare Verteilung:
    • Wer haftet für welche Verarbeitungsschritte?
    • Wie wird mit behördlichen Bußgeldern umgegangen?

5. Technische und organisatorische Maßnahmen (TOMs): Was gehört in den Anhang?

Ein TOM-Anhang ist das Herzstück des AVV. Hier prüfen Aufsichtsbehörden und Enterprise-Kunden zuerst.

Typische TOM-Kategorien (an Art. 32 DSGVO angelehnt):

  1. Zutrittskontrolle
    Physische Sicherung von Rechenzentren und Büros (Zugangskarten, Besucherkontrolle).
  2. Zugangskontrolle
    • Authentifizierung (MFA, Passwort-Policy)
    • Rollen- und Rechtekonzepte
    • Protokollierung von Logins, Admin-Aktivitäten
  3. Zugriffskontrolle / Berechtigungskonzept
    • Rollenbasiertes Zugriffskonzept (RBAC)
    • Least-Privilege-Prinzip
    • Regelmäßige Rezertifizierung der Berechtigungen
  4. Weitergabekontrolle
    • Verschlüsselung bei Übertragung (TLS)
    • Absicherung von APIs
    • Logging von Datenexporten
  5. Eingabekontrolle
    • Protokollierung von Änderungen an Datensätzen
    • Audit-Logs, die Manipulationen nachvollziehbar machen
  6. Auftragskontrolle
    • Proceduren zur Trennung von Kundenprojekten
    • Dokumentation von Weisungen und deren Umsetzung
  7. Verfügbarkeitskontrolle
    • Backups und Restore-Tests
    • Notfallpläne, Disaster-Recovery-Konzepte