Auftragsverarbeitungsvertrag (AVV) für SaaS-Tools: DSGVO-Checkliste und Muster - Vectocon

Auftragsverarbeitungsvertrag (AVV) für SaaS-Tools: DSGVO-Checkliste und Muster

On this page

Image for the current article

Wer in Vertrieb, HR, Finance oder Marketing SaaS-Tools einsetzt – vom CRM über Marketing Automation bis zur HR-Software – verarbeitet zwangsläufig personenbezogene Daten in fremden Systemen. Damit sind Sie verantwortliche Stelle nach DSGVO und brauchen für jedes dieser Tools einen rechtssicheren Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement – DPA).

In diesem Leitfaden erhalten Sie:

  • eine praxisnahe Zusammenfassung von Art. 28 DSGVO für SaaS-Szenarien,
  • eine Checkliste für Inhalte des AVV inklusive TOMs, Subprozessoren, Auditrechten und Löschung,
  • einen Überblick zu internationalen Datentransfers (inkl. EU‑US Data Privacy Framework und Standardvertragsklauseln – SCCs),
  • eine Musterstruktur für Ihren AVV und Formulierungsvorschläge,
  • und den Blick aus der Praxis: IT-Vertragsrecht + Datenschutzberatung aus einer Hand – wo Vectocon Sie unterstützen kann.

1. Warum der AVV bei SaaS-Tools geschäftskritisch ist

Aus Sicht von Geschäftsführung, CFO und Legal geht es um drei Punkte:

  1. Bußgeldrisiko reduzieren
    Fehlende oder unzureichende Auftragsverarbeitungsverträge sind ein Klassiker bei DSGVO-Prüfungen. Je nach Verstoß drohen empfindliche Bußgelder und Reputationsschäden.
  2. Verhandlungsposition sichern
    Viele internationale SaaS-Anbieter spielen Ihnen ein Standard-DPA zu. Ohne strukturierte Prüfung und Anpassung übernehmen Sie oft unnötige Risiken (z.B. bei Haftung, Löschung, Subprozessoren).
  3. Betriebliche Sicherheit
    Ein sauber verhandelter AVV hilft, Betriebsunterbrechungen, Streitigkeiten mit Kunden und internen Ad-hoc-Aktionen zu vermeiden – insbesondere, wenn Kunden eigene Datenschutzanforderungen stellen (z.B. im B2B-Enterprise-Segment).

Kurz: Ein sauberer Auftragsverarbeitungsvertrag ist kein „nice to have“, sondern Teil Ihrer Compliance- und Enterprise-Sales-Strategie.

2. Wann brauchen Sie einen Auftragsverarbeitungsvertrag für SaaS-Tools?

Sie benötigen einen AVV nach Art. 28 DSGVO immer dann, wenn:

  • Ihr Unternehmen Verantwortlicher ist (z.B. Betreiber eines Online-Shops, eines B2B-SaaS, eines Produktionsunternehmens mit HR/CRM-System), und
  • ein externer Dienstleister personenbezogene Daten „im Auftrag“ für Sie verarbeitet – typischerweise:
    • CRM-/Sales-Tools
    • Marketing-Automation und Newsletter-Systeme
    • HR-Software, Bewerbermanagement, Payroll-Plattformen
    • Ticketing- und Support-Systeme
    • Cloud-Storage, Collaboration Tools, Logging-/Monitoring-Lösungen mit Personenbezug.

Grenzfälle:

  • Eigenständige Verantwortlichkeit des SaaS-Anbieters (z.B. bestimmte Analytics-Dienste) vs. Auftragsverarbeitung muss im Einzelfall geprüft werden.
  • Gemeinsame Verantwortlichkeit (Joint Controllership) kann in speziellen Konstellationen auftreten (z.B. bestimmte Plattformmodelle). Hier genügt ein klassischer AVV nicht.

Wenn Sie unsicher sind, ob ein Tool Auftragsverarbeiter oder (Mit-)Verantwortlicher ist, ist dies meist der erste Punkt einer integrierten IT-Vertrags- und Datenschutzberatung.

3. Rechtlicher Rahmen: Art. 28 DSGVO für SaaS in 7 Kernelementen

Art. 28 DSGVO sagt vereinfacht: Wenn ein Auftragsverarbeiter (z.B. SaaS-Anbieter) personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, muss der Verantwortliche sicherstellen, dass der Dienstleister hinreichende Garantien für eine datenschutzkonforme Verarbeitung bietet – und dies vertraglich regeln.

Die wichtigsten Anforderungen für Ihren DSGVO-konformen DPA für SaaS:

  1. Schriftform / elektronische Form
    Der AVV muss schriftlich oder in einem elektronischen Format abgeschlossen werden (z.B. Klick-Wrap in Admin-Konsole ist möglich, wenn dokumentierbar).
  2. Bindung an Weisungen
    Der Anbieter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen. Abweichungen dürfen nur erfolgen, wenn das Recht des Mitgliedstaats oder der EU dies zwingend vorgibt.
  3. Vertraulichkeit
    Personen mit Zugang zu personenbezogenen Daten müssen zur Vertraulichkeit verpflichtet sein bzw. einer gesetzlichen Verschwiegenheitspflicht unterliegen.
  4. Technische und organisatorische Maßnahmen (TOMs)
    Der Auftragsverarbeiter muss geeignete TOMs nach Art. 32 DSGVO implementieren. Diese Maßnahmen müssen zumindest beschrieben und idealerweise in einem TOM-Anhang dokumentiert sein.
  5. Unterauftragsverarbeiter (Subprozessoren)
    Der AVV muss klar regeln, ob und wie der Auftragsverarbeiter Subunternehmer einsetzen darf (Zustimmung / Genehmigungsverfahren, Informationspflichten, Kette der Verpflichtungen).
  6. Unterstützungspflichten
    Der Dienstleister muss Sie unterstützen bei:
    • Wahrnehmung von Betroffenenrechten (Auskunft, Löschung, Einschränkung etc.),
    • Meldung von Datenschutzverletzungen,
    • Datenschutz-Folgenabschätzungen (DPIA).
  7. Löschung und Rückgabe
    Nach Beendigung der Auftragsverarbeitung müssen Daten – nach Wahl des Verantwortlichen – gelöscht oder zurückgegeben werden, es sei denn, gesetzliche Aufbewahrungsfristen sprechen dagegen.

Merke: Ein AVV ist kein „Nice-to-Read“-Anhang, sondern zentrales Compliance-Dokument, das bei Prüfungen und Kunden-Audits regelmäßig angefordert wird.

4. Must-have-Inhalte eines AVV für SaaS (Checkliste)

Für ein DSGVO DPA Muster für SaaS sollten Sie folgende Punkte strukturiert abarbeiten:

4.1 Basisinformationen zur Verarbeitung

  • Parteien (Verantwortlicher / Auftragsverarbeiter)
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung (z.B. CRM-Betrieb, Support, Hosting)
  • Kategorien der betroffenen Personen (Kunden, Leads, Mitarbeiter, Bewerber etc.)
  • Kategorien personenbezogener Daten (Stammdaten, Kommunikationsdaten, Trackingdaten, ggf. besondere Kategorien)

4.2 Weisungsrecht

  • Klare Regelung: Verarbeitung nur auf dokumentierte Weisung
  • Form der Weisung (z.B. Ticketing-System, E-Mail, Administrator-Portal)
  • Umgang mit aus Ihrer Sicht unzulässigen Weisungen (z.B. Pflicht zur Rückfrage)

4.3 Vertraulichkeit & Zugriffskontrolle

  • Vertraulichkeitsverpflichtung aller Mitarbeitenden und Subunternehmer
  • Beschreibung des Need-to-know-Prinzips (Zugriff nur, soweit erforderlich)
  • ggf. Verweis auf interne Policies / Code of Conduct des Anbieters

4.4 Technische und organisatorische Maßnahmen (TOMs)

  • Anhang mit detaillierter TOM-Beschreibung
  • Verpflichtung des Anbieters, Sicherheitsniveau aufrechtzuerhalten und bei wesentlichen Änderungen zu informieren
  • Klarstellung der Verantwortlichkeiten (z.B. Shared-Responsibility-Modell bei Cloud-Infrastruktur)

4.5 Subprozessoren

  • Erlaubnis, Subunternehmer einzusetzen, aber:
    • Transparente Liste der Subprozessoren (z.B. im Anhang oder via URL)
    • Mechanismus zur Information bei Änderungen (E-Mail, Dashboard)
    • Recht zum Widerspruch innerhalb bestimmter Fristen (praktikabel gestalten)
  • Verpflichtung des Auftragsverarbeiters, die Subunternehmer mindestens zu denselben Datenschutzpflichten zu verpflichten (Back-to-back).

4.6 Unterstützung bei Betroffenenrechten und DSGVO-Pflichten

  • Reaktionsfristen und Prozesse für:
    • Auskunfts- und Löschanfragen
    • Datenportabilität
    • Berichtigung
  • Unterstützung bei:
    • Datenschutzverletzungen (Breach-Meldungen mit klar definierten Timings)
    • Datenschutz-Folgenabschätzungen (DPIA)
    • Anfragen der Aufsichtsbehörden

4.7 Audit- und Kontrollrechte

  • Recht des Verantwortlichen auf Prüfung der Einhaltung der TOMs:
    • Einsicht in Zertifikate (ISO 27001, SOC 2 etc.)
    • Fragebögen, Remote-Audits
    • On-site-Inspektionen (realistisch handhabbar, z.B. mit Vorlauf, Frequenz, Kostenregelungen)
  • Nutzung von externen Gutachten / Audit-Reports als Nachweis (um Aufwand für beide Seiten zu reduzieren).

4.8 Meldung von Datenschutzverletzungen (Data Breaches)

  • Definierte Meldewege und Ansprechpartner
  • Fristen (z.B. „unverzüglich“, konkretisiert mit Zielzeitfenster)
  • Inhalt der Meldung (Art des Vorfalls, betroffene Datenkategorien, betroffene Personen, erste Gegenmaßnahmen)

4.9 Löschung, Rückgabe und Datenportabilität

  • Verfahren bei Vertragsende:
    • Löschung auf allen Systemen inkl. Backups (ggf. mit Frist)
    • Herausgabe exportierbarer Datensätze in gängigen Formaten
  • Regelung zu Archiv- und Backup-Systemen und zu gesetzlichen Aufbewahrungspflichten.

4.10 Haftung & Regress

  • Abstimmung mit Hauptvertrag / MSA / SLA:
    • Gibt es eine Haftungskappung (Cap)?
    • Wie wird eine Mitverschuldens- oder Rückgriffssituation voneinander abgegrenzt (Art. 82 DSGVO)?
  • Klare Verteilung:
    • Wer haftet für welche Verarbeitungsschritte?
    • Wie wird mit behördlichen Bußgeldern umgegangen?

5. Technische und organisatorische Maßnahmen (TOMs): Was gehört in den Anhang?

Ein TOM-Anhang ist das Herzstück des AVV. Hier prüfen Aufsichtsbehörden und Enterprise-Kunden zuerst.

Typische TOM-Kategorien (an Art. 32 DSGVO angelehnt):

  1. Zutrittskontrolle
    Physische Sicherung von Rechenzentren und Büros (Zugangskarten, Besucherkontrolle).
  2. Zugangskontrolle
    • Authentifizierung (MFA, Passwort-Policy)
    • Rollen- und Rechtekonzepte
    • Protokollierung von Logins, Admin-Aktivitäten
  3. Zugriffskontrolle / Berechtigungskonzept
    • Rollenbasiertes Zugriffskonzept (RBAC)
    • Least-Privilege-Prinzip
    • Regelmäßige Rezertifizierung der Berechtigungen
  4. Weitergabekontrolle
    • Verschlüsselung bei Übertragung (TLS)
    • Absicherung von APIs
    • Logging von Datenexporten
  5. Eingabekontrolle
    • Protokollierung von Änderungen an Datensätzen
    • Audit-Logs, die Manipulationen nachvollziehbar machen
  6. Auftragskontrolle
    • Proceduren zur Trennung von Kundenprojekten
    • Dokumentation von Weisungen und deren Umsetzung
  7. Verfügbarkeitskontrolle
    • Backups und Restore-Tests
    • Notfallpläne, Disaster-Recovery-Konzepte
    • Redundante Systeme, SLAs zu Uptime
  8. Trennungsgebot
    • Logische Mandantentrennung in Multi-Tenant-SaaS
    • Saubere Trennung von Test- und Produktivdaten (kein Einsatz echter Produktivdaten in Testumgebungen, soweit möglich)

Praxis-Tipp:
Fragen Sie nach konkreten Nachweisen: ISO 27001-Zertifikate, SOC-Reports, internen Policies (Kurzversion), Penetrationstest-Reports. So vermeiden Sie rein abstrakte Formulierungen wie „wir wenden angemessene Sicherheitsmaßnahmen an“.

6. Subprozessoren (Unterauftragsverarbeiter) im Griff behalten

Gerade bei SaaS mit komplexer Architektur (Cloud Provider, E-Mail-Dienste, Monitoring, Content Delivery) ist das Subprozessor-Management kritisch.

Was Ihr AVV hier regeln sollte:

  • Vollständige Subprozessor-Liste
    • inkl. Land, Rolle, Art der Verarbeitung
    • ideally über eine laufend aktualisierte URL und versionierte Historie.
  • Änderungsmanagement
    • Vorab-Information über neue oder geänderte Subprozessoren („Notice and Object“-Mechanismus)
    • Angemessene Widerspruchsfrist (z.B. 30 Tage)
    • Praktische Lösung, wenn Sie widersprechen (z.B. Umstellung auf andere Region / Service; Kündigungsrecht als letztes Mittel).
  • Back-to-back-Verpflichtungen
    • Verpflichtung des SaaS-Anbieters, alle Subunternehmer zu mindestens denselben Datenschutzstandards zu verpflichten, insbesondere TOMs, Auditrechte und internationale Transfermechanismen.

7. Internationale Datentransfers: EU‑US Data Privacy Framework & SCCs für SaaS

Viele B2B-SaaS-Anbieter sitzen in den USA oder nutzen US-Dienste als Subprozessoren. Dann stellt sich die Frage: Wie ist der Transfer der Daten aus der EU rechtlich abgesichert?

7.1 EU‑US Data Privacy Framework (DPF)

Seit 2023 existiert das EU‑US Data Privacy Framework als neuer Angemessenheitsbeschluss der EU-Kommission. US-Unternehmen können sich dort zertifizieren lassen.

Was bedeutet das für Sie?

  • Wenn Ihr SaaS-Anbieter nach DPF zertifiziert ist und die Übermittlung unter diese Zertifizierung fällt, können Sie sich – Stand heute – auf ein angemessenes Datenschutzniveau stützen.
  • Prüfen Sie:
    • Ist der konkrete Dienst / die Einheit des Anbieters im DPF-Verzeichnis gelistet?
    • Deckt die Zertifizierung den relevanten Datentyp ab (z.B. HR-Daten)?

7.2 Standardvertragsklauseln (SCCs)

Wenn kein Angemessenheitsbeschluss (wie DPF) vorliegt, sind weiterhin die Standard Contractual Clauses (SCCs) das zentrale Instrument.

Für „fix DPA and SCCs for SaaS“ sollten Sie:

  1. Sicherstellen, dass der Anbieter die aktuellen SCCs der EU-Kommission verwendet (Modul 2 oder 3, je nach Konstellation).
  2. Klarstellen, wie die SCCs vertraglich eingebunden sind (Anhang zum AVV oder Hauptvertrag).
  3. Mit dem Anbieter klären, ob und wie eine Transfer Impact Assessment (TIA) durchgeführt wurde und welche technischen Maßnahmen (z.B. Verschlüsselung, Pseudonymisierung) eingesetzt werden.

7.3 Transfers in andere Drittländer

Für Cloud-/SaaS-Setups außerhalb der EU/EEA und der USA gelten dieselben Grundsätze:

  • Prüfen, ob ein Angemessenheitsbeschluss vorliegt (z.B. Schweiz, UK).
  • Andernfalls: SCCs + ggf. zusätzliche Schutzmaßnahmen (verschlüsselte Speicherung, Schlüsselmanagement in der EU, Pseudonymisierung).

Merke:
Ein DSGVO-konformer AVV für SaaS ist ohne sauberen internationalen Transfermechanismus unvollständig. Vertrag, TOMs und Transferinstrumente müssen zusammenpassen.

8. Praktische DSGVO-Checkliste: So „fixen“ Sie DPA & SCCs für Ihr SaaS-Portfolio

Nutzen Sie diese Checkliste als Arbeitsgrundlage für Legal, Datenschutz und IT:

Schritt 1: SaaS-Inventur

  • Liste aller eingesetzten SaaS-Tools (CRM, Marketing, HR, Support, Collaboration, IT-Security etc.)
  • Für jedes Tool:
    • Welche Datenkategorien?
    • Betroffene Personengruppen?
    • Serverstandorte / Drittländer?
    • Rolle des Anbieters: Auftragsverarbeiter vs. (Mit-)Verantwortlicher?

Schritt 2: Vertrags- und AVV-Status erfassen

  • Bestehende Hauptverträge (MSA / Rahmenvertrag / AGB)
  • Bestehende AVVs / DPAs inkl. Anlagen (TOMs, Subprozessorliste)
  • Verwendete Transfermechanismen (DPF, SCCs, andere)

Schritt 3: GAP-Analyse gegen Art. 28 DSGVO

  • Enthält der bestehende AVV alle Pflichtinhalte (siehe Abschnitt 4)?
  • Sind die TOMs hinreichend konkret und aktuell?
  • Ist das Subprozessor-Management transparent und praktikabel?
  • Sind Audit- und Informationsrechte geregelt?

Schritt 4: Internationale Transfers prüfen

  • Für jeden Anbieter:
    • Sitz und Hosting-Standorte
    • DPF-Zertifizierung ja/nein (bei US-Anbietern)
    • SCCs vorhanden? Wenn ja: aktuelle Fassung, richtiges Modul, korrekt eingebunden?
    • Zusätzliche technische Schutzmaßnahmen dokumentiert?

Schritt 5: Anpassungsbedarf priorisieren

  • Kritische Tools mit hohem Risiko / hohem Datenvolumen zuerst (z.B. HR, CRM mit Kundendaten).
  • Quick Wins:
    • Ergänzende AVVs abschließen
    • Subprozessorlisten und TOM-Anhänge anfordern
    • SCCs aktualisieren
  • Komplexe Themen (z.B. Einzelanpassungen in globalen DPA-Templates) als eigenes Projekt mit Legal/Datenschutz aufsetzen.

Schritt 6: Verhandlung & Dokumentation

  • Für Enterprise-relevante Tools individuelle DPA-Rider verhandeln (Haftung, Audit, Löschung, spezifische TOMs).
  • Interne Datenschutzdokumentation aktualisieren:
    • Verzeichnis von Verarbeitungstätigkeiten
    • Transfer Impact Assessments
    • Risk-Register / Maßnahmenkatalog

Schritt 7: Laufende Governance

  • Review-Zyklen definieren (z.B. jährliche Überprüfung der wesentlichen SaaS-AVVs).
  • Prozess für neue Tools („Tool-Onboarding“):
    • Datenschutz-Check
    • AVV/DPA-Prüfung
    • Freigabe durch Legal/Datenschutz
  • Schulung von Einkauf, IT und Fachabteilungen, damit keine Schatten-IT mit ungeprüften Tools entsteht.

9. Musterstruktur für einen AVV (SaaS) – mit Formulierungshilfen

Ein vollständiges Muster für einen Auftragsverarbeitungsvertrag variiert je nach Unternehmen und Risikoprofil. Die folgende Struktur dient als Blaupause:

  1. Präambel
    Kurzbeschreibung der Zusammenarbeit und Verweis auf Hauptvertrag.
  2. Begriffsbestimmungen
    Anlehnung an DSGVO-Definitionen (Verantwortlicher, Auftragsverarbeiter, personenbezogene Daten etc.).
  3. Gegenstand und Dauer der Verarbeitung
    „Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zwecke der Bereitstellung und des Betriebs der SaaS-Lösung [Bezeichnung] für den Verantwortlichen.“
  4. Art und Zweck der Verarbeitung; Kategorien von Daten und Betroffenen
    Tabellarische Auflistung, z.B.:
    • Kundenkontakte, Lead-Daten, Nutzungsdaten
    • Mitarbeiter- und Bewerberdaten
    • Sonstige Kategorien
  5. Rechte und Pflichten des Verantwortlichen
    • Weisungsrecht
    • Verantwortlichkeit für Rechtmäßigkeit der Datenverarbeitung
    • Pflicht zur Information bei Fehlern in den Stammdaten oder Rechtsänderungen
  6. Pflichten des Auftragsverarbeiters
    • Verarbeitung nur auf Weisung
    • Vertraulichkeit
    • TOMs
    • Unterstützung bei Betroffenenrechten und Meldepflichten
    • Dokumentationspflichten
  7. Technische und organisatorische Maßnahmen (Anhang 1)
    • Detaillierte Aufstellung nach TOM-Kategorien
    • Verpflichtung, Sicherheitsniveau anzupassen und Änderungen mitzuteilen.
  8. Einsatz von Unterauftragsverarbeitern (Anhang 2)
    • Auflistung
    • Genehmigungsverfahren
    • Informationspflichten
  9. Internationale Datenübermittlungen
    • Beschreibung der Drittländer
    • Verwendete Rechtsinstrumente (DPF, SCCs, Angemessenheitsbeschlüsse)
    • Verweis auf SCC-Anhang
  10. Audits und Nachweispflichten
    • Art und Umfang von Audits
    • Nutzung von Zertifizierungen und Reports
    • Kostentragung und Vorlaufzeiten
  11. Meldung von Datenschutzverletzungen
    • Fristentatbestände
    • Meldewege
    • Mindestinhalte der Meldung
  12. Löschung und Rückgabe von Daten
    • Verfahren bei Vertragsende
    • Fristen
    • Behandlung von Backups
  13. Haftung und Freistellung
    • Bezug zum Hauptvertrag
    • Klarstellung zur Aufteilung von Verantwortlichkeiten
    • ggf. besondere Haftungsregelungen für Datenschutzverstöße
  14. Schlussbestimmungen
    • Laufzeit, Kündigung
    • Schriftformklausel
    • Geltendes Recht / Gerichtsstand

10. Typische Fallstricke in AVVs mit internationalen SaaS-Anbietern

In der Praxis sehen wir immer wieder ähnliche Probleme:

  • Reine US-Templates ohne DSGVO-Feinschliff
    • Begriffe wie „processor/controller“ werden nicht sauber im Sinne der DSGVO verwendet.
    • EU-spezifische Pflichten (z.B. Art. 28, 32, 30, 35) fehlen oder sind zu vage.
  • Unklare oder fehlende TOM-Anhänge
    • Nur Marketing-Sicherheitsversprechen ohne belastbare technische Beschreibung.
    • Keine Aussage zu Protokollierung, Mandantentrennung oder Schlüsselmanagement.
  • Eingeschränkte Auditrechte
    • Nur Einsicht in Zertifikate, aber keine Möglichkeit, im Ausnahmefall tiefer zu prüfen.
    • Keine Regelung, wie neue Zertifizierungen zur Verfügung gestellt werden.
  • Subprozessoren nur dynamisch benannt
    • Keine Liste, nur Hinweis „we may use sub-processors“ ohne Details.
    • Kein Widerspruchsrecht, keine Informationsfristen.
  • Transfers in Drittländer nur oberflächlich adressiert
    • Verweis auf „Privacy Shield“ (veraltet), fehlende Aktualisierung auf DPF oder neue SCCs.
    • Keine TIAs, keine ergänzenden technischen Maßnahmen.

Diese Punkte sollten Sie in einer systematischen Vertrags- und Datenschutzprüfung aktiv adressieren.

11. Wie Vectocon Sie bei AVVs, SCCs und IT-Verträgen unterstützt

Vectocon verbindet IT-Vertragsrecht, Datenschutzberatung und Steuerperspektive in einem integrierten Team. Für Technologie- und SaaS-Unternehmen mit Deutschlandbezug bieten wir u.a.:

  • Review und Verhandlung von SaaS-AVVs & DPAs
    • Prüfung bestehender Standard-DPAs internationaler Anbieter
    • Erstellung von eigenen AVV-Mustern für Ihr Unternehmen (z.B. wenn Sie selbst SaaS-Anbieter sind)
    • Strukturierte Anpassung von Haftung, TOMs, Subprozessoren und internationalen Transfers.
  • Konzeption Ihres Datenschutz- und Vertragsframeworks
    • Verknüpfung von Hauptvertrag (MSA), SLA, Auftragsverarbeitungsvertrag und TOM-Anhängen
    • Gestaltung praxistauglicher Governance-Prozesse (Tool-Onboarding, regelmäßige Reviews, Mandanten- bzw. Kundenanforderungen).
  • Internationale Datentransfers rechtssicher gestalten
    • Auswahl und Implementierung der passenden Transferinstrumente (DPF, SCCs, Angemessenheitsbeschlüsse)
    • Unterstützung bei Transfer Impact Assessments
    • Abstimmung mit Steuer- und Strukturierungsfragen (z.B. Serverstandorte, Betriebsstättenrisiko, Lizenz- und IP-Strukturen).
  • Durchgehende Partnerbetreuung
    • Kein Handover an wechselnde Junior-Teams, sondern konstante Ansprechpartner mit IT- und Datenschutz-Schwerpunkt
    • Nutzung von LegalTech- und KI-gestützten Tools, um Ihre Vertrags-Reviews effizienter und reproduzierbar zu machen.

Wenn Sie Ihre bestehenden SaaS-AVVs in einer strukturierten Aktion auf den aktuellen DSGVO-Stand bringen oder ein wiederverwendbares AVV-Muster für Ihr eigenes B2B-SaaS aufsetzen wollen, begleiten wir Sie von der Inventur bis zur unterschriftsreifen Umsetzung.

12. FAQ – Auftragsverarbeitungsvertrag (AVV) für SaaS kurz erklärt

1. Muss ich für jedes SaaS-Tool einen eigenen AVV abschließen?
Ja, für jeden Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen AVV. In der Praxis sind diese oft in die AGB oder Rahmenverträge integriert, sollten aber identifizierbar und dokumentiert sein.

2. Reicht der Standard-DPA des SaaS-Anbieters aus?
Nicht zwangsläufig. Viele Standard-DPAs sind auf ein globales Minimum ausgelegt. Prüfen Sie, ob alle Anforderungen aus Art. 28 DSGVO erfüllt sind, die TOMs konkret und angemessen sind und ob internationale Transfers sauber abgedeckt werden. Anpassungen sind häufig sinnvoll – insbesondere bei geschäftskritischen Tools.

3. Was ist wichtiger: AVV oder TOMs?
Beides gehört zusammen. Der AVV schafft den rechtlichen Rahmen, die TOMs belegen das tatsächliche Sicherheitsniveau. Aufsichtsbehörden und Enterprise-Kunden schauen auf beides.

4. Brauche ich noch SCCs, wenn mein US-Anbieter im Data Privacy Framework zertifiziert ist?
Das hängt von der konkreten Konstellation ab. In vielen Fällen kann die DPF-Zertifizierung den Transfer bereits rechtfertigen. Dennoch behalten viele Unternehmen SCCs als Fallback oder für bestimmte Datenflüsse bei. Lassen Sie diese Frage im Einzelfall prüfen.

5. Was kostet es, alle AVVs zu prüfen und zu aktualisieren?
Das hängt stark von der Anzahl der Tools, der Kritikalität der Daten und Ihrer Vertragslandschaft ab. Typisch ist ein phasenweiser Ansatz (Inventur → Priorisierung → Paket-Review), sodass Sie Kosten und Aufwand planbar halten.

Fazit

Ein professionell aufgesetzter Auftragsverarbeitungsvertrag für SaaS-Tools ist heute Standardanforderung für jede datengetriebene Organisation – und gleichzeitig ein Wettbewerbsvorteil in Enterprise-Verhandlungen. Wenn Sie DSGVO DPA Muster für SaaS, die korrekte Einbindung von SCCs und eine schlanke, umsetzbare Governance kombinieren, reduzieren Sie Risiken, beschleunigen Sales-Zyklen und erhöhen Ihre Verhandlungsposition gegenüber Anbietern und Kunden.

Wenn Sie Ihre AVV-Landschaft auf den Prüfstand stellen oder ein belastbares Musterpaket entwickeln möchten, unterstützen wir Sie gerne mit integrierter IT-Vertrags- und Datenschutzberatung.