SaaS-Vertragscheck

SaaS-, Cloud- und Softwareverträge rechtlich einordnen

Dieser interaktive Check hilft Unternehmen, Anbieter, Kunden und Einkaufsteams dabei, typische Vertragsrisiken bei SaaS, Cloud, Software, APIs und digitalen B2B-Produkten strukturiert vorzubereiten: Leistungsumfang, SLA, Haftung, IP, Datenschutz, Subprozessoren, Security, Data Act, NIS2-/CRA-Schnittstellen und Exit.

MSA & AGB SLA & Support AVV/DPA Security Exit

Wofür der SaaS-Vertragscheck gedacht ist

Der Check ist eine erste Orientierung vor Vertragsschluss, Verhandlung, Go-live, Streit, Incident oder Exit. Er ersetzt keine Einzelfallprüfung, hilft aber, Unterlagen, Risikosignale und Prioritäten für eine rechtliche Prüfung durch ITMR vorzubereiten.

Für SaaS-Anbieter, Cloud-Provider, Softwarekunden, Reseller, Integratoren und digitale Produktteams.
Für B2B-Verträge, Enterprise Procurement, Standard-Templates, Projektverträge und regulierte Kundensegmente.
Mit Schnittstellen zu DSGVO/TDDDG, Data Act, DSA, NIS2/BSIG, Cyber Resilience Act, Open Source, KI und Produkthaftung.

Vertragsarchitektur

Ein SaaS-Vertrag ist meist ein Dokumentenverbund

In der Praxis entscheidet nicht nur eine Klausel. Entscheidend ist, ob Hauptvertrag, Leistungsbeschreibung, Datenschutz, Security-Anlage, SLA, IP-Regeln und Exit-Prozess zusammenpassen.

Leistung Datenschutz Security IP/OSS Haftung Exit

Ablauf

So ordnet der Check Ihr Vertragsrisiko ein

Rolle klären

Anbieter, Kunde, Reseller, Integrator oder Plattformkonstellation.

Phase bestimmen

Template, Verhandlung, laufender Betrieb, Incident, Streit oder Exit.

Risikosignale sammeln

Datenschutz, Security, Haftung, IP, KI, Data Act, NIS2 oder CRA.

Priorität ableiten

Kritisch, hoch, erhöht oder niedrig mit passenden Prüfpunkten.

Anfrage vorbereiten

Unterlagen, Kurzüberblick und nächste sinnvolle Schritte exportieren.

Erstorientierung

Was dieser Check leistet

Der SaaS-Vertragscheck übersetzt typische rechtliche und operative Risikotreiber in eine vorläufige Einordnung. Er prüft nicht den konkreten Vertragstext, zeigt aber, welche Vertragsbausteine wahrscheinlich entscheidend sind und welche Unterlagen für eine anwaltliche Prüfung sinnvoll vorbereitet werden sollten.

Wann ist ein SaaS-Vertrag rechtlich besonders prüfungsbedürftig?

Besonders prüfungsbedürftig ist ein SaaS-Vertrag regelmäßig bei personenbezogenen Daten, Drittlandtransfer, Enterprise-Kunden, hohem Vertragswert, regulierten Kunden, kritischen Geschäftsprozessen, KI-Funktionen, Open-Source-Abhängigkeiten, Security-Zusagen, strengen SLA oder geplanter Datenmigration.

Welche Rolle spielen DSGVO, AVV und Subprozessoren?

Wenn der Anbieter personenbezogene Daten im Auftrag des Kunden verarbeitet, sind Rollen, AVV/DPA, TOMs, Subprozessoren, Drittlandtransfers, Löschung, Supportzugriffe und Incident-Prozesse zentral. Bei gemeinsamer Verantwortlichkeit oder eigener Anbieteranalyse kann eine andere Vertragsstruktur erforderlich sein.

Welche aktuellen Regulierungen können SaaS- und Cloud-Verträge zusätzlich prägen?

Je nach Produkt und Kunde können Data Act, DSA, NIS2/BSIG, DORA, Cyber Resilience Act, BFSG, Produkthaftung, AI Act, TDDDG und Verbraucherrecht relevant werden. Unsichere oder politisch noch nicht finalisierte Entwicklungen sollten als Monitoring-Punkt behandelt werden.

Warum sind Exit, Datenexport und Cloud-Switching so wichtig?

Exit-Regeln entscheiden, ob Daten rechtzeitig, vollständig, nutzbar und beweissicher herausgegeben oder gelöscht werden können. Bei Cloud- und Datenverarbeitungsdiensten sind zudem Portabilität, Wechselunterstützung, Datenformate und Sperr-/Zurückbehaltungsrisiken besonders zu prüfen.

Interaktiver Check

SaaS-Vertragsrisiko einschätzen

Beantworten Sie die folgenden Fragen. Das Ergebnis ist eine vorläufige Orientierung für die weitere Prüfung und kann anschließend als Kurzüberblick kopiert werden.

1 von 6

Welche Rolle hat Ihr Unternehmen?

Wählen Sie die Rolle, aus der der Vertrag geprüft oder gestaltet werden soll.

SaaS-/Cloud-/Software-AnbieterSie stellen Software, Plattformfunktionen, Cloud-Dienste, APIs oder digitale Services bereit. Kunde, Lizenznehmer oder Enterprise-EinkaufSie wollen einen SaaS- oder Cloud-Vertrag prüfen, verhandeln oder einkaufen. Reseller, Integrator oder ImplementierungspartnerSie vermitteln, integrieren, konfigurieren oder implementieren Drittsoftware. Individualentwicklung oder CustomizingEs geht um Entwicklung, Anpassung, Migration, Einführung oder Projektleistungen. Plattform, Marketplace oder App-ÖkosystemSoftware wird über eine Plattform, App-Store-Struktur oder mit Drittanbietern bereitgestellt.

In welcher Phase befindet sich der Vertrag?

Die Phase beeinflusst Priorität, Beweise, Kommunikation und Verhandlungsstrategie.

Entwurf, Template oder neue AGBVertragsdokumente sollen aufgebaut, modernisiert oder skaliert werden. Verhandlung oder ProcurementKunde, Anbieter, Rechtsabteilung oder Einkauf verlangt Änderungen. Bestehender Vertrag im laufenden BetriebLeistung, Support, Datenschutz oder Änderungsbedarf sollen eingeordnet werden. Störung, Sicherheitsvorfall oder EskalationAusfall, Datenproblem, Bug, Schwachstelle, Kundenbeschwerde oder Frist steht im Raum. Kündigung, Migration oder ExitDatenexport, Löschung, Herausgabe, Vendor-Lock-in oder Vertragsende stehen an. Streit, Zahlungsproblem oder KündigungsdrohungLeistung, Zahlung, Vertragsverletzung, Haftung oder Beendigung sind bereits streitig.

Welche Vertragsbausteine sind betroffen?

Mehrfachauswahl möglich. Bei „Unklar“ werden andere Optionen abgewählt.

AGB, MSA, Rahmenvertrag oder Enterprise AgreementHauptvertrag, Nutzungsbedingungen, Rangfolge, Laufzeit, Änderungsvorbehalte. Leistungsbeschreibung, SLA, Support oder WartungVerfügbarkeit, Service Credits, Reaktionszeiten, Wartungsfenster, Fehlerklassen. AVV/DPA, TOMs, Subprozessoren oder DatenschutzanlageAuftragsverarbeitung, Rollen, Supportzugriffe, Löschung, Drittlandtransfer. IP, Lizenzrechte, Open Source, Kundendaten oder KI-OutputNutzungsrechte, Arbeitsergebnisse, Feedback, Trainingsdaten, OSS-Pflichten. Haftung, Freistellung, Vertragsstrafe oder VersicherungHaftungs-Cap, Kardinalpflichten, IP-Indemnity, Security-Indemnity, Schadensarten. Security, Audit, Compliance oder ZertifizierungenISO, SOC 2, PenTest, Audit-Rechte, Schwachstellen, Meldefristen, Nachweise. Unklar oder Dokumente noch unvollständigDie Vertragsstruktur ist noch nicht vollständig oder nicht sauber sortiert.

Welche Daten- oder Regulierungsfragen spielen eine Rolle?

Mehrfachauswahl möglich. Wählen Sie alles, was erkennbar berührt ist.

Personenbezogene DatenKunden-, Beschäftigten-, Nutzer-, Kommunikations-, Tracking- oder Supportdaten. Sensible Daten oder besonders kritische ProzesseGesundheit, Finanzen, Kinder, Beschäftigte, Geschäftsgeheimnisse, Kernprozesse. Drittlandtransfer oder internationale Support-/Hosting-StrukturUSA, globale Subprozessoren, internationale Zugriffe oder konzernweite Datenflüsse. Regulierte Branche oder kritischer DienstFinanzsektor, Gesundheit, Energie, öffentliche Hand, KRITIS, NIS2, DORA oder Lieferkette. KI, Analytics, Trainingsdaten oder ProduktverbesserungDaten werden für KI-Funktionen, Modellverbesserung, Automatisierung oder Scoring genutzt. Data Act, Cloud-Switching oder DatenzugangDatenportabilität, Datenzugangsrechte, Wechselunterstützung oder vernetzte Produkte. Keine besonderen Themen bekannt oder noch unklarDerzeit sind keine besonderen Daten- oder Regulierungsfragen identifiziert.

Wie kritisch ist der Vertrag wirtschaftlich oder operativ?

Hier geht es um Business Impact, Skalierung, Kundendruck und Vertragswert.

Mission-critical oder hoher VertragswertAusfall, Fehler oder Datenverlust treffen Kernprozesse, Umsatz oder Kundenbeziehung. Template für viele KundenEin Vertragsmuster soll häufig wiederverwendet oder international skaliert werden. Enterprise-Kunde oder Konzern-EinkaufVendor Assessment, Security Questionnaire, DPA-Verhandlung oder harte Einkaufsbedingungen. Standard-SaaS mit begrenztem RisikoNicht-kritischer Dienst, überschaubares Volumen, Standarddaten, geringer Anpassungsgrad. Frist, Go-live, Ausschreibung oder Closing steht kurz bevorDie rechtliche Einschätzung wird kurzfristig für Entscheidung oder Kommunikation benötigt.

Welche konkrete Zielrichtung hat die Prüfung?

Das Ergebnis priorisiert den wahrscheinlich nächsten Schwerpunkt.

Dokumente erstellen oder neu strukturierenAGB, MSA, Leistungsschein, AVV, SLA, Security-Anlage oder Vertragsmodul neu aufbauen. Redline, Klauselprüfung oder VertragsverhandlungGegenentwurf, Einkaufsbedingungen, Risikoakzeptanz oder Verhandlungsposition prüfen. Compliance- und RegulierungsabgleichDSGVO, Data Act, NIS2, CRA, DORA, AI Act, DSA oder branchenspezifische Anforderungen. Incident, SLA-Verstoß oder Haftungslage einordnenAusfall, Sicherheitsvorfall, Datenproblem, Vertragsverletzung oder Schadensforderung. Exit, Migration oder Datenherausgabe vorbereitenExport, Löschung, Übergangsleistungen, Zurückbehaltung oder Anbieterwechsel.

Risiken & Fristen

Typische SaaS-Prüfpunkte mit Zeit- und Risikobezug

Thema	Typischer Prüfpunkt	Zeit-/Risikohinweis
DSGVO/AVV	Rollen, AVV, TOMs, Subprozessoren, Drittlandtransfer, Löschung, Betroffenenrechte.	Datenpannen können Meldepflichten binnen 72 Stunden auslösen.
Data Act	Datenzugang, Cloud-Switching, Portabilität, unfaire B2B-Datenklauseln.	Allgemeine Anwendung seit 12.09.2025; Designpflichten für neue vernetzte Produkte ab 12.09.2026 prüfen.
NIS2/BSIG/DORA	Betroffenheit, Lieferantenklauseln, Incident-Prozess, Audit- und Nachweispflichten.	Bei regulierten oder kritischen Kunden regelmäßig früh in Procurement und Vertragsanlage klären.
Cyber Resilience Act	Secure SDLC, SBOM, Vulnerability Handling, Update- und Meldeprozesse bei Produkten mit digitalen Elementen.	Meldepflichten ab 11.09.2026 und Hauptpflichten ab 11.12.2027 operativ vorbereiten.
KI-Funktionen	Rollen, Risikoklasse, Transparenz, Trainingsdaten, Output, Datenschutz und Vendor-Klauseln.	AI-Act-Pflichten gestaffelt prüfen; politisch geplante Änderungen als Monitoring behandeln.
Exit & Migration	Datenexport, Formate, Löschung, Übergangsleistungen, Wechselunterstützung, Zurückbehaltung.	Vor Vertragsabschluss regeln, nicht erst bei Kündigung oder Streit.

Nächste sinnvolle Schritte

SaaS-Vertrag rechtlich prüfen lassen?

Wenn Sie einen Entwurf, eine Redline, ein Vendor Assessment, eine AVV/DPA, SLA-Anlage, Security-Anforderungen oder eine Exit-Situation vorbereiten möchten, können Sie den Kurzüberblick aus dem Checker zusammen mit den relevanten Dokumenten an ITMR übermitteln.

Kontakt aufnehmen

Hinweis: Dieser SaaS-Vertragscheck bietet eine strukturierte Erstorientierung. Er ersetzt keine anwaltliche Prüfung des konkreten Vertrags, der technischen Umsetzung, der Rollenverteilung oder der aktuellen Rechtslage im Einzelfall.