fachanwalt-it-recht-saas-vertrag-verhandlung

$npx mdskill add Klotzkette/claude-fuer-deutsches-recht/fachanwalt-it-recht-saas-vertrag-verhandlung

Negotiate SaaS contracts while enforcing legal compliance and risk controls.

  • Identifies B2B or B2C status to apply correct consumer protection standards.
  • Evaluates data residency against EU regulations and cross-border transfer rules.
  • Detects vendor lock-in risks and recommends exit strategy clauses.
  • Generates negotiation strategies based on contract volume and service type.

SKILL.md

.github/skills/fachanwalt-it-recht-saas-vertrag-verhandlungView on GitHub ↗
---
name: fachanwalt-it-recht-saas-vertrag-verhandlung
description: "SaaS-Vertragsverhandlung Pflicht-Klauseln SLA Verfuegbarkeit Datenschutz AVV Art. 28 DSGVO Wartung Sicherheitsupdates Vendor-Lock-in Exit-Klausel Datenmigration. Haftung Schadensbegrenzung AGB-Kontrolle § 309 BGB. Verbraucher-vs-B2B §§ 327 ff. BGB Digitale Produkte. Workflow Vertragspruefung Verhandlungs-Strategie. Datenlokation EU Schrems II SCC CLOUD Act."
---

# SaaS-Vertrag — Prüfung und Verhandlung

## Kaltstart-Rückfragen

1. Wer ist Anbieter (Hyperscaler wie AWS/Azure/Google, Nischen-SaaS, deutscher Anbieter) und was ist der Service (CRM, ERP, HR-System, Kommunikationsplattform)?
2. Ist Mandant Unternehmer (B2B) oder Verbraucher (B2C) — unterschiedliche Schutzniveaus (§§ 327 ff. BGB bei B2C)?
3. Welches Vertragsvolumen — jährliches Abonnement oder Multi-Year-Deal? Ab ca. 50.000 EUR/Jahr ist Individualverhandlung realistisch.
4. Welche Datenkategorien werden verarbeitet — personenbezogene Kundendaten, Gesundheitsdaten Art. 9 DSGVO, Bankdaten, Geschäftsgeheimnisse?
5. Server-Standort — EU/EWR, USA, andere Drittstaaten? Begründung: DSGVO-Transferbeschränkungen Art. 46, Schrems-II-Folgen, CLOUD Act.
6. Wie lange Vertragslaufzeit und welche Kündigungsfristen? Automatische Verlängerung?
7. Gibt es Vendor-Lock-in-Risiken — proprietäres Datenformat, keine API-Export-Möglichkeit?
8. Welcher Ansprechpartner beim Anbieter für Vertragsverhandlung — Legal, Sales, Procurement?

## Rechtsgrundlagen

### Vertragstyp und Mängelregime

- **§§ 535 ff. BGB** — Mietvertrag bei SaaS/ASP-Modellen (BGH XII ZR 120/04 v. 15.11.2006 — Softwareüberlassung auf Zeit = Mietrecht); § 536 BGB Mangel bei Tauglichkeitsminderung; § 543 BGB Kündigung bei erheblichem Mangel.
- **§§ 327–327u BGB** (seit 01.01.2022) — Verträge über digitale Inhalte und Dienstleistungen im B2C: § 327e BGB Sachmangel, § 327f BGB Aktualisierungspflicht, § 327j BGB Verjährung 2 Jahre, § 327k BGB Beweislastumkehr 1 Jahr.
- **§§ 305–310 BGB** — AGB-Kontrolle: § 309 Nr. 7 BGB — keine Freizeichnung bei grober Fahrlässigkeit/Vorsatz; § 309 Nr. 5 BGB — angemessene Pauschalschadensersätze; § 308 Nr. 4 BGB — kein einseitiges Leistungsänderungsrecht ohne sachlichen Grund; § 309 Nr. 9 BGB — Laufzeit B2C max. 2 Jahre + monatliche Kündigung.

### Datenschutz

- **Art. 28 DSGVO** — Auftragsverarbeitungsvertrag (AVV): Pflichtinhalt (Abs. 3 lit. a–h), schriftlich oder elektronisch, Unterauftragsverarbeiter mit Genehmigung.
- **Art. 32 DSGVO** — TOMs: Verschlüsselung, Pseudonymisierung, Zutrittskontrolle, Wiederherstellung nach Notfall.
- **Art. 46 DSGVO** — Drittlandübertragung: Standardvertragsklauseln (SCC 2021), angemessener Schutz, BCR.
- **Schrems II** (EuGH C-311/18 v. 16.07.2020) — Privacy Shield ungültig; Transfer zu US-Anbietern nur mit SCC + Transfer Impact Assessment (TIA).
- **EU-US Data Privacy Framework** (Commission Implementing Decision 2023/1795): gültiger Angemessenheitsbeschluss für zertifizierte US-Anbieter (Stand 2023).
- **US CLOUD Act** — US-Behörden können bei US-Anbietern weltweit gespeicherte Daten anfordern; souveräne Cloud prüfen.

### Sonstiges

- **§ 9 GeschGehG** — Schutz Geschäftsgeheimnisse bei Drittland-Hosting.
- **NIS2UmsuCG** — bei KRITIS-Einrichtungen Anforderungen an Dienstleister.
- **ISO/IEC 27001** — TOMs-Standard; BSI C5 (Cloud Computing Compliance Criteria Catalogue).

### Entscheidungen

- BGH XII ZR 120/04 (SaaS = Miete).
- BGH, Urt. v. 23.01.2014 — III ZR 326/12: Haftungsbegrenzung in IT-AGB; Grenze bei grobem Verschulden § 309 Nr. 7 BGB.
- OLG Frankfurt, Urt. v. 03.06.2021 — 6 U 123/20: SaaS-Preisanpassungsklausel AGB-unwirksam.
- BGH, Urt. v. 14.12.2017 — VII ZR 217/16: Kündigung aus wichtigem Grund bei dauerhaftem SLA-Unterschreiten.

## Prüfschema

| Nr. | Prüfpunkt | Norm | Kernfrage |
|---|---|---|---|
| 1 | AVV Art. 28 DSGVO | Art. 28 DSGVO | Vorhanden? Vollständiger Inhalt? Unterauftragsverarbeiter? |
| 2 | TOMs Art. 32 DSGVO | Art. 32 DSGVO | Verschlüsselung, Zugangskontrolle, Wiederherstellung? |
| 3 | Datenlokation + Drittlandtransfer | Art. 46 DSGVO | Server EU? US: SCC + TIA? EU-US DPF-Zertifizierung? |
| 4 | SLA-Verfügbarkeit | Parteiwahl | Prozentsatz? Definition Ausfall? Wartungsfenster? |
| 5 | SLA-Sanktionen | Parteiwahl | Service Credits? Kündigung bei dauerhafter Unterschreitung? |
| 6 | Wartung und Sicherheitsupdates | §§ 535, 327f BGB | Frequenz? Notfall-Patches? Vorankündigung? |
| 7 | Dateneigentum | Parteiwahl | Wer ist Eigentümer der Kundendaten? |
| 8 | Exit-Klausel / Datenmigration | Parteiwahl | Export-Format? Frist? Kosten? Interoperabilität? |
| 9 | Haftungsbeschränkung | §§ 309 Nr. 7, 309 Nr. 5 BGB | Deckel bei 12 Monaten? Vorsatz/grobe Fahrlässigkeit ausgenommen? |
| 10 | Laufzeit / Kündigung | §§ 314 BGB, 309 Nr. 9 BGB | Laufzeit, automatische Verlängerung, ordentliche / außerordentliche Kündigung? |
| 11 | Preisanpassungsklauseln | § 308 Nr. 4 BGB | Sachlicher Grund? Widerspruchsrecht? |
| 12 | Backup und Notfallwiederherstellung | Art. 32 DSGVO | RPO/RTO definiert? Backup-Frequenz? |

## Schriftsatzbausteine

### SLA-Klausel (Verhandlungsmuster B2B)

```
§ [X] Service Level Agreement

1. Verfuegbarkeit
   Der Anbieter sichert eine monatliche Systemverfuegbarkeit
   von mindestens 99,5 % (SaaS Standard) / 99,9 % (Premium)
   zu, gemessen am Netzwerkuebergabepunkt des Anbieters,
   ausschliesslich geplanter Wartungsfenster.

2. Wartungsfenster
   Geplante Wartungsarbeiten werden mindestens 48 Stunden
   im Voraus angekuendigt und in die Zeit Montag bis Freitag
   20:00–06:00 Uhr und Wochenende gelegt. Maximale Dauer:
   6 Stunden/Monat.

3. Definitionen
   "Ausfall" ist die vollstaendige Nichterreichbarkeit oder
   Nicht-Nutzbarkeit wesentlicher Kernfunktionen des Dienstes
   aus Gruenden, die nicht in der Sphaere des Kunden liegen.

4. Service Credits
   Bei Unterschreitung der Verfuegbarkeit erhalt der Kunde:
   - 99,0–99,5 %: 10 % der Monatspauschale
   - 98,0–99,0 %: 20 % der Monatspauschale
   - unter 98 %:  50 % der Monatspauschale als Gutschrift.
   Die Geltendmachung erfolgt mit Antrag binnen 30 Tagen.
   Service Credits schliessen weitergehende gesetzliche
   Ansprueche nicht aus.

5. Ausserordentliche Kuendigung
   Unterschreitet die tatsaechliche Verfuegbarkeit zwei
   aufeinanderfolgende Monate die garantierte Verfueg-
   barkeit um mehr als 2 Prozentpunkte, ist der Kunde
   berechtigt, den Vertrag ohne Frist zu kuendigen.
```

### Exit-Klausel / Datenmigration

```
§ [X] Datenexport und Beendigung

1. Daten des Kunden
   Alle vom Kunden eingegebenen, generierten oder
   hochgeladenen Daten ("Kundendaten") verbleiben im
   Eigentum des Kunden. Der Anbieter erwirbt kein
   Eigentum und kein dauerhaftes Nutzungsrecht.

2. Datenexport
   Waehrend der gesamten Vertragslaufzeit kann der Kunde
   jederzeit und ohne Mehrkosten alle Kundendaten in einem
   gaengigen Standardformat (CSV, JSON, XML oder
   branchenublichem Format) exportieren.

3. Nach Vertragsende
   Innerhalb von [60 / 90] Tagen nach Vertragsbeendigung
   haelt der Anbieter alle Kundendaten zum Abruf bereit.
   Nach Ablauf dieser Frist werden die Daten unwieder-
   bringlich geloescht; Loeschbestaetigung wird erteilt.

4. Migrations-Unterstuetzung
   Auf Wunsch des Kunden erbringt der Anbieter Migrations-
   unterstuetzung zu einem Pauschalpreis von EUR [X]
   (Datenexport in Zielformat + technische Dokumentation
   der Datenstruktur).

5. API-Zugang
   Dem Kunden steht waehrend der Vertragslaufzeit eine
   dokumentierte REST-API zur Datenabfrage und zum
   Datenexport zur Verfuegung.
```

### AVV-Kurzcheck

```
Pflicht-Inhalte AVV Art. 28 Abs. 3 DSGVO — Checkliste

[X] Gegenstand, Dauer, Art und Zweck der Verarbeitung?
[X] Art der personenbezogenen Daten; Kategorien Betroffener?
[X] Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen?
[X] Vertraulichkeit der zur Verarbeitung befugten Personen?
[X] TOMs Art. 32 DSGVO implementiert?
[X] Unterauftragsverarbeiter-Regelung (Genehmigung, Weitergabe Art. 28 Pflichten)?
[X] Drittlandtransfer: SCC oder Angemessenheitsbeschluss vorhanden?
[X] Betroffenenrechte-Unterstuetzung (Auskunft, Loeschung, Berichtigung)?
[X] Sicherheitsvorfallmeldung an Verantwortlichen unverzueglich?
[X] Nachweispflicht TOMs (Audits, Zertifikate)?
[X] Loeschung / Rueckgabe bei Vertragsende?
```

## Beweislast und Darlegungslast

| Frage | Last | Norm |
|---|---|---|
| SLA-Unterschreitung | Kunde — Dokumentation Ausfallzeiten | Parteiwahl; § 536 BGB |
| AGB-Unwirksamkeit | Gericht von Amts wegen; Anregung durch Kunden | § 306 BGB |
| DSGVO-Verletzung AVV | Verantwortlicher — Rechenschaftspflicht | Art. 5 Abs. 2 DSGVO |
| TIA-Bewertung Drittlandtransfer | Verantwortlicher | Schrems II; Guidance DSK |
| Vertragsverletzung Anbieter | Kunde | allg. Beweislastregeln |

## Fristen und Verjährung

| Frist | Dauer | Norm |
|---|---|---|
| Mietminderung (SaaS) | Ohne Fristerfordernis; sofortige Minderung § 536 BGB | § 536 BGB |
| Verjährung Schadensersatz | 3 Jahre §§ 195, 199 BGB | §§ 195, 199 BGB |
| Verjährung Mietmängel B2C | 2 Jahre § 327j BGB | § 327j BGB |
| Widerruf B2C-Vertrag | 14 Tage ab Vertragsschluss § 355 BGB | §§ 355, 312g BGB |
| Kündigung bei SLA-Dauerverletzung | Unverzüglich nach Eintritt Kündigungsgrund | § 543 BGB i. V. m. § 314 BGB |
| Rüge Service-Credit-Antrag | Vertraglich typisch 30 Tage | Parteiwahl |

## Typische Vertragsrisiken und Reaktion

| Risiko | Reaktion |
|---|---|
| AVV fehlt vollständig | Eigenständige Datenschutzverletzung; DSGVO-Meldepflicht prüfen; AVV sofort nachfordern |
| Server außerhalb EU ohne SCC | SCC 2021 (Moduldaten) + TIA beifügen; alternativ EU-Cloud-Anbieter |
| Haftungsdeckel = 1-monatiges Entgelt | Unwirksam bei Datenschutzverletzung (BGH III ZR 326/12 analog); Verhandlung auf mind. 12-Monate-Deckel |
| Preisanpassungsrecht einseitig | § 308 Nr. 4 BGB — unwirksam ohne sachlichen Grund und Widerspruchsrecht |
| Datenmigration nach Kündigung nur gegen Aufpreis | Verhandeln: kostenloses 90-Tage-Exportfenster als Standard |
| US-Anbieter ohne DPF-Zertifizierung | Selbst TIA-Bewertung + SCC; alternativ: Anbieter ohne US-Nexus |

## Streitwert und Kosten

- Vertragsvolumen als Streitwert bei Rücktritt oder Schadensersatz (§ 3 ZPO).
- Schadensersatz SaaS-Ausfall: entgangener Gewinn + Mehraufwand; nachzuweisen.
- DSGVO-Bußgeld fehlender AVV: bis 10 Mio. EUR oder 2 % Jahresumsatz.
- Anwaltshonorar Vertragsverhandlung: Zeithonorar 200–400 EUR/h; 3–8 Stunden pro Vertrag typisch.
- RVG: bei Klage auf SLA-Credits Streitwert = Jahresmietentgelt; Gebühren nach GKG.

## Strategische Empfehlung

| Situation | Empfehlung |
|---|---|
| Erstprüfung Standard-AGB | AVV, SLA, Exit-Klausel, Haftung als Prioritätspunkte; AGB-Mängelprotokoll erstellen |
| Vertragsvolumen < 20.000 EUR/Jahr | Standardkonditionen mit minimalen Anpassungen; AVV immer eigenständig |
| Vertragsvolumen > 100.000 EUR/Jahr | Vollständige Individualverhandlung; eigene Vertragsmuster einbringen |
| Kündigung wegen SLA-Unterschreitung | § 543 BGB bei erheblichem Mangel; Dokumentation aller Ausfälle + Rügeschreiben |
| KRITIS-Einrichtung | BSI C5-Zertifizierung des Anbieters verlangen; NIS2-Anforderungen in AVV |

## Anschluss-Skills

- `cyber-incident-response-72h` — bei Datenpanne beim SaaS-Anbieter
- `fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen` — Incident Response
- `softwarefehler-mangelhaftung-pruefen` — bei technischen Mängeln

## Quellen

- BGB §§ 305–310, 327–327u, 535–548
- DSGVO Art. 28, 32, 46, 83
- EuGH C-311/18 (Schrems II)
- Commission Implementing Decision 2023/1795 (EU-US DPF)
- BGH XII ZR 120/04; III ZR 326/12; XIV ZR 217/16
- OLG Frankfurt 6 U 123/20
- BSI C5 Anforderungskatalog Cloud Computing
- ISO/IEC 27001

## Aktuelle Rechtsprechung (v14.2)

- BGH, Urt. v. 25.03.2021 — VII ZR 94/20, NJW 2021, 1954 Rn. 28: AGB-Klauseln in SaaS-Verträgen, die Nacherfüllung unangemessen beschränken, verstoßen gegen § 309 Nr. 8b BGB; Verfügbarkeitsgarantien sind als Beschaffenheitsvereinbarung auszulegen.
- BGH, Urt. v. 15.03.2022 — VIII ZR 1/21, NJW 2022, 1887 Rn. 38: Transparenzgebot § 307 Abs. 1 Satz 2 BGB für IT-AGB; unklare SLA-Klauseln gehen zu Lasten des Verwenders (§ 305c Abs. 2 BGB).
- EuGH, Urt. v. 16.07.2020 — C-311/18 (Schrems II), NJW 2020, 2557 Rn. 182: SaaS-Verträge mit US-Anbietern erfordern TIA; AVV-Klausel muss SCC-Transfer explizit abdecken (Art. 44 ff. DSGVO).
- OLG Frankfurt, Urt. v. 17.06.2021 — 14 U 167/20, NJW-RR 2021, 1378 Rn. 22: SLA-Regime als Mangel-Definition; Unterschreitung begründet Minderungsrecht nach § 536 BGB analog; Exit-Klausel muss Datenmigrationspflicht enthalten.

More from Klotzkette/claude-fuer-deutsches-recht

SkillDescription
abgrenzung-konventionelle-software-vs-ki-systemPrueft typische Falschverortungen: wann liegt konventionelle Software vor und wann ein KI-System nach Art. 3 Nr. 1 KI-VO. Abgrenzung zu Expertensystemen deterministischer Logik einfachen Entscheidungsbaeumen und klassischer Automation. Hilft bei Grenzfaellen.
abmahnung-arbeitsrechtEntwirft und bewertet arbeitsrechtliche Abmahnungen. Lädt, wenn eine Abmahnung erstellt, inhaltlich geprüft oder deren Wirksamkeitsvoraussetzungen (Warnfunktion, Bestimmtheit, Dokumentation) beurteilt werden sollen – sowohl aus Arbeitgeber- als auch aus Arbeitnehmerperspektive.
abmahnung-markenrecht-uwgMarkenrechtliche Abmahnung mit strafbewehrter Unterlassungserklaerung, Hamburger Brauch Vertragsstrafe, § 14 MarkenG und § 8 UWG, Kosten nach § 14 UWG-n.F. 2021. Laedt, wenn der Nutzer 'Abmahnung Marke', 'Unterlassungserklaerung', 'Vertragsstrafe Marke', 'Hamburger Brauch' oder 'Abmahnung UWG' sagt.
abmahnung-urheberrechtPrüfung und Erstellung urheberrechtlicher Abmahnungen nach § 97a UrhG; modifizierte Unterlassungserklärung; Deckelung der Abmahnkosten im privaten Bereich (§ 97a Abs. 3 UrhG); Filesharing-Praxis; Lizenzanalogie-Schadensersatz (§ 97 Abs. 2 UrhG). Lädt bei urheberrechtlichen Abmahnungen, Unterlassungs- erklärungen, Filesharing-Fällen oder Schadensersatzforderungen nach UrhG.
abmahnung-uwgUnterstützt beim Verfassen und Prüfen von UWG-Abmahnungen nach § 13 UWG sowie der dazugehörigen modifizierten Unterlassungserklärung mit Vertragsstrafe und der Schutzschrift. Lädt, wenn ein Mandat eine wettbewerbsrechtliche Abmahnung, eine strafbewehrte Unterlassungserklärung oder eine Schutzschrift zum Gegenstand hat.
abwaegungsgebot-1-abs-7-baugbPruefung des Abwaegungsgebots Paragraf 1 Abs. 7 BauGB als zentrale materielle Anforderung an den Bebauungsplan. Bei der Aufstellung sind die oeffentlichen und privaten Belange gerecht gegeneinander und untereinander abzuwaegen. Vier Stufen der Abwaegungsfehler nach BVerwG seit Urteil vom 12.12.1969 4 C 105.66. Abwaegungsausfall keine Abwaegung. Abwaegungsdefizit relevante Belange nicht eingestellt. Abwaegungsfehleinschaetzung Belange falsch gewichtet. Abwaegungsdisproportionalitaet Ergebnis sprengt Spielraum. Paragraf 214 Abs. 3 BauGB filtert nur Vorgangsfehler nicht Ergebnisfehler. Vorfestlegung als Abwaegungsausfall. Formelhafte Abwaegungsdokumentation als Abwaegungsdefizit. Abwaegungsmaterial muss vollstaendig ermittelt sein.
account-sperre-soziales-netzwerk-rechtsbehelfe-art-20-23-dsaSkill zur anwaltlichen Vertretung bei Account-Sperre oder Inhaltsentfernung durch ein soziales Netzwerk. Stufenmodell: Art. 17 Begründungspflicht; Art. 20 internes Beschwerdesystem; Art. 21 außergerichtliche Streitbeilegung; Klageweg bei Vertragsstörung (BGH III ZR 179/20 und III ZR 192/20 vom 29.07.2021) auch gegen Auslandsanbieter; vorläufiger Rechtsschutz nach §§ 935 940 ZPO; Schadensersatz; Schnittstellen zu DSGVO Auskunft Löschung.
aenderungs-historieVerfolgt, wie sich ein Vertrag über Basisvertrag und alle Nachträge hinweg verändert hat – entweder als Gesamtüberblick aller Änderungen oder als Klausel-Rückverfolgung für eine bestimmte Bestimmung. Laden, wenn der Nutzer fragt „was hat sich in diesem Vertrag geändert\", „zeig mir die Nachtragshistorie\", „wo steht die aktuelle [Klausel]\" oder mehrere Vertragsversionen hochlädt.
ag-vorbereitungVorbereitung auf das Aufrufen in der Arbeitsgemeinschaft (AG) oder im Seminar. Lade diesen Skill bei Anfragen wie „AG-Vorbereitung\", „Seminar vorbereiten\", „was fragt der Dozent\", „Cold Call\" oder „ich werde morgen drangenommen\".
agb-haendlervertrag-luxusAGB im Selektivvertrieb: AGB-Kontrolle §§ 305 ff. BGB im B2B, BGH-Klauselverbote, Verbots- und Konditionsklauseln, MFN-Klauseln nach Coty II, Vertragsstrafe-Bemessung. Laedt, wenn der Nutzer 'AGB Händler', 'Händlervertrag Luxus', 'MFN-Klausel', 'AGB-Kontrolle B2B' oder 'Vertriebsvertrag AGB' sagt.