IT- / Datenschutzrecht
SaaS-/Cloud-Vertrag mit Exit-Check
anymize entfernt Mandanten-, Vendor- und Sub-Prozessor-Klarnamen sowie Produkt- und System-Bezeichnungen automatisch aus dem SaaS-/Cloud-Vertrag, bevor er an GPT, Claude oder Gemini geht — und setzt sie nach der KI-Antwort wieder ein. So strukturieren Sie einen Exit-Check mit Daten-Portabilität nach Art. 20 DSGVO und Data Act (VO 2023/2854), Datenlösch-Verpflichtung, SLA-Matrix und Eskalations-Klauseln in Minuten, ohne § 43a BRAO oder § 203 StGB zu berühren.
Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
SaaS- und Cloud-Verträge sind der häufigste IT-Vertragstyp — und gleichzeitig der mit dem höchsten Vendor-Lock-in-Risiko. Wer einen SaaS-Vertrag manuell auf Exit-Tauglichkeit prüft, sitzt 90–180 Minuten an den Klauseln zu Daten-Portabilität, Datenlösch-Verpflichtung am Vertragsende, SLA-Eskalation und Migrations-Unterstützung. Seit dem Geltungsbeginn des Data Act (Verordnung EU 2023/2854 ab 12.09.2025) sind die Anforderungen an Wechsel-Klauseln in Datenverarbeitungs-Diensten verschärft: Wechsel-Erleichterung, schrittweise Abschaffung der Wechselentgelte, Funktions-Äquivalenz und transparente Mindest-Wechsel-Frist. Mit anymize geht der Vertragstext anonymisiert an ein Frontier-Modell — Mandantenname, Vendor-Identität, Produkt- und System-Bezeichnungen verlassen das Haus nicht. Die anwaltliche Würdigung — Vendor-Lock-in-Risiko, Verhandelbarkeit, Migrations-Strategie — bleibt anwaltliche Eigenleistung.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Fachanwält:in für IT-Recht; Inhouse-Counsel bei Mandanten-Unternehmen mit umfangreichem SaaS-Portfolio; Compliance-orientierte:r Wirtschaftsanwält:in mit IT-Schwerpunkt; externe:r Datenschutzbeauftragte:r mit Vertrags-Beratungsmandat.
- Seniorität
- Berufserfahrung mittel bis Spezialist:in — der SaaS-Review ist Routinetätigkeit, braucht aber bei kritischer Geschäfts-Funktion (ERP, CRM, HR, Buchhaltung), bei Konzern-Migration oder bei Data-Act-Wechsel-Konstellation den geübten Blick auf die Wechselbarkeits-Architektur.
- Kanzleigröße
- Einzelkanzlei mit IT-Fokus bis Großkanzlei mit Cloud-Beratungspraxis. Der Effizienz-Hebel rechnet sich besonders bei mittlerer bis hoher Vertrags-Frequenz — bei 5–10 SaaS-/Cloud-Reviews pro Monat oder bei Konzern-Setups mit Vendor-Konsolidierung.
- Spezifische Kontexte
- Mandant migriert auf neuen SaaS-Anbieter und braucht Exit-Check des alten Vertrags und Exit-Tauglichkeit des neuen; Konzern-Sourcing mit zentraler Vendor-Liste; SaaS-Erneuerung mit Verhandlungs-Vorbereitung; Vendor-Lock-in-Risiko nach Eskalation oder Preiserhöhung; Geltungsbeginn Data Act (12.09.2025) als Anlass für Vertrags-Aktualisierung.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
SaaS-Verträge sind im Marketing als „flexibel“ positioniert — und in der Vertrags-Wirklichkeit oft mit hartem Vendor-Lock-in versehen. Daten-Portabilität wird nicht oder nur in unbrauchbaren Formaten zugesichert; Datenlösch-Verpflichtungen am Vertragsende fehlen oder sind an Mitwirkungs-Pflichten der Mandantschaft gekoppelt; SLA-Klauseln haben Eskalations-Wege, aber keine messbaren Folgen; Wechsel-Unterstützung wird teuer berechnet. Seit dem Data Act (VO 2023/2854, Geltung ab 12.09.2025) ist die Lage für die Mandantschaft als „Kundin“ von Datenverarbeitungs-Diensten formal besser — die Praxis-Umsetzung in den Verträgen hinkt aber hinterher. Wer einen SaaS-Vertrag manuell auf Exit-Tauglichkeit prüft, sitzt 90–180 Minuten am Klausel-Vergleich. Wer ChatGPT oder Claude direkt nutzen würde, kommt in Minuten zur Klausel-Matrix — verletzt aber § 43a BRAO und § 203 StGB, sobald Mandantenname, Vendor-Identität, Produkt- und System-Bezeichnungen das Haus verlassen. anymize löst genau diesen Konflikt: Mandantenname, Vendor-Identität, Produkt- und System-Bezeichnungen werden vor dem KI-Aufruf zu Platzhaltern; die KI-Antwort kommt strukturiert zurück, anymize re-identifiziert. Die Vertraulichkeit ist strukturell gewahrt.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro SaaS-Review
~90 Min
Frontier-KI strukturiert Exit-Klausel-Matrix mit Daten-Portabilität, Lösch-Verpflichtung, SLA-Eskalation und Data-Act-Konformität in unter 15 Minuten. Anwaltliche Würdigung, Verhandlungs-Strategie und Mandanten-Empfehlung kommen wie gewohnt obendrauf.
Mehrwert pro Vertrag
€ 375–675
Stundensatz IT-Recht (€ 250–450/h) angewandt auf 90 Minuten freigespielte Strukturierungs-Zeit.
Vertraulichkeit
strukturell
anymize entfernt 40+ Kategorien personenbezogener Daten — Mandantenname, Vendor-Identität, Produkt- und System-Bezeichnungen, Sub-Prozessor-Listen, Vertretungsberechtigte — bevor der Text das Haus verlässt.
Erkennungsrate
>95 %
Dreifach geprüft (Algorithmus + zwei spezialisierte KI-Prüfungen). Restmenge kontrollieren Sie im Vorschau-Modus vor dem KI-Aufruf.
So gehen Sie vor
In 5 Schritten zum Antrag
SaaS-/Cloud-Vertrag und Mandatskontext bereitstellen. Sie übernehmen den Vertrags-Entwurf des Vendors (PDF, Word, Markdown) und ggf. das Kanzlei-Playbook für SaaS-Verträge in den anymize-Arbeitsplatz. Klären Sie: Welcher Vertragstyp (SaaS, IaaS, PaaS, Hybrid)? Welche Geschäfts-Kritikalität (Tier 1–3)? Welche Daten werden verarbeitet (Art.-9-Anteil)? Welches Drittland-Setup? Greift der Data Act (VO 2023/2854) — also Datenverarbeitungs-Dienst i. S. d. Art. 2 Nr. 8 Data Act?
Sie
Mandatsgrundlage · Data-Act-Anwendungsbereich
anymize anonymisiert automatisch. Über 40 Kategorien personenbezogener Daten — Mandantenname, Vendor-Identität, Produkt- und System-Bezeichnungen, Sub-Prozessor-Listen, IBANs, Vertretungsberechtigte — werden durch semantische Platzhalter ersetzt. Sie sehen die Vorschau vor dem KI-Aufruf. Bei Sub-Prozessor-Listen mit zehn oder mehr Einträgen empfehlen wir, einmal komplett zu prüfen.
anymize
§ 43a BRAO Verschwiegenheit · § 203 StGB
Frontier-KI strukturiert. Der pseudonymisierte SaaS-/Cloud-Vertrag geht an Ihr gewähltes Modell — GPT, Claude oder Gemini, alle in anymize verfügbar. Mit dem unten stehenden Prompt fragen Sie eine Exit-Klausel-Matrix mit den fünf Kern-Dimensionen ab: Daten-Portabilität (Art. 20 DSGVO und Data-Act-Wechsel), Datenlösch-Verpflichtung, SLA-Matrix mit Eskalation, Migrations-Unterstützung, Haftungs-Cap und Vertragsbeendigung. Die KI sieht keine Klarnamen — sie arbeitet ausschließlich mit den Platzhaltern.
GPT / Claude / Gemini in anymize
Klausel-Vergleich in Minuten
anymize re-identifiziert. Die KI-Antwort kommt mit Platzhaltern zurück; anymize setzt automatisch die Originaldaten wieder ein. Sie erhalten eine Klausel-Matrix, die Sie anwaltlich würdigen: Vendor-Lock-in-Bewertung, Verhandelbarkeit der Exit-Klauseln, Migrations-Strategie, Konsistenz mit AVV und Drittlandtransfer-Konstrukt, Data-Act-Konformität bei Geltungsbeginn (12.09.2025) und schrittweise Abschaffung der Wechselentgelte.
anymize + Sie
Bidirektionale Anonymisierung · anwaltliche Würdigung
Mandanten-Empfehlung und Verhandlung. Sie schicken die Klausel-Matrix mit Mandanten-Empfehlung — Annehmen, Verhandeln, Ablehnen — an die Mandantschaft. Bei Verhandlungsbedarf entwerfen Sie Gegenklauseln (oder lassen die KI mit demselben Prompt-Pattern Drafting-Vorschläge machen, ebenfalls auf pseudonymisiertem Text). Bei Vendor-Lock-in-Risiko: Empfehlung zur Multi-Cloud-Strategie oder zum Standby-Vendor.
Sie
Anwaltliche Beratung im Mandatsverhältnis
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Erkennt 40+ Kategorien personenbezogener Daten — Mandantenname, Vendor-Identität, Produkt- und System-Bezeichnungen, Sub-Prozessor-Listen, IBANs, Vertretungsberechtigte — mit über 95 % Erkennungsrate.
- Dreistufige Prüfung: Algorithmische Analyse, dann zwei spezialisierte KI-Prüfungen, die auch Kontext berücksichtigen (z. B. Vendor-Name vs. Standort-Bezug).
- Bidirektionale Anonymisierung: Platzhalter werden eingesetzt, das Frontier-Modell antwortet mit Kontext, anymize re-identifiziert beim Empfang.
- Daten in deutschen Rechenzentren (Hetzner). Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.
Was Sie als Anwält:in tun
- Vertragstyp und Geschäfts-Kritikalität klären — und ob der Data Act (VO 2023/2854) auf den Vertrag anwendbar ist.
- Vorschau der Anonymisierung sichten — bei Sub-Prozessor-Listen mit zehn oder mehr Einträgen empfehlen wir, einmal komplett zu prüfen.
- Klausel-Matrix anwaltlich würdigen — die rechtliche Bewertung der Vendor-Lock-in-Schwere, die Verhandelbarkeits-Einschätzung und die Migrations-Strategie leistet die KI bewusst nicht.
- Konsistenz-Prüfung mit AVV nach Art. 28 DSGVO und mit TIA bei Drittlandtransfer — der SaaS-Hauptvertrag und der AVV müssen miteinander funktionieren.
- Mandanten-Empfehlung formulieren, Verhandlungs-Strategie abstimmen, Gegenklauseln vorbereiten.
Daten-Input
SaaS-/Cloud-Vertrag des Vendors (PDF, Word, Markdown), AVV nach Art. 28 DSGVO, SLA und Anhänge (TOMs, Sub-Prozessor-Liste, Migrations-Beilagen), optional Kanzlei-Playbook für SaaS-Verträge.
Output-Kontrolle
Pseudonymisierter Text geht an die KI. Re-identifizierte Klausel-Matrix kommt zurück. anymize selbst trifft keine inhaltlichen Aussagen — die Strukturierung leistet das Frontier-Modell, die Würdigung machen Sie.
Freigabeprozess
Sie behalten jederzeit die Hoheit: Sichtung der Anonymisierung, anwaltliche Bewertung der Klauseln, Mandanten-Beratung, Verhandlungs-Strategie — alles im üblichen Kanzlei-Workflow. anymize ist der Anonymisierungs-Layer, keine Workflow-Software.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. SaaS-/Cloud-Vertrag, AVV und SLA in anymize einfügen — die Anonymisierung läuft automatisch (Mandantenname, Vendor-Identität, Produkt- und System-Bezeichnungen werden zu Platzhaltern).
2. Diesen Prompt kopieren und an den SaaS-Vertrag anhängen, AVV und SLA als weitere Blöcke daruntersetzen.
3. In anymize unter „Tools → Reasoning“ auf „Thinking-Modus“ stellen, dann KI-Aufruf starten — der Output kommt re-identifiziert zurück.
# Rolle
Du bist Vertragsanalyse-Assistenz für eine IT-/Datenschutzrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.
# Aufgabe
Prüfe den vorgelegten SaaS-/Cloud-Vertrag systematisch auf Exit-
Tauglichkeit gegen (1) Art. 20 DSGVO Daten-Portabilität,
(2) Data Act (Verordnung EU 2023/2854, ab 12.09.2025) mit den
Kapitel-VI-Wechsel-Anforderungen, (3) Datenlösch-Verpflichtung am
Vertragsende, (4) SLA-Eskalation und (5) Migrations-Unterstützung.
Liefere eine Klausel-Matrix mit Soll-Ist-Vergleich und einem
Verhandelbarkeits-Hinweis je Befund. Die anwaltliche Wertung —
Vendor-Lock-in-Schwere, Verhandlungs-Strategie, Migrations-
Empfehlung — ist NICHT deine Aufgabe.
# Inhalt
## Abschnitt 1 — Daten-Portabilität (Art. 20 DSGVO / Data Act)
Tabelle mit Spalten: Anforderung | Klausel im Vertrag | Soll | Ist |
Lücke?
Anforderungen:
- Art. 20 DSGVO: strukturiertes, gängiges, maschinenlesbares
Format; Übertragbarkeit auf anderen Verantwortlichen
- Data Act Art. 23 ff.: Wechsel-Erleichterung, Funktions-
Äquivalenz, Mindest-Wechsel-Frist 30 Tage, Vorankündigungs-
Frist 2 Monate
- Data Act Art. 25: schrittweise Abschaffung der Wechselentgelte
(Reduktion ab 12.09.2025, vollständige Abschaffung ab 12.09.2027)
- Daten-Export-Formate konkret beschrieben (nicht nur "übliche
Formate")
- Export von Metadaten und abgeleiteten Daten (nicht nur Rohdaten)
## Abschnitt 2 — Datenlösch-Verpflichtung Vertragsende
Tabelle mit Spalten: Anforderung | Klausel | Soll | Ist | Lücke?
Anforderungen:
- Löschungs-Frist nach Vertragsende (Empfehlung: 30–90 Tage)
- Lösch-Nachweis in Textform
- Lösch-Bestätigung der Subprozessoren
- Backup-Bereinigung adressiert
- Konflikt mit gesetzlichen Aufbewahrungs-Fristen geklärt
## Abschnitt 3 — SLA-Matrix
Tabelle mit Spalten: Metrik | Ziel | Messung | Eskalation | Folge
bei Verfehlung
Metriken zu prüfen:
- Verfügbarkeit (Uptime in %)
- Reaktionszeit auf Vorfälle nach Schwere-Stufen
- Wiederherstellungszeit (RTO)
- Maximale Daten-Verlust-Toleranz (RPO)
- Eskalations-Wege bei Verfehlung
- Folgen (Service-Credits, Sonder-Kündigung, Schadens-Pauschale)
## Abschnitt 4 — Migrations-Unterstützung und Vertragsbeendigung
Tabelle mit Spalten: Anforderung | Klausel | Soll | Ist | Lücke?
Anforderungen:
- Übergangs-Unterstützung bei Vertragsende
- Vergütung der Übergangs-Unterstützung (mit Data-Act-Reduktions-
Stufen)
- Mindest-Übergangs-Zeitraum (z. B. 60 Tage)
- Ordentliche Kündigung mit Vorlauf
- Sonder-Kündigung bei SLA-Verfehlung, bei wesentlicher
AGB-Änderung, bei Verlust von Sub-Prozessor-Zertifizierungen
## Abschnitt 5 — Konsistenz-Check AVV und Drittland
Tabelle mit Spalten: Punkt | Hauptvertrag | AVV / Anhang | Konsistent?
Punkte:
- Sub-Prozessor-Liste identisch?
- Drittlandtransfer-Setup identisch (SCC-Modul, TIA-Verweis)?
- Daten-Lösch-Frist Hauptvertrag vs. AVV?
- Audit-Recht im Hauptvertrag und im AVV?
## Abschnitt 6 — Verhandelbarkeits-Übersicht
Tabelle mit Spalten: Lücke | Stufe | Verhandlungs-Hinweis
Stufen:
- [STANDARD] — typische Branchen-Lücke, regelmäßig verhandelbar
- [KRITISCH] — DSGVO-/Data-Act-Pflichtverletzung oder
Vendor-Lock-in-No-Go
- [PRUEFUNG] — anwaltliche Bewertung im Einzelfall erforderlich
# Format
Markdown. Tabellen für alle Abschnitte. Bei zitierten Data-Act-
Artikeln immer mit Artikel-Nummer (z. B. "Art. 23 Data Act").
# Verbote
KEINE Empfehlung zu Annahme / Verhandlung / Ablehnung.
KEINE Spekulation zur Verhandlungsmacht der Mandantschaft.
KEINE Bewertung der Vendor-Vertrauenswürdigkeit.
KEINE Aussage zur Marktüblichkeit von Klauseln ohne Quellen-Beleg.
KEINE Behauptung der Data-Act-Anwendbarkeit ohne Sachverhalts-
Beleg (Datenverarbeitungs-Dienst i. S. d. Art. 2 Nr. 8 Data Act).
KEINE Bezugnahme auf KI-Modell-Versionen oder Hersteller-Marketing.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Vertragsparteien:
Anbieter: [[Unternehmensname-6b1f]],
[[Adresse-6b1f]], vertreten durch [[Vorname-6b1f]] [[Nachname-6b1f]].
Kunde (Mandant): [[Unternehmensname-c3e8]],
[[Adresse-c3e8]], vertreten durch [[Vorname-c3e8]] [[Nachname-c3e8]].
Leistung:
SaaS-Bereitstellung der CRM-Plattform [[Produktname-6b1f]] mit
Modulen Sales, Service, Marketing-Automation und Integration in
das ERP-System [[Produktname-c3e8]] der Mandantschaft.
Datenverarbeitung im EU-Tenant; Backup-Storage in den USA bei
Sub-Prozessor [[Unternehmensname-aa12]].
Auszug § 8 (Daten-Export):
Der Anbieter stellt dem Kunden auf Anfrage einen Export der
vom Kunden gespeicherten Stamm- und Bewegungsdaten in einem
üblichen Format (CSV oder XML) zur Verfügung. Die Erstellung
des Exports ist im monatlichen Entgelt enthalten, bei mehr
als zwei Exports pro Jahr berechnet der Anbieter Aufwand zu
marktüblichen Sätzen.
Auszug § 11 (Datenlöschung bei Vertragsende):
Nach Vertragsende werden die Kundendaten innerhalb von
120 Tagen aus den Produktiv-Systemen des Anbieters gelöscht.
Backup-Speicher werden im Rahmen der regulären Backup-Rotation
überschrieben (regulär 365 Tage). Eine schriftliche Lösch-
Bestätigung erstellt der Anbieter auf Anfrage gegen
Aufwandsvergütung.
Auszug § 13 (SLA):
Der Anbieter gewährleistet eine monatliche Verfügbarkeit von
99,5 %. Bei Unterschreitung erhält der Kunde Service-Credits in
Höhe von 5 % des Monatsentgelts pro fehlenden Prozentpunkt,
maximal 25 % des Monatsentgelts pro Kalendermonat.
Reaktionszeiten:
- Schwere 1 (Totalausfall): 4 Stunden
- Schwere 2 (Funktionsausfall): 8 Stunden
- Schwere 3 (Beeinträchtigung): 1 Werktag
Auszug § 15 (Migrations-Unterstützung):
Der Anbieter unterstützt den Kunden bei einem Wechsel zu einem
anderen Anbieter im Rahmen einer "Transition Services
Agreement" (TSA). Die Vergütung erfolgt nach Aufwand zu
marktüblichen Sätzen; der TSA-Zeitraum beträgt maximal 90 Tage
nach Vertragsende.
Auszug § 17 (Vertragslaufzeit):
Mindestlaufzeit 36 Monate, danach Verlängerung um jeweils
12 Monate, sofern nicht 6 Monate vor Ablauf gekündigt wird.
Sonderkündigungsrechte: bei wesentlicher Pflichtverletzung
durch den Anbieter nach erfolgloser Abmahnung.
Anlage 3 (Sub-Prozessoren):
[[Unternehmensname-aa12]] (Backup-Storage, USA)
[[Unternehmensname-4d9e]] (E-Mail-Versand, EU)
[[Unternehmensname-9b1a]] (Telefonie-Integration, EU)So liefert anymize zurück
Der Antrags-Entwurf
# SaaS-/Cloud-Vertrag — Exit-Klausel-Matrix
## Abschnitt 1 — Daten-Portabilität
| Anforderung | Klausel | Soll | Ist | Lücke? |
|---|---|---|---|---|
| Art. 20 DSGVO: strukturiertes, gängiges, maschinenlesbares Format | § 8 | Pflicht | CSV/XML angegeben | erfüllt |
| Übertragbarkeit auf anderen Verantwortlichen | § 8 | Pflicht | nicht ausdrücklich, aber technisch möglich | [STANDARD] Klarstellung |
| Data Act Art. 23: Wechsel-Erleichterung | § 8/15 | Pflicht ab 12.09.2025 | nicht erwähnt | [KRITISCH] |
| Data Act Art. 25: schrittweise Reduktion Wechselentgelte | § 8/15 | Pflicht ab 12.09.2025, volle Abschaffung ab 12.09.2027 | "marktüblich" — keine Reduktions-Logik | [KRITISCH] |
| Mindest-Wechsel-Frist 30 Tage | § 15 | Pflicht | 90 Tage TSA — überschreitet Mindestmaß | erfüllt mit Reserve |
| Vorankündigungs-Frist 2 Monate | § 15 | Pflicht | nicht geregelt | [STANDARD] |
| Export-Format konkret beschrieben | § 8 | Empfehlung | "übliches Format CSV/XML" — vage | [STANDARD] |
| Export von Metadaten und abgeleiteten Daten | § 8 | Empfehlung | nur "Stamm- und Bewegungsdaten" | [STANDARD] bei CRM kritisch — Lead-Scores, Aktivitäts-Daten |
## Abschnitt 2 — Datenlösch-Verpflichtung Vertragsende
| Anforderung | Klausel | Soll | Ist | Lücke? |
|---|---|---|---|---|
| Lösch-Frist Produktiv-System | § 11 | 30–90 Tage | 120 Tage | [STANDARD] |
| Lösch-Frist Backup | § 11 | mit Restriktion (z. B. 180 Tage) | 365 Tage Backup-Rotation | [STANDARD] |
| Lösch-Nachweis in Textform | § 11 | unentgeltlich | nur auf Anfrage, gegen Aufwand | [STANDARD] |
| Lösch-Bestätigung Subprozessoren | § 11 | Pflicht | nicht geregelt | [KRITISCH] — Backup bei [[Unternehmensname-aa12]] USA |
| Konflikt-Klausel gesetzliche Aufbewahrung | § 11 | empfohlen | nicht geregelt | [STANDARD] |
## Abschnitt 3 — SLA-Matrix
| Metrik | Ziel | Messung | Eskalation | Folge bei Verfehlung |
|---|---|---|---|---|
| Verfügbarkeit | 99,5 % monatlich | nicht definiert | nicht geregelt | Service-Credits, max. 25 % Monatsentgelt |
| RTO (Wiederherstellung) | nicht spezifiziert | — | — | — [STANDARD] |
| RPO (Daten-Verlust) | nicht spezifiziert | — | — | — [STANDARD] |
| Reaktionszeit S1 | 4 h | nicht definiert (Geschäftszeit?) | nicht geregelt | nicht geregelt [STANDARD] |
| Reaktionszeit S2 | 8 h | nicht definiert | nicht geregelt | nicht geregelt [STANDARD] |
| Reaktionszeit S3 | 1 Werktag | nicht definiert | nicht geregelt | nicht geregelt |
| Sonder-Kündigung bei SLA-Verfehlung | — | — | — | nicht geregelt [STANDARD] |
## Abschnitt 4 — Migrations-Unterstützung und Vertragsbeendigung
| Anforderung | Klausel | Soll | Ist | Lücke? |
|---|---|---|---|---|
| Übergangs-Unterstützung | § 15 | Pflicht | "Transition Services Agreement" 90 Tage | erfüllt mit Reserve |
| Vergütung Übergangs-Unterstützung | § 15 | Data-Act-Reduktion ab 12.09.2025 | "marktüblich" — keine Reduktion | [KRITISCH] |
| Mindest-Übergangs-Zeitraum | § 15 | mind. 60 Tage | 90 Tage | erfüllt |
| Ordentliche Kündigungs-Vorlauf | § 17 | 3–6 Monate | 6 Monate bei 36 Mon. Mindestlaufzeit | [STANDARD] Mindestlaufzeit prüfen |
| Sonder-Kündigung bei wesentlicher AGB-Änderung | § 17 | Empfehlung | nicht geregelt | [STANDARD] |
| Sonder-Kündigung bei Sub-Prozessor-Wechsel | § 17 | Empfehlung | nicht geregelt | [STANDARD] |
## Abschnitt 5 — Konsistenz-Check AVV und Drittland
| Punkt | Hauptvertrag | AVV / Anhang | Konsistent? |
|---|---|---|---|
| Sub-Prozessor-Liste | Anlage 3 | im AVV separat — prüfen | [PRUEFUNG] |
| Drittlandtransfer (USA) | erwähnt bei [[Unternehmensname-aa12]] | SCC-Modul-Verweis im AVV | [PRUEFUNG] |
| Daten-Lösch-Frist | 120 Tage Produktiv-System (§ 11) | im AVV vermutlich abweichend | [PRUEFUNG] |
| Audit-Recht | nicht geregelt | im AVV | [PRUEFUNG] — Konsistenz prüfen |
## Abschnitt 6 — Verhandelbarkeits-Übersicht
| Lücke | Stufe | Verhandlungs-Hinweis |
|---|---|---|
| Data-Act-Wechsel-Erleichterung nicht erwähnt | [KRITISCH] | Pflicht ab 12.09.2025 — Klausel ergänzen |
| Data-Act-Reduktion Wechselentgelte | [KRITISCH] | Pflicht ab 12.09.2025, volle Abschaffung ab 12.09.2027 |
| Lösch-Bestätigung Subprozessoren | [KRITISCH] | Vendor-Lock-in-Risiko bei US-Backup |
| Metadaten-/Lead-Score-Export | [STANDARD] | bei CRM-Migration kritisch — verhandelbar |
| Lösch-Frist Produktiv-System 120 Tage | [STANDARD] | Reduktion auf 60 Tage gängig |
| Backup-Lösch-Frist 365 Tage | [STANDARD] | Reduktion mit Härtefall-Klausel verhandelbar |
| SLA ohne RTO/RPO | [STANDARD] | RTO 4 h / RPO 24 h ist gängig |
| Reaktionszeiten ohne Geschäftszeit-Klarstellung | [STANDARD] | 24/7 vs. Geschäftszeit prüfen |
| Keine Sonder-Kündigung bei SLA-Verfehlung | [STANDARD] | gängig nach drei Monaten Verfehlung in Folge |
[ANWALT-PRUEFUNG: Annahme-, Verhandlungs- oder Ablehnungs-Empfehlung
an die Mandantschaft erfolgt anwaltlich auf Basis dieser Klausel-
Matrix. Vendor-Lock-in-Bewertung und Migrations-Strategie ebenfalls.]Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
§ 43a BRAO Verschwiegenheit
SaaS-/Cloud-Verträge enthalten Vendor-Identität, Mandanten-interne System-Bezeichnungen, Integrations-Architektur und Sub-Prozessor-Beziehungen. anymize ersetzt 40+ Kategorien personenbezogener Daten durch Platzhalter, bevor irgendein KI-Anbieter den Vertragstext sieht. Mandantenname, Vendor-Identität, Produkt- und System-Bezeichnungen, Sub-Prozessor-Listen — alles automatisch erkannt mit über 95 % Erkennungsrate.
§ 43e BRAO Auftragsverarbeitung
Sie schließen einen AVV mit anymize ab. Datenverarbeitung ausschließlich in deutschen Rechenzentren (Hetzner). Originaldokumente speichern wir nicht — nur die Zuordnung Platzhalter ↔ Originaldaten, mit Aufbewahrungsfrist nach Ihrer Wahl. Eine Selbstreferenz für IT-/Datenschutzrechts-Kanzleien: Sie prüfen den Mandanten-SaaS-Vertrag mit einem Werkzeug, das selbst nach § 43e BRAO ausgelegt ist.
§ 203 StGB Geheimnisschutz
Indem Mandantenname, Vendor-Identität und System-Bezeichnungen das Haus nicht verlassen, vermeiden Sie das Offenbarungsproblem grundsätzlich. Die anymize-Mitarbeitenden sind nach § 203 belehrt und sehen ohnehin nur die Zuordnungstabelle, nicht den Vertragstext.
Data Act (VO 2023/2854) Kapitel VI
Der Data Act gilt seit dem 12.09.2025 und enthält in den Art. 23 ff. spezifische Wechsel-Anforderungen für Datenverarbeitungs-Dienste: Wechsel-Erleichterung, Funktions-Äquivalenz, transparente Vertragsbedingungen für den Wechsel, Vorankündigungs- und Mindest-Wechsel-Fristen. Art. 25 sieht eine schrittweise Reduktion der Wechselentgelte vor, mit voller Abschaffung ab 12.09.2027. Bestandsverträge sind anzupassen.
Art. 20 DSGVO Daten-Portabilität
Art. 20 DSGVO greift nur, wenn die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt. In SaaS-Konstellationen ist das regelmäßig der Fall. Format-Anforderung „strukturiert, gängig, maschinenlesbar“ ist seit der EuGH-Rechtsprechung weiter zu lesen — bloße PDF-Exports sind nicht ausreichend.
Vendor-Lock-in als wirtschaftliches Risiko
Selbst bei vertraglich zugesicherter Portabilität ist die tatsächliche Migrations-Tauglichkeit zu prüfen: Sind Metadaten und abgeleitete Daten im Export enthalten? Sind die Daten-Strukturen dokumentiert? Gibt es einen Test-Export während der Vertragslaufzeit? Die KI strukturiert die Frage; die wirtschaftliche Wertung trifft die Mandantschaft mit anwaltlicher Begleitung.
Konsistenz Hauptvertrag und AVV
SaaS-Hauptvertrag und AVV nach Art. 28 DSGVO müssen miteinander funktionieren — und tun es in der Praxis oft nicht. Lösch-Fristen weichen ab, Sub-Prozessor-Listen sind nicht synchron, Audit-Rechte stehen in beiden mit unterschiedlichen Voraussetzungen. Die KI markiert die Konsistenz-Lücken; die juristische Auflösung trifft die Kanzlei.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Die juristisch entscheidende Frage beim SaaS-Review: Sieht der KI-Anbieter den Mandantennamen, die Vendor-Identität und die Sub-Prozessor-Liste? Antwort mit anymize: nein. Vendor- und Mandantenname, Adressen, Produkt- und System-Bezeichnungen, Sub-Prozessor-Identitäten, IBANs und Vertretungsberechtigte werden vor dem KI-Aufruf durch Platzhalter ersetzt; nach der KI-Antwort identifiziert anymize zurück. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 43e BRAO ist Teil des Standardvertrags, Originaldokumente werden nicht gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Mandatsvertrag); bei SaaS-Verträgen mit Art.-9-Datenflüssen — etwa Gesundheits-Plattformen oder HR-Analytics — zusätzlich Art. 9 Abs. 2 lit. f i.V.m. § 43a BRAO. Mandanten- und Vendor-Klarnamen werden aus dem KI-Kontext gehalten, was § 203 StGB strukturell entlastet. Die EDPB Opinion 28/2024 erkennt funktionale Anonymität gegenüber Cloud-Diensten an — anymize setzt diese funktionale Anonymität operativ um.
Was anymize konkret leistet
- Erkennt Mandanten- und Vendor-Klarnamen, Adressen, Produkt- und System-Bezeichnungen, Sub-Prozessor-Identitäten und IBANs mit über 95 % Genauigkeit.
- Ersetzt sie durch semantische Platzhalter, bevor der Vertragstext an GPT, Claude oder Gemini geht.
- Re-identifiziert die KI-Antwort automatisch — Sie sehen die Klausel-Matrix mit den richtigen Klarnamen zurück.
- Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO mit § 43e BRAO-Erklärung im Standardvertrag.
- Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Vertragstyp geklärt — SaaS, IaaS, PaaS, Hybrid? Data-Act-Anwendbarkeit (VO 2023/2854) bestimmt?
- Geschäfts-Kritikalität bewertet (Tier 1–3)?
- AVV und SLA mit eingereicht?
- Anonymisierungs-Vorschau gesichtet — Sub-Prozessor-Liste vollständig anonymisiert?
- Risiko-Klassifikation der Daten (Art. 9 DSGVO ja/nein) bereitgestellt?
Nach der KI-Antwort
- Re-Identifikation korrekt — alle Platzhalter zurückgesetzt?
- Klausel-Matrix vollständig — alle sechs Abschnitte abgedeckt?
- Data-Act-Konformität explizit geprüft (Art. 23 ff., Art. 25 Reduktions-Logik)?
- Konsistenz-Check Hauptvertrag und AVV abgearbeitet?
- [KRITISCH]-Markierungen anwaltlich nachgeprüft?
Vor der Mandanten-Empfehlung
- Vendor-Lock-in-Bewertung anwaltlich verantwortet?
- Verhandlungs-Strategie pro Lücke festgelegt (Annehmen / Verhandeln / Ablehnen)?
- Bei kritischer Geschäfts-Funktion: Multi-Cloud- oder Standby-Empfehlung formuliert?
- Drittlandtransfer-Konstrukt anwaltlich gewürdigt (TIA, SCC, DPF)?
- Folge-Mandate identifiziert (AVV-Review, TIA, DSFA)?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI behauptet Data-Act-Anwendbarkeit pauschal — die Anwendbarkeit setzt einen Datenverarbeitungs-Dienst i. S. d. Art. 2 Nr. 8 Data Act voraus; nicht jeder SaaS fällt darunter.
- →KI verwechselt Art. 20 DSGVO Daten-Portabilität (Recht des Betroffenen) und Data-Act-Wechsel (Recht des Geschäftskunden) — beide gelten parallel und mit unterschiedlichem Anwendungsbereich.
- →KI gibt SLA-Bewertung „angemessen“ ohne Branchen-Benchmark — eine Bewertung der Angemessenheit ist anwaltlich.
- →KI vergisst die Konsistenz-Prüfung Hauptvertrag/AVV — die Lösch-Fristen weichen in der Praxis fast immer ab.
- →KI listet „Service-Credits“ als ausreichende Sanktion — ohne Sonder-Kündigung bei wiederholter Verfehlung bleibt das wirtschaftlich kraftlos.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen
- insbesondere Kapitel VI Art. 23–31 (Wechsel zwischen Datenverarbeitungs-Diensten)
- Recht auf Datenübertragbarkeit
- Auftragsverarbeitung
- Sicherheit der Verarbeitung — TOMs
- Drittlandtransfer
- Standardvertragsklauseln Module 1–4
- TIA-Pflicht bei Drittlandtransfer
Berufsrechtliche Grundlagen
- Anwaltliche Verschwiegenheit
- Auftragsverarbeitung und IT-Auslagerung
- Verletzung von Privatgeheimnissen
Sekundärquellen
- Ergänzende Maßnahmen für Drittlandtransfer
- AI-/Modell-Verarbeitung und funktionale Anonymität
- Cloud-Computing-Compliance-Anforderungen
- Technische und organisatorische Maßnahmen
- Mandantentransparenz und KI-Einsatz
- SaaS-/Cloud-Prüfungsmaßstäbe
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.