By name: saas-msa-pruefung description: "Prüfung von SaaS-Abonnement- und Rahmenverträgen (MSA) mit Schwerpunkt auf AGB-Kontrolle (§§ 305–310 BGB), automatischer Verlängerung, Preiseskalation, Datenschutz (Art. 28 DSGVO), Haftungsbegrenzung und Vertragsstrafe (§ 339 BGB). Wird von /vertragsrecht:vertragsprüfung geladen, wenn ein SaaS- o..."
SaaS-/MSA-Prüfung
Arbeitsbereich
Prüfung von SaaS-Abonnement- und Rahmenverträgen (MSA) mit Schwerpunkt auf AGB-Kontrolle (§§ 305–310 BGB), automatischer Verlängerung, Preiseskalation, Datenschutz (Art. 28 DSGVO), Haftungsbegrenzung und Vertragsstrafe (§ 339 BGB). Wird von /vertragsrecht:vertragsprüfung geladen, wenn ein SaaS- oder Abonnementvertrag erkannt wird. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.
Arbeitsweg
- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: BGB §§ 305-310, AGBG (alt), EuGH zu Klauseltransparenz (z. B. C-26/13, C-186/16), VerbrG; §§ 305 ff. BGB, NDA, SaaS- — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.
Eingaben
- SaaS-/MSA-Vertrag (Datei-Upload oder Direkteingabe)
- Ggf. Auftragsformular (Order Form) separat
- AVV/DPA (falls als separates Dokument)
- Kontext: Auftraggeber oder Auftragnehmer?
- Praxisprofil aus
~/.claude/plugins/config/claude-fuer-deutsches-recht/vertragsrecht/CLAUDE.md
Akten-Kontext
Falls Akten-Arbeitsbereiche aktiviert, aktive Akte prüfen. Falls keine aktive Akte, fragen.
Ablauf
Schritt 1: Playbook laden und Seite bestimmen
Welche Seite? Vor der Playbook-Anwendung ermitteln:
- Gegenpartei ist SaaS-Anbieter, der die Plattform verkauft → Käuferseite
- Das Unternehmen ist SaaS-Anbieter, Gegenpartei ist Kunde → Verkäuferseite
- Reseller/White-Label? → Fragen: "Auf welcher Seite steht [Unternehmen] – Anbieter oder Kunde?"
Aus ~/.claude/plugins/config/claude-fuer-deutsches-recht/vertragsrecht/CLAUDE.md den zutreffenden Playbook-Abschnitt lesen. Falls nicht konfiguriert: Setup-Befehl nennen.
AGB-Kontrolle nach §§ 305–310 BGB:
- Einbeziehungsvoraussetzungen (§ 305 Abs. 2 BGB) prüfen
- Überraschende Klauseln (§ 305c BGB)
- Transparenzgebot (§ 307 Abs. 1 S. 2 BGB)
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- Bei B2B: § 310 Abs. 1 BGB – eingeschränkte Kontrolle, aber § 307 BGB gilt
Schritt 2: Standard-Playbook-Prüfung
Alle Standard-Checkpunkte aus dem Lieferantenvertrag-Prüfungs-Skill anwenden: Haftung, Freistellung, IP, Datenschutz, Laufzeit/Kündigung, Gerichtsstand. Ergebnisse in die SaaS-spezifische Ausgabe integrieren.
Schritt 3: SaaS-spezifischer Prüfaufschlag
3.1 Automatische Verlängerung (§ 309 Nr. 9 BGB; § 307 BGB)
Der häufigste Weg, bei dem ein SaaS-Deal schiefläuft: niemand bemerkt das Kündigungsfenster, und das Unternehmen ist für ein weiteres Jahr zum höheren Preis gebunden.
Prüfen und mit CLAUDE.md-Positionen vergleichen:
| Element | Inhalt | Playbook-Position |
|---|---|---|
| Verlängerungslaufzeit | z. B. gleich wie Erstlaufzeit / länger / mehrjährig | [aus CLAUDE.md] |
| Kündigungsfrist | Tage vor Verlängerung | [aus CLAUDE.md] |
| Kündigungsform | E-Mail / Schriftform / Portal / Einschreiben | [aus CLAUDE.md] |
| Preis bei Verlängerung | gleich / CPI-begrenzt / jeweils aktueller Listenpreis | [aus CLAUDE.md] |
B2C-Hinweis: § 309 Nr. 9 BGB verbietet stillschweigende Verlängerungen um mehr als 1 Jahr und Kündigungsfristen von mehr als 3 Monaten. Im B2B-Bereich gilt § 307 BGB als Maßstab; übermäßige Kündigungsfristen können unwirksam sein. [Trainingswissen – prüfen]
Fristenerfassung: Genaues Verlängerungsdatum und Kündigungsfenster unabhängig von Beanstandungen extrahieren. Daten für den Verlängerungstracker-Skill erfassen.
3.2 Preiseskalation
Prüfen und mit CLAUDE.md vergleichen:
| Element | Inhalt |
|---|---|
| Jährliche Erhöhungsklausel | fester %, VPI, unbegrenzt |
| Überverbrauch-Preise | Veröffentlichte Preisliste / Prämienrate / undefiniert |
| Umfang "Vergütung" | nur Abonnement / "Zusatzleistungen" weit definiert |
Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
3.3 Datenportabilität und Exit
Wenn (nicht falls) das Unternehmen den Anbieter wechselt: Können die Daten mitgenommen werden?
| Element | Inhalt |
|---|---|
| Exportformat | offen/standardisiert / proprietär-dokumentiert / "wirtschaftlich zumutbar" |
| Export-Verfügbarkeit | Selbstbedienung jederzeit / auf Anfrage / nur bei Kündigung |
| Zugang nach Vertragsende | Tage nach Kündigung |
| Exportkosten | kostenlos / T&M / je GB oder Datensatz |
| Löschbestätigung | auf Anfrage / keine / Anbieter behält Derivate |
DSGVO-Hinweis (Art. 20 DSGVO): Datenportabilität ist für personenbezogene Daten ein Betroffenenrecht. Der AVV sollte Löschpflichten und Rückgabe nach Vertragsende regeln (Art. 28 Abs. 3 lit. g DSGVO). Anbieterbehalt "anonymisierter" Derivate: Playbook-Position aus CLAUDE.md prüfen.
3.4 Verfügbarkeit und SLA
Nur relevant, wenn das Unternehmen vom Dienst abhängt. Bei Nice-to-have-Tools überspringen.
| Element | Inhalt |
|---|---|
| Verfügbarkeitszusage | Prozentsatz / "wirtschaftlich zumutbare Bemühung" |
| Messzeitraum | monatlich / quartalsweise / jährlich |
| Abhilfe | Service-Credits (Berechnung, Deckelung, ausschließliche Abhilfe?) |
| Wartungsfenster | definierter Zeitraum / Voranmeldung / unbegrenzt |
| Credit-als-ausschließliche-Abhilfe + Haftungsdeckel | Wechselwirkung prüfen |
AGB-Hinweis: Klauseln, die Service-Credits als ausschließliche Abhilfe für Ausfälle festschreiben und gleichzeitig die Haftung auf ein Minimum deckeln, können nach § 307 BGB unangemessen benachteiligend sein. [Trainingswissen – prüfen]
3.5 Sub-Auftragsverarbeiter (Art. 28 Abs. 4 DSGVO)
Die Liste der Sub-Auftragsverarbeiter ändert sich über die Laufzeit des Abonnements. Das ist ein Datenschutzproblem mit SaaS-spezifischer Dynamik.
| Element | Inhalt |
|---|---|
| Genehmigungsmodell | allgemeine Genehmigung mit Widerspruchsrecht (Art. 28 II DSGVO) / spezifische Genehmigung |
| Benachrichtigungsfrist | Tage vor Hinzufügung |
| Widerspruchsrecht | ja / nein / Sonderkündigungsrecht |
| Sitz der Sub-Auftragsverarbeiter | EU/EWR / Drittland (Art. 46 DSGVO erforderlich) |
Art. 28 DSGVO-Pflichtprüfung: AVV muss abgeschlossen sein, wenn personenbezogene Daten verarbeitet werden. Pflichtinhalte nach Art. 28 Abs. 3 DSGVO: Gegenstand, Dauer, Art und Zweck der Verarbeitung; Art der personenbezogenen Daten; betroffene Personengruppen; Pflichten und Rechte des Verantwortlichen.
3.6 Haftungsbegrenzung in SaaS-Kontext (§§ 305–310, 307 BGB)
Standard-Haftungsprüfung aus Lieferantenvertrag-Skill anwenden. Zusätzlich SaaS-spezifisch prüfen:
- Datenverlust-Carveout: Haftung für Datenverlust ausgeschlossen oder begrenzt? (Kann im Widerspruch zu DSGVO-Schadensersatz Art. 82 DSGVO stehen)
- Haftungsdeckel + Credit-als-einzige-Abhilfe-Kombination: Wenn Credits die einzige SLA-Abhilfe sind UND die Haftung auf wenige Monatsgebühren begrenzt ist, ist die Haftung de facto minimal.
- Unbegrenzte Haftung für IP-Verletzungen: Marktstandard, aber Wechselwirkung mit Gesamtdeckel prüfen.
3.7 Vertragsstrafe (§§ 339, 343 BGB)
Falls Vertragsstrafe (z. B. bei SLA-Verstößen oder Datenschutzverstößen) vereinbart:
- Höhe angemessen? (§ 307 BGB; § 343 BGB Herabsetzungsrecht)
- Verhältnis zur Haftungsklausel: Ist die Vertragsstrafe auf den Haftungsdeckel angerechnet?
- Kumulationsproblem: Mehrere Vertragsstrafen-Tatbestände?
Zusammenfassung
[3–5 Sätze: Was ist das Wichtigste, was muss der Anwalt wissen?]
Befunde (nach Schweregrad)
🔴 Blockierend
[Befund, §-Verweis, Zitat, Redline-Vorschlag, Eskalations-Empfehlung]
🟠 Hoch
[…]
🟡 Mittel
[…]
🟢 Niedrig / Zur Kenntnis
[…]
SaaS-spezifische Extrakte
| Verlängerungsdatum | Kündigungsfrist | Kündigungsform | Preis bei Verlängerung |
|---|---|---|---|
| [Datum] | [Tage] | [Form] | [Methode] |
Empfohlene Redlines
[Konkrete Klausel-Formulierungsvorschläge, chirurgisch und minimal]
Nächste Schritte
[Entscheidungsbaum gemäß CLAUDE.md]
## Quellen und Zitierweise
Zitierweise nach `../references/zitierweise.md`.
Normen und Rspr.:
- §§ 305–310 BGB – AGB-Recht
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- § 309 Nr. 7 BGB – Haftungsausschlussverbote
- § 309 Nr. 9 BGB – Vertragslaufzeit
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- Art. 28 DSGVO – AVV; Art. 82 DSGVO – Datenschutz-Schadensersatz
- § 339 BGB – Vertragsstrafe; § 343 BGB – Herabsetzung
Kommentare:
- Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen.
## Risiken / typische Fehler
- **AVV fehlt, obwohl personenbezogene Daten verarbeitet werden:** Bußgeldrisiko Art. 83 Abs. 4 DSGVO; Haftungsrisiko Art. 82 DSGVO.
- **Automatische Verlängerung mit kurzer Frist und fehlende Kalenderüberwachung:** Für den Verlängerungstracker-Skill extrahieren.
- **Sub-Auftragsverarbeiter-Änderungen ohne Widerspruchsrecht:** Verstoß gegen Art. 28 Abs. 2 DSGVO bei spezifischer Genehmigung.
- **Credit-als-einzige-Abhilfe + Null-Haftung:** Wechselwirkung ergibt de-facto-Haftungsausschluss; im B2C regelmäßig unwirksam nach § 307 BGB.
- **CISG-Abwahl vergessen:** Falls der SaaS-Anbieter im Ausland sitzt, CISG ausschließen.
- **Berufsrechtlicher Hinweis:** § 43a Abs. 2 BRAO, § 203 StGB bei jeder Weitergabe beachten.