Was ist ein AVV (Auftragsverarbeitungsvertrag)?

Der Auftragsverarbeitungsvertrag (AVV, englisch DPA) ist der Vertrag, den Art. 28 DSGVO immer dann vorschreibt, wenn ein Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet — und das trifft auf praktisch jedes SaaS-Tool zu, das E-Mail-Adressen, IP-Adressen oder Nutzer-IDs berührt. Der AVV regelt, was der Anbieter mit den Daten tun darf, welche Unterauftragsverarbeiter er einsetzt, wie Datenpannen gemeldet werden und was bei Vertragsende mit den Daten passiert. Ohne abgeschlossenen AVV ist der Einsatz des Tools für personenbezogene Daten ein DSGVO-Verstoß auf Käuferseite — deshalb fragt jeder Datenschutzbeauftragte früh danach, und deshalb bremst ein Anbieter, der den AVV nicht schnell liefern kann, den gesamten Deal.

Ist ein AVV gesetzlich verpflichtend?

Ja. Art. 28 Abs. 3 DSGVO verlangt einen schriftlichen Vertrag zwischen Verantwortlichem (dir) und Auftragsverarbeiter (deinem SaaS-Anbieter), bevor personenbezogene Daten verarbeitet werden. Das ist keine Formalie: Aufsichtsbehörden haben Bußgelder verhängt, weil Unternehmen Dienstleister ohne AVV eingesetzt haben. Für Käufer heißt das: Ein fehlender oder nicht beschaffbarer AVV ist ein harter Blocker, kein Nice-to-have. Für Anbieter heißt das: Jede Stunde, die ein Interessent nach deinem AVV suchen muss, verlängert deinen eigenen Sales-Zyklus.

Woran erkenne ich, ob ein SaaS-Anbieter dem US CLOUD Act unterliegt?

Entscheidend ist der Sitz der betreibenden Rechtsperson, nicht der Serverstandort. Der CLOUD Act (18 U.S.C. §2713) verpflichtet US-eingetragene Unternehmen zur Datenherausgabe an US-Behörden — unabhängig davon, wo die Daten gespeichert sind. Ein US-Anbieter mit EU-Region bleibt also vollständig exponiert. Schau ins Impressum, in die AGB oder ans Ende der Datenschutzerklärung: Eine Delaware Inc. mit Frankfurter Rechenzentrum unterliegt dem CLOUD Act, eine deutsche GmbH oder französische SAS nicht. In unserer Datenbank mit 57 Entwickler-Tools sind 29 US-eingetragen und 25 direkt CLOUD-Act-exponiert — viele davon werben trotzdem mit EU-Hosting.

Was sind Unterauftragsverarbeiter und warum ist die Liste wichtig?

Unterauftragsverarbeiter (Subprozessoren) sind alle Drittfirmen, an die dein Anbieter Daten weiterreicht — Hosting, E-Mail-Versand, Analytics, Support-Tools. Art. 28 DSGVO verpflichtet Auftragsverarbeiter, diese offenzulegen und dir ein Widerspruchsrecht bei Änderungen einzuräumen. Die Liste ist wichtig, weil dort versteckte Drittlandtransfers sichtbar werden: Ein 'EU-gehostetes' Tool, das einen US-E-Mail-Dienst oder US-Support-Desk nutzt, überträgt trotzdem personenbezogene Daten in CLOUD-Act-Reichweite. Eine öffentliche, datierte Subprozessoren-Seite ist eines der schnellsten Vertrauenssignale, die ein Anbieter liefern kann — fehlt sie, muss der Käufer nachfragen, warten, eskalieren.

Warum gibt es den AVV bei den meisten Anbietern nur über den Vertrieb?

In unserer Auswertung von 57 Entwickler-Tools (Stand Juni 2026) boten nur 7 einen Self-Service-AVV an, den man ohne Sales-Kontakt herunterladen oder gegenzeichnen kann. Bei 49 von 57 lässt sich über die öffentlichen Seiten nicht einmal feststellen, ob ein AVV existiert. Die üblichen Gründe: Trägheit (der AVV liegt im Legal-Ordner statt auf der Website), Deal-Gating (Rechtsdokumente als Hebel, um ein Vertriebsgespräch zu erzwingen) und unterschätzte Kosten — Anbieter sehen die Käufer nicht, die stillschweigend abspringen. Keiner dieser Gründe hält den Daten stand: Ein Self-Service-AVV spart Tage im Procurement und ist eine der günstigsten Conversion-Maßnahmen, die ein B2B-SaaS umsetzen kann.

Versteckter AVV, langsamer Deal: SaaS-Anbieter in 5 Minuten auf DSGVO prüfen

Ein Kommentar aus Procurement-Sicht in einer Reddit-Diskussion über unsere EU Jurisdiction Database bringt ein Muster auf den Punkt, das wir ständig sehen (übersetzt):

“Solche Details fallen Käufern erst spät auf — aber dann zerstören sie Vertrauen schnell. Wer SaaS nach Europa verkauft, bei dem sollten Firmensitz, Auftragsverarbeiter-Liste und AVV leicht zu finden sein. Das hinter vagen Legal-Seiten zu verstecken, macht Procurement nur langsamer.”

Genau das zeigen unsere Daten. Wir pflegen eine Datenbank mit 57 Entwickler-Tools in 7 Kategorien — Uptime-Monitoring, Error Tracking, Log-Management, Feature Flags, LLM Observability, Product Analytics und Status Pages — und erfassen für jedes Tool, wo das Unternehmen eingetragen ist, wo die Daten liegen und ob man den AVV ohne Vertriebsgespräch bekommt.

Dieser Artikel macht aus dem Datensatz die Prüfung, die EU-Käufer tatsächlich durchführen. Sie dauert fünf Minuten pro Anbieter. Und am Ende drehen wir den Spieß um: Wenn du der Anbieter bist — so bestehst du den Check.

Was die Daten zeigen

Fünf Befunde aus der Datenbank, zuletzt verifiziert am 9. Juni 2026:

Nur 7 von 57 Tools (12 %) bieten einen Self-Service-AVV — einen Auftragsverarbeitungsvertrag, den man ohne Sales-Kontakt herunterladen oder gegenzeichnen kann. (Volle Transparenz: Eines der sieben ist FoundersDeck, unser eigenes Produkt.)
Bei 49 von 57 Tools (86 %) lässt sich über die öffentlichen Seiten nicht einmal verifizieren, ob ein AVV existiert. Die Information ist ohne Einstieg in einen Sales-Prozess schlicht nicht auffindbar.
Genau ein Tool (LangSmith) dokumentiert öffentlich, dass der AVV auf Anfrage über den Support erhältlich ist — immerhin weiß man damit, dass es ihn gibt. Bei den übrigen 49 bleibt man im Dunkeln.
29 von 57 Tools (51 %) sind US-eingetragen, 25 davon direkt dem US CLOUD Act ausgesetzt — US-Behörden können die Herausgabe der Daten verlangen, egal wo die Server stehen.
Nur 16 von 57 Tools (28 %) garantieren EU-Datenresidenz. Weitere 19 bieten sie lediglich als Region-Option an — was an der Rechtsjurisdiktion des Betreibers nichts ändert.

Für Käufer heißt das: Die Abwesenheit von Information ist selbst eine Information. Für Anbieter heißt das: Du gehörst wahrscheinlich zu den 49 — und es kostet dich Deals, die du nie zu Gesicht bekommst.

Methodik — was “nicht verifizierbar” bedeutet

Eine Unterscheidung ist uns wichtig, und wir wollen sie präzise treffen: Ein Tool in der Gruppe “nicht verifizierbar” hat nicht zwingend keinen AVV. Die meisten dieser Unternehmen haben vermutlich einen in der Schublade — Art. 28 DSGVO verlangt ihn, sobald sie personenbezogene Daten für Kunden verarbeiten. Was wir geprüft haben: ob ein Interessent den AVV über öffentliche Seiten verifizieren und beschaffen kann, ohne den Vertrieb zu kontaktieren. “Self-Service: ja” heißt, wir haben einen herunterladbaren oder gegenzeichenbaren AVV gefunden. “Nicht verifizierbar” heißt, wir konnten ohne Sales-Gespräch nicht bestätigen, dass einer existiert — was für die Procurement-Praxis auf dieselbe Verzögerung hinausläuft. Alle Einträge wurden zuletzt am 9. Juni 2026 geprüft; sollte uns ein Fehler unterlaufen sein, steht auf der Datenbank-Seite, wie du uns erreichst — wir korrigieren das.

Der 5-Minuten-Check

Fünf Schritte, je eine Minute. Alles hier ist über öffentliche Seiten prüfbar — kein Sales-Call, kein NDA, keine Demo.

Minute 1: Wer ist die Rechtsperson?

Öffne das Impressum, die AGB oder das Ende der Datenschutzerklärung. Du suchst die vertragschließende Gesellschaft und ihr Sitzland — “Acme Inc., Delaware” oder “Acme GmbH, Berlin”.

Diese eine Angabe entscheidet, welcher Staat Zugriff auf deine Daten erzwingen kann. Ein US-eingetragenes Unternehmen unterliegt dem CLOUD Act, egal wo seine Server stehen; eine deutsche GmbH oder französische SAS nicht. Praktischer Vorteil im DACH-Raum: Die Impressumspflicht macht diese Prüfung bei seriösen Anbietern zur Sache von Sekunden — und ihr Fehlen umso aussagekräftiger.

Warnsignal: kein Impressum, keine benannte Gesellschaft, oder eine Datenschutzerklärung, die nur von “wir” spricht, ohne je zu sagen, wer “wir” juristisch ist.

Minute 2: Wo liegen die Daten wirklich?

Such den Hosting-Abschnitt der Datenschutzerklärung oder eine Trust-/Security-Seite. Die entscheidende Unterscheidung:

Garantierte EU-Residenz — alle Kundendaten bleiben in der EU, klar ausgesprochen.
“EU-Region verfügbar” — eine Deployment-Option, oft aufpreispflichtig, die das Rechenzentrum ändert, aber nicht die Rechtsjurisdiktion des Betreibers.

In unserem Datensatz garantieren nur 16 von 57 Tools EU-Residenz; 19 weitere bieten sie als Option. Hat die Prüfung in Minute 1 ein US-Unternehmen ergeben, schließt eine EU-Region die CLOUD-Act-Lücke nicht — die Jurisdiktion folgt dem Unternehmen, nicht dem Rechenzentrum. Das ist seit Schrems II auch die Lesart von EuGH und Datenschutzkonferenz.

Warnsignal: Das Marketing sagt “DSGVO-konform”, aber die Datenschutzerklärung nennt US-Infrastrukturanbieter, ohne den Transfermechanismus zu erklären.

Minute 3: Bekommst du den AVV sofort?

Durchsuche Footer und Help-Center nach “AVV”, “DPA” oder “Auftragsverarbeitung”. Der Goldstandard ist Self-Service: ein PDF zum Herunterladen oder ein Gegenzeichnungs-Flow direkt im Dashboard.

Das ist das seltenste Häkchen in unserer gesamten Datenbank — 7 von 57. Ist der AVV da, hast du deinem Datenschutzbeauftragten gerade Tage erspart. Ist er es nicht, notiere es: Jedes Rechtsdokument, das ein Vertriebsgespräch erfordert, fügt deinem Zeitplan eine Schleife hinzu.

Warnsignal: “Kontaktieren Sie uns für unseren AVV” ohne jeden Hinweis auf den Inhalt — oder Legal-Seiten, die DSGVO im Marketing erwähnen, aber auf nichts verlinken.

Minute 4: Ist die Subprozessoren-Liste öffentlich?

Eine Subprozessoren-Seite nennt jede Drittfirma, an die der Anbieter Daten weiterreicht — Hosting, E-Mail-Versand, Analytics, Support-Tools. Art. 28 DSGVO verlangt diese Offenlegung, und genau dort werden versteckte Drittlandtransfers sichtbar: Ein “EU-gehostetes” Tool mit US-E-Mail-Dienst schiebt personenbezogene Daten trotzdem in CLOUD-Act-Reichweite.

Warnsignal: gar keine Subprozessoren-Seite — oder eine ohne Datum und Sitzländer.

Minute 5: Der Meta-Test

Wenn du bei Minute 5 angekommen bist und immer noch nicht beantworten kannst, wer meine Daten wo und unter welchem Vertrag verarbeitet — dann ist das das Ergebnis. Der Anbieter mag auf dem Papier völlig konform sein, aber er hat die Verifikationskosten auf dich abgewälzt. Multipliziere das mit jedem Interessenten, den er je anspricht, und du verstehst, warum der Reddit-Kommentator schrieb, versteckte Legal-Seiten machten Procurement “nur langsamer”.

Anbieter, die alle vier Prüfungen in unter fünf Minuten bestehen, senden ein echtes Signal: Sie haben diese Arbeit erledigt, bevor du gefragt hast.

Die 7 von 57, die den AVV-Check bestehen

Das sind die einzigen Tools in unserer Datenbank mit verifiziertem Self-Service-AVV, Stand 9. Juni 2026:

Tool	Kategorie	Rechtssitz	EU-Residenz
FoundersDeck	Uptime-Monitoring & Status Pages	Deutschland	Garantiert
LogCentral	Log-Management	Frankreich	Garantiert
Pirsch	Product Analytics	Deutschland	Garantiert
Plausible	Product Analytics	Estland	Garantiert
Langfuse	LLM Observability	Deutschland	EU-Option
Unleash	Feature Flags	Norwegen	EU-Option
Rollbar	Error Tracking	USA	Keine

Zwei ehrliche Anmerkungen zu dieser Tabelle. Erstens: FoundersDeck ist unser Produkt — wir haben unseren eigenen AVV genau wegen allem, was in diesem Artikel steht, als Self-Service-Seite gebaut. Beurteile die Kriterien, nicht unseren Eintrag. Zweitens, schau dir Rollbar an: Ein Self-Service-AVV bedeutet nicht automatisch EU-Jurisdiktion. Rollbar veröffentlicht seinen AVV offen (gut!), bleibt aber ein US-eingetragenes, CLOUD-Act-exponiertes Unternehmen. AVV-Check und Jurisdiktions-Check sind zwei verschiedene Fragen — führe beide durch.

Die vollständige Tabelle mit allen 57 Tools — Jurisdiktion, Hosting, CLOUD-Act-Exposition, Self-Hosting-Optionen — steht in der EU Jurisdiction Database.

Für Anbieter: Dein versteckter AVV verlangsamt deinen eigenen Sales-Zyklus

Jetzt die andere Seite. Wenn du SaaS nach Europa verkaufst, läuft jede Prüfung oben bereits — still — bei deinen Interessenten. Das kostet dich Folgendes:

Procurement-Schleifen. Jedes Dokument, das ein Vertriebsgespräch erfordert, kostet Tage. Käufer fragt Sales, Sales fragt Legal, Legal schickt ein PDF, der Datenschutzbeauftragte des Käufers hat Rückfragen — das ist eine Woche. Für ein Dokument, das du hättest veröffentlichen können.
Stille Disqualifikation. Kleinere Käufer und Indie-Founder mailen dich nicht wegen des AVV an. Sie schließen den Tab und nehmen den Anbieter, bei dem Minute 3 dreißig Sekunden gedauert hat. Diese verlorenen Deals tauchen in deinem CRM nie auf.
Vertrauensverlust im teuersten Moment. Wie der Procurement-Kommentator schrieb: Käufer merken es spät, und dann kippt das Vertrauen schnell. Friktion in der späten Deal-Phase ist die teuerste.

Den Check zu bestehen ist im Wesentlichen ein Nachmittag Arbeit:

Benenne deine Rechtsperson — Impressum oder AGB, Gesellschaft und Sitzland, ohne Ausflüchte.
Sag klar, wo gehostet wird — welche Provider, welche Länder, garantiert oder optional.
Veröffentliche einen Self-Service-AVV — als signiertes PDF oder Gegenzeichnungs-Flow. Das seltenste grüne Häkchen in unseren Daten und die günstigste Differenzierung, die dir offensteht.
Veröffentliche deine Subprozessoren-Liste — datiert, mit Sitzländern.
Bündle alles auf einer Trust-Seite — wie unserer — damit aus dem Fünf-Minuten-Check einer von einer Minute wird.

Wenn dein Tool in eine unserer sieben Kategorien gehört und diese Prüfungen besteht, wollen wir es in der Datenbank haben — die Kriterien sind für alle dieselben, auch für uns.

Die Daten in diesem Artikel stammen aus der EU Jurisdiction Database: 57 Entwickler-Tools in 7 Kategorien, zuletzt verifiziert am 9. Juni 2026. Korrekturen willkommen.