Warum DSGVO-Compliance kein optionales Feature ist
Wer ein SaaS-Produkt für den deutschen Markt baut, macht DSGVO-Compliance zu einem technischen Architekturproblem — ob er will oder nicht. Die Verordnung ist seit Mai 2018 in Kraft, die Durchsetzung hat sich über die Jahre deutlich verschärft. Die Datenschutzkonferenz der Länder hat 2024 ihre Koordination verstärkt, mehrere Aufsichtsbehörden führen systematische Prüfungen bei SaaS-Anbietern durch.
Das bedeutet nicht, dass DSGVO-Compliance unlösbar komplex ist. Für die meisten SaaS-Startups beschränkt sie sich auf fünf gut handhabbare Bereiche: rechtliche Grundlagen für Verarbeitungen, Auftragsverarbeiterverträge, technische Sicherheitsmaßnahmen, Betroffenenrechte und Dokumentation. Wer diese Bereiche von Anfang an mitdenkt, zahlt deutlich weniger Nachbesserungsaufwand als derjenige, der nachträglich versucht, ein nicht-konformes System zu patchen.
Schritt 1: Die Rechtsgrundlagen klären
Für jeden Verarbeitungsvorgang braucht es eine Rechtsgrundlage nach Art. 6 DSGVO. Die relevantesten für ein SaaS-Produkt:
Vertragserfüllung (Art. 6 Abs. 1 lit. b)
Wenn Sie personenbezogene Daten verarbeiten, weil Sie einen Vertrag mit dem Nutzer erfüllen müssen, brauchen Sie keine separate Einwilligung. Das gilt für: Nutzerdaten für den Login, Zahlungsdaten für die Abrechnung, E-Mail-Adresse für den Rechnungsversand.
Entscheidend ist die Verhältnismäßigkeit: Sie dürfen nur die Daten verarbeiten, die tatsächlich zur Vertragserfüllung notwendig sind. Ein GPS-Standort ist für eine Rechnungssoftware nicht notwendig — ein Unternehmensname schon.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f)
Diese Grundlage ist für B2B-SaaS oft unterschätzt. Wenn Sie legitime geschäftliche Interessen haben (Sicherheit, Betrugsprävention, Produktverbesserung), können Sie Daten auf dieser Basis verarbeiten — solange die Interessen der betroffenen Person nicht überwiegen.
Technische Logs für Security-Monitoring, IP-Adressen für Rate-Limiting oder aggregierte Nutzungsstatistiken ohne Personenbezug lassen sich häufig auf berechtigte Interessen stützen. Führen Sie trotzdem ein Interessenabwägungsdokument — Aufsichtsbehörden fragen danach.
Einwilligung (Art. 6 Abs. 1 lit. a)
Einwilligung klingt nach der sichersten Grundlage, ist aber in der Praxis die schwierigste. Sie muss freiwillig, spezifisch, informiert und eindeutig sein. Sie muss vor der Verarbeitung vorliegen, muss widerrufbar sein, und der Widerruf muss genauso einfach sein wie die Erteilung.
Für Marketing-E-Mails, Tracking-Cookies und verhaltensbasierte Analytics brauchen Sie Einwilligung. Koppeln Sie diese Einwilligung nicht mit der Nutzungsbedingung — das ist nach Art. 7 Abs. 4 DSGVO unzulässig.
Schritt 2: Das Verzeichnis der Verarbeitungstätigkeiten (VVT)
Das VVT nach Art. 30 DSGVO ist Pflicht für alle Unternehmen mit mehr als 250 Mitarbeitern — und für alle, die regelmäßig "riskante" Daten verarbeiten (Gesundheit, Strafverfolgung, systematisches Profiling). Für alle anderen ist es eine Kann-Pflicht, aber de facto unverzichtbar für die Aufsichtsbehörden-Kommunikation.
Was ins VVT gehört:
- Name und Kontaktdaten des Verantwortlichen
- Zweck der Verarbeitung
- Kategorie der Betroffenen und Daten
- Empfänger (insbesondere Auftragsverarbeiter)
- Drittlandtransfers und Garantien
- Geplante Löschfristen
- Technische und organisatorische Maßnahmen (TOMs)
Führen Sie das VVT in einem strukturierten Format (Tabelle oder Tool), nicht in einem Fließtext-Dokument. Aufsichtsbehörden verlangen es bei Beschwerden innerhalb von 72 Stunden.
Schritt 3: Auftragsverarbeiterverträge (AVV)
Für jeden Dritten, der in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen schriftlichen AVV nach Art. 28 DSGVO. Für ein typisches SaaS-Startup bedeutet das:
| Anbieter | Art der Verarbeitung | AVV vorhanden? |
|---|---|---|
| Supabase (Hosting) | Datenspeicherung, Auth | Ja (in ToS integriert) |
| Vercel (Deployment) | Request-Logs, Edge-Cache | Ja (DPA in ToS) |
| Resend (E-Mail) | E-Mail-Versand, Adressen | Ja (DPA abrufbar) |
| Stripe (Payment) | Zahlungsdaten | Stripe ist eigenständig Verantwortlicher + Auftragsverarbeiter für einige Funktionen |
| PostHog (Analytics) | Nutzungsverhalten | Ja (Self-Hosted oder EU-Cloud) |
| Anthropic/OpenAI (KI) | Prompt-Inhalte | Prüfen, ob personenbezogene Daten in Prompts |
Wichtig: Checken Sie bei jedem Anbieter aktiv, ob der AVV bereits Teil der Nutzungsbedingungen ist oder ob Sie ihn separat abschließen müssen. Viele Anbieter aktualisieren ihren AVV bei Gesetzesänderungen nicht automatisch.
Was ein guter AVV enthalten muss
Nach Art. 28 Abs. 3 DSGVO muss der AVV mindestens regeln:
- Weisungsgebundenheit des Auftragsverarbeiters
- Verschwiegenheitspflicht
- TOMs (oder Verweis auf Sicherheitsanhang)
- Pflicht zur Unterstützung bei Betroffenenrechten
- Löschung oder Rückgabe nach Vertragsende
- Prüfungsrechte des Verantwortlichen
- Bedingungen für Unterauftragsverarbeitung
Schritt 4: Technische und organisatorische Maßnahmen (TOMs)
Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau. Für SaaS-Anwendungen bedeutet das konkret:
Verschlüsselung
- Transport: TLS 1.3 für alle Verbindungen
- At Rest: Datenbankverschlüsselung (Supabase verschlüsselt PostgreSQL-Daten im Ruhezustand standardmäßig)
- Backups: Verschlüsselte Backup-Dateien mit separatem Schlüsselmanagement
- Besondere Kategorien: Für Gesundheits- oder Biometriedaten ist Ende-zu-Ende-Verschlüsselung empfohlen
Zugriffskontrolle
- Principle of Least Privilege: Jeder Nutzer und Service erhält nur die minimal notwendigen Berechtigungen
- Row Level Security (RLS) auf Datenbankebene: Verhindert, dass Nutzer Daten anderer Nutzer sehen
- Audit Logs: Jede privilegierte Aktion wird protokolliert
- Multi-Faktor-Authentifizierung für Admin-Zugang
Pseudonymisierung und Datensparsamkeit
- Verarbeiten Sie personenbezogene Daten in Logs und Analytics in pseudonymisierter Form
- Verwenden Sie interne IDs statt Klarnamen in Fehlermeldungen und Logs
- Setzen Sie TTLs auf Logging-Daten (90 Tage ist ein guter Richtwert)
Löschkonzept
Definieren Sie für jeden Datentyp, wann er gelöscht wird:
- Account-Daten: bei Kündigung plus rechtliche Aufbewahrungsfristen
- Rechnungsdaten: 10 Jahre (§ 147 AO)
- Protokolldaten: 90 Tage
- Audit-Logs: 1–3 Jahre je nach Risikoklasse
Schritt 5: Cookie-Consent und TDDDG
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) hat § 25 TTDSG abgelöst und regelt den Zugriff auf Endgeräte (also Cookies und ähnliche Technologien). Grundsatz: Einwilligung vor jedem nicht-notwendigen Cookie.
Kategorien von Cookies
Technisch notwendig (keine Einwilligung erforderlich):
- Session-Cookie für Login-Status
- CSRF-Token
- Cookie für Sprachpräferenz (wenn vom Nutzer aktiv gewählt)
- Load-Balancing-Cookies
Einwilligungspflichtig:
- Analytics-Cookies (PostHog, Plausible mit vollständigem Tracking)
- Marketing/Remarketing-Cookies
- Social-Media-Einbindungen
- A/B-Testing-Tools mit Nutzer-Tracking
Technische Anforderungen an den Consent Manager
Ein rechtskonformer Consent-Manager muss:
- Vor der Verarbeitung angezeigt werden (kein Pre-Checked)
- Ablehnung genauso einfach machen wie Zustimmung
- Die erteilte Einwilligung protokollieren (Zeitstempel, Version, Auswahl)
- Einen Widerruf jederzeit ermöglichen (Footer-Link "Cookie-Einstellungen")
- Kategorienweise Auswahl anbieten
Schritt 6: Betroffenenrechte technisch umsetzen
Art. 15-22 DSGVO geben Nutzern umfangreiche Rechte:
Auskunftsrecht (Art. 15): Nutzer können alle über sie gespeicherten Daten anfordern. Implementieren Sie einen "Meine Daten exportieren"-Button, der alle User-Daten als JSON oder CSV ausgibt.
Berichtigungsrecht (Art. 16): Nutzer müssen falsche Daten korrigieren können. Ein einfaches Profil-Bearbeitungsformular reicht für die meisten Felder.
Löschrecht (Art. 17): "Account löschen" muss alle personenbezogenen Daten entfernen — außer denen, für die gesetzliche Aufbewahrungspflichten gelten. Implementieren Sie einen geplanten Löschlauf statt Soft-Delete, wenn möglich.
Datenübertragbarkeit (Art. 20): Für automatisch verarbeitete Daten, die auf Einwilligung oder Vertrag basieren, müssen Sie einen maschinenlesbaren Export anbieten (JSON, CSV).
Widerspruchsrecht (Art. 21): Gegen Verarbeitungen auf Basis berechtigter Interessen können Nutzer Widerspruch einlegen. Dokumentieren Sie, wie Sie mit solchen Widersprüchen umgehen.
Schritt 7: Datenschutzerklärung und Impressum
Eine DSGVO-konforme Datenschutzerklärung nach Art. 13/14 DSGVO muss für jeden Verarbeitungsvorgang angeben:
- Zweck und Rechtsgrundlage
- Empfänger (oder Kategorien)
- Drittlandtransfer (falls vorhanden)
- Speicherdauer
- Betroffenenrechte und Beschwerdeweg zur Aufsichtsbehörde
Das ist keine Checkliste, die Sie einmalig abhaken. Die Datenschutzerklärung muss jeden Verarbeitungsvorgang abbilden, den Sie tatsächlich durchführen. Änderungen im Tech-Stack (neuer Analytics-Anbieter, neues E-Mail-Tool) erfordern eine Aktualisierung.
Aufsichtsbehörde angeben
In Deutschland ist die Aufsichtsbehörde je nach Bundesland des Unternehmenssitzes unterschiedlich:
- Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
- NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)
- Hamburg: Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
- Bundesbehörden: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Schritt 8: Datenpannen-Management
Art. 33 DSGVO verlangt, dass Sie eine Datenschutzverletzung innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden — wenn sie voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Was eine meldepflichtige Datenpanne ist: Unbefugter Zugriff auf Kundendaten, Datenverlust durch fehlerhaftes Löschen, Versand von Kundendaten an falsche Empfänger, Sicherheitslücken, die Zugriff auf personenbezogene Daten ermöglichen.
Implementieren Sie einen Incident-Response-Plan, der konkret beschreibt:
- Wie Datenpannen erkannt werden (Monitoring-Alerts)
- Wer intern zu informieren ist
- Wie die 72-Stunden-Frist eingehalten wird
- Wann Betroffene informiert werden müssen (Art. 34 DSGVO: bei hohem Risiko)
Typische Fehler in der Praxis
Auftragsverarbeiter nicht dokumentiert: Viele Startups arbeiten mit Dutzenden SaaS-Tools, haben aber nur für die offensichtlichen Anbieter AVVs. Prüfen Sie auch Kommunikationstools (Slack, Discord), Kundensupport (Intercom, Freshdesk) und HR-Tools.
DSGVO nur als PDF-Checkbox behandelt: Eine Datenschutzerklärung auf der Website ersetzt nicht die technischen Maßnahmen. Die DSGVO ist primär eine Technikarchitektur-Anforderung.
Keine Lösch-Routinen implementiert: "Wir löschen auf Anfrage" ist nicht ausreichend. Automatische Löschroutinen nach definierten TTLs sind der Standard.
Drittlandtransfer nicht dokumentiert: Jeder US-Cloud-Dienst ist ein potenzieller Drittlandtransfer. Prüfen Sie, ob der Anbieter im EU-US Data Privacy Framework zertifiziert ist (dataprivacyframework.gov).
Einwilligung als Standard: Nicht jede Verarbeitung braucht eine Einwilligung. Viele Startups sammeln unnötig Einwilligungen für Verarbeitungen, die bereits auf Vertrag oder berechtigte Interessen gestützt werden könnten.
Weiterführende Ressourcen
- Art. 29-Arbeitsgruppe / EDPB-Leitlinien — offizielle Auslegungshinweise der europäischen Datenschutzbehörden
- DSK-Orientierungshilfe für Telemedien — spezifisch für Website-Betreiber
- Bundesdatenschutzgesetz (BDSG) — nationales Ergänzungsgesetz zur DSGVO
- MicroSenorit DSGVO-Compliance-Features — DSGVO-konforme Datenspeicherung in EU-Rechenzentren