DSGVO-Compliance-Checkliste für SaaS-Unternehmen

DSGVO-Compliance ist für SaaS-Unternehmen keine Option — und es spielt keine Rolle, ob Ihr Hauptsitz in Berlin oder Boston liegt. Wenn Ihr Produkt personenbezogene Daten von Personen im Europäischen Wirtschaftsraum verarbeitet, gilt die Verordnung für Sie.

Die Strafe, wenn Sie es falsch machen? Bußgelder von bis zu 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Aber Bußgelder sind nur ein Teil der Geschichte. Ein einziger Compliance-Verstoß kann Enterprise-Deals zum Stillstand bringen, Kundenabwanderung auslösen und Ihr Unternehmen aus den falschen Gründen in die Schlagzeilen bringen.

Die gute Nachricht: DSGVO-Compliance ist vollständig beherrschbar, wenn Sie sie in konkrete Schritte aufteilen. Diese Checkliste gibt SaaS-Teams — ob Sie ein 5-Personen-Startup oder ein Scale-up mit 200 Mitarbeitern sind — einen klaren Weg von „wir sollten uns das wahrscheinlich mal ansehen” zu nachweisbarer, auditfähiger Compliance.

Für wen diese Checkliste gedacht ist

Dieser Leitfaden richtet sich an CTOs, DSBs und Leiter der Informationssicherheit in SaaS-Unternehmen. Er geht davon aus, dass Sie ein Produkt entwickeln oder betreiben, das personenbezogene Daten verarbeitet — Benutzerkonten, Analysen, Kundenservice-Aufzeichnungen, Zahlungsdetails oder alles andere, was eine natürliche Person identifizieren kann.

Wenn Sie ein B2B-SaaS-Unternehmen sind, denken Sie vielleicht, dass die DSGVO nur für verbraucherorientierte Produkte relevant ist. Das ist ein weit verbreitetes Missverständnis. Die Mitarbeiter Ihrer Kunden sind ebenfalls betroffene Personen. Ebenso Ihre eigenen Mitarbeiter, Ihre Website-Besucher und jede Person, deren Daten durch Ihre Plattform laufen.

Die DSGVO-Compliance-Checkliste

Rechtliche Grundlage

Identifizieren Sie Ihre Rechtsgrundlage für jede Verarbeitungstätigkeit. Die DSGVO verlangt, dass jede Verarbeitung personenbezogener Daten eine gültige Rechtsgrundlage hat. Für die meisten SaaS-Unternehmen sind die relevanten Grundlagen Vertragserfüllung (Verarbeitung zur Erbringung Ihres Dienstes), berechtigtes Interesse (Analysen, Betrugsprävention) und Einwilligung (Marketing-E-Mails, Cookies). Dokumentieren Sie, welche Grundlage für jede Tätigkeit gilt — verwenden Sie nicht standardmäßig die Einwilligung für alles. Lesen Sie unseren ausführlichen Leitfaden zu den sechs Rechtsgrundlagen, um zu verstehen, welche für jeden Anwendungsfall passt.

Stellen Sie fest, ob Sie einen Datenschutzbeauftragten benötigen. Artikel 37 schreibt einen DSB vor, wenn Ihre Kerntätigkeiten die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die systematische Überwachung von Personen umfassen. Selbst wenn Sie gesetzlich nicht verpflichtet sind, einen zu ernennen, hilft es enorm, eine benannte Person zu haben, die für den Datenschutz verantwortlich ist. Siehe unseren Leitfaden zur DSB-Rolle für die vollständigen Kriterien.

Überprüfen Sie Ihre Mechanismen für internationale Datenübermittlungen. Wenn Daten den EWR verlassen — und für die meisten SaaS-Unternehmen, die US-basierte Infrastruktur nutzen, ist das der Fall — benötigen Sie einen gültigen Übermittlungsmechanismus. Das EU-US Data Privacy Framework deckt viele US-Anbieter ab, aber Sie müssen den Status jedes Anbieters überprüfen. Standardvertragsklauseln bleiben der Rückfallmechanismus für Übermittlungen in andere Länder. Unser Leitfaden zu internationalen Datenübermittlungen erläutert die Optionen.

Überprüfen Sie Ihren Status als Verantwortlicher vs. Auftragsverarbeiter. Bestimmen Sie für jede Verarbeitungstätigkeit, ob Sie als Verantwortlicher (Sie entscheiden über Zweck und Mittel der Verarbeitung) oder als Auftragsverarbeiter (Sie verarbeiten Daten im Auftrag eines Kunden) handeln. Diese Unterscheidung beeinflusst Ihre Pflichten, Ihre Verträge und Ihre Haftung.

Dokumentation

Erstellen und pflegen Sie Ihr Verzeichnis der Verarbeitungstätigkeiten (VVT). Artikel 30 verlangt, dass Sie jede Verarbeitungstätigkeit dokumentieren, einschließlich Zwecke, Datenkategorien, Empfänger, Aufbewahrungsfristen und Sicherheitsmaßnahmen. Dies ist keine einmalige Übung — Ihr VVT muss widerspiegeln, was Sie heute tatsächlich tun, nicht was Sie vor sechs Monaten getan haben. Unser VVT-Leitfaden deckt die genauen Anforderungen ab und zeigt, wie Sie Ihr Verzeichnis aktuell halten.

Erstellen oder aktualisieren Sie Ihren Datenschutzhinweis. Die Artikel 13 und 14 legen fest, welche Informationen Sie betroffenen Personen bereitstellen müssen. Dazu gehört, wer Sie sind, welche Daten Sie erheben, warum Sie sie erheben, mit wem Sie sie teilen, wie lange Sie sie aufbewahren und welche Rechte die Personen haben. Ein kopierter Datenschutzhinweis von einem anderen Unternehmen reicht nicht aus — Ihrer muss Ihre tatsächliche Verarbeitung genau widerspiegeln. Siehe unseren Leitfaden zu den Anforderungen an Datenschutzhinweise für die vollständige Liste der Pflichtangaben.

Schließen Sie Auftragsverarbeitungsverträge mit jedem Anbieter ab. Wenn Sie Drittanbieterdienste nutzen, die personenbezogene Daten in Ihrem Auftrag verarbeiten — Hosting-Anbieter, E-Mail-Plattformen, Analysetools, CRM-Systeme — benötigen Sie einen AVV mit jedem einzelnen. Artikel 28 legt die Pflichtklauseln fest. Unser AVV-Leitfaden erklärt, was enthalten sein muss und auf welche Warnsignale Sie achten sollten.

Definieren Sie Ihren Aufbewahrungszeitplan. Das Grundprinzip der Speicherbegrenzung der DSGVO bedeutet, dass Sie personenbezogene Daten nicht für immer „für alle Fälle” aufbewahren können. Sie benötigen dokumentierte Aufbewahrungsfristen für jede Datenkategorie mit einer Begründung für jede einzelne. Unser Leitfaden zur Datenaufbewahrung enthält eine praktische Vorlage für SaaS-Unternehmen.

Rechte und Prozesse

Bauen Sie einen Prozess zur Bearbeitung von Auskunftsersuchen auf. Jede Person, deren Daten Sie verarbeiten, kann Einsicht verlangen — und Sie haben 30 Tage Zeit zu antworten. Wenn Sie keinen Prozess haben, bevor das erste Ersuchen eintrifft, werden Sie improvisieren müssen. Sie benötigen Identitätsprüfung, Datenerfassung über alle Ihre Systeme, Prüfverfahren und ein Antwortformat. Unser DSAR-Leitfaden deckt den gesamten Prozess ab.

Implementieren Sie die Einwilligungserfassung, wo erforderlich. Wo die Einwilligung Ihre Rechtsgrundlage ist — typischerweise für Marketingkommunikation und nicht-essentielle Cookies — muss sie freiwillig, spezifisch, informiert und eindeutig sein. Vorangekreuzte Kästchen gelten nicht. Gebündelte Einwilligungen gelten nicht. Und Sie müssen es genauso einfach machen, die Einwilligung zu widerrufen, wie sie zu erteilen. Lesen Sie unseren Leitfaden zum Einwilligungsmanagement für die Anforderungen.

Erstellen Sie einen Plan zur Reaktion auf Datenpannen. Wenn eine Verletzung des Schutzes personenbezogener Daten auftritt, haben Sie 72 Stunden Zeit, Ihre Aufsichtsbehörde zu benachrichtigen — und möglicherweise noch weniger Zeit, um betroffene Personen zu benachrichtigen, wenn die Verletzung ein hohes Risiko für ihre Rechte darstellt. Ein dokumentierter Reaktionsplan mit klaren Rollen, Kommunikationsvorlagen und Eskalationswegen ist unerlässlich. Unser Leitfaden zur Meldung von Datenpannen beschreibt den Zeitplan und den Prozess.

Ermöglichen Sie Datenübertragbarkeit und Löschung. Betroffene Personen haben das Recht, ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten (Übertragbarkeit) und das Recht auf Löschung ihrer Daten (Löschung, auch als „Recht auf Vergessenwerden” bekannt). Bauen Sie diese Funktionen in Ihr Produkt ein, anstatt sie jedes Mal manuell zu bearbeiten.

Risikobewertung

Führen Sie Datenschutz-Folgenabschätzungen für Verarbeitungen mit hohem Risiko durch. DSFAs sind obligatorisch, wenn Ihre Verarbeitung voraussichtlich ein hohes Risiko für Personen darstellt — denken Sie an umfangreiches Profiling, automatisierte Entscheidungsfindung oder die Verarbeitung sensibler Daten. Auch wenn sie nicht verpflichtend ist, ist eine DSFA ein strukturierter Weg, Datenschutzrisiken zu identifizieren und zu minimieren, bevor Sie ein Feature veröffentlichen. Unser DSFA-Leitfaden enthält einen schrittweisen Prozess.

Kartieren Sie Ihre Datenflüsse und Drittanbieter-Auftragsverarbeiter. Sie können Daten nicht schützen, wenn Sie nicht wissen, wohin sie gehen. Erstellen Sie eine visuelle Karte, die zeigt, welche Daten in Ihr System gelangen, wo sie gespeichert werden, wer Zugriff hat, welche Drittanbieter sie erhalten und wo sie Grenzen überschreiten. Diese Kartierung fließt direkt in Ihr VVT, Ihre AVVs und Ihren Datenschutzhinweis ein.

Betrieb

Schulen Sie Ihr Team in DSGVO-Grundlagen. Compliance ist nicht nur eine Aufgabe des Rechts- oder Sicherheitsteams. Entwickler müssen Datenminimierung und Privacy by Design verstehen. Vertriebsteams müssen wissen, was sie bezüglich der Datenverarbeitung versprechen können. Support-Teams müssen erkennen, wenn jemand ein Betroffenenersuchen stellt. Führen Sie mindestens jährlich Schulungen durch und integrieren Sie die DSGVO in das Onboarding.

Implementieren Sie Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Artikel 25 verlangt, dass Sie den Datenschutz in Ihren Entwicklungsprozess integrieren — nicht nachträglich aufsetzen. Das bedeutet, nur die Daten zu erheben, die Sie benötigen, wo möglich zu pseudonymisieren, den Zugriff standardmäßig einzuschränken und Datenschutzauswirkungen bei der Produktplanung zu berücksichtigen.

Richten Sie eine laufende Überwachung und Überprüfung ein. DSGVO-Compliance ist kein Projekt mit einem Enddatum. Setzen Sie vierteljährliche Überprüfungen Ihres VVT, jährliche Audits Ihrer AVVs und regelmäßige Kontrollen Ihrer Verarbeitungstätigkeiten an. Wenn Sie neue Features einführen, neue Anbieter hinzufügen oder in neue Märkte eintreten, überprüfen Sie Ihren Compliance-Status.

Dokumentieren Sie Nachweise der Compliance. Artikel 5(2) legt den Rechenschaftsgrundsatz fest — Sie müssen in der Lage sein, Ihre Compliance nachzuweisen, nicht nur zu behaupten. Führen Sie Aufzeichnungen über Ihre Entscheidungen, Ihre Bewertungen, Ihre Schulungen und Ihre Überprüfungen. Wenn eine Aufsichtsbehörde anklopft, reicht „wir sind compliant” nicht aus. Sie brauchen Nachweise.

Häufige Fehler, die SaaS-Teams machen

DSGVO als einmaliges Projekt behandeln. Viele Teams machen einen Compliance-Sprint, haken alle Punkte ab und gehen dann weiter. Sechs Monate später haben sie drei neue Anbieter hinzugefügt, zwei neue Features eingeführt, und ihre Dokumentation spiegelt die Realität nicht mehr wider. Die DSGVO erfordert laufende Wartung — integrieren Sie sie in Ihre Abläufe, nicht in Ihren Projekt-Backlog.

Compliance in Tabellen verwalten. Tabellen scheinen ein vernünftiger Ausgangspunkt zu sein: ein Blatt für Ihr VVT, eines für AVVs der Anbieter, ein weiteres für DSARs. Aber Tabellen senden keine Erinnerungen, erzwingen keine Versionskontrolle und erstellen keine Audit-Trails. Mit dem Wachstum Ihres Unternehmens bricht der Tabellenansatz unter seinem eigenen Gewicht zusammen.

Auftragsverarbeiter-Compliance ignorieren. Sie sind verantwortlich für die Daten, die Sie Ihren Anbietern anvertrauen. Wenn Ihre E-Mail-Marketing-Plattform aufgrund mangelhafter Sicherheitspraktiken eine Datenpanne erleidet, sind die Daten Ihrer Kunden betroffen — und die Verantwortungskette führt zurück zu Ihnen. Die Sorgfaltsprüfung bei Auftragsverarbeitern ist keine Option.

Keinen dokumentierten Nachweispfad haben. Der Rechenschaftsgrundsatz ist der am meisten unterschätzte Aspekt der DSGVO. Viele Unternehmen machen das Richtige, können es aber nicht beweisen. Wenn eine Aufsichtsbehörde fragt, wie Sie Ihre Rechtsgrundlage bestimmt haben oder wann Sie Ihr VVT zuletzt überprüft haben, brauchen Sie dokumentierte Antworten — kein institutionelles Gedächtnis.

Datenschutzhinweis mit Compliance verwechseln. Die Veröffentlichung eines Datenschutzhinweises auf Ihrer Website ist notwendig, aber bei Weitem nicht ausreichend. Ein Datenschutzhinweis ist ein Transparenzdokument — er teilt den Menschen mit, was Sie mit ihren Daten tun. Compliance bedeutet, dass Sie tatsächlich tun, was der Hinweis sagt, die Dokumentation haben, um es zu beweisen, und Prozesse für die Bearbeitung von Rechte-Anfragen, Datenpannen und Änderungen haben.

Wie GRCTrail hilft

GRCTrail ersetzt das Flickwerk aus Tabellen, gemeinsam genutzten Dokumenten und manueller Nachverfolgung durch eine einzige Plattform, die für die DSGVO-Compliance von SaaS-Unternehmen entwickelt wurde.

Automatisierte VVT-Erstellung. Verbinden Sie Ihre Datenquellen und GRCTrail erstellt Ihr Verzeichnis der Verarbeitungstätigkeiten automatisch. Wenn sich Ihre Verarbeitung ändert, wird Ihr VVT entsprechend aktualisiert — keine vierteljährlichen Tabellenaudits erforderlich.

DSAR-Workflow-Management. Empfangen, verfolgen und beantworten Sie Betroffenenanfragen über einen strukturierten Workflow. Identitätsprüfung, Datenerfassung, Fristenverfolgung und Antwortlieferung — alles dokumentiert mit einem vollständigen Audit-Trail.

Anbieter- und AVV-Tracking. Pflegen Sie ein aktives Verzeichnis jedes Drittanbieter-Auftragsverarbeiters, ihres AVV-Status, Unterauftragsverarbeiter-Änderungen und Überprüfungsdaten. Lassen Sie sich benachrichtigen, wenn ein AVV erneuert werden muss oder wenn ein Anbieter seine Unterauftragsverarbeiter-Liste aktualisiert.

Nachweismanagement. Jede Aktion in GRCTrail wird mit Zeitstempel versehen und protokolliert. Schulungsaufzeichnungen, Bewertungsergebnisse, Richtliniengenehmigungen und abgeschlossene Überprüfungen — alles als nachweisbare Evidenz Ihres Compliance-Programms gespeichert.

Sehen Sie, wie GRCTrail diese Checkliste automatisiert →

Was als Nächstes kommt

Diese Checkliste gibt Ihnen den Rahmen. Die ausführlichen Leitfäden, die durchgehend verlinkt sind, behandeln jedes Thema im Detail — mit spezifischen Anforderungen, praktischen Beispielen und Vorlagen für SaaS-Unternehmen.

Beginnen Sie mit den Bereichen, in denen Ihre Lücken am größten sind. Wenn Sie kein VVT haben, ist das die Grundlage. Wenn Sie noch nie ein DSAR bearbeitet haben, bauen Sie den Prozess auf, bevor eines eintrifft. Wenn Ihre AVVs mit Anbietern ein Durcheinander sind, bringen Sie sie in Ordnung, bevor Ihr nächster Enterprise-Kunde nach Ihrem Auftragsverarbeiter-Management fragt.

DSGVO-Compliance ist eine Reise, kein Ziel. Aber mit der richtigen Struktur und den richtigen Werkzeugen ist es eine Reise, die Ihr Team selbstbewusst bewältigen kann.

Starten Sie mit GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours