DSGVO-Anforderungen an Datenschutzhinweise für SaaS-Unternehmen

Ihr Datenschutzhinweis ist das sichtbarste Artefakt Ihres DSGVO-Compliance-Programms. Es ist das Dokument, das Ihre Nutzer, Kunden und Mitarbeiter tatsächlich lesen (oder zumindest durchscrollen). Es ist das, was Aufsichtsbehörden zuerst prüfen. Und es ist der Ort, an dem die Lücke zwischen dem, was Sie sagen, und dem, was Sie tatsächlich tun, unangenehm sichtbar wird.

Das Transparenzprinzip der DSGVO — verankert in den Artikeln 12, 13 und 14 — verlangt von Ihnen, den Menschen klar, prägnant und in einfacher Sprache mitzuteilen, was Sie mit ihren personenbezogenen Daten tun. Ein Datenschutzhinweis ist keine rechtliche Formalität, die Sie einmal verfassen und dann vergessen. Es ist ein lebendiges Dokument, das Ihre aktuellen Verarbeitungstätigkeiten genau widerspiegeln muss und aktualisiert werden muss, wenn sich diese Tätigkeiten ändern.

Für SaaS-Unternehmen sind Datenschutzhinweise besonders nuanciert. Sie haben wahrscheinlich mehrere Zielgruppen (Website-Besucher, Testnutzer, zahlende Kunden, Enterprise-Kunden, Mitarbeiter) und mehrere Arten der Verarbeitung, die gleichzeitig stattfinden. Dieser Leitfaden führt durch die Pflichtangaben, Best Practices für SaaS und wie Sie Ihren Hinweis aktuell halten, wenn sich Ihr Produkt weiterentwickelt.

Datenschutzhinweis vs. Datenschutzrichtlinie

Diese Begriffe werden oft synonym verwendet, bedeuten aber unterschiedliche Dinge:

• Datenschutzhinweis (extern): Die Informationen, die Sie betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten bereitstellen. Dies ist es, was die DSGVO unter den Artikeln 13 und 14 regelt. Es richtet sich nach außen — es ist für die Personen, deren Daten Sie verarbeiten.

• Datenschutzrichtlinie (intern): Die internen Regeln und Verfahren Ihrer Organisation für den Umgang mit personenbezogenen Daten. Dies ist ein operatives Dokument für Ihr Team — es regelt, wie Mitarbeiter personenbezogene Daten erheben, speichern, teilen und löschen sollen.

Die DSGVO verlangt speziell den Hinweis, nicht die Richtlinie. Wenn wir von „was auf Ihrer Website stehen muss” sprechen, meinen wir den Datenschutzhinweis. Die interne Richtlinie unterstützt ihn, wird aber nicht veröffentlicht.

Was muss ein Datenschutzhinweis enthalten?

Wenn Sie Daten direkt erheben — Artikel 13

Wenn Sie personenbezogene Daten direkt von der betroffenen Person erheben (Anmeldeformulare, Kontaktformulare, Cookie-Einwilligung, Kontoerstellung), muss Ihr Datenschutzhinweis zum Zeitpunkt der Erhebung alle folgenden Angaben enthalten:

1. Identität und Kontaktdaten des Verantwortlichen. Ihr Firmenname, Ihre eingetragene Adresse und eine Möglichkeit, Sie in Datenschutzangelegenheiten zu kontaktieren. Wenn Sie Teil einer Unternehmensgruppe sind, klären Sie, welche Einheit der Verantwortliche ist.

2. Kontaktdaten des DSB. Wenn Sie einen Datenschutzbeauftragten ernannt haben, geben Sie dessen Kontaktinformationen an. Dies kann eine generische E-Mail-Adresse sein (dsb@unternehmen.de) statt einer namentlich genannten Person.

3. Zwecke und Rechtsgrundlage der Verarbeitung. Geben Sie für jede Verarbeitungskategorie an, was Sie mit den Daten tun und auf welche Rechtsgrundlage Sie sich stützen. Bündeln Sie nicht alles unter einem vagen Zweck — seien Sie spezifisch. „Um den von Ihnen angeforderten Dienst bereitzustellen” ist ein Zweck. „Um Ihnen Marketing-E-Mails zu senden” ist ein anderer Zweck mit potenziell einer anderen Rechtsgrundlage.

4. Berechtigte Interessen (falls zutreffend). Wenn Sie sich auf berechtigtes Interesse als Rechtsgrundlage für eine Verarbeitungstätigkeit stützen, müssen Sie beschreiben, worin dieses berechtigte Interesse besteht. „Produktverbesserung” ist nicht spezifisch genug. „Analyse aggregierter Nutzungsmuster zur Identifizierung und Behebung von Usability-Problemen” ist besser.

5. Empfänger oder Kategorien von Empfängern. Mit wem teilen Sie personenbezogene Daten? Nennen Sie spezifische Kategorien: Cloud-Hosting-Anbieter, Zahlungsdienstleister, E-Mail-Marketing-Plattformen, Analysedienste, Kundensupport-Tools. Sie müssen nicht unbedingt jeden Anbieter benennen, aber die Kategorien sollten aussagekräftig sein — „Dritte” allein ist zu vage.

6. Internationale Übermittlungen und Schutzmaßnahmen. Wenn personenbezogene Daten außerhalb des EWR übermittelt werden, geben Sie an, in welche Länder und welche Schutzmaßnahmen bestehen. Verweisen Sie auf den spezifischen Mechanismus: Angemessenheitsbeschluss, Standardvertragsklauseln, EU-US Data Privacy Framework. Siehe unseren Leitfaden zu internationalen Datenübermittlungen für Details.

7. Aufbewahrungsfristen. Wie lange bewahren Sie jede Datenkategorie auf? Geben Sie spezifische Zeiträume oder die Kriterien zu deren Bestimmung an. „Solange wie nötig” besteht den Transparenztest nicht. „Für die Dauer Ihres Kontos plus 30 Tage” ist transparent. Unser Leitfaden zur Datenaufbewahrung hilft Ihnen, diese Zeiträume zu definieren.

8. Rechte betroffener Personen. Informieren Sie die Menschen über ihre Rechte unter der DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Erklären Sie, wie sie diese Rechte ausüben können (E-Mail-Adresse, In-App-Einstellungen, ein spezielles Anfrageformular).

9. Recht auf Widerruf der Einwilligung. Wenn eine Verarbeitung auf Einwilligung basiert, müssen Sie die Menschen darüber informieren, dass sie ihre Einwilligung jederzeit widerrufen können, ohne die Rechtmäßigkeit der Verarbeitung vor dem Widerruf zu berühren. Teilen Sie ihnen mit, wie sie widerrufen können (Abmeldelink, Kontoeinstellungen, Kontaktaufnahme mit Ihnen).

10. Recht auf Beschwerde. Betroffene Personen haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Sie sollten die zuständige Behörde (oder Behörden, wenn Sie in mehreren EU-Mitgliedstaaten tätig sind) benennen und deren Kontaktdaten oder Website angeben.

11. Gesetzliche oder vertragliche Anforderung. Geben Sie an, ob die Bereitstellung personenbezogener Daten eine gesetzliche oder vertragliche Anforderung ist, ob die betroffene Person zur Bereitstellung verpflichtet ist und welche Folgen die Nichtbereitstellung hat. Für eine SaaS-Anmeldung könnte dies lauten: „Die Angabe Ihrer E-Mail-Adresse ist zur Erstellung eines Kontos erforderlich. Ohne sie können wir den Dienst nicht erbringen.”

12. Automatisierte Entscheidungsfindung und Profiling. Wenn Sie Entscheidungen ausschließlich auf Basis automatisierter Verarbeitung (einschließlich Profiling) treffen, die rechtliche oder ähnlich erhebliche Auswirkungen haben, müssen Sie betroffene Personen über diese Tatsache, die involvierte Logik und die Bedeutung und beabsichtigten Auswirkungen informieren. Für die meisten SaaS-Unternehmen gilt dies, wenn Sie automatisierte Kreditbewertungen, Betrugserkennung mit Zugangssperrung oder algorithmische Inhaltsmoderation verwenden.

Wenn Daten nicht direkt erhoben werden — Artikel 14

Wenn Sie personenbezogene Daten aus einer anderen Quelle als der betroffenen Person erhalten — von einem Geschäftspartner, einem Datenmakler, einer öffentlichen Quelle oder von Ihrem Kunden (als Auftragsverarbeiter, der um Transparenz auf Verantwortlichen-Ebene gebeten wird) — fügt Artikel 14 hinzu:

• Die Quelle der Daten — Woher haben Sie sie? Nennen Sie die spezifische Quelle oder Kategorie der Quelle.
• Die Kategorien personenbezogener Daten — Da Sie sie nicht direkt von der Person erhoben haben, weiß diese möglicherweise nicht, welche Daten Sie haben. Seien Sie explizit.

Artikel-14-Informationen müssen innerhalb einer angemessenen Frist nach Erhalt der Daten bereitgestellt werden, spätestens jedoch innerhalb eines Monats. Wenn Sie planen, die Daten zur Kommunikation mit der Person zu verwenden, stellen Sie den Hinweis spätestens bei der ersten Kommunikation bereit.

Best Practices für Datenschutzhinweise bei SaaS

Mehrschichtige Hinweise verwenden

Ein einziger, monolithischer Datenschutzhinweis, der jede Verarbeitungstätigkeit in dichtem Juristendeutsch abdeckt, ist technisch konform, aber praktisch nutzlos. Niemand liest ihn, was den Transparenzzweck verfehlt.

Mehrschichtige Hinweise lösen dieses Problem. Der Ansatz:

• Schicht 1: Kurzhinweis. Eine kurze Zusammenfassung, die die wichtigsten Informationen hervorhebt — wer Sie sind, was Sie erheben, warum und wie Sie kontaktiert werden können. Dies erscheint am Punkt der Datenerhebung (Anmeldeseite, Cookie-Banner).
• Schicht 2: Vollständiger Hinweis. Der umfassende Datenschutzhinweis mit allen Elementen der Artikel 13/14. Verlinkt vom Kurzhinweis für alle, die Details möchten.
• Schicht 3: Just-in-Time-Hinweise. Kontextbezogene Hinweise, die erscheinen, wenn eine bestimmte Verarbeitung stattfindet — z. B. beim Aktivieren einer neuen Funktion, die Standortdaten verwendet, beim Aktivieren einer Integration oder wenn ein Nutzer zum ersten Mal auf Analyse-Tracking stößt.

In einfacher Sprache schreiben

Artikel 12 verlangt, dass Datenschutzinformationen in „einer präzisen, transparenten, verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache” bereitgestellt werden. Das ist keine Empfehlung — es ist verpflichtend.

Richtlinien:

• Verwenden Sie kurze Sätze. Streben Sie ein Leseniveau an, das für ein allgemeines Publikum zugänglich ist.
• Vermeiden Sie Fachjargon. „Wir” und „Sie” sind besser als „der Verantwortliche” und „die betroffene Person”.
• Erklären Sie technische Konzepte. Wenn Sie „Standardvertragsklauseln” erwähnen, erklären Sie kurz, was das ist.
• Verwenden Sie Überschriften und Aufzählungszeichen. Machen Sie den Hinweis scanbar.
• Testen Sie die Lesbarkeit. Lesbarkeitstools geben Ihnen ein objektives Maß.

Just-in-Time-Hinweise an Erhebungspunkten bereitstellen

Verlassen Sie sich nicht ausschließlich auf eine Datenschutzhinweisseite, die in Ihrem Website-Footer vergraben ist. Wenn Sie Daten erheben, teilen Sie es den Menschen genau dort mit:

• Anmeldeformulare: Kurzer Text, der erklärt, was Sie mit ihrer E-Mail machen, mit Link zum vollständigen Hinweis.
• Cookie-Einwilligung: Klare Erklärung, welche Cookies Sie verwenden und warum, mit granularen Kontrollen.
• Feature-Aktivierung: Wenn ein Nutzer eine Funktion aktiviert, die eine neue Datenverarbeitung einführt (z. B. Verbindung einer Drittanbieter-Integration), erklären Sie, welche Daten geteilt werden und mit wem.
• Support-Interaktionen: Wenn Sie Support-Anrufe aufzeichnen oder Chat-Protokolle aufbewahren, informieren Sie die Nutzer zu Beginn.

Multi-Produkt-Hinweise durchdacht handhaben

Wenn Ihr Unternehmen mehrere Produkte oder Dienste anbietet, entscheiden Sie, ob Sie:

• Einen einzigen Hinweis pflegen, der alles abdeckt (einfacher zu pflegen, aber potenziell überwältigend)
• Produktspezifische Hinweise erstellen (relevanter für jeden Nutzer, aber mehr zu verwalten)
• Einen modularen Ansatz verwenden (ein gemeinsamer Basishinweis mit produktspezifischen Ergänzungen)

Der richtige Ansatz hängt davon ab, wie unterschiedlich die Datenverarbeitung Ihrer Produkte ist. Wenn sie Infrastruktur und Anbieter teilen, funktioniert normalerweise ein einziger Hinweis mit produktspezifischen Abschnitten. Wenn sie grundlegend verschieden sind, können separate Hinweise klarer sein.

Versionierung und Kommunikation von Änderungen

Wenn sich Ihr Datenschutzhinweis ändert, gibt die DSGVO kein genaues Benachrichtigungsverfahren vor, aber gute Praxis umfasst:

• Pflege einer Versionshistorie mit Daten und einer Zusammenfassung der Änderungen
• Benachrichtigung der Nutzer über wesentliche Änderungen per E-Mail oder In-App-Benachrichtigung
• Den Nutzern eine angemessene Frist zur Prüfung der Änderungen geben, bevor sie in Kraft treten
• Frühere Versionen zur Referenz zugänglich halten

Häufige Fehler bei Datenschutzhinweisen

Von einem anderen Unternehmen kopieren. Dies ist erschreckend häufig — und garantiert Ungenauigkeit. Ihr Datenschutzhinweis muss Ihre Verarbeitung widerspiegeln, nicht die eines anderen. Wenn Ihr Hinweis Verarbeitungstätigkeiten erwähnt, die Sie nicht durchführen, oder solche auslässt, die Sie durchführen, besteht er den Genauigkeitstest nicht.

Nicht aktualisieren, wenn sich die Verarbeitung ändert. Sie führen eine neue Funktion ein, die Standortdaten erhebt. Sie wechseln den Analyseanbieter. Sie expandieren in einen neuen Markt. Jedes davon sollte eine Überprüfung des Datenschutzhinweises auslösen. Der Hinweis, der vor sechs Monaten korrekt war, ist es heute möglicherweise nicht mehr.

Fehlende Pflichtangaben. Die am häufigsten ausgelassenen Elemente: Aufbewahrungsfristen, spezifische Rechtsgrundlagen für jeden Zweck, Beschreibungen berechtigter Interessen, Mechanismen für internationale Übermittlungen und Angaben zur automatisierten Entscheidungsfindung. Prüfen Sie jedes Pflichtelement gegen Ihren Hinweis.

Den Hinweis hinter mehreren Klicks vergraben. Ihr Datenschutzhinweis sollte von jeder Seite Ihrer Website zugänglich sein — typischerweise über einen Footer-Link. Wenn Nutzer durch mehrere Seiten navigieren müssen, um ihn zu finden, erfüllen Sie die Anforderung der „leichten Zugänglichkeit” nicht.

Vage, pauschale Formulierungen verwenden. „Wir können Ihre Daten zu geschäftlichen Zwecken an Dritte weitergeben” sagt dem Leser nichts. Wer sind diese Dritten? Welche geschäftlichen Zwecke? Je spezifischer Ihr Hinweis, desto transparenter — und desto vertrauenswürdiger — wirken Sie.

Nicht alle Datenquellen abdecken. Ihre Website erhebt Daten. Ihr Produkt erhebt Daten. Ihre Marketingkampagnen erheben Daten. Ihr Vertriebsteam erhebt Daten. Ihre HR-Abteilung erhebt Daten. Ihr Datenschutzhinweis muss all dies adressieren — oder Sie benötigen separate Hinweise für verschiedene Zielgruppen (Mitarbeiter, Kunden, Website-Besucher).

Ihren Datenschutzhinweis aktuell halten

Auslöser für Überprüfungen

Richten Sie einen Prozess ein, damit Überprüfungen des Datenschutzhinweises automatisch erfolgen, wenn:

• Ein neuer Anbieter eingebunden wird, der personenbezogene Daten verarbeitet
• Eine neue Produktfunktion neue Datentypen erhebt oder verarbeitet
• Sie in einen neuen geografischen Markt eintreten
• Sich ein Betroffenenrechte-Prozess ändert
• Sich Ihre Rechtsgrundlage für eine Verarbeitungstätigkeit ändert
• Eine Aufsichtsbehörde relevante Leitlinien veröffentlicht
• Ihr Unternehmen eine Fusion, Übernahme oder Umstrukturierung durchläuft

Überprüfungsrhythmus

Neben anlassbezogenen Überprüfungen planen Sie regelmäßige Kontrollen:

• Vierteljährlich: Schneller Abgleich zur Überprüfung der Genauigkeit gegenüber der aktuellen Verarbeitung
• Jährlich: Umfassende Überprüfung mit Input von Produkt-, Entwicklungs-, Marketing- und Rechtsteams

Dokumentation

Führen Sie Aufzeichnungen über jede Version des Datenschutzhinweises, die vorgenommenen Änderungen, den Grund für die Änderungen und das Datum der Veröffentlichung. Dies demonstriert Rechenschaftspflicht und hilft Ihnen nachzuverfolgen, wie sich Ihre Verarbeitung im Laufe der Zeit entwickelt hat.

Wie GRCTrail Datenschutzhinweise überwacht

GRCTrail hilft Ihnen, Ihren Datenschutzhinweis mit Ihrer tatsächlichen Verarbeitung in Einklang zu halten:

Datenschutzhinweis-Monitoring. Verfolgen Sie Ihren veröffentlichten Datenschutzhinweis gegen Ihr VVT und Ihre Verarbeitungstätigkeiten. Wenn sich Ihre Verarbeitung ändert, kennzeichnet GRCTrail potenzielle Inkonsistenzen, die eine Aktualisierung des Hinweises erfordern.

Änderungserkennungswarnungen. Lassen Sie sich benachrichtigen, wenn Ihr Datenschutzhinweis Aufmerksamkeit benötigt — sei es aufgrund eines neuen Anbieters, eines neuen Datentyps oder einer geänderten Rechtsgrundlage.

Verknüpft mit Ihrem VVT. Ihr Datenschutzhinweis und Ihr Verzeichnis der Verarbeitungstätigkeiten sollten die gleiche Geschichte erzählen. GRCTrail hält sie verknüpft, sodass Diskrepanzen sofort sichtbar sind.

Verpassen Sie nie eine Aktualisierung des Datenschutzhinweises →

Verwandte Leitfäden

• DSGVO-Compliance-Checkliste — Das vollständige Compliance-Framework
• Einwilligungsmanagement — Wann und wie Sie Einwilligungen einholen
• Verzeichnis der Verarbeitungstätigkeiten (VVT) — Dokumentation Ihrer Verarbeitung
• Die sechs Rechtsgrundlagen — Die richtige Rechtsgrundlage wählen
• DSB-Rolle und Anforderungen — Wann Sie einen Datenschutzbeauftragten benötigen

Starten Sie mit GRCTrail →