Was ist DSGVO-Compliance? Ein praktischer Leitfaden für SaaS-Teams

Die Datenschutz-Grundverordnung (DSGVO) ist das wegweisende Datenschutzgesetz der Europäischen Union, das am 25. Mai 2018 in Kraft getreten ist. Sie regelt, wie Organisationen personenbezogene Daten von Personen in der EU und im Europäischen Wirtschaftsraum (EWR) erheben, verarbeiten und speichern.

Wenn Ihr SaaS-Produkt EU-Kunden bedient — oder auch nur Mitarbeiter in der EU hat — gilt die DSGVO wahrscheinlich für Sie.

Wer muss die DSGVO einhalten?

Die DSGVO gilt für jede Organisation, die:

In der EU/dem EWR niedergelassen ist, unabhängig davon, wo die Datenverarbeitung stattfindet
Waren oder Dienstleistungen anbietet an Personen in der EU/dem EWR (auch wenn das Unternehmen seinen Sitz anderswo hat)
Das Verhalten überwacht von Personen in der EU/dem EWR (z. B. Website-Tracking, Analysen)

Das bedeutet, dass ein SaaS-Unternehmen mit Sitz in den USA und EU-Kunden dennoch der DSGVO unterliegt.

Die sechs Rechtsgrundlagen für die Verarbeitung

Unter der DSGVO benötigen Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Es gibt sechs:

Einwilligung — Die betroffene Person hat eine eindeutige Einwilligung für einen bestimmten Zweck erteilt
Vertrag — Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich
Rechtliche Verpflichtung — Die Verarbeitung ist gesetzlich vorgeschrieben
Lebenswichtige Interessen — Die Verarbeitung ist zum Schutz des Lebens einer Person erforderlich
Öffentliches Interesse — Die Verarbeitung ist für eine öffentliche Aufgabe erforderlich
Berechtigte Interessen — Die Verarbeitung ist für Ihre berechtigten Interessen erforderlich, abgewogen gegen die Rechte der betroffenen Person

Für die meisten SaaS-Unternehmen sind Vertrag und berechtigte Interessen die am häufigsten genutzten Grundlagen, wobei die Einwilligung für Marketingaktivitäten verwendet wird.

Wichtige DSGVO-Anforderungen für SaaS-Teams

1. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Artikel 30 verlangt, dass Sie ein Verzeichnis aller Verarbeitungstätigkeiten führen. Dieses umfasst:

Welche personenbezogenen Daten Sie erheben
Warum Sie sie erheben (Zweck und Rechtsgrundlage)
Mit wem Sie sie teilen
Wie lange Sie sie aufbewahren
Welche Sicherheitsmaßnahmen Sie getroffen haben

2. Datenschutzhinweis

Sie müssen klare, transparente Informationen darüber bereitstellen, wie Sie personenbezogene Daten verarbeiten. Ihr Datenschutzhinweis sollte in verständlicher Sprache verfasst sein und alle erforderlichen Angaben gemäß Artikeln 13 und 14 abdecken.

3. Betroffenenrechte

Betroffene Personen haben spezifische Rechte unter der DSGVO, und Sie benötigen Prozesse zur Bearbeitung von Anfragen:

Auskunftsrecht (DSAR) — Betroffene können eine Kopie ihrer Daten anfordern
Recht auf Berichtigung — Unrichtige Daten korrigieren
Recht auf Löschung — Daten löschen, wenn keine Rechtsgrundlage mehr besteht
Recht auf Datenübertragbarkeit — Daten in einem maschinenlesbaren Format bereitstellen
Widerspruchsrecht — Verarbeitung auf Basis berechtigter Interessen stoppen

Sie haben 30 Tage Zeit, um auf die meisten Anfragen zu antworten.

4. Auftragnehmer- und AVV-Management

Wenn Sie Unterauftragsverarbeiter einsetzen (andere SaaS-Tools, die Daten Ihrer Nutzer verarbeiten), benötigen Sie Auftragsverarbeitungsverträge (AVV) mit jedem einzelnen. Diese Verträge stellen sicher, dass auch Ihre Auftragnehmer die DSGVO-Anforderungen einhalten.

5. Internationale Datenübermittlungen

Die Übermittlung personenbezogener Daten außerhalb der EU/des EWR erfordert angemessene Schutzmaßnahmen:

Standardvertragsklauseln (SVK) — Der gängigste Mechanismus
Angemessenheitsbeschlüsse — Einige Länder werden von der EU-Kommission als angemessen eingestuft
Verbindliche interne Datenschutzvorschriften — Für konzerninterne Übermittlungen

6. Meldung von Datenpannen

Wenn eine Datenpanne auftritt, die die Rechte von Personen gefährdet:

Benachrichtigen Sie die Aufsichtsbehörde innerhalb von 72 Stunden
Benachrichtigen Sie betroffene Personen, wenn ein hohes Risiko für ihre Rechte besteht

Erste Schritte: eine praktische Checkliste

Hier ist ein pragmatischer Ansatz für SaaS-Teams:

Kartieren Sie Ihre Datenflüsse — wissen Sie, welche personenbezogenen Daten Sie erheben und wohin sie gehen
Erstellen Sie Ihr VVT mit allen dokumentierten Verarbeitungstätigkeiten
Überprüfen und aktualisieren Sie Ihren Datenschutzhinweis
Richten Sie einen Prozess für die Bearbeitung von Betroffenenanfragen ein
Inventarisieren Sie Ihre Auftragnehmer und stellen Sie sicher, dass AVVs vorhanden sind
Dokumentieren Sie Ihre Rechtsgrundlage für jede Verarbeitungstätigkeit
Implementieren Sie angemessene Sicherheitsmaßnahmen
Schulen Sie Ihr Team in DSGVO-Grundlagen

Wie GRCTrail hilft

GRCTrail wurde entwickelt, um kleinen SaaS-Teams bei der DSGVO-Compliance zu helfen — ohne den Overhead von Enterprise-Tools. Es bietet Ihnen:

Geführte DSGVO-Aufgaben, die Sie durch jede Anforderung leiten
Vorlagen für Verarbeitungstätigkeiten, damit Sie nicht bei Null anfangen
Auftragnehmer- und AVV-Tracking an einem zentralen Ort
Datenschutzhinweis-Monitoring, um Änderungen automatisch zu erkennen
Fristenerinnerungen, damit nichts übersehen wird

Statt Tabellen und verstreuter Dokumente erhalten Sie einen einzigen Arbeitsbereich für alle Ihre DSGVO-Aufgaben.

Haben Sie Fragen zur DSGVO-Compliance für Ihr SaaS-Team? Kontaktieren Sie uns — wir helfen gerne.

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours