DSGVO für SaaS-Anbieter: 10 Pflichten 2026
TL;DR
- SaaS-Anbieter = Auftragsverarbeiter nach Art. 28 DSGVO
- 10 Pflichten: AVV-Standardklauseln, Sub-Verarbeiter-Liste, EU-Hosting, ISO 27001, BSI C5
- Customer-Lockbox + Verschlüsselungs-Schlüssel-Hoheit Best-Practice für Enterprise-Kunden
- Datenpannen-Meldung an Verantwortlichen unverzüglich (Art. 33 DSGVO)
- Bei Verstoß: bis 20 Mio. EUR / 4 % Umsatz + Schadensersatz an Kunden
Hauptartikel: Hauptartikel: VVT erstellen 2026 — der vollständige Pillar-Artikel zum Thema.
1. Klarstellung Anbieter/Verantwortlicher-Rolle
Bei Standard-SaaS: Anbieter ist Auftragsverarbeiter. Bei Analytics/Pricing: oft eigenständige Verantwortlichkeit. Vertraglich klären.
2. Standard-AVV bereitstellen
Vorlage nach Art. 28 mit allen 8 Pflichtinhalten + Sub-Auftragsverarbeiter-Liste + Schrems-II-Anhang.
3. Sub-Auftragsverarbeiter dokumentieren
Hosting (AWS/Azure/GCP), Mail (SendGrid/Postmark), Analytics, Support-Tools — alle mit AVV.
4. Datenschutz by Design + Default
Default-Off für Tracking/Werbung, Pseudonymisierung in Logs, Verschlüsselung at-rest + in-transit.
5. Customer-Lockbox-Funktion
Bei Support-Zugriff auf Kundendaten: Genehmigung pro Zugriff erforderlich.
6. EU-Datenboundary aktivieren
Hosting in EU + Sub-Auftragsverarbeiter mit EU-Region. Bei Hyperscalern: aktivierbar.
7. DSFA für Hochrisiko-Funktionen
z.B. KI-Features, Profilbildung, automatisierte Entscheidung. Vorlage 7-Schritte.
8. Datenpannen-Verfahren mit 24h-Customer-Notification
Bei Vorfall: Ihr Kunde muss DSGVO-Frist 72h erreichen. Daher Customer-Notification binnen 24h.
9. Right-to-Audit ermöglichen
Mind. SOC-2-Bericht bereitstellen. Bei kritischen Kunden: Vor-Ort-Audit ermöglichen.
10. Datenexport-API für Art. 20
Maschinenlesbares Format (JSON/CSV/XML) für Kunden-Datenexport.
Zusammenfassung
Kernpunkte dieses Artikels:
- SaaS-Anbieter in der EU stehen und fallen mit DSGVO-Signaling: sauberer Standard-AVV nach Art. 28, transparente Sub-Auftragsverarbeiter-Liste, EU-Datenboundary, Customer-Lockbox und schnelle Datenpannen-Pipeline.
- Privacy by Design und Default nach Art. 25 DSGVO ist Pflicht — Default-Einstellungen müssen datenschutzfreundlich sein.
- DPF-Zertifizierung reduziert den TIA-Aufwand der Kunden, sofern US-Sub-Auftragsverarbeiter eingesetzt werden.
- Datenpannen-Meldung an Kunden binnen 24 Stunden ist Branchen-Erwartung — gesetzlich verlangt Art. 33 DSGVO 72h gegenüber der Aufsicht, der Kunden-AVV sollte schneller sein.
Behandeln Sie DSGVO-Compliance als Sales-Enablement-Asset, nicht als Cost-Center — ein robustes Compliance-Setup ist 2026 entscheidender Verkaufsfaktor im EU-Markt.
Häufig gestellte Fragen
ISO 27001 reicht?
DPF-Zertifizierung sinnvoll?
Quellen
- Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
- Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
- Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
- Commission Implementing Decision (EU) 2023/1795 — EU-US Data Privacy Framework (Stand: 02.05.2026)