DSGVO-Compliance: Was sie erfordert, wie man sie erreicht und was B2B-Unternehmen wissen müssen
Ein praxisnaher Leitfaden zur DSGVO-Compliance — was die Verordnung verlangt, wie sie auf B2B-SaaS-Unternehmen zutrifft, zentrale Pflichten bei der Datenverarbeitung, Betroffenenrechte, internationale Übermittlungen und wie man Compliance gegenüber Enterprise-Käufern nachweist.
DSGVO-Compliance: Was sie erfordert, wie man sie erreicht und was B2B-Unternehmen wissen müssen
Die Datenschutz-Grundverordnung (DSGVO) ist der Datenschutzrahmen der EU, der regelt, wie Organisationen personenbezogene Daten von Personen im Europäischen Wirtschaftsraum erheben, verarbeiten, speichern und übermitteln. Seit ihrer Durchsetzung im Mai 2018 ist sie zum weltweiten Maßstab für Datenschutzrecht geworden.
Für B2B-SaaS-Unternehmen ist die DSGVO nicht optional — sie gilt immer dann, wenn Sie personenbezogene Daten von EWR-Bewohnern verarbeiten, sei es als Verantwortlicher (Ihre eigenen Mitarbeiter, Website-Besucher, Marketing-Kontakte) oder als Auftragsverarbeiter (Daten, die Ihre Kunden in Ihrer Plattform speichern).
Dieser Leitfaden behandelt, was die DSGVO verlangt, wie sie auf B2B-Unternehmen zutrifft, zentrale Compliance-Pflichten und wie man Compliance gegenüber Enterprise-Käufern nachweist.
DSGVO-Grundlagen
Zentrale Definitionen
| Begriff | Definition | B2B-SaaS-Beispiel |
|---|---|---|
| Personenbezogene Daten | Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen | Mitarbeiternamen in der HR-Plattform Ihres Kunden |
| Verantwortlicher | Bestimmt Zwecke und Mittel der Verarbeitung | Ihr Kunde (das Unternehmen, das Ihre Software nutzt) |
| Auftragsverarbeiter | Verarbeitet Daten im Auftrag des Verantwortlichen | Sie (der SaaS-Anbieter) |
| Betroffene Person | Die Person, deren Daten verarbeitet werden | Ein Mitarbeiter Ihres Kunden |
| Verarbeitung | Jeder mit personenbezogenen Daten durchgeführte Vorgang | Speicherung, Abfrage, Analyse, Löschung |
| Aufsichtsbehörde | Nationale Datenschutzbehörde | BfDI (Deutschland), CNIL (Frankreich), DSB (Österreich) |
Die sechs Rechtsgrundlagen der Verarbeitung
DSGVO Artikel 6 verlangt eine Rechtsgrundlage für jede Verarbeitungstätigkeit:
- Einwilligung — Die betroffene Person hat eine eindeutige Einwilligung für einen bestimmten Zweck erteilt
- Vertragserfüllung — Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich
- Rechtliche Verpflichtung — Die Verarbeitung ist gesetzlich vorgeschrieben
- Lebenswichtige Interessen — Die Verarbeitung ist zum Schutz lebenswichtiger Interessen erforderlich
- Öffentliches Interesse — Die Verarbeitung ist für eine Aufgabe im öffentlichen Interesse erforderlich
- Berechtigte Interessen — Die Verarbeitung ist für berechtigte Interessen erforderlich, abgewogen gegen die Rechte der betroffenen Person
Grundprinzipien (Artikel 5)
Jede Verarbeitung muss diesen Prinzipien entsprechen:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz — Daten rechtmäßig, fair und transparent verarbeiten
- Zweckbindung — Daten für festgelegte, eindeutige und legitime Zwecke erheben
- Datenminimierung — Nur Daten verarbeiten, die für den angegebenen Zweck erforderlich sind
- Richtigkeit — Personenbezogene Daten korrekt und aktuell halten
- Speicherbegrenzung — Daten nur so lange aufbewahren wie nötig
- Integrität und Vertraulichkeit — Daten mit angemessenen technischen und organisatorischen Maßnahmen sicher verarbeiten
- Rechenschaftspflicht — Einhaltung aller Grundsätze nachweisen
DSGVO-Pflichten für B2B-SaaS-Unternehmen
Als Auftragsverarbeiter
Wenn Sie Daten im Auftrag Ihrer Kunden verarbeiten, umfassen Ihre Pflichten:
Auftragsverarbeitungsvertrag (Artikel 28)
- Abschluss eines AVV mit jedem Kunden, der Umfang, Zweck und Dauer der Verarbeitung festlegt
- Dokumentation der Arten personenbezogener Daten und Kategorien betroffener Personen
Unterauftragsverarbeiter-Management (Artikel 28(2)-(4))
- Einholung der allgemeinen oder spezifischen schriftlichen Genehmigung des Verantwortlichen vor Beauftragung von Unterauftragsverarbeitern
- Pflege einer aktuellen Liste der Unterauftragsverarbeiter
- Auferlegung gleichwertiger Datenschutzpflichten an Unterauftragsverarbeiter
- Benachrichtigung der Verantwortlichen über Änderungen bei Unterauftragsverarbeitern
Sicherheitsmaßnahmen (Artikel 32)
- Umsetzung angemessener technischer und organisatorischer Maßnahmen, einschließlich:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
- Wiederherstellung der Verfügbarkeit nach einem Vorfall
- Regelmäßige Überprüfung der Sicherheitsmaßnahmen
Meldung von Datenschutzverletzungen (Artikel 33)
- Unverzügliche Benachrichtigung des Verantwortlichen nach Kenntniserlangung einer Datenschutzverletzung
Unterstützung bei Betroffenenrechten (Artikel 28(3)(e))
- Unterstützung des Verantwortlichen bei der Beantwortung von Betroffenenanfragen
Als Verantwortlicher
Für Ihre eigenen Verarbeitungstätigkeiten haben Sie zusätzliche Pflichten:
- Durchführung von Datenschutz-Folgenabschätzungen (DSFA) bei hohem Risiko
- Benennung eines Datenschutzbeauftragten (DSB) wenn erforderlich
- Führung eines umfassenden Verarbeitungsverzeichnisses (Artikel 30(1))
- Umsetzung von Privacy by Design und Privacy by Default (Artikel 25)
- Direkte Beantwortung von Betroffenenanfragen innerhalb eines Monats
Internationale Datenübermittlungen
Der Übermittlungsrahmen
Die DSGVO beschränkt Übermittlungen personenbezogener Daten außerhalb des EWR. Zulässige Übermittlungsmechanismen:
Angemessenheitsbeschlüsse (Artikel 45) Übermittlungen in Länder, die die Europäische Kommission als angemessen anerkannt hat.
Standardvertragsklauseln (Artikel 46(2)(c)) Vorab genehmigte Vertragsklauseln zwischen Datenexporteur und -importeur. Die aktuellen SCCs (verabschiedet Juni 2021) umfassen vier Module für verschiedene Verantwortlicher/Auftragsverarbeiter-Beziehungen.
Verbindliche interne Datenschutzvorschriften (Artikel 47) Interne Datenschutzrichtlinien, die von Aufsichtsbehörden für konzerninterne Übermittlungen genehmigt werden.
Die Schrems-II-Auswirkungen
Das Schrems-II-Urteil (Juli 2020) fügte praktische Anforderungen hinzu:
- Transfer Impact Assessments (TIAs): Bewertung, ob die Gesetze des Ziellandes angemessenen Schutz gewährleisten
- Ergänzende Maßnahmen: Umsetzung zusätzlicher technischer, vertraglicher oder organisatorischer Maßnahmen bei Bedarf
- Einzelfallbewertung: Individuelle Bewertung jeder Übermittlungsbeziehung
Betroffenenrechte
Rechte-Übersicht
| Recht | Artikel | Antwortfrist | Auftragsverarbeiter-Pflicht |
|---|---|---|---|
| Auskunft | 15 | Ein Monat | Verantwortlichen unterstützen |
| Berichtigung | 16 | Ein Monat | Verantwortlichen unterstützen |
| Löschung | 17 | Ein Monat | Verantwortlichen unterstützen |
| Einschränkung | 18 | Ein Monat | Verantwortlichen unterstützen |
| Datenübertragbarkeit | 20 | Ein Monat | Verantwortlichen unterstützen |
| Widerspruch | 21 | Unverzüglich | Verantwortlichen unterstützen |
Umsetzung für SaaS-Unternehmen
Als Auftragsverarbeiter benötigen Sie technische Fähigkeiten für:
- Datenexport in einem strukturierten, maschinenlesbaren Format (Datenübertragbarkeit)
- Datenlöschung über alle Systeme, Backups und Unterauftragsverarbeiter hinweg
- Einschränkung der Verarbeitung — Daten als eingeschränkt markieren und Verarbeitung stoppen
- Auffindbarkeit aller Daten einer bestimmten Person über Ihre Plattform
Management von Datenschutzverletzungen
Die 72-Stunden-Frist
Bei einer Datenschutzverletzung:
- Erkennung: Identifizierung der Verletzung durch Monitoring, Berichte oder Alarme
- Bewertung: Bestimmung von Art, Umfang und Schwere der Verletzung
- Benachrichtigung des Verantwortlichen (Auftragsverarbeiter-Pflicht): Unverzüglich
- Benachrichtigung der Behörde (Verantwortlicher-Pflicht): Innerhalb von 72 Stunden
- Benachrichtigung der Betroffenen (bei hohem Risiko): Unverzüglich
- Behebung: Eindämmung und Umsetzung von Korrekturmaßnahmen
- Dokumentation: Aufzeichnung aller Verletzungen, unabhängig vom Schweregrad
DSGVO-Compliance nachweisen
Dokumentation
Führen Sie umfassende Dokumentation:
- Verarbeitungsverzeichnis (VVT) — Artikel 30
- Datenschutz-Folgenabschätzungen — Artikel 35
- Auftragsverarbeitungsverträge mit allen Verarbeitern und Unterauftragsverarbeitern
- Dokumentation internationaler Übermittlungen (SCCs, TIAs, ergänzende Maßnahmen)
- Datenschutzhinweise und -erklärungen
- Verzeichnis der Datenschutzverletzungen
- Einwilligungsnachweise (wo Einwilligung Rechtsgrundlage ist)
Zertifizierungen und Standards
Diese Zertifizierungen demonstrieren relevante Kontrollen:
- ISO 27001 — Informationssicherheits-Managementsystem mit DSGVO-relevanten Sicherheitsmaßnahmen
- ISO 27701 — Datenschutz-Erweiterung zu ISO 27001, speziell für DSGVO-Ausrichtung
- SOC 2 — Trust Services Criteria zu Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Privacy
Trust-Center-Veröffentlichung
Veröffentlichen Sie DSGVO-Compliance-Nachweise in Ihrem Trust Center:
- AVV-Vorlage zum Download oder zur elektronischen Unterzeichnung
- Unterauftragsverarbeiter-Liste mit Beschreibungen und Datenkategorien
- Datenschutzrichtlinie und Verarbeitungsdokumentation
- Datenfluss-Dokumentation mit Angaben zu Verarbeitungs- und Speicherorten
- Zertifizierungsstatus (ISO 27001, SOC 2, ISO 27701)
- Kontaktdaten des Datenschutzbeauftragten
Häufige DSGVO-Compliance-Fehler
DSGVO als einmaliges Projekt behandeln
DSGVO-Compliance ist fortlaufend. Datenflüsse ändern sich, Unterauftragsverarbeiter kommen hinzu, Vorschriften entwickeln sich weiter. Bauen Sie kontinuierliche Compliance-Prozesse auf, keine einmaligen Checklisten.
Unterauftragsverarbeiter-Pflichten ignorieren
Ihre DSGVO-Compliance ist nur so stark wie Ihre Unterauftragsverarbeiter-Kette. Pflegen Sie aktuelle Listen, stellen Sie sicher, dass AVV bestehen, und informieren Sie Verantwortliche über Änderungen.
Unzureichende Prozesse für Betroffenenanfragen
Viele B2B-SaaS-Unternehmen haben keine effizienten Prozesse für die Bearbeitung von Betroffenenanfragen. Bauen Sie technische Fähigkeiten für Datenexport, Löschung und Einschränkung auf, bevor Sie sie brauchen.
Datenminimierung übersehen
Das Erheben und Aufbewahren von mehr Daten als nötig erhöht sowohl den Compliance-Aufwand als auch das Risiko bei Datenschutzverletzungen.
Annahme, dass Einwilligung immer erforderlich ist
Einwilligung ist nur eine von sechs Rechtsgrundlagen. Für B2B-SaaS sind Vertragserfüllung und berechtigte Interessen oft geeignetere und praktischere Grundlagen.
Wie Orbiq DSGVO-Compliance unterstützt
- Trust Center: Veröffentlichen Sie Ihre DSGVO-Compliance-Position — AVV, Unterauftragsverarbeiter-Liste, Datenschutzdokumentation und Zertifizierungsstatus für Käufer-Self-Service
- Kontinuierliches Monitoring: Verfolgen Sie DSGVO-relevante Kontrollen über ISO 27001, SOC 2 und Datenschutzanforderungen
- Evidenz-Management: Zentralisieren Sie AVV, DSFA, Übermittlungsdokumentation und Verletzungsregister auf einer einzigen Compliance-Plattform
- KI-gestützte Fragebögen: Beantworten Sie DSGVO-bezogene Fragen in Sicherheitsfragebögen automatisch aus Ihren dokumentierten Kontrollen
Weiterführende Literatur
- Datensouveränität — Jurisdiktionelle Kontrolle über personenbezogene Daten verstehen
- Trust Center — DSGVO-Compliance-Nachweise für Käufer veröffentlichen
- Informationssicherheitsleitlinie — Der Richtlinienrahmen für DSGVO Artikel 32 Maßnahmen
- Lieferanten-Risikobewertung — Wie Käufer DSGVO-Compliance in der Beschaffung bewerten
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.