Der ultimative SaaS Compliance-Leitfaden

Ein maßgebliches Nachschlagewerk für die technische Compliance gemäß DSGVO, TTDSG und internationalen Datenschutzrahmen.

Rechtlicher HinweisDieser Leitfaden wird nur zu Bildungs- und technischen Implementierungszwecken bereitgestellt. Er stellt keine Rechtsberatung dar. Wir empfehlen dringend, einen qualifizierten Anwalt oder Datenschutzbeauftragten (DSB) für unternehmensspezifische Beratung zu konsultieren.

1. Das Fundament: DSGVO-Prinzipien

Die Datenschutz-Grundverordnung (DSGVO) legt strenge Regeln dafür fest, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen. Für SaaS-Unternehmen ist Compliance nicht optional; sie ist grundlegend für den Betrieb im Europäischen Wirtschaftsraum.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Daten müssen rechtmäßig und transparent verarbeitet werden.
  • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
  • Datenminimierung: Es darf nur das absolut Notwendige erhoben werden.
  • Speicherbegrenzung: Daten dürfen nicht länger als nötig gespeichert werden.

2. Cookie- & Tracking-Zustimmung (TTDSG)

Nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TTDSG) erfordert die Speicherung von Informationen in oder der Zugriff auf Informationen, die bereits in der Endeinrichtung eines Nutzers gespeichert sind, die ausdrückliche, informierte Einwilligung – es sei denn, die Technologie ist unbedingt technisch erforderlich.

Zustimmung erforderlich (nicht essenziell)
  • • Google Analytics / Tracking-Skripte
  • • Marketing- & Retargeting-Pixel
  • • Social Media Embeds (YouTube, Twitter)
  • • A/B-Testing-Cookies
Keine Zustimmung erforderlich (essenziell)
  • • Session-IDs für den Login-Status
  • • Warenkorb-Cookies
  • • Load-Balancing-Cookies
  • • Das Cookie, das den Consent-Status speichert

3. Datentransfers an Dritte

Moderne Webanwendungen stützen sich stark auf CDNs, APIs und externe Datenbanken. Wenn personenbezogene Daten (einschließlich IP-Adressen) an einen Dritten übermittelt werden, müssen Sie:

  1. Einen unterzeichneten Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter haben.
  2. Die Integration in Ihrer Datenschutzerklärung klar offenlegen.
  3. Wenn der Anbieter seinen Sitz außerhalb der EU/des EWR hat (z.B. USA), ein angemessenes Datenschutzniveau gewährleisten (z.B. durch Standardvertragsklauseln oder DPF).

Wie ConsentGuard hilft

ConsentGuard automatisiert die technische Durchsetzung dieser Richtlinien. Unsere Scanner simulieren einen Nutzer, der Ihre Website ohne Zustimmung besucht, um sicherzustellen, dass keine nicht essenziellen Cookies gesetzt werden und keine Netzwerkanfragen von Drittanbietern ausgelöst werden, bevor eine ausdrückliche Erlaubnis erteilt wird.

4. SSL und Verschlüsselung

Die Verschlüsselung während der Übertragung (HTTPS) wird von Artikel 32 der DSGVO ausdrücklich gefordert, um die Sicherheit der Verarbeitung zu gewährleisten. Das Versäumnis, Formularübermittlungen zu sichern – insbesondere Login-, Signup- oder Checkout-Seiten – ist ein direkter Verstoß. Stellen Sie sicher, dass Ihre TLS-Zertifikate auf dem neuesten Stand sind, und beschränken Sie Ihren Server auf moderne Cipher-Suites (TLS 1.2+).