Startseite
BeLogical
dsgvo-datenschutz

DSGVO im B2B-SaaS – Pflichten, Rollen und praktische Umsetzung

Wer ist Verantwortlicher, wer Auftragsverarbeiter? Praxisleitfaden mit typischen Fehlern.

Tobias Lehmann
Autor
Tobias Lehmann - Consultant DSGVO

übersetzt Compliance-Anforderungen in Code und Prozesse. Statt Paragraphen zu zitieren, zeigt er, was im Alltag wirklich funktioniert.

Key Takeaways
Passendes Produkt
CrmLogical Logo CrmLogical SecureLogical Logo SecureLogical

Passendes Produkt fuer dieses Thema: CrmLogical

Technische Pruefung & Redaktion: Ahmet Izler (CEO) - LinkedIn

Inhalt

Management Summary: ## Einführung: Warum DSGVO auch im B2B uneingeschränkt gilt Die Datenschutz-Grundverordnung (DSGVO) gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet – unabhängig davon, ob es sich um B2B oder B2C handelt. Ein häufiger Irrtum ist die Annahme, dass die DSGVO nur für Verbrauchergeschäfte relevant sei. Diese Annahme ist falsch und

Einführung: Warum DSGVO auch im B2B uneingeschränkt gilt

Was ist DSGVO im B2B-SaaS – Pflichten, Rollen und praktische Umsetzung? Die Definition für B2B

DSGVO im B2B-SaaS – Pflichten, Rollen und praktische Umsetzung ist ein wichtiger Aspekt für B2B-Unternehmen. Laut etablierten Standards und Best Practices ist DSGVO im B2B-SaaS – Pflichten, Rollen und praktische Umsetzung essentiell für nachhaltigen Erfolg. Für C-Level-Entscheider bedeutet das: Investition in Qualität, nicht in Quantität.

Die Datenschutz-Grundverordnung (DSGVO) gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet – unabhängig davon, ob es sich um B2B oder B2C handelt. Ein häufiger Irrtum ist die Annahme, dass die DSGVO nur für Verbrauchergeschäfte relevant sei. Diese Annahme ist falsch und kann zu erheblichen rechtlichen Risiken führen.

Für B2B-SaaS-Anbieter bedeutet das: Die DSGVO gilt uneingeschränkt, sobald personenbezogene Daten verarbeitet werden. Das betrifft nicht nur Kundendaten, sondern auch Daten von Mitarbeitern, Geschäftspartnern und anderen natürlichen Personen, deren Daten im Rahmen der SaaS-Nutzung verarbeitet werden.

Dieser Artikel erklärt die grundlegenden Pflichten, Rollen und praktischen Umsetzungsschritte für B2B-SaaS-Anbieter und ihre Kunden. Er dient als Grundlagenartikel, auf den spezifischere Artikel zu einzelnen Aspekten der DSGVO verlinken können.

Rechtlicher Rahmen: Wann gilt die DSGVO?

Die DSGVO gilt nach Art. 2 DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für bestimmte nichtautomatisierte Verarbeitungen in Dateien. Für SaaS-Anbieter bedeutet das praktisch: Die DSGVO gilt immer, wenn:

Die Verarbeitung ganz oder teilweise automatisiert erfolgt (was bei SaaS praktisch immer der Fall ist)

  • Es sich um Daten natürlicher Personen handelt (nicht um reine Unternehmensdaten ohne Personenbezug)

Wichtig: Reine Unternehmensdaten ohne Personenbezug (z.B. nur Firmenname ohne Ansprechpartner) fallen nicht unter die DSGVO. Sobald jedoch ein Ansprechpartner, eine E-Mail-Adresse oder andere personenbezogene Daten hinzukommen, greift die DSGVO vollständig.

Der räumliche Anwendungsbereich (Art. 3 DSGVO) umfasst:

Nicht-EU-Unternehmen, die Personen in der EU Waren oder Dienstleistungen anbieten

  • Unternehmen, die das Verhalten von Personen in der EU beobachten

Rollenmodell: Verantwortlicher vs. Auftragsverarbeiter

Die korrekte Zuordnung der Rollen ist entscheidend für die Einhaltung der DSGVO. Im SaaS-Kontext gibt es typischerweise zwei Rollen:

Der Verantwortliche (Art. 4 Nr. 7 DSGVO)

Der Verantwortliche ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Im SaaS-Kontext ist der Kunde typischerweise der Verantwortliche für die Daten seiner Endnutzer und Mitarbeiter.

Der Kunde entscheidet:

Zu welchem Zweck die Daten verarbeitet werden

Wie lange die Daten gespeichert werden

Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)

Der Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im SaaS-Kontext ist der SaaS-Anbieter typischerweise der Auftragsverarbeiter für die Kundendaten.

Der SaaS-Anbieter verarbeitet die Daten:

Ohne eigene Entscheidungsbefugnis über Zweck und Mittel

  • Im Rahmen eines Auftragsverarbeitungsvertrags (AVV)

Wichtig: Ein SaaS-Anbieter kann gleichzeitig Verantwortlicher (für eigene Daten wie Website-Tracking, eigene CRM-Daten) und Auftragsverarbeiter (für Kundendaten) sein. Die Rollen müssen klar getrennt und dokumentiert werden.

Typische SaaS-Daten: Was wird verarbeitet?

In einem typischen B2B-SaaS-System werden verschiedene Kategorien personenbezogener Daten verarbeitet:

CRM-Daten

CRM-Systeme wie CrmLogical verarbeiten typischerweise:

Geschäftliche Informationen (Position, Unternehmen, Branche)

Verkaufsdaten (Deals, Pipeline, Umsätze)

  • Notizen und Dokumente

Log-Daten und Systemdaten

Systeme wie SecureLogical erfassen typischerweise:

Authentifizierungsdaten (Login-Versuche, Session-Daten)

Performance-Metriken

Nutzerkonten

Für jedes Nutzerkonto werden verarbeitet:

Profilinformationen (Name, Position, Abteilung)

Nutzungsstatistiken

Art. 28 DSGVO: Der Auftragsverarbeitungsvertrag (AVV)

Art. 28 DSGVO verlangt, dass zwischen Verantwortlichem (Kunde) und Auftragsverarbeiter (SaaS-Anbieter) ein Auftragsverarbeitungsvertrag (AVV) geschlossen wird. Dieser Vertrag ist nicht optional, sondern gesetzlich zwingend vorgeschrieben.

Pflichtinhalt des AVV (Art. 28 Abs. 3 DSGVO)

Der AVV muss mindestens folgende Punkte enthalten:

Art und Zweck der Verarbeitung: Welche Verarbeitungstätigkeiten werden durchgeführt?

Kategorien betroffener Personen: Wer ist betroffen (Mitarbeiter, Kunden, etc.)?

Vertraulichkeit: Verpflichtung zur Vertraulichkeit, insbesondere für Mitarbeiter

Unterstützung bei Betroffenenrechten: Wie wird der Kunde bei Auskunftsersuchen unterstützt?

Löschung und Rückgabe: Was passiert nach Vertragsende mit den Daten?

Audit-Rechte: Wie kann der Kunde die Einhaltung prüfen?

Praktische Umsetzung

Ein AVV kann als:

Anlage zu den AGB oder zum Service Level Agreement (SLA)

  • Online-Akzeptanz im Rahmen der Registrierung

Wichtig: Ein AVV muss vor Beginn der Datenverarbeitung geschlossen werden. Eine nachträgliche Vereinbarung ist rechtlich problematisch.

Art. 32 DSGVO: Technische und organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die vier Grundprinzipien (Art. 32 Abs. 1 DSGVO)

Die TOM müssen folgende Grundprinzipien berücksichtigen:

Vertraulichkeit: Zugriff nur für berechtigte Personen, die zur Vertraulichkeit verpflichtet sind

Verfügbarkeit: Schutz vor Verlust und Sicherstellung der Verfügbarkeit bei Bedarf

Typische TOM für SaaS-Anbieter

Für B2B-SaaS-Anbieter gelten folgende TOM als “Stand der Technik”:

Zugangskontrolle

Multi-Faktor-Authentifizierung (MFA) für alle Nutzerkonten

Passwortrichtlinien mit Komplexitätsanforderungen

Protokollierung aller Zugriffe

Verschlüsselung

AES-256-Verschlüsselung für ruhende Daten

Schlüsselrotation und Trennung von Schlüsseln pro Mandant (Tenant-Isolation)

Physische Sicherheit

24/7-Überwachung und Redundanz in mehreren Rechenzentren

Einhaltung von C5-Kriterien (Deutschland) oder vergleichbaren Standards

Betriebsicherheit

Automatisierte Vulnerability-Scans

Incident-Response-Pläne mit definierten SLAs (Erkennung < 1 Stunde, Meldung < 24 Stunden)

  • Regelmäßige Penetrationstests (jährlich)

Systemakquise und Wartung

Statische Analyse (SAST) und dynamische Tests (DAST)

Verschlüsselte Backups, getestet (jährlich)

  • Geografisch verteilte Backups mit RPO < 1 Stunde, RTO < 4 Stunden

Lieferantenbeziehungen

Regelmäßige Sicherheitsbescheinigungen (SOC 2 Type II, ISO 27001)

Jährliche Risikobewertung aller Drittanbieter

  • Exit-Strategien für den Fall eines Anbieterwechsels

Pflichten des SaaS-Anbieters (Auftragsverarbeiter)

Als Auftragsverarbeiter hat der SaaS-Anbieter folgende Pflichten:

Abschluss eines AVV

Der SaaS-Anbieter muss mit jedem Kunden, der personenbezogene Daten zur Verarbeitung überlässt, einen AVV abschließen. Dieser muss alle in Art. 28 Abs. 3 DSGVO geforderten Punkte enthalten.

Nachweis und Umsetzung von TOM

Der SaaS-Anbieter muss geeignete TOM nach Art. 32 DSGVO umsetzen und deren Wirksamkeit nachweisen können. Dies erfolgt typischerweise durch:

Zertifizierungen (ISO 27001, SOC 2 Type II)

Audit-Berichte

Verzeichnis der Verarbeitungstätigkeiten

Als Auftragsverarbeiter muss der SaaS-Anbieter ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO führen. Dieses muss enthalten:

Kategorien der Verarbeitung

Kategorien personenbezogener Daten

Übermittlungen in Drittländer

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Unterstützung bei Betroffenenrechten

Der SaaS-Anbieter muss den Kunden bei der Erfüllung von Betroffenenrechten unterstützen (Art. 28 Abs. 3 lit. e DSGVO). Dazu gehören:

Berichtigung (Art. 16 DSGVO)

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Widerspruch (Art. 21 DSGVO)

Meldung von Datenpannen

Bei Verletzungen des Schutzes personenbezogener Daten muss der SaaS-Anbieter den Kunden ohne unangemessene Verzögerung informieren (Art. 33, 34 DSGVO). Typischerweise wird eine Meldung innerhalb von 24-48 Stunden erwartet, sobald der Vorfall bekannt wird.

Unterstützung bei Datenschutz-Folgenabschätzung

Der SaaS-Anbieter muss den Kunden nach Möglichkeit bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO unterstützen, insbesondere durch:

Beschreibung der implementierten Sicherheitsmaßnahmen

  • Einschätzung von Risiken aus technischer Sicht

Zusammenarbeit mit Aufsichtsbehörden

Der SaaS-Anbieter muss den Kunden bei der Zusammenarbeit mit Aufsichtsbehörden unterstützen (Art. 28 Abs. 3 lit. f DSGVO), insbesondere durch:

Teilnahme an Audits

  • Beantwortung von Anfragen

Pflichten des Kunden (Verantwortlicher)

Als Verantwortlicher hat der Kunde folgende Pflichten:

Auswahlpflicht

Der Kunde muss den SaaS-Anbieter sorgfältig nach Eignung, Sicherheit und Zuverlässigkeit auswählen (Art. 28 Abs. 1 DSGVO). Dies umfasst:

Prüfung von Zertifizierungen und Bescheinigungen

Dokumentation der Auswahlentscheidung

Abschluss und

Dokumentation eines AVV

Der Kunde muss einen AVV mit dem SaaS-Anbieter abschließen und dokumentieren. Der AVV muss alle in Art. 28 Abs. 3 DSGVO geforderten Punkte enthalten.

Informationspflichten gegenüber Betroffenen

Der Kunde muss seine eigenen Betroffenen (z.B. Mitarbeiter, Kunden) über die Nutzung des SaaS-Dienstes informieren (Art. 13, 14 DSGVO). Dies umfasst:

Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)

Rechtsgrundlage

Übermittlungen in Drittländer

Betroffenenrechte

  • Widerspruchsrecht

Eigenes Verzeichnis der Verarbeitungstätigkeiten

Der Kunde muss ein eigenes Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO führen, das auch die Nutzung des SaaS-Dienstes umfasst.

Risikoanalyse und Datenschutz-Folgenabschätzung

Der Kunde muss eine Risikoanalyse durchführen und gegebenenfalls eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann.

Sicherstellung rechtmäßiger Daten

Der Kunde muss sicherstellen, dass nur rechtmäßig erhobene Daten in das SaaS-System eingegeben werden und dass Weisungen an den SaaS-Anbieter datenschutzkonform sind.

Typische Fehler von SaaS-Anbietern

In der Praxis gibt es einige häufige Fehler, die SaaS-Anbieter bei der DSGVO-Umsetzung machen:

Fehlender oder unvollständiger AVV

Viele SaaS-Anbieter bieten keinen AVV an oder haben einen unvollständigen AVV, der nicht alle in Art. 28 Abs. 3 DSGVO geforderten Punkte enthält. Dies ist ein schwerwiegender Fehler, der zu erheblichen rechtlichen Risiken führt.

Fehlende Dokumentation der TOM

Viele SaaS-Anbieter setzen zwar technische Maßnahmen um, dokumentieren diese aber nicht ausreichend. Ohne Dokumentation kann die Einhaltung von Art. 32 DSGVO nicht nachgewiesen werden.

Unzureichende Sub-Auftragsverarbeiter-Kontrolle

Viele SaaS-Anbieter setzen Sub-Auftragsverarbeiter (z.B. Hosting-Provider, CDN) ein, ohne diese ausreichend zu kontrollieren oder ohne AVV mit diesen abzuschließen. Dies verstößt gegen Art. 28 Abs. 2, 4 DSGVO.

Fehlende oder unzureichende Datenpannen-Prozeduren

Viele SaaS-Anbieter haben keine klaren Prozeduren für die Meldung von Datenpannen. Dies kann zu verspäteten Meldungen führen, die gegen Art. 33, 34 DSGVO verstoßen.

Fehlende Audit-Rechte

Viele SaaS-Anbieter gewähren keine oder nur unzureichende Audit-Rechte. Dies erschwert es dem Kunden, die Einhaltung der DSGVO zu prüfen, und verstößt gegen Art. 28 Abs. 3 lit. h DSGVO.

Unzureichende Lösch- und Rückgabeprozeduren

Viele SaaS-Anbieter haben keine klaren Prozeduren für die Löschung oder Rückgabe von Daten nach Vertragsende. Dies kann zu Problemen bei der Einhaltung von Art. 17, 28 Abs. 3 lit. g DSGVO führen.

Verantwortung Kunde vs. Anbieter: Wer haftet wofür?

Eine häufige Frage ist, wer für welche Aspekte der DSGVO-Compliance verantwortlich ist. Die Antwort hängt von der Rolle ab:

Verantwortung des Kunden (Verantwortlicher)

Der Kunde ist verantwortlich für:

Die Informationspflichten gegenüber Betroffenen (Art. 13, 14 DSGVO)

Die Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)

Die Benachrichtigung von Betroffenen bei Datenpannen (Art. 34 DSGVO)

Die Kontrolle des Auftragsverarbeiters (Art. 28 Abs. 3 lit. h DSGVO)

Verantwortung des SaaS-Anbieters (Auftragsverarbeiter)

Der SaaS-Anbieter ist verantwortlich für:

Die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO)

Die Meldung von Datenpannen an den Kunden (Art. 33, 34 DSGVO)

Die Unterstützung bei Datenschutz-Folgenabschätzungen (Art. 28 Abs. 3 lit. f DSGVO)

Die Löschung oder Rückgabe von Daten nach Vertragsende (Art. 28 Abs. 3 lit. g DSGVO)

Gemeinsame Verantwortung

Einige Aspekte erfordern die Zusammenarbeit beider Parteien:

Die Durchführung von Audits (Art. 28 Abs. 3 lit. h DSGVO)

Die Meldung von Datenpannen (Art. 33, 34 DSGVO)

Praxisbeispiele

Die folgenden Praxisbeispiele verdeutlichen die Anwendung der DSGVO im B2B-SaaS-Kontext:

Beispiel 1: CRM-System

Ein Unternehmen nutzt ein CRM-System wie CrmLogical zur Verwaltung von Kundenkontakten. In diesem Fall:

SaaS-Anbieter = Auftragsverarbeiter: Verarbeitet die Daten nach Weisung des Kunden

TOM erforderlich: Verschlüsselung, Zugriffskontrolle, Backups, etc.

  • Informationspflichten: Kunde muss seine Kunden über die Nutzung des CRM-Systems informieren

Beispiel 2: Security-Monitoring

Ein Unternehmen nutzt ein Security-Monitoring-System wie SecureLogical zur Überwachung von Systemzugriffen. In diesem Fall:

SaaS-Anbieter = Auftragsverarbeiter: Verarbeitet Log-Daten nach Weisung des Kunden

TOM erforderlich: Besonders hohe Anforderungen aufgrund der Sensibilität von Log-Daten

Informationspflichten: Kunde muss seine Mitarbeiter über die Nutzung des Systems informieren

Beispiel 3: Datenpanne

Ein SaaS-Anbieter entdeckt einen Sicherheitsvorfall, bei dem unbefugte Personen auf Kundendaten zugegriffen haben könnten. In diesem Fall:

Kunde: Muss die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden informieren (Art. 33 DSGVO)

Beide: Müssen den Vorfall dokumentieren und Maßnahmen zur Schadensbegrenzung ergreifen

Fazit

Die DSGVO gilt auch im B2B-SaaS-Kontext uneingeschränkt. SaaS-Anbieter und ihre Kunden müssen die Rollen (Verantwortlicher vs. Auftragsverarbeiter) klar definieren und die entsprechenden Pflichten erfüllen.

Die wichtigsten Punkte im Überblick:

TOM sind erforderlich: Technische und organisatorische Maßnahmen müssen umgesetzt und dokumentiert werden

Verantwortung ist geteilt: Beide Parteien haben spezifische Pflichten, die erfüllt werden müssen

  • Dokumentation ist entscheidend: Ohne Dokumentation kann Compliance nicht nachgewiesen werden

Für weitere Informationen zu spezifischen Aspekten der DSGVO im B2B-SaaS-Kontext verweisen wir auf unsere weiteren Artikel zu Auftragsverarbeitungsverträgen, technischen und organisatorischen Maßnahmen und Datenschutzrichtlinien.

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Bei spezifischen rechtlichen Fragen sollten Sie einen qualifizierten Datenschutzberater oder Rechtsanwalt konsultieren.

DSGVO & Datenschutz

Compliance-Sicherheit für Ihr B2B-SaaS?

Wir helfen Ihnen, Datenschutz & Governance pragmatisch und auditfest umzusetzen.

Beratung anfragen