DSGVO-konforme SaaS-Tools: Was du wirklich prüfen musst
Wenn Unternehmen neue SaaS-Tools einführen, landet die DSGVO-Frage oft ganz am Ende des Prozesses. Das Tool ist schon ausgewählt, der Plan abonniert, die ersten Daten importiert. Dann fragt jemand: "Ist das eigentlich DSGVO-konform?"
Das ist nicht der richtige Zeitpunkt für diese Frage.
Ich schreibe diesen Artikel, weil die Hälfte der Ratgeber zu diesem Thema entweder hoffnungslos vereinfacht ("EU-Server = DSGVO-konform!") oder so juristisch formuliert ist, dass niemand damit praktisch arbeiten kann. Ich versuche den Mittelweg: konkret genug für die Praxis, aber ohne juristischen Unsinn zu verbreiten.
Ein Hinweis vorab: Dieser Artikel ersetzt keine Rechtsberatung. Wenn du wirklich unsicher bist, ob ein Tool in deinem Kontext eingesetzt werden darf, sprich mit einem Datenschutzbeauftragten. Was ich dir gebe, ist ein solides Grundverständnis und eine praktische Checkliste.
Was DSGVO-Konformität bei SaaS überhaupt bedeutet
Erstmal das Wichtigste: Die DSGVO gilt für dich als Unternehmen, nicht für das SaaS-Tool. Das Tool selbst kann nicht "DSGVO-konform" sein. Was du prüfen musst, ist, ob du das Tool DSGVO-konform einsetzen kannst.
Das klingt nach einer Spitzfindigkeit, ist aber relevant. Denn die Verantwortung liegt bei dir als Verantwortlichen im Sinne des Art. 4 DSGVO. Wenn Kundendaten durch dein Tool in die USA fließen, bist du in der Pflicht, nicht der Tool-Anbieter.
Konkret geht es um drei Fragen:
- Hast du einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Tool-Anbieter?
- Ist der Datentransfer in Drittländer (z.B. USA) rechtlich abgesichert?
- Sind deine Datenschutzpflichten gegenüber Betroffenen erfüllbar?
Wenn du alle drei Fragen mit Ja beantworten kannst, bist du auf einem guten Weg. Lass uns jeden Punkt durchgehen.
Der AV-Vertrag: Pflicht, keine Option
Immer wenn du einem Dienstleister personenbezogene Daten gibst und er diese in deinem Auftrag verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag. Das steht in Art. 28 DSGVO und ist nicht verhandelbar.
Was gilt als Auftragsverarbeitung? Fast jeder SaaS-Dienst, den du für betriebliche Zwecke nutzt:
- Projektmanagement-Tools, in denen Mitarbeiterdaten oder Kundendaten stehen
- E-Mail-Marketing-Plattformen
- CRM-Systeme
- HR-Tools
- Cloud-Speicher mit Unternehmensdaten
- Kommunikationstools mit Kunden oder Mitarbeitern
Was nicht als Auftragsverarbeitung gilt: Tools, die du rein privat nutzt, und eigenständige Dienstleister, die im eigenen Namen handeln (z.B. Steuerberater, Anwälte).
Wie du einen AV-Vertrag abschließt
Bei den meisten großen SaaS-Anbietern musst du den AV-Vertrag aktiv anstoßen oder zustimmen. Das passiert unterschiedlich:
- Selbstbedienung über das Dashboard: Anbieter wie ClickUp oder HubSpot lassen dich einen DPA (Data Processing Agreement) direkt im Account-Bereich unterzeichnen. Suche in den Einstellungen nach "Privacy", "GDPR" oder "DPA".
- Automatische Zustimmung durch AGB: Manche Anbieter formulieren ihre AGB so, dass mit dem Vertragsschluss automatisch ein AV-Vertrag entsteht. Das ist rechtlich möglich, aber überprüfe, ob der Inhalt DSGVO-konform ist.
- Manuelle Anfrage: Kleinere Anbieter schicken dir ein Word-Dokument zum Unterschreiben. Bitte sie explizit darum.
Kein AV-Vertrag vorhanden? Dann darfst du das Tool (zumindest für personenbezogene Daten) rechtlich gesehen nicht einsetzen. Im Zweifelsfall findest du das DPA über die Datenschutzerklärung des Anbieters oder direkt über Google mit dem Suchbegriff "[Toolname] DPA" oder "[Toolname] Data Processing Agreement".
Dokumentiere den Abschluss. Speichere eine Kopie des AV-Vertrags in deinem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO). Dieses Verzeichnis brauchst du bei einer Prüfung durch die Aufsichtsbehörde.
Serverstandort und Datentransfer in Drittländer
Hier wird es komplizierter. Der Serverstandort ist wichtig, aber nicht das einzige Kriterium.
EU/EWR: Einfachste Lösung
Wenn ein Tool seine Daten ausschließlich auf Servern innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) verarbeitet, entfällt das Problem des Drittlandtransfers. Das ist datenschutzrechtlich die sauberste Situation.
Aber Vorsicht: "EU-Server" bedeutet nicht automatisch, dass alle Daten in der EU bleiben. Prüfe auch, ob der Anbieter Unterauftragsverarbeiter einsetzt, die in der USA ansässig sind (z.B. für Logging, Analyse, Support-Systeme). Das kann trotz EU-Hauptserver einen Drittlandtransfer darstellen.
USA: Möglich, aber aufwendig
Mit dem EU-US Data Privacy Framework (DPF) gibt es seit 2023 wieder eine Rechtsgrundlage für Datentransfers in die USA an zertifizierte Unternehmen. Das ist der Nachfolger des Privacy Shield, der 2020 vom EuGH gekippt wurde.
Was das für dich bedeutet: Wenn ein US-Anbieter unter dem DPF zertifiziert ist, ist der Transfer an sich legitim. Du musst aber trotzdem:
- Einen AV-Vertrag abschließen
- Prüfen, ob der Anbieter tatsächlich zertifiziert ist (dataprotectionframework.gov)
- Das in deinem Verarbeitungsverzeichnis dokumentieren
Wenn der Anbieter nicht unter dem DPF zertifiziert ist, werden Standard-Contractual-Clauses (SCC) genutzt. Diese sind nach wie vor gültig, erfordern aber zusätzlich eine Transfer Impact Assessment (TIA), in der du bewertest, ob das Recht des Empfängerlandes die DSGVO-Schutzgarantien untergräbt. Für US-Anbieter ist das aufgrund von Gesetzen wie dem FISA-702 heikel.
Andere Drittländer
China, Russland, Indien: Für diese Länder gibt es keine Angemessenheitsbeschlüsse der EU-Kommission. Ein Datentransfer dorthin ist ohne zusätzliche Maßnahmen problematisch. Prüfe, ob dein Tool Subdienstleister in solchen Ländern hat.
Was "Unterauftragsverarbeiter" bedeutet und warum das wichtig ist
Jedes große SaaS-Tool nutzt andere Dienste: AWS oder Google Cloud für Hosting, Stripe für Zahlungen, Zendesk für Support, Datadog für Monitoring. Diese Subdienstleister nennt man Unterauftragsverarbeiter.
Als Verantwortlicher musst du wissen, welche Unterauftragsverarbeiter dein Tool einsetzt. Warum? Weil Daten, die du in einem Tool eingibst, potenziell durch diese Kette fließen. Wenn Notion seine Daten bei AWS in den USA hostet, landet dein Datensatz letztlich auf einem US-Server, auch wenn Notions Büro in San Francisco ist.
Seriöse SaaS-Anbieter veröffentlichen eine Liste ihrer Unterauftragsverarbeiter. Suche nach "Sub-processors" oder "Unterauftragsverarbeiter" in der Datenschutzerklärung oder im Trust Center des Anbieters.
Was du konkret prüfen solltest:
- Sind die wesentlichen Unterauftragsverarbeiter (v.a. für Datenspeicherung) in der EU ansässig oder unter DPF zertifiziert?
- Gibt es eine Benachrichtigungspflicht, wenn sich die Unterauftragsverarbeiter ändern?
- Kannst du der Änderung von Unterauftragsverarbeitern widersprechen?
Ein DSGVO-konformer AV-Vertrag enthält Regelungen zu diesen Punkten. Wenn nicht, ist das ein Warnsignal.
Datenlöschung und Betroffenenrechte
Die DSGVO gibt betroffenen Personen Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch. Als Verantwortlicher musst du sicherstellen, dass du diese Rechte erfüllen kannst. Das Tool muss dir dabei helfen.
Konkrete Fragen, die du einem Tool-Anbieter stellen solltest:
Datenlöschung:
- Kann ich einzelne Datensätze vollständig löschen?
- Gibt es Backups, in denen gelöschte Daten noch vorhanden sind?
- Wie lange dauert es, bis Daten aus Backups gelöscht werden?
- Was passiert mit den Daten, wenn ich den Account kündige?
Auskunft:
- Kann ich alle Daten exportieren, die zu einer bestimmten Person gespeichert sind?
- In welchem Format ist der Export?
Datenpannen:
- Wie schnell werde ich bei einem Datenschutzvorfall (Data Breach) informiert?
- Die DSGVO erfordert Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden.
Gute Anbieter haben diese Antworten in ihrem Trust Center oder ihrer Security-Dokumentation. Wenn ein Anbieter diese Fragen nicht beantworten kann oder will, ist das ein ernstes Problem.
Praktische Tool-Bewertung: Wie ich vorgehe
Wenn ich ein neues SaaS-Tool für ein deutsches Unternehmen evaluiere, gehe ich folgende Punkte durch:
Schritt 1: Welche Daten werden verarbeitet?
Keine personenbezogenen Daten? Dann ist der DSGVO-Aufwand minimal. Personenbezogene Daten von Kunden, Mitarbeitern oder anderen natürlichen Personen? Dann alles prüfen.
Personenbezogene Daten sind weiter gefasst als viele denken: Name, E-Mail, Telefonnummer, IP-Adresse, Verhaltensdaten, Standortdaten, Geräte-IDs. Auch indirekt identifizierbare Daten zählen.
Schritt 2: Trust Center und Datenschutzerklärung lesen
Nicht die Marketing-Seite. Das echte Trust Center. Seriöse Anbieter haben eine dedizierte Seite (oft unter /trust, /security oder /legal) mit:
- Liste der Unterauftragsverarbeiter
- Serverstandorte
- Zertifizierungen (ISO 27001, SOC 2, etc.)
- Verfügbarer DPA
- Ansprechpartner für Datenschutzanfragen
Schritt 3: AV-Vertrag abschließen
Direkt nach der Tool-Entscheidung, vor dem produktiven Einsatz. Nicht danach.
Schritt 4: Im Verarbeitungsverzeichnis dokumentieren
Tool, Zweck, Kategorien der Daten, Rechtsgrundlage, Übermittlung in Drittländer, Löschfristen, Verweis auf AV-Vertrag. Das muss da rein.
Schritt 5: Mitarbeiter informieren
Wenn Mitarbeiterdaten im Tool verarbeitet werden, brauchen Mitarbeiter eine Datenschutzmitteilung (Art. 13 DSGVO). Das ist oft der vergessene Schritt.
Beliebte Tools im DSGVO-Schnellcheck
Hier ist eine ehrliche Einschätzung der Tools, die wir auf ToolFuchs regelmäßig besprechen. Das ist kein Rechtsgutachten, sondern eine praktische Orientierung.
| Tool | Serverstandort | EU möglich | AV-Vertrag | DPF-Zertifizierung | Empfehlung |
|---|---|---|---|---|---|
| Notion | USA | Nein | Ja (Business+) | Ja | Prüfen nötig |
| ClickUp | USA / EU | Ja (Business+) | Ja | Ja | Gut |
| Asana | USA / EU | Ja (Enterprise) | Ja | Ja | Mit Einschränkungen |
| Monday.com | USA / EU | Ja (Enterprise) | Ja | Ja | Mit Einschränkungen |
| Jira (Atlassian) | USA / EU | Ja (alle paid) | Ja | Ja | Sehr gut |
| Slack | USA / EU | Ja (Business+) | Ja | Ja | Mit Einschränkungen |
| HubSpot | USA | Nein | Ja | Ja | Prüfen nötig |
| Pipedrive | EU | Ja | Ja | Ja | Gut |
| Personio | EU | Ja | Ja | Ja | Sehr gut |
Stand März 2026. Angaben ohne Gewähr. Immer direkt beim Anbieter prüfen.
Wer tiefer in den Projektmanagement-Bereich einsteigen will: Unsere Übersicht der besten Projektmanagement-Tools 2026 behandelt auch die DSGVO-Aspekte der wichtigsten Tools.
DSGVO-Checkliste für die SaaS-Tool-Auswahl
Nutze diese Liste, bevor du ein neues Tool einführst:
Vor der Entscheidung:
- Welche personenbezogenen Daten werden im Tool verarbeitet?
- Ist ein AV-Vertrag mit dem Anbieter verfügbar?
- Wo werden die Daten gehostet (EU/EWR oder Drittland)?
- Wenn Drittland: Ist der Anbieter DPF-zertifiziert oder gibt es SCCs?
- Welche Unterauftragsverarbeiter setzt der Anbieter ein?
- Gibt es eine Löschfunktion für einzelne Datensätze?
- Kann ich Daten vollständig exportieren?
- Wie läuft die Datenlöschung bei Kündigung ab?
- Gibt es eine Datenpannen-Meldepflicht im AV-Vertrag?
Nach der Entscheidung:
- AV-Vertrag abgeschlossen und gespeichert
- Im Verarbeitungsverzeichnis dokumentiert
- Mitarbeiter über Datenverarbeitung informiert (Art. 13)
- Datenschutzbeauftragten informiert (falls vorhanden)
Häufige Missverständnisse
"Der Anbieter ist DSGVO-konform, also bin ich es auch."
Nein. Der Anbieter kann DSGVO-freundliche Bedingungen anbieten. Ob du DSGVO-konform handelst, hängt davon ab, wie du das Tool einsetzt und ob du deine Pflichten erfüllst.
"EU-Server bedeutet keine Probleme."
Nicht zwingend. Wenn der Anbieter selbst in den USA sitzt und US-Behörden aufgrund von US-Recht Zugriff auf Daten fordern können (CLOUD Act), kann das auch EU-Server betreffen. Hier hilft ein Anbieter, der ausschließlich der EU-Rechtsprechung untersteht.
"Wir haben nichts zu verbergen, das ist kein Problem für uns."
Das Argument kennt die DSGVO nicht. Es geht nicht darum, ob du etwas zu verbergen hast, sondern ob du die Rechte der Betroffenen schützt. Ein Bußgeld wegen fehlender AV-Verträge trifft auch Unternehmen, die mit ihren Daten völlig lauter umgehen.
"Das kümmert sich die IT-Abteilung."
Datenschutz ist Chefsache. Der Verantwortliche im Sinne der DSGVO ist das Unternehmen, vertreten durch die Geschäftsführung. Bußgelder treffen das Unternehmen, nicht die IT.
Europäische Alternativen: Wo du fündig wirst
Für Teams mit sehr strengen Datenschutzanforderungen oder Mandate, ausschließlich europäische Anbieter zu nutzen, gibt es echte Alternativen:
Projektmanagement:
- Stackfield (Deutschland): Vollständig in Deutschland gehostet, Ende-zu-Ende-verschlüsselt
- Zenkit (Deutschland): Datenspeicherung auf deutschen Servern
- Awork (Deutschland): Made in Hamburg, EU-Server
Kommunikation:
- Wire (Schweiz): Ende-zu-Ende-Verschlüsselung, europäisches Unternehmen
- Threema Work (Schweiz): Für Teams, EU-Daten
Cloud-Speicher:
- Nextcloud (Deutschland): On-Premises oder bei deutschen Hostern
- Tresorit (Schweiz/Ungarn): Ende-zu-Ende-Verschlüsselung
Die Auswahl europäischer Tools ist kleiner, aber für kritische Daten oft die richtige Entscheidung. Du zahlst manchmal mehr oder verzichtest auf Features, aber du reduzierst das rechtliche Risiko und den Dokumentationsaufwand erheblich.
Ein letzter praktischer Hinweis
DSGVO-Compliance bei SaaS ist kein einmaliger Check. Tools ändern ihre Unterauftragsverarbeiter, wechseln Rechtsrahmen, werden von US-Unternehmen aufgekauft. Überprüfe die Tools, die du nutzt, mindestens einmal jährlich.
Die meisten professionellen SaaS-Anbieter informieren aktiv über Änderungen bei Unterauftragsverarbeitern. Stelle sicher, dass du diese Benachrichtigungen erhältst (z.B. per E-Mail-Benachrichtigung oder RSS bei Trust-Center-Änderungen) und entsprechend reagierst.
Für Teams, die konkrete Tool-Empfehlungen mit DSGVO-Filter suchen: In unserer Projektmanagement-Kategorie kannst du Tools nach Serverstandort filtern. Und unsere Seite zu Notion und ClickUp enthält jeweils aktuelle Informationen zu Datenschutz und verfügbaren AV-Verträgen.
Einige Links in diesem Artikel sind Affiliate-Links. Dir entstehen keine Mehrkosten.
Einige Links in diesem Artikel sind Affiliate-Links. Dir entstehen keine Mehrkosten.
