Vektora
Kanzlei
/
Compliance

DSGVO für B2B-SaaS: Die sieben Regeln, die deutsche Startups falsch machen

B2B-SaaS-Unternehmen sind unter der DSGVO gleichzeitig Verantwortliche und Auftragsverarbeiter. Die sieben wichtigsten Vorschriften, deutsche Besonderheiten und echte Bußgeldpraxis.

Immo Ait Stapelfeld·Rechtsanwalt··6 Min. Lesezeit
LinkedIn

Zusammenfassung

B2B-SaaS-Unternehmen in Deutschland unterliegen der DSGVO als Verantwortliche und als Auftragsverarbeiter zugleich. Die häufigsten Fehler sind mangelhafte Auftragsverarbeitungsverträge nach Art. 28 DSGVO und das Übersehen deutscher Besonderheiten wie der DPO-Bestellpflicht ab 20 Beschäftigten nach § 38 BDSG. Art. 12-14 Transparenz ist die koordinierte Durchsetzungspriorität 2026.

Wenn dein Startup B2B-SaaS betreibt, verarbeitest du personenbezogene Daten. Geschäftliche E-Mail-Adressen sind personenbezogene Daten. Benutzernamen in deiner App sind personenbezogene Daten. IP-Adressen in deinen Server-Logs sind personenbezogene Daten. Die DSGVO gilt für dich, auch wenn du nie Verbraucherdaten anfasst.

Die meisten B2B-SaaS-Gründer wissen das abstrakt. Sie stolpern über die Details.

Auftragsverarbeitungsvertrag (AVV)
Ein nach Art. 28 DSGVO zwingend vorgeschriebener Vertrag zwischen Verantwortlichem und Auftragsverarbeiter mit acht Pflichtelementen zur Regelung des Umgangs mit personenbezogenen Daten.

Das Doppelrollen-Problem

Ein B2B-SaaS-Unternehmen hat zwei DSGVO-Rollen gleichzeitig. Du bist Verantwortlicher für deine eigenen Daten: Mitarbeiterdaten, Lead-Listen, Website-Analysen. Du bist Auftragsverarbeiter für die Daten deiner Kunden: alles, was sie in deiner Plattform speichern und verwalten.

Diese Doppelrolle bestimmt alles Weitere. Als Verantwortlicher brauchst du eine Rechtsgrundlage für die Verarbeitung. Als Auftragsverarbeiter brauchst du einen Auftragsverarbeitungsvertrag (AVV) mit jedem Kunden. Die meisten Compliance-Fehler beginnen damit, diese Rollen zu verwechseln oder eine davon zu ignorieren.

Sieben Vorschriften, die wirklich zählen

1. Auftragsverarbeitungsverträge (Art. 28 DSGVO)

Jede Kundenbeziehung, bei der du deren Nutzerdaten verarbeitest, erfordert einen AVV. Art. 28 schreibt acht Elemente vor: weisungsgebundene Verarbeitung, Vertraulichkeitspflichten, Sicherheitsmaßnahmen nach Art. 32, Unterauftragnehmer-Bedingungen, Unterstützung bei Betroffenenrechten, Compliance-Hilfe für Pflichten nach Art. 32-36, Datenlöschung oder -rückgabe nach Vertragsende und Prüfrechte.

Ein einziges fehlendes Element ist ein Verstoß. Im März 2025 verhängte der BfDI ein Bußgeld von EUR 15 Mio. gegen Vodafone, ausdrücklich wegen mangelhafter AVV. Dein AVV setzt sich nach unten fort: Nutzt du Unterauftragnehmer (AWS, Stripe, ein Analysetool), brauchst du mit jedem gleichwertige vertragliche Absicherungen.

2. Rechtsgrundlage für B2B-Kontakte (Art. 6 DSGVO)

Für die Verarbeitung von Kundendaten zur Leistungserbringung ist Art. 6 Abs. 1 lit. b (Vertragserfüllung) deine Grundlage. Für B2B-Marketing an bestehende Geschäftskontakte greift Art. 6 Abs. 1 lit. f (berechtigtes Interesse), erfordert aber eine dokumentierte Interessenabwägung. Für Kaltakquise bei neuen Kontakten brauchst du in der Regel eine Einwilligung nach Art. 6 Abs. 1 lit. a.

Ein verbreiteter Irrtum: „B2B-Daten sind keine personenbezogenen Daten." Sind sie. Eine geschäftliche E-Mail wie j.schmidt@firma.de identifiziert eine natürliche Person. Die DSGVO gilt.

3. Transparenzpflichten (Art. 13/14 DSGVO)

Der EDPB hat Art. 12-14 Transparenz als koordinierte Durchsetzungspriorität 2026 festgelegt. Aufsichtsbehörden in der gesamten EU werden Datenschutzerklärungen und Informationspflichten systematisch prüfen.

Deine Datenschutzerklärung muss jeden Zweck, jede Rechtsgrundlage, jede Speicherdauer und jeden Datenempfänger pro Verarbeitungstätigkeit abdecken. Generische Copy-Paste-Erklärungen erzeugen Haftungsrisiken bei Prüfungen. Du brauchst getrennte Datenschutzinformationen für Websitebesucher (Art. 13), SaaS-Kunden (Art. 13) und indirekt erhobene Daten (Art. 14).

4. Verarbeitungsverzeichnis (Art. 30 DSGVO)

Die Ausnahme für Unternehmen unter 250 Beschäftigten ist praktisch wirkungslos. Sie greift nur bei „gelegentlicher" Verarbeitung. Websitebetrieb, Analysetools, Personalverwaltung oder Marketingversand ist nicht gelegentlich. Jedes SaaS-Startup braucht ein Verarbeitungsverzeichnis. Eine Tabelle reicht. Keine Software nötig.

5. Sicherheitsmaßnahmen (Art. 32 DSGVO)

Technische und organisatorische Maßnahmen (TOMs), angemessen zum Risiko. Für SaaS: Verschlüsselung bei Übertragung und Speicherung, Zugriffssteuerung (RBAC), regelmäßige Backups, Mandantentrennung. Der Vodafone-Fall ist lehrreich: 2025 verhängte der BfDI EUR 30 Mio. Bußgeld wegen Authentifizierungsschwachstellen im Kundenportal. Portal-Sicherheit ist exakt die Angriffsfläche, die ein SaaS-Unternehmen exponiert.

6. Meldung von Datenschutzverletzungen (Art. 33/34 DSGVO)

Bei einer Verletzung muss der Verantwortliche die Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen. Als Auftragsverarbeiter musst du den Verantwortlichen „unverzüglich" informieren. Ohne einen vordefinierten Incident-Response-Workflow ist die 72-Stunden-Frist schnell abgelaufen. Dokumentiere vorab, wer erkennt, wer meldet, wer benachrichtigt, mit Kontaktdaten und Eskalationswegen.

7. Internationale Datenübermittlung (Art. 44-49 DSGVO)

Nutzt du US-Infrastruktur (AWS, Google Cloud, Stripe, HubSpot), stützt du dich auf das EU-US Data Privacy Framework (DPF). Das DPF überstand im September 2025 die erste gerichtliche Anfechtung vor dem EuG. Aber eine Berufung ist beim EuGH anhängig, und eine separate „Schrems III"-Klage wird vorbereitet. Halte Standardvertragsklauseln (SCCs) als Rückfallebene bereit. Falls das DPF kippt, brauchst du sofort eine Alternative.

Deutsche Besonderheiten

Deutschland schichtet zusätzliche Anforderungen auf die DSGVO:

AnforderungRechtsquelleBedeutung
DSB ab 20 Personen§ 38 BDSGWeiter als Art. 37 DSGVO, der DSB nur bei umfangreicher Überwachung oder besonderen Kategorien fordert. Die 20-Personen-Schwelle zählt Freelancer und Auftragnehmer mit.
Cookie-Einwilligung als eigenständige Pflicht§ 25 TDDDGEinwilligung für Gerätezugriff (Cookies, Local Storage) ist unabhängig von der DSGVO-Einwilligung für Datenverarbeitung erforderlich. Höchstbußgeld: EUR 300.000.
17 unabhängige AufsichtsbehördenBDSG-StrukturJedes Bundesland hat eine eigene Behörde. Die Datenschutzkonferenz (DSK) koordiniert, aber die Durchsetzung variiert.

Die Föderale Modernisierungsagenda der Bundesregierung (Dezember 2025) sieht vor, die § 38 BDSG-Bestellpflicht abzuschaffen und die DSK als rechtlich anerkanntes Organ mit bundesweit verbindlicher Autorität zu etablieren. Beides ist noch nicht umgesetzt.

Was sich ändert

Zwei Reformspuren werden Compliance für SaaS-Startups vereinfachen:

Föderale Modernisierungsagenda. Wenn umgesetzt, entfällt die 20-Personen-Schwelle für den DSB. Ziel: bis Ende 2026.

EU Digital Omnibus. Schlägt vor, die Art. 30-Ausnahme von 250 auf 750 Beschäftigte anzuheben und das Kriterium „gelegentliche Verarbeitung" durch einen risikobasierten Ansatz zu ersetzen. Auch nicht-essentielle Cookies sollen auf Basis berechtigter Interessen statt Einwilligung möglich werden. In der legislativen Prüfung; Verabschiedung bis Ende 2026 erwartet.

Bis diese Änderungen wirksam werden, gelten die aktuellen Regeln vollumfänglich.

Checkliste
DSGVO-Compliance-Checkliste für B2B-SaaS
0/10

Fazit

Die meisten B2B-SaaS-Startups müssen fünf Dinge richtig machen: AVV mit Kunden und Anbietern, eine akkurate Datenschutzerklärung, ein Verarbeitungsverzeichnis, grundlegende Sicherheitsmaßnahmen und einen Notfallplan für Datenpannen. Die deutschen Extras (DSB-Prüfung und TDDDG-Cookie-Einwilligung) kommen als zwei weitere Punkte dazu. Das ist die Liste. Wenn du diese sieben Punkte dokumentiert hast, deckst du die Vorschriften ab, die Aufsichtsbehörden tatsächlich durchsetzen.

Rechtsquellen

  • §Art. 28 DSGVOAuftragsverarbeiter-Pflichten und AVV-Anforderungen
  • §Art. 6 DSGVORechtsgrundlage für die Verarbeitung, einschließlich berechtigtes Interesse für B2B-Kontakte
  • §Art. 13 DSGVOInformationspflichten bei Direkterhebung
  • §Art. 14 DSGVOInformationspflichten bei Dritterhebung
  • §Art. 30 DSGVOVerzeichnis von Verarbeitungstätigkeiten
  • §Art. 32 DSGVOSicherheit der Verarbeitung (TOMs)
  • §Art. 33 DSGVOMeldung einer Datenschutzverletzung an die Aufsichtsbehörde innerhalb von 72 Stunden
  • §Art. 44 DSGVOInternationale Datenübermittlung, Angemessenheitsbeschlüsse, SCCs
  • §§ 38 BDSGDeutsche Bestellpflicht für Datenschutzbeauftragte
  • §§ 25 TDDDGEinwilligungspflicht für Cookie-/Gerätezugriff, getrennt von DSGVO
  • EDPB Coordinated Enforcement Action 2026Art. 12-14 Transparenz ist die Durchsetzungspriorität 2026

Häufige Fragen

Gilt die DSGVO für B2B-SaaS-Unternehmen?
Ja. Geschäftliche Kontaktdaten (Arbeits-E-Mail, Name, Position) sind personenbezogene Daten. B2B-SaaS-Unternehmen müssen als Verantwortliche für eigene Daten und als Auftragsverarbeiter für Kundendaten die DSGVO einhalten.
Wann braucht ein deutsches Startup einen Datenschutzbeauftragten?
Nach § 38 BDSG ist ein DSB Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das schließt Freelancer und Auftragnehmer ein.
Was muss ein Auftragsverarbeitungsvertrag enthalten?
Art. 28 DSGVO verlangt acht Pflichtelemente: weisungsgebundene Verarbeitung, Vertraulichkeit, Sicherheitsmaßnahmen, Unterauftragnehmer-Regelungen, Betroffenenrechte-Unterstützung, Compliance-Hilfe, Datenlöschung nach Vertragsende und Prüfrechte.
Müssen kleine Unternehmen ein Verarbeitungsverzeichnis führen?
Praktisch ja. Die Befreiung nach Art. 30 DSGVO für Unternehmen unter 250 Beschäftigten greift nur bei gelegentlicher Verarbeitung. Websitebetrieb, Analysetools und Personalverwaltung sind nicht gelegentlich.

Siehe auch

Weiterlesen

DSGVO-Compliance für dein SaaS aufsetzen?

Ich helfe B2B-SaaS-Gründern bei den Grundlagen: AVV, Datenschutzerklärung, Verarbeitungsverzeichnis und DSB-Prüfung. Buche ein kostenloses 15-Minuten-Gespräch.

Gespräch buchen