Welche technischen Maßnahmen verlangt die DSGVO explizit von SaaS-Anbietern?

Art. 32 DSGVO verlangt "geeignete technische und organisatorische Maßnahmen" — was konkret bedeutet: Verschlüsselung personenbezogener Daten (at rest und in transit), Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme, regelmäßige Tests der Sicherheitsmaßnahmen sowie ein Verfahren zur Wiederherstellung nach Zwischenfällen. Das ist bewusst technologieneutral formuliert — der Stand der Technik und das Risiko der Verarbeitung bestimmen das Anforderungsniveau.

Was kostet ein Sicherheitsaudit für eine SaaS-Plattform?

Ein Penetrationstest für eine mittlere SaaS-Plattform (Web-App + API + Authentifizierung) kostet bei spezialisierten deutschen oder österreichischen Sicherheitsunternehmen €8.000–€25.000 je nach Scope. Ein vollständiges DSGVO-Compliance-Audit mit technischer und organisatorischer Prüfung kostet €5.000–€15.000. ISO 27001 Zertifizierung (inkl. Beratung und Audit) liegt bei €30.000–€80.000 für mittelgroße Organisationen. Regelmäßige Vulnerability Scans können über SaaS-Tools deutlich günstiger abgedeckt werden (€500–€3.000/Jahr).

Wann muss ich einen Datenschutzbeauftragten (DSB) benennen?

Für SaaS-Unternehmen ist ein DSB nach Art. 37 DSGVO Pflicht, wenn die Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht oder wenn besondere Kategorien von Daten (Gesundheit, Finanzen etc.) in großem Umfang verarbeitet werden. Viele B2B-SaaS-Anbieter fallen nicht zwingend darunter — eine sorgfältige Prüfung ist aber ratsam. Freiwillig benannte DSBs genießen Kündigungsschutz, was bei der Entscheidung zu berücksichtigen ist.

Sicherheit & Compliance

SaaS-Sicherheit & DSGVO: Technischer Leitfaden für Gründer 2026

Q: Wie hoch sind DSGVO-Bußgelder für SaaS-Unternehmen in der Praxis?

Der gesetzliche Rahmen sieht bis zu €20 Millionen oder 4% des weltweiten Jahresumsatzes vor. In der Praxis sind Bußgelder für kleine SaaS-Unternehmen bei erstmaligen Verstößen oft deutlich niedriger — aber die indirekten Kosten (Reputationsschaden, Kundenverlust, Anwaltskosten) übersteigen das Bußgeld typischerweise um ein Vielfaches. Für B2B-SaaS mit Enterprise-Kunden ist DSGVO-Compliance außerdem eine Voraussetzung für den Vertragsabschluss — kein Bonus.

Q: Wie implementiere ich das Recht auf Löschung technisch korrekt?

Das Recht auf Löschung (Art. 17 DSGVO) erfordert, dass personenbezogene Daten auf Anfrage vollständig aus allen Systemen entfernt werden — inklusive Backups, Logs, Analytics-Daten und Drittanbieter-Integrationen. Technisch bedeutet das: ein zentrales Nutzer-ID-System, das alle Datenpunkte mit einer Person verknüpft, Lösch-Workflows, die alle relevanten Datenbanktabellen und Dienste ansprechen, und eine dokumentierte Frist für Backup-Purging. Vollständige Löschung aus verschlüsselten Backups ist oft durch Schlüssellöschung (Crypto Shredding) effizienter als physisches Überschreiben.

DSGVO-konforme Sicherheitsarchitektur für SaaS-Produkte: Verschlüsselung, Access Control, Audit Logs, Recht auf Löschung, AVV-Anforderungen, Incident Response und ISO 27001 — praxisnah erklärt.

Jahja Nur Zulbeari · 6. Mai 2026 · 14 Min. Lesezeit

Sicherheit und DSGVO-Compliance sind für SaaS-Gründer im DACH-Raum keine nachgelagerten Themen — sie sind Marktvoraussetzungen. Enterprise-Kunden prüfen Sicherheitsarchitekturen vor Vertragsabschluss, Datenschutzbehörden werden aktiver und Wettbewerber nutzen Compliance-Schwächen als Verkaufsargument. Dieser Leitfaden gibt Ihnen das technische Gerüst, um Ihre SaaS-Plattform von Anfang an richtig aufzubauen.

Verschlüsselung: At Rest und In Transit

Verschlüsselung ist das Fundament jeder DSGVO-konformen Datenarchitektur. Sie schützt nicht nur vor externen Angreifern, sondern reduziert im Schadensfall die Meldepflicht nach Art. 33 DSGVO: Eine Datenpanne mit verschlüsselten Daten ist regulatorisch deutlich weniger schwerwiegend als eine mit Klartextdaten.

Encryption at Rest

Alle Datenbanken, Dateisysteme und Backups sollten mit AES-256 verschlüsselt sein. Bei modernen Cloud-Anbietern (AWS, Azure, GCP) ist das auf Infrastructure-Ebene mit wenigen Klicks aktivierbar — aber das reicht für DSGVO-sensible Daten oft nicht aus. Entscheidend ist das Key Management: Wer verwaltet die Schlüssel? Bei Managed Services des Cloud-Anbieters teilen Sie die Kontrolle über die Schlüssel. Für höhere Anforderungen empfiehlt sich Customer-Managed Keys (CMK) oder ein dediziertes Hardware Security Module (HSM).

Für SaaS-Plattformen mit Mandantentrennung (Multi-Tenancy) ist eine Verschlüsselung auf Tenant-Ebene mit separaten Schlüsseln pro Kunde die stärkste Architektur — sie ermöglicht auch technisch saubere Datenlöschung durch Schlüssellöschung (Crypto Shredding).

Encryption in Transit

TLS 1.2 ist Minimum, TLS 1.3 empfohlen. Ältere Protokolle (SSL, TLS 1.0/1.1) müssen deaktiviert sein. HTTP Strict Transport Security (HSTS) mit mindestens 1 Jahr Laufzeit verhindert Downgrade-Attacken. Interne Service-to-Service-Kommunikation in Microservice-Architekturen sollte ebenfalls verschlüsselt sein — Zero-Trust-Netzwerkarchitekturen setzen das konsequent um.

Access Control: Wer darf was sehen?

Das Prinzip der minimalen Rechtevergabe (Least Privilege) ist sowohl eine Sicherheitsanforderung als auch ein DSGVO-Gebot (Datenminimierung, Art. 5 Abs. 1 lit. c). In der Praxis bedeutet das:

Role-Based Access Control (RBAC): Jede Nutzerrolle erhält nur die Berechtigungen, die für ihre Aufgaben zwingend notwendig sind
Attribute-Based Access Control (ABAC): Für feinkörnigere Anforderungen (z.B. Zugriff nur auf Kundendaten der eigenen Region)
Privileged Access Management (PAM): Administratorzugriffe auf Produktionssysteme müssen protokolliert, zeitlich begrenzt und über MFA gesichert sein
Service Accounts: Jeder Microservice kommuniziert mit einem eigenen, minimal berechtigten Service Account — nie mit gemeinsam genutzten Credentials

Für SaaS-Produkte mit Unternehmenskunden ist SSO-Integration (SAML, OIDC) ein wichtiges Feature — Enterprise-IT-Abteilungen bestehen häufig darauf, weil sie Nutzeridentitäten zentral verwalten wollen.

Audit Logs: Lückenlose Nachverfolgbarkeit

Audit Logs sind für DSGVO-Compliance unverzichtbar. Sie ermöglichen es, im Schadensfall nachzuvollziehen, wer wann auf welche Daten zugegriffen hat — und das ist bei einer Behördenanfrage nach Art. 15 DSGVO (Auskunftsrecht) oder einem Sicherheitsvorfall das erste, was geprüft wird.

Was muss protokolliert werden? Mindestens: Authentifizierungsereignisse (Login, Logout, fehlgeschlagene Versuche), Datenzugriffe auf sensible Felder, Änderungen an Nutzerrechten, Exporte und Downloads, Änderungen an Systemkonfigurationen und Löschoperationen.

Audit Logs müssen manipulationssicher sein: Sie dürfen nicht nachträglich geändert oder gelöscht werden können — auch nicht von Administratoren. Write-once-Speicher oder kryptografisch verkettete Logs (ähnlich wie Blockchain-Prinzipien) erfüllen dieses Kriterium.

Datenminimierung in der Praxis

Art. 5 Abs. 1 lit. c DSGVO verlangt, dass nur die Daten erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Im SaaS-Kontext bedeutet das konkret:

Registrierungsformulare: Keine optionalen Felder als Pflichtfelder gestalten
Analytics: Anonymisierte oder aggregierte Daten bevorzugen; kein Full-Text-Logging von Nutzeraktionen
Logs: Log-Retention-Policies definieren und automatisch durchsetzen (z.B. 90 Tage für Debug-Logs, 2 Jahre für Security-Logs)
Backups: Backup-Retention-Fristen dokumentieren und in Verarbeitungsverzeichnis aufnehmen

Recht auf Löschung: Technische Implementierung

Das Recht auf Löschung (Art. 17 DSGVO) klingt einfach, ist technisch aber komplex. Eine vollständige Löschung muss alle Datenpunkte einer Person erfassen — inklusive Sekundärsysteme, die oft vergessen werden:

Systemtyp	Typische Datenpunkte	Löschansatz
Primärdatenbank	Nutzerprofil, Transaktionen	Kaskadierendes DELETE oder Anonymisierung
Analytics (Mixpanel, Amplitude)	Event-Streams mit User-ID	Lösch-API des Anbieters aufrufen
E-Mail-Marketing (Mailchimp etc.)	E-Mail-Adresse, Segmente	API-Aufruf + Suppression-Liste
Support-Tickets (Intercom, Zendesk)	Konversationshistorie	Anonymisierung oder Löschung via API
Backups	Alle obigen Daten	Crypto Shredding (Schlüssellöschung)
CDN / Caches	Profilbilder, Uploads	Cache-Invalidierung + S3/Blob-Löschung

Empfehlung: Bauen Sie von Anfang an eine zentrale "User Deletion Service"-Komponente, die alle relevanten Systeme orchestriert. Nachträgliches Implementieren dieser Logik in einem gewachsenen System ist aufwendig und fehleranfällig.

AVV (Auftragsverarbeitungsvertrag): Was muss drin stehen?

Wenn Ihre SaaS-Plattform personenbezogene Daten Ihrer B2B-Kunden verarbeitet, sind Sie Auftragsverarbeiter und Ihre Kunden die Verantwortlichen. Ein AVV nach Art. 28 DSGVO ist Pflicht. Die wesentlichen Inhalte:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Kategorien betroffener Personen und Datenkategorien
Weisungsgebundenheit: Sie dürfen Daten nur nach Anweisung des Kunden verarbeiten
Pflicht zur Verschwiegenheit der Mitarbeiter
Technische und organisatorische Maßnahmen (TOMs) — in der Regel als Anlage
Regelung für Subauftragsverarbeiter (Ihre Cloud-Anbieter, SaaS-Tools)
Unterstützungspflichten bei Betroffenenanfragen und DSFA
Rückgabe oder Löschung der Daten nach Vertragsende

Entwickeln Sie eine Standard-AVV-Vorlage mit Ihrem Datenschutzanwalt und stellen Sie sie als Self-Service-Dokument auf Ihrer Plattform bereit. Enterprise-Kunden werden das verlangen — seien Sie vorbereitet.

Incident Response nach DSGVO Art. 33 und 34

Bei einer Datenpanne haben Sie nach Art. 33 DSGVO 72 Stunden Zeit, die zuständige Aufsichtsbehörde zu informieren — wenn die Panne voraussichtlich zu einem Risiko für Betroffene führt. Die 72-Stunden-Frist beginnt mit dem Zeitpunkt, zu dem Sie "Kenntnis" von der Panne erlangt haben. Das bedeutet: Sie müssen intern schnell erkennen und eskalieren können.

Ein Incident-Response-Plan muss diese Schritte abdecken:

Detection: Anomalie-Erkennung, Alerting (SIEM oder mindestens Cloud-native Monitoring)
Containment: Betroffene Systeme isolieren, weiteren Datenzufluss stoppen
Assessment: Umfang der Panne bestimmen — welche Daten, wie viele Personen?
Notification: Behörde innerhalb 72 Stunden, ggf. Betroffene nach Art. 34 DSGVO
Remediation: Ursache beseitigen, Schwachstelle schließen
Post-mortem: Dokumentation der Maßnahmen für das Verarbeitungsverzeichnis

ISO 27001: Wann lohnt sich die Zertifizierung?

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Die Zertifizierung ist für viele Enterprise-Kunden in der DACH-Region ein Kaufkriterium — insbesondere in Finanz, Versicherung, Gesundheit und öffentlichem Sektor.

Der Aufwand ist erheblich: 6–18 Monate für die Erstimplementierung, €30.000–€80.000 Gesamtkosten inkl. Beratung und Zertifizierungsaudit, und laufender Aufwand für Rezertifizierung alle 3 Jahre. Für frühe Startups empfehlen wir zunächst eine SOC 2-ähnliche interne Kontrolldokumentation und die Implementierung der ISO 27001-Kernkontrollen ohne formale Zertifizierung. Das reicht für die meisten Mid-Market-Deals und schafft die Grundlage für spätere Zertifizierung.

Bei Zulbera entwickeln wir SaaS-Plattformen von Anfang an mit den technischen Kontrollmechanismen, die sowohl DSGVO als auch ISO 27001 verlangen — das spart erheblichen Nacharbeitsaufwand, wenn der erste Enterprise-Kunde ein Security-Questionnaire schickt.

Penetrationstests: Frequenz und Scope

Ein Penetrationstest (Pentest) simuliert einen realen Angriff auf Ihre Systeme. Für SaaS-Plattformen empfehlen wir:

Erstpentest: Vor dem Launch oder vor dem ersten Enterprise-Deal
Jährlicher Pentest: Mindestens einmal pro Jahr, nach größeren Architekturänderungen häufiger
Scope: Web-App, API, Authentifizierung, Autorisierung (IDOR-Tests), Infrastruktur
Continuous Vulnerability Scanning: Tools wie Snyk, Dependabot oder GitHub Advanced Security für laufende Dependency-Prüfung

Penetrationstest-Berichte sind bei Enterprise-Deals oft Vertragsbestandteil. Stellen Sie sicher, dass kritische Findings vor dem Bericht-Sharing behoben sind.

Zusammenfassung: Die Sicherheitsarchitektur-Checkliste

Bereich	Maßnahme	Priorität
Verschlüsselung	AES-256 at rest, TLS 1.3 in transit, CMK für sensitive Mandanten	Kritisch
Access Control	RBAC, MFA für alle Admins, Least Privilege, PAM	Kritisch
Audit Logging	Manipulationssichere Logs, 2 Jahre Retention für Security Events	Hoch
Datenlöschung	Zentraler Deletion Service, Crypto Shredding für Backups	Hoch
AVV	Standard-AVV mit TOMs, Self-Service-Bereitstellung	Hoch
Incident Response	Dokumentierter Plan, 72h-Meldepflicht sicherstellen	Hoch
Pentesting	Jährlich, vor Enterprise-Deals	Mittel
ISO 27001	Kernkontrollen sofort, Zertifizierung wenn Enterprise fordert	Mittel

DSGVO-Compliance und Sicherheit sind keine einmaligen Projekte — sie sind kontinuierliche Prozesse. Wer sie früh in die Produktarchitektur einbaut, zahlt deutlich weniger als wer sie nachträglich nachrüsten muss. Das Team von Zulbera hilft Ihnen, diese Grundlagen von Anfang an richtig zu setzen.

Häufige Fragen

Welche technischen Maßnahmen verlangt die DSGVO von SaaS-Anbietern?

Art. 32 DSGVO verlangt Verschlüsselung, Vertraulichkeit, Integrität und Verfügbarkeit der Systeme sowie regelmäßige Tests. Das konkrete Anforderungsniveau richtet sich nach dem Stand der Technik und dem Risiko der Verarbeitung.

Wie hoch sind DSGVO-Bußgelder in der Praxis?

Bis zu €20 Mio. oder 4% des Jahresumsatzes sind möglich. In der Praxis sind die indirekten Kosten (Reputationsschaden, Kundenverlust) für B2B-SaaS oft gravierender als das Bußgeld selbst.

Was kostet ein Sicherheitsaudit?

Penetrationstest: €8.000–€25.000. DSGVO-Compliance-Audit: €5.000–€15.000. ISO 27001 Zertifizierung: €30.000–€80.000 für mittelgroße Organisationen.

Wann muss ich einen Datenschutzbeauftragten benennen?

Bei umfangreicher, systematischer Überwachung von Personen oder großvolumiger Verarbeitung besonderer Datenkategorien. Viele B2B-SaaS-Anbieter fallen nicht zwingend darunter — eine individuelle Prüfung ist empfehlenswert.

Wie implementiere ich das Recht auf Löschung technisch?

Durch einen zentralen Deletion Service, der alle Systeme orchestriert: Primärdatenbank, Analytics, E-Mail-Tools, Support-Tickets, Backups (via Crypto Shredding) und CDN-Caches.