SaaS-Compliance-Operationen (GDPR, CCPA)

Die GDPR (Datenschutz-Grundverordnung) gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig vom Hauptsitz des Unternehmens. Die operativ wichtigsten Anforderungen: Rechtsgrundlage für die Verarbeitung: Jede Kategorie personenbezogener Daten muss eine dokumentierte Rechtsgrundlage für die Verarbeitung haben – Einwilligung, Vertragserfüllung, rechtliche Verpflichtung oder berechtigtes Interesse. B2B SaaS stützt sich typischerweise auf die „Vertragserfüllung“ für die Verarbeitung von Kundendaten und auf das „berechtigte Interesse“ für Analysen und Kommunikation. Datenverarbeitungsvereinbarungen (DPAs): Jeder Anbieter, der personenbezogene Kundendaten in Ihrem Namen verarbeitet (Unterauftragsverarbeiter), muss eine DPA unterzeichnen. Dies umfasst Cloud-Anbieter (AWS, GCP), Analysetools, Support-Plattformen und Marketing-Tools. Die Pflege einer aktuellen Liste der Unterauftragsverarbeiter und DPAs ist eine Prüfanforderung. Betroffenenrechte: EU-Bürger haben das Recht, auf ihre personenbezogenen Daten zuzugreifen, diese zu berichtigen, zu löschen und zu exportieren. Sie müssen einen operativen Prozess haben, um auf DSRs innerhalb von 30 Tagen zu reagieren. Support Ops bearbeitet typischerweise eingehende DSR-Anfragen – der Prozess ist: Überprüfung der Identität des Anfragenden, Lokalisierung aller Daten aus den relevanten Systemen, Beantwortung mit den bereitgestellten Daten oder Löschbestätigung und Protokollierung der Anfrage und des Ergebnisses. Meldung von Datenschutzverletzungen: Eine Datenschutzverletzung muss der zuständigen Datenschutzbehörde innerhalb von 72 Stunden nach Entdeckung gemeldet werden, wenn sie ein Risiko für Einzelpersonen darstellt. Ein dokumentierter Prozess zur Reaktion auf Datenschutzverletzungen (wer benachrichtigt wird, wer über die DPA-Meldung entscheidet, welche Kommunikation an betroffene Personen geht) ist erforderlich, bevor eine Verletzung eintritt.

Der CCPA (California Consumer Privacy Act), jetzt durch den CPRA (California Privacy Rights Act) erweitert, gilt für Unternehmen, die Einwohner Kaliforniens bedienen und Umsatz- oder Datenvolumenschwellenwerte erreichen. Wesentliche Unterschiede zur GDPR: Opt-out vs. Opt-in: GDPR erfordert eine Opt-in-Zustimmung für die meisten Datenverarbeitungen; CCPA basiert auf Opt-out – Kunden können dem „Verkauf“ ihrer Daten (weit gefasst) widersprechen, müssen aber der Standardverarbeitung nicht zustimmen. Die Anforderung eines Links „Meine persönlichen Informationen nicht verkaufen“ ist CCPA-spezifisch. Unternehmensschwelle: CCPA gilt nur für Unternehmen mit > 25 Mio. $ Umsatz, > 100.000 jährlich verarbeiteten Verbraucherdatensätzen oder > 50 % Umsatz aus dem Verkauf personenbezogener Daten – kleinere Unternehmen können für GDPR unter dieser Schwelle liegen. CPRA-Ergänzungen (wirksam ab 2023): fügt das Recht der Verbraucher auf Datenkorrektur hinzu (nicht im ursprünglichen CCPA enthalten), etabliert die California Privacy Protection Agency (CPPA) als unabhängige Durchsetzungsbehörde und erweitert die Rechte auf „sensible personenbezogene Daten“ mit zusätzlichen Einschränkungen. Operative Compliance für CCPA: Datenschutzerklärung (auffällige Offenlegung der Datenpraktiken auf der Website); der „Nicht verkaufen oder teilen“-Mechanismus und der zugehörige Opt-out-Workflow; ein dokumentierter Datenlöschprozess; Mitarbeiterschulungen zum Datenschutz; und eine jährliche Aktualisierung des Dateninventars. Unternehmen mit EU- und kalifornischen Kunden müssen sowohl GDPR als auch CCPA gleichzeitig einhalten – typischerweise wird der strengere Standard (GDPR) als globale Basis implementiert und CCPA-spezifische Mechanismen zusätzlich hinzugefügt.

Der Aufbau eines Datenschutz-Compliance-Programms in einem schnell wachsenden SaaS-Unternehmen erfordert die Priorisierung grundlegender Elemente, die das größte rechtliche Risiko verhindern und gleichzeitig die Geschwindigkeit der Produktentwicklung aufrechterhalten. Phasenweiser Compliance-Fahrplan: Phase 1 — Grundlage (Monate 1–3): Datenmapping (Identifizierung aller verarbeiteten personenbezogenen Daten, deren Herkunft, Speicherung und Zugriffsberechtigung); Datenschutzerklärung und Nutzungsbedingungen, entworfen von Rechtsberatern; unterzeichnete DPA-Vorlagen Ihrer Cloud-Anbieter und führenden SaaS-Anbieter; interne Datenschutzschulungen für alle Mitarbeiter, die Kundendaten verarbeiten; und ein einfaches DSR-Aufnahmeformular (E-Mail oder Webformular für Zugriffs-/Löschungsanfragen). Phase 2 — Prozess (Monate 4–6): dokumentiertes DSR-Antwortverfahren (Zuweisung der Verantwortlichkeit, Etablierung des 30-Tage-Antwort-Workflows, Protokollierung aller DSRs in einem Tracker); Unterauftragsverarbeiter-Managementprozess (Überprüfung neuer Anbieterzugänge anhand der GDPR-Anforderungen, Pflege der Unterauftragsverarbeiterliste, Veröffentlichung in der Datenschutzerklärung); Verfahren zur Reaktion auf Datenschutzverletzungen (Runbook für die ersten 72 Stunden nach Entdeckung einer Verletzung). Phase 3 — Kontrollen (Monate 7–12): technische Datenschutzmaßnahmen (Datenminimierung – nur das Nötigste sammeln; Aufbewahrungsrichtlinien – automatische Löschung von Daten nach definierten Zeiträumen; Zugriffskontrollen – Begrenzung des Zugriffs auf Kundendaten); Datenschutz-Folgenabschätzungen (PIAs) für neue Produktfunktionen, die sensible Daten verarbeiten; und ein „Privacy by Design“-Überprüfungspunkt im Produktentwicklungsprozess. Die Beauftragung eines externen Datenschutzberaters oder Datenschutzbeauftragten ist ab Phase 2 für Unternehmen mit erheblichen Kundenstämmen in der EU oder Kalifornien ratsam.