DSGVO für Dienstleister: Die wichtigsten Anforderungen im Überblick
Die DSGVO stellt besondere Anforderungen an Dienstleister, die mit Kundendaten arbeiten. Diese Checkliste zeigt, worauf IT-Unternehmen, Berater und Agenturen achten müssen.
Warum DSGVO für Dienstleister besonders relevant ist
Als Dienstleister verarbeiten Sie regelmäßig personenbezogene Daten Ihrer Kunden: Namen, E-Mail-Adressen, Projektdaten und oft auch sensible Geschäftsinformationen. Die DSGVO verpflichtet Sie, diese Daten angemessen zu schützen – andernfalls drohen empfindliche Bußgelder.
Besonders kritisch: Wenn Sie Software-Tools einsetzen, die Kundendaten verarbeiten, sind Sie als Verantwortlicher im Sinne der DSGVO dafür zuständig, dass diese Tools die Anforderungen erfüllen.
Checkliste: Die wichtigsten DSGVO-Anforderungen
1. Server-Standort
Speichern Sie Daten in einem Rechenzentrum innerhalb der EU, idealerweise in Deutschland. Achten Sie auf eine ISO 27001-Zertifizierung des Rechenzentrums – das ist der international anerkannte Standard für Informationssicherheit. Cloud-Dienste mit Servern in den USA erfordern zusätzliche Schutzmaßnahmen und sind seit dem Schrems-II-Urteil rechtlich umstritten.
2. Verschlüsselung
Alle Datenübertragungen müssen per SSL/TLS verschlüsselt sein – das betrifft sowohl die Verbindung zum Browser als auch API-Aufrufe zu Drittdiensten. Sensible Felder wie Kundennamen, E-Mail-Adressen und Kontaktdaten sollten zusätzlich in der Datenbank verschlüsselt werden (sogenannte Encryption at Rest).
3. Auftragsverarbeitungsvertrag (AVV)
Wenn Sie Software einsetzen, die Kundendaten verarbeitet, benötigen Sie einen AVV nach Art. 28 DSGVO mit dem Anbieter. Dieser regelt verbindlich:
- Welche Daten verarbeitet werden und zu welchem Zweck
- Welche technischen und organisatorischen Maßnahmen der Anbieter ergreift
- Wie mit Unterauftragsverarbeitern umgegangen wird
- Welche Rechte Sie als Auftraggeber haben (Auskunft, Löschung, Audit)
4. Zugriffskontrollen
Stellen Sie sicher, dass nur berechtigte Mitarbeiter Zugriff auf Kundendaten haben. Eine Multi-Tenant-Architektur garantiert strikte Datentrennung zwischen Unternehmen. Zusätzlich sollte Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer aktivierbar sein – idealerweise über TOTP-Apps wie Google Authenticator oder Authy.
5. Datensparsamkeit
Erheben und speichern Sie nur die Daten, die Sie tatsächlich benötigen. Kundendaten, die nicht mehr gebraucht werden, müssen gelöscht werden können (Recht auf Löschung). Achten Sie darauf, dass Ihre Software entsprechende Export- und Löschfunktionen bietet.
6. Export und Portabilität
Ihre Kunden haben das Recht auf Datenportabilität (Art. 20 DSGVO). Stellen Sie sicher, dass alle gespeicherten Daten in gängigen Formaten exportiert werden können – CSV, Excel, JSON oder XML. Kein Vendor Lock-in, keine versteckten Barrieren.
Business-Software und DSGVO: Worauf Sie bei der Auswahl achten sollten
Bei der Wahl einer Business-Software für Zeiterfassung und Rechnungsstellung sollten Sie folgende Kriterien prüfen:
- ✓ Server-Standort Deutschland mit ISO 27001-Zertifizierung
- ✓ SSL/TLS für alle Verbindungen
- ✓ Verschlüsselung sensibler Datenbankfelder
- ✓ Verfügbarkeit eines AVV
- ✓ Datenexport in Standardformaten
- ✓ Zwei-Faktor-Authentifizierung
- ✓ Strikte Mandantentrennung
Wenn ein Anbieter diese Punkte nicht transparent kommuniziert oder keinen AVV anbietet, sollten Sie vorsichtig sein. Datenschutz ist kein optionales Feature – es ist eine gesetzliche Pflicht.