euro-toolhub.eu

Zuletzt geprüft: 12. Juli 2026

DSGVO-konforme Software auswählen: der Praxis-Leitfaden mit Checkliste

Worauf du bei der Auswahl datenschutzfreundlicher Software achtest – mit Sieben-Punkte-Checkliste, den wichtigsten DSGVO-Begriffen, AVV, Drittland-Transfer und konkreten Hinweisen je Tool-Kategorie.

Von der Euro-Toolhub-Redaktion · redaktionell geprüft

"DSGVO-konforme Software" ist einer der häufigsten Suchbegriffe bei der Tool-Auswahl – und einer der am meisten missverstandenen. Denn kein Tool ist von sich aus "DSGVO-konform": Verantwortlich für die Einhaltung bleibt immer dein Unternehmen, und ob ein Werkzeug rechtskonform eingesetzt wird, hängt maßgeblich davon ab, wie du es konfigurierst und nutzt. Was ein Anbieter liefern kann, ist die Grundlage dafür – EU-Datenverarbeitung, ein Auftragsverarbeitungsvertrag, dokumentierte Sicherheitsmaßnahmen und Unterstützung der Betroffenenrechte.

Dieser Leitfaden zeigt praxisnah, worauf du bei der Auswahl achtest: mit einer Checkliste, den wichtigsten Begriffen und konkreten Hinweisen je Tool-Kategorie. Er ist eine redaktionelle Orientierung und keine Rechtsberatung; im Zweifel sollte eine juristische Prüfung erfolgen. Wenn du gezielt US-Tools ersetzen willst, ergänzt unser Leitfaden US-Software ersetzen diesen Beitrag.

Das Wichtigste in Kürze

  • Kein Tool ist "per se DSGVO-konform". Verantwortlich bleibt dein Unternehmen; der Anbieter liefert die Grundlage.
  • Die wichtigsten Bausteine: EU-Datenverarbeitung, Auftragsverarbeitungsvertrag (AVV), dokumentierte TOMs, Unterstützung der Betroffenenrechte.
  • Der häufigste Knackpunkt ist der Drittland-Transfer (vor allem in die USA) – hier zählen Anbietersitz und Eigentümer, nicht nur der Serverstandort.
  • Nutze die Sieben-Punkte-Checkliste, um Anbieter schnell vorzusortieren.
  • Vorsicht vor "DSGVO-konform" als reinem Marketing-Label ohne AVV, Subprozessoren-Liste und Angabe zum Serverstandort.

Was "DSGVO-konform" wirklich bedeutet – und was nicht

Die Datenschutz-Grundverordnung (DSGVO) regelt, wie personenbezogene Daten in der EU verarbeitet werden dürfen. Zentral ist: Verantwortlich ("Controller") ist die Organisation, die über Zwecke und Mittel der Verarbeitung entscheidet – also in aller Regel dein Unternehmen, nicht der Software-Anbieter. Deshalb ist die Aussage "dieses Tool ist zu 100 % DSGVO-konform" irreführend. Konformität ist kein Produktmerkmal, sondern das Ergebnis aus geeignetem Tool, korrekter Konfiguration und rechtmäßigem Einsatz.

Was ein guter Anbieter beisteuert, sind die Voraussetzungen: eine Verarbeitung innerhalb der EU, ein belastbarer Auftragsverarbeitungsvertrag, transparente Subprozessoren, dokumentierte Sicherheitsmaßnahmen und Funktionen, mit denen du Betroffenenrechte erfüllen kannst. Genau diese Bausteine kannst du bei der Auswahl prüfen – und genau darum geht es in diesem Leitfaden.

Die wichtigsten DSGVO-Begriffe kurz erklärt

BegriffBedeutung
VerantwortlicherWer über Zwecke und Mittel der Verarbeitung entscheidet – meist dein Unternehmen.
AuftragsverarbeiterEin Dienstleister, der Daten in deinem Auftrag verarbeitet (z. B. ein SaaS-Anbieter).
AVV / DPAAuftragsverarbeitungsvertrag nach Art. 28 DSGVO – regelt die Pflichten des Anbieters.
SubprozessorEin weiterer Dienstleister, den der Anbieter einbindet (z. B. für Hosting oder Mailversand).
TOMsTechnische und organisatorische Maßnahmen zum Schutz der Daten (Art. 32).
RechtsgrundlageDer Grund, auf dem eine Verarbeitung beruht (Einwilligung, Vertrag, berechtigtes Interesse …).
DrittlandEin Land außerhalb der EU/des EWR ohne automatisch gleichwertiges Datenschutzniveau.

Auf welcher Rechtsgrundlage du verarbeitest

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Die Wahl der richtigen Grundlage ist deine Aufgabe – aber sie beeinflusst, welche Tool-Funktionen du brauchst. Die häufigsten Grundlagen sind:

  • Einwilligung – freiwillig, informiert und widerrufbar. Relevant etwa bei Newslettern (Double-Opt-in) oder nicht notwendigem Tracking. Dein Tool sollte Einwilligungen sauber einholen und dokumentieren können.
  • Vertragserfüllung – wenn die Verarbeitung nötig ist, um einen Vertrag zu erfüllen (z. B. Kundendaten im CRM für die Auftragsabwicklung).
  • Berechtigtes Interesse – nach Abwägung, etwa für Reichweitenmessung mit datensparsamen Mitteln. Hier hilft ein Tool, das sich datenminimierend konfigurieren lässt.

Ein Werkzeug, das dir die passende Grundlage erleichtert (z. B. cookielose Analyse oder eine saubere Einwilligungsverwaltung), spart im Alltag viel Aufwand.

Brauchst du einen Auftragsverarbeitungsvertrag (AVV)?

Sobald ein Anbieter personenbezogene Daten in deinem Auftrag verarbeitet – und das tun die meisten SaaS-Tools –, brauchst du nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV, englisch DPA). Er legt fest, was der Anbieter mit den Daten tun darf, welche Sicherheitsmaßnahmen gelten, welche Subprozessoren eingebunden sind und wie mit Löschung und Betroffenenrechten umgegangen wird.

Praktisch heißt das: Ein seriöser Anbieter stellt einen AVV bereit, den du unkompliziert abschließen kannst – oft direkt im Konto oder als Standarddokument. Fehlt ein AVV oder ist er nur schwer zu bekommen, ist das ein deutliches Warnsignal. Prüfe außerdem, ob der Vertrag die tatsächlich eingesetzten Subprozessoren benennt und ob Änderungen an der Subprozessoren-Liste angekündigt werden.

Verantwortlicher, Auftragsverarbeiter oder gemeinsam verantwortlich?

Nicht jede Konstellation ist eine klassische Auftragsverarbeitung. Manchmal verarbeiten zwei Parteien Daten zu gemeinsamen Zwecken – dann liegt eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) vor, die einen eigenen Vertrag erfordert. Ein typisches Beispiel sind bestimmte Marketing- oder Tracking-Dienste. Kläre vor der Einführung, in welcher Rolle der Anbieter agiert – das entscheidet, welche Verträge du brauchst und wer welche Pflichten trägt.

Datentransfer in Drittländer: das Kernproblem

Der häufigste Stolperstein ist die Übermittlung personenbezogener Daten in Drittländer – allen voran die USA. Drei Stichworte helfen beim Einordnen:

  • Schrems II (2020): Der Europäische Gerichtshof knüpft Transfers in die USA an strenge Bedingungen. Reine EU-Verarbeitung vermeidet dieses Risiko von vornherein.
  • US-CLOUD-Act: US-Anbieter können zur Herausgabe von Daten verpflichtet werden – unabhängig davon, ob die Server in Europa stehen. Deshalb zählt die Eigentümerstruktur, nicht nur der Standort.
  • EU-US Data Privacy Framework (2023) und Standardvertragsklauseln (SCCs): Sie schaffen Transfermechanismen, deren langfristige Belastbarkeit aber weiter diskutiert wird.

Die pragmatische Konsequenz: Wer Transferrisiken minimieren will, wählt einen Anbieter mit Sitz und Datenverarbeitung in der EU/im EWR. Warum der Serverstandort allein nicht ausreicht, vertieft EU-Hosting vs. US-Hosting.

Die Auswahl-Checkliste

Die folgende Checkliste hilft, Anbieter schnell vorzusortieren. Je mehr Punkte erfüllt sind, desto solider die Grundlage für einen datenschutzkonformen Einsatz.

DSGVO-Checkliste für die Tool-Auswahl: Anbietersitz in der EU, EU-Datenverarbeitung, AVV, Subprozessoren-Liste, TOMs, Betroffenenrechte, Datenminimierung.
DSGVO-Checkliste für die Tool-Auswahl: Anbietersitz in der EU, EU-Datenverarbeitung, AVV, Subprozessoren-Liste, TOMs, Betroffenenrechte, Datenminimierung.
KriteriumWarum wichtigWorauf achten
AnbietersitzBestimmt das geltende RechtEU/EWR, nicht nur Serverstandort
DatenstandortReduziert TransferrisikenVerarbeitung in der EU
AVV / DPAPflicht bei Auftragsverarbeitungleicht abschließbar, Art.-28-konform
SubprozessorenDatenweitergabe im Hintergrundöffentliche Liste, möglichst EU-Sitz
TOMsSchutz vor DatenverlustISO/IEC 27001, Verschlüsselung
BetroffenenrechtePflicht gegenüber NutzernExport- und Löschfunktionen
DatenminimierungGrundprinzip der DSGVOnur nötige Daten, konfigurierbar

Technische und organisatorische Maßnahmen (TOMs)

Nach Art. 32 DSGVO müssen personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen geschützt werden. Bei der Anbieterauswahl solltest du prüfen, ob und wie diese dokumentiert sind:

  • Verschlüsselung bei Übertragung (TLS) und Speicherung; idealerweise Ende-zu-Ende, wo sinnvoll.
  • Zugriffskontrolle mit Rollen, Rechten und – für Teams – Single Sign-on.
  • Zertifizierungen wie ISO/IEC 27001 als Nachweis eines Sicherheitsmanagements.
  • Backups und Wiederherstellung sowie ein dokumentierter Umgang mit Datenschutzvorfällen.
  • Löschkonzepte und definierte Aufbewahrungsfristen.

Ein Anbieter, der seine TOMs transparent beschreibt, macht dir die eigene Dokumentationspflicht deutlich leichter.

Betroffenenrechte: Was ein Tool können sollte

Die DSGVO gibt Personen weitreichende Rechte – und dein Unternehmen muss sie erfüllen können. Ein gutes Tool unterstützt dich dabei technisch:

  • Auskunft und Datenexport – Daten einer Person auf Anfrage bereitstellen (auch für die Datenportabilität).
  • Berichtigung – Datensätze korrigieren.
  • Löschung – Daten vollständig entfernen, inklusive Backups nach Fristablauf.
  • Einschränkung und Widerspruch – Verarbeitung stoppen oder begrenzen.

Achte darauf, dass sich diese Vorgänge im Tool tatsächlich abbilden lassen und nicht nur "auf Anfrage per E-Mail" möglich sind.

Wann eine Datenschutz-Folgenabschätzung (DSFA) nötig ist

Bei Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte betroffener Personen verlangt Art. 35 DSGVO eine Datenschutz-Folgenabschätzung – etwa bei umfangreichem Profiling, der Verarbeitung besonders sensibler Daten oder systematischer Überwachung. Für die Tool-Auswahl heißt das: Prüfe früh, ob dein geplanter Einsatz in diese Kategorie fällt. Ein Anbieter mit transparenten TOMs, klarer Subprozessoren-Liste und EU-Datenverarbeitung erleichtert eine solche Abschätzung erheblich.

Deine Dokumentationspflichten

Auch mit dem besten Tool bleiben Pflichten bei dir. Wichtig sind vor allem:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO – eine Übersicht aller Verarbeitungen mit Zwecken, Datenkategorien, Empfängern und Löschfristen. Jedes neue Tool gehört hier dokumentiert.
  • AVV-Ablage – Auftragsverarbeitungsverträge und die jeweils aktuelle Subprozessoren-Liste geordnet aufbewahren.
  • TOM-Dokumentation – die technischen und organisatorischen Maßnahmen deiner Anbieter (und deine eigenen) nachvollziehbar festhalten.
  • Nachweis der Rechtsgrundlagen und Einwilligungen – insbesondere bei Newslettern und Tracking.

Ein Anbieter, der VVT-relevante Angaben (Datenkategorien, Subprozessoren, Standort) transparent bereitstellt, spart dir hier viel Arbeit und macht Audits einfacher.

Brauchst du einen Datenschutzbeauftragten?

Ob ein Datenschutzbeauftragter (DSB) Pflicht ist, hängt von deiner Tätigkeit ab – etwa bei umfangreicher Verarbeitung besonders sensibler Daten oder systematischer Überwachung (Art. 37 DSGVO); nationale Regeln können hinzukommen. Unabhängig von der Pflicht lohnt es sich, Datenschutz früh in die Tool-Auswahl einzubinden: Wer die Anforderungen von Anfang an mitdenkt, vermeidet teure Nachbesserungen und Migrationen. Die Auswahlkriterien aus diesem Leitfaden helfen sowohl mit als auch ohne benannten DSB.

In fünf Schritten zur datenschutzfreundlichen Auswahl

1. Zweck und Daten klären – welche personenbezogenen Daten verarbeitest du, und auf welcher Rechtsgrundlage? 2. Anforderungen ableiten – brauchst du EU-Datenhaltung, Verschlüsselung, bestimmte Zertifizierungen? 3. Anbieter vorsortieren – mit der Sieben-Punkte-Checkliste und unserem Souveränitäts-Score. 4. Verträge prüfen – AVV abschließen, Subprozessoren und Transfermechanismen kontrollieren. 5. Sauber konfigurieren – Datenminimierung aktivieren, Betroffenenrechte-Prozesse einrichten, dokumentieren.

Kategorie-Checks: worauf du je Tool-Typ achtest

Je nach Software-Typ liegen die Schwerpunkte unterschiedlich:

Alle Kategorien findest du im Überblick unter Kategorien.

Häufige Fehler bei der Tool-Auswahl

  • Auf das Werbe-Label vertrauen. "DSGVO-konform" ohne AVV, Subprozessoren-Liste und Serverstandort sagt wenig aus.
  • Nur den Serverstandort prüfen. Sitz und Eigentümer des Anbieters zählen genauso.
  • Den AVV vergessen. Ohne Auftragsverarbeitungsvertrag fehlt die rechtliche Grundlage.
  • Betroffenenrechte übersehen. Export und Löschung müssen praktisch umsetzbar sein.
  • Datenminimierung ignorieren. Erhebe und aktiviere nur, was du wirklich brauchst.

So bewerten wir Anbieter

Wir prüfen jeden Anbieter anhand fester Kriterien – Sitz, Datenverarbeitung, Subprozessoren, Zertifizierungen, Open Source – und fassen sie in einem Souveränitäts-Score mit Confidence-Level zusammen. Der Score ersetzt keine eigene Datenschutzprüfung, hilft aber, Anbieter schnell einzuordnen und Kandidaten zu vergleichen.

Häufige Fragen

Gilt die DSGVO auch für kleine Unternehmen und Vereine?

Ja. Die DSGVO gilt unabhängig von der Größe, sobald personenbezogene Daten verarbeitet werden – auch für Einzelunternehmen, Vereine und Selbstständige. Einzelne Pflichten (etwa ein benannter Datenschutzbeauftragter) hängen von Umfang und Art der Verarbeitung ab, die Grundprinzipien gelten aber für alle.

Gibt es "100 % DSGVO-konforme" Software?

Nein, jedenfalls nicht als reines Produktmerkmal. Konformität ergibt sich aus dem Zusammenspiel von geeignetem Tool, richtiger Konfiguration und rechtmäßigem Einsatz. Ein Anbieter kann die Grundlage liefern, die Verantwortung bleibt bei deinem Unternehmen.

Reicht ein AV-Vertrag für DSGVO-Konformität?

Ein AVV ist notwendig, aber nicht ausreichend. Er regelt die Auftragsverarbeitung, ersetzt aber weder eine Rechtsgrundlage für die Verarbeitung noch geeignete TOMs oder die Erfüllung der Betroffenenrechte.

Ist US-Software generell unzulässig?

Nein. Sie ist aber mit zusätzlichen Anforderungen und Risiken verbunden, insbesondere beim Drittland-Transfer. Für sensible Daten sind europäische Anbieter mit EU-Datenverarbeitung die risikoärmere Wahl.

Was sind TOMs?

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO – etwa Verschlüsselung, Zugriffskontrolle, Backups und Löschkonzepte. Sie schützen Daten vor Verlust und unbefugtem Zugriff.

Muss ich Betroffenenrechte technisch abbilden?

Dein Unternehmen muss Betroffenenrechte erfüllen können. Ein Tool, das Export- und Löschfunktionen bietet, macht das deutlich einfacher als manuelle Prozesse per E-Mail.

Wie oft sollte ich meine Tools datenschutzrechtlich prüfen?

Regelmäßig und anlassbezogen: mindestens einmal jährlich sowie bei Änderungen an Subprozessoren, Serverstandort, Eigentümerstruktur oder Funktionsumfang eines Anbieters. Eine kurze jährliche Review deines Verarbeitungsverzeichnisses hält die Dokumentation aktuell.

Woran erkenne ich Scheinlösungen?

An Widersprüchen: "europäisch", aber US-Mutterkonzern; "DSGVO-konform", aber kein AVV; "sicher", aber keine dokumentierten TOMs. Prüfe Sitz, Eigentümer, Subprozessoren und Verträge.

Nächster Schritt

Am schnellsten kommst du mit unserem EU Stack Check voran: aktuelle Tools auswählen, passende europäische Alternativen erhalten. Für den kompletten Umstieg hilft der Leitfaden US-Software ersetzen.

Dieser Beitrag ist eine redaktionelle Orientierung und keine Rechtsberatung. In kritischen Fällen sollte eine datenschutzrechtliche Prüfung erfolgen.

Der Souveränitäts-Score ist eine redaktionelle Orientierungshilfe, keine Rechtsberatung. So bewerten wir.