AGIDAT – Datenschutz | Informationssicherheit

Datenschutz für SaaS & Software

Als Softwareanbieter selbst Auftragsverarbeiter — rechtliche Pflichten kennen und erfüllen.

Softwareanbieter tragen besondere Verantwortung

Wenn Ihr Produkt personenbezogene Daten Ihrer Kunden verarbeitet, sind Sie in der Regel Auftragsverarbeiter nach Art. 28 DSGVO. Das bedeutet: Ihre Kunden (die Verantwortlichen) schließen einen AVV mit Ihnen ab — und Sie müssen sicherstellen, dass Ihre Infrastruktur und Prozesse die DSGVO-Anforderungen erfüllen.

Gleichzeitig sind Sie für die Daten Ihrer eigenen Nutzer (Registrierung, Nutzungsverhalten, Support-Anfragen) selbst Verantwortlicher.

Privacy by Design und Privacy by Default

Art. 25 DSGVO verpflichtet Softwareanbieter, Datenschutz bereits bei der Entwicklung zu berücksichtigen — nicht als Nachgedanke. Das bedeutet:

  • Datensparsamkeit: Nur die Daten erheben, die wirklich benötigt werden
  • Pseudonymisierung wo möglich
  • Standardmäßig datenschutzfreundliche Einstellungen (Privacy by Default)
  • Löschkonzepte direkt in der Software verankern

Wir beraten Ihre Entwicklungsteams und helfen bei der Umsetzung dieser Prinzipien in der Praxis.

Für Softwareprodukte mit KI-Funktionen gelten diese Prinzipien mit besonderer Schärfe: Trainingsdaten müssen auf das Notwendige begrenzt sein, Nutzer müssen wissen, wenn ihre Eingaben KI-Modelle verbessern, und KI-gestützte Voreinstellungen dürfen nicht auf maximaler Datenerhebung basieren.

KI-Features im eigenen Produkt: Was Softwareanbieter jetzt wissen müssen

Immer mehr SaaS-Produkte integrieren KI-Funktionen — Chatbots, Textzusammenfassungen, Anomalieerkennung, automatische Kategorisierung. Was technisch eine API-Anbindung ist, hat datenschutzrechtlich weitreichende Konsequenzen.

KI-Drittanbieter als Unterauftragsverarbeiter

Wenn Sie OpenAI, Azure OpenAI, Google Vertex AI, Anthropic oder ähnliche Dienste in Ihr Produkt einbinden und dabei Daten Ihrer Kunden verarbeiten, wird der KI-Anbieter zu einem Unterauftragsverarbeiter nach Art. 28 Abs. 4 DSGVO. Das bedeutet:

  • Sie benötigen einen Sub-AVV mit dem KI-Anbieter — und müssen diesen Ihren Kunden gegenüber nachweisen können
  • Ihr eigener AVV muss Unterauftragsverarbeiter explizit regeln (inkl. Zustimmungspflichten Ihrer Kunden)
  • US-Drittlandtransfers müssen abgesichert sein (SCCs, ggf. TIA) — viele KI-APIs verarbeiten Daten auf US-Servern
  • Sie müssen prüfen, ob der KI-Anbieter Daten für Modelltraining nutzt, und dies ggf. deaktivieren oder in Ihrer Datenschutzerklärung ausweisen

Wir prüfen die Datenschutzbedingungen gängiger KI-APIs und helfen Ihnen, Ihre Vertragsstruktur DSGVO-konform aufzusetzen.

Automatisierte Entscheidungen und Art. 22 DSGVO

Trifft Ihr Produkt automatisiert Entscheidungen mit erheblicher Auswirkung auf Personen — zum Beispiel KI-gestützte Bonitätsbewertungen, automatische Ablehnungen oder Risikoklassifizierungen — greift Art. 22 DSGVO. Betroffene haben dann das Recht auf menschliche Überprüfung, Erklärung der Entscheidungslogik und Widerspruch gegen die automatisierte Verarbeitung. Diese Rechte müssen technisch umsetzbar sein. Wir beraten, wie Sie die notwendige Transparenz und die Ausübbarkeit der Betroffenenrechte in Ihrer Software verankern.

Datenschutz-Folgenabschätzung (DSFA) bei KI

KI-gestützte Verarbeitungen sind häufig DSFA-pflichtig nach Art. 35 DSGVO — insbesondere bei Profiling mit erheblicher Wirkung auf Personen, Verarbeitung besonderer Datenkategorien (Gesundheit, Biometrie) oder systematischer Verhaltensanalyse. Wir begleiten die Durchführung der DSFA und dokumentieren sie revisionssicher.

EU AI Act: Pflichten für SaaS- und Softwareanbieter

Der EU AI Act ist seit August 2024 in Kraft und gilt schrittweise ab 2025/2026. Für SaaS-Anbieter ist er in zweifacher Hinsicht relevant.

Als Provider (Anbieter) von KI-Systemen gelten Sie als Provider im Sinne des AI Acts, wenn Sie ein KI-System entwickeln und auf dem Markt bereitstellen — unabhängig davon, ob das Modell von Ihnen trainiert oder von einem Drittanbieter bezogen wurde. Die Pflichten hängen von der Risikoklasse ab:

  • Minimales Risiko (z. B. KI-gestützte Suche, Spamfilter): Kaum Zusatzpflichten
  • Begrenztes Risiko (z. B. Chatbots): Transparenzpflicht — Nutzer müssen wissen, dass sie mit KI interagieren
  • Hohes Risiko (z. B. KI in HR, Kreditvergabe, kritischer Infrastruktur): Technische Dokumentation, Konformitätsbewertung, Registrierung in der EU-Datenbank, Risikomanagementsystem, menschliche Aufsicht
  • Unzulässige Praktiken: Verboten, z. B. Social Scoring oder manipulative KI

Als Deployer (Betreiber) von KI-Systemen eines Drittanbieters haben Sie eigene Pflichten: Risikoüberwachung, Logging und Information Ihrer Nutzer.

Wir analysieren, in welche Kategorie Ihre KI-Features fallen, und unterstützen bei der Umsetzung — von der technischen Dokumentation bis zur Registrierung.

Typische Aufgaben

AVV-Gestaltung als Auftragsverarbeiter

Wenn Ihre Kunden einen AVV mit Ihnen abschließen, muss dieser die Anforderungen von Art. 28 DSGVO erfüllen. Wir erstellen einen rechtssicheren Standard-AVV für Ihr Produkt.

Datenschutzerklärungen und Nutzungsbedingungen

Vollständige, verständliche und aktuelle Datenschutzerklärungen für Ihre Plattform — getrennt nach eigener Datenverarbeitung und Auftragsverarbeitung.

Technische Datenschutzberatung

Wie setzen Sie Datenlöschung, Datenexport (Betroffenenrechte), Audit-Logs und Pseudonymisierung technisch um? Wir übersetzen datenschutzrechtliche Anforderungen in konkrete technische Umsetzungsoptionen.

KI-API-Integration datenschutzkonform gestalten

Wir prüfen die vertragliche Grundlage (Sub-AVV, SCCs) für KI-APIs wie OpenAI, Azure, Google oder Anthropic, identifizieren Drittlandtransfer-Risiken und helfen dabei, Ihre Subprozessoren-Liste gegenüber Kunden transparent zu kommunizieren.

EU AI Act Compliance-Check

Wir bewerten Ihre KI-Features nach dem AI Act (Risikoklasse, Anbieter- vs. Betreiberpflichten) und erstellen einen priorisierten Maßnahmenplan für die Umsetzung der gesetzlichen Anforderungen.

DSFA für KI-gestützte Verarbeitungen

Für KI-Features mit erhöhtem Datenschutzrisiko begleiten wir die Datenschutz-Folgenabschätzung von der Risikoidentifikation bis zur Dokumentation.