DSGVO und SaaS: Warum deine Daten dir nicht gehoeren

Du speicherst Kundendaten in deinem CRM. Projektinformationen in deinem Projektmanagement-Tool. Rechnungen in deiner Buchhaltungssoftware. Kommunikation in Slack oder Microsoft Teams. Hand aufs Herz: Weisst du, wo diese Daten physisch liegen? Auf welchem Server, in welchem Land, unter welcher Gesetzgebung?

Für die meisten Agenturen, Dienstleister und Berater im DACH-Raum lautet die ehrliche Antwort: Nein. Und genau das ist ein Problem, das groesser ist als die meisten denken.

Wo liegen deine Daten tatsächlich?

Schaün wir uns die beliebtesten SaaS-Tools an, die in Agenturen und bei Dienstleistern täglich im Einsatz sind:

• HubSpot — Hauptrechenzentren in den USA (Virginia, Oregon)
• Salesforce — Primäre Infrastruktur in den USA
• Asana — Server in den USA (Amazon Web Services, US-Regionen)
• Monday.com — Daten werden in den USA und teilweise in der EU verarbeitet
• Slack — Primäre Datenhaltung in den USA
• Trello (Atlassian) — US-basierte Infrastruktur
• Mailchimp — Server in den USA
• Calendly — Daten in den USA

Das Muster ist eindeutig: Die meisten SaaS-Tools, auf die du dich täglich verlässt, speichern deine Kundendaten auf US-amerikanischen Servern. Und damit unter US-amerikanischer Gesetzgebung, einschliesslich des CLOUD Act, der US-Behoerden den Zugriff auf diese Daten erlaubt. Auch wenn sie auf Servern ausserhalb der USA liegen.

Was die DSGVO wirklich fordert

Die Datenschutz-Grundverordnung ist kein bürokratisches Monster. Im Kern fordert sie drei Dinge, die für deinen SaaS-Stack relevant sind:

Erstens: Datenhoheit. Du musst jederzeit wissen, wo personenbezogene Daten gespeichert sind und wer darauf Zugriff hat. Bei einem SaaS-Anbieter mit Sitz in den USA ist diese Transparenz oft eingeschränkt.

Zweitens: Rechtsgrundlage für den Datentransfer. Personenbezogene Daten duerfen nur in Drittländer übermittelt werden, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Für die USA war das lange über das Privacy Shield geregelt. Das gibt es nicht mehr.

Drittens: Auftragsverarbeitungsvertrag (AVV). Du brauchst mit jedem Anbieter, der Daten für dich verarbeitet, einen AVV. Viele SaaS-Anbieter bieten das an. Aber ein AVV allein schützt dich nicht, wenn die rechtliche Grundlage für den Datentransfer fehlt.

Das Risiko: Privacy Shield, Schrems II und die rechtliche Grauzone

Im Juli 2020 hat der Europäische Gerichtshof mit dem Schrems-II-Urteil das Privacy Shield für ungültig erklärt. Die Begründung: US-Überwachungsgesetze wie FISA 702 und der CLOUD Act sind nicht mit dem europäischen Datenschutzrecht vereinbar.

Seitdem befinden sich Unternehmen in einer rechtlichen Grauzone. Ja, es gibt seit 2023 das EU-US Data Privacy Framework als Nachfolger. Aber Datenschutzexperten und auch Max Schrems selbst warnen: Auch dieses Abkommen könnte vor dem EuGH scheitern. Ein Schrems-III-Verfahren ist nur eine Frage der Zeit.

Was bedeutet das für dich konkret? Wenn du US-SaaS-Tools nutzt und Kundendaten darin speicherst, bewegst du dich auf unsicherem rechtlichem Terrain. Im schlimmsten Fall drohen Bussgeldverfahren. Im besten Fall musst du kurzfristig deine gesamte Infrastruktur umstellen, wenn das nächste Abkommen gekippt wird.

Und die Bussgelder sind nicht symbolisch: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Die Datenschutzbehoerden werden aktiver. Allein 2024 wurden in der EU Bussgelder in Milliardenhoehe verhängt.

Vendor Lock-in: Daten rausbekommen ist schwerer als gedacht

Das DSGVO-Risiko ist die eine Seite. Die andere ist der sogenannte Vendor Lock-in. Du hast deine Prozesse, deine Daten, dein gesamtes Unternehmenswissen in einem SaaS-Tool aufgebaut. Was passiert, wenn du wechseln willst?

Datenexport: Viele Anbieter bieten einen Datenexport an. Aber was du bekommst, ist oft ein CSV-Dump ohne Struktur, ohne Beziehungen zwischen den Daten, ohne Anhänge. Nutzbar ist das in der Praxis selten.

Historische Daten: E-Mails, Kommentare, Aktivitätsverläufe, alles, was den Kontext deiner Kundenbeziehungen ausmacht, geht oft verloren. Du exportierst Rohdaten, nicht Wissen.

Integrationen: Du hast Zapier-Automationen, API-Verbindungen, Workflows aufgebaut. All das ist wertlos, sobald du das Tool wechselst. Du fängst bei null an.

Zeitaufwand: Eine Migration von einem CRM zu einem anderen daürt bei Agenturen typischerweise 4 bis 12 Wochen. In dieser Zeit läuft das Tagesgeschäft parallel. Das Team ist doppelt belastet.

Der Vendor Lock-in ist gewollt. Er ist Teil des Geschäftsmodells. Je tiefer du in einem Tool steckst, desto unwahrscheinlicher ist es, dass du wechselst, selbst wenn die Preise steigen.

Preiserhoehungen: Du bist abhängig und kannst nicht einfach wechseln

Und die Preise steigen. Regelmässig. HubSpot hat seine Preise in den letzten drei Jahren mehrfach angehoben. Asana, Monday.com, Slack, nahezu alle grossen SaaS-Anbieter erhöhen jährlich. Manchmal um 10 Prozent, manchmal um 30 Prozent oder mehr.

Du kannst verhandeln. Aber deine Verhandlungsposition ist schwach, denn der Anbieter weiss: Ein Wechsel ist für dich teür und aufwendig. Also zahlst du.

Bei einer Agentur mit 10 Mitarbeitenden und einem SaaS-Stack von 1.200 Euro pro Monat summiert sich das auf 14.400 Euro im Jahr. Tendenz steigend. Für Software, deren Datenhoheit du nicht hast, deren Funktionen du zu 70 Prozent nicht nutzt und deren Rechtsgrundlage auf wackeligem Boden steht.

Die Alternative: Eigene Infrastruktur auf deutschen Servern

Es gibt einen anderen Weg. Statt deine Daten auf US-Servern bei Drittanbietern zu lagern, kannst du eine eigene Infrastruktur nutzen. Gehostet auf deutschen oder europäischen Servern. Unter deiner Kontrolle.

Das klingt nach grossem IT-Projekt. Muss es aber nicht sein. Massgeschneiderte Softwarelösungen können heute in wenigen Wochen entwickelt und auf dedizierter Infrastruktur betrieben werden. Keine geteilten Server. Keine US-Gesetzgebung. Keine Abhängigkeit von Drittanbietern.

Was das konkret bedeutet

Volle Datenhoheit: Deine Daten liegen auf Servern, die du kontrollierst. Du weisst genau, wo sie sind. Du bestimmst, wer Zugriff hat. Kein CLOUD Act, kein FISA 702.

DSGVO-Konformität by Design: Wenn deine Software und Infrastruktur von Anfang an auf europäischem Boden stehen, entfällt das gesamte Drittlandtransfer-Problem. Du bist nicht mehr auf Privacy Shield, Standardvertragsklauseln oder andere Krücken angewiesen.

Portabilität: Deine Daten gehören dir. Wirklich dir. Du kannst sie jederzeit exportieren, migrieren oder archivieren, in einem Format, das du bestimmst. Kein Vendor Lock-in.

Kostenvorhersagbarkeit: Keine überraschenden Preissteigerungen. Keine Pro-User-Lizenzmodelle, bei denen jeder neü Mitarbeitende die Kosten erhöht. Ein System, ein Preis, planbar und transparent.

Compliance-Sicherheit: Dein Datenschutzbeauftragter wird sich freün. AVV mit einem deutschen Anbieter, Serverstandort Deutschland, klare Zuständigkeiten. Das ist ein Compliance-Setup, das jeder Prüfung standhält.

Für wen lohnt sich der Umstieg?

Nicht jedes Unternehmen muss sofort seine gesamte Tool-Landschaft umbaün. Aber wenn du personenbezogene Daten von Kunden in DACH verarbeitest, wenn du in einer regulierten Branche arbeitest oder regulierte Kunden hast, und wenn du langfristig unabhängig von US-Anbietern sein willst, dann ist jetzt der richtige Zeitpunkt, sich mit dem Thema zu beschäftigen.

Denn die Frage ist nicht ob das nächste DSGVO-Urteil kommt. Die Frage ist wann. Und ob du dann vorbereitet bist.

Fazit

Deine Daten sind das Fundament deines Unternehmens. Kundenbeziehungen, Projekthistorien, Finanzinformationen. All das liegt heute oft auf Servern, über die du keine Kontrolle hast. In Ländern, deren Gesetzgebung nicht mit europäischem Datenschutzrecht vereinbar ist. Bei Anbietern, die ihre Preise erhöhen können, weil sie wissen, dass du abhängig bist.

DSGVO-Konformität ist kein Nice-to-have. Es ist eine geschäftliche Notwendigkeit. Und echte Datenhoheit ist mehr als ein Haken in der Compliance-Checkliste. Es ist die Grundlage für ein Unternehmen, das langfristig unabhängig und sicher operiert.