DSGVO-konforme Softwareentwicklung – Checkliste für KMU

DSGVO-konforme Softwareentwicklung: Die Checkliste für KMU (2026)

Software entwickeln lassen und dabei DSGVO-konform bleiben – das erfordert mehr als einen Haken im AVV. Diese Checkliste zeigt, was Auftraggeber und Entwickler wirklich beachten müssen.

05.05.2026

Doğan Ucar
Doğan Uçar
Geschäftsführer

Wenn Sie Software entwickeln lassen, die personenbezogene Daten verarbeitet, tragen Sie als Auftraggeber die Verantwortung für die DSGVO-Konformität. Nicht der Entwickler, nicht der Hoster, sondern Sie. Dieser Artikel liefert eine konkrete Checkliste, die Sie gemeinsam mit Ihrem Entwicklungsteam abarbeiten sollten, damit Ihre Software den Anforderungen der DSGVO genügt.

Die rechtliche Grundlage: Was die DSGVO verlangt

Zwei Artikel der DSGVO sind für die Softwareentwicklung zentral:

Artikel 25 – Datenschutz durch Technikgestaltung (Privacy by Design): Der Verantwortliche muss sowohl zum Zeitpunkt der Festlegung der Mittel als auch zum Zeitpunkt der Verarbeitung geeignete technische und organisatorische Maßnahmen treffen, um die Datenschutzgrundsätze wirksam umzusetzen. Das bedeutet: Datenschutz ist keine Funktion, die man am Ende hinzufügt. Er muss von der ersten Architekturentscheidung an mitgedacht werden.

Artikel 28 – Auftragsverarbeitung: Wenn ein externer Dienstleister (z.B. Ihr Softwareentwickler oder Cloud-Hoster) Zugang zu personenbezogenen Daten hat, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV). Dieser regelt, was der Auftragnehmer mit den Daten tun darf und welche Sicherheitsmassnahmen er umsetzen muss.

Die Checkliste: 8 Punkte für DSGVO-konforme Software

1. Datensparsamkeit im Datenmodell

Speichern Sie nur die Daten, die für den konkreten Zweck notwendig sind. Das klingt offensichtlich, wird aber in der Praxis regelmäßig missachtet. Typische Fehler: Geburtsdatum erfassen, obwohl nur das Alter relevant ist. Vollständige Adresse speichern, obwohl nur die PLZ für eine Gebietsauswertung benötigt wird. Telefonnummern als Pflichtfeld, obwohl sie nie genutzt werden.

Konkret: Gehen Sie jedes Datenbankfeld mit Ihrem Entwickler durch und stellen Sie die Frage: Brauchen wir dieses Feld wirklich? Wenn ja, für welchen Zweck? Die Antwort sollte dokumentiert werden, denn genau danach fragt auch die Aufsichtsbehörde.

2. Verschlüsselung at rest und in transit

Personenbezogene Daten müssen sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest) verschlüsselt sein. Für die Übertragung ist TLS 1.2 oder höher Pflicht, keine Ausnahmen. Für die Speicherung bedeutet das: Die Datenbank oder zumindest die sensitiven Felder (E-Mail-Adressen, Gesundheitsdaten, Finanzdaten) sollten verschlüsselt gespeichert werden. AES-256 ist der aktuelle Standard.

Konkret: Stellen Sie sicher, dass Ihre Anwendung HTTPS erzwingt (kein Fallback auf HTTP). Prüfen Sie, ob die Datenbank Transparent Data Encryption (TDE) oder feldbasierte Verschlüsselung nutzt. Backups müssen ebenfalls verschlüsselt sein.

3. Nutzerrechte technisch implementieren

Die DSGVO gibt betroffenen Personen konkrete Rechte, die Ihre Software technisch unterstützen muss:

  • Auskunftsrecht (Art. 15): Die Software muss in der Lage sein, alle gespeicherten Daten zu einer Person in einem gängigen Format (z.B. JSON oder CSV) zu exportieren.
  • Recht auf Löschung (Art. 17): Es muss möglich sein, alle Daten einer Person zu löschen, einschließlich verknüpfter Datensätze in Nebentabellen. Das erfordert ein durchdachtes Datenmodell mit klaren Beziehungen.
  • Recht auf Berichtigung (Art. 16): Nutzer müssen ihre Daten korrigieren können, entweder selbst oder durch einen administrativen Prozess.
  • Recht auf Datenportabilität (Art. 20): Die Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format exportierbar sein.

Konkret: Planen Sie für jedes dieser Rechte einen technischen Workflow. Ein Löschbutton im Admin-Panel reicht nicht. Sie brauchen einen Prozess, der alle betroffenen Datensätze findet und konsistent löscht, auch in Logs, Caches und Backups.

4. Logging ohne personenbezogene Daten

Anwendungslogs sind für Fehlersuche und Sicherheitsanalysen unverzichtbar. Aber Logs, die IP-Adressen, E-Mail-Adressen oder Nutzernamen enthalten, sind selbst personenbezogene Daten und unterliegen der DSGVO. Konfigurieren Sie Ihre Logs so, dass personenbezogene Daten entweder pseudonymisiert oder gar nicht erfasst werden.

Konkret: Nutzen Sie UUIDs statt Klarnamen in Logs. Kürzen Sie IP-Adressen (die letzten 8 Bit auf 0 setzen). Setzen Sie Aufbewahrungsfristen für Logdateien (z.B. 30 Tage) und löschen Sie ältere Logs automatisch.

5. Auftragsverarbeitungsvertrag (AVV) mit dem Entwickler

Wenn Ihr Softwareentwickler während der Entwicklung oder im Rahmen der Wartung Zugang zu personenbezogenen Daten hat (z.B. Test mit Echtdaten, Zugang zum Produktivsystem für Bugfixes), benötigen Sie einen AVV nach Artikel 28 DSGVO. Der Vertrag muss unter anderem regeln: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und die Pflichten des Auftragsverarbeiters.

Konkret: Fordern Sie den AVV vor Projektbeginn an. Serio­ese Entwickler haben ein Muster vorbereitet. Vermeiden Sie Tests mit Echtdaten; nutzen Sie stattdessen anonymisierte Testdaten.

6. Kein US-Cloud-Hosting ohne Rechtsgrundlage

Das Hosting personenbezogener Daten bei US-Anbietern (AWS US-Region, Google Cloud US, Azure US) ist ohne angemessene Rechtsgrundlage problematisch. Das EU-US Data Privacy Framework bietet eine Grundlage, steht aber unter ständiger rechtlicher Unsicherheit. Für maximale Sicherheit hosten Sie auf Servern in der EU, idealerweise bei einem Anbieter mit Sitz in der EU.

Konkret: Wählen Sie einen Hosting-Anbieter mit Rechenzentrum in Deutschland oder der EU. Prüfen Sie auch Sub-Auftragsverarbeiter: Nutzt Ihr Hoster Dienste von US-Unternehmen? Dokumentieren Sie Ihre Entscheidung und die Rechtsgrundlage.

7. Datenschutz-Folgenabschätzung (DSFA) prüfen

Artikel 35 DSGVO verlangt eine DSFA, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Das ist unter anderem der Fall bei systematischer Überwachung, Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Religion, politische Meinung) oder automatisierter Entscheidungsfindung mit rechtlicher Wirkung.

Konkret: Prüfen Sie vor Entwicklungsbeginn, ob Ihre Software in eine dieser Kategorien fällt. Wenn ja, führen Sie die DSFA vor der Inbetriebnahme durch, nicht danach. Die DSFA dokumentiert Risiken und die Maßnahmen zu deren Minderung.

8. Einwilligungsmanagement und Transparenz

Wenn Ihre Software Einwilligungen einholt (z.B. für Newsletter, Tracking, Datenverarbeitung), müssen diese nachweisbar, widerrufbar und granular sein. Ein einzelnes Kontrollkästchen für alle Zwecke reicht nicht. Jeder Zweck muss separat einwilligungsfähig sein, und der Widerruf muss genauso einfach sein wie die Einwilligung.

Konkret: Speichern Sie Einwilligungen mit Zeitstempel und Inhalt. Implementieren Sie eine Widerrufsfunktion, die sofort wirksam wird. Informieren Sie Nutzer transparent über die Verarbeitung ihrer Daten, bevor sie einwilligen.

TL;DR: DSGVO-konforme Software entsteht nicht durch einen Cookie-Banner am Ende, sondern durch konsequentes Privacy by Design von Anfang an.

Arbeiten Sie diese 8 Punkte gemeinsam mit Ihrem Entwicklungsteam ab, bevor die erste Zeile Code geschrieben wird.

Jetzt Anfragen!