Tools DSGVO-konform nutzen: So prüfst du Zoom, Mailchimp & Co.

Alle nutzen das – also darf ich das doch auch?

Diese Frage hören wir immer wieder. Ob Zoom, Mailchimp, Google Analytics oder Canva: Viele Onlinehändler setzen auf beliebte Tools, die im Netz empfohlen werden oder die "alle" nutzen. Doch Vorsicht: Auch was alle anderen ohne große Bedenken nutzen, kann dich in rechtliche Schwierigkeiten bringen.

Denn sobald personenbezogene Daten verarbeitet werden – etwa Name, E-Mail-Adresse oder IP-Adresse – gelten die Vorgaben der Datenschutz-Grundverordnung (DSGVO). Und die sind in der Praxis oft nicht leicht zu durchschauen.

Dieser Artikel zeigt dir, worauf du achten musst, um Tools rechtssicher einzusetzen. Damit du selbst prüfen kannst, ob ein Tool DSGVO-konform ist oder nicht.

Was fordert die DSGVO?

Die DSGVO verpflichtet dich, personenbezogene Daten nur dann zu übermitteln oder verarbeiten zu lassen, wenn:

• die betroffene Person eingewilligt hat (z.B. Newsletterempfang), oder eine andere gesetzliche Grundlage besteht (z. B. Vertragserfüllung - jemand hat etwas bei dir gekauft, rechtliche Pflicht),

und

• bei einer Weitergabe an Dritte oder bei der Nutzung externer Tools sichergestellt ist, dass die Datenverarbeitung durch den Dritten bzw. das externe Tool im Einklang mit der DSGVO erfolgt.

Diesen letzten Punkt schauen wir uns jetzt einmal genauer an.

Hier beginnt Deine rechtliche Verantwortung für Tools

Wenn du ein Tool nutzt, das für dich Daten verarbeitet (z. B. Newsletter-Versand, Webinare, Analyse), handelt es sich bei dem Anbieter des Tools um einen Auftragsverarbeiter. Dafür gelten nach Artikel 28 DSGVO klare Regeln:

• Du brauchst einen Vertrag zur Auftragsverarbeitung (AVV)
• Du musst die Datenschutz-Compliance des Tools eigenverantwortlich prüfen
• Du darfst nur mit Auftragsverarbeitern zusammenarbeiten, die angemessene technische und organisatorische Maßnahmen für die Datensicherheit und den Datenschutz (TOMs) nachweisen

Besonders heikel wird es, wenn der Anbieter außerhalb von EU und EWR sitzt, also in einem „Drittstaat“. Dann gelten zusätzliche Voraussetzungen nach Artikel 44 DSGVO.

Für manche Drittstaaten hat die EU-Kommission förmlich festgestellt, dass dort ein Rechtsrahmen besteht, der ebenfalls einen angemessenen Datenschutz sicherstellt. Diese Feststellung nennt sich „Angemessenheitsbeschluss“. Wenn ein solcher Beschluss besteht, ist eine Datenübermittlung dorthin ebenso zulässig wie innerhalb der EU.

Wie erkenne ich rechtskonforme Tools?

Wenn du ein Tool datenschutzkonform einsetzen willst, musst du es sorgfältig prüfen – vor allem dann, wenn der Anbieter personenbezogene Daten in deinem Auftrag verarbeitet.

Die folgenden Punkte helfen dir, Schritt für Schritt zu bewerten, ob ein Tool DSGVO-konform ist.

Checkliste: Ist das Tool DSGVO-konform?

Schritt 1: Prüfe den Sitz des Anbieters

Den Sitz des Anbieters findest Du im Impressum seiner Webseite.

• EU-Land? → In der Regel unproblematisch.
• EWR-Land (Island, Liechtenstein, Norwegen)? → Diese Länder sind den EU-Ländern in Sachen Datenschutz gleichgestellt, also auch unproblematisch.
• Land mit Angemessenheitsbeschluss (z. B. Schweiz, Kanada, Neuseeland, Großbritannien und Nordirland, Israel)? → Datenübertragung erlaubt.
• Alle anderen Länder? → Vorsicht! Weitere Prüfungsschritte erforderlich, sehr kompliziert, praktisch kaum verifizierbar und risikobehaftet. Wir raten Solo-Selbstständigen von der Nutzung ab.
• USA: Für die USA besteht zwar ein Angemessenheitsbeschluss der EU. Allerdings ist der Beschluss von einer Verbraucherschutzorganisation angefochten worden und wird daher vom Europäischen Gerichtshof überprüft. Der Ausgang des Verfahrens ist offen. Weil noch keine gerichtliche Entscheidung vorliegt, raten wir davon ab, personenbezogene Daten an Anbieter in den USA zu übermitteln.

Tool-Vergleich: USA vs. EU (Auswahl)

Für die meisten populären US-Tools gibt es solide deutsche und europäische Alternativen, die du rechtssicher einsetzen kannst.

US-Tool	Problem	Alternative Anbieter
Zoom	Sitz in den USA, komplexe Vertragslage	opentalk.eu, alfaview.com
Mailchimp	USA, keine echte DSGVO-Konformität, AVV unzureichend	rapidmail.de, brevo.com
Google Analytics	Hohe datenschutzrechtliche Risiken trotz GA4 und IP-Anonymisierung	Matomo – du kannst die Software selbst hosten. In dem Fall bleibt die Datenhoheit bei dir, Matomo wird kein Auftragsverarbeiter und ein AVV ist nicht nötig.
Canva		Solange du keine personenbezogenen Daten (z. B. Kundennamen, E-Mail-Adressen) in deine Designs einbaust, ist die Nutzung unkritisch.

Uns ist bewusst, dass Google Analytics, Zoom & Co. breite Zustimmung erhalten und von vielen deutschen Unternehmen genutzt werden. Rechtlich heikel sind sie dennoch - insbesondere, wenn du nicht in der Lage bist, komplexe Schutzmaßnahmen zu treffen. Wenn du datenschutzkonforme Software zum Beispiel aus Deutschland verwendest, kannst du das immerhin auch als Verkaufsargument nutzen und deinen Kunden sagen “Ich sorge für deine Sicherheit. Datenschutz und die Einhaltung von Verbraucherschutzgesetzen haben bei mir Priorität.”

Schritt 2: Impressum & Datenschutzerklärung des Anbieters prüfen

Im nächsten Schritt prüfst du die Rechtstexte des Anbieters:

• Gibt es ein vollständiges Impressum, das die vollständige geographische Anschrift sowie Registerdaten des Unternehmens aufführt (Registergericht, Registernummer)?
• Hat der Auftragsnehmer eine vollständige und aktuelle Datenschutzerklärung?
• Wird ein Datenschutzbeauftragter genannt?

Wenn diese Basisinformationen fehlen oder lückenhaft sind, ist Vorsicht geboten - Du musst in diesem Fall davon ausgehen, dass der Anbieter die Anforderungen der DSGVO nicht erfüllt.

Schritt 3: Auftragsverarbeitungsvertrag (AVV) angeboten?

Mit jedem Auftragsverarbeiter, den du beauftragst, musst du einen Vertrag zur Auftragsverarbeitung (AVV) abschließen. Deshalb prüfe:

• Bietet der Auftragnehmer an, einen AVV abzuschließen?
• Enthält dieser die Namen beider Vertragsparteien (deinen und den des Anbieters) und das tagesaktuelle Datum?
• Und kann der individuelle Vertragstext in gut formatierter, druckbarer Form (PDF) abgespeichert werden?

Schritt 4. Sicherheitsmaßnahmen: Werden deine Daten gut geschützt?

Laut DSGVO darfst du nur mit Tools arbeiten, deren Anbieter „geeignete technische und organisatorische Maßnahmen“ (TOMs) einsetzen, um den Bestand personenbezogener Daten zu sichern und vor unbefugtem Zugriff zu schützen (Artikel 28 Abs. 1 DSGVO, Artikel 32 DSGVO). Das ist zwar für Laien schwer nachvollziehbar. Doch auch wenn du kein Technikprofi bist – du solltest prüfen, ob dein Anbieter überhaupt erklären kann, wie er die Daten deiner Kunden schützt.

Worauf kannst du achten?

• Gibt es auf der Website oder im AV-Vertrag eine Übersicht zu Sicherheitsmaßnahmen?
• Wird erklärt, ob und wie Verschlüsselung eingesetzt wird (z. B. TLS bei der Datenübertragung)?
• Gibt es Hinweise auf Zugangskontrollen, z. B. Zwei-Faktor-Authentifizierung?
• Werden Backups oder Schutz vor Datenverlust erwähnt?
• Hat das Unternehmen vielleicht sogar ein ISO-Zertifikat (z. B. ISO 27001)?

Wenn du solche Informationen nicht findest und auch auf Nachfrage nicht bekommst oder alles nur sehr vage bleibt („Wir schützen Ihre Daten nach bestem Wissen“), solltest du stutzig werden. Denn dann kannst du deiner Prüfpflicht nicht ausreichend nachkommen – und machst dich angreifbar.

Am Beispiel von Brevo und eTracker kannst du sehen, wie zwei Anbieter auf das Thema eingehen:

• Brevo (Punkt Prüfbericht)
• eTracker (Punkt technischer und organisatorischer Datenschutz)

Wenn alle Punkte positiv beantwortet werden können, ist der Anbieter geeignet (auch wenn das nicht heißt, dass er anschließend alles korrekt macht). Wenn ein Punkt nicht erfüllt ist, würden wir von einem sochen Anbieter abraten.

"DSGVO-konform" als Marketing-Spruch? Misstrauen ist angebracht.

Auf einen bloßen Slogan wie “DSGVO-konform” oder “GDPR compliant” kannst du dich nicht verlassen. Viele Anbieter behaupten das werbewirksam, unabhängig von ihrer tatsächlichen Handhabung der Vorgaben. Tatsächlich DSGVO-konform können aber nur die sein, die alle oben genannten Punkte (als Mindestkriterien) erfüllen.

Verlass dich nicht auf Labels. Prüfe die Fakten.

Fazit: Rechtssichere Tools wählen, Risiken vermeiden

Wenn du personenbezogene Daten über ein Tool verarbeiten lässt, brauchst du

• einen geeigneten Anbieter mit Sitz in der EU, im EWR oder in einem Land mit Angemessenheitsbeschluss,
• einen AV-Vertrag (Auftragsverarbeitungsvertrag),
• dokumentierte technische Schutzmaßnahmen (TOMs) und
• ein vollständiges Impressum des Anbieters und eine DSGVO-konforme Datenschutzerklärung des Anbieters.

Erfüllt das Tool diese Punkte, kannst du es in der Regel rechtssicher einsetzen. Ist nur ein Punkt nicht erfüllt, wird's riskant.

Hilfreich für dich? Dann schau dir unsere Rechtstexte an.

Das richtige Tool ist nur die halbe Miete. Denn du musst alle Auftragsverarbeiter auch in deiner Datenschutzerklärung nennen. Die bekommst du bei uns auf onwalt.de - von Anwälten erstellt und individuell abgestimmt auf dein Geschäft. Verkaufst du etwas? Dann hol dir dein passendes AGB-Paket inklusive DSGVO-konformer Datenschutzerklärung z. B. als Paket AGB für Onlinekurse, Vertragspaket für Coaches oder AGB für ePages.