135+ Startups & KMUs nutzen schon diese Vorlagen und Rechtspakete.
Early-stage Tech-Unternehmen haben im Bereich Datenschutz normalerweise zwei Kerndokumente, die sie aufsetzen müssen: Eine Datenschutzerklärung und einen oder mehrere Auftragsverarbeitungsverträge.
Eine Datenschutzerklärung für eine Website ist ein Dokument, das beschreibt, wie ein Unternehmen auf seiner Website personenbezogene Daten verarbeitet. Sie muss alle relevanten Funktionen, wie Nutzung, Registrierung oder Bezahlung, abdecken und variiert je nach Website. Das Velsa Template dient als Ausgangspunkt, aber der Datenschutzexperte auf deinem Paket sollte die Erklärung individuell an die Website anpassen.
Eine Datenschutzerklärung für eine App ist ein Dokument, das beschreibt, wie ein Unternehmen auf einer App personenbezogene Daten verarbeitet. Sie muss alle relevanten Funktionen, wie Nutzung, Registrierung oder Bezahlung, abdecken und variiert je nach App. Das Velsa Template dient als Ausgangspunkt, aber der Datenschutzexperte auf deinem Paket sollte die Datenschutzerklärung individuell an die App anpassen.
Ein Auftragsverarbeitungsvertrag (AVV) regelt, wie ein Unternehmen (Auftragsverarbeiter, z.B. ein SaaS-Anbieter) im Auftrag eines anderen (Verantwortlicher, z.B. ein SaaS-Kunde) personenbezogene Daten verarbeitet. SaaS-Anbieter müssen z.B. oft mit Kunden und ggf. mit Dritt-Diensten, die der SaaS-Anbieter nutzt, AVVs abschließen. Die Pflicht, einen AVV abzuschließen, gilt aber für alle Unternehmen, die im Auftrag eines anderen personenbezogene Daten verarbeiten oder einen anderen mit einer solchen Verarbeitung beauftragen.
"Gemeinsame Verantwortliche" (englisch: "Joint Controllers") beziehen sich nach der DSGVO auf mehrere datenschutzrechtlich Verantwortliche, die gemeinsam die Zwecke und Mittel einer Datenverarbeitung festlegen. Gemeinsame Verantwortliche müssen eine datenschutzrechtliche Zusatzvereinbarung treffen, die bestimmte Details ihrer gemeinsamen Verantwortlichkeit regelt, den sog. Vertrag zur Gemeinsamen Verantwortlichkeit (englisch: Joint Controller Vereinbarung).
Überblick
Mit diesem Rechtspaket deckst Du zwei zentrale Datenschutz-Aspekte ab: die Datenschutzerklärung und den Auftragsverarbeitungsvertrag (AVV). Die Datenschutzerklärung informiert Nutzer transparent über die Verarbeitung personenbezogener Daten. Der AVV regelt dagegen die Verarbeitung von Daten durch beauftragte Dienstleister.
✅ Datenschutzerklärung für Website oder App
✅ AVV für Hosting, Cloud und SaaS-Setups
✅ Klar, anpassbar und praxisnah aufgebaut
Was ist eine Datenschutzerklärung?
Die Datenschutzerklärung beschreibt, welche personenbezogenen Daten Du auf Deiner Website oder in Deiner App verarbeitest, zu welchen Zwecken und auf welcher Grundlage. Sie muss zu Deinem konkreten Angebot passen und alle relevanten Funktionen abdecken, zum Beispiel:
- Registrierung oder Login
- Kontaktformular oder Newsletter
- Zahlungen
- Cookies, Tracking oder Drittinhalte
Wichtig: Bei Websites müssen die Datenschutzhinweise von jeder Seite unmittelbar erreichbar sein. Auch bei Apps müssen die Verarbeitungen transparent erklärt werden – einschließlich app-spezifischer Funktionen wie Push-Benachrichtigungen, Standortdaten oder In-App-Tracking.
Wann brauchst Du einen AVV?
Einen AVV brauchst Du, wenn ein Dienstleister personenbezogene Daten in Deinem Auftrag und nach Deinen Vorgaben verarbeitet. Typische Fälle sind zum Beispiel:
- Hosting
- Cloud-Speicherung
- externe Support- oder Call-Center-Lösungen
- andere weisungsgebundene Dienstleister ohne eigenen Entscheidungsspielraum über die wesentlichen Zwecke der Verarbeitung
Der AVV betrifft nicht nur Unternehmen, die Dienstleister beauftragen. Wenn Du selbst als Dienstleister personenbezogene Daten im Auftrag Deiner Kunden verarbeitest, zum Beispiel als SaaS-Anbieter, brauchst Du ebenfalls einen AVV.
Wann reicht ein AVV nicht aus?
Nicht jede Zusammenarbeit ist Auftragsverarbeitung. Legen zwei Unternehmen die Zwecke und Mittel der Verarbeitung gemeinsam fest, liegt gemeinsame Verantwortlichkeit vor. Dann reicht ein AVV nicht aus; stattdessen ist eine Vereinbarung nach Art. 26 DSGVO erforderlich.
Wie hängt Datenschutz mit AGB und anderen Dokumenten zusammen?
Datenschutzerklärung, AVV und AGB hängen zusammen. Wenn Du ein digitales Produkt anbietest, brauchst Du in der Regel alle drei: Die AGB regeln das Vertragsverhältnis, die Datenschutzerklärung informiert Deine Nutzer und der AVV sichert die Zusammenarbeit mit Deinen Dienstleistern ab.
Formales
Die Datenschutzerklärung muss individuell auf Website oder App zugeschnitten sein. Bei Websites muss sie leicht zugänglich sein. Ein AVV muss in Fällen der Auftragsverarbeitung abgeschlossen werden; das kann auch elektronisch erfolgen.
Nächste Schritte
- Prüfe zuerst, welche personenbezogenen Daten auf Deiner Website oder in Deiner App tatsächlich verarbeitet werden.
- Decke alle relevanten Funktionen in der Datenschutzerklärung ab.
- Identifiziere anschließend alle Dienstleister, die Daten nur in Deinem Auftrag verarbeiten, und schließe mit ihnen AVVs ab.
- Wenn ein Partner nicht nur weisungsgebunden handelt, sondern gemeinsam mit Dir Zwecke und Mittel festlegt, sollte stattdessen die gemeinsame Verantwortlichkeit geprüft werden.
- Bei offenen Fragen kannst Du jederzeit eine kostenfreie Erstanalyse mit unserem Rechtsexperten buchen.
Jetzt Datenschutz sauber aufsetzen – klar, verständlich und passend zu Deinem Angebot.
Weitere Vorlagen & Rechtspakete
Mit Velsa – alles Rechtliche an einem Ort.
Alle Vorlagen & Rechtspakete
