Der Blog von PayPro Global!

DSGVO-Konformität für SaaS: Wie ein Merchant of Record hilft

Geschrieben von Ioana Grigorescu | 26.06.2025 11:21:04

Unternehmen spüren die Auswirkungen der Datenschutz-Grundverordnung (DSGVO). Eine ernüchternde Erinnerung an den Preis der Nichteinhaltung: Die DSGVO-Strafen allein im Jahr 2023 beliefen sich auf über 1,78 Milliarden Euro. Haben Sie Schwierigkeiten, sich in den Nuancen der DSGVO als Software-, Videospiel- oder SaaS-Unternehmen zurechtzufinden?

Dieses Tutorial soll Ihnen helfen, die besonderen Probleme der DSGVO-Compliance zu verstehen, mit denen Sie konfrontiert sind, und wie ein Merchant of Record die Verwaltung des Datenschutzes vereinfachen, finanzielle Verpflichtungen reduzieren und die Einhaltung sich ändernder Gesetze gewährleisten kann.

Es ist keine Option, die DSGVO zu ignorieren. Nichteinhaltung kann Ihrem Ruf schaden, das Vertrauen der Kunden untergraben und zu hohen Geldstrafen führen (bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist).

Schlüsseldefinitionen

DSGVO (Datenschutz-Grundverordnung): Eine EU-Verordnung zur Regelung der Verarbeitung personenbezogener Daten von Personen innerhalb des EWR. Sie zielt darauf ab, den Datenschutz und die Sicherheit zu schützen.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Verarbeitung: Jeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden.

Data Controller: Die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

Datenverarbeiter: Die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Merchant of Record (MOR): Ein Dritter, der die rechtliche und finanzielle Verantwortung für den Online-Verkauf von Produkten oder Dienstleistungen übernimmt, einschliesslich der GDPR-Konformität. Der MOR wird zum Datenverantwortlichen für Transaktionsdaten und hilft Unternehmen, viele Compliance-Verantwortlichkeiten abzugeben.

Datenschutz-Folgenabschätzung (DSFA): Ein Verfahren zur Identifizierung und Minimierung der Risiken für den Datenschutz bei einem Projekt oder Plan.

 

Was ist die DSGVO?

Die DSGVO regelt die Verarbeitung personenbezogener Daten von Personen im Europäischen Wirtschaftsraum (EWR). Sie legt strenge Richtlinien für die Erhebung, Speicherung, Nutzung und Übermittlung von Daten fest. Dies schafft ein kompliziertes Netz von Compliance-Anforderungen für Software-, Videospiel- und SaaS-Unternehmen, insbesondere bei der Zusammenarbeit mit ausländischen Kunden.

Jede Organisation, unabhängig von ihrem Standort, die personenbezogene Daten von EU-Bürgern verarbeitet, unterliegt der DSGVO. Das bedeutet, dass auch SaaS-, Software- und Videospielunternehmen, die an EU-Kunden verkaufen, die Vorschriften einhalten müssen, selbst wenn sie ihren Sitz ausserhalb der EU haben. Indem er als Barriere zwischen Ihrem Unternehmen und den Gefahren der EU-Vollstreckung dient, kann ein Merchant of Record ein wichtiger Verbündeter bei der Bewältigung dieser Anforderungen sein.

Spezifische GDPR-Hürden im digitalen Vertrieb

Aufgrund der Natur ihrer Geschäftsmodelle stehen SaaS-, Software- und Videospielunternehmen vor besonderen Herausforderungen bei der GDPR:

  • Abonnementverwaltung: Strenge Datenverwaltungs- und Berechtigungsmanagementverfahren sind notwendig, um Benutzerdaten über wiederkehrende Abonnements hinweg zu verarbeiten.
    - Beispiel: Jedes Mal, wenn die Abonnementabrechnung eines Spielers verlängert wird, muss das Spielstudio um die fortgesetzte Zustimmung bitten.
  • Globale Datentransfers: Standardvertragsklauseln (SCCs) und ähnliche Methoden sind für die Übertragung von Daten außerhalb des EWR erforderlich.
    - Beispiel: Ein SaaS-Unternehmen verwendet SCCs, um Analysedaten auf Servern in den Vereinigten Staaten zu hosten.
  • Datenlokalisierung: Lokale Datenspeicherung ist in Ländern wie Deutschland erforderlich.
    - Um dies zu gewährleisten, speichert beispielsweise ein Softwareanbieter die Daten deutscher Benutzer in Deutschland.
  • Klare Einwilligung und Benutzerkontrolle: Diese sind für die Benutzerverfolgung und -analyse erforderlich.
    - Beispiel: Bevor eine Spiele-App die Spieleraktivität zur Anpassung verfolgt, fordert sie die Erlaubnis an.

Mikrotransaktionen und In-App-Käufe: Diese beinhalten die Verwaltung privater Zahlungsinformationen.
- Beispiel: Sicherstellung der sicheren Verarbeitung von Karteninformationen beim Kauf von Handyspielen.

Aktuelle GDPR-Durchsetzungsmaßnahmen

Hier sind drei Beispiele für berühmte GDPR-Durchsetzungsmaßnahmen: 

Amazon (2021): 746 Mio. € Strafe für ungültige Einwilligung in der Werbung.

Meta (2023): 1,2 Mrd. € Strafe für unrechtmäßige internationale Datenübermittlungen in die USA.

H&M (2020): 35 Mio. € Strafe wegen Missbrauchs von Mitarbeiterdaten.


Die Vorteile eines Merchant of Record

Ein Merchant of Record (MoR) ist entscheidend, um die Einhaltung der DSGVO zu vereinfachen, insbesondere für Unternehmen, die online verkaufen und international Geschäfte tätigen. Hier ist eine Aufschlüsselung der Probleme und Lösungen, die der MOR bietet:

Komplizierte DSGVO-Bestimmungen für die Datenübertragung und -verarbeitung

  • Lösung: MOR entspricht der DSGVO bei der Verarbeitung.
  • Ergebnis: Reduziertes rechtliches und regulatorisches Risiko.

Angemessene Einwilligungsverwaltung

  • Lösung: MOR führt überprüfbare Aufzeichnungen und richtet Compliance-Workflows für Einwilligungen ein.
  • Ergebnis: Erhöhte Offenheit und Vertrauen der Nutzer.

Bearbeitung von Anfragen von betroffenen Personen

Einhaltung der Vorschriften zur Datenübertragung und -lokalisierung

  • Lösung: MOR garantiert legitime Übertragungstechniken und lokales Hosting.
  • Ergebnis: Internationale Einhaltung der sich entwickelnden Normen, insbesondere der Normen, die sich aus dem noch ausstehenden Schrems III ergeben

DSGVO-bezogene finanzielle Verantwortung

  • Lösung: MOR übernimmt die Haftungs- und Compliance-Verantwortung.
  • Ergebnis: Sicherheit und Schutz vor Geldstrafen.
    Ihr engagierter
    eCommerce-Partner

    Profitieren Sie von der branchenweit innovativsten All-in-One-Lösung für SaaS und digitale Güter. Von leistungsstarken Zahlungs- und Analysetools bis hin zu umfassendem Steuermanagement sowie Abonnement- und Abrechnungsabwicklung ist PayPro Global bereit, Ihre SaaS zu skalieren.

    Verkaufen Sie Ihre SaaS weltweit mit PayPro Global!

    MOR und Rechte betroffener Personen: Das Recht auf Vergessenwerden

Hier ist eine Aufschlüsselung des Verfahrens:

Antragserfassung und Bestätigung:MOR protokolliert und authentifiziert Anfragen zum Löschen von Daten.

Datenkoordination: Arbeitet mit dem Kunden zusammen, um Daten aus jedem System zu entfernen.

Bestätigung und Protokollierung: Führt Aufzeichnungen für regulatorische Prüfungen, indem der Anfragende benachrichtigt und die Löschung dokumentiert wird.

 

Durchführung von DSFA für SaaS- und Softwareverkäufe

Die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) für Software- und SaaS-Verkäufe ist ein wesentliches Verfahren, insbesondere angesichts der wachsenden Bedeutung von Datenschutzgesetzen wie der DSGVO. Hier ist der Prozess:

Zu ergreifende Maßnahmen:

  1. Feststellen, ob eine DSFA erforderlich ist.
  2. Erläutern Sie den Umfang der Verarbeitung.
  3. Bewerten Sie die Verhältnismäßigkeit und Notwendigkeit.
  4. Beurteilen Sie die Risiken für Personen.
  5. Vorsichtsmaßnahmen treffen.
  6. Führen Sie Aufzeichnungen über alles.

Lassen Sie sich bei Bedarf von den Aufsichtsbehörden beraten.

Einführung einer standortbezogenen Funktion als Beispiel für eine DSFA

Um Benutzern lokale Wetterwarnungen zukommen zu lassen, verfolgt Ihre App ihre Standorte.

Risiken: Verletzung der Privatsphäre und unbefugte Verfolgung.

Abhilfemaßnahmen: Verschlüsselung von Nachrichten, Anonymisierung von Standortdaten und Einholung der Nutzereinwilligung.


GDPR-Compliance-Zeitachse (vereinfacht)

 

  • Erstellung eines Datenflussdiagramms.
  • Durchführung einer DPIA.
  • Wählen Sie Ihren MOR aus.
  • Umsetzung der Einwilligungserklärung.
  • Testen Sie die Löschabläufe von Daten.
  • Beginnen Sie mit der Dashboard-Überwachung zur Einhaltung der Vorschriften.

Tipps und Best Practices

Beachten Sie diese Best Practices bei der Implementierung und Überwachung der GDPR-Compliance:

    1. Reduzieren Sie die Menge der erfassten Daten.

    2. Integrieren Sie den Datenschutz in das Design Ihrer Produkte.

    3. Führen Sie routinemäßige Systemprüfungen durch.

    4. Behalten Sie die rechtlichen Entwicklungen wie Schrems III im Auge.

    5. Schulen Sie Ihr Team.

    6. Stellen Sie sicher, dass die GDPR-Bestimmungen in den Lieferantenverträgen enthalten sind.

Häufige Fehler

Hier sind einige Fehler, die SaaS-, Software- und Videospielunternehmen machen:

  • Annahme, dass die DSGVO nicht relevant ist.
  • Vorab angekreuzte Einwilligungsformulare.
  • Fehlender Plan für Datenschutzverletzungen.
  • Missachtung von Benutzeranfragen zur Löschung.
  • Glauben ohne Bestätigung, dass Drittanbieter-Tools konform sind.

Fazit 

Die DSGVO ist gekommen, um zu bleiben, und mit den sich ändernden internationalen Datenschutzbestimmungen nimmt auch ihre Komplexität zu. Software-, Gaming- und SaaS-Unternehmen müssen proaktiv Compliance betreiben oder mit schwerwiegenden Strafen rechnen. Die Zusammenarbeit mit einem Merchant of Record bietet einen skalierbaren und realistischen Weg zu Kundenvertrauen und Datenschutz.
Ihr engagierter
eCommerce-Partner

Erfolgreich mit der branchenweit innovativsten All-in-One-SaaS- und Digital-Goods-Lösung. Von leistungsstarken Zahlungs- und Analysetools bis hin zu vollständigem Steuer-Management sowie Abonnement- und Abrechnungshandling ist PayPro Global bereit, Ihre SaaS zu skalieren.

Verkaufen Sie Ihre SaaS weltweit mit PayPro Global!

 

Haftungsausschluss: Bitte beachten Sie, dass dieser Artikel nicht als Rechtsberatung zur Einhaltung der DSGVO betrachtet werden sollte. Der alleinige Zweck dieses Artikels ist es, ein besseres Verständnis des verabschiedeten EU-Datenschutzgesetzes zu ermöglichen.
Wenn Sie Rechtsberatung in dieser Angelegenheit benötigen, empfehlen wir Ihnen dringend, die Unterstützung eines Anwalts in Anspruch zu nehmen, der die DSGVO auf die spezifischen Bedürfnisse Ihres Unternehmens anwenden kann.

FAQs 

Welche Hauptrisiken der DSGVO bestehen für Software- und Videospielunternehmen?

Unternehmen in den Bereichen Software, SaaS und Videospiele stehen aufgrund ihrer digitalen Natur und globalen Reichweite vor besonderen Herausforderungen im Zusammenhang mit der DSGVO. Zu den wichtigsten Risiken gehören die effektive Verwaltung der Nutzereinwilligung über Abonnements hinweg und für Nutzer-Tracking/Analysen, die Sicherstellung rechtmäßiger internationaler Datentransfers (die oft Mechanismen wie Standardvertragsklauseln oder SCCs erfordern), die Einhaltung potenzieller Gesetze zur Datenlokalisierung in bestimmten Ländern und der sichere Umgang mit sensiblen Zahlungsinformationen für Mikrotransaktionen und In-App-Käufe. Das Versäumnis, diese Bereiche ordnungsgemäß anzugehen, kann Ihr Unternehmen erheblichen Compliance-Verstößen und Strafen aussetzen, wie in den jüngsten Vollstreckungsmaßnahmen gegen große Technologieunternehmen zu sehen ist.

Wie kann ein Merchant of Record meinem Unternehmen helfen, die DSGVO einzuhalten?

Ein Merchant of Record (MoR) fungiert als die juristische Person, die für den Verkauf Ihrer digitalen Produkte oder Dienstleistungen online verantwortlich ist, und vereinfacht dadurch Ihre DSGVO-Compliance-Pflichten für diese Transaktionen erheblich.

 

Der MoR wird zum Datenverantwortlichen für die von ihm verarbeiteten Transaktionsdaten (wie Zahlungsdetails und Rechnungsinformationen).Das bedeutet, dass der MoR wichtige GDPR-Verantwortlichkeiten übernimmt, wie z. B. die Einholung einer gültigen Einwilligung während des Kaufs, die Bearbeitung von Anfragen von betroffenen Personen (wie z. B. Zugang oder Löschung) im Zusammenhang mit Transaktionen, die Sicherstellung konformer Datenübertragungsmechanismen und die Übernahme der finanziellen Haftung für die GDPR-Konformität in Bezug auf diese Verkaufsdaten. Dies reduziert Ihr direktes regulatorisches Risiko und Ihren administrativen Aufwand.

Entfernt die Verwendung eines Merchant of Record alle meine GDPR-Verantwortlichkeiten?

Nein, die Verwendung eines Merchant of Record verlagert in erster Linie die GDPR-Verantwortlichkeiten im Zusammenhang mit dem Verkaufstransaktionsprozess, beseitigt aber nicht alle Verpflichtungen für Ihr Unternehmen.

Während der MoR der Datenverantwortliche für die von ihm verarbeiteten Zahlungs- und Abrechnungsdaten ist, bleibt Ihr Unternehmen wahrscheinlich der Datenverantwortliche für andere personenbezogene Daten, die Sie direkt erfassen. Dazu können Benutzerkontoinformationen (über Zahlungsdetails hinaus), Produktnutzungsanalysen, Marketingkommunikationsdaten oder Mitarbeiterdaten gehören. Sie müssen weiterhin sicherstellen, dass Ihre eigenen internen Datenverarbeitungsaktivitäten GDPR-konform sind.

Was genau macht ein Merchant of Record in Bezug auf die GDPR?

Ein Merchant of Record führt mehrere wichtige Aufgaben aus, um die GDPR-Konformität für die Verkäufe zu verwalten, die er in Ihrem Namen verarbeitet.

 

Dies umfasst typischerweise: die Implementierung von konformen Checkout-Abläufen, um die notwendigen Einwilligungen einzuholen, die sichere Verarbeitung und Speicherung von Zahlungsinformationen, die Einrichtung von Verfahren zur Verwaltung von Anfragen von betroffenen Personen auf Zugang und Löschung von Transaktionsdaten, die Sicherstellung legaler Datenübertragungsmechanismen (wie SCCs), wenn Daten die Grenzen überschreiten (z. B. außerhalb des EWR), die Einhaltung von Datenlokalisierungsregeln, wo dies zutrifft, und die Führung von überprüfbaren Aufzeichnungen über diese Compliance-Aktivitäten.
Vollständigen Beitrag anzeigen