DSGVO-Quick-Check für SaaS-Startups
27 Punkte22 SeitenPDF
- Privacy Policy und Endnutzer-Rechte
- AVV-Checkliste für US- und EU-Tools
- US-Datentransfer und Mechanismen
- AI Act: Ist Ihre KI Hochrisiko?
- Enterprise-AVV-Anforderungen und TOMs
Sie speichern Endnutzer-Daten, nutzen US-SaaS-Tools (Stripe, Amplitude, Intercom), möglicherweise mit KI-Komponenten. Gleichzeitig: Investor-Due-Diligence, AVV mit US-Tools, NIS-2-Lieferanten-Druck von Enterprise-Kunden. tablegray kombiniert Recht und Technik — damit Sie schnell wachsen können, rechtlich sauber.
Tech-Stack-Verständnis. Von Gründern und für Gründer.
Ihre Nutzer geben Ihnen Daten (E-Mail, Profil, Verhalten). Sie verarbeiten diese und speichern sie auf Servern (AWS, Azure). Das braucht Privacy Policy, Betroffenenrechte, AVVs mit US-Tools, Datensicherheit. US-Transfer-Mechanismen (SCC, Standard Contracts) korrekt setzen.
Privacy-Policy-Audit anfragen →Nutzt Ihr Produkt Machine Learning, Recommendation Engines oder LLMs? Das ist KI und könnte Hochrisiko sein. Bis 02.08.2026 Pflicht: Klassifizierung, Schulung, Dokumentation. Viele Startups übersehen das bis zur Gründer-Runde.
AI-Act-Check anfragen →Der Cyber Resilience Act (CRA) ab 2026 verlangt SBOM (Software Bill of Materials), Vulnerability-Handling und CE-Konformität. Das ist nicht DSGVO — das ist Produkt-Compliance. Enterprise-Kunden prüfen das bei Einkauf.
Compliance-Roadmap anfragen →„Wir waren kurz vor Seed-Runde. Investor hat gefragt: AVVs mit Ihren Tools? Datenschutzerklärung? Privacy Policy? Wir hatten nix. Ein Standard-Formular von irgendwo kopiert. tablegray hat in 5 Tagen die Docs geschrieben, unser Tech-Stack gecheckt (AWS, Segment, HubSpot, Stripe), alles korrekt gemacht. Investor zufrieden, wir haben funded.” Co-Founder eines HealthTech-Startups, Serie A, Berlin
Privacy Policy, AVVs mit US-Tools, KI-Komponenten, DSFA, Joint-Controllership — die Punkte, die Investoren und Enterprise-Kunden fragen.
Wenn Sie mehr als 20 Mitarbeiter haben oder Endnutzer-Daten in Massen verarbeiten: ja, DSB ist Pflicht. Aber es gibt Ausnahmen bei kleineren Teams mit minimalem Tracking. Ein Quick-Check zeigt, ob Ihr Startup betroffen ist. Wenn nicht obligatorisch, empfehlen wir trotzdem — Investoren erwarten es.
Beide haben AVVs und sind grundsätzlich okay. Aber die Konfiguration entscheidet: Double-Opt-In für Newsletter, Datenspeicherung auf EU-Server (wenn möglich), kein Tracking ohne Consent. Wir geben Ihnen Step-by-Step-Guides für jedes Tool.
Jedes Tool hat unterschiedliche Datenflüsse. Stripe: Zahlungsdaten. Amplitude: Nutzungsverhalten. Intercom: Chat-Konversationen. Jedes braucht eine spezifische AVV mit den richtigen Garantien. Wir haben Templates für alle Standard-Tools — Sie müssen nicht von Null anfangen.
Ja, mit Standard Contracts (SCC). Das ist der aktuelle legale Weg nach Schrems II. Wichtig: Datensparsamkeit konfigurieren (anonymous IDs statt E-Mail), Aufbewahrung auf 6–12 Monate setzen, keine "PII-Light" an Analytics-Tools. Das alles klären wir im Setup.
Wenn Sie Machine Learning, Recommendation Engines oder LLMs nutzen: ja, wahrscheinlich. Nicht alle KI ist Hochrisiko. Recruiting-KI, Kreditvergabe-KI, Compliance-Systeme sind Hochrisiko. Personalisierungs-KI meist nicht. Wir klassifizieren in 2–3 Tagen für Sie.
Datenflüsse (welche Daten, woher, wohin), Betroffenenrechte (Auskunft, Löschung), Cookie/Tracking, Drittanbieter (Stripe, Analytics), Datensicherheit, Aufbewahrung, US-Transfers. Eine gute Policy ist 5–10 Seiten, nicht 50. Wir schreiben konkrete, lesbare Policies.
Kostenloses Erstgespräch: Wir hören Ihr Geschäftsmodell (Endnutzer-Daten, KI-Komponenten, Enterprise-Pläne), machen eine Lücken-Analyse und einen Compliance-Roadmap mit Meilensteine und Kosten. Dann wissen Sie: Was kostet es, bis wir investor-ready sind?