DSGVO und Kundenfeedback – Was SaaS-Anbieter wissen müssen

Hinweis: Dieser Artikel ist keine Rechtsberatung, sondern eine allgemeine Orientierungshilfe. Für konkrete Konstellationen mit Risiken im Einzelfall einen Datenschutzbeauftragten oder Anwalt einbinden.

Viele SaaS-Anbieter sammeln Kundenfeedback ohne zu wissen, welche DSGVO-Pflichten dabei entstehen. Solange alles glatt läuft, fällt es nicht auf. Das ändert sich in dem Moment, in dem ein Nutzer eine Auskunft nach Art. 15 DSGVO über seine gespeicherten Feedback-Daten verlangt – und das Unternehmen weder weiß, wo die Daten liegen, noch sie strukturiert ausgeben kann, noch eine Rechtsgrundlage für die Verarbeitung benennen kann. Spätestens dann ist der Datenschutzbeauftragte am Tisch.

Wer Feedback ernsthaft als Teil der Produktentwicklung nutzt, sollte die wichtigsten DSGVO-Anforderungen kennen, bevor das passiert. Dieser Artikel fasst sie zusammen.

Welche Daten entstehen bei Feedback-Sammlung

Auch wenn es nach „nur ein paar Vorschlägen" aussieht, sind die anfallenden Daten praktisch immer personenbezogen im Sinne von Art. 4 Nr. 1 DSGVO:

• E-Mail-Adresse – wird in der Regel beim Login oder beim Einreichen erfasst. Personenbezogen, auch wenn sie nur als technischer Identifier dient.
• Name – oft optional, bei B2B-Boards aber meist freiwillig gesetzt.
• Inhalt des Feedbacks – häufig personenbezogen, weil Nutzer in den Vorschlägen ihren eigenen Workflow, ihre Kunden oder ihr Unternehmen erwähnen.
• IP-Adresse – bereits beim Aufruf der Seite logged, von Bot-Filtern und Spam-Schutz verwendet.
• Voting-Verhalten – wer hat für welchen Vorschlag gestimmt, wann. Ein klares Verhaltens-Profil.

Auch wenn das Tool nur einen kleinen Teil davon explizit speichert, entsteht in Summe eine vollständige Verarbeitungssituation, die die DSGVO regelt.

Rechtsgrundlagen nach Art. 6 DSGVO

Für jede Datenverarbeitung braucht es genau eine der Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO. Bei Feedback-Sammlung kommen praktisch drei infrage:

Vertragserfüllung (Art. 6 Abs. 1 lit. b) – wenn das Feedback-Board fester Bestandteil der vereinbarten Leistung ist (z.B. bei Enterprise-Kunden mit zugesichertem Roadmap-Einfluss).

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – die meistgenutzte Grundlage. Das Unternehmen hat ein nachvollziehbares Interesse daran, sein Produkt anhand von Nutzerwünschen zu verbessern. Hier ist eine Interessenabwägung erforderlich (Verarbeitungsverzeichnis dokumentieren).

Einwilligung (Art. 6 Abs. 1 lit. a) – wenn die Verarbeitung über das berechtigte Interesse hinausgeht (z.B. Veröffentlichung des Namens neben dem Vorschlag) oder bei besonders sensiblen Inhalten.

Praktische Empfehlung: Berechtigtes Interesse ist für die Standard-Datenverarbeitung (Anlegen, Voting, Status-Mails) tragfähig. Für alles Darüberhinausgehende – insbesondere namentliche Nennung in Changelog-Posts oder Marketing – sollte eine zusätzliche Einwilligung eingeholt werden.

Auftragsverarbeitung – wann ein AVV nötig ist

Wenn die Feedback-Daten von einem externen Anbieter verarbeitet werden (was bei den meisten SaaS-Boards der Fall ist), liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Dann braucht es einen Auftragsverarbeitungsvertrag (AVV) zwischen dem nutzenden Unternehmen (Verantwortlichem) und dem Anbieter (Auftragsverarbeiter).

Ohne AVV ist die Verarbeitung formell rechtswidrig – auch wenn inhaltlich alles korrekt läuft. Aufsichtsbehörden prüfen das im Beschwerdefall sehr direkt.

Was das für US-amerikanische Tools bedeutet: Bei Anbietern wie Canny, UserVoice oder Productboard liegen Server außerhalb der EU. Ein AVV ist möglich, reicht aber alleine nicht – zusätzlich braucht es Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO und in der Regel ein Transfer Impact Assessment, das prüft, ob die Empfängerland-Gesetze (in den USA z.B. FISA 702) den europäischen Schutzstandard aushöhlen.

EU-Anbieter mit Hosting in Deutschland oder anderen EU-Staaten haben hier einen formalen Vorteil: AVV reicht, weil kein Drittlandtransfer stattfindet. Genau das ist der Grund, warum ideenkiste.app und vergleichbare Anbieter explizit mit EU-Hosting werben.

Betroffenenrechte umsetzen

Die DSGVO gibt Betroffenen weitreichende Rechte, die das Feedback-Tool unterstützen muss:

• Auskunft (Art. 15) – „Welche Daten habt ihr von mir?" Das Tool muss alle gespeicherten Daten zu einer Person strukturiert ausgeben können.
• Berichtigung (Art. 16) – falsche Daten korrigieren.
• Löschung (Art. 17) – „Vergessen werden". Das Tool muss alle personenbezogenen Daten löschen können, idealerweise inklusive der Verknüpfung von Votes zu Vorschlägen.
• Datenübertragbarkeit (Art. 20) – Export in maschinenlesbarem Format (CSV, JSON).

Praktische technische Anforderungen an das Tool: Es sollte einen User-Endpunkt geben, der per Knopfdruck alle Vorschläge, Kommentare, Votes und Profil-Daten einer Person als Download liefert. Ebenso eine Löschfunktion, die nicht nur den Account deaktiviert, sondern Inhalte tatsächlich entfernt (oder zumindest unwiederbringlich anonymisiert).

Bei der Löschung gibt es eine wichtige Abwägung: Vorschläge und Kommentare können archivwürdig sein (für Verlaufsdokumentation, Begründung von Produktentscheidungen). Hier ist eine Anonymisierung (Name und Mail entfernt, Inhalt bleibt unter „Nutzer gelöscht") oft die rechtlich tragfähige Variante.

Serverstandort – warum er entscheidend ist

Der DSGVO-Grundsatz: Personenbezogene Daten dürfen nur in Länder mit angemessenem Schutzniveau übertragen werden. Innerhalb der EU/EWR ist das immer gegeben. Bei Drittländern braucht es entweder einen Angemessenheitsbeschluss der EU-Kommission (für die USA aktuell wieder vorhanden, aber juristisch umstritten – siehe Schrems II), Standardvertragsklauseln plus Transfer Impact Assessment, oder eine ausdrückliche Einwilligung.

In der Praxis ist die einfachste Lösung: EU-Anbieter wählen. Damit entfällt der ganze Komplex Drittland-Transfer, SCC, TIA, und der AVV reicht aus. Hostingland Deutschland oder andere EU-Staaten ist ein Verkaufsargument, das von immer mehr SaaS-Käufern explizit nachgefragt wird – nicht nur im öffentlichen Sektor, sondern zunehmend auch im B2B-Mittelstand.

Wer das Tool wechselt, sollte beim alten Anbieter zudem eine Löschung der Bestandsdaten dokumentieren lassen (Bestätigung anfordern, archivieren). Das ist Teil der eigenen Compliance-Pflichten.

Checkliste: DSGVO-konformes Feedback-System

Eine Tool-Auswahl sollte mindestens diese acht Punkte abdecken:

• EU-Hosting (alle Server in EU/EWR, idealerweise mit Auftragsverarbeitung dokumentiert)
• AVV wird vom Anbieter bereitgestellt, ist unterschrieben oder zumindest unterzeichnungsbereit
• Verarbeitungsverzeichnis kann mit Angaben zum Tool ergänzt werden (Datenkategorien, Rechtsgrundlage, Speicherdauer)
• Datensparsamkeit: das Tool fragt nicht nach mehr Daten als nötig (E-Mail-Login statt vollständiges Profil)
• Betroffenenrechte: Auskunft, Berichtigung, Löschung, Export per Tool-Funktion möglich
• Kein Tracking ohne Einwilligung: keine Cookies oder Tracker, die nicht funktional notwendig sind, ohne Consent-Banner
• TLS-Verschlüsselung für alle Verbindungen (HTTPS auch im Admin-Bereich)
• Backup-Strategie des Anbieters mit klaren Aufbewahrungs- und Löschfristen

Diese Liste lässt sich gut in eine Tool-Bewertung übernehmen – beim Hersteller anfragen, schriftliche Antworten dokumentieren.

Fazit

DSGVO bei Kundenfeedback ist kein Hexenwerk, aber sie verlangt Sorgfalt. Die wichtigsten Hebel sind: EU-Anbieter wählen (spart 80 Prozent der Drittland-Komplexität), AVV abschließen, im Verarbeitungsverzeichnis dokumentieren, Betroffenenrechte technisch sicherstellen können.

Wer ein neues Feedback-System aufsetzt, hat die Chance, das von Anfang an sauber zu machen. Wer ein bestehendes Tool nutzt, sollte spätestens jetzt die Checkliste durchgehen – idealerweise bevor die erste Auskunftsanfrage kommt.

Ideenkiste.app hostet ausschließlich in der EU, stellt einen Standard-AVV bereit und unterstützt alle Betroffenenrechte aus der Liste oben. Das nimmt einen Teil der Compliance-Last ab. Für die rechtliche Bewertung im Einzelfall bleibt die eigene Verantwortung – die DSGVO kennt keine Outsourcing-Klausel für die Verantwortlichen-Rolle.