Rechtsgrundlagen kompakt
Drei Bausteine bilden den rechtlichen Rahmen für WebApps mit Personendaten:
- Art. 28 DSGVO — Auftragsverarbeitung: Jeder Anbieter, der in eurem Auftrag personenbezogene Daten verarbeitet (Hosting, E-Mail-Versand, Analytics, CRM), braucht einen unterschriebenen Auftragsverarbeitungsvertrag (AVV).
- Schrems II (EuGH 2020): Der US-EU-Privacy-Shield wurde gekippt. Datentransfer in die USA braucht Zusatzmaßnahmen (Standardvertragsklauseln + Verschlüsselung). Bei sensiblen Daten ist EU-only die einzige rechtssichere Variante.
- TDDDG (§ 25): Cookies und vergleichbare Speicherzugriffe im Browser brauchen aktive Einwilligung — nicht „berechtigtes Interesse".
Wichtig: „Server in Frankfurt" ist notwendig, aber nicht hinreichend. Auch wenn Amazon AWS Frankfurt betreibt, kann das US-Mutterunternehmen laut CLOUD Act auf Daten zugreifen. Für Hochsensibles daher EU-Anbieter mit europäischer Mutter.