DSGVO by Design: Engineering-Muster für KMU-Software (keine Rechtsberatung)

Am 10. März 2025 verhängte der Bundesbeauftragte für den Datenschutz gegen Vodafone Deutschland eine Geldbuße von insgesamt 45 Mio. € — für zwei Dinge, die die meisten Engineering-Teams im Mittelstand ebenfalls falsch machen (opens in new tab): Auftragsverarbeitungsverträge ohne funktionierenden Kontrollprozess (15 Mio. €) und eine schwache Portal-Authentifizierung, die in Kombination mit dem Hotline-Zugang eSIM-Betrug ermöglichte (30 Mio. €). Die Dokumentation war vorhanden. Das Engineering nicht. Dieser Beitrag ist keine Rechtsberatung — er beschreibt die Muster, die wir tatsächlich ausliefern, acht Jahre nachdem uns Art. 25 zu „Datenschutz durch Technikgestaltung und durch Voreinstellungen" verpflichtet hat.

Die Zahlen werden nicht besser

Die Januar-Erhebung 2026 von DLA Piper beziffert die DSGVO-Bußgelder 2025 auf rund 1,2 Mrd. € europaweit (opens in new tab), womit die kumulierte Summe seit Mai 2018 bei 7,1 Mrd. € liegt. Die Schlagzeile wird von Big Tech dominiert — allein Irland steht für mehr als die Hälfte aller jemals verhängten Bußgelder (opens in new tab) —, weshalb viele Mittelstandsgründer das Thema abtun. Der aussagekräftigere Indikator sind die Datenpannen-Meldungen: im Durchschnitt 443 pro Tag in 2025, ein Anstieg um 22 % (opens in new tab) gegenüber 2024. Jede einzelne startet eine 72-Stunden-Uhr.

In Deutschland wurden 2025 rund 45,9 Mio. € an Bußgeldern verhängt, konzentriert auf Beschäftigtendaten und Auftragsverarbeiter-Kontrolle — Bereiche, in denen KMUs strukturell exponiert sind (opens in new tab). Das Deutsche-Wohnen-Urteil des EuGH (C-807/21) (opens in new tab) hat die „abtrünniger Manager"-Verteidigung kassiert: Organisationsverschulden genügt, und Bußgelder werden am konzernweiten Umsatz bemessen.

Art. 25 DSGVO, übersetzt in fünf Engineering-Anforderungen

Art. 25 DSGVO (opens in new tab) ist zu abstrakt, um daraus ein Ticket zu schreiben. Lesen wir ihn als Build-Spezifikation, fallen fünf Pflichten heraus: Datenresidenz (zeigen, wo jedes Byte liegt), Einwilligung (nachweisen, wozu jede betroffene Person wann eingewilligt hat), Löschung (jeder Store hat einen getesteten Löschpfad), Zurechenbarkeit (jeder Zugriff ist einem authentifizierten Principal in prüferlesbaren Logs zugeordnet) und Vendor-Transparenz (jeder Unterauftragsverarbeiter ist bekannt, vertraglich gebunden, austauschbar).

Datenresidenz ist ein Problem der Deployment-Topologie, keine Checkbox

Der häufigste Residenz-Bug, den wir sehen: ein EU-only-Stack auf Hetzner Falkenstein mit einem Frontend, das US-gehostete Fonts lädt, Analytics an ein US-Endpoint schickt und die Standard-API von OpenAI aufruft (US-geroutet, sofern Sie nicht explizit EU-Residenz pinnen). Die Kerndatenbank steht in Deutschland; personenbezogene Daten verlassen die EU trotzdem mehrfach pro Seitenaufruf. Seit Schrems II und dem EU-US Data Privacy Framework von 2023 sind Übermittlungen an DPF-zertifizierte Empfänger wieder zulässig — aber das Gericht der Europäischen Union hat die erste direkte Klage erst gerade in Latombe ./. Kommission am 3. September 2025 (opens in new tab) abgewiesen, und NOYB hat einen „Schrems III"-Vorstoß angekündigt. Ein Framework, das durch ein einziges EuGH-Urteil gekippt werden kann, ist eines, aus dem Ihre Architektur ohne sechsmonatige Migration herausmanövrieren können sollte.

Muster, die über die Zeit tragen: jeden Datenpfad explizit auf EU-Regionen pinnen und laut scheitern, wenn ein Binding fehlt — bei Cloudflare heißt das Regional Services EU (opens in new tab), Customer Metadata Boundary EU, Geo Key Manager EU/Deutschland und D1 mit jurisdiction: "eu" (opens in new tab), gesetzt zum Zeitpunkt der Erstellung. Die Schlupflöcher kennen: jurisdiktionsgebundene D1 deckt Daten im Ruhezustand ab, nicht den Ort der Compute. Drittanbieter-APIs als Residenz-Entscheidung behandeln — ein LLM-Call ohne EU-Residenzvereinbarung ist eine transatlantische Übermittlung dessen, was Sie senden. Für Postgres-lastige Stacks bleibt Hetzner oder Scaleway mit EU-only S3-kompatiblem Storage die einfachste verteidigbare Baseline.

Einwilligung ist eine State Machine, kein Cookie-Banner

Was nach DSGVO zählt, ist: Für jeden Datensatz müssen Sie — Monate oder Jahre später — die Rechtsgrundlage darlegen können, auf der verarbeitet wurde, und wenn diese Grundlage die Einwilligung war, nachweisen, was die betroffene Person gesehen hat, wann und für welche Zwecke. Wir modellieren Einwilligung als Append-only Log: eine consent_events-Tabelle, geschlüsselt nach Subjekt, mit purpose, granted | withdrawn, timestamp, version_of_notice_shown und source. Der aktuelle Zustand ist eine View. Die Stellungnahme 28/2024 des EDPB zu KI-Modellen (opens in new tab) hat klargestellt, dass das berechtigte Interesse eine Rechtsgrundlage für KI-Features sein kann, aber nur nach einem dokumentierten Drei-Schritt-Test — können Sie diesen Test pro Feature nicht aufschreiben, brauchen Sie die Einwilligung.

Die Konsequenzen: Feature Flags hängen am Consent-State, nicht an der User-ID, durchgesetzt am Modul-Rand; ein Widerruf ist ein synchroner Löschtrigger für alles, wofür Sie nur Einwilligung hatten (Art. 17 stellt den Zustand vor der Einwilligung wieder her); Versionen der Datenschutzerklärung werden content-hashed gespeichert, damit Sie der betroffenen Person den exakten Text zurückliefern können, den sie gesehen hat; der Consent-State wird in jedes System repliziert und läuft fail-closed, sobald er veraltet ist.

Die Löschkaskade, die niemand getestet hat

Eine typische SaaS macht einen Soft-Delete einer users-Zeile und erklärt die Sache für erledigt. Währenddessen: das Audit Log hat die E-Mail in old_values, Stripe hat den Customer noch, der E-Mail-Dienstleister hat die Person in einem Marketing-Segment, die Backups vom letzten Dienstag haben alles, das Warehouse verknüpft Session-IDs mit der User-ID, der LLM-Cache hat Support-Transkripte, und der Error Tracker hat monatelange Stack-Traces mit dem User-Objekt.

Wir behandeln Löschung als Abhängigkeitsgraph. Für jeden Store deklarieren wir: ob dort personenbezogene Daten direkt oder per Verknüpfung liegen; die Regel (Hard Delete, Anonymisierung oder Aufbewahrung unter anderer Rechtsgrundlage wie HGB § 257); den verantwortlichen Service; und wie wir nachweisen. Wir fahren einen End-to-End-Löschtest in CI — ein synthetischer User mit einem zufälligen Token, eingebettet in Namen, E-Mail, Nachrichten und Uploads. Nach der Löschung durchsucht ein Scanner jeden Store nach dem Token; jeder Treffer lässt den Build scheitern. Das Urteil des LG Hannover vom Februar 2025 (opens in new tab) stützte sich stark darauf, ob die Beklagte über „Transparenzarchitektur und Dokumentation" verfügte — verlangt eine Aufsichtsbehörde einen Löschnachweis und Sie können keinen maschinenlesbaren Record liefern, argumentieren Sie aus einer verlorenen Position heraus.

Zugriffslogs, die ein Prüfer tatsächlich lesen kann

Die meisten KMU-Produkte haben Logs; nur wenige haben Logs, die eine Aufsichtsbehörde als Beweismittel akzeptieren würde. Unser Baseline-Schema für ein Zugriffsevent auf personenbezogene Daten: timestamp in UTC ISO-8601; actor als authentifizierter Principal (niemals „admin" als geteilte Identität); action (Read, Write, Export, Delete, Impersonate, beide Seiten geloggt); resource als stabile Record-ID; purpose oder justification; und eine request_id. Aufbewahrung 12–24 Monate auf eigenem Lebenszyklus, Append-only Storage mit restriktiven Schreibrechten, Versand an ein zweites Ziel in EU-Jurisdiction mit Object-Lock und eine periodische Hash-Chain-Prüfung.

Der Zugriff auf Beschäftigtendaten ist die Falle. Die deutsche Durchsetzung zielt konsequent auf Verstöße beim Beschäftigtendatenschutz (opens in new tab), und das Urteil des OLG Stuttgart vom Februar 2025 (opens in new tab) hielt fest, dass Beschäftigte, die Verarbeitungszwecke faktisch steuern, DSGVO-Haftung auslösen können. Kann Ihr Personal jeden Kundendatensatz ohne Begründungsabfrage aufrufen, haben Sie Audit-Theater.

Das Vendor- und Unterauftragsverarbeiter-Problem ist jetzt ein LLM-Problem

Art. 28 DSGVO (opens in new tab) verlangt einen schriftlichen Auftragsverarbeitungsvertrag mit jeder Partei, die in Ihrem Auftrag personenbezogene Daten verarbeitet, und die Pflicht, „Überprüfungen zu ermöglichen und zu ihnen beizutragen". Vodafone war ein Defizit nach Art. 28 Abs. 1 — die Verträge existierten, die Kontrolle nicht.

Ein praktikabler Prozess: ein Unterauftragsverarbeiter-Register in der Versionskontrolle (Anbieter, Zweck, Datenkategorie, Datenresidenz, AVV-Referenz, DPF-Status, URL der Unterauftragsverarbeiter-Liste, Review-Datum, Owner — quartalsweise reviewt per PR); ein Neuer-Vendor-Gate, bei dem CI ausgehende Egress-Ziele gegen das Register diffed; LLM-Anbieter als harter Fall — Prompts in Support, Sales oder HR sind personenbezogene Daten, und die Optionen von am besten verteidigbar zu am wenigsten lauten: selbst gehostete Open-Weights auf EU-Infrastruktur, EU-Region-API mit Datenresidenzzusage und No-Training-Opt-out, US-API mit DPF und Standardvertragsklauseln (die nicht verteidigbare Wahl ist die, bei der Sie nicht wissen, welche Sie getroffen haben); und jährliche Beweissammlung (SOC 2, ISO 27001, DSFAs, Vorfall-Meldungen) abgelegt dort, wo der DSB sie in unter zehn Minuten findet. Die versteckten Unterauftragsverarbeiter sind am wichtigsten — halten Sie die direkte Anbieterliste klein genug, dass deren Unterauftragsverarbeiter-Listen tatsächlich gelesen werden können.

Wie „by Design" in einer Mittelstands-Codebase tatsächlich aussieht

Die Kurzformel, die wir neuen Kunden mitgeben: Wenn morgen ein Prüfer hereinkäme — könnte Ihr Senior-Engineer, nicht Ihr Jurist, nicht Ihr DSB, diese fünf Fragen in unter fünfzehn Minuten beantworten? (1) Zeigen Sie mir jeden Ort, an dem personenbezogene Daten liegen, und die jeweilige Jurisdiction. (2) Zeigen Sie mir für diesen Testnutzer, in welche Zwecke er wann eingewilligt hat. (3) Löschen Sie diesen Testnutzer und weisen Sie nach, dass jeder Store, der seine Daten hielt, getroffen wurde. (4) Zeigen Sie mir, wer in den letzten 90 Tagen auf den Datensatz dieses Testnutzers zugegriffen hat und warum. (5) Zeigen Sie mir jeden Dritten, der jemals Daten dieses Testnutzers gesehen hat.

Leben diese Antworten im Code, in versionskontrollierter Konfiguration und in Logs — haben Sie Datenschutz durch Technikgestaltung. Leben sie in einem Ordner, haben Sie Datenschutz durch Papier. Die BDSG-Novelle 2024 (opens in new tab) und die deutsche Rechtsprechung zum Organisationsverschulden weisen beide in dieselbe Richtung: Dokumentation, die die Realität abbildet, und eine Realität, die von der Dokumentation geformt wird. Art. 25 ist eine Steuer auf jede Abkürzung, und die Steuer kumuliert sich. Zahlen Sie sie in der Architektur — oder im Bußgeldbescheid.

Weiterführende Literatur

• DLA Piper GDPR Fines and Data Breach Survey, Januar 2026 (opens in new tab) — die maßgebliche jährliche Bestandsaufnahme zu Bußgeldern und Datenpannen.
• CMS GDPR Enforcement Tracker (opens in new tab) und Enforcement Tracker Report 2025 (opens in new tab) — Fall-Daten, die wir für jede Datenschutz-Folgenabschätzung konsultieren.
• EDPB-Stellungnahme 28/2024 zu KI-Modellen und personenbezogenen Daten (opens in new tab) — der Drei-Schritt-Test, den jedes KI-Feature überstehen muss.
• Cloudflare-Dokumentation zur Data Localization Suite (opens in new tab) und das D1-Jurisdiction-Changelog (opens in new tab) — der aktuelle Stand der Residenz-Primitive auf Cloudflare.
• EuroCloud: German Courts on GDPR Fines Through 2025 (opens in new tab) — die Urteile Deutsche Wohnen, Hannover und Stuttgart, die die Behandlung von Mittelstandsbeklagten prägen.
• Zusammenfassung des 45-Mio.-€-Bußgelds gegen Vodafone Deutschland, EDPB National News (opens in new tab) — der Fall 2025, der die Kontrolle von Auftragsverarbeitern zurück auf die Backlogs aller Engineering-Teams gebracht hat.