SaaS-Sicherheitsfragebogen für kleine Teams vor dem Tool-Kauf

TL;DR

Kleine Teams brauchen für nicht jedes SaaS-Tool einen Konzernfragebogen mit 200 Punkten. Sie brauchen aber ein wiederholbares Verfahren, um zu prüfen: Kann dieser Anbieter die Daten und Prozesse schützen, die wir ihm anvertrauen wollen?

Nutzen Sie diesen Fragebogen, wenn ein Tool Kundendaten, Beschäftigtendaten, Rechnungen, Verträge, Support-Tickets, Aufzeichnungen, Zugangsdaten, Quellcode oder interne Dokumente verarbeitet. Ziel ist nicht, Anbieter zu bewerten oder perfekte Nachweise zu erzwingen. Ziel ist eine nachvollziehbare Entscheidung vor Vertragsschluss und Datenmigration.

Der praktische Ablauf:

• Daten, Nutzer, Integrationen und Geschäftsauswirkung intern klassifizieren.
• Gezielte Fragen zu Datenschutz, Zugriffen, Resilienz, Vorfällen und Lieferkette stellen.
• Nachweisen folgen: AVV, Unterauftragsverarbeiter, Security-Dokumentation, Auditberichte oder klare Kontrollbeschreibungen.
• Bei geringem Risiko pragmatisch bleiben, bei personenbezogenen Daten, Finanzen, Identität, Produktion oder Kundensupport langsamer werden.

Dieser Leitfaden ist keine Rechtsberatung, enthält keine Anbieter-Ratings und behauptet keine Tests.

Szenario: Das Einkaufsproblem kleiner Teams

Ein Team mit zwölf Personen braucht ein neues Helpdesk, ein KI-Notiztool, eine HR-App, Projektmanagement oder eine Lösung für e-Rechnung und Finanzprozesse. Die Geschäftsführung will Tempo. Operations will eine saubere Einführung. IT-Sicherheit und Datenschutz liegen bei einer Person, die ohnehin schon mehrere Rollen hat. Dann fragt ein Kunde: Wo werden unsere Daten gehostet? Gibt es einen AVV? Wer kann Support-Tickets sehen?

Typische Lücken entstehen schnell: geteilte Admin-Konten, unklare Support-Zugriffe, zu breite Kalender- oder Postfachrechte, unbekannte Unterauftragsverarbeiter, kein Exportplan und Vertragsprüfung erst nach der Migration.

Ein guter Fragebogen soll kleine Anbieter nicht aussortieren, nur weil sie weniger Compliance-Politur haben. Er soll zeigen, ob der Anbieter für Ihren konkreten Einsatz sicher, rechtlich passend und betrieblich verlässlich genug ist.

Zuerst den eigenen Einsatz klassifizieren

Beantworten Sie intern vier Fragen:

• Daten: Was verarbeitet das Tool? Namen, E-Mails, Rechnungen, HR-Daten, Gesundheitsdaten, Quellcode, Verträge, Aufzeichnungen, API-Schlüssel?
• Zugriff: Wer kann sich anmelden? Admins, Dienstleister, Gäste, Service-Accounts, Integrationen?
• Auswirkung: Was passiert bei Ausfall, Datenabfluss, Datenverlust oder schwierigem Anbieterwechsel?
• Rolle: Verarbeitet der Anbieter personenbezogene Daten in Ihrem Auftrag oder handelt er teilweise selbst als Verantwortlicher?

Wenn ein SaaS-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, ist in der Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Er sollte Weisungen, Vertraulichkeit, technische und organisatorische Maßnahmen, Unterauftragsverarbeiter, Unterstützung bei Betroffenenrechten, Löschung oder Rückgabe und Nachweismöglichkeiten regeln. Eine Datenschutzerklärung allein ersetzt keinen AVV.

Anbieterfragen: gute Antworten und Warnzeichen

1. Welche Daten verarbeitet Ihr Dienst für unser Konto?

Gut: Der Anbieter unterscheidet Stammdaten, Inhaltsdaten, Telemetrie, Abrechnung, Support-Zugriffe und Integrationsdaten. Pflichtdaten und optionale Daten sind klar.

Kritisch: „Standarddaten“ ist die Antwort, oder der Anbieter kann nicht erklären, ob Mitarbeitende Kundeninhalte sehen können.

2. Wo werden Daten gehostet, gesichert und abgerufen?

Gut: Hosting-Regionen, Infrastruktur-Provider, Backup-Standorte, Support-Zugriffe und Datenresidenz-Optionen werden beschrieben. Bei EU-Hosting werden Ausnahmen erklärt.

Kritisch: „In der Cloud“ ist die vollständige Antwort. EU-Hosting wird beworben, aber Logs, Backups, Support und Analysewerkzeuge bleiben unklar.

3. Gibt es AVV und Unterauftragsverarbeiterliste?

Gut: Der AVV ist vor dem Kauf verfügbar, enthält DSGVO-nahe Art.-28-Regelungen und verweist auf eine aktuelle Liste der Unterauftragsverarbeiter mit Änderungsprozess.

Kritisch: Die Datenschutzerklärung soll den AVV ersetzen, Unterauftragsverarbeiter werden nicht offengelegt oder der AVV kommt erst nach Vertragsschluss.

4. Wie wird Mitarbeiter- und Support-Zugriff begrenzt?

Gut: Rollenbasierte Rechte, Least Privilege, MFA, Protokollierung, Zugriffsreviews und zeitlich begrenzter oder freigegebener Support-Zugriff auf sensible Daten.

Kritisch: Gemeinsame Admin-Zugänge, keine Logs, keine Reviews oder Aussagen wie „nur vertrauenswürdige Mitarbeitende“ ohne konkrete Kontrollen.

5. Welche Kontrollen können Kunden erzwingen?

Gut: Admin-MFA, Rollen, sichere Einladungen, Sitzungsverwaltung, Audit-Logs und bei höherem Risiko SSO oder SCIM.

Kritisch: Admin-MFA oder Audit-Logs fehlen, oder grundlegende Sicherheitsfunktionen liegen nur in einem unrealistisch teuren Tarif.

6. Wie werden Integrationen und APIs abgesichert?

Gut: Möglichst enge OAuth-Scopes oder scoped Tokens, Widerruf einzelner Tokens, Rotation, signierte Webhooks, Rate Limits und klare Rechte-Dokumentation.

Kritisch: Dauerhafte Vollzugriffs-API-Schlüssel, kein selektiver Widerruf oder Integrationen mit mehr Rechten als nötig.

7. Wie laufen Schwachstellenmanagement und Incident Response?

Gut: Der Anbieter beschreibt Schwachstellenannahme, Patching, Schweregrade, Kundenbenachrichtigung, Incident-Rollen und Nachbereitung.

Kritisch: Kein Security-Kontakt, keine Benachrichtigungszusage oder „wir hatten noch nie einen Vorfall“ als Ersatz für einen Prozess.

8. Wie funktionieren Export, Löschung, Backup und Restore?

Gut: Backup-Frequenz, Wiederherstellungstests, Exportformate, Löschfristen und Vertragsende sind erklärt.

Kritisch: Kein praktikabler Export, vage Löschung, unbegrenzte Backup-Aufbewahrung oder Exit-Bedingungen, die einen Wechsel erschweren.

9. Welche Nachweise können Sie teilen?

Gut: SOC 2, ISO 27001, Penetrationstest-Zusammenfassung, Security-Whitepaper, Trust Center oder Kontrollmapping, zum Beispiel entlang der CSA Cloud Controls Matrix.

Kritisch: Abgelaufene Badges, Compliance-Slogans statt Kontrollen oder keine belastbare Evidenz bei einem risikoreichen Einsatz.

10. Wie steuern Sie Ihre Lieferkette?

Gut: Kritische Dienstleister werden geprüft, Abhängigkeiten verfolgt, Produktionszugriffe begrenzt und Subprozessor-Änderungen gesteuert. CISA erinnert daran, dass SaaS-Risiko auch Anbieter, Infrastruktur, Code und Betriebsprozesse umfasst.

Kritisch: Kritische Lieferanten sind unbekannt, Abhängigkeiten werden nicht verfolgt oder „unser Cloud-Provider macht Sicherheit“ ist die ganze Antwort.

Schnelle Bewertungstabelle

Lokale Nuance: DSGVO, AVV, EU-Hosting und e-Rechnung

Für deutsche und europäische Teams geht es nicht nur um Sicherheit, sondern um zulässige Nutzung. Bei Auftragsverarbeitung sind AVV, technische und organisatorische Maßnahmen, Unterauftragsverarbeiter, Löschung und mögliche Drittlandtransfers zu prüfen.

EU-Hosting ist hilfreich, aber kein Freifahrtschein. Support, Telemetrie, Monitoring, Backups oder Subprozessoren können trotzdem außerhalb der EU relevant sein. Bei e-Rechnung, Buchhaltung und steuerlich relevanten Unterlagen zählen zusätzlich Aufbewahrung, Exportfähigkeit, Rollenrechte und nachvollziehbare Prozesse. Das spricht nicht automatisch gegen SaaS, aber für bessere Fragen vor dem Rollout.

Methodik und Evidenz

Dieser Leitfaden ist ein Käufer-Workflow, kein Anbieter-Ranking. Er stützt sich auf:

• GDPR / DSGVO Art. 28 für Anforderungen an Auftragsverarbeitung.
• CISA ICT Supply Chain Security für Lieferketten- und Abhängigkeitsrisiken.
• CSA Cloud Controls Matrix v4 für Cloud-Kontrollbereiche.
• ENISA Cloud Security Guide for SMEs für kleinere Unternehmen bei Cloud-Nutzung.

Es wurden keine Anbieter getestet. Kombinieren Sie den Fragebogen mit Vertragsprüfung, konkreter Konfiguration, Datenschutzbewertung und Risikobereitschaft.

Trade-offs für kleine Teams

Vertretbare Kompromisse können sein: Standard-Security-Pack statt vollständigem Auditbericht bei risikoarmen Daten, Pilot mit begrenzten Daten, MFA ohne SSO, deaktivierte Integrationen bis zur Rechteklärung oder manueller Export bei nicht kritischen Tools.

Schlechte Kompromisse sind: sensible Daten ohne AVV verarbeiten lassen, weitreichende Postfach-, Kalender-, Repository- oder Finanzrechte ohne Prüfung gewähren, fehlende Admin-MFA ignorieren oder Sicherheitsfragen erst nach der Migration stellen.

FAQ

Wie viele Fragen sollte ein kleines Team stellen?

Bei risikoarmen Tools reichen oft 10 bis 15 gezielte Fragen. Bei Kundendaten, Beschäftigtendaten, Zahlungen, Identität, Finanzen oder produktionsnahen Prozessen ist mehr Evidenz nötig.

Sind SOC 2 oder ISO 27001 Pflicht?

Nicht immer. Unabhängige Nachweise helfen, aber ein fehlendes Zertifikat disqualifiziert ein Tool nicht automatisch. Entscheidend sind Datenrisiko, Vertragslage, Kontrollen und alternative Nachweise.

Was tun, wenn der Anbieter keinen Fragebogen ausfüllt?

Fragen Sie nach Trust Center, Security-Pack, AVV, Unterauftragsverarbeiterliste oder vorhandenen Kontrollantworten. Gibt es bei hohem Risiko gar keine Evidenz, ist das ein Beschaffungsrisiko.

Reicht EU-Hosting für DSGVO-Konformität?

Nein. Prüfen Sie Support-Zugriffe, Subprozessoren, Logs, Telemetrie, Backups, Löschung und Transfermechanismen.

Wer sollte die Prüfung verantworten?

Benennen Sie eine verantwortliche Person, meist mit Input aus Fachbereich, Operations, IT/Security und Datenschutz oder Legal.

Vorschläge für interne Links

• Vendor Due Diligence für kleine Unternehmen.
• AVV- und Unterauftragsverarbeiter-Checkliste.
• SaaS-Zugriffskontrollen: MFA, SSO, Rollen und Audit-Logs.
• Vorlage für Software-Beschaffungsrisikobewertung.
• SaaS-Exit planen: Export, Löschung und Vertragsende.