SaaS / Cloud-Plattform
Sie verarbeiten Daten anderer? Das ändert alles.
SaaS-Plattformen sind Auftragsverarbeiter gemäß DSGVO und potenzielle wesentliche/wichtige Einrichtungen gemäß NIS2. Sie benötigen AVVs, Incident Response und ggf. sektorspezifische Compliance.
Realitätscheck
Wenn Ihr größter Kunde heute Ihren SOC-2-Bericht und Auftragsverarbeitungsvertrag anfordert – könnten Sie liefern?
GDPR (General Data Protection Regulation)
mandatory Art. 28, Art. 30(2), Art. 32, Art. 33(2)Ihre Pflichten
- Auftragsverarbeitungsvertrag (Art. 28) für jeden Kunden
- Unterauftragsverarbeiter-Management und Benachrichtigung
- Meldung von Datenschutzverletzungen an den Verantwortlichen ohne unangemessene Verzögerung
- Technische und organisatorische Maßnahmen dokumentiert (Art. 32)
- Datenschutz-Folgenabschätzung bei Verarbeitungen mit hohem Risiko
- Verzeichnis von Verarbeitungstätigkeiten als Auftragsverarbeiter (Art. 30 Abs. 2)
SiteGuardian überwacht dies
- TLS/HTTPS-Verschlüsselungsüberwachung
- Cookie-Consent-Erkennung (Playwright)
- Analyse der Security-Header
- Prüfung der E-Mail-Transportverschlüsselung
- SLA-Tracking für Meldung von Datenpannen (72 Std.)
- Digitale AVV-Unterzeichnung
Risiko bei Nichtbeachtung
Verlust von Unternehmenskunden, die AVVs verlangen. Gemeinsame Haftung mit Verantwortlichen. Bußgelder bis zu 4 % des Umsatzes.
NIS2 Directive (Cybersecurity)
mandatory Art. 21, Art. 23Ihre Pflichten
- Cloud-Computing-Anbieter sind wesentliche Einrichtungen
- Risikomanagementmaßnahmen (Art. 21) verpflichtend
- Vorfallmeldung: 24 Std. Frühwarnung, 72 Std. Benachrichtigung
- Lieferkettensicherheit für Abhängigkeiten
- Verantwortlichkeit der Leitungsorgane
SiteGuardian überwacht dies
- SLA für Vorfallmeldung (24 Std./72 Std./1 Mon.)
- DNSSEC- und DNS-Sicherheitsüberwachung
- Security-Header und TLS-Durchsetzung
- Uptime- und Verfügbarkeitsüberwachung
- Risikobewertung der Lieferkette
- Automatische Vorfallklassifizierung (NIS2 Art. 23)
Risiko bei Nichtbeachtung
Cloud-/SaaS-Anbieter ausdrücklich im NIS2-Anwendungsbereich. Bußgelder bis zu 10 Mio. €. Persönliche Haftung der Geschäftsführung.
Cyber Resilience Act (CRA)
conditional Art. 10, Art. 11, Art. 13Ihre Pflichten
- Security by Design für Produkte mit digitalen Elementen
- Pflichten zur Schwachstellenbehandlung und -offenlegung
- Sicherheitsupdates für die erwartete Lebensdauer des Produkts
- Bereitstellung einer Software-Stückliste (SBOM)
SiteGuardian überwacht dies
- Überwachung von TLS-Version und Cipher-Suites
- Prüfung der Security-Header-Durchsetzung
- Validierung der Zertifikatskette und Ablaufdaten
Risiko bei Nichtbeachtung
Produkte werden vom EU-Markt ausgeschlossen. Bußgelder bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
European Accessibility Act (EAA)
mandatory Art. 4, Art. 13, Art. 31Ihre Pflichten
- WCAG 2.2 AA für alle nutzerseitigen Oberflächen
- Barrierefreie Dokumentation und Einführung (Onboarding)
- Alternative Zugangsmethoden für Nutzer mit Behinderungen
SiteGuardian überwacht dies
- WCAG 2.2 Level AA Konformitätsprüfung
- Automatische Barrierefreiheitsbewertung
- Aufschlüsselung nach Schweregrad und Behebungshinweise
- Tägliche Barrierefreiheitsscans
Risiko bei Nichtbeachtung
B2B-SaaS, das von Mitarbeitern genutzt wird, fällt unter das Barrierefreiheitsstärkungsgesetz. Öffentliche Vergabe erfordert Barrierefreiheit.
Betrifft Sie das?
Wenn Sie zwei oder mehr Fragen mit Ja beantworten, gelten diese Vorschriften mit hoher Wahrscheinlichkeit für Ihr Unternehmen.
Sehen Sie, wo Sie stehen
Unser kostenloser Scanner überprüft den Sicherheitsstatus Ihrer Website, SSL, Header, E-Mail-Authentifizierung und mehr. Kein Konto erforderlich.
Scannen Sie die Sicherheit Ihrer PlattformDiese Seite enthält allgemeine Informationen zu EU-Regulierungsrahmen. Sie stellt keine Rechtsberatung dar. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an einen qualifizierten Rechtsberater. SiteGuardian dokumentiert Ihr Monitoring kontinuierlich — die Einhaltung der Vorschriften liegt in der Verantwortung Ihres Unternehmens.