Hilfe Center für SaaS

DSGVO-konforme Wissensdatenbank: Was DACH-SaaS-Teams wissen müssen

DSGVO-konform ist nicht dasselbe wie EU-Hosting. Praktischer Leitfaden zu Art. 28 DSGVO, AV-Vertrag, EU-US Data Privacy Framework und Tool-Auswahl. Mit Vergleichstabelle der wichtigsten KB-Tools nach Hosting, AV-Vertrag und Zertifizierung.
May 15, 2026
Henrik Roth
DSGVO konforme Wissensdatenbank, AV-Vertrag, EU-Hosting, Privacy Shield 2.0
TL;DR
  • DSGVO-konform ist nicht dasselbe wie EU-Hosting. Beweis ist der unterschriebene Auftragsverarbeitungsvertrag, nicht das Marketing-Versprechen.
  • Art. 28 DSGVO definiert acht Mindestbestandteile des AV-Vertrags: Weisungsbindung, Vertraulichkeit, Sicherheit, Sub-Auftragsverarbeiter, Mitwirkung, Compliance, Löschung, Audit-Rechte.
  • Seit Juli 2023 ersetzt das EU-US Data Privacy Framework (Privacy Shield 2.0) die alte Rechtsgrundlage. Nachfrage nach reinem EU-Hosting plus 28 Prozent seit dem Privacy-Shield-Aus (Proliance 2024).
  • Eine KB enthält mehr personenbezogene Daten als gedacht: Autoren-Metadaten, Kommentare, Suchanfragen, Chatbot-Konversationen, Screenshot-Inhalte. Alle DSGVO-relevant.
  • Häufigste Fehler: GDPR-Claim ohne AV-Vertrag, Sub-Auftragsverarbeiter nicht geprüft, Tracking-Cookies ungeprüft, AI-Features ohne Datenverarbeitungs-Klärung.
  • HappySupport: Hosting in Deutschland, AV-Vertrag standardmäßig, ISO 27001 in Vorbereitung, DOM-CSS-Recording reduziert Risiko versehentlich erfasster Kundendaten.

"Ist die Wissensdatenbank DSGVO-konform?" ist eine der häufigsten Fragen, die im DACH-SaaS-Markt zwischen Buying-Committee und IT-Security gestellt wird. Sie ist auch eine der am häufigsten falsch beantworteten, in beide Richtungen. Manche Vendor-Sales antworten "Ja, wir sind GDPR-compliant" und meinen damit "wir kennen die DSGVO", nicht "wir haben einen unterschriebenen Auftragsverarbeitungsvertrag und Server in der EU". Manche IT-Verantwortlichen lehnen Tools ab, die rechtlich problemlos einsetzbar wären, weil sie EU-Hosting mit DSGVO-Konformität verwechseln. Dieser Artikel sortiert beide Seiten.

Die DSGVO ist seit 2018 in Kraft, aber das Spielfeld hat sich 2023 verändert: Privacy Shield 2.0 (offiziell EU-US Data Privacy Framework) hat die rechtliche Basis für Datentransfers in die USA neu definiert. Wer heute ein neues KB-Tool kauft, muss aktuelle Anforderungen prüfen, nicht die von vor drei Jahren.

Typografisches Statement DSGVO Strafrahmen 2026, 20 Millionen EUR oder 4 Prozent Jahresumsatz, 72 Stunden Meldefrist

Was bedeutet DSGVO-konforme Wissensdatenbank?

DSGVO-konform bedeutet, dass die Software die fünf Kernpflichten der EU-Datenschutz-Grundverordnung erfüllt: rechtmäßige Verarbeitung personenbezogener Daten, Transparenz gegenüber Betroffenen, technische und organisatorische Maßnahmen zum Datenschutz, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwischen Verantwortlichem (Customer) und Auftragsverarbeiter (Vendor), sowie nachvollziehbare Speicher- und Löschprozesse. Eine Wissensdatenbank ist DSGVO-konform einsetzbar, wenn diese fünf Bedingungen erfüllt sind, unabhängig davon, wo die Server stehen.

Die häufigste Verwechslung: "EU-Hosting" und "DSGVO-konform" sind nicht dasselbe. EU-Hosting (Hetzner in Falkenstein, OVHcloud in Frankfurt, AWS eu-central-1) ist die einfachste Variante, aber nicht die einzige. Auch ein US-gehosteter Vendor kann DSGVO-konform sein, wenn er sich an das EU-US Data Privacy Framework hält, einen sauberen AV-Vertrag bietet und Standardvertragsklauseln (SCC) für Backup-Szenarien hinterlegt. Umgekehrt kann ein EU-gehosteter Vendor scheitern, wenn er Sub-Auftragsverarbeiter in den USA hat und das nicht offenlegt.

Die DSGVO sieht Bußgelder von bis zu 20 Mio EUR oder 4 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist (laut GDPR.eu). Dieselbe Quelle nennt eine Frist von 72 Stunden für die Meldung von Datenpannen. Diese Zahlen sind keine theoretischen Drohungen, sondern werden seit 2020 regelmäßig verhängt, auch gegen Mittelstand und SaaS-Vendoren.

Welche personenbezogenen Daten landen in einer Wissensdatenbank?

Eine Wissensdatenbank wirkt zunächst harmlos: es sind doch nur How-to-Artikel und FAQ. In der Praxis enthält sie aber mehrere Kategorien personenbezogener Daten, die alle der DSGVO unterliegen.

  1. Autoren-Metadaten. Wer hat den Artikel geschrieben, wann zuletzt bearbeitet. Name, E-Mail, oft Profilbild.
  2. Kommentare und Feedback. Wenn Endkunden Artikel bewerten oder kommentieren, entstehen weitere personenbezogene Daten.
  3. Suchanfragen und Analytics. Was Endkunden in der KB suchen, wann, von welcher IP. Klassische Tracking-Daten, die unter DSGVO einwilligungspflichtig sein können.
  4. Chatbot-Konversationen. Wenn ein AI-Chatbot auf die KB zugreift und mit Nutzern chattet, werden alle Eingaben verarbeitet.
  5. Screenshot-Inhalte. Hilfeartikel mit Screenshots können versehentlich echte Kundennamen, E-Mails oder andere personenbezogene Daten zeigen, wenn das Test-Setup nicht sauber ist.
  6. Support-Ticket-Referenzen. Manche KB-Tools verlinken zu echten Ticket-IDs, die wiederum Kundendaten enthalten.

Die strenge Lesart der DSGVO behandelt jedes dieser Datenfelder als zu schützenden Bestand. In der Praxis konzentrieren sich Auditoren auf die ersten drei Kategorien, weil sie am häufigsten Compliance-Lücken offenlegen.

Die fünf DSGVO-Pflichten für KB-Software

Pflicht 1: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Der AV-Vertrag (im internationalen Kontext DPA, Data Processing Agreement) regelt, unter welchen Bedingungen der KB-Vendor Daten im Auftrag des Kunden verarbeitet. Ohne unterschriebenen AV-Vertrag ist die Nutzung jeder cloud-basierten KB-Software in Deutschland formal nicht DSGVO-konform. Mehr im nächsten Abschnitt.

Pflicht 2: Technische und organisatorische Maßnahmen (TOM)

Verschlüsselte Übertragung (TLS 1.2 oder höher), verschlüsselte Speicherung (AES-256), Zugriffsbeschränkungen, Backup-Prozesse, Pseudonymisierung wo möglich. Der Vendor muss die TOMs dokumentieren und vorlegen können. ISO 27001 oder BSI C5 sind anerkannte Zertifizierungen, die TOM-Dokumentation deutlich vereinfachen.

Pflicht 3: Privacy by Design und Privacy by Default

Art. 25 DSGVO verlangt, dass Datenschutz in das Produkt eingebaut ist, nicht als Add-on. Default-Einstellungen müssen privacy-friendly sein, unnötige Analytics-Daten dürfen nicht standardmäßig erhoben werden. Für eine KB heißt das konkret: Tracking-Cookies sind opt-in, nicht opt-out. Suchanfragen werden anonymisiert gespeichert, wenn möglich. Personenbezogene Felder in Artikeln sind klar markiert.

Pflicht 4: Transparenz gegenüber Betroffenen

Die Datenschutzerklärung des Customers muss die KB-Software als Auftragsverarbeiter nennen, mit Sitz, Rechtsgrundlage und Zweck der Verarbeitung. Wenn der Vendor Sub-Auftragsverarbeiter einsetzt (zum Beispiel AWS als Hoster), müssen auch diese aufgeführt werden. 80 Prozent der Datenschutzverletzungen gehen auf kompromittierte Anmeldedaten zurück (laut heydata DSGVO-Guide), und transparente Vendor-Listen sind die einzige Möglichkeit, im Schadensfall die Verantwortungskette nachzuvollziehen.

Pflicht 5: Löschung und Datenportabilität

Beim Vertragsende muss der Vendor alle Daten löschen oder zurückgeben. Während der Vertragslaufzeit haben Betroffene Recht auf Auskunft, Berichtigung und Löschung (Art. 15, 16, 17 DSGVO). Die KB-Software muss diese Anfragen technisch unterstützen, ein Export-Knopf und ein dokumentierter Löschprozess sind das Minimum.

Drei legale Wege für KB-Daten-Transfer 2026, EU-Hosting gegen DPF-Zertifizierung gegen SCC plus Transfer Impact Assessment

Auftragsverarbeitungsvertrag (AV-Vertrag) im Detail

Der AV-Vertrag ist das wichtigste Compliance-Artefakt im KB-Buying-Cycle. Die acht Mindestbestandteile nach Art. 28 DSGVO und gängiger Auslegung (laut GDPR.eu DPA-Leitfaden):

  • Weisungsbindung. Der Vendor verarbeitet Daten ausschließlich nach dokumentierten Weisungen des Customers.
  • Vertraulichkeit. Alle Mitarbeitenden des Vendors, die Zugriff auf Daten haben, sind zur Vertraulichkeit verpflichtet.
  • Sicherheit. Geeignete technische und organisatorische Maßnahmen sind beschrieben und werden eingehalten.
  • Unterauftragsverarbeiter. Der Vendor darf keine weiteren Auftragsverarbeiter einsetzen ohne Zustimmung des Customers und ohne entsprechenden Vertrag mit dem Sub-Verarbeiter.
  • Mitwirkung bei Betroffenenrechten. Der Vendor unterstützt den Customer bei Anfragen von Betroffenen (Auskunft, Berichtigung, Löschung).
  • Mitwirkung bei Compliance. Der Vendor unterstützt den Customer bei der Erfüllung weiterer DSGVO-Pflichten, einschließlich Datenschutz-Folgenabschätzung.
  • Löschung oder Rückgabe. Bei Vertragsende werden alle Daten gelöscht oder zurückgegeben.
  • Audit-Rechte. Der Customer darf die Einhaltung des Vertrags prüfen, durch Vor-Ort-Audits, schriftliche Anfragen oder Reports.

In der Praxis bieten alle großen KB-Vendoren Standard-AV-Verträge an. Document360 hat einen, HappySupport hat einen, Zendesk und Intercom haben einen. Der Unterschied liegt im Detail: welche Sub-Auftragsverarbeiter werden gelistet, welche Audit-Rechte werden gewährt, welche Löschfristen werden zugesagt. Mehr Hintergrund in unserem Artikel zur Help-Center-Pflege ohne Doku-Team, der dieselben Compliance-Aspekte aus Prozess-Sicht beschreibt.

EU-Hosting vs Drittland nach Privacy Shield 2.0

Das EU-US Data Privacy Framework (oft als "Privacy Shield 2.0" bezeichnet) ist seit Juli 2023 in Kraft. Es ersetzt das 2020 vom EuGH gekippte Privacy Shield 1.0 und schafft eine neue Rechtsgrundlage für Datentransfers zwischen EU und USA. US-Vendoren, die unter dem DPF zertifiziert sind, dürfen wieder Daten aus der EU empfangen, ohne dass jeder einzelne Transfer mit Standardvertragsklauseln abgesichert werden muss.

Die praktische Konsequenz für KB-Software:

  1. EU-gehostete Tools. Hetzner, OVHcloud, AWS eu-central-1, Azure West Europe als Hosting-Plattformen. Compliance-Aufwand minimal, AV-Vertrag standardmäßig vorhanden, keine SCC nötig.
  2. US-gehostete Tools mit DPF-Zertifizierung. AWS us-east-1, Azure US, Google Cloud US. Mit DPF-Zertifizierung des Vendors einsetzbar, aber die Liste der DPF-zertifizierten Unternehmen sollte vor Vertragsschluss geprüft werden (dataprivacyframework.gov).
  3. US-gehostete Tools ohne DPF. Nur mit Standardvertragsklauseln und Transfer Impact Assessment (TIA) einsetzbar. Hoher Aufwand, in der Praxis meist nicht durchführbar für Mittelstand.

Laut Proliance-Report 2024 ist die Nachfrage nach reinem EU-Hosting seit dem Privacy-Shield-Aus um 28 Prozent gestiegen. Das ist nicht primär ein DSGVO-Effekt, sondern eine Risiko-Aversion: EU-Hosting ist die einfachere, dokumentierfähige Variante. Wenn ein Audit kommt, ist "Server in Frankfurt" eine kürzere Antwort als "DPF-zertifizierter Vendor mit SCC-Fallback und TIA".

KB-Tools im Vergleich: Wer erfüllt was?

Diese Übersicht basiert auf öffentlichen Trust-Center-Seiten und AV-Vertragsvorlagen Stand Mai 2026. Sie ist als Recherche-Startpunkt gedacht, nicht als rechtliche Bewertung.

Tool Hosting AV-Vertrag Zertifizierung
HappySupportEU (Deutschland)Ja, StandardISO 27001 in Vorbereitung
Document360USA (Azure), EU optionalJa, StandardSOC 2 Type II, ISO 27001
Zendesk GuideUSA, EU optionalJa, DPF-zertifiziertSOC 2 Type II, ISO 27001
Intercom ArticlesUSA, EU als Add-onJa, DPF-zertifiziertSOC 2 Type II, ISO 27001
HelpjuiceUSA (AWS)Ja, auf AnfrageSOC 2
Confluence CloudEU verfügbar (Premium)Ja, StandardISO 27001, SOC 2
NotionUSA, kein EU-HostingJa, DPF-zertifiziertSOC 2 Type II

Wichtig: keine Zertifizierung ersetzt den unterschriebenen AV-Vertrag. ISO 27001 zeigt nur, dass der Vendor ein dokumentiertes Information Security Management System (ISMS) hat. DSGVO-Konformität ist eine zusätzliche, eigene Prüfung.

DSGVO Compliance Matrix Help Center Tools 2026, HappySupport Document360 Zendesk Intercom Notion nach Hosting AV-Vertrag und Zertifizierung

Häufige Compliance-Fehler bei der KB-Auswahl

  1. "GDPR compliant" auf der Website als Beweis akzeptieren. Marketing-Text ist kein Rechtsdokument. Der unterschriebene AV-Vertrag ist der Beweis.
  2. Sub-Auftragsverarbeiter nicht prüfen. Wenn der Vendor AWS, Datadog, OpenAI oder andere Dienste nutzt, sind diese Sub-Verarbeiter. Sie müssen im AV-Vertrag gelistet sein.
  3. EU-Hosting mit DSGVO-Konformität gleichsetzen. EU-Hosting hilft, ersetzt aber weder den AV-Vertrag noch die TOM-Dokumentation.
  4. Tracking-Cookies in der KB nicht prüfen. Wenn die KB Google Analytics oder Hotjar lädt, ist das einwilligungspflichtig. Viele KB-Software-Standard-Setups verletzen das.
  5. AI-Features unkritisch aktivieren. Wenn der eingebaute AI-Chatbot Daten zu OpenAI oder Anthropic schickt, muss das im AV-Vertrag stehen und der Sub-Verarbeiter geprüft werden. Mehr in unserem Artikel zu KI-Chatbots in der Wissensdatenbank.
  6. Backups vergessen. Wenn der EU-Hauptserver in Frankfurt steht, das Backup aber in den USA, ist der Transfer zu prüfen.
  7. Wartungs-Risiken unterschätzen. Eine veraltete Wissensdatenbank, die personenbezogene Daten zeigt, die längst gelöscht sein sollten, ist auch ein DSGVO-Risiko. Mehr im Artikel zur Veralterung von Dokumentation.

HappySupport im Kontext

HappySupport ist für den DACH-Markt gebaut: deutsches Hosting (Hetzner Falkenstein), deutscher Sitz, AV-Vertrag standardmäßig im Onboarding-Prozess, ISO 27001 in Vorbereitung. Die DOM- und CSS-basierte Recording-Architektur hat einen unterschätzten Compliance-Vorteil: Screenshots, die personenbezogene Daten aus dem Test-Setup zeigen (Testkunden-E-Mails, echte Namen aus der Staging-Umgebung), werden nicht erfasst, weil das System CSS-Selektoren aufzeichnet, keine Pixel. Das reduziert das Risiko, dass eine Hilfe-Seite versehentlich Daten zeigt, die nach Art. 17 DSGVO längst gelöscht sein sollten. Mehr Hintergrund in unserer Übersicht zur selbst-aktualisierenden Wissensdatenbank und im Artikel zur GitHub-Sync-Architektur.

FAQs

Was bedeutet DSGVO-konforme Wissensdatenbank?
DSGVO-konform heißt, dass die Software fünf Kernpflichten erfüllt: rechtmäßige Verarbeitung, Transparenz, technische und organisatorische Maßnahmen, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und nachvollziehbare Speicher- und Löschprozesse. EU-Hosting allein reicht nicht. Der unterschriebene AV-Vertrag ist das wichtigste Compliance-Artefakt.
Brauche ich einen AV-Vertrag für meine Wissensdatenbank-Software?
Ja, sobald die Software cloud-basiert ist und personenbezogene Daten verarbeitet (Autoren-Metadaten, Kommentare, Suchanfragen, Chatbot-Konversationen). Ohne unterschriebenen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist der Einsatz formal nicht konform. Alle großen KB-Vendoren bieten Standard-AV-Verträge an, der Unterschied liegt in Sub-Auftragsverarbeitern, Audit-Rechten und Löschfristen.
Muss meine Wissensdatenbank in der EU gehostet sein?
Nicht zwingend. Seit Juli 2023 ist das EU-US Data Privacy Framework (Privacy Shield 2.0) in Kraft, das Transfers in die USA wieder ermöglicht, wenn der Vendor DPF-zertifiziert ist. EU-Hosting ist die einfachere, dokumentierfähige Variante. US-Hosting ist möglich, erfordert aber DPF-Zertifizierung des Vendors oder Standardvertragsklauseln plus Transfer Impact Assessment.
Welche Strafen drohen bei DSGVO-Verstößen?
Bußgelder bis zu 20 Mio EUR oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Datenpannen müssen innerhalb von 72 Stunden gemeldet werden. Über 80 Prozent der Datenschutzverletzungen gehen auf kompromittierte Anmeldedaten zurück (heydata, 2024). Strafen werden seit 2020 regelmäßig auch gegen Mittelstand und SaaS-Vendoren verhängt.
Welche KB-Tools sind in DACH am ehesten DSGVO-konform einsetzbar?
Tools mit EU-Hosting und Standard-AV-Vertrag haben den geringsten Compliance-Aufwand: HappySupport (Hosting in Deutschland), Confluence Cloud Premium (EU-Region), Document360 Enterprise mit EU-Option. US-gehostete Tools wie Zendesk, Intercom und Notion sind mit DPF-Zertifizierung einsetzbar, erfordern aber eine sorgfältige Prüfung der Sub-Auftragsverarbeiter und der Datenflüsse.
GDPR compliant auf der Website ist Marketing-Text, kein Rechtsdokument. Der unterschriebene Auftragsverarbeitungsvertrag ist der Beweis.
Henrik Roth, CMO HappySupport
Inhaltsverzeichniss

    Henrik Roth

    Co-Founder & CMO von HappySupport

    Henrik hat neuroflash von frühen PLG-Experimenten auf 500k+ Besucher pro Monat und 3,5 Mio. € ARR skaliert. Danach hat er das Produkt neu positioniert und es 2024 zur bestbewerteten Software Deutschlands auf OMR Reviews gemacht. Vor SaaS hat er BeWooden von null auf siebenstelligen E-Commerce-Umsatz aufgebaut. Bei HappySupport löst er jetzt mit Co-Founder Niklas Gysinn das Problem, das ihm in jedem Unternehmen begegnet ist: Dokumentation, die veraltet, sobald Entwickler neuen Code pushen.

    Vereinbare eine Demo mit Henrik

    Ähnliche Beiträge

    Intern
    HappySupport schließt Pre-Seed-Runde: Wir bauen die Dokumentations-Schicht für die KI-Ära
    May 19, 2026
    9 Minuten
    DSGVO konforme Wissensdatenbank, AV-Vertrag, EU-Hosting, Privacy Shield 2.0
    Hilfe Center für SaaS
    DSGVO-konforme Wissensdatenbank: Was DACH-SaaS-Teams wissen müssen
    May 17, 2026
    10 minutes
    Mehrsprachige Wissensdatenbank aufbauen, DACH-Sprachpfad, Freshness-Prozess
    Doku für KI Agenten
    Mehrsprachige Wissensdatenbank: Freshness zuerst, Übersetzung danach
    May 17, 2026
    10 minutes
    Marktübersicht Dokumentation Software 2026, vier Tool-Familien
    Doku für KI Agenten
    Dokumentation Software 2026: Vier Tool-Familien, eine Entscheidung
    May 17, 2026
    11 minutes
    Interne Wissensdatenbank Software Marktuebersicht
    Doku für KI Agenten
    Interne Wissensdatenbank Software: Marktübersicht 2026
    May 17, 2026
    10 minutes
    Self-Service Wissensdatenbank Kundensupport aufbauen
    Self-Service Lösungen
    Self-Service Wissensdatenbank für den Kundensupport aufbauen
    May 17, 2026
    11 minutes

    Mach dein Help Center happy. Mit HappySupport.

    Persönliches Onboarding mit den Gründern. VIP Slack-Channel. Early-Access-Preise.
    Jetzt Demo vereinbaren
    Termin vereinbaren
    Das Help Center, das mit deinem Produkt mithält
    Automatisch synchronisiert über GitHub. Die immer aktuelle Datenbasis für dein Ticketsystem, deinen Chatbot und dein In-App-Widget.
    Wähle deine Sprache:
    English
    Deutsch
    Lernen
    Blog
    Hilfe Center für SaaS
    Self-Service Lösungen
    Doku für KI Agenten
    Pflegedokumentation
    Über uns
    Team
    Step-by-Step Recorder
    Fakten
    RECHTLICHES
    Kontakt
    AGB
    Datenschutz
    Impressum

    2026 © Alle Rechte vorbehalten.