Wer ein Kundenportal, eine Buchungs-App oder ein kleines CRM für seine Kunden baut, stößt schnell auf eine ganz reale Frage: die DSGVO-Konformität — auch ohne Rechtsabteilung oder eigenen Anwalt. Dieser Leitfaden erklärt in klarer Sprache, was die DSGVO von einer kleinen Business-App tatsächlich verlangt, was sich ändert, wenn man mit einer No-Code- oder KI-Plattform baut, und liefert eine praktische Checkliste zum Selbst-Durchgehen. Das ist eine pädagogische Einordnung, keine Rechtsberatung: Bei regulierten Branchen (Gesundheit, Finanzen, Daten von Minderjährigen) oder größerer Verarbeitung solltest du vor dem Launch mit einem Anwalt oder einem Datenschutzbeauftragten sprechen.
Verantwortlicher vs. Auftragsverarbeiter: die eine Unterscheidung, die alles klärt
Die DSGVO basiert auf einer einfachen, aber oft verwirrenden Aufteilung. Der Verantwortliche entscheidet, warum und wie personenbezogene Daten verarbeitet werden — das bist in der Regel du selbst, wenn du in deiner App Namen, E-Mails oder Buchungen deiner Kunden erfasst. Ein Auftragsverarbeiter verarbeitet diese Daten im Auftrag und nach Anweisung des Verantwortlichen — das ist jedes Tool, das du einbindest: deine No-Code-/KI-Plattform, dein Hosting-Anbieter, deine Datenbank, dein E-Mail-Tool, dein Zahlungsdienstleister. Diese Unterscheidung ist aus einem sehr praktischen Grund wichtig: Sie zeigt, wer wofür verantwortlich ist, und deshalb solltest du von jedem Auftragsverarbeiter, der Daten deiner Nutzer verarbeitet, einen Auftragsverarbeitungsvertrag (AVV) erwarten. Kann ein Anbieter auf Anfrage keinen AVV vorlegen, ist das ein Warnsignal.
- Verantwortlicher: du selbst, für die Daten deiner Endkunden, die über deine App erfasst werden.
- Auftragsverarbeiter: deine Plattform, dein Hosting-Anbieter, dein E-Mail-Tool, dein Zahlungsdienstleister — jeder, der Daten nur nach deinen Anweisungen verarbeitet.
- Unterauftragsverarbeiter: die eigenen Dienstleister eines Auftragsverarbeiters, etwa der Cloud-Host hinter deinem Datenbankanbieter.
Was die DSGVO von einer kleinen Business-App typischerweise erwartet
Ohne juristisches Fachvokabular lassen sich die meisten DSGVO-Pflichten für eine kleine App auf eine kurze, praktische Liste herunterbrechen.
- Eine Datenschutzerklärung in klarer Sprache: was du erfasst, warum, wie lange, wer Zugriff hat, und wie man seine Rechte ausübt.
- Eine Rechtsgrundlage für jede Art der Verarbeitung: Vertragserfüllung für eine Buchung, Einwilligung für Marketing-E-Mails oder nicht essenzielle Cookies, berechtigtes Interesse für grundlegende Sicherheit und Betrugsprävention.
- Einwilligung, wo sie wirklich erforderlich ist: ein ausdrückliches Opt-in für Marketingkommunikation und für jeden nicht essenziellen Cookie oder Tracker.
- Datenminimierung: nur die Felder erfassen, die für die Dienstleistung tatsächlich nötig sind — dem Reflex widerstehen, Felder „auf Vorrat“ hinzuzufügen.
- Grundlegende Sicherheit: verschlüsselte Verbindungen (HTTPS), angemessene Zugriffskontrolle, gehashte Passwörter, regelmäßige Backups.
- Betroffenenrechte: eine Möglichkeit für Nutzer, Auskunft, Berichtigung oder Löschung ihrer Daten zu verlangen und sie in einem portablen Format zu erhalten.
- Bewusstsein für Meldepflichten: bei einem Vorfall musst du unter Umständen deine Aufsichtsbehörde und in manchen Fällen betroffene Nutzer informieren.
Die zusätzlichen Fragen, die eine No-Code- oder KI-Plattform mit sich bringt
Auf einer No-Code- oder KI-Plattform zu bauen, entlässt dich nicht aus deinen Pflichten als Verantwortlicher — es kommt eine zusätzliche Ebene von Fragen zu deinem Anbieter hinzu. Bevor du echte Kundendaten in eine Plattform gibst, solltest du Folgendes klären.
- Wo liegen die Daten physisch — auf wessen Infrastruktur, in welcher Region?
- Wer ist Auftragsverarbeiter für diese Daten, und veröffentlicht er eine Liste seiner eigenen Unterauftragsverarbeiter?
- Ist ein Auftragsverarbeitungsvertrag verfügbar, und deckt er tatsächlich die Daten ab, die du speichern wirst?
- Kannst du dein Schema und deine Daten exportieren und auf Anfrage alles löschen, ohne auf den Support des Anbieters angewiesen zu sein?
- Wird die KI nur genutzt, um den Code deiner App zu schreiben, oder sieht und speichert sie auch die Produktionsdaten deiner Endnutzer?
- Steht die Plattform als intransparenter Mittelsmann zwischen dir und den personenbezogenen Daten deiner Kunden, oder hältst du die Schlüssel zur eigentlichen Datenbank?
Region wählen und einen AVV bekommen
Zwei Fragen entscheiden einen großen Teil deines Risikos: wo die Daten gespeichert werden, und ob du dafür einen unterzeichneten AVV bekommst. Die meisten seriösen Backend-as-a-Service-Anbieter — Supabase gehört dazu — veröffentlichen einen Standard-AVV, den du direkt akzeptieren kannst, und lassen dich die Hosting-Region für dein eigenes Datenbankprojekt wählen, einschließlich EU-Regionen. Das ist wichtig, weil die Wahl der Jurisdiktion damit in deiner Hand liegt und nicht in der Standardeinstellung einer Plattform. Es lohnt sich, das für jeden Auftragsverarbeiter in deinem Stack zu prüfen — Datenbank, E-Mail-Tool, Zahlungsdienstleister, Analytics-Tool — nicht nur für deinen App-Builder.
Cookies und Tracker auf der App oder Website, die du generierst
Die Cookie-Regeln sind einfacher als oft angenommen, sobald man die zwei Kategorien trennt. Unbedingt erforderliche Cookies — solche, die einen Nutzer eingeloggt halten oder sich einen Warenkorb merken — benötigen keine Einwilligung. Alles andere, etwa Analytics, Werbung oder Social-Media-Pixel, benötigt in der Regel eine, und zwar durch ein klares Opt-in, bevor der Cookie gesetzt wird. Der einfachste Ansatz für eine kleine App: zunächst nur mit unbedingt erforderlichen Cookies starten und erst dann ein Consent-Banner hinzufügen, wenn du tatsächlich ein Analytics- oder Werbetool einsetzt, das eines braucht.
Eine Checkliste ohne Anwalt für gängige App-Typen
Website oder Portfolio: eine im Footer verlinkte Datenschutzerklärung, ein Kontaktformular, das angibt, was mit übermittelten Daten passiert und wie lange, sowie ein Cookie-Banner nur, wenn du Analytics oder Werbung hinzufügst.
Buchungs- oder Terminvereinbarungs-App: eine Rechtsgrundlage, die Vertragserfüllung für die Buchung selbst und Einwilligung für Erinnerungs-Marketing kombiniert, wobei nur das für die Buchung Nötige erfasst wird (Name, Kontakt, Datum), und deine Auftragsverarbeiter — Kalendersynchronisation, Zahlung, SMS- oder E-Mail-Anbieter — in der Datenschutzerklärung aufgeführt werden.
Kundenportal oder kleines CRM: ein AVV mit jedem Auftragsverarbeiter, der Kundendaten berührt, rollenbasierter Zugriff, sodass jedes Teammitglied nur sieht, was es braucht, ein dokumentierter Weg, den Datensatz eines Kunden zu exportieren oder endgültig zu löschen, und eine Aufbewahrungsfrist, die tatsächlich durchgesetzt wird, statt alles unbegrenzt zu behalten.
Wo Cadrant ansetzt: du behältst die Schlüssel
Cadrant basiert auf einer „Bring your own Supabase“-Architektur: Wenn du eine App baust, verbindest du deine eigene Supabase-Organisation, statt eine Datenbank zu nutzen, die Cadrant für dich hosten und kontrollieren würde. Das hat direkte DSGVO-Konsequenzen. Du wählst dein eigenes Supabase-Projekt und dessen Hosting-Region. Supabase als Auftragsverarbeiter deiner Datenbank veröffentlicht einen eigenen AVV, den du direkt mit Supabase akzeptierst. Du bleibst Verantwortlicher für die Daten deiner Endnutzer — die Menschen, die über deine App buchen, sich registrieren oder Formulare einreichen — und behältst jederzeit die volle Möglichkeit, diese Daten in deinem eigenen Supabase-Dashboard einzusehen, zu exportieren oder zu löschen, unabhängig von Cadrant. Das unterscheidet sich bewusst von Plattformen, bei denen die Daten deiner Kunden in einer intransparenten, geteilten Datenbank liegen, die dem Anbieter gehört und die du weder abfragen noch exportieren kannst.
Zur Transparenz über unser eigenes Setup: Cadrant wird von Convergence Lab, einem französischen Unternehmen, herausgegeben, und die Plattform selbst — nicht die Datenbanken, die du verbindest — wird auf AWS-Infrastruktur gehostet, die nicht ausschließlich in der EU liegt; wir stützen uns bei jeder Übermittlung außerhalb der EU auf geeignete Garantien, und unser Datenschutzbeauftragter ist für Fragen zur Plattform selbst unter dpo@cadrant.ai erreichbar. Wir beanspruchen derzeit keine SOC-2- oder ISO-27001-Zertifizierung, und du solltest eine solche Behauptung bei jedem Anbieter mit gesunder Skepsis behandeln, bis du das Zertifikat tatsächlich gesehen hast.
Wie Cadrant dir in der Praxis hilft, konform zu bleiben
Du kannst in natürlicher Sprache um die Bausteine bitten, die die Konformität unterstützen: eine Datenschutzerklärung, ein Cookie-Consent-Banner, ein Kontaktformular, das offenlegt, wie Eingaben verwendet werden, oder eine Kontoeinstellungsseite, auf der deine eigenen Endnutzer ihre Daten anfordern oder eine Löschung verlangen können. Da deine Datenbank in deinem eigenen Supabase-Projekt liegt, ist die Erfüllung einer Löschungs- oder Exportanfrage eine echte, nachvollziehbare Handlung — kein Support-Ticket an einen Dritten. Konformität ist niemals vollständig automatisch, aber wenn man von einer Architektur ausgeht, in der man die Daten selbst hält, wird jeder weitere Schritt deutlich einfacher.