Welche Apps sind DSGVO-konform? Kriterien, Prüfung und Alternativen
Welche Apps sind DSGVO-konform?
„Ist WhatsApp DSGVO-konform? Und Zoom? Und Google Analytics?” – diese Frage bekommen wir ständig, und sie führt fast immer in die Irre. DSGVO-Konformität ist keine Eigenschaft, die eine App wie ein Gütesiegel mit sich trägt: Ob ein Dienst rechtssicher einsetzbar ist, hängt davon ab, wie Sie ihn nutzen, welche Daten dabei fließen und ob die richtigen Verträge existieren. Die folgenden fünf Kriterien machen jede App selbst einschätzbar – dazu geprüfte Alternativen nach Kategorie und die Fehler, die regelmäßig abgemahnt werden.
Warum „DSGVO-konform” keine App-Eigenschaft ist
Die gleiche Software kann in einem Unternehmen zulässig und im nächsten ein klarer Verstoß sein. Beispiel Microsoft 365: rein privat genutzt unkritisch, im Betrieb ohne Auftragsverarbeitungsvertrag (AVV) und ohne saubere Konfiguration dagegen angreifbar. Entscheidend ist die Rolle: Sobald ein Dienst personenbezogene Daten in Ihrem Auftrag verarbeitet – also für Ihr Unternehmen, Ihre Website, Ihre Kunden – sind Sie der Verantwortliche im Sinne der DSGVO. Die App ist nur Auftragsverarbeiter. Die Verantwortung bleibt bei Ihnen.
Deshalb bringt eine pauschale „Whitelist konformer Apps” wenig. Nützlicher ist ein Prüfraster, das Sie auf jeden neuen Dienst anwenden können.
Die fünf Kriterien, die wirklich zählen
1. Auftragsverarbeitungsvertrag (AVV) vorhanden. Nach Art. 28 DSGVO brauchen Sie mit jedem Auftragsverarbeiter einen schriftlichen (auch elektronischen) Vertrag. Seriöse Anbieter stellen ihn zum Download oder zum Abschluss im Konto bereit. Gibt es keinen AVV, ist der Dienst für die geschäftliche Verarbeitung personenbezogener Daten praktisch nicht nutzbar.
2. Serverstandort und Drittlandtransfer. Server in der EU/EWR sind der einfachste Weg. Liegt der Anbieter in den USA, brauchen Sie eine gültige Transfergrundlage. Seit dem 10. Juli 2023 gilt dafür das EU-US Data Privacy Framework (DPF): US-Unternehmen, die sich zertifiziert haben, gelten als angemessenes Datenschutzniveau. Prüfen Sie also, ob der konkrete Anbieter DPF-zertifiziert ist – eine reine „US-Firma” reicht als Ausschluss nicht mehr, seit das alte Privacy Shield 2020 durch das Schrems-II-Urteil gekippt wurde. Die Schweiz ist über einen eigenen Angemessenheitsbeschluss abgedeckt, weshalb Schweizer Anbieter (Threema, Proton) unproblematisch sind.
3. Datensparsamkeit. Erhebt die App nur, was sie für ihren Zweck braucht? Ein Messenger, der Ihr komplettes Adressbuch hochlädt, ist kritischer als einer, der ohne Telefonnummer auskommt.
4. Technische und organisatorische Maßnahmen (TOM). Art. 32 DSGVO verlangt angemessene Sicherheit: Verschlüsselung (idealerweise Ende-zu-Ende), Zugriffskontrolle, Protokollierung. Anbieter dokumentieren das meist in einem eigenen Sicherheits- oder TOM-Dokument.
5. Betroffenenrechte und Löschkonzept. Können Sie Auskunft (Art. 15) und Löschung (Art. 17) tatsächlich umsetzen? Ein Dienst, aus dem sich Daten nicht exportieren oder löschen lassen, macht Ihnen die Erfüllung dieser Pflichten unmöglich.
Als Kurzformel: AVV + EU-Serverstandort (oder DPF/Schweiz) + Verschlüsselung + Exportierbarkeit = grün. Fehlt einer der Punkte, lohnt der genauere Blick.
Geprüfte Alternativen nach Kategorie
Die folgende Übersicht nennt Dienste, die die Kriterien in der Regel gut erfüllen. Prüfen Sie den AVV im Einzelfall trotzdem – Tarife und Datenverarbeitung ändern sich.
Messenger
- Threema (Schweiz): keine Telefonnummer nötig, Ende-zu-Ende-Verschlüsselung. Für Unternehmen gibt es Threema Work inklusive AVV.
- Signal: Ende-zu-Ende-verschlüsselt, sehr datensparsam – für den geschäftlichen Einsatz fehlt allerdings ein klassischer AVV, was ihn eher für die private oder interne Nutzung geeignet macht.
- WhatsApp dagegen ist im Business-Kontext heikel: Metadaten fließen an Meta (USA), der Adressbuch-Upload ist rechtlich umstritten. Details dazu in unserem Beitrag zu DSGVO-konformer Kundenkommunikation.
- mailbox.org und Posteo (Deutschland): datenschutzfreundlich, AVV verfügbar, Server in Deutschland.
- Proton Mail (Schweiz): Ende-zu-Ende-Verschlüsselung, für Firmen mit Business-Tarif und AVV.
- Tuta (früher Tutanota, Hannover): verschlüsselter Postfachinhalt, keine IP-Speicherung.
Cloud & Dateiablage
- Nextcloud: quelloffen, auf eigenem Server oder bei einem deutschen Hoster (etwa als „Storage Share”) betrieben – Sie behalten die volle Kontrolle über den Speicherort.
- Tresorit (Schweiz) und luckycloud (Berlin): Ende-zu-Ende-verschlüsselte Alternativen zu Dropbox mit AVV.
Videokonferenzen
- Jitsi Meet: selbst gehostet ohne Konto und ohne US-Transfer.
- Zoom und Cisco Webex lassen sich mit AVV und passender Konfiguration einsetzen; Zoom ist DPF-zertifiziert. Achten Sie auf die EU-Datenverarbeitungsoptionen im Admin-Bereich.
Website-Analyse
- Matomo: selbst gehostet bleiben alle Daten bei Ihnen; oft sogar cookielos und damit ohne Consent-Banner betreibbar.
- etracker (Hamburg) und Plausible (EU-gehostet): datensparsame, DSGVO-freundliche Analytics.
- Google Analytics 4 ist einsetzbar, weil Google LLC unter dem EU-US Data Privacy Framework aktiv zertifiziert ist (Stand: Juli 2026) – aber nur mit Einwilligung über ein Consent-Tool. Wenn das Tracking trotz Banner zu früh lädt, hilft unser Artikel Google Analytics wird von Borlabs Cookie nicht blockiert.
Newsletter
- rapidmail (Freiburg), CleverReach (Rastede) und Brevo (EU) bieten AVV und EU-Verarbeitung.
- Mailchimp (USA) ist zwar über das DPF nutzbar, verlangt aber eine sorgfältige Einwilligungsdokumentation – für viele deutsche Websites sind die genannten EU-Anbieter der einfachere Weg.
Typische Fehler, die abgemahnt werden
- Google Fonts dynamisch eingebunden. Das Landgericht München I sprach am 20. Januar 2022 (Az. 3 O 17493/20) einer betroffenen Person 100 Euro Schadensersatz zu, weil eine Website Google Fonts vom Google-Server nachlud und dabei ungefragt die IP-Adresse in die USA übertrug. Das Urteil löste eine Welle automatisierter Abmahnungen aus. Lösung: Schriften lokal hosten statt vom Google-Server laden.
- US-Analytics oder -Karten ohne Einwilligung. Google Analytics, Google Maps oder reCAPTCHA laden vor dem Klick auf „Akzeptieren” – ein klassischer Consent-Verstoß. Solche Skripte müssen bis zur Einwilligung blockiert bleiben; wie das sauber gelingt, zeigen die optimalen Einstellungen für Borlabs Cookie.
- WhatsApp auf dem Firmenhandy mit Zugriff auf Kundenkontakte – ohne AVV und mit Adressbuch-Übertragung an Meta.
- Kein AVV abgeschlossen, obwohl der Dienst bereitsteht. Das Vertragsdokument liegt oft ungenutzt im Konto.
In vier Schritten selbst prüfen
- Zweck klären. Welche personenbezogenen Daten verarbeitet die App – und braucht sie diese wirklich?
- AVV suchen und abschließen. Auf der Anbieter-Website unter „Datenschutz”, „Legal” oder im Konto. Kein AVV, kein geschäftlicher Einsatz.
- Standort und Transfergrundlage prüfen. EU/EWR ist einfach; USA nur mit DPF-Zertifizierung des konkreten Anbieters; Schweiz per Angemessenheitsbeschluss.
- In Verzeichnis und Datenschutzerklärung aufnehmen. Jeder eingesetzte Dienst gehört ins Verzeichnis von Verarbeitungstätigkeiten (Art. 30) und – sofern für Besucher sichtbar – in die Datenschutzerklärung.
FAQ
Gibt es ein offizielles „DSGVO-konform”-Siegel für Apps? Nein. Es existieren freiwillige Zertifizierungen nach Art. 42 DSGVO, aber kein verpflichtendes staatliches Siegel. Werbeaussagen wie „100 % DSGVO-konform” sind Marketing – prüfen Sie AVV, Serverstandort und Verschlüsselung selbst.
Darf ich US-Dienste wie Zoom oder Google überhaupt noch einsetzen? Ja, wenn der Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist und Sie einen AVV abgeschlossen haben. Für Tracking und andere nicht notwendige Verarbeitung brauchen Sie zusätzlich die Einwilligung der Nutzer über ein Consent-Tool.
Reicht Ende-zu-Ende-Verschlüsselung für DSGVO-Konformität aus? Nein. Verschlüsselung ist eine wichtige technische Maßnahme (Art. 32), ersetzt aber nicht AVV, Rechtsgrundlage, Betroffenenrechte und Dokumentation. Alle Bausteine müssen zusammenpassen.
Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.