Delveo
← Zurück zum Blog

23. April 2026 5 Min. Lesezeit

DPA, Sicherheitsrichtlinie und Subprozessorenliste: Die drei Kernunterlagen für B2B-Compliance

Praxisleitfaden für kleine SaaS-Teams: So erstellen und pflegen Sie DPA, Sicherheitsrichtlinie und Subprozessorenliste belastbar und vertriebsnah.

  • Compliance Dokumente
  • DPA
  • Sicherheitsrichtlinie
  • Subprozessoren
  • B2B SaaS
  • Trust Center

Sobald ein SaaS-Produkt an Unternehmen verkauft wird, kommen ähnliche Rückfragen fast automatisch:

  • Können Sie Ihr DPA schicken?
  • Gibt es eine aktuelle Sicherheitsrichtlinie?
  • Wo finde ich Ihre Subprozessorenliste?

Für kleine Teams wirkt das zunächst wie zusätzlicher Verwaltungsaufwand. In der Praxis entscheiden diese Unterlagen aber oft darüber, ob ein Deal zügig durch Procurement geht oder in langen Rückfragen hängen bleibt.

Dieser Beitrag zeigt, wie Sie diese drei Dokumente strukturiert aufsetzen, mit wenig Overhead pflegen und im Alltag nutzbar machen.

Warum gerade diese drei Dokumente im Einkauf relevant sind

Einkauf, Datenschutz und IT-Sicherheit prüfen unterschiedliche Aspekte, aber sie benötigen dieselbe Grundlage:

  • Vertragsklarheit bei Datenverarbeitung
  • Nachvollziehbare Sicherheitsmaßnahmen
  • Transparenz bei eingesetzten Drittanbietern

Ein konsistentes Set aus DPA, Sicherheitsrichtlinie und Subprozessorenliste wirkt professionell, selbst wenn Ihr Team klein ist. Entscheidend ist nicht juristische Komplexität, sondern Nachvollziehbarkeit und Aktualität.

Dokument 1: DPA als vertragliche Grundlage

Das DPA regelt die Auftragsverarbeitung und ist häufig die erste Unterlage, die angefragt wird.

Was in einem belastbaren DPA klar sein muss

Für operative Zwecke sollten folgende Punkte eindeutig sein:

  • Wer Verantwortlicher und wer Auftragsverarbeiter ist
  • Welche Datenkategorien verarbeitet werden
  • Zu welchen Zwecken verarbeitet wird
  • Welche technischen und organisatorischen Maßnahmen gelten
  • Wie mit Unterauftragsverarbeitern umgegangen wird
  • Welche Regeln für Löschung oder Rückgabe von Daten bestehen
  • Wie Incident-Meldungen organisiert sind

Ein DPA muss nicht unnötig kompliziert formuliert sein. Es muss vor allem zu Ihrem Produkt und Ihren Prozessen passen.

DPA-Praxischeck für kleine Teams

Prüfen Sie vor dem Versand:

  • Firmenname und Kontaktdaten stimmen mit den Vertragsunterlagen überein.
  • Die Beschreibung der Verarbeitung passt zur tatsächlichen Produktnutzung.
  • Sicherheitsmaßnahmen sind nicht nur pauschal, sondern konkret benannt.
  • Subprozessorenbezug ist konsistent zur veröffentlichten Liste.
  • Es gibt einen klaren internen Ansprechpartner für Rückfragen.

Typische Stolperfallen

  • Übernommene Vorlagen mit Zusagen, die intern nicht umgesetzt sind
  • Veraltete Gesellschaftsdaten nach Umstrukturierung
  • Zu enge Datenkategorien, die später mit Produktfunktionen kollidieren
  • Unterschiedliche Aussagen in DPA, FAQ und Sales-Unterlagen

Je weniger Widersprüche, desto schneller läuft die Freigabe.

Dokument 2: Sicherheitsrichtlinie als operativer Nachweis

Die Sicherheitsrichtlinie beantwortet die zentrale Frage des Kunden: Wie arbeiten Sie konkret, um Systeme und Daten zu schützen?

Inhalte mit hohem Nutzwert

Für kleine Unternehmen reicht eine kompakte, aber saubere Struktur:

  • Verantwortlichkeiten für Sicherheitsentscheidungen
  • Benutzer- und Zugriffsmanagement inklusive MFA
  • Regeln für Entwicklung, Deployment und Änderungen
  • Patch- und Schwachstellenmanagement
  • Logging und Monitoring auf Basis Ihrer Systemlandschaft
  • Backup- und Wiederherstellungsprinzipien
  • Incident-Management inklusive Eskalation
  • Regelungen für externe Dienstleister

Umsetzungscheckliste für 30 Tage

  • Eine verantwortliche Person offiziell benennen.
  • Vierteljährliche Review-Termine im Kalender fixieren.
  • Joiner-Mover-Leaver-Prozess für Toolzugriffe dokumentieren.
  • MFA für kritische Systeme verpflichtend umsetzen.
  • Backup-Umfang und Restore-Test-Rhythmus festlegen.
  • Incident-Level definieren und Kommunikationsweg klären.
  • Änderungen mit Datum und kurzer Begründung versionieren.

Formulieren Sie belastbar statt werblich

Aussagen wie höchste Sicherheit am Markt wirken im Einkauf oft eher kritisch. Besser sind überprüfbare Aussagen:

  • Produktionszugänge sind rollenbasiert und MFA-geschützt.
  • Berechtigungen werden regelmäßig überprüft.
  • Sicherheitsvorfälle folgen einem dokumentierten Ablauf.

Diese Formulierungen sind nüchtern, aber vertrauensfördernd.

Dokument 3: Subprozessorenliste als Transparenzsignal

Viele Sicherheitsfragebögen drehen sich schnell um dieselbe Frage: Welche Drittanbieter verarbeiten potenziell Kundendaten?

Eine gepflegte Subprozessorenliste beantwortet das proaktiv.

Welche Felder enthalten sein sollten

  • Anbietername
  • Zweck des Einsatzes
  • Relevante Datenkategorien
  • Region bzw. Hosting-Standort
  • Optional: Link zu Trust- oder Rechtsinformationen des Anbieters

Je klarer die Liste, desto weniger Rückfragen in Due-Diligence-Prozessen.

Betriebsroutine für Aktualität

  • Neue Anbieter beim Einkauf direkt erfassen.
  • Monatlichen Abgleich mit tatsächlich genutzten Tools durchführen.
  • Nicht mehr genutzte Anbieter entfernen.
  • Wirksamkeitsdatum für Änderungen dokumentieren.
  • Konsistenz mit DPA und Sicherheitsrichtlinie prüfen.

Häufiges Problem in der Praxis

Die Liste wird einmal erstellt und danach vergessen. Das fällt Kunden auf, spätestens wenn Zeitstempel fehlen oder nicht mehr zur Architektur passen.

Planen Sie die Pflege als festen Prozessschritt ein, nicht als Sonderaufgabe.

Zusammenspiel der drei Unterlagen

Die Dokumente entfalten ihren Wert erst gemeinsam:

  • DPA schafft den vertraglichen Rahmen.
  • Sicherheitsrichtlinie erklärt den operativen Rahmen.
  • Subprozessorenliste macht externe Abhängigkeiten sichtbar.

Wenn diese drei Ebenen konsistent sind, sinkt der Abstimmungsaufwand in Sales- und Procurement-Phasen deutlich.

Ein schlanker Betriebsprozess für Compliance-Dokumente

Auch ohne eigene Rechts- oder Security-Abteilung können Sie stabil arbeiten.

1. Rollen festlegen

  • DPA: Vertragsverantwortung, häufig Founder oder Operations Lead
  • Sicherheitsrichtlinie: technische Verantwortung, z. B. Engineering Lead
  • Subprozessorenliste: Betrieb und Vendor-Management, z. B. Operations

2. Trigger für Aktualisierung definieren

Aktualisieren Sie bei:

  • Einführung neuer Kernanbieter
  • Änderung von Datenflüssen im Produkt
  • neuen Kundensegmenten mit höheren Anforderungen
  • Änderungen im Incident- oder Zugriffsprozess
  • wiederkehrenden Kundenrückfragen zu denselben Punkten

3. Veröffentlichung standardisieren

  • Einheitliche Ablage mit stabilen Links
  • Sichtbare Versionsstände
  • kurzes Änderungsprotokoll
  • keine isolierten, veralteten Dateianhänge im Postfach

4. Vertrieb entlasten

Bereiten Sie ein Standardpaket vor:

  • Link zum DPA
  • Link zur Sicherheitsrichtlinie
  • Link zur Subprozessorenliste
  • ein kurzer Satz zur Review-Frequenz

So wird aus Einzelreaktionen ein wiederholbarer Ablauf.

Checkliste vor der nächsten Kundenprüfung

  • DPA ist aktuell und produktnah formuliert.
  • Sicherheitsrichtlinie beschreibt real gelebte Prozesse.
  • Subprozessorenliste ist vollständig und zeitnah gepflegt.
  • Versionsdatum ist in allen drei Dokumenten sichtbar.
  • Zuständigkeiten intern sind klar benannt.
  • Vertrieb und Customer Success arbeiten mit denselben Quellen.

Wer diese Punkte erfüllt, schafft eine solide Vertrauensbasis auch ohne großes Compliance-Team.

Fazit

DPA, Sicherheitsrichtlinie und Subprozessorenliste sind keine reine Formalität. Für B2B-SaaS sind sie zentrale Vertrauensdokumente, die Verkaufszyklen verkürzen und Abstimmungen vereinfachen können. Entscheidend ist eine ehrliche, konsistente und gepflegte Darstellung Ihrer Prozesse.

Wenn Sie diese Unterlagen strukturiert an einem Ort pflegen und einfacher mit Kunden teilen möchten, kann Delveo Ihr Team dabei unterstützen, Trust- und Compliance-Dokumentation operativ sauber aufzustellen.

Hinweis: Dieser Beitrag dient der operativen Orientierung und stellt keine Rechtsberatung dar.