← Alle Artikel

DSGVO-konforme Dokumentation: Was Software-Anbieter beachten müssen

Wer Produktdokumentation online bereitstellt, verarbeitet personenbezogene Daten. Dieser Artikel erklärt, welche DSGVO-Anforderungen für Handbuch-Portale gelten — von Audit-Logs bis zur Auftragsverarbeitung.

Wer Produktdokumentation über ein Online-Portal bereitstellt, verarbeitet zwangsläufig personenbezogene Daten: E-Mail-Adressen, Namen, Zugriffszeitpunkte, IP-Adressen. Die DSGVO stellt klare Anforderungen an den Umgang mit diesen Daten.

Welche Daten fallen an?

Bei einem typischen Dokumentationsportal werden folgende personenbezogene Daten verarbeitet:

  • Kontodaten — Name, E-Mail-Adresse, ggf. Firma
  • Zugangsdaten — Passwort-Hashes, 2FA-Secrets
  • Nutzungsdaten — Welche Dokumente angesehen/heruntergeladen wurden, wann, von welcher IP
  • Technische Daten — IP-Adressen, User-Agent, Session-Daten

Die wichtigsten DSGVO-Anforderungen

1. Rechtsgrundlage

Für die Bereitstellung von Dokumentation an Kunden ist in der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) die passende Rechtsgrundlage. Der Kunde hat ein Produkt erworben und erhält die zugehörige Dokumentation — das ist Teil der vertraglichen Leistung.

2. Audit-Log und Datensparsamkeit

Ein Audit-Log ist aus Compliance-Sicht sinnvoll, aber die DSGVO verlangt Datensparsamkeit. Protokollieren Sie nur, was tatsächlich erforderlich ist: Wer hat wann welches Dokument aufgerufen. Keine Bewegungsprofile, keine unnötigen Metadaten.

Definieren Sie Aufbewahrungsfristen. Ein Audit-Log, das unbegrenzt gespeichert wird, ist schwer zu rechtfertigen.

3. Serverstandort und Auftragsverarbeitung

Wenn Sie einen SaaS-Dienst nutzen, ist der Anbieter Ihr Auftragsverarbeiter. Sie benötigen einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Achten Sie auf:

  • Serverstandort in der EU (idealerweise Deutschland)
  • Keine Weitergabe an Sub-Auftragsverarbeiter in unsicheren Drittländern
  • Technische und organisatorische Maßnahmen (TOMs)

4. Betroffenenrechte

Ihre Kunden (die Endnutzer des Portals) haben das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten. Stellen Sie sicher, dass:

  • Nutzer ihre eigenen Daten einsehen können
  • Konten vollständig gelöscht werden können
  • Ein Datenexport möglich ist

5. Verschlüsselung und Sicherheit

Die DSGVO verlangt „geeignete technische und organisatorische Maßnahmen". Für ein Dokumentationsportal bedeutet das mindestens:

  • TLS-Verschlüsselung für alle Verbindungen
  • Sichere Passwort-Hashing-Verfahren (bcrypt/argon2)
  • Zwei-Faktor-Authentifizierung als Option
  • Rate Limiting gegen Brute-Force-Angriffe

Wasserzeichen und DSGVO

Personalisierte Wasserzeichen (Name + E-Mail auf dem PDF) sind ein Eingriff in die informationelle Selbstbestimmung. Sie sind zulässig, wenn der Nutzer vorab darüber informiert wird und ein berechtigtes Interesse des Anbieters besteht (Schutz geistigen Eigentums). Wichtig: Der Nutzer muss wissen, dass ein Download mit Wasserzeichen versehen wird, bevor er ihn auslöst.

Checkliste für Ihr Dokumentationsportal

  • Datenschutzerklärung, die das Portal explizit abdeckt
  • Auftragsverarbeitungsvertrag mit dem Plattformanbieter
  • Server in der EU, idealerweise Deutschland
  • Audit-Log mit definierten Aufbewahrungsfristen
  • Löschmöglichkeit für Nutzerkonten
  • TLS + sichere Authentifizierung
  • Transparenter Hinweis auf Wasserzeichen vor dem Download

ManualHQ ist so konzipiert, dass diese Anforderungen standardmäßig erfüllt werden: Server in Deutschland, DSGVO-konformes Audit-Log, transparente Wasserzeichen-Hinweise und Unterstützung für Zwei-Faktor-Authentifizierung.