Wenn deutsche Unternehmen Wartungssoftware einsetzen, denken die wenigsten dabei sofort an Datenschutz. Dabei verarbeiten diese Systeme eine Vielzahl personenbezogener und betrieblich sensibler Daten: Namen und Arbeitszeiten von Technikern, Gerätezustände, Wartungsprotokolle, Fotografien von Anlagen und Prozessen. Wer seine DSGVO-Pflichten in diesem Bereich vernachlässigt, riskiert nicht nur Bußgelder – sondern auch Vertrauensverlust bei Kunden, Mitarbeitern und Geschäftspartnern. Dieser Artikel erklärt, warum DSGVO-Konformität bei Wartungssoftware 2026 wichtiger ist denn je und worauf Sie bei der Auswahl Ihrer Lösung achten müssen.
Welche Daten verarbeitet Wartungssoftware?
Auf den ersten Blick klingt Wartungssoftware technisch und unpersönlich: Maschinen, Intervalle, Checklisten. Doch beim genauen Hinsehen wird deutlich, dass fast jeder Datenpunkt in einem Instandhaltungssystem direkt oder indirekt personenbezogene Daten enthält oder mit ihnen verknüpft ist:
- Mitarbeiterdaten: Wer hat wann welche Wartung durchgeführt? Namen, Nutzungszeiten, Aufenthaltsort (bei GPS-Tracking) und Leistungsdaten von Technikern sind personenbezogen im Sinne der DSGVO.
- Fotodokumentation: Bilder, die bei Wartungen aufgenommen werden, können Personen zeigen oder Rückschlüsse auf Arbeitsverhältnisse erlauben.
- Gerätedaten mit Personenbezug: Fahrzeuge mit Kennzeichen, persönliche Arbeitsmittel, Zugangsprotokolle – all das fällt unter die DSGVO, wenn eine natürliche Person zugeordnet werden kann.
- Kommunikationsdaten: Kommentare, Benachrichtigungen und Aufgabenzuweisungen in der Software sind Kommunikation zwischen Mitarbeitern und damit schützenswert.
- IoT-Sensordaten: Wenn Sensoren an Betriebsmitteln erfassen, wann und wie lange Mitarbeiter Maschinen nutzen, entstehen Leistungsüberwachungsdaten mit erheblichem Datenschutzpotenzial.
Wichtig: Auch wenn Ihre Software primär technische Daten verarbeitet – sobald diese Daten einer natürlichen Person zugeordnet werden können, greift die DSGVO. Es reicht nicht, einfach keine Namen zu speichern, wenn aus anderen Datenpunkten Rückschlüsse auf Personen möglich sind.
Das Schrems-II-Problem: Warum US-Cloud-Anbieter riskant sind
Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) im sogenannten Schrems-II-Urteil den EU-US Privacy Shield für ungültig. Das Kernproblem: US-amerikanische Behörden können aufgrund von Gesetzen wie dem CLOUD Act und dem Foreign Intelligence Surveillance Act (FISA Section 702) auf Daten zugreifen, die US-Unternehmen weltweit speichern – auch wenn diese Daten auf Servern in Europa liegen.
Das bedeutet konkret: Wenn Ihre Wartungssoftware von einem US-amerikanischen Unternehmen betrieben wird – selbst wenn der Server physisch in Frankfurt steht – ist der US-Mutterkonzern unter US-Recht verpflichtet, auf Anfrage amerikanischer Behörden Daten herauszugeben. Und er muss seinen europäischen Kunden darüber keine Auskunft geben.
Seit 2022 gibt es zwar das EU-US Data Privacy Framework als Nachfolgeregelung, doch Datenschutzexperten und der Europäische Datenschutzausschuss sehen dieses Framework kritisch. Mehrere Klagen sind anhängig, ein erneutes Scheitern vor dem EuGH gilt als realistisches Szenario.
Rechtliches Risiko: Unternehmen, die personenbezogene Daten ihrer Mitarbeiter in US-amerikanischen Cloud-Systemen speichern, ohne dies ausreichend rechtlich abgesichert zu haben, können von deutschen Datenschutzbehörden mit Bußgeldern bis zu 4 % des weltweiten Jahresumsatzes belegt werden (Art. 83 DSGVO).
Warum "Server in Deutschland" nicht gleich DSGVO-konform bedeutet
Viele Softwareanbieter werben damit, dass ihre Server "in Deutschland" oder "in der EU" stehen. Das ist ein wichtiges, aber nicht ausreichendes Kriterium. Entscheidend sind folgende zusätzliche Fragen:
1. Wer ist der Mutterkonzern?
Ein US-amerikanisches Unternehmen, das Server in Deutschland betreibt, bleibt dem CLOUD Act unterworfen. Der Serverstandort schützt die Daten nicht vor behördlichem Zugriff aus den USA. Nur wenn der Anbieter selbst ein europäisches Unternehmen ohne US-Muttergesellschaft ist, entfällt dieses Risiko vollständig.
2. Gibt es einen Auftragsverarbeitungsvertrag (AVV)?
Die DSGVO schreibt vor, dass bei jeder Auslagerung von Datenverarbeitung an Dritte ein Auftragsverarbeitungsvertrag abgeschlossen werden muss (Art. 28 DSGVO). Dieser Vertrag regelt, wie der Anbieter Daten verarbeiten darf, welche Sicherheitsmaßnahmen er ergreift und wie er im Falle einer Datenpanne vorgeht. Ohne AVV ist jede Nutzung einer Cloud-Software für die Verarbeitung personenbezogener Daten rechtswidrig.
3. Werden Subunternehmer eingesetzt?
Viele Softwareanbieter lagern einzelne Dienste an Subunternehmer aus – für Hosting, E-Mail-Versand, Backup oder Support. Jeder dieser Subunternehmer muss ebenfalls DSGVO-konform arbeiten und dem AVV zustimmen. Ein transparenter Anbieter listet alle Subunternehmer und deren Standorte öffentlich.
4. Gibt es technische Sicherheitsmaßnahmen?
Verschlüsselung der Daten in Transit und at rest, regelmäßige Penetrationstests, Zugriffskontrollen nach dem Prinzip der minimalen Rechte, Audit-Protokolle – diese technischen Maßnahmen sind nicht optional, sondern nach Art. 32 DSGVO vorgeschrieben.
Was deutsche Betriebe konkret prüfen müssen
DSGVO-Checkliste für Wartungssoftware
- Anbieter ist ein deutsches oder rein europäisches Unternehmen ohne US-Mutterkonzern
- Server stehen ausschließlich in Deutschland oder der EU
- Auftragsverarbeitungsvertrag (AVV) ist verfügbar und wird standardmäßig abgeschlossen
- Alle Subunternehmer sind dokumentiert und DSGVO-konform
- Daten werden verschlüsselt gespeichert und übertragen (TLS, AES-256)
- Rollenbasierte Zugriffsrechte sind verfügbar
- Datenlöschung auf Anfrage ist möglich (Recht auf Vergessenwerden, Art. 17 DSGVO)
- Datenpannen werden innerhalb von 72 Stunden gemeldet (Art. 33 DSGVO)
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) wird unterstützt
Mitarbeiterdatenschutz: Was Betriebsräte und Techniker wissen müssen
Ein oft unterschätzter Aspekt der DSGVO im Kontext von Wartungssoftware ist der Mitarbeiterdatenschutz. Wenn Wartungssoftware erfasst, welcher Techniker wann an welcher Anlage gearbeitet hat, entstehen detaillierte Leistungs- und Verhaltensprofile. Das ist nach § 26 Bundesdatenschutzgesetz (BDSG) nur unter bestimmten Voraussetzungen zulässig.
Konkret bedeutet das: Betriebe, die Wartungssoftware einführen, müssen ihre Mitarbeiter darüber informieren, welche Daten erfasst werden und zu welchem Zweck. Wenn ein Betriebsrat vorhanden ist, hat dieser ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Eine Betriebsvereinbarung zur Einführung der Software ist in diesem Fall erforderlich.
Tipp für die Praxis: Klären Sie vor der Einführung einer Wartungssoftware intern, welche Daten tatsächlich erfasst werden sollen. Oft reicht es, Aufgaben einer Gruppe (nicht einem einzelnen Techniker) zuzuweisen, um Datenschutzrisiken zu reduzieren – ohne Funktionalität zu verlieren.
OrgaMind: DSGVO-konform by Design
OrgaMind wurde von Beginn an als DSGVO-native Lösung entwickelt. Das bedeutet konkret:
- Unternehmensstandort Deutschland: OrgaMind ist ein deutsches Unternehmen ohne US-Mutterkonzern. Kein CLOUD-Act-Risiko, kein Schrems-II-Problem.
- Server ausschließlich in Deutschland: Alle Daten werden auf deutschen Servern gespeichert und verarbeitet – ohne Auslagerung in Drittländer.
- Standardisierter AVV: Jeder OrgaMind-Kunde erhält automatisch einen vollständigen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
- Transparente Subunternehmer: OrgaMind veröffentlicht alle eingesetzten Subunternehmer und deren Standorte.
- Datensparsamkeit: OrgaMind erhebt nur die Daten, die für die Wartungsplattform tatsächlich notwendig sind.
- Löschkonzept: Auf Anfrage können alle Daten eines Nutzers vollständig und nachweisbar gelöscht werden.
Für Betriebe in regulierten Branchen – Energieversorgung, Kommunalverwaltung oder Facility Management – ist die DSGVO-Konformität der eingesetzten Software kein optionales Merkmal, sondern eine Grundvoraussetzung für den rechtssicheren Betrieb.
Fazit: DSGVO und Wartungssoftware – kein Widerspruch, aber kein Selbstläufer
Die DSGVO macht es nicht unmöglich, Wartungssoftware in der Cloud zu nutzen. Sie stellt aber klare Anforderungen, die viele US-amerikanische Anbieter nicht ohne weiteres erfüllen können. Für deutsche KMU ist die einfachste und sicherste Lösung daher: eine Wartungssoftware von einem deutschen Anbieter, mit Servern in Deutschland und einem vollständigen AVV – ohne juristische Grauzonen, ohne Abhängigkeit von transatlantischen Datenschutzabkommen, die jederzeit wieder vom EuGH gekippt werden können.
Prüfen Sie Ihre aktuelle Wartungslösung anhand der obigen Checkliste. Wenn Sie dabei Lücken entdecken, ist jetzt der richtige Zeitpunkt, eine DSGVO-konforme Alternative zu evaluieren.
DSGVO-konforme Wartungssoftware, Made in Germany
OrgaMind erfüllt alle DSGVO-Anforderungen – Server in Deutschland, vollständiger AVV, kein US-Cloud-Risiko. Überzeugen Sie sich in einer persönlichen Demo.
Demo anfragen →