Kein Subscription-Geschäft ohne Kundendaten. Wer Abonnements verwaltet, verarbeitet zwangsläufig eine Vielzahl personenbezogener Informationen: Namen, Adressen, E-Mail-Adressen, Zahlungsdaten, Vertragshistorien, Nutzungsverhalten. Die Datenschutz-Grundverordnung (DSGVO) regelt, wie diese Daten erhoben, verarbeitet, gespeichert und gelöscht werden dürfen. Für Subscription-Anbieter gilt dabei: Die schiere Menge und Sensibilität der verarbeiteten Daten macht DSGVO-Compliance nicht zu einer optionalen Zusatzaufgabe, sondern zu einer geschäftskritischen Grundvoraussetzung.
Rechtsgrundlagen für die Datenverarbeitung
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Im Subscription-Kontext sind drei davon besonders relevant. Die häufigste ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b): Kundendaten dürfen verarbeitet werden, soweit dies zur Erfüllung des Abonnementvertrags notwendig ist – also Rechnungsstellung, Zahlungsabwicklung, Vertragsverwaltung. Keine Einwilligung erforderlich, solange der Zweck klar vertragsbezogen ist.
Für darüber hinausgehende Zwecke – etwa Marketingkommunikation, Nutzungsanalyse oder Produktempfehlungen – ist in der Regel eine Einwilligung (Art. 6 Abs. 1 lit. a) erforderlich, die freiwillig, spezifisch, informiert und eindeutig erteilt worden sein muss. Eine vorausgefüllte Checkbox genügt nicht. Die Einwilligung muss jederzeit widerrufbar sein, und der Widerruf muss genauso einfach sein wie die ursprüngliche Zustimmung.
Schließlich gibt es das berechtigte Interesse (Art. 6 Abs. 1 lit. f), das etwa für bestimmte Sicherheitsmaßnahmen oder interne Analysen herangezogen werden kann – allerdings nur, wenn das Interesse des Unternehmens das der betroffenen Person überwiegt, was eine sorgfältige Interessenabwägung voraussetzt.
Pflichten rund um Transparenz und Information
Die DSGVO verpflichtet Subscription-Anbieter zu umfassender Transparenz gegenüber ihren Kunden. Die Datenschutzerklärung muss klar und verständlich beschreiben, welche Daten zu welchem Zweck verarbeitet werden, wie lange sie gespeichert werden, an wen sie weitergegeben werden – etwa an Payment-Provider, E-Mail-Dienstleister oder Buchhaltungssoftware – und welche Rechte der Betroffene hat.
Besondere Aufmerksamkeit verdient dabei die Weitergabe an Dritte: Jeder externe Dienstleister, der im Auftrag des Subscription-Anbieters personenbezogene Daten verarbeitet, muss über einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO eingebunden sein. Das gilt für den Payment-Provider ebenso wie für den E-Mail-Versanddienst, das CRM-System oder – bei Nutzung von Cloud-Diensten außerhalb der EU – für den Cloudanbieter. Letzteres ist besonders heikel: Datenübermittlungen in Drittländer ohne angemessenes Datenschutzniveau erfordern zusätzliche Absicherungen wie Standardvertragsklauseln.
Betroffenenrechte: Auskunft, Löschung, Portabilität
Kunden haben nach der DSGVO eine Reihe von Rechten, die Subscription-Anbieter aktiv ermöglichen müssen. Das Auskunftsrecht (Art. 15) gibt jedem Kunden das Recht zu erfahren, welche seiner Daten verarbeitet werden. Das Recht auf Löschung (Art. 17) – der sogenannte „Right to be forgotten" – erlaubt es, die Löschung aller personenbezogener Daten zu verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
Hier liegt eine typische Konfliktzone im Subscription-Bereich: Rechnungen und Buchungsdaten unterliegen der handels- und steuerrechtlichen Aufbewahrungspflicht von zehn Jahren (§ 147 AO). Sie dürfen also nicht auf Kundenwunsch sofort gelöscht werden. Das Abrechnungssystem muss in der Lage sein, personenbezogene Daten zu pseudonymisieren – also Kundendaten zu anonymisieren, während Buchungsdaten für steuerliche Zwecke erhalten bleiben.
Das Recht auf Datenportabilität (Art. 20) schließlich verlangt, dass Kunden ihre Daten in einem maschinenlesbaren Format exportieren können. Im Subscription-Kontext bedeutet das: Vertragshistorie, Rechnungen, Zahlungsverläufe auf Anfrage als strukturierter Export.
Datensparsamkeit und Speicherbegrenzung
Zwei weitere DSGVO-Grundsätze sind im Subscription-Betrieb besonders relevant. Das Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. c) besagt, dass nur die Daten erhoben werden dürfen, die für den jeweiligen Zweck tatsächlich notwendig sind. Wer beim Abo-Abschluss Felder wie Geburtsdatum oder Telefonnummer abfragt, ohne dafür einen klaren Verarbeitungszweck zu haben, verstößt gegen dieses Prinzip.
Die Speicherbegrenzung (Art. 5 Abs. 1 lit. e) fordert, dass Daten nicht länger als notwendig aufbewahrt werden. Für inaktive Kunden – also solche, deren Vertrag bereits seit Jahren beendet ist – müssen Lösch- oder Anonymisierungsfristen definiert und systemseitig umgesetzt sein. Ein Subscription-Management-System, das keine automatisierten Löschroutinen unterstützt, macht DSGVO-Compliance zur manuellen und damit fehleranfälligen Daueraufgabe.
Made in Germany als Wettbewerbsvorteil
Für viele Unternehmen, insbesondere im B2B-Bereich, ist die Frage nach dem Serverstandort und der Herkunft der Software ein entscheidendes Auswahlkriterium. Fakturia wird ausschließlich in Deutschland entwickelt und in einem TÜV-zertifizierten Rechenzentrum in Nürnberg betrieben. Alle Kundendaten verbleiben in Deutschland, unterliegen deutschem und europäischem Datenschutzrecht und werden nicht an Server außerhalb der EU übertragen. Auftragsverarbeitungsverträge können direkt mit der Luminea IT Services GmbH geschlossen werden – einem inhabergeführten Unternehmen ohne ausländische Investoren, das seit 2007 am Markt ist. Für datenschutzsensible Branchen wie Gesundheit, Bildung oder öffentliche Verwaltung ist das kein Nebenaspekt, sondern oft die entscheidende Voraussetzung für eine Zusammenarbeit.