Zurück zum Blog
Compliance14. Februar 20268 Min. Lesezeit

DSGVO-konforme Dokumentensammlung: Was du wirklich beachten musst

Ein klarer Leitfaden zu den DSGVO-Anforderungen fuer Teams, die Dokumente von Kunden, Partnern und Dienstleistern in der EU sammeln.

DSGVO und Dokumentensammlung: Warum es wichtig ist

Wenn du Dokumente von Kunden oder Partnern in der EU sammelst — Steuererklaerungen, Ausweiskopien, unterschriebene Vertraege, Adressnachweise — verarbeitest du personenbezogene Daten. Das bedeutet: Die DSGVO gilt fuer dich, auch wenn dein Unternehmen ausserhalb der EU sitzt. Die Verordnung erfasst jede Verarbeitung personenbezogener Daten von EU-Buergerinnen und -Buergern, egal wo der Verarbeiter seinen Sitz hat.

Kaum ein Thema, bei dem kleine Unternehmen vor Begeisterung in die Haende klatschen. Aber Fehler koennen Bussgelder, Vertrauensverlust und jede Menge Aufraeum-Arbeit bedeuten. Die gute Nachricht: Die Kernprinzipien sind ueberschaubar, wenn man den juristischen Fachjargon einmal beiseite laesst.

Dieser Artikel ist ein praktischer Leitfaden. Wir gehen die wichtigsten Punkte durch, die du beim Sammeln von Dokumenten beachten musst, und zeigen, wie wir FolioDoc gebaut haben, damit die technische Seite fuer dich erledigt wird. Wir sind keine Anwaelte — das hier ist keine Rechtsberatung — aber wir haben viel Zeit investiert, damit unsere Plattform standardmaessig das Richtige tut.

Dieser Artikel ist ein praktischer Leitfaden, keine Rechtsberatung. Fuer deine konkrete Situation wende dich bitte an einen Datenschutzbeauftragten oder Anwalt.

Verantwortlicher vs. Auftragsverarbeiter: Wer ist wofuer zustaendig?

Die DSGVO teilt die Verantwortung auf zwei Rollen auf. Der Verantwortliche (Controller) ist die Organisation, die entscheidet, welche personenbezogenen Daten erhoben werden und warum. Der Auftragsverarbeiter (Processor) ist die Organisation, die diese Daten im Auftrag des Verantwortlichen verarbeitet. Wenn du FolioDoc nutzt, um Dokumente von deinen Kunden zu sammeln, bist du der Verantwortliche. Du entscheidest, welche Dokumente angefordert werden, an wen die Anfrage geht und was mit den Dateien passiert. FolioDoc ist der Auftragsverarbeiter. Wir speichern die Dateien, versenden die Benachrichtigungen und betreiben die Infrastruktur — aber wir entscheiden nie, was gesammelt wird oder warum.

Beide Rollen haben Pflichten. Als Verantwortlicher brauchst du eine Rechtsgrundlage fuer die Datenerhebung (Vertrag, Einwilligung, berechtigtes Interesse oder gesetzliche Verpflichtung). Du musst die Betroffenen darueber informieren, was mit ihren Daten geschieht. Und du musst sicherstellen, dass jeder Auftragsverarbeiter, mit dem du arbeitest, die DSGVO-Standards erfuellt. Als Auftragsverarbeiter ist FolioDoc verpflichtet, Daten nur nach deinen Weisungen zu verarbeiten, sie sicher aufzubewahren, dich bei Betroffenenrechten zu unterstuetzen und alles zu loeschen, wenn du es verlangst.

Der Auftragsverarbeitungsvertrag (AVV)

Erste sichere Dokumentenanfrage erstellen

Artikel 28 der DSGVO verlangt eine schriftliche Vereinbarung zwischen jedem Verantwortlichen und Auftragsverarbeiter. Das ist der Auftragsverarbeitungsvertrag (AVV), im Englischen Data Processing Agreement (DPA). Er ist nicht optional — wenn du irgendein SaaS-Tool nutzt, das personenbezogene Daten von EU-Personen beruehrt, brauchst du einen AVV.

FolioDoc stellt einen fertigen AVV unter /dpa bereit. Er deckt den Umfang der Datenverarbeitung ab (welche Daten, zu welchem Zweck), die Sicherheitsmassnahmen, die wir umsetzen, unsere Pflichten bezueglich Unterauftragsverarbeiter, den Umgang mit Datenpannen und was mit den Daten passiert, wenn die Vereinbarung endet. Du musst ihn nicht verhandeln. Er ist da, er gilt mit Nutzung des Dienstes und er ist verstaendlich formuliert.

Datenminimierung: Nur sammeln, was du brauchst

Eines der Kernprinzipien der DSGVO ist die Datenminimierung — du sollst nur personenbezogene Daten erheben, die dem Zweck angemessen und erheblich sowie auf das notwendige Mass beschraenkt sind. In der Praxis heisst das: Fordere nicht mehr Dokumente an, als du tatsaechlich brauchst.

FolioDoc ist um dieses Prinzip herum gebaut. Wenn du eine Dokumentenanfrage erstellst, baust du eine Checkliste mit bestimmten Unterlagen. Deine Empfaenger sehen genau, was benoetigt wird, und laden nur diese Dateien hoch. Es gibt kein offenes Sammelfeld, kein "lade alles hoch, was irgendwie relevant sein koennte". Die Struktur haelt die Sammlung fokussiert und minimiert das Risiko, Daten zu erhalten, die du nicht angefordert hast und nicht haben solltest.

Aufbewahrung: Daten nicht ewig speichern

Artikel 5 Absatz 1 Buchstabe e — der Grundsatz der Speicherbegrenzung — besagt, dass personenbezogene Daten nur so lange aufbewahrt werden duerfen, wie es fuer den Zweck der Erhebung erforderlich ist. Hier stolpern viele Unternehmen. Dokumente werden gesammelt, heruntergeladen und liegen dann fuer immer auf einem Server, weil niemand einen Bereinigungsprozess eingerichtet hat.

FolioDoc uebernimmt die Aufbewahrung automatisch. Standardmaessig werden alle Daten einer abgeschlossenen oder abgelaufenen Anfrage nach 90 Tagen geloescht. Das umfasst hochgeladene Dateien, Empfaenger-Antworten, Metadaten und den Benachrichtigungsverlauf. Die Aufbewahrungsfrist ist ueber die Umgebungsvariable DATA_RETENTION_DAYS konfigurierbar, falls dein Anwendungsfall ein kuerzeres oder laengeres Zeitfenster erfordert. Die Bereinigung laeuft als automatisierter Hintergrund-Task — du musst nicht daran denken, es manuell zu erledigen.

Du kannst ausserdem jede Anfrage und ihre Daten jederzeit sofort ueber die API oder das Dashboard loeschen. Die Loeschung ist kein Soft Delete — Dateien werden physisch vom Speicher entfernt, nicht nur in der Datenbank als geloescht markiert.

Die Standard-Aufbewahrungsfrist von FolioDoc betraegt 90 Tage nach Abschluss oder Ablauf einer Anfrage. Danach werden alle Daten — Dateien, Antworten, Metadaten — automatisch geloescht.

Recht auf Loeschung: Der 'Alles-loeschen'-Button

Erste sichere Dokumentenanfrage erstellen

Artikel 17 gibt betroffenen Personen das Recht, die Loeschung ihrer personenbezogenen Daten zu verlangen. Als Verantwortlicher musst du diese Anfragen erfuellen koennen. Das bedeutet: Die Tools, die du nutzt, muessen eine vollstaendige, nachweisbare Loeschung unterstuetzen.

FolioDoc unterstuetzt das mit einer vollstaendigen Kaskaden-Loeschung. Wenn du eine Anfrage loeschst, wird alles entfernt: Checklisten-Eintraege, Empfaenger-Datensaetze, hochgeladene Dateien, Magic-Link-Tokens, Benachrichtigungsverlauf und Eskalations-Ereignisse. Die Dateien werden physisch vom Speicher geloescht, nicht nur dereferenziert. Wenn eine Dateiloeschung aus irgendeinem Grund fehlschlaegt (Festplattenfehler, Netzwerkproblem), wird ein PendingFileDeletion-Eintrag erstellt und automatisch erneut versucht — Dateien werden nie stillschweigend verwaist.

Fuer die Loeschung auf Kontoebene entfernt der Endpunkt DELETE /api/v1/auth/me/ das gesamte Benutzerkonto und alle zugehoerigen Daten. Jede Loeschung wird in einem unveraenderlichen DeletionLog festgehalten — ein Audit-Trail, der zeigt, was geloescht wurde, wer es ausgeloest hat und wann. Das Log enthaelt keine sensiblen Inhalte, sondern nur die Metadaten, die benoetigt werden, um die Loeschung nachzuweisen.

Datenportabilitaet: Deine Daten mitnehmen

Artikel 20 gibt betroffenen Personen das Recht, ihre personenbezogenen Daten in einem strukturierten, gaengigen, maschinenlesbaren Format zu erhalten. Das ist das Recht auf Datenportabilitaet.

FolioDoc bietet eine Self-Service-Datenexport-Funktion. Ueber die Einstellungsseite kannst du alle Kontodaten im JSON- oder CSV-Format exportieren. Pro-Anfrage-Exporte sind ebenfalls verfuegbar — CSV-Zusammenfassungen plus ZIP-Archive der hochgeladenen Dateien. Der API-Endpunkt ist GET /api/v1/auth/me/export/ mit einem optionalen Format-Parameter. Kein E-Mail an den Support schreiben und drei Wochen warten.

Sicherheitsmassnahmen: Art. 32

Artikel 32 verlangt von Verantwortlichen und Auftragsverarbeitern, geeignete technische und organisatorische Sicherheitsmassnahmen umzusetzen. Hier ist, was FolioDoc auf der technischen Seite bietet:

In FolioDoc integrierte Sicherheitsmassnahmen:

  • TLS-Verschluesselung fuer alle Daten waehrend der Uebertragung — jede Verbindung ist HTTPS, ohne Ausnahme
  • 5-Schichten-Dateivalidierung: Dateigroessen-Limits, Content-Type-Pruefung, Erweiterungs-Allowlisting, Magic-Byte-Verifikation und Pro-Empfaenger-Upload-Limits
  • SHA-256-Hashing fuer Magic-Link-Tokens — der eigentliche Token wird nie gespeichert, nur sein Hash
  • Rate-Limiting bei Authentifizierungs-Endpunkten zum Schutz vor Brute-Force-Angriffen
  • PII-bereinigte Fehlermeldungen — Sentry ist so konfiguriert, dass Request-Bodies und Auth-Header vor dem Logging entfernt werden
  • Rollenbasierte Zugriffskontrolle — Nutzer sehen nur die Daten ihres eigenen Workspace

Eine praktische Checkliste

Wenn du Dokumente von Personen in der EU sammelst, hier eine kurze Checkliste, was du beachten solltest:

DSGVO-Checkliste fuer die Dokumentensammlung:

  • Identifiziere deine Rechtsgrundlage fuer die Datenerhebung (Vertrag, Einwilligung, gesetzliche Verpflichtung oder berechtigtes Interesse)
  • Habe einen Auftragsverarbeitungsvertrag (AVV) mit jedem Tool, das personenbezogene Daten beruehrt
  • Informiere die Betroffenen: Sage den Personen, von denen du sammelst, was du sammelst, warum und wie lange du die Daten aufbewahrst
  • Lege Aufbewahrungsfristen fest und halte dich daran — speichere Daten nicht laenger als noetig
  • Habe einen funktionierenden Loeschprozess, der Daten tatsaechlich entfernt, nicht nur versteckt
  • Fuehre Audit-Trails, damit du nachweisen kannst, dass Daten geloescht wurden
  • Unterstuetze Betroffenenrechte: Sei bereit, die Daten einer Person innerhalb von 30 Tagen bereitzustellen, zu exportieren oder zu loeschen
  • Pruefe deine Unterauftragsverarbeiter und stelle sicher, dass auch sie DSGVO-konform sind

Der kostenlose Tarif von FolioDoc enthaelt alle DSGVO-Features — AVV, automatische Loeschung, Loeschungs-API, Datenexport. Keine Paywall fuer Compliance.

DSGVO-Konformitaet muss kein Albtraum sein. Das meiste laeuft darauf hinaus, bewusst zu entscheiden, was du sammelst, transparent zu kommunizieren, was du damit machst, und diszipliniert aufzuraeumen, wenn du fertig bist. Wenn du Tools nutzt, die die technische Seite gut abdecken, kannst du dich auf dein Geschaeft konzentrieren, statt dir ueber Datenschutz-Audits den Kopf zu zerbrechen.

Wir haben FolioDoc mit diesen Prinzipien von Anfang an gebaut — nicht als Nachgedanke oder Premium-Zusatzfunktion. Wenn du Dokumente sammelst und es richtig machen willst, probier es aus.

Verwandte Artikel

Mandantenunterlagen sicher anfordern in 2026 — Leitfaden für Steuerberater und Buchhalter

Praxisleitfaden für Steuerberater und Buchhalter: So fordern Sie Mandantenunterlagen sicher an und sammeln sie ein. Warum E-Mail versagt, DSGVO-Risiken, moderne Alternativen und worauf Sie bei Software achten sollten.

Artikel lesen

Software zur Dokumentensammlung 2026: Worauf es ankommt (und 5 Tools im Vergleich)

Ein praktischer Leitfaden für Tools zur Dokumentensammlung. Wir vergleichen Content Snare, FileInvite, Clustdoc, Superdocu und FolioDoc anhand der Kriterien, die wirklich zählen.

Artikel lesen

Bereit, das Nachfassen zu beenden?

Erstelle deine erste Anfrage in unter 2 Minuten. Kostenloser Tarif, keine Kreditkarte.