SAP Customer Data Cloud und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber die SAP Customer Data Cloud (ehemals Gigya) für Nutzerregistrierung, Login und Einwilligungsmanagement ein, verarbeitet er Kundendaten (Name, E-Mail, Passwort-Hash, Profildaten, Consent-Status) zum Zweck der Authentifizierung, Identitätsverwaltung und Compliance mit Datenschutzvorschriften auf Basis von Vertragsdurchführung und berechtigten Interessen. SAP SE, Walldorf, Deutschland, fungiert dabei als Auftragsverarbeiter und ein deutsches Unternehmen – was das datenschutzrechtliche Profil gegenüber US-basierten Anbietern grundlegend vereinfacht.

Diese Anleitung richtet sich an Webseitenbetreiber, die SAP Customer Data Cloud für Registration-as-a-Service (RaaS), Login-Management und Consent/Preference Management einsetzen und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

A. Zweck und Funktionsweise von SAP Customer Data Cloud

Die SAP Customer Data Cloud (ehemals »Gigya« – ein von SAP 2017 akquiriertes Unternehmen) ist eine Customer Identity and Access Management (CIAM) Plattform mit Schwerpunkt auf:

• Registration-as-a-Service (RaaS): Verwaltete Registrierungs- und Login-Prozesse für Websites
• Social Login: Authentifizierung über Social-Networks (Facebook, Google, LinkedIn, etc.)
• Consent und Preference Management: Zentrale Verwaltung und Dokumentation von Benutzereinwilligungen zu Datennutzung, Marketing, Cookies
• Profile Data Management: Zentrale Nutzerdatenbank mit erweiterbaren Profil-Feldern
• Progressive Profiling: Stufenweise Erfassung von Nutzerinformationen über mehrere Besuche

Integrationsfunktion auf der Website:

1. Gigya Screen-Sets (UI-Komponenten): SAP stellt vorgefertigte Registrierungs- und Login-Formulare bereit, die der Websitenbetreiber auf seiner Website einbindet (als HTML/CSS/JavaScript)
2. JavaScript SDK: Ein Skript wird auf der Website implementiert, das Nutzerinteraktionen verfolgt und mit den SAP-Servern kommuniziert
3. Consent Vault: Ein Speicher für alle Nutzereintretungen (Zeitstempel, Formulierung, Versionnummer)
4. Social Provider Integration: Bei Bedarf werden Social-Network-Profile mit dem lokalen Nutzerkonto verbunden

Typischer Ablauf:

• Nutzer besucht die Website
• Nutzer klickt »Registrieren« oder »Mit Google anmelden«
• Gigya Screen-Set zeigt Registrierungsformular
• Nutzer gibt Name, E-Mail, Passwort ein und stimmt Datenschutzerklärung zu
• Gigya speichert das Profil und den Consent-Status
• Nutzer ist angemeldet und kann auf die Website zugreifen

B. Pflichtangaben in der Datenschutzerklärung zu SAP CDC

Die DSGVO verlangt: Zwecke (Art. 13 Abs. 1 lit. c), Rechtsgrundlagen (Art. 13 Abs. 1 lit. a), Empfängerkategorien (Art. 13 Abs. 1 lit. e), Drittlandtransfers (Art. 13 Abs. 1 lit. f, falls relevant) und Speicherdauer (Art. 13 Abs. 2 lit. a).

Sichtweise auf SAP CDC-Integration: Viele Websitenbetreiber schreiben zu SAP CDC nur »SAP verwaltet Nutzerdaten« – dies ist zu allgemein. Stattdessen sollte transparent werden:

• Wofür die Registrierung nötig ist (Zugang zu Website, Newsletter, Kundenkonto)?
• Welche Daten gesammelt werden (Name, E-Mail, Profilfelder, Consent-Status)?
• Zu welchem Zweck (Authentifizierung, Consent-Dokumentation, Compliance)?
• Aufgrund welcher Rechtsgrundlage (Vertrag, berechtigte Interessen)?
• Wo werden die Daten verarbeitet (in der EU, da SAP deutsch ist)?

Besser: Ein themenorientierter Abschnitt »Nutzerregistrierung und Authentifizierung« mit Beschreibung aller Identitäts-Management-Systeme.

C. Anbieter von SAP Customer Data Cloud: SAP SE

Juristischer Name: SAP SE

Anschrift: Dietmar-Hopp-Allee 16, 69190 Walldorf, Deutschland

Sitzland: Deutschland (Europäische Union)

Datenschutzerklärung: https://www.sap.com/about/legal/privacy.html

DPF-Status: SAP SE ist ein deutsches (EU-based) Unternehmen und unterliegt nicht dem Data Privacy Framework (DPF). Das DPF gilt nur für US-Unternehmen. SAP unterliegt direkt der EU-DSGVO ohne Transfermechanismen, was das Datenschutzprofil deutlich vereinfacht.

Datenschutzvereinbarung (DPA/AVV): SAP bietet eine standardisierte Cloud DPA (Data Processing Addendum) an. Diese ist verfügbar unter:

• Englisch: https://www.sap.com/about/legal/privacy.html (Link zu Cloud Terms and Conditions)
• Deutsch: https://www.sap.com/germany/about/legal/privacy.html

Die Cloud DPA regelt:

• SAP-Rolle als Auftragsverarbeiter (Art. 28 DSGVO)
• Sicherheitsstandards (ISO 27001, BSI C5 für deutsche Datencenter)
• Unterstützung bei Betroffenenrechten
• Subprozessoren-Verwaltung
• EU-Datenspeicherung (ohne Drittlandtransfers, falls EU-Datencenter gewählt)
• Ggf. Standard Contractual Clauses (SCC) für Subprozessoren außerhalb der EU

Die DPA muss unterzeichnet sein, um SAP CDC DSGVO-konform zu nutzen.

D. Datenverarbeitung durch SAP CDC – Ablauf

E. Erhobene Daten beim Einsatz von SAP CDC

Bei der Nutzung von SAP Customer Data Cloud verarbeitet der Websitenbetreiber folgende Datenarten:

• Vorname und Nachname
• E-Mail-Adresse
• Passwort (einwegverschlüsselt/gehashed)
• Geburtsdatum (optional)
• Land/Region
• Zusätzliche Profil-Felder (je nach Konfiguration durch Websitenbetreiber: Branche, Job Title, Unternehmen, Telefon, Adresse)
• Consent-Status (ja/nein für Marketing, Cookies, Datenschutzerklärung, etc.)
• Consent-Zeitstempel und Versionnummer
• IP-Adresse (bei Registrierung und Login)
• User-Agent und Browser-Informationen
• Social-Provider-ID (falls Social Login genutzt)
• Login-Verläufe (Datum/Uhrzeit, erfolgreiche/fehlgeschlagene Versuche)
• Session-IDs und technische Session-Daten

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, Browser/OS, User-Agent
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung
• Browserinformationen: Browsername, -version, installierte Plug-ins
• Nutzungskonto-Daten: Name, E-Mail-Adresse, Passwort (gehashed), Geburtsdatum, Adresse
• Nutzerprofile: Branche, Job-Titel, Unternehmen, Interessen, Kontakt-Informationen
• Interaktionsdaten: Login-Verläufe, Session-Dauer, Besuche im Profil-Editor

F. Nutzungszwecke beim Einsatz von SAP CDC

Bei der Nutzung von SAP Customer Data Cloud werden Daten zu folgenden Zwecken verarbeitet:

Primäre Zwecke:

• Funktionsbereitstellung: Bereitstellung des Registrierungs- und Login-Systems
• Authentifizierung: Validierung der Benutzeridentität bei jedem Login
• Zugriffskontrolle: Feststellung der Zugriffsberechtigung auf Website-Funktionen und geschützte Inhalte
• Kontoverwaltung: Profil-Bearbeitung, Passwort-Reset, Kontosicherheit
• Compliance und Einwilligungsmanagement: Dokumentation und Speicherung aller Benutzereinwilligungen (DSGVO-Anforderung)
• Sicherheit: Betrugsprävention, Erkennung ungewöhnlicher Anmeldeversuche, Bot-Protection
• Vertragsdurchführung: Erfüllung eines ggf. bestehenden Kundenbindungsvertrags

Sekundäre Zwecke (falls aktiviert):

• Produktverbesserung: Analyse von Registrierungs- und Login-Mustern
• Betroffenenrechte: Bereithaltung von Datenexporten und Verwaltung von Löschanfragen
• Kommunikation: Versand von Willkommensmails, Passwort-Reset-Links, Sicherheitsbenachrichtigungen

G. Rechtsgrundlagen für SAP CDC

Schritt 1: Kategorisierung von SAP CDC SAP Customer Data Cloud ist ein Auftragsverarbeiter (Art. 28 DSGVO) für die Speicherung und Verwaltung von Nutzerprofilen. Der Websitenbetreiber ist Verantwortlicher und muss sicherstellen, dass:

• Eine Rechtsgrundlage für die Datenerhebung besteht
• Die DPA mit SAP unterzeichnet ist
• Eine Datenschutzerklärung Nutzer über die Verarbeitung informiert

Schritt 2: Anwendbare Rechtsgrundlagen

1. Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) – Primär für Registrierung/Login:

   • Die Bereitstellung eines Nutzerkontos ist typischerweise notwendig zur Erfüllung eines Vertrags mit dem Nutzer (Zugang zu Website-Funktionen, Download von Inhalten, etc.)
   • Die Speicherung von Name, E-Mail und Passwort ist zur Authentifizierung notwendig
   • Diese ist die stärkste Rechtsgrundlage für die Kern-Funktionen

2. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Für Sicherheit und Optimierung:

   • Der Websitenbetreiber hat ein berechtigtes Interesse, sein Konto-System sicher zu halten (Betrugsprävention, Bot-Schutz)
   • Der Websitenbetreiber hat ein berechtigtes Interesse, Registrierungs- und Login-Prozesse zu verbessern
   • Abwägung: Diese Interessen überwiegen die Interessen des Nutzers, da sie zum Schutz und zur Verbesserung des Dienstes notwendig sind

3. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Optional:

   • Nicht erforderlich für Basis-Funktionen (Registrierung, Authentifizierung)
   • Optional: Falls der Websitenbetreiber zusätzliche Profil-Felder sammelt (z.B. »Interessiert an Marketing?«), kann Einwilligung verlangt werden

4. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – Für Compliance:

   • Keine direkten Gesetze für Registrierungssysteme, aber allgemein: Aufbewahrung von Dokumenten für Betroffenenrechtsanfragen und Audit-Trails

Besonderheit – Consent Management und Dokumentation: Der Zweck von SAP CDC beinhaltet auch das Dokumentieren von Einwilligungen (z.B. zu Marketing, Cookies, Datenschutzerklärung). Dieses Dokumentieren ist selbst eine Datenverarbeitung und benötigt eine Rechtsgrundlage. Typisch:

• Vertragsdurchführung: Falls die Einwilligung notwendig ist, um den Service zu erbringen
• Berechtigte Interessen: Der Websitenbetreiber hat Interesse, Einwilligungen zu dokumentieren (für DSGVO-Compliance und Audit-Trail)

H. Besonderheiten und Hinweise zu SAP CDC

1. SAP ist ein deutsches Unternehmen – großer Vorteil SAP SE ist in Walldorf, Deutschland ansässig und unterliegt direkt der DSGVO. Das bedeutet:

• Keine Drittlandtransfers erforderlich (im Gegensatz zu US-Anbietern wie Braze oder PayPal)
• Keine Data Privacy Framework Zertifizierung nötig (SAP ist EU-Unternehmen)
• Einfachere Rechtsstruktur: Kein zusätzliches Transfermechanismus-Management
• Deutsche Behördenkooperation: Anfragen von deutschen Datenschutzbehörden sind leichter zu handhaben

Dies ist ein erheblicher Compliance-Vorteil gegenüber US-Tools.

2. SAP Customer Data Cloud ist nicht SAP SuccessFactors Wichtige Unterscheidung:

• SAP Customer Data Cloud (ehemals Gigya): Für Websites – Nutzer-Registrierung, Login, Consent Management
• SAP SuccessFactors: HR-Software für Mitarbeiterdaten – für interne Personalverwaltung Diese Anleitung fokussiert auf SAP Customer Data Cloud für Websites. SuccessFactors ist ein separates Produkt mit anderer Datenschutzlogik.

3. DPA ist zwingend erforderlich Sie müssen eine Cloud DPA mit SAP haben. Diese regelt:

• SAP als Auftragsverarbeiter (Art. 28 DSGVO)
• Sicherheitsstandards
• Datencenter-Standorte (ideal: EU-exklusiv)
• Unterstützung bei Betroffenenrechten Verfügbar unter SAP Trust Center.

4. EU-Datencenter-Option nutzen SAP bietet die Möglichkeit, Daten ausschließlich in EU-Rechenzentern zu speichern (z.B. Deutschland, Irland). Dies ist empfohlen:

• Keine Drittlandtransfers
• Einfachere Compliance
• Bessere Performance für EU-Nutzer Prüfen Sie dies bei der Konfiguration von SAP CDC.

5. Consent Vault und Audit-Trail SAP CDC beinhaltet eine Consent Vault, die alle Einwilligungen mit:

• Datum und Uhrzeit
• Formulierung der Zustimmung
• Versionnummer
• IP-Adresse speichert. Dies ist eine DSGVO-Anforderung (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO) und ein großer Vorteil für die Dokumentation.

6. Betroffenenrechte und Recht auf Vergessenwerden Nutzer können:

• Auskunft über ihre Daten verlangen (Art. 15 DSGVO)
• Ihre Daten korrigieren (Art. 16 DSGVO)
• Ihr Konto löschen (Art. 17 DSGVO – »Recht auf Vergessenwerden«)

SAP CDC unterstützt diese Funktionen über Admin-Interface. Sie sollten einen Prozess haben, Anfragen entgegenzunehmen und umzusetzen.

7. Subprozessoren und Datenflüsse Prüfen Sie die SAP-Subprozessoren-Liste (im SAP Trust Center):

• Wo werden Backups gespeichert?
• Welche Cloud-Infrastruktur wird genutzt (AWS, Azure, etc.)?
• Welche Drittanbieter (Email-Services, etc.) haben Zugriff auf Daten?

I. FAQ zu SAP Customer Data Cloud

J. Fazit und Empfehlung zu SAP CDC

SAP Customer Data Cloud ist ein EU-konformes, deutsches Identitätsverwaltungs-Tool, das viele datenschutzrechtliche Vorteile gegenüber US-basierten Alternativen bietet:

• Deutsches Unternehmen (SAP SE) – direkt DSGVO-unterworfen
• Consent Vault – Audit-Trail für alle Einwilligungen
• EU-Datencenter-Optionen – keine Drittlandtransfers erforderlich
• Unterstützung für Betroffenenrechte – Datenexport, Löschung, Änderung

Toolspezifische Textbausteine (»SAP verwaltet Daten«) sind zu kurz und erklären nicht, was ein Registrierungssystem tut und wie es datenschutzrechtlich funktioniert.

Empfehlung: Nutzen Sie einen themenorientierten Aufbau:

• Sektion »Nutzerregistrierung und Authentifizierung« mit Beschreibung des Registrierungsprozesses
• Klare Information: »Wir nutzen SAP Customer Data Cloud, ein deutsches Identitätsverwaltungssystem«
• Sektion »Betroffenenrechte« mit Info zu Datenexport, Änderung, Löschung
• Verweis auf die Consent Vault für Einwilligungsdokumentation
• Sektion »Datensicherheit« mit Info zu EU-Datencenter und Verschlüsselung

Stellen Sie sicher, dass:

• Die Cloud DPA mit SAP unterzeichnet ist
• EU-Datencenter konfiguriert ist (falls möglich)
• Nutzer ihre Konten selbst verwalten können
• Ein Prozess für Betroffenenrechtsanfragen besteht