Die doppelte Rolle
Als SaaS-Unternehmen haben Sie zwei DSGVO-Rollen gleichzeitig:
Verantwortlicher (Artikel 4 Nr. 7): Für die Daten Ihrer eigenen Mitarbeiter, Website-Besucher und Geschäftskontakte. Sie entscheiden über Zweck und Mittel der Verarbeitung.
Auftragsverarbeiter (Artikel 4 Nr. 8): Für die Daten, die Ihre Kunden über Ihre Plattform verarbeiten. Sie verarbeiten im Auftrag Ihrer Kunden.
Auf Datenbankebene bedeutet das: Sie müssen Daten für beide Rollen korrekt handhaben.
Baseline in 5 Minuten
-- 1. pgcomply installieren
\i pgcomply.sql
-- 2. Automatische Erkennung und Klassifizierung
SELECT pgcomply.quick_setup();
quick_setup() macht:
- Scannt alle Tabellen nach PII-Spalten (E-Mail, Name, Telefon, Adresse, IP, IBAN...)
- Klassifiziert Tabellen nach Sensitivität (public, internal, confidential, restricted)
- Startet die erste Sicherheitsprüfung (14 CIS-Checks)
- Richtet den Audit-Trail ein
Die vier DSGVO-Kernfähigkeiten
1. Löschung bei Kündigung
Wenn ein Kunde kündigt oder ein Nutzer sein Konto löscht:
-- Alle Daten finden
SELECT pgcomply.inspect('user-uuid-12345');
-- Alles löschen (respektiert Aufbewahrungspflichten)
SELECT pgcomply.forget('user-uuid-12345');
-- Nachweis
SELECT * FROM pgcomply.verify_forget('user-uuid-12345');
2. Auskunft auf Anfrage
-- JSON-Export aller personenbezogenen Daten
SELECT pgcomply.export_user_data('user-uuid-12345', 'json');
3. Einwilligungsverwaltung
-- Verarbeitungszwecke definieren
SELECT pgcomply.define_purpose('newsletter', 'Wöchentlicher Newsletter', 'consent');
SELECT pgcomply.define_purpose('analytics', 'Produktverbesserung', 'legitimate_interest');
-- Einwilligung protokollieren
SELECT pgcomply.grant_consent('user-uuid-12345', 'newsletter',
source := 'signup_form_v3',
evidence := 'Double-Opt-In bestätigt am 2026-02-06'
);
-- Widerruf
SELECT pgcomply.withdraw_consent('user-uuid-12345', 'newsletter');
4. Audit-Trail für Rechenschaftspflicht
Jede Operation wird automatisch protokolliert:
-- Integrität prüfen
SELECT pgcomply.verify_audit();
-- "Audit trail integrity verified. 1,247 entries, chain intact."
Enterprise-Kunden gewinnen
Bei Enterprise-Sales werden diese Fragen gestellt:
| Due-Diligence-Frage | Ohne pgcomply | Mit pgcomply |
|---|---|---|
| „Können Sie unsere Daten bei Vertragsende löschen?" | „Ja, theoretisch…" | forget() — nachweisbar, auditiert |
| „Wo liegen unsere personenbezogenen Daten?" | „Ich frage das Engineering-Team" | classification_map() — sofortige Übersicht |
| „Haben Sie einen Audit-Trail?" | „Wir haben Application-Logs" | verify_audit() — kryptographisch gesichert |
| „Wie schnell können Sie eine Auskunft liefern?" | „Ein paar Tage" | export_user_data() — Sekunden |
Diese Antworten schließen Deals. Vage Antworten verlieren sie.
AVV-relevante TOMs dokumentieren
Für den Auftragsverarbeitungsvertrag benötigen Sie technisch-organisatorische Maßnahmen:
-- Verschlüsselung
SELECT * FROM pgcomply.health_check() WHERE rule = 'SSL_ENFORCED';
-- Zugriffskontrolle
SELECT * FROM pgcomply.access_map();
SELECT * FROM pgcomply.role_hierarchy();
-- Pseudonymisierung
SELECT * FROM pgcomply.masking_status();
-- Wiederherstellbarkeit
-- → Backup-Dokumentation + pgcomply.verify_audit()
-- Regelmäßige Überprüfung
SELECT * FROM pgcomply.health_check();
Kosten-Realität
| Posten | Eigenentwicklung | Mit pgcomply | |--------|-----------------|-------------| | Löschfähigkeit | 2-3 Wochen Engineering | 1 Stunde Setup | | Audit-Trail | 1-2 Wochen Engineering | Inklusiv | | Auskunftsfähigkeit | 1 Woche Engineering | Inklusiv | | Compliance-Berater | 5-15k EUR pro Review | Nachweise sind selbstdokumentierend | | Erstes Jahr gesamt | 60-100k EUR (Zeit + Beratung) | 588 EUR (Pro Jahresabo) |
Die Rechnung ist eindeutig: DSGVO-Compliance selbst zu bauen kostet ein Vielfaches dessen, was pgcomply kostet — und das Ergebnis ist weniger zuverlässig.