Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Vanta

Was macht Vanta?

Vanta ist eine US-Compliance-Automation-Plattform, die Unternehmen bei SOC 2, ISO 27001, ISO 27701, HIPAA, PCI DSS, DSGVO und über 30 weiteren Frameworks unterstützt. Sie verbindet sich mit Cloud-Providern, Identitätssystemen, Code-Repositories und HR-Tools, um Kontrollen kontinuierlich zu prüfen. Vanta verarbeitet Mitarbeiterverzeichnis, Systeminventar, Schwachstellenbefunde und Belege der Policy-Akzeptanz und ist damit ein kritischer Compliance-Auftragsverarbeiter, der selbst DSGVO-konform sein muss.

Was Vanta ist und wie es funktioniert

Vanta ist eine Compliance-Automation-Plattform der Vanta Inc. (San Francisco), die SaaS-Unternehmen zu SOC-2-, ISO-27001-, und weiteren Audits führt. Die Plattform verbindet sich per Read-only-Integrationen mit über 200 Systemen (AWS, GCP, Azure, Microsoft 365, Google Workspace, Okta, JumpCloud, GitHub, Jira, Slack u. v. m.) und prüft kontinuierlich, ob die zugehörigen Kontrollen vorhanden sind. Zusätzlich verwaltet Vanta interne Richtlinien, Lieferanten-Risikobewertungen, Mitarbeiter-Trainings und die Sammlung von Audit-Belegen.

Welche Daten Vanta verarbeitet

Vanta verarbeitet Verzeichnisattribute (Name, dienstliche E-Mail, Rolle, Eintritts-/Austrittsdaten, Vorgesetzte), Geräte-Inventar aus MDM (Laptops, OS, Verschlüsselung, Bildschirmsperre), Trainingsnachweise, Policy-Akzeptanzen, Access-Review-Snapshots, Cloud-Konfigurations-Metadaten (keine Produktionsdaten, nur Ressourcenkonfiguration), Schwachstellenscan-Ergebnisse aus angebundenen Scannern und Lieferanten-Fragebögen. Sensible Inhalte (Produktionsdaten, Kundendaten) sind ausdrücklich nicht im Scope, können aber bei zu weit gefassten Integrationsumfängen leaken.

DSGVO-Implikationen

Vanta ist Auftragsverarbeiter personenbezogener Mitarbeiterdaten. Verantwortlicher ist der Arbeitgeber, der den Vanta-AVV abschließen, die Verarbeitung im Verzeichnis dokumentieren und Mitarbeitende informieren muss. Da Vanta selbst ein Compliance-Tool ist, veröffentlicht es umfangreiche ISO-27001-, und SOC-2-Berichte über sich, was die Due Diligence erleichtert. Wegen der Breite der Integrationen und der Supervisions-Komponente (Trainings, Access-Reviews) wird üblicherweise eine DSFA empfohlen.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligung und Rechtsgrundlage

Mitarbeiterdaten in Vanta werden auf Grundlage von Art. 6(1)(b) (Arbeitsvertrag) und Art. 6(1)(f) (berechtigtes Interesse an Sicherheit/Compliance) verarbeitet, nicht auf Einwilligung. In Deutschland und Frankreich sind Betriebsrat/CSE zu informieren und bei aktivierter Geräte-, oder Verhaltensaufsicht nach Art. 88 DSGVO und nationalem Arbeitsrecht zu konsultieren. Eine Einwilligung ist für den Betrieb nicht erforderlich, eine Information aber Pflicht.

Datenresidenz und US-Transfers

Vanta wird standardmäßig auf AWS us-west gehostet. Für Kunden mit strengen Residenzanforderungen ist eine EU-Region (AWS Irland oder Frankfurt, je nach Verfügbarkeit) wählbar. Für US-Deployments gelten SCC, und Vanta ist im EU, US Data Privacy Framework zertifiziert. Führen Sie eine TIA durch und dokumentieren Sie TOMs (Verschlüsselung at-rest/in-transit, kundenseitig verwaltete Integrationsumfänge, beschränkte Audit-Tokens).

Praktische Compliance-Schritte

Schließen Sie den Vanta-AVV, wählen Sie die EU-Region wo möglich, dokumentieren Sie Vanta im Verarbeitungsverzeichnis, informieren Sie Mitarbeitende, schränken Sie Integrationsumfänge auf das Mindeste ein, erzwingen Sie MFA und SSO im Vanta-Admin, führen Sie für US-Deployments eine TIA und im Skaleneinsatz eine DSFA durch, stimmen Sie die Aufbewahrung von Trainings-, und Policy-Belegen mit den Audit-Anforderungen ab und prüfen Sie Subunternehmer-Änderungen.

GDPR consent category

Essenziell

Websites using Vanta must obtain user consent under GDPR regulations.

Legal basisContract performance (Art. 6(1)(b) GDPR) for compliance program operations; legitimate interest (Art. 6(1)(f)) for security monitoring

Risk levelmedium

Applicable regulationsGDPR, SOC 2, ISO 27001, ISO 27701, HIPAA where applicable, NIS2

DPIA considerations

Vanta erfasst über 200+ Integrationen umfangreiche Daten: Mitarbeiterverzeichnis (Name, dienstliche E-Mail, Rolle, Vorgesetzte, Eintritts-, und Austrittsdaten), Geräte-Inventar (Laptops, mobile Geräte mit MDM-Daten), Code-Repo-Metadaten (Commits, Beiträger, Branch-Protections), Cloud-Konfigurations-Snapshots (AWS, GCP, Azure), Schwachstellenbefunde, Access-Reviews, Trainingsnachweise und unterzeichnete Policy-Akzeptanzen. Wesentliche DSFA-Aspekte: (1) Vanta hat Lesezugriff auf viele interne Systeme und ist ein privilegierter Auftragsverarbeiter; (2) Trainings-, und Access-Review-Datensätze können in HR-Entscheidungen einfließen; (3) Integrations-Tokens können breiteren Zugriff geben als für Belege erforderlich; (4) Auditoren mit Read-only-Zugriff erzeugen nachgelagerte Datenflüsse; (5) Subunternehmer-Änderungen (OpenAI für Vanta AI) führen zu zusätzlichen Drittlandrisiken.

Sample consent text

Vanta wird von Ihrem Arbeitgeber genutzt, um Compliance und Security-Monitoring zu automatisieren. Vanta verarbeitet Ihre dienstlichen Kontodaten, das Geräte-Inventar und Sicherheitstrainingsnachweise, um die Einhaltung von Standards wie SOC 2 und ISO 27001 nachzuweisen. Daten können an Vanta-Server in den USA (oder in die EU-Region, sofern gewählt) übertragen werden. Details: interne Mitarbeiter-Datenschutzerklärung.

Technical details

Tracking methodServer side integrations (no front end widget); admin app at app.vanta.com

Server locationUnited States (Vanta Inc., AWS us-west) with optional EU region

Data transferred outside the EUVanta is a US headquartered compliance automation platform hosted primarily on AWS us-west. An EU region is available for customers requiring data residency. For US deployments, transfers rely on Standard Contractual Clauses and the EU, US Data Privacy Framework.

Third-party domains contacted

vanta.comapp.vanta.comapi.vanta.comcdn.vanta.com

Cookies placed

Name	Type	Duration	Purpose
_vanta_session	Strictly Necessary	Session	Vanta admin application session cookie used to maintain authenticated state during a login.
csrf_token	Strictly Necessary	Session	Cross site request forgery protection token used to prevent unauthorised state changing requests.
_vanta_marketing	Marketing	1 year	Used on the public marketing site at vanta.com (not on customer admin app) to attribute leads and track campaign performance.

Vanta ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Setzt Vanta Cookies bei Besucher-Browsern?

Vanta ist kein Frontend-Widget auf Kunden-Websites und setzt damit keine Cookies bei öffentlichen Besuchern. Die Admin-Anwendung app.vanta.com setzt Sitzungs-, und CSRF-Cookies auf ihrer Domain, jedoch nur für authentifizierte Admins und Beschäftigte, nicht für externe Besucher.

Ist eine Einwilligung erforderlich, um Vanta zu nutzen?

Nein, Einwilligung ist nicht die Rechtsgrundlage. Vanta verarbeitet Mitarbeiterdaten für Vertragserfüllung (Art. 6(1)(b) DSGVO) und das berechtigte Interesse an Sicherheit und Compliance (Art. 6(1)(f)). Beschäftigte sind über die interne Datenschutzerklärung zu informieren; in einigen Staaten ist eine Betriebsratskonsultation erforderlich.

Was ist die Rechtsgrundlage in Vanta?

Für Identitäts-, und Compliance-Belege Vertragserfüllung und berechtigtes Interesse an IT-Sicherheit und regulatorischer Compliance. Bei externer Auditor-Einsicht in den Vanta-Workspace ist ein zusätzlicher Zweck zu dokumentieren und die Beschäftigten zu informieren.

Überträgt Vanta Daten in die USA?

Standardmäßig ja. Default-Hosting ist AWS us-west. Eine EU-Region steht für Kunden mit Residenzanforderungen zur Verfügung. Für US-Deployments stützen sich Transfers auf SCC und das EU, US Data Privacy Framework, in dem Vanta zertifiziert ist.

Brauche ich eine DSFA für Vanta?

Eine DSFA wird empfohlen, wenn Vanta mit zahlreichen Systemen verbunden ist und umfassende Mitarbeiterdaten aggregiert, besonders in regulierten Branchen. Breite Integrationen, Trainings-, und Access-Review-Daten sowie KI-Funktionen verstärken die DSFA-Begründung nach Art. 35 DSGVO.

Wie setze ich Vanta DSGVO-konform um?

Schließen Sie den Vanta-AVV, wählen Sie EU-Region, wo möglich, führen Sie für US-Deployments eine TIA durch, dokumentieren Sie Vanta im Verzeichnis, informieren Sie Beschäftigte, beschränken Sie Integrationsumfänge auf das Mindeste (Read-only, minimale Rechte), erzwingen Sie MFA und SSO im Vanta-Admin, führen Sie eine DSFA durch, stimmen Sie die Aufbewahrung auf den Audit-Kalender ab und prüfen Sie Subunternehmer-Updates.

Welche Alternativen zu Vanta gibt es?

EU-basierte oder hybride Alternativen sind u. a. Drata (US mit EU-Residenz), Sprinto (mit EU-Optionen), Secureframe (US mit EU-Residenz), Tugboat Logic und open source das Open-Policy-Agent-Ökosystem mit eigener Beweissammlung. Für reine EU-Residenz sind Drata EU oder eigene Automation am stärksten.

Wie sollte die Mitarbeiter-Datenschutzerklärung Vanta beschreiben?

Nennen Sie die Vanta Inc. als Auftragsverarbeiter, listen Sie die Datenkategorien (Kontoattribute, Geräte-Inventar, Trainings-/Policy-Belege, Access-Review-Snapshots), die Rechtsgrundlage (Vertrag, berechtigtes Interesse), die Aufbewahrungsdauer (laut Vanta und Audit-Kalender), die Hosting-Region (US oder EU), den Transfer-Mechanismus (SCC, Data Privacy Framework) und die Wege zur Wahrnehmung der DSGVO-Rechte.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note