SaaS Datenschutz

Software as a Service (SaaS): Darauf sollten Sie beim Datenschutz achten

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(7 Bewertungen, 4.57 von 5)

Das Wichtigste in Kürze

  • SaaS steht für Software as a Service: Statt einer notwendigen lokalen Installation wird die verwendete Software online vom Anbieter gehostet und verwaltet.
  • Wer SaaS wie Photoshop, Slack oder Microsoft Teams im Unternehmen nutzen möchte, sollte auf die Datenschutzvorgaben der DSGVO achten.
  • Werden personenbezogene Daten übermittelt, sollten Anwenderunternehmen einen AV-Vertrag inklusive TOM abschließen, die Datenschutzerklärung prüfen und einen Serverstandort in der EU bevorzugen.

Worum geht's?

Die Zeiten, in denen Unternehmen Software kauften und auf ihren lokalen Servern installieren mussten, sind fast vorbei. Heute kommen Programme und Dienste direkt aus dem Internet. SaaS heißt die Lösung: Software as a Service. Bei der Nutzung werden häufig auch personenbezogene Daten von Mitarbeitenden und Kunden erhoben, verarbeitet und an Dritte übermittelt. Das birgt Risiken beim Datenschutz – denn die Unternehmen sind weiterhin für die Datensicherheit verantwortlich. Was es beim Thema Datenschutz und SaaS für Anwenderunternehmen und SaaS-Entwickler zu beachten gilt, lesen Sie in diesem Beitrag.

1. Was bedeutet Software as a Service (SaaS)?

Software-as-a-Service (kurz: SaaS) fällt in den Bereich des Cloud-Computing. Man versteht darunter ein spezielles Modell, bei dem die Software auf einer Cloud-Integration basiert. Statt eine klassische Nutzungslizenz für die Software zu erwerben, wird diese auf einer Online-Cloud bereitgestellt. Sie können die Software grundsätzlich auf Ihren lokalen Systemen installieren – verbreiteter ist aber die Anwendung der Cloud Services im Browser oder via App.

SaaS-Lösungen haben entscheidende Vorteile: Als Nutzer können Sie jederzeit (begrenzt oder unbegrenzt) auf die Software zugreifen und müssen sich nicht um die Speicherung der Daten kümmern, da diese automatisiert stattfindet.

Sören Siebert
Sören SiebertRechtsanwalt

Der SaaS-Dienst wird stetig durch den Cloud-Anbieter weiterentwickelt. Bei einer neuen Softwareversion werden Ihnen die benötigten IT-Updates in der Cloud zur Verfügung gestellt. Auch müssen Sie nicht einmalig eine hohe Nutzungsgebühr leisten, sondern zahlen für die Verwendung eine laufende Gebühr.

Adobe Systems, Google und Microsoft sind nur einige der Unternehmen, die auf Cloud-Dienste und Software-as-a-Service-Lösungen bauen. Das Angebot reicht von klassischen CRM-Systemen über Software für den Kreativbereich wie Photoshop und Illustrator bis hin zu einfachen E-Mail-Diensten. Doch so breit gefächert das Angebot und die Vorteile von Software as a Service auch sind, gibt es dennoch einige Besonderheiten beim Thema SaaS, Datenschutz und Datensicherheit.

2. Welche Risiken gibt es bei SaaS und Datenschutz?

Innerhalb von SaaS und Cloud-Lösungen werden online Informationen verarbeitet. Kritisch wird es dann, wenn bei der Nutzung personenbezogene Daten an den SaaS-Anbieter übermittelt werden. Da sich eine solche Datenübermittlung meist nicht verhindern lässt, müssen Datenschutz und Informationssicherheit in jedem Fall beachtet werden. Das ist vor allem für Unternehmen ohne Rechtsabteilung oder großes Know-how in Sachen SaaS-Datenschutz keine leichte Aufgabe. Worauf kommt es also an?

Im Rahmen der Datenschutzgrundverordnung (DSGVO) ist zunächst zu klären, welche Art von Daten übermittelt wird und wohin diese Datenübertragung erfolgt. Innerhalb der EU gelten durch die DSGVO strenge Vorschriften, was die Erhebung, Verarbeitung und Übertragung personenbezogener Daten betrifft. In der Regel können Sie bei Software-Anbietern aus der Europäischen Union davon ausgehen, dass ein hohes Niveau des Datenschutzes sichergestellt ist.

Werden jedoch Daten an Nicht-EU-Länder oder außerhalb des Europäischen Wirtschaftsraum (EWR) übertragen, sieht die Sache anders aus – hier müssen Sie den Datenschutz der sensiblen Informationen selbst sicherstellen.

Bei vielen SaaS- und Cloud-Anbietern wie Google und Microsoft handelt es sich um US-Unternehmen, sodass eine Datenübertragung in die USA erfolgt, sofern es keine Serverstandorte in der EU gibt. Nachdem der Europäische Gerichtshof (EuGH) 2020 mit dem Schrems-II-Urteil das „Privacy-Shield“ als Grundlage für einen sicheren Datentransfer aus der EU in die USA gekippt hat, müssen Sie prüfen, ob ein angemessenes Schutzniveau bei der Datenverarbeitung im Drittland sichergestellt ist.

PRAXIS-TIPP

Möchten Sie in Ihrem Unternehmen die Software-Lösung solcher Anbieter verwenden – wie es viele Betriebe durch die Nutzung von Microsoft Teams, Slack oder Google Workspace tun – ist es also unverzichtbar, dass Datenschutzbestimmungen wie die Vorschriften der DSGVO eingehalten werden. Ist das nicht der Fall, können Ihrem Unternehmen satte DSGVO-Bußgelder drohen.

3. Wie kann ich SaaS im Unternehmen rechtssicher nutzen?

Planen Sie SaaS-Anwendungen in Ihre Geschäftsmodelle zu integrieren oder nutzen diese bereits, sollten Sie gewisse Vorkehrungen beim Thema SaaS und Datenschutz treffen.

Vorkehrungen beim Thema SaaS & Datenschutz
Zu diesen gehören insbesondere:
  • Auftragsverarbeitungsvertrag (AV-Vertrag) inklusive TOM
  • Privacy by Design
  • Privacy by Default
  • Rechtssichere Datenschutzerklärung
  • Wenn möglich: Serverstandort in der EU

AV-Vertrag inklusive TOM

Übermitteln Sie durch die Nutzung der Software personenbezogene Daten – etwa die Ihrer Kunden – an Drittanbieter, müssen Sie mit dem Softwareanbieter eine Auftragsverarbeitung abschließen. Ein solcher AV-Vertrag regelt, dass die Verarbeitung der Daten nur zu den vertraglich festgelegten Zwecken erfolgt und Sie die sensiblen Informationen effektiv schützen.

Neben dem AV-Vertrag sollten auch die dazugehörigen technischen und organisatorischen Maßnahmen (TOM) vertraglich geregelt sein. Diese dienen dazu, die Datensicherheit personenbezogener Daten zu gewährleisten, beispielsweise durch eine verschlüsselte Übertragung und Speicherung sowie einen sicheren Login.

Privacy by Design

Achten Sie bei der Nutzung von SaaS-Lösungen darauf, dass Privacy by Design beim Service berücksichtigt wird: Grundsätzliche Funktionen des Dienstes müssen die rechtlichen Anforderungen des Datenschutzes erfüllen. Das heißt zum Beispiel, dass keine für den Anwendungsfall unnötigen Analysedaten und Informationen über das Nutzerverhalten gesammelt werden.

Privacy by default

Daneben kommt es auch auf Privacy by default an. Grundeinstellungen der SaaS-Lösung bzw. Cloud-Lösung sollten immer datenschutzfreundlich voreingestellt sein. Die weitere individuelle Einstellung erfolgt abhängig vom Zweck der Datenverarbeitung.

Rechtssichere Datenschutzerklärung

Beim Thema SaaS, Datenschutz und Datensicherheit kommt auf wesentlich auf ein Grundprinzip der DSGVO an: Transparenz. Sie als Nutzer müssen wissen, welche personenbezogenen Daten zu welchem Zweck und in welchem Umfang wo für welche Dauer erhoben und verarbeitet werden. Diese Informationen finden Sie in der Datenschutzerklärung.

Serverstandort in der EU  

Dies ist ein Punkt, der nicht immer möglich ist, insbesondere wenn Sie Software as a Service-Lösungen US-amerikanischer Firmen nutzen. Dennoch sollten Sie einen Server-Standort in der EU oder dem EWR anstreben – denn so können Sie sicher sein, dass ein hohes Datenschutzniveau der Anwendungen sichergestellt ist. Können Sie nicht ausschließen, dass der SaaS-Anbieter Daten in nicht-europäische Drittländer transferiert, achten Sie, dass er Ihnen Standardvertragsvertragsklauseln zur Verfügung stellt.

IT-Sicherheit

Achten Sie bei der Auswahl eines SaaS-Anbieters auch auf den Punkt IT-Sicherheit und die Einhaltung der gesetzlich geltenden und branchenspezifischen Anforderungen. Der Anbieter sollte einschlägige Zertifizierungen vorweisen können (z. B. nach dem international anerkannten Standard ISO 27001).

Um SaaS-Lösungen in Ihrem Unternehmen rechtssicher zu nutzen, sollten Sie in Erfahrung bringen, wie die Daten in der Cloud gesichert werden. Lassen Sie sich das Sicherheitskonzept vom Anbieter vorlegen. Klären Sie, ob personenbezogene Daten in Drittländer außerhalb der EU übertragen werden. Falls dem so ist: Wie wird der Schutz der Daten sichergestellt? Der Software-Anbieter sollte Ihnen auch Auskunft über den verantwortlichen Datenschutzbeauftragten geben können.

Sören Siebert
Sören SiebertRechtsanwalt

4. Worauf muss ich beim Datenschutz achten, wenn ich selbst SaaS anbiete?

Sollten Sie Software as a Service nicht nur nutzen, sondern auch eigene Lösungen anbieten und verkaufen, müssen Sie als SaaS-Anbieter beim Datenschutz weitere Punkte beachten.

SaaS-Datenschutz und DSGVO beachten

Berücksichtigen Sie schon bei der Softwareentwicklung und dem Produktdesign die Grundsätze aus Art. 25 DSGVO: Privacy by Design und Privacy by Default. Das heißt, dass Sie datenschutzrechtliche Anforderungen bereits bei der Produktentwicklung mitdenken und integrieren sollten – denn jede Anwendung, die personenbezogene Daten von Nutzern erhebt und verarbeitet, muss standardmäßig (by default) die Vorgaben der Datenschutzgrundverordnung erfüllen. 

PRAXIS-TIPP

Stellen Sie sicher, dass die Nutzerdaten nach einer festgelegten Zeit gelöscht werden, wenn diese Ihre SaaS-Lösung einmal kündigen sollten. Lassen Sie diesen Vorgang ebenfalls bereits in den Entwicklungsstadien einfließen (by design), um teure Änderungen im Nachhinein zu vermeiden. Sie sollten also von vorneherein ein Löschkonzept für die Daten Ihrer Kunden mitdenken.

AGB, AV-Vertrag und SLA festlegen 

Um die eigene Haftung zu reduzieren, sollten Sie nicht nur Vorsicht beim Thema Datenschutz und SaaS walten lassen, sondern sich und Ihr Unternehmen zusätzlich absichern. Hier spielen AGB, AV-Verträge und Service Level Agreements eine wichtige Rolle.

 

Allgemeine Geschäftsbedingungen (AGB) helfen Ihnen, die Rahmenbedingungen Ihrer Verträge festzulegen. Um rechtliche Fallstricke zu vermeiden, ist es wichtig, dass Sie Ihre und die Leistungen und Gegenleistungen Ihrer Kunden klar benennen, sodass die Rechtsstellung beider Parteien deutlich wird. Für den Fall eines Softwarefehlers sollten Sie eine mögliche Haftung mithilfe einer Haftungsbeschränkung oder einem Haftungsausschluss regeln. Wichtig ist, dass Ihre AGB auf Ihre SaaS-Anwendungen zugeschnitten sind.

Als SaaS-Anbieter sollten Sie Ihren Kunden weiterhin einen eigenen AV-Vertrag bereitstellen, der sämtliche Subauftragsverarbeiter auflistet, deren Lösungen Sie einsetzen – etwa zu Hosting-Zwecken oder zur Fernwartung. Hier bietet es sich an, den AV-Vertrag mit Ihren AGB zu verknüpfen. So ist sichergestellt, dass jeder Neukunde automatisch den AV-Vertrag abschließt.

Service Level Agreements (SLA) dienen dazu, die technischen Voraussetzungen Ihrer Softwareangebote festzulegen. Sie regeln darin etwa die Verfügbarkeit Ihrer Software bzw. Dienstleistung und das Leistungsspektrum (u. a. Antwortzeit, Verlustrate).

Jetzt beraten lassen

KANZLEI SIEBERT LEXOW LANG

Sie sind ein Anbieterunternehmen von Software as a Service und benötigen maßgeschneiderte AGB für Ihr Unternehmen oder Service Level Agreements?

Die Rechtsanwälte der Datenschutz-Kanzlei Siebert Lexow Lang unterstützen Sie gern bei Fragen zu Datenschutz und Datensicherheit, datenschutzrechtlichen Vorgaben zur IT-Infrastruktur und rechtssicheren AGB.

Jetzt beraten lassen

5. FAQ: Häufig gestellte Fragen zu SaaS und Datenschutz

Was ist SaaS?

Unter SaaS (Software as a Service) versteht man ein Lizenz- und Vertriebsmodell, bei dem Software über das Internet in einer Cloud-Lösung bereitgestellt wird. Statt für die Nutzung eine einmalige Gebühr zu entrichten, erfolgt die Zahlung in der Regel auf Abonnementbasis. Der Software-Anbieter hostet und verwaltet den IT-Dienst.

Ist SaaS gleich Cloud?

Nein, SaaS ist nicht gleich Cloud, gehört aber in den Bereich des Cloud Computings. Während sich Software as a Service auf die konkrete angebotene Software-Lösung bezieht, geht es beim Cloud Computing darüber hinaus auch um das Angebot von Hardware und Infrastruktur.

Braucht man bei SaaS eine Auftragsverarbeitung?

Ja, SaaS-Verträge stellen in der Regel laut DSGVO eine Auftragsverarbeitung dar. Nutzer und SaaS-Anbieter sollten daher einen AV-Vertrag über die Auftragsverarbeitung abschließen. Um personenbezogene Daten bei der Nutzung ausreichend zu schützen, sollten bestimmte technische und organisatorische Maßnahmen (TOM) gemäß DSGVO Standard sein – etwa eine verschlüsselte Datenübertragung und ein gesicherter Login.

Brauche ich als Anbieter von SaaS-Lösungen AGB?

In der Regel ja. Das Thema SaaS ist relativ komplex, sodass Sie die Leistungen ohne einen geeigneten vertraglichen Rahmen nicht anbieten sollten. Gerade im SaaS-Bereich, der auf Skalierung ausgelegt ist, sollten Sie AGB und AV-Verträge haben, da die Risiken mit zunehmender Kundenzahl steigen.

 

 

Sophie Suske
Sophie Suske

Sophie Suske ist freie Texterin und unterstützt seit 2022 das eRecht24 Redaktionsteam. Komplexe Sachverhalte verständlich und für jeden zugänglich aufzubereiten, ist ihre Leidenschaft. Denn nicht erst seit ihrem Masterstudium der Kommunikationswissenschaften weiß Sophie Suske um die Bedeutung von klarer und zielführender Kommunikation.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details