Worum geht's?
Die Zeiten, in denen Unternehmen Software kauften und auf ihren lokalen Servern installieren mussten, sind fast vorbei. Heute kommen Programme und Dienste direkt aus dem Internet. SaaS heißt die Lösung: Software as a Service. Bei der Nutzung werden häufig auch personenbezogene Daten von Mitarbeitenden und Kunden erhoben, verarbeitet und an Dritte übermittelt. Das birgt Risiken beim Datenschutz – denn die Unternehmen sind weiterhin für die Datensicherheit verantwortlich. Was es beim Thema Datenschutz und SaaS für Anwenderunternehmen und SaaS-Entwickler zu beachten gilt, lesen Sie in diesem Beitrag.
1. Was bedeutet Software as a Service (SaaS)?
Software-as-a-Service (kurz: SaaS) fällt in den Bereich des Cloud-Computing. Man versteht darunter ein spezielles Modell, bei dem die Software auf einer Cloud-Integration basiert. Statt eine klassische Nutzungslizenz für die Software zu erwerben, wird diese auf einer Online-Cloud bereitgestellt. Sie können die Software grundsätzlich auf Ihren lokalen Systemen installieren – verbreiteter ist aber die Anwendung der Cloud Services im Browser oder via App.
SaaS-Lösungen haben entscheidende Vorteile: Als Nutzer können Sie jederzeit (begrenzt oder unbegrenzt) auf die Software zugreifen und müssen sich nicht um die Speicherung der Daten kümmern, da diese automatisiert stattfindet.
Der SaaS-Dienst wird stetig durch den Cloud-Anbieter weiterentwickelt. Bei einer neuen Softwareversion werden Ihnen die benötigten IT-Updates in der Cloud zur Verfügung gestellt. Auch müssen Sie nicht einmalig eine hohe Nutzungsgebühr leisten, sondern zahlen für die Verwendung eine laufende Gebühr.
Adobe Systems, Google und Microsoft sind nur einige der Unternehmen, die auf Cloud-Dienste und Software-as-a-Service-Lösungen bauen. Das Angebot reicht von klassischen CRM-Systemen über Software für den Kreativbereich wie Photoshop und Illustrator bis hin zu einfachen E-Mail-Diensten. Doch so breit gefächert das Angebot und die Vorteile von Software as a Service auch sind, gibt es dennoch einige Besonderheiten beim Thema SaaS, Datenschutz und Datensicherheit.
2. Welche Risiken gibt es bei SaaS und Datenschutz?
Innerhalb von SaaS und Cloud-Lösungen werden online Informationen verarbeitet. Kritisch wird es dann, wenn bei der Nutzung personenbezogene Daten an den SaaS-Anbieter übermittelt werden. Da sich eine solche Datenübermittlung meist nicht verhindern lässt, müssen Datenschutz und Informationssicherheit in jedem Fall beachtet werden. Das ist vor allem für Unternehmen ohne Rechtsabteilung oder großes Know-how in Sachen SaaS-Datenschutz keine leichte Aufgabe. Worauf kommt es also an?
Im Rahmen der Datenschutzgrundverordnung (DSGVO) ist zunächst zu klären, welche Art von Daten übermittelt wird und wohin diese Datenübertragung erfolgt. Innerhalb der EU gelten durch die DSGVO strenge Vorschriften, was die Erhebung, Verarbeitung und Übertragung personenbezogener Daten betrifft. In der Regel können Sie bei Software-Anbietern aus der Europäischen Union davon ausgehen, dass ein hohes Niveau des Datenschutzes sichergestellt ist.
Werden jedoch Daten an Nicht-EU-Länder oder außerhalb des Europäischen Wirtschaftsraum (EWR) übertragen, sieht die Sache anders aus – hier müssen Sie den Datenschutz der sensiblen Informationen selbst sicherstellen.
Bei vielen SaaS- und Cloud-Anbietern wie Google und Microsoft handelt es sich um US-Unternehmen, sodass eine Datenübertragung in die USA erfolgt, sofern es keine Serverstandorte in der EU gibt. Nachdem der Europäische Gerichtshof (EuGH) 2020 mit dem Schrems-II-Urteil das „Privacy-Shield“ als Grundlage für einen sicheren Datentransfer aus der EU in die USA gekippt hat, müssen Sie prüfen, ob ein angemessenes Schutzniveau bei der Datenverarbeitung im Drittland sichergestellt ist.
PRAXIS-TIPP
Möchten Sie in Ihrem Unternehmen die Software-Lösung solcher Anbieter verwenden – wie es viele Betriebe durch die Nutzung von Microsoft Teams, Slack oder Google Workspace tun – ist es also unverzichtbar, dass Datenschutzbestimmungen wie die Vorschriften der DSGVO eingehalten werden. Ist das nicht der Fall, können Ihrem Unternehmen satte DSGVO-Bußgelder drohen.
3. Wie kann ich SaaS im Unternehmen rechtssicher nutzen?
Planen Sie SaaS-Anwendungen in Ihre Geschäftsmodelle zu integrieren oder nutzen diese bereits, sollten Sie gewisse Vorkehrungen beim Thema SaaS und Datenschutz treffen.
- Auftragsverarbeitungsvertrag (AV-Vertrag) inklusive TOM
- Privacy by Design
- Privacy by Default
- Rechtssichere Datenschutzerklärung
- Wenn möglich: Serverstandort in der EU
AV-Vertrag inklusive TOM
Übermitteln Sie durch die Nutzung der Software personenbezogene Daten – etwa die Ihrer Kunden – an Drittanbieter, müssen Sie mit dem Softwareanbieter eine Auftragsverarbeitung abschließen. Ein solcher AV-Vertrag regelt, dass die Verarbeitung der Daten nur zu den vertraglich festgelegten Zwecken erfolgt und Sie die sensiblen Informationen effektiv schützen.
Neben dem AV-Vertrag sollten auch die dazugehörigen technischen und organisatorischen Maßnahmen (TOM) vertraglich geregelt sein. Diese dienen dazu, die Datensicherheit personenbezogener Daten zu gewährleisten, beispielsweise durch eine verschlüsselte Übertragung und Speicherung sowie einen sicheren Login.
Privacy by Design
Achten Sie bei der Nutzung von SaaS-Lösungen darauf, dass Privacy by Design beim Service berücksichtigt wird: Grundsätzliche Funktionen des Dienstes müssen die rechtlichen Anforderungen des Datenschutzes erfüllen. Das heißt zum Beispiel, dass keine für den Anwendungsfall unnötigen Analysedaten und Informationen über das Nutzerverhalten gesammelt werden.
Privacy by default
Daneben kommt es auch auf Privacy by default an. Grundeinstellungen der SaaS-Lösung bzw. Cloud-Lösung sollten immer datenschutzfreundlich voreingestellt sein. Die weitere individuelle Einstellung erfolgt abhängig vom Zweck der Datenverarbeitung.
Rechtssichere Datenschutzerklärung
Beim Thema SaaS, Datenschutz und Datensicherheit kommt auf wesentlich auf ein Grundprinzip der DSGVO an: Transparenz. Sie als Nutzer müssen wissen, welche personenbezogenen Daten zu welchem Zweck und in welchem Umfang wo für welche Dauer erhoben und verarbeitet werden. Diese Informationen finden Sie in der Datenschutzerklärung.
Serverstandort in der EU
Dies ist ein Punkt, der nicht immer möglich ist, insbesondere wenn Sie Software as a Service-Lösungen US-amerikanischer Firmen nutzen. Dennoch sollten Sie einen Server-Standort in der EU oder dem EWR anstreben – denn so können Sie sicher sein, dass ein hohes Datenschutzniveau der Anwendungen sichergestellt ist. Können Sie nicht ausschließen, dass der SaaS-Anbieter Daten in nicht-europäische Drittländer transferiert, achten Sie, dass er Ihnen Standardvertragsvertragsklauseln zur Verfügung stellt.
IT-Sicherheit
Achten Sie bei der Auswahl eines SaaS-Anbieters auch auf den Punkt IT-Sicherheit und die Einhaltung der gesetzlich geltenden und branchenspezifischen Anforderungen. Der Anbieter sollte einschlägige Zertifizierungen vorweisen können (z. B. nach dem international anerkannten Standard ISO 27001).
Um SaaS-Lösungen in Ihrem Unternehmen rechtssicher zu nutzen, sollten Sie in Erfahrung bringen, wie die Daten in der Cloud gesichert werden. Lassen Sie sich das Sicherheitskonzept vom Anbieter vorlegen. Klären Sie, ob personenbezogene Daten in Drittländer außerhalb der EU übertragen werden. Falls dem so ist: Wie wird der Schutz der Daten sichergestellt? Der Software-Anbieter sollte Ihnen auch Auskunft über den verantwortlichen Datenschutzbeauftragten geben können.
4. Worauf muss ich beim Datenschutz achten, wenn ich selbst SaaS anbiete?
Sollten Sie Software as a Service nicht nur nutzen, sondern auch eigene Lösungen anbieten und verkaufen, müssen Sie als SaaS-Anbieter beim Datenschutz weitere Punkte beachten.
SaaS-Datenschutz und DSGVO beachten
Berücksichtigen Sie schon bei der Softwareentwicklung und dem Produktdesign die Grundsätze aus Art. 25 DSGVO: Privacy by Design und Privacy by Default. Das heißt, dass Sie datenschutzrechtliche Anforderungen bereits bei der Produktentwicklung mitdenken und integrieren sollten – denn jede Anwendung, die personenbezogene Daten von Nutzern erhebt und verarbeitet, muss standardmäßig (by default) die Vorgaben der Datenschutzgrundverordnung erfüllen.
PRAXIS-TIPP
Stellen Sie sicher, dass die Nutzerdaten nach einer festgelegten Zeit gelöscht werden, wenn diese Ihre SaaS-Lösung einmal kündigen sollten. Lassen Sie diesen Vorgang ebenfalls bereits in den Entwicklungsstadien einfließen (by design), um teure Änderungen im Nachhinein zu vermeiden. Sie sollten also von vorneherein ein Löschkonzept für die Daten Ihrer Kunden mitdenken.
AGB, AV-Vertrag und SLA festlegen
Um die eigene Haftung zu reduzieren, sollten Sie nicht nur Vorsicht beim Thema Datenschutz und SaaS walten lassen, sondern sich und Ihr Unternehmen zusätzlich absichern. Hier spielen AGB, AV-Verträge und Service Level Agreements eine wichtige Rolle.
Allgemeine Geschäftsbedingungen (AGB) helfen Ihnen, die Rahmenbedingungen Ihrer Verträge festzulegen. Um rechtliche Fallstricke zu vermeiden, ist es wichtig, dass Sie Ihre und die Leistungen und Gegenleistungen Ihrer Kunden klar benennen, sodass die Rechtsstellung beider Parteien deutlich wird. Für den Fall eines Softwarefehlers sollten Sie eine mögliche Haftung mithilfe einer Haftungsbeschränkung oder einem Haftungsausschluss regeln. Wichtig ist, dass Ihre AGB auf Ihre SaaS-Anwendungen zugeschnitten sind.
Als SaaS-Anbieter sollten Sie Ihren Kunden weiterhin einen eigenen AV-Vertrag bereitstellen, der sämtliche Subauftragsverarbeiter auflistet, deren Lösungen Sie einsetzen – etwa zu Hosting-Zwecken oder zur Fernwartung. Hier bietet es sich an, den AV-Vertrag mit Ihren AGB zu verknüpfen. So ist sichergestellt, dass jeder Neukunde automatisch den AV-Vertrag abschließt.
Service Level Agreements (SLA) dienen dazu, die technischen Voraussetzungen Ihrer Softwareangebote festzulegen. Sie regeln darin etwa die Verfügbarkeit Ihrer Software bzw. Dienstleistung und das Leistungsspektrum (u. a. Antwortzeit, Verlustrate).
5. FAQ: Häufig gestellte Fragen zu SaaS und Datenschutz
- Zurück zur Übersicht: "Datenschutz"
- Welche Unternehmen brauchen einen Datenschutzbeauftragten?
- Wann macht ein externer Datenschutzbeauftragter Sinn?
- Datenschutz im Homeoffice
- Standardvertragsklauseln
- Datenschutzerklärung einbinden
- Datenschutz-Audit für Unternehmen
- Haftung bei Verstößen gegen das Datenschutzrecht
- Datenschutz beim Recruiting
- Datenschutz für ausgeschiedene Mitarbeiter
- Datenschutz bei Kundendaten
- Weitergabe von Kundendaten an Dritte
- Datenschutz beim Gewinnspiel
- Ist ein CDN DSGVO-konform?