Software as a Service (SaaS): Worauf beim Datenschutz zu achten ist

20.09.2021

Cloud-Computing

Die Art und Weise, wie Unternehmen ihre Software beziehen, hat sich verändert. Früher wurde sie gekauft (z.B. auf CD-ROM) und lokal installiert. Heute kommt die Software hingegen als „Software as a Service“ (SaaS) direkt aus dem Internet. Im Hinblick auf den betrieblichen Datenschutz können SaaS-Lösungen jedoch kritisch sein. Bevor Unternehmen solche Softwarelösungen einsetzen, sollten sie zunächst prüfen, ob und wo mögliche Datenschutzverstöße drohen. Anschließend sind Maßnahmen zu ergreifen, die ein angemessenes Datenschutzniveau gewährleisten.

Was bedeutet Software as a Service?

SaaS fällt in den Bereich Cloud-Computing, die Software wird über das Internet bereitgestellt. Unternehmen erwerben keine klassischen Softwarelizenzen, die zur Nutzung bestimmter Softwareversion berechtigen. Stattdessen erwerben sie das Recht zur Nutzung eines Dienstes / Services, der stetig weiterentwickelt wird und z.B. auch die Bereitstellung von Updates beinhaltet.

Anstatt hoher Einmalzahlungen werden laufende Gebühren für die Softwarenutzung entrichtet. Softwareanbieter senken damit die Einstiegshürde und zugleich erhalten Unternehmen stets die neuesten Softwareversionen. Die eigentliche Software kann klassisch auf dem Computer installiert sein und eigenständig als Programm laufen. Ebenso gibt es SaaS-Lösungen, die wiederum im Webbrowser zur Verfügung stehen.

Das Spektrum solcher Lösungen ist breit gefächert. Es reicht von klassischen CRM-Systemen über Software für den Kreativbereich bis hin zu simplen E-Mail Diensten. Zugleich ist im Feld der ERP-Software (vor allem Business Intelligence Lösungen) ein starkes Wachstum festzustellen. Hier einige Beispiele für weit verbreitete Lösungen aus dem Software as a Service Umfeld:

  • Adobe: Illustrator, Photoshop etc.
  • Google: Google Workspace (Gmail, Docs, Sheets, Slides etc.)
  • Microsoft: Office 365, Teams etc.
  • Oracle: Oracle Cloud
  • Salesforce: Community Cloud

Übrigens beschränken sich SaaS-Lösungen keineswegs auf klassische Computer. Viele beliebte Dienste stehen in Form von Apps auch auf Smartphones und Tablets zur Verfügung.

Wo liegen die Datenschutzrisiken?

Die Installation solcher Programme oder die bloße Anmeldung bei den Diensten muss nicht zwangsläufig zu Konflikten mit dem Datenschutz führen. Wie bei der Nutzung von Cloud-Speicher wird es kritisch, sobald eine Übermittlung von Daten mit Personenbezug an die jeweiligen Anbieter erfolgt. Bei der SaaS Nutzung lässt sich solch eine Übermittlung meist nicht verhindern. Sofern es sich um personenbezogene Daten handelt, muss auch dann ein angemessener Datenschutz greifen.

Eine der zentralen Fragen lautet daher, welche Arten von Daten übermittelt werden. Ebenso ist zu klären, wohin die Datenübermittlung erfolgt. Innerhalb der EU gelten inzwischen strenge Richtlinien, was üblicherweise ein hohes Niveau im Datenschutz des Cloud-Anbieters sicherstellt. Sofern die Übermittlung in Drittländer (keine Mitgliedstaaten der EU) erfolgt, muss dort ein adäquates Datenschutzniveau gewährleistet sein. Zugleich können für SaaS-Anbieter weitere Voraussetzungen gelten, wie einst die Privacy Shield Zertifizierung bei Cloud-Computing Anbietern aus den USA. Aber auch Serverstandorte sind je nach Rahmenbedingungen für den betrieblichen Datenschutz von Bedeutung.

Auftragsverarbeitung berücksichtigen

Ein weiterer Aspekt ist die Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung). Sie steht für die Übermittlung von Daten mit Personenbezug an externe Dienstleister, die z.B. Outsourcing-Aufgaben übernehmen. In bestimmten Fällen ist auch die Nutzung von Software as a Service Lösungen als Auftragsverarbeitung einzuordnen. In solchen Fällen sind die relevanten Bestimmungen der DSGVO zu berücksichtigen. Der Anbieter muss strenge Datenschutzvorgaben erfüllen, über die außerdem ein Vertrag zu schließen ist.

Setzt Ihr Unternehmen Software as a Service Lösungen datenschutzkonform ein?

Die Einhaltung betrieblicher Datenschutzbestimmungen ist für Unternehmen unverzichtbar, weil bei Verstößen erhebliche Bußgelder drohen. Wer Software as a Service Lösungen nutzt, sollte folglich alle elevanten Geschäftsabläufe prüfen. Als externer Datenschutzbeauftragter stehen wir im Rahmen unserer Datenschutzberatung mit Rat und Tat gerne zur Seite. Wir und unsere Kooperationspartner sind bundesweit tätig, wie z.B. in Berlin, Dresden oder Stuttgart. Für weitere Informationen stehen wir Ihnen telefonisch unter 0800-5600831 (gebührenfrei) sowie über unser Kontaktformular zur Verfügung.