Software as a Service (SaaS): Worauf beim Datenschutz zu achten ist

23.05.2019

Cloud-Computing

Die Art und Weise, wie Unternehmen ihre Software beziehen, hat sich verändert. Früher wurden ausgewählte Softwareversionen gekauft (z.B. auf CD-ROM) und lokal installiert. Heute kommt die Software hingegen direkt aus dem Netz und wird als „Software as a Service“ (SaaS) bezeichnet. Im Hinblick auf den betrieblichen Datenschutz können SaaS-Lösungen jedoch kritisch sein. Bevor Unternehmen solche Softwarelösungen einsetzen, sollten sie zunächst prüfen, ob und wo mögliche Datenschutzverstöße drohen. Anschließend sind Maßnahmen zu ergreifen, die ein angemessenes Datenschutzniveau gewährleisten.

Was bedeutet Software as a Service?

Wie schon angedeutet, wird die Software über das Internet bereitgestellt. Damit fällt SaaS in den Bereich Cloud-Computing. Unternehmen erwerben keine klassischen Softwarelizenzen, die zur Nutzung einer bestimmten Softwareversion berechtigt sind. Stattdessen erwerben sie das Recht zur Nutzung eines Dienstes / Services, der stetig weiterentwickelt wird und z.B. auch die Bereitstellung von Updates beinhaltet.

Anstatt hoher Einmalzahlungen werden laufende Gebühren für die Softwarenutzung entrichtet. Softwareanbieter senken damit die Einstiegshürde und zugleich erhalten Unternehmen stets die neuesten Softwareversionen. Die eigentliche Software kann klassisch auf dem Computer installiert werden und eigenständig als Programm laufen. Ebenso gibt es SaaS-Lösungen, die wiederum im Webbrowser zur Verfügung stehen.

Das Spektrum solcher Lösungen ist bereit gefächert. Es reicht von klassischen CRM-Systemen über Software für den Kreativbereich bis hin zu simplen E-Mail Diensten. Zugleich ist im Feld der ERP-Software (vor allem Business Intelligence Lösungen) ein starkes Wachstum festzustellen. Hier einige Beispiele für weit verbreitete Lösungen aus dem Software as a Service Umfeld:

  • Adobe (Illustrator oder Photoshop)
  • Google (Google Docs oder Gmail)
  • Microsoft (Office 365)
  • Oracle (Oracle Cloud)
  • Salesforce (Community Cloud)

Wo liegen die Datenschutzrisiken?

Die Installation solcher Programme oder die bloße Anmeldung bei den Diensten muss nicht zwangsläufig zu Konflikten mit dem Datenschutz führen. Wie bei der Nutzung von Cloud-Speicher wird es kritisch, sobald eine Übermittlung von Daten mit Personenbezug an die jeweiligen Anbieter erfolgt. Bei der SaaS Nutzung findet solch eine Übermittlung sehr häufig statt und lässt sich meist nicht verhindern. Sofern es sich um personenbezogene Daten handelt, muss auch dann ein angemessener Datenschutz greifen.

Eine der zentralen Fragen lautet daher im Vorfeld, welche Arten von Daten übermittelt werden. Ebenso ist zu klären, wohin die Datenübermittlung erfolgt. Innerhalb der EU gelten inzwischen strenge Richtlinien, was üblicherweise ein hohes Niveau im Datenschutz sicherstellt. Sofern die Übermittlung in Drittländer (keine Mitgliedstaaten der EU) erfolgt, muss dort ein adäquates Datenschutzniveau gewährleistet sein. Zugleich können für SaaS-Anbieter weitere Voraussetzungen gelten, wie z.B. die Privacy Shield Zertifizierung bei Cloud-Computing Anbietern aus den USA. Aber auch Serverstandorte sind je nach Rahmenbedingungen für den betrieblichen Datenschutz von Bedeutung.

Auftragsverarbeitung berücksichtigen

Ein weiterer Aspekt ist die Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung). Sie steht für die Übermittlung von Daten mit Personenbezug an externe Dienstleister, die z.B. Outsourcing-Aufgaben übernehmen. In bestimmten Fällen ist auch die Nutzung von Software as a Service Lösungen als Auftragsverarbeitung einzuordnen. In solchen Fällen sind die relevanten Bestimmungen der DSGVO zu berücksichtigen. Der Anbieter muss strenge Datenschutzvorgaben erfüllen, über die außerdem ein Vertrag zu schließen ist.

Setzt Ihr Unternehmen Software as a Service Lösungen datenschutzkonform ein?

Die Einhaltung betrieblicher Datenschutzbestimmungen ist für Unternehmen unverzichtbar, weil bei Verstößen erhebliche Bußgelder drohen. Wer Software as a Service Lösungen nutzt, sollte folglich alle elevanten Geschäftsabläufe prüfen. Als externer Datenschutzbeauftragter stehen wir im Rahmen unserer Datenschutzberatung mit Rat und Tat gerne zur Seite. Wir und unsere Kooperationspartner sind bundesweit tätig, wie z.B. in Berlin, Dresden oder Stuttgart. Für weitere Informationen stehen wir Ihnen telefonisch unter 0800-5600831 (gebührenfrei) sowie über unser Kontaktformular zur Verfügung.