Software as a Service (SaaS): Worauf beim Datenschutz zu achten ist

21.03.2022

Cloud-Computing

Früher haben Unternehmen ihre Software gekauft (z.B. auf CD-ROM) und lokal installiert. Heute kommen Applikationen und Programme hingegen als „Software as a Service“ (SaaS) direkt aus dem Internet. Im Hinblick auf den betrieblichen Datenschutz können SaaS-Lösungen jedoch kritisch sein. Bevor Unternehmen solche Softwarelösungen einsetzen, sollten sie prüfen, ob und wo Datenschutzverstöße drohen. Anschließend sind Maßnahmen zu ergreifen, die ein angemessenes Datenschutzniveau gewährleisten.

Was bedeutet Software as a Service?

SaaS fällt in den Bereich Cloud-Computing. Unternehmen erwerben keine klassischen Softwarelizenzen, die zur Nutzung festgelegter Softwareversionen berechtigen. Stattdessen erwerben sie das Recht zur Nutzung eines Dienstes / Services, der stetig weiterentwickelt wird und z.B. auch die Bereitstellung von Updates beinhaltet.

Statt hoher Einmalzahlungen werden laufende Gebühren für die Softwarenutzung entrichtet. Softwareanbieter senken damit die Einstiegshürde und zugleich erhalten Unternehmen stets die neuesten Softwareversionen. Die Software kann auf lokalen Systemen installiert sein, doch meist wird sie als Anwendung im Browser oder als App via Internet bereitgestellt.

Das Spektrum solcher Lösungen ist breit gefächert. Es reicht von klassischen CRM-Systemen über Software für den Kreativbereich bis hin zu simplen E-Mail Diensten. Zugleich ist im Feld der ERP-Software (vor allem Business Intelligence Lösungen) ein starkes Wachstum festzustellen. Hier einige Beispiele für weit verbreitete Lösungen aus dem Software as a Service Umfeld:

  • Adobe: Illustrator, Photoshop etc.
  • Atlassian: Confluence, Jira etc.
  • Google: Google Workspace (Gmail, Docs, Sheets, Slides etc.)
  • Microsoft: Microsoft 365, Teams etc.
  • Oracle: Oracle Cloud
  • Salesforce: Community Cloud, Slack

Übrigens beschränken sich SaaS-Lösungen keineswegs auf klassische Computer. Viele beliebte Dienste stehen in Form von Apps auch auf Smartphones und Tablets zur Verfügung.

Wo liegen die Datenschutzrisiken?

Die Installation solcher Programme oder die bloße Anmeldung bei den Diensten muss nicht zwangsläufig zu Konflikten mit dem Datenschutz führen. Wie bei der Nutzung von Cloud-Speicher wird es kritisch, sobald eine Übermittlung von Daten mit Personenbezug an die jeweiligen Anbieter erfolgt. Bei der SaaS Nutzung lässt sich solch eine Übermittlung meist nicht verhindern. Sofern es sich um personenbezogene Daten handelt, muss auch dann ein angemessener Datenschutz greifen.

Eine der zentralen Fragen lautet daher, welche Arten von Daten übermittelt werden. Ebenso ist zu klären, wohin die Datenübermittlung erfolgt. Innerhalb der EU gelten inzwischen strenge Richtlinien, was üblicherweise ein hohes Niveau im Datenschutz des Cloud-Anbieters sicherstellt. Sofern die Übermittlung in Drittländer (keine Mitgliedstaaten der EU oder außerhalb des EWR) erfolgt, muss dort ein adäquates Datenschutzniveau gewährleistet sein. Zugleich können für SaaS-Anbieter weitere Voraussetzungen gelten, wie einst die Privacy Shield Zertifizierung bei Cloud-Computing Anbietern aus den USA. Aber auch Serverstandorte sind je nach Rahmenbedingungen für den betrieblichen Datenschutz von Bedeutung.

Auftragsverarbeitung berücksichtigen

Ein weiterer Aspekt ist die Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung). Sie steht für die Übermittlung von Daten mit Personenbezug an externe Dienstleister, die z.B. Outsourcing-Aufgaben übernehmen. In bestimmten Fällen ist auch die Nutzung von Software as a Service Lösungen als Auftragsverarbeitung einzuordnen. In solchen Fällen sind die relevanten Bestimmungen der DSGVO zu berücksichtigen. Der Anbieter muss strenge Datenschutzvorgaben (u.a. die Ergreifung angemessener technisch organisatorischer Maßnahmen) erfüllen, über die außerdem ein Vertrag zu schließen ist.

Datensicherheit dank IT-Sicherheitskonzept

Ein IT-Sicherheitskonzept leistet Unterstützung bei der sicheren Integration von SaaS-Lösungen in die eigene IT und der Verknüpfung mit Geschäftsprozessen. Es trägt maßgeblich zur Datensicherheit bei, wovon auch der Datenschutz profitieren kann. Ergänzend ist eine Zertifizierung möglich, anhand derer Unternehmen ihr erreichtes Niveau in der Datensicherheit gegenüber Geschäftspartnern und Kunden nachweisen können.

Setzt Ihr Unternehmen Software as a Service Lösungen datenschutzkonform ein?

Die Einhaltung betrieblicher Datenschutzbestimmungen ist für Unternehmen unverzichtbar, weil bei Verstößen erhebliche Bußgelder drohen. Wer Software as a Service Lösungen nutzt, sollte folglich alle elevanten Geschäftsabläufe prüfen. Als externer Datenschutzbeauftragter stehen wir im Rahmen unserer Datenschutzberatung mit Rat und Tat gerne zur Seite. Wir und unsere Kooperationspartner sind bundesweit tätig, wie z.B. in Berlin, Dresden oder Stuttgart. Für weitere Informationen stehen wir Ihnen telefonisch unter 0800-5600831 (gebührenfrei) sowie über unser Kontaktformular zur Verfügung.