Software as a Service (SaaS): Worauf beim Datenschutz zu achten ist

25.08.2017

Cloud-Computing

Die Art und Weise, wie Software in Unternehmen eingesetzt wird, hat sich verändert. Früher wurden einzelne Softwareversionen gekauft (z.B. auf einer CD-ROM) und lokal installiert. Heute kommt die Software hingegen direkt aus dem Netz und wird als „Software as a Service“ (SaaS) bezeichnet. Anstatt hoher Einzelpreise werden laufende Gebühren für die Softwarenutzung entrichtet. Softwareanbieter senken damit die Einstiegshürde und zugleich erhalten Unternehmen stets die neuesten Softwareversionen.

Im Hinblick auf den betrieblichen Datenschutz können SaaS-Lösungen jedoch kritisch sein. Bevor Unternehmen solche Softwarelösungen einsetzen, sollten sie zunächst prüfen, ob und wo mögliche Datenschutzverstöße drohen. Falls eine Nutzung geplant ist, sind anschließend Maßnahmen zu ergreifen, um ein angemessenes Datenschutzniveau zu gewährleisten.

Was bedeutet Software as a Service?

Wie schon angedeutet, wird die Software über das Internet bereitgestellt. Damit fällt SaaS in den Bereich Cloud-Computing. Unternehmen erwerben keine klassischen Softwarelizenzen, die zur Nutzung einer bestimmten Softwareversion berechtigt sind. Stattdessen erwerben sie das Recht zur Nutzung eines Dienstes / Services, der stetig weiterentwickelt wird und z.B. auch die Bereitstellung von Updates beinhaltet. Die eigentliche Software kann klassisch auf dem Computer installiert werden und eigenständig als Programm laufen. Ebenso gibt es SaaS-Lösungen, die wiederum im Webbrowser zur Verfügung stehen.

Das Spektrum solcher Lösungen ist bereit gefächert. Es reicht von klassischen CRM-Systemen über Software für den Kreativbereich bis hin zu simplen E-Mail Diensten. Hier einige Beispiele für weit verbreitete Lösungen aus dem Software as a Service Umfeld:

  • Adobe (Illustrator oder Photoshop)
  • Google (Google Docs oder Gmail)
  • Microsoft (Office 365)
  • Salesforce (Community Cloud)

Wo liegen die Datenschutzrisiken?

Die Installation solcher Programme oder die bloße Anmeldung bei den Diensten muss nicht zwangsläufig zu Konflikten mit dem Datenschutz führen. Wie bei der Nutzung von Cloud-Speicher wird es kritisch, sobald eine Übermittlung von Daten mit Personenbezug an die jeweiligen Anbieter erfolgt. Bei der SaaS Nutzung findet solch eine Übermittlung sehr oft statt und lässt sich womöglich nicht verhindern. Sofern es sich um personenbezogene Daten handelt, muss auch dann ein angemessener Datenschutz greifen.

Eine der zentralen Fragen lautet daher im Vorfeld, welche Arten von Daten übermittelt werden. Ebenso ist zu klären, wohin die Datenübermittlung erfolgt. Innerhalb der EU gelten inzwischen strenge Richtlinien. Sofern die Übermittlung in Drittländer (keine Mitgliedstaaten der EU) erfolgt, muss dort ein adäquates Datenschutzniveau gewährleistet sein. Zugleich können für SaaS-Anbieter weitere Voraussetzungen gelten, wie z.B. die Privacy Shield Zertifizierung bei Cloud-Computing Anbietern aus den USA. Aber auch Serverstandorte sind je nach Rahmenbedingungen für den betrieblichen Datenschutz von Bedeutung.

Auftragsdatenverarbeitung berücksichtigen

Ein weiterer Aspekt ist die Auftragsdatenverarbeitung. Sie steht für die Übermittlung von Daten an externe Dienstleister, die z.B. Outsourcing-Aufgaben übernehmen. In bestimmten Fällen ist auch die Nutzung von Software as a Service Lösungen als Auftragsdatenverarbeitung einzuordnen. Dann gelten wiederum ergänzende Regularien. Der Anbieter muss strenge Datenschutzvorgaben erfüllen, über die außerdem ein Vertrag zu schließen ist.

Setzt Ihr Unternehmen Software as a Service Lösungen datenschutzkonform ein?

Die Einhaltung des betrieblichen Datenschutzes ist für Unternehmen sehr wichtig, weil bei Verstößen erhebliche Bußgelder drohen. Wer Software as a Service Lösungen nutzt, sollte also damit in Verbindung stehende und relevante Geschäftsabläufe prüfen. Als externer Datenschutzbeauftragter und auch im Rahmen unserer Datenschutzberatung stehen wir mit Rat und Tat gerne zur Seite. Wir uns unsere Kooperationspartner sind bundesweit tätig, wie z.B. in Berlin, Dresden oder Stuttgart. Für weitere Informationen stehen wir Ihnen telefonisch unter 0800-5600831 (gebührenfrei) sowie über unser Kontaktformular zur Verfügung.

Schreibe einen Kommentar