Magazin
SaaS und Datenschutz

SaaS und Datenschutz

Letztes Update:
06
.
09
.
2021
Lesezeit:
0
Min
Software-as-a-Service oder kurz SaaS, ist immer weiter verbreitet - und das sowohl im privaten Gebrauch, wie auch in der betrieblichen Nutzung. Wir haben uns genauer angeschaut, was eine SaaS-Lösung ausmacht, für wen sie geeignet ist und wie es hierbei um den Datenschutz steht.
SaaS und Datenschutz
Die wichtigsten Erkenntnisse
  • SaaS bietet Software über das Internet an und basiert oft auf Cloud-Lösungen.
  • Datenschutzrisiko: Daten werden auf externen Servern gespeichert und verarbeitet.
  • Sicherheitsmaßnahmen und Zertifikate (z.B. C5, ISO) sind entscheidend für Datenschutz.
  • Serverstandort: EU-Server bevorzugen, um DSGVO-konform zu bleiben.
  • Wichtige Punkte: Auftragsverarbeitungsvertrag, Privacy by Design, Privacy by Default.

Was ist SaaS?

Software-as-a-Service, kurz SaaS ist ein spezielles Softwaremodell, bei dem die Software als ein Service über das Internet angeboten wird. Oftmals basiert diese Software auf einer Cloud-Lösung. Das bedeutet, dass die Speicherung der Daten über eine Cloud läuft und nicht manuell vorgenommen werden muss. SaaS hat viele Vorteile, die sich vor allem in Betrieben als äußerst vorteilhaft erweisen. Dazu gehören beispielsweise automatische Updates, ein hohes Maß an Sicherheit und die Skalierbarkeit des Produkts. Dazu kommt, dass SaaS für Unternehmen jeder Größe genutzt werden kann. Je nach Wachstum kann die Software entsprechend angepasst werden und somit langfristig über innerbetriebliche Veränderungen hinaus eingesetzt werden. 

Allerdings wirft SaaS auch oftmals Fragen auf, vor allem bei Nutzern, die zuvor noch nicht mit SaaS oder einer anderen Cloud-basierten Anwendung gearbeitet haben. Insbesondere die Datensicherheit wird oft angezweifelt.

Was sind Datenschutzrisiken bei SaaS?

Das größte Risiko liegt darin, dass die Daten auf externen Servern gespeichert und verarbeitet werden. Das bedeutet konkret, dass der SaaS-Nutzer seine Daten mehr oder weniger aus der Hand gibt. Bei diesen Daten sind in der Regel auch personenbezogene Daten im Spiel. Umso wichtiger ist es, zu überprüfen, welchen Sicherheitsstatus der Softwareanbieter hat und wie sicher die genutzten Server sind. Bei unzureichenden Sicherheitsmaßnahmen, kann es beispielsweise sein, dass Daten durch Hackerangriffe eingesehen und geklaut werden, oder verloren gehen. Es ist allerdings häufig so, dass die Server bei Cloud-Anwendungen und somit auch SaaS-Lösungen speziell geprüft werden, um derartige Datenlecks auszuschließen. 

Das spricht bei einem Anbieter für ein hohes Maß an Datensicherheit:

  • offenen Kommunikation über den Umgang mit den Daten
  • Maßnahmen zur Einhaltung der IT-Sicherheit
  • technisch-organisatorische Maßnahmen zur Einhaltung eines Datenschutzniveaus
  • Ansprechpartner zur Datensicherheit

datenschutzexperte.de-Tipp: Oftmals haben Server spezielle Zertifikate oder Prüfsiegel, an denen Sie erkennen können, wie sicher die Software in Hinblick auf Datenschutz ist. Dazu zählt beispielsweise das C5 Testat vom Bundesamt für Sicherheit in der Informationstechnik oder unterschiedliche ISO-Zertifizierungen. 

Spielt der Serverstandort eine Rolle bei der Datensicherheit?

Speziell nach 2020 und dem Schrems II Urteil in diesem Jahr, liegt ein besonderes Augenmerk auf dem Datentransfer in Drittländer. Einerseits wurde das Privacy Shield, das bis dahin einen sicheren Datentransfer zwischen der EU und den USA geregelt hat, gekippt. Des Weiteren wurde EU-Unternehmen die Pflicht auferlegt, selbstständig zu prüfen, ob bei einem Drittlandtransfer weitere Maßnahmen nötig sind, um das Datenschutzniveau der DSGVO einzuhalten. Es bietet sich daher an, einen SaaS-Anbieter zu wählen, der Server in der EU nutzt. Somit sind sie in jedem Fall auf der sicheren Seite. 

Darauf sollten Sie bei der Auswahl von SaaS sonst noch achten

SaaS wird meist mit dem Ziel genutzt, langfristig damit arbeiten zu können und Prozesse zu vereinfachen. Gerade deshalb ist es wichtig, die Auswahl nicht leichtsinnig durchzuführen. Um sicherzugehen, sollten Sie überprüfen, ob die folgenden Punkte vorhanden sind: 
 

  • Ein Auftragsverarbeitungsvertrag inklusive der technischen und organisatorischen Maßnahmen des Cloudanbieters wird zur Verfügung gestellt und bildet die gesetzlichen Anforderungen ab.
  • Privacy by Design wird beim Service berücksichtigt. Das heißt, grundsätzliche Funktionalitäten des Dienstes entsprechen den Anforderungen des Datenschutzes.
  • Privacy by default wird berücksichtigt, indem Grundeinstellungen datenschutzfreundlich gewählt sind. Die weitere individuelle Konfiguration erfolgt je nach Zweck der Datenverarbeitung.
  • Der Anbieter erfüllt die Anforderungen des Datenschutzes und weist dies im Idealfall mit einem Zertifikat nach.
  • Der Administrator des Systems hat die Möglichkeit, das System weiter zu konfigurieren, um Anforderungen des Datenschutzes einzustellen.

Es ist immer wichtig sich ausführlich mit etwas auseinanderzusetzen, bevor man eine neue Software implementiert. Datenschutztechnisch wissen Sie nun worauf Sie achten sollten, um eine sichere Auswahl zu treffen. Falls Sie sich dennoch unsicher sind, freuen wir uns Sie persönlich rund um das Thema Datenschutz und Datensicherheit beraten zu dürfen. 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Cloud
Datenschutz im Internet
Datensicherheit
DSGVO
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Datenschutzerklärung für Apps: Das gilt für App-Anbieter
17
.
04
.
2023
Datenschutzerklärung für Apps: Das gilt für App-Anbieter
Nicht nur die Betreiber von Websites und Online-Shops müssen sich mit dem Datenschutz auseinandersetzen, auch App-Anbieter sind von den Regelungen zu den Datenschutzvorgaben der Europäischen Union betroffen. So enthält die DSGVO viele Pflichten für Unternehmer wie App-Betreiber und schützt die personenbezogenen Daten der Nutzer.
Impressum nach TMG: Das müssen Website-Betreiber beachten
23
.
03
.
2023
Impressum nach TMG: Das müssen Website-Betreiber beachten
Das Telemediengesetz (TMG) bestimmt, welche Angaben Unternehmen machen müssen, wenn sie im geschäftlichen Verkehr nach außen hin auftreten. Dazu gehört auch ein Impressum. Wer ein Impressum bereitstellen muss und wie Sie Impressumspflichten sicher nachkommen können, erfahren Sie hier.
Passwortänderungen im Unternehmen: Was das BSI jetzt empfiehlt
19
.
04
.
2024
Passwortänderungen im Unternehmen: Was das BSI jetzt empfiehlt
Das BSI hat neue Empfehlungen für Passwörter veröffentlicht. Komplexe Passwörter und häufige Passwortänderungen werden nicht mehr empfohlen. Was genau das bedeutet und wie Sie die neuen Hinweise in Ihrer Passwortrichtlinie umsetzen können, zeigen wir Ihnen in diesem Artikel.
Datenleck: Was ist ein Datenleck und was ist zu tun?
02
.
08
.
2024
Datenleck: Was ist ein Datenleck und was ist zu tun?
Die Datenschutz-Grundverordnung (DSGVO) ist seit ihrer Einführung im Mai 2018 ein zentrales Thema für Unternehmen in der EU. Ihre Grundsätze sind darauf ausgelegt, den Schutz personenbezogener Daten zu gewährleisten und das Vertrauen zwischen Unternehmen und ihren Kunden zu stärken. Für mittelständische Unternehmen ist es entscheidend, diese Grundsätze zu verstehen und umzusetzen, um ein Datenleck sowie rechtliche Risiken zu minimieren und sich einen Wettbewerbsvorteil zu sichern.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Datenschutzerklärung für Kunden
Als Unternehmen haben Sie verschiedene Informationspflichten nach DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Interessenten und Kunden. Dabei können Sie eine PDF-Datei der Bestätigungs-E-Mail anhängen oder online auf eine zur Verfügung gestellte Information verweisen. Mithilfe unserer DSGVO-konformen Vorlage zur Datenschutzbelehrung können Sie der Datenschutzinformationspflicht für Kunden jetzt ganz einfach nachgehen.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!