SaaS und Datenschutz

Letztes Update:
06
.
09
.
2021
Lesezeit:
0
Min
Software-as-a-Service oder kurz SaaS, ist immer weiter verbreitet - und das sowohl im privaten Gebrauch, wie auch in der betrieblichen Nutzung. Wir haben uns genauer angeschaut, was eine SaaS-Lösung ausmacht, für wen sie geeignet ist und wie es hierbei um den Datenschutz steht.
SaaS und Datenschutz
Die wichtigsten Erkenntnisse
  • SaaS bietet Software über das Internet an und basiert oft auf Cloud-Lösungen.
  • Datenschutzrisiko: Daten werden auf externen Servern gespeichert und verarbeitet.
  • Sicherheitsmaßnahmen und Zertifikate (z.B. C5, ISO) sind entscheidend für Datenschutz.
  • Serverstandort: EU-Server bevorzugen, um DSGVO-konform zu bleiben.
  • Wichtige Punkte: Auftragsverarbeitungsvertrag, Privacy by Design, Privacy by Default.

Was ist SaaS?

Software-as-a-Service, kurz SaaS ist ein spezielles Softwaremodell, bei dem die Software als ein Service über das Internet angeboten wird. Oftmals basiert diese Software auf einer Cloud-Lösung. Das bedeutet, dass die Speicherung der Daten über eine Cloud läuft und nicht manuell vorgenommen werden muss. SaaS hat viele Vorteile, die sich vor allem in Betrieben als äußerst vorteilhaft erweisen. Dazu gehören beispielsweise automatische Updates, ein hohes Maß an Sicherheit und die Skalierbarkeit des Produkts. Dazu kommt, dass SaaS für Unternehmen jeder Größe genutzt werden kann. Je nach Wachstum kann die Software entsprechend angepasst werden und somit langfristig über innerbetriebliche Veränderungen hinaus eingesetzt werden. 

Allerdings wirft SaaS auch oftmals Fragen auf, vor allem bei Nutzern, die zuvor noch nicht mit SaaS oder einer anderen Cloud-basierten Anwendung gearbeitet haben. Insbesondere die Datensicherheit wird oft angezweifelt.

Was sind Datenschutzrisiken bei SaaS?

Das größte Risiko liegt darin, dass die Daten auf externen Servern gespeichert und verarbeitet werden. Das bedeutet konkret, dass der SaaS-Nutzer seine Daten mehr oder weniger aus der Hand gibt. Bei diesen Daten sind in der Regel auch personenbezogene Daten im Spiel. Umso wichtiger ist es, zu überprüfen, welchen Sicherheitsstatus der Softwareanbieter hat und wie sicher die genutzten Server sind. Bei unzureichenden Sicherheitsmaßnahmen, kann es beispielsweise sein, dass Daten durch Hackerangriffe eingesehen und geklaut werden, oder verloren gehen. Es ist allerdings häufig so, dass die Server bei Cloud-Anwendungen und somit auch SaaS-Lösungen speziell geprüft werden, um derartige Datenlecks auszuschließen. 

Das spricht bei einem Anbieter für ein hohes Maß an Datensicherheit:

  • offenen Kommunikation über den Umgang mit den Daten
  • Maßnahmen zur Einhaltung der IT-Sicherheit
  • technisch-organisatorische Maßnahmen zur Einhaltung eines Datenschutzniveaus
  • Ansprechpartner zur Datensicherheit

datenschutzexperte.de-Tipp: Oftmals haben Server spezielle Zertifikate oder Prüfsiegel, an denen Sie erkennen können, wie sicher die Software in Hinblick auf Datenschutz ist. Dazu zählt beispielsweise das C5 Testat vom Bundesamt für Sicherheit in der Informationstechnik oder unterschiedliche ISO-Zertifizierungen. 

Spielt der Serverstandort eine Rolle bei der Datensicherheit?

Speziell nach 2020 und dem Schrems II Urteil in diesem Jahr, liegt ein besonderes Augenmerk auf dem Datentransfer in Drittländer. Einerseits wurde das Privacy Shield, das bis dahin einen sicheren Datentransfer zwischen der EU und den USA geregelt hat, gekippt. Des Weiteren wurde EU-Unternehmen die Pflicht auferlegt, selbstständig zu prüfen, ob bei einem Drittlandtransfer weitere Maßnahmen nötig sind, um das Datenschutzniveau der DSGVO einzuhalten. Es bietet sich daher an, einen SaaS-Anbieter zu wählen, der Server in der EU nutzt. Somit sind sie in jedem Fall auf der sicheren Seite. 

Darauf sollten Sie bei der Auswahl von SaaS sonst noch achten

SaaS wird meist mit dem Ziel genutzt, langfristig damit arbeiten zu können und Prozesse zu vereinfachen. Gerade deshalb ist es wichtig, die Auswahl nicht leichtsinnig durchzuführen. Um sicherzugehen, sollten Sie überprüfen, ob die folgenden Punkte vorhanden sind: 
 

  • Ein Auftragsverarbeitungsvertrag inklusive der technischen und organisatorischen Maßnahmen des Cloudanbieters wird zur Verfügung gestellt und bildet die gesetzlichen Anforderungen ab.
  • Privacy by Design wird beim Service berücksichtigt. Das heißt, grundsätzliche Funktionalitäten des Dienstes entsprechen den Anforderungen des Datenschutzes.
  • Privacy by default wird berücksichtigt, indem Grundeinstellungen datenschutzfreundlich gewählt sind. Die weitere individuelle Konfiguration erfolgt je nach Zweck der Datenverarbeitung.
  • Der Anbieter erfüllt die Anforderungen des Datenschutzes und weist dies im Idealfall mit einem Zertifikat nach.
  • Der Administrator des Systems hat die Möglichkeit, das System weiter zu konfigurieren, um Anforderungen des Datenschutzes einzustellen.

Es ist immer wichtig sich ausführlich mit etwas auseinanderzusetzen, bevor man eine neue Software implementiert. Datenschutztechnisch wissen Sie nun worauf Sie achten sollten, um eine sichere Auswahl zu treffen. Falls Sie sich dennoch unsicher sind, freuen wir uns Sie persönlich rund um das Thema Datenschutz und Datensicherheit beraten zu dürfen. 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!