Magazin
SaaS und Datenschutz

SaaS und Datenschutz

Letztes Update:
06
.
09
.
2021
Lesezeit:
0
Min
Software-as-a-Service oder kurz SaaS, ist immer weiter verbreitet - und das sowohl im privaten Gebrauch, wie auch in der betrieblichen Nutzung. Wir haben uns genauer angeschaut, was eine SaaS-Lösung ausmacht, für wen sie geeignet ist und wie es hierbei um den Datenschutz steht.
SaaS und Datenschutz
Die wichtigsten Erkenntnisse
  • SaaS bietet Software über das Internet an und basiert oft auf Cloud-Lösungen.
  • Datenschutzrisiko: Daten werden auf externen Servern gespeichert und verarbeitet.
  • Sicherheitsmaßnahmen und Zertifikate (z.B. C5, ISO) sind entscheidend für Datenschutz.
  • Serverstandort: EU-Server bevorzugen, um DSGVO-konform zu bleiben.
  • Wichtige Punkte: Auftragsverarbeitungsvertrag, Privacy by Design, Privacy by Default.

Was ist SaaS?

Software-as-a-Service, kurz SaaS ist ein spezielles Softwaremodell, bei dem die Software als ein Service über das Internet angeboten wird. Oftmals basiert diese Software auf einer Cloud-Lösung. Das bedeutet, dass die Speicherung der Daten über eine Cloud läuft und nicht manuell vorgenommen werden muss. SaaS hat viele Vorteile, die sich vor allem in Betrieben als äußerst vorteilhaft erweisen. Dazu gehören beispielsweise automatische Updates, ein hohes Maß an Sicherheit und die Skalierbarkeit des Produkts. Dazu kommt, dass SaaS für Unternehmen jeder Größe genutzt werden kann. Je nach Wachstum kann die Software entsprechend angepasst werden und somit langfristig über innerbetriebliche Veränderungen hinaus eingesetzt werden. 

Allerdings wirft SaaS auch oftmals Fragen auf, vor allem bei Nutzern, die zuvor noch nicht mit SaaS oder einer anderen Cloud-basierten Anwendung gearbeitet haben. Insbesondere die Datensicherheit wird oft angezweifelt.

Was sind Datenschutzrisiken bei SaaS?

Das größte Risiko liegt darin, dass die Daten auf externen Servern gespeichert und verarbeitet werden. Das bedeutet konkret, dass der SaaS-Nutzer seine Daten mehr oder weniger aus der Hand gibt. Bei diesen Daten sind in der Regel auch personenbezogene Daten im Spiel. Umso wichtiger ist es, zu überprüfen, welchen Sicherheitsstatus der Softwareanbieter hat und wie sicher die genutzten Server sind. Bei unzureichenden Sicherheitsmaßnahmen, kann es beispielsweise sein, dass Daten durch Hackerangriffe eingesehen und geklaut werden, oder verloren gehen. Es ist allerdings häufig so, dass die Server bei Cloud-Anwendungen und somit auch SaaS-Lösungen speziell geprüft werden, um derartige Datenlecks auszuschließen. 

Das spricht bei einem Anbieter für ein hohes Maß an Datensicherheit:

  • offenen Kommunikation über den Umgang mit den Daten
  • Maßnahmen zur Einhaltung der IT-Sicherheit
  • technisch-organisatorische Maßnahmen zur Einhaltung eines Datenschutzniveaus
  • Ansprechpartner zur Datensicherheit

datenschutzexperte.de-Tipp: Oftmals haben Server spezielle Zertifikate oder Prüfsiegel, an denen Sie erkennen können, wie sicher die Software in Hinblick auf Datenschutz ist. Dazu zählt beispielsweise das C5 Testat vom Bundesamt für Sicherheit in der Informationstechnik oder unterschiedliche ISO-Zertifizierungen. 

Spielt der Serverstandort eine Rolle bei der Datensicherheit?

Speziell nach 2020 und dem Schrems II Urteil in diesem Jahr, liegt ein besonderes Augenmerk auf dem Datentransfer in Drittländer. Einerseits wurde das Privacy Shield, das bis dahin einen sicheren Datentransfer zwischen der EU und den USA geregelt hat, gekippt. Des Weiteren wurde EU-Unternehmen die Pflicht auferlegt, selbstständig zu prüfen, ob bei einem Drittlandtransfer weitere Maßnahmen nötig sind, um das Datenschutzniveau der DSGVO einzuhalten. Es bietet sich daher an, einen SaaS-Anbieter zu wählen, der Server in der EU nutzt. Somit sind sie in jedem Fall auf der sicheren Seite. 

Darauf sollten Sie bei der Auswahl von SaaS sonst noch achten

SaaS wird meist mit dem Ziel genutzt, langfristig damit arbeiten zu können und Prozesse zu vereinfachen. Gerade deshalb ist es wichtig, die Auswahl nicht leichtsinnig durchzuführen. Um sicherzugehen, sollten Sie überprüfen, ob die folgenden Punkte vorhanden sind: 
 

  • Ein Auftragsverarbeitungsvertrag inklusive der technischen und organisatorischen Maßnahmen des Cloudanbieters wird zur Verfügung gestellt und bildet die gesetzlichen Anforderungen ab.
  • Privacy by Design wird beim Service berücksichtigt. Das heißt, grundsätzliche Funktionalitäten des Dienstes entsprechen den Anforderungen des Datenschutzes.
  • Privacy by default wird berücksichtigt, indem Grundeinstellungen datenschutzfreundlich gewählt sind. Die weitere individuelle Konfiguration erfolgt je nach Zweck der Datenverarbeitung.
  • Der Anbieter erfüllt die Anforderungen des Datenschutzes und weist dies im Idealfall mit einem Zertifikat nach.
  • Der Administrator des Systems hat die Möglichkeit, das System weiter zu konfigurieren, um Anforderungen des Datenschutzes einzustellen.

Es ist immer wichtig sich ausführlich mit etwas auseinanderzusetzen, bevor man eine neue Software implementiert. Datenschutztechnisch wissen Sie nun worauf Sie achten sollten, um eine sichere Auswahl zu treffen. Falls Sie sich dennoch unsicher sind, freuen wir uns Sie persönlich rund um das Thema Datenschutz und Datensicherheit beraten zu dürfen. 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Cloud
Datenschutz im Internet
Datensicherheit
DSGVO
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Patientendatenschutz und Schweigepflicht – das sollten Sie wissen
21
.
04
.
2021
Patientendatenschutz und Schweigepflicht – das sollten Sie wissen
Gilt die ärztliche Schweigepflicht auch für den Betriebsarzt? Was passiert, wenn man die Schweigepflicht bricht? Bei diesem heiklen Thema gibt es einiges zu wissen.
Datensicherheit im Internet: So surfen Sie richtig!
14
.
10
.
2024
Datensicherheit im Internet: So surfen Sie richtig!
Viele Menschen können sich ein Leben ohne ausgiebiges Surfen im Internet nicht mehr vorstellen. Dabei werden die mannigfachen Gefahren und Risiken einer intensiven Netznutzung sehr häufig unterschätzt - Datensicherheit im Internet sollte daher jedem ein Begriff sein! Schon mit wenigen Sicherheitsmaßnahmen kann man das Risiko der Internetnutzung minimieren und die Datensicherheit im Netz steigern. Das Bundesamt für Sicherheit in der Informationstechnik hat dazu zehn praktische Tipps veröffentlicht, die wir Ihnen am Ende der Seite für mehr Datensicherheit im Internet vorstellen.
Künstliche Intelligenz und Datenschutz: Chancen und Herausforderungen für Unternehmen
24
.
09
.
2024
Künstliche Intelligenz und Datenschutz: Chancen und Herausforderungen für Unternehmen
Der Hype um Künstliche Intelligenz (KI) reißt nicht ab. Längst beschäftigen sich nicht mehr nur Digital-Giganten wie Google, Microsoft und Apple mit Algorithmen und Machine Learning. Auch für KMU in Deutschland wird das Thema relevanter. Neben den Chancen von KI sollten KMU auch ihre Hürden kennen, zu denen vor allem der Datenschutz gehört.
Sichere Suchmaschine ohne Tracking - Alternativen zum Marktführer
14
.
02
.
2023
Sichere Suchmaschine ohne Tracking - Alternativen zum Marktführer
Suchmaschinen sammeln oftmals viele personenbezogene Daten. Wenn Sie das nicht mehr wollen, haben wir hier die besten Tipps für sichere Suchmaschinen-Alternativen.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
20
.
11
.
2024
Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
Datenschutz und Informationssicherheit spielen eine zentrale Rolle, wenn es um den Schutz von analogen und digitalen Informationen im Unternehmen geht. Um beide Konzepte richtig umzusetzen, ist eine klare Trennung notwendig. Wir klären die Unterschiede und Gemeinsamkeiten und zeigen, wie Unternehmen sicher und rechtskonform arbeiten.
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
14
.
11
.
2024
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
Mit einem SOC-2-Report zeigen Sie, dass Ihr Unternehmen Kontrollen und Prozesse implementiert hat, um sensible Kundendaten zu schützen. Doch was genau ist ein SOC-2-Report? Welche Unternehmen benötigen ihn? Und wie läuft der Audit-Prozess ab?
ISO 27001 Controls: Eine Übersicht für Unternehmen
14
.
11
.
2024
ISO 27001 Controls: Eine Übersicht für Unternehmen
In einer Welt, in der Cyberangriffe immer häufiger und raffinierter werden, sind Informationssicherheit und Datenschutz für Unternehmen essenziell. Eine der anerkanntesten internationalen Normen in diesem Bereich ist die ISO 27001. Diese Norm hilft Unternehmen dabei, ein robustes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, um sensible Daten zu schützen und regulatorische Anforderungen zu erfüllen.
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
12
.
11
.
2024
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
Sie möchten Ihre Informationssicherheit auf das nächste Level bringen und suchen einen Sicherheitsstandard, der Ihnen dabei hilft? Wir beleuchten Gemeinsamkeiten und Unterschiede zwischen SOC 2 und ISO 27001, damit Ihnen die Entscheidung leichter fällt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Datenschutzerklärung für Kunden
Als Unternehmen haben Sie verschiedene Informationspflichten nach DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Interessenten und Kunden. Dabei können Sie eine PDF-Datei der Bestätigungs-E-Mail anhängen oder online auf eine zur Verfügung gestellte Information verweisen. Mithilfe unserer DSGVO-konformen Vorlage zur Datenschutzbelehrung können Sie der Datenschutzinformationspflicht für Kunden jetzt ganz einfach nachgehen.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!