Symbolbild für SaaS

SaaS und Datenschutz

Software-as-a-Service oder kurz SaaS, ist immer weiter verbreitet - und das sowohl im privaten Gebrauch, wie auch in der betrieblichen Nutzung. Wir haben uns genauer angeschaut, was eine SaaS-Lösung ausmacht, für wen sie geeignet ist und wie es hierbei um den Datenschutz steht.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2021-08-30

Logo
  • Author: Team datenschutzexperte.de
    Unser Team, bestehend aus zahlreichen Expert*innen im Bereich Datenschutz, weiß, was KMUs im Datenschutz bewegt. Unsere Beiträge sollen helfen, das Thema Datenschutz verständlich zu machen.

Was ist SaaS?

Software-as-a-Service, kurz SaaS ist ein spezielles Softwaremodell, bei dem die Software als ein Service über das Internet angeboten wird. Oftmals basiert diese Software auf einer Cloud-Lösung. Das bedeutet, dass die Speicherung der Daten über eine Cloud läuft und nicht manuell vorgenommen werden muss. SaaS hat viele Vorteile, die sich vor allem in Betrieben als äußerst vorteilhaft erweisen. Dazu gehören beispielsweise automatische Updates, ein hohes Maß an Sicherheit und die Skalierbarkeit des Produkts. Dazu kommt, dass SaaS für Unternehmen jeder Größe genutzt werden kann. Je nach Wachstum kann die Software entsprechend angepasst werden und somit langfristig über innerbetriebliche Veränderungen hinaus eingesetzt werden. 

Allerdings wirft SaaS auch oftmals Fragen auf, vor allem bei Nutzern, die zuvor noch nicht mit SaaS oder einer anderen Cloud-basierten Anwendung gearbeitet haben. Insbesondere die Datensicherheit wird oft angezweifelt.

 

Was sind Datenschutzrisiken bei SaaS?

Das größte Risiko liegt darin, dass die Daten auf externen Servern gespeichert und verarbeitet werden. Das bedeutet konkret, dass der SaaS-Nutzer seine Daten mehr oder weniger aus der Hand gibt. Bei diesen Daten sind in der Regel auch personenbezogene Daten im Spiel. Umso wichtiger ist es, zu überprüfen, welchen Sicherheitsstatus der Softwareanbieter hat und wie sicher die genutzten Server sind. Bei unzureichenden Sicherheitsmaßnahmen, kann es beispielsweise sein, dass Daten durch Hackerangriffe eingesehen und geklaut werden, oder verloren gehen. Es ist allerdings häufig so, dass die Server bei Cloud-Anwendungen und somit auch SaaS-Lösungen speziell geprüft werden, um derartige Datenlecks auszuschließen. 

Das spricht bei einem Anbieter für ein hohes Maß an Datensicherheit:

  • offenen Kommunikation über den Umgang mit den Daten

  • Maßnahmen zur Einhaltung der IT-Sicherheit

  • technisch-organisatorische Maßnahmen zur Einhaltung eines Datenschutzniveaus

  • Ansprechpartner zur Datensicherheit

datenschutzexperte.de-Tipp: Oftmals haben Server spezielle Zertifikate oder Prüfsiegel, an denen Sie erkennen können, wie sicher die Software in Hinblick auf Datenschutz ist. Dazu zählt beispielsweise das C5 Testat vom Bundesamt für Sicherheit in der Informationstechnik oder unterschiedliche ISO-Zertifizierungen. 

 

Spielt der Serverstandort eine Rolle bei der Datensicherheit?

Speziell nach 2020 und dem Schrems II Urteil in diesem Jahr, liegt ein besonderes Augenmerk auf dem Datentransfer in Drittländer. Einerseits wurde das Privacy Shield, das bis dahin einen sicheren Datentransfer zwischen der EU und den USA geregelt hat, gekippt. Des Weiteren wurde EU-Unternehmen die Pflicht auferlegt, selbstständig zu prüfen, ob bei einem Drittlandtransfer weitere Maßnahmen nötig sind, um das Datenschutzniveau der DSGVO einzuhalten. Es bietet sich daher an, einen SaaS-Anbieter zu wählen, der Server in der EU nutzt. Somit sind sie in jedem Fall auf der sicheren Seite. 

 

Darauf sollten Sie bei der Auswahl von SaaS sonst noch achten

SaaS wird meist mit dem Ziel genutzt, langfristig damit arbeiten zu können und Prozesse zu vereinfachen. Gerade deshalb ist es wichtig, die Auswahl nicht leichtsinnig durchzuführen. Um sicherzugehen, sollten Sie überprüfen, ob die folgenden Punkte vorhanden sind: 
 

  • Ein Auftragsverarbeitungsvertrag inklusive der technischen und organisatorischen Maßnahmen des Cloudanbieters wird zur Verfügung gestellt und bildet die gesetzlichen Anforderungen ab.

  • Privacy by Design wird beim Service berücksichtigt. Das heißt, grundsätzliche Funktionalitäten des Dienstes entsprechen den Anforderungen des Datenschutzes.

  • Privacy by default wird berücksichtigt, indem Grundeinstellungen datenschutzfreundlich gewählt sind. Die weitere individuelle Konfiguration erfolgt je nach Zweck der Datenverarbeitung.

  • Der Anbieter erfüllt die Anforderungen des Datenschutzes und weist dies im Idealfall mit einem Zertifikat nach.

  • Der Administrator des Systems hat die Möglichkeit, das System weiter zu konfigurieren, um Anforderungen des Datenschutzes einzustellen.

Es ist immer wichtig sich ausführlich mit etwas auseinanderzusetzen, bevor man eine neue Software implementiert. Datenschutztechnisch wissen Sie nun worauf Sie achten sollten, um eine sichere Auswahl zu treffen. Falls Sie sich dennoch unsicher sind, freuen wir uns Sie persönlich rund um das Thema Datenschutz und Datensicherheit beraten zu dürfen. 

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 30.08.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr