Symbolbild für SaaS

SaaS und Datenschutz

Software-as-a-Service oder kurz SaaS, ist immer weiter verbreitet - und das sowohl im privaten Gebrauch, wie auch in der betrieblichen Nutzung. Wir haben uns genauer angeschaut, was eine SaaS-Lösung ausmacht, für wen sie geeignet ist und wie es hierbei um den Datenschutz steht.

2021-08-30

Logo

Was ist SaaS?

Software-as-a-Service, kurz SaaS ist ein spezielles Softwaremodell, bei dem die Software als ein Service über das Internet angeboten wird. Oftmals basiert diese Software auf einer Cloud-Lösung. Das bedeutet, dass die Speicherung der Daten über eine Cloud läuft und nicht manuell vorgenommen werden muss. SaaS hat viele Vorteile, die sich vor allem in Betrieben als äußerst vorteilhaft erweisen. Dazu gehören beispielsweise automatische Updates, ein hohes Maß an Sicherheit und die Skalierbarkeit des Produkts. Dazu kommt, dass SaaS für Unternehmen jeder Größe genutzt werden kann. Je nach Wachstum kann die Software entsprechend angepasst werden und somit langfristig über innerbetriebliche Veränderungen hinaus eingesetzt werden. 

Allerdings wirft SaaS auch oftmals Fragen auf, vor allem bei Nutzern, die zuvor noch nicht mit SaaS oder einer anderen Cloud-basierten Anwendung gearbeitet haben. Insbesondere die Datensicherheit wird oft angezweifelt.

 

Was sind Datenschutzrisiken bei SaaS?

Das größte Risiko liegt darin, dass die Daten auf externen Servern gespeichert und verarbeitet werden. Das bedeutet konkret, dass der SaaS-Nutzer seine Daten mehr oder weniger aus der Hand gibt. Bei diesen Daten sind in der Regel auch personenbezogene Daten im Spiel. Umso wichtiger ist es, zu überprüfen, welchen Sicherheitsstatus der Softwareanbieter hat und wie sicher die genutzten Server sind. Bei unzureichenden Sicherheitsmaßnahmen, kann es beispielsweise sein, dass Daten durch Hackerangriffe eingesehen und geklaut werden, oder verloren gehen. Es ist allerdings häufig so, dass die Server bei Cloud-Anwendungen und somit auch SaaS-Lösungen speziell geprüft werden, um derartige Datenlecks auszuschließen. 

Das spricht bei einem Anbieter für ein hohes Maß an Datensicherheit:

  • offenen Kommunikation über den Umgang mit den Daten

  • Maßnahmen zur Einhaltung der IT-Sicherheit

  • technisch-organisatorische Maßnahmen zur Einhaltung eines Datenschutzniveaus

  • Ansprechpartner zur Datensicherheit

datenschutzexperte.de-Tipp: Oftmals haben Server spezielle Zertifikate oder Prüfsiegel, an denen Sie erkennen können, wie sicher die Software in Hinblick auf Datenschutz ist. Dazu zählt beispielsweise das C5 Testat vom Bundesamt für Sicherheit in der Informationstechnik oder unterschiedliche ISO-Zertifizierungen. 

 

Spielt der Serverstandort eine Rolle bei der Datensicherheit?

Speziell nach 2020 und dem Schrems II Urteil in diesem Jahr, liegt ein besonderes Augenmerk auf dem Datentransfer in Drittländer. Einerseits wurde das Privacy Shield, das bis dahin einen sicheren Datentransfer zwischen der EU und den USA geregelt hat, gekippt. Des Weiteren wurde EU-Unternehmen die Pflicht auferlegt, selbstständig zu prüfen, ob bei einem Drittlandtransfer weitere Maßnahmen nötig sind, um das Datenschutzniveau der DSGVO einzuhalten. Es bietet sich daher an, einen SaaS-Anbieter zu wählen, der Server in der EU nutzt. Somit sind sie in jedem Fall auf der sicheren Seite. 

 

Darauf sollten Sie bei der Auswahl von SaaS sonst noch achten

SaaS wird meist mit dem Ziel genutzt, langfristig damit arbeiten zu können und Prozesse zu vereinfachen. Gerade deshalb ist es wichtig, die Auswahl nicht leichtsinnig durchzuführen. Um sicherzugehen, sollten Sie überprüfen, ob die folgenden Punkte vorhanden sind: 
 

  • Ein Auftragsverarbeitungsvertrag inklusive der technischen und organisatorischen Maßnahmen des Cloudanbieters wird zur Verfügung gestellt und bildet die gesetzlichen Anforderungen ab.

  • Privacy by Design wird beim Service berücksichtigt. Das heißt, grundsätzliche Funktionalitäten des Dienstes entsprechen den Anforderungen des Datenschutzes.

  • Privacy by default wird berücksichtigt, indem Grundeinstellungen datenschutzfreundlich gewählt sind. Die weitere individuelle Konfiguration erfolgt je nach Zweck der Datenverarbeitung.

  • Der Anbieter erfüllt die Anforderungen des Datenschutzes und weist dies im Idealfall mit einem Zertifikat nach.

  • Der Administrator des Systems hat die Möglichkeit, das System weiter zu konfigurieren, um Anforderungen des Datenschutzes einzustellen.

Es ist immer wichtig sich ausführlich mit etwas auseinanderzusetzen, bevor man eine neue Software implementiert. Datenschutztechnisch wissen Sie nun worauf Sie achten sollten, um eine sichere Auswahl zu treffen. Falls Sie sich dennoch unsicher sind, freuen wir uns Sie persönlich rund um das Thema Datenschutz und Datensicherheit beraten zu dürfen. 

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 30.08.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

Check: Datensensibilität bei Mitarbeitern

Die DSGVO kann in einem Unternehmen nur umgesetzt werden, wenn die Mitarbeiter umfassend in diesem Bereich geschult sind.

Mitarbeiter, die mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben, müssen für den richtigen Umgang mit diesen Daten sensibilisiert werden. Nur so können sie Datenschutzpannen vorgebeugt werden. Sind Ihre Mitarbeiter fit im Datenschutz?

Zum Check

Geöffneter Laptop, auf welchem derCheck zur Datensensibilität der Mitarbeiter geöffnet ist

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr