‍Kurze Zusammenfassung:

SaaS-Lösungen bieten Unternehmen enorme Flexibilität, bergen aber auch besondere Herausforderungen beim Thema Datenschutz. Der Beitrag beleuchtet, wie SaaS-Anbieter rechtssicher agieren, Risiken minimieren und die Anforderungen der DSGVO erfüllen können mit einem besonderen Blick auf die Empfehlungen der DGD Deutsche Gesellschaft für Datenschutz.

Inhaltsverzeichnis:

1. Was ist SaaS und warum ist Datenschutz dabei zentral?
2. Datenschutz bei SaaS: Die größten Risiken
3. Technische und organisatorische Maßnahmen
4. Serverstandort und Datentransfer in Drittländer
5. Privacy by Design und Default
6. Die Rolle des Datenschutzbeauftragten
7. Vertragsgestaltung und Vereinbarungen
8. Fazit: SaaS und Datenschutz erfolgreich verbinden
9. FAQ: Häufige Fragen zu SaaS & Datenschutz

1. Was ist SaaS und warum ist Datenschutz dabei zentral?

Software-as-a-Service, kurz SaaS, ist ein beliebtes Modell zur Bereitstellung von Anwendungen über die Cloud. Statt Software lokal zu installieren, greifen Unternehmen über das Internet auf SaaS-Lösungen zu. Die Vorteile liegen in der Flexibilität, Skalierbarkeit und der geringeren IT-Infrastruktur. Doch die Speicherung der Daten auf externen Servern bringt neue datenschutzrechtliche Herausforderungen mit sich.

2. Datenschutz bei SaaS: Die größten Risiken

Beim Thema Datenschutz und SaaS geht es vor allem darum, wie personenbezogene Daten verarbeitet, gespeichert und gesichert werden. SaaS-Anbieter verarbeiten häufig sensible Informationen – z. B. Kundendaten, Gesundheitsdaten oder interne Geschäftsprozesse. Ohne geeignete Sicherheitsmaßnahmen besteht das Risiko unbefügter Zugriffe, Datenverluste oder Übermittlungen in unsichere Drittländer.

Die DGD Deutsche Gesellschaft für Datenschutz warnt insbesondere vor fehlenden Vereinbarungen zur Datenverarbeitung und unklaren Verantwortlichkeiten zwischen Anbieter und Nutzer.

‍3. Technische und organisatorische Maßnahmen

Datenschutz und Datensicherheit beginnen mit grundlegenden technischen und organisatorischen Maßnahmen (TOMs), wie sie in der DSGVO gefordert sind. Dazu zählen:

• Verschlüsselung der Datenübertragung und -speicherung

Alle Daten sollten sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt werden, um unbefugten Zugriff zu verhindern – gängige Standards sind TLS für die Übertragung und AES für die Speicherung.

• Zwei-Faktor-Authentifizierung

Zusätzlich zum Passwort wird eine zweite Sicherheitsstufe benötigt, etwa ein Einmal-Code per App oder biometrische Bestätigung, um die Identität des Nutzers zuverlässig zu verifizieren.

• Rollenbasierte Zugriffskontrolle

Nutzer erhalten nur Zugriff auf die Daten und Funktionen, die sie für ihre Aufgaben benötigen – das minimiert Risiken und erhöht die Datensicherheit im System.

• Regelmäßige Updates und Schwachstellen-Management

Durch kontinuierliche Updates und das Schließen bekannter Sicherheitslücken bleiben Systeme vor aktuellen Bedrohungen geschützt und DSGVO-konform.

• Protokollierung und Monitoring

Alle Zugriffe und sicherheitsrelevanten Vorgänge werden dokumentiert und überwacht, um im Ernstfall schnell reagieren und Sicherheitsvorfälle nachvollziehen zu können.

‍

Diese Maßnahmen müssen an den jeweiligen Anwendungsfall und das Risiko angepasst werden, um ein angemessenes Datenschutzniveau zu gewährleisten.

4. Serverstandort und Datentransfer in Drittländer

Wo die Daten gespeichert werden, spielt eine zentrale Rolle. Server in der EU bieten rechtlich mehr Sicherheit, da hier die DSGVO direkt gilt. Anders sieht es bei der Datenübermittlung in sogenannte Drittländer wie die USA aus.

Zwar wurde das „Privacy Shield“-Abkommen zwischen der EU und den USA gekippt, aber der aktuelle Angemessenheitsbeschluss („EU-US Data Privacy Framework“) erlaubt unter bestimmten Voraussetzungen die Übertragung – allerdings nur, wenn der SaaS-Anbieter zertifiziert ist.

Die DGD empfiehlt: Setzen Sie nach Möglichkeit auf Anbieter mit Servern in der EU oder klären Sie vertraglich alle Aspekte der Datenübermittlung.

5. Privacy by Design und Default

SaaS-Anwendungen sollten datenschutzfreundlich konzipiert sein. Das Prinzip „Privacy by Design“ bedeutet, Datenschutz bereits bei der Entwicklung von Software mitzudenken. „Privacy by Default“ verpflichtet Anbieter, standardmäßig nur so viele Daten zu erfassen und zu speichern, wie unbedingt notwendig.

Wichtige Aspekte sind:

• Voreinstellungen, die den Datenschutz respektieren

SaaS-Anwendungen sollten so vorkonfiguriert sein, dass standardmäßig nur datensparsame und sichere Optionen aktiv sind – ohne dass Nutzer erst manuell nachjustieren müssen.

• Benutzerfreundliche Möglichkeiten zur Einwilligung und zum Widerruf

Einwilligungen zur Datenverarbeitung müssen einfach verständlich und jederzeit widerrufbar sein – idealerweise über übersichtliche Menüs und klare Sprache.

• Transparente Datenschutzhinweise

Nutzer sollten leicht nachvollziehen können, welche Daten zu welchem Zweck verarbeitet werden – klar strukturierte und verständlich formulierte Hinweise sind dafür unerlässlich.

6. Die Rolle des Datenschutzbeauftragten

Sowohl für SaaS-Anbieter als auch für Unternehmen, die SaaS nutzen, kann die Einbindung eines Datenschutzbeauftragten entscheidend sein. Dieser unterstützt bei:

• der Auswahl datenschutzkonformer Anbieter

Ein Datenschutzbeauftragter bewertet, ob potenzielle SaaS-Anbieter die Anforderungen der DSGVO erfüllen und empfiehlt geeignete Lösungen.

• der Überprüfung von Auftragsverarbeitungsverträgen

Er stellt sicher, dass AV-Verträge alle relevanten Punkte wie Zweck, Umfang der Verarbeitung und Sicherheitsmaßnahmen rechtskonform regeln.

• der Kontrolle von TOMs und Risikobewertungen

Er prüft regelmäßig, ob die technischen und organisatorischen Maßnahmen angemessen sind und führt Datenschutz-Folgenabschätzungen durch, wenn nötig.

• Schulungen zur DSGVO-Compliance

Der Datenschutzbeauftragte sensibilisiert Mitarbeitende durch Schulungen und schafft ein grundlegendes Verständnis für Datenschutzanforderungen im SaaS-Kontext.

‍

Gerade in komplexen Cloud-Umgebungen hilft der Datenschutzbeauftragte, rechtliche Grauzonen zu vermeiden.

7. Vertragsgestaltung und Vereinbarungen

Ein zentraler Aspekt ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) zwischen Unternehmen und SaaS-Anbieter. Darin müssen Punkte wie der Zweck der Datenverarbeitung, die Art der Daten, Sicherheitsmaßnahmen, Verantwortlichkeiten und Kontrollrechte geregelt sein.

Zusätzliche Empfehlungen der DGD:

• Konkrete Angaben zur Speicherfrist und Löschung

Im Vertrag sollte klar definiert sein, wie lange personenbezogene Daten gespeichert werden und wann sowie wie sie ordnungsgemäß gelöscht werden.

• Regelungen zur Datenrückgabe bei Vertragsende

Es muss vertraglich festgelegt sein, dass sämtliche Daten bei Beendigung des Vertragsverhältnisses sicher zurückgegeben oder endgültig gelöscht werden.

• Haftungsregelungen im Falle von Datenschutzverstößen

Eine klare Haftungsverteilung schützt beide Seiten im Falle eines Datenschutzvorfalls und schafft Rechtssicherheit.

• Transparenz über Subunternehmer („Subprozessoren“)

Der SaaS-Anbieter sollte offenlegen, welche Subunternehmen Zugriff auf Daten haben, und diese in den AV-Vertrag einbeziehen.

8. Fazit: SaaS und Datenschutz erfolgreich verbinden

SaaS und Datenschutz müssen kein Widerspruch sein – im Gegenteil: Moderne SaaS-Lösungen können bei richtiger Umsetzung sogar zur Sicherheit und Effizienz von Unternehmen beitragen. Entscheidend ist, dass Anbieter wie Nutzer ihre Verantwortung erkennen und Maßnahmen treffen, um Datenschutz und Datensicherheit sicherzustellen.

Die DGD Deutsche Gesellschaft für Datenschutz bietet praxisnahe Unterstützung, um Risiken zu minimieren, DSGVO-Vorgaben einzuhalten und langfristig Vertrauen bei Nutzern und Partnern aufzubauen.

Wer als SaaS-Anbieter oder Nutzer die Empfehlungen der DGD ernst nimmt, organisatorische Maßnahmen trifft und klare Vereinbarungen schließt, schafft eine stabile Grundlage für den sicheren Umgang mit personenbezogenen Daten – und nutzt die Vorteile von Software-as-a-Service in vollem Umfang.

9. Häufige Fragen zu SaaS, Datenschutz und Datensicherheit

1. Was bedeutet „Privacy by Design“ im Kontext von SaaS-Anwendungen?

„Privacy by Design“ bedeutet, dass Datenschutzbestimmungen und Sicherheitsmaßnahmen von Beginn an in die SaaS-Lösung integriert werden. SaaS-Anbieter sollten schon bei der Entwicklung sicherstellen, dass die Verarbeitung ihrer Daten den Anforderungen des Datenschutzes entspricht – inklusive datenschutzfreundlicher Grundeinstellungen.

2. Welche Rolle spielt der Angemessenheitsbeschluss beim Datentransfer?

Ein Angemessenheitsbeschluss der EU-Kommission bestätigt, dass ein Drittland ein angemessenes Datenschutzniveau bietet. Für SaaS-Anbieter mit Servern außerhalb des europäischen Wirtschaftsraums (z. B. in den USA) ist dies wichtig, um einen rechtmäßigen und sicheren Datentransfer zu gewährleisten.

3. Was ist bei der Einwilligung von Nutzern zu beachten?

Die Einwilligung muss freiwillig, informiert und jederzeit widerrufbar sein. Nutzer sollten über den Zweck der Datenverarbeitung sowie über ihre Rechte in der Datenschutz-Grundverordnung (DSGVO) aufgeklärt werden. Die Möglichkeit zur Änderung meiner Cookie-Einstellungen gehört ebenfalls dazu.

4. Welche Anforderungen gelten an eine datenschutzkonforme Cloud-Lösung?

Eine sichere Cloud-Lösung muss technische und organisatorische Maßnahmen umsetzen, etwa Verschlüsselung, Zugriffsbeschränkungen und Monitoring. Der Serverstandort sowie Vereinbarungen mit Cloud-Anbietern – etwa zur Datenverarbeitung und zur Übermittlung an Drittländer – müssen eindeutig geregelt sein.

5. Was ist unter „Privacy by Default“ zu verstehen?

„Privacy by Default“ verlangt, dass SaaS-Anwendungen standardmäßig so konfiguriert sind, dass nur die für den jeweiligen Anwendungsfall notwendigen Daten erhoben und verarbeitet werden. Die Grundeinstellungen müssen datenschutzfreundlich sein und den Schutz sensibler Daten sicherstellen.

‍