Software-as-a-Service (SaaS) ist eines der beliebtesten Softwarevertriebsmodelle. Dabei hostet ein Drittanbieter Softwareanwendungen auf einer Cloudplattform und stellt sie Kunden durch einen Lizenzvertrag zur Verfügung. Ein Vorteil solcher Plattformen ist, dass Anwendungen nicht mehr auf einem Computer installiert sein müssen. Somit können Programme und Daten jederzeit und überall abgerufen werden.
Die Nutzung von SaaS-Systemen ist jedoch mit einer regelmäßigen Speicherung und Verarbeitung von personenbezogenen Daten verbunden. Somit unterliegen SaaS-Anbieter und Kunden den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und müssen bestimmte Datenschutzrichtlinien erfüllen.
Verantwortlicher und Verarbeiter
In der juristischen Fachsprache wird zwischen einem Datenverarbeiter und einem Datenverantwortlichen unterschieden (siehe Artikel 4 DSGVO). Ein Datenverantwortlicher gibt die Rahmenbedingungen und den Verwendungszweck der erfassten personenbezogenen Daten an. Ein Datenverarbeiter hingegen führt die Verarbeitung der Daten im Rahmen des festgelegten Verwendungszweckes durch.
Die Richtlinien der DSGVO schreiben vor, dass sowohl Datenverarbeiter und Datenverantwortliche für Verstöße gegen die Datenschutzrichtlinien haften. SaaS-Anbieter sind in den meisten Fällen Datenverarbeiter und Datenverantwortliche.
Ein SaaS-Anbieter sollte daher Kunden vor der Nutzung des Cloud-Services über die Art und den Verwendungszweck der Daten aufklären und eine Einverständniserklärung einfordern. Gleichzeitig verarbeiten und speichern SaaS-Anbieter personenbezogene Daten, als Grundlage für die Bereitstellung des Cloud-Services oder eines technischen Supports.
DSGVO-Checkliste für SaaS-Anbieter
Die folgende Checkliste gibt einen Überblick über die wichtigsten Verantwortungsbereiche und Datenschutzplichten von SaaS-Anbietern für die Verarbeitung personenbezogener Daten nach den DSGVO-Richtlinien.
1. Erstellung einer Einverständniserklärung
Wie bereits erwähnt, sollte dem Kunden vor der Nutzung des Cloud-Services des genauen Verwendungszweckes, die Notwendigkeit für die Verarbeitung und die Speicherdauer der personenbezogenen Daten aufgezeigt werden. SaaS-Anbieter haben eine Nachweispflicht für die Einwilligung der Nutzer zu den Datenschutzrichtlinien des Cloud-Services. Daher müssen die Einverständniserklärungen der Nutzer durch den SaaS-Anbieter gespeichert werden.
2. Halten Sie Ihre Datenschutzbestimmungen auf dem neusten Stand
Die Datenschutzerklärung sollte alle aktuellen E-Tracking-Verfahren, Cookies und Verwendungszwecke enthalten. SaaS-Anbieter müssen dafür sorgen, dass die Datenschutzerklärungen immer aktuell und akkurat sind. Es gibt jedoch bereits Software-Lösungen, die automatisch die Webseite nach Cookies und neuen Tracking-Anwendungen scannen und die Datenschutzerklärung dementsprechend anpassen.
3. Nutzer Protokolle und Fehlerberichte
Zugriffsprotokolle oder Fehlerberichte für Webserver sind ein wichtiger Bestandteil der Website-Datenverkehrs-Analyse. Sie geben Aufschluss über das allgemeine Nutzerverhalten, über die Benutzerfreundlichkeit der Software und über Sicherheitsprobleme im System. Jedoch sollten Sie darauf achten persönliche Daten der Benutzer anonymisieren oder zu löschen, falls diese nicht mehr benötigt werden. Dazu gehören beispielsweise folgende Informationen: die IP-Adresse der Nutzer, der verwendete Webbrowser und die Webseitenadresse, über die der Nutzer auf die Webseite des SaaS-Anbieters gelangt ist.
4. Speicherung von personenbezogener Benutzerdaten
Wenn es darum geht, Benutzerdaten zu speichern, werden diese aufgrund eines berechtigten Interesses und Nutzens gespeichert und sind für den Betrieb des Cloud-Services erforderlich. Neben den allgemeinen Sicherheitsmaßnahmen gegen einen unbefugten Zugriff auf die Daten, sollten Sie es Ihren Nutzer ermöglichen die eigenen Daten selbständig zu aktualisieren oder zu löschen. Sollte sich der Nutzer über ein Google oder GitHub-Konto anmelden, gelten die Datenschutzbedingungen des Drittanbieters.
5. Maßnahmen im Unternehmen
Informieren Sie Ihr Team über Ihre Datenschutzrichtlinien. Erstellen Sie klare Richtlinien über den Umgang mit personenbezogenen Daten und treffen Sie Vorkehrungen für den Fall eines Datenverlustes. Vergeben Sie unterschiedliche Nutzerrechte an Angestellte. Nicht jeder sollte Zugriff auf das gesamte System und alle Daten haben.
Fazit
Als SaaS-Anbieter müssen Sie sicherstellen, dass Sie und mögliche Drittanbieter die Anordnungen der DSGVO einhalten. Zusätzlich müssen Cloud-Anbieter zukünftig durch ein AUDITOR-Zertifikat ihre DSGVO-Konformität nachweisen können.
Als Datenverarbeiter oder Datenverantwortlicher müssen Sie in der Lage sein, Auskunft über die Art, den Verwendungszweck und über die Verarbeitung der Daten geben zu können. Zudem dürfen Daten nur an Drittanbieter weitergeben werden, die sich der Konformität gegenüber der Datenschutz-Grundverordnung ebenfalls verpflichtet haben. Nicht alle DSGVO-Richtlinien konnten in diesem Artikel behandelt werden. Jedoch sollten Sie nun einen Überblick und Leitfaden über die wichtigsten Maßnahmen und Verantwortungsbereiche für SaaS-Anbieter erhalten haben. (jd)