SaaS – Software-as-a-Service ist eines der meist genutzten Arten der Cloudnutzung.
Beispiele von SaaS-Anwendungen:
- Email-Tools wie KlickTipp, Cleverreach, getresponse, Mailchimp oder Active Campaign
- Filesharing-Tools wie Apple iCloud, Microsoft OneDrive, Google Drive, ownCloud, Dropbox
- CRM-Systeme wie Salesforce, Microsoft Dynamics 360° CRM
- Buchhaltungs-Tools wie freeFIBU, sevDesk, Debitoor, lexoffice, Papierkram oder FastBill
- Projekt-Tools wie ASANA, Basecamp, Lighthouse, JIRA, Trello, AgileZen oder ToDoIst•Kommunikations-Tools wie Slack, Allo, Skype for Business, facebook at work, Bitrix24
Die Liste ist nicht vollständig und soll lediglich zeigen, in welchem Umfang und in welchen Arbeitsbereichen heute SaaS-Anwendungen bereits genutzt werden.
Viele Programme werben damit, dass sie überall abrufbar und anwendbar sind. Dies ist besonders in der Zeit der Digitalisierung und der Möglichkeit, von überall arbeiten zu können, attraktiv. Allerdings besitzen sie im Punkt des Datenschutzes einen großen Haken: Sie als Nutzer können den Service, beispielsweise über einen Webbrowser nutzen, die Software, der Server und IT-Infrastruktur bleiben beim Anbieter.
Damit Sie von Anfang an datenschutzkonform handeln, habe ich Ihnen eine Checkliste erarbeitet, die Sie bei der Auswahl des SaaS-Anbieters beachten sollten, sodass die Risikobewertung im Nachhinein vereinfacht wird.
1. Auftragsverarbeitungsvertrag
Prüfen Sie, ob der gewünschte Dienstleister einen Auftragsverarbeitungsvertrag anbietet. Sie bleiben als Nutzer weiterhin der Verantwortliche für die Datenverarbeitung, allerdings ist der SaaS-Anbieter Auftragsverarbeiter. Dieser darf nicht ohne vorherige Prüfung und ohne Vertrag beauftragt werden. Hier finden Sie übrigens eine Liste der AV-Verträge vieler Anbieter mit Direktlinks
2. Zertifikate
Ein Zertifikat (z. B. TÜV, DEKRA oder ISO 27001) ist ein guter Standard, um die Überprüfung des Anbieters im Nachhinein zu erleichtern.
3. Verschlüsselung von Daten
Überprüfen Sie Ihren Wunschanbieter auf die mögliche verschlüsselte Verarbeitung von Daten. Hierdurch verringert sich die Wahrscheinlichkeit einer Datenpanne und der Anbieter erhält keinen Einblick in die Daten.
4. Subunternehmen
Beauftrag der Anbieter Subunternehmer? Diese müssen Ihnen als Nutzer bekannt sein. Zusätzlich muss ein Widerspruchsrecht für den Nutzer eingeräumt sein, sollte der Anbieter zukünftig ein Subunternehmen beauftragen.
5. Anbieterwechsel
Gibt es die Möglichkeit einen Anbieterwechsel durchzuführen, sollten Sie mit der Anwendung nicht zufrieden sein? Hierbei ist es wichtig, dass die Daten einfach auf den neuen Anbieter übertragen werden können und nicht einfach gelöscht werden. Bei vielen Unternehmen wird dies auch Umzugsdienst genannt.
6. Datenübertragbarkeit (Datenprotabilität)
Daten können in verschiedenen Formen bereitgestellt werden (XML, CVS, JSON etc.), die dann beispielsweise von Programmen wie Excel verwendet werden können. Neben dem einfachen Datenimport, sollte auch die Exportfunktion gegeben sein, sodass die Daten für andere Programme verwendet werden können.
7. Eigentümer der Daten
Dieser Punkt ist enorm wichtig, da der Nutzer in jedem Fall Eigentümer der Daten bleiben muss. Eine Weiterverarbeitung seitens des Anbieters ist zu vermeiden. Oder wollen Sie, dass ihre E-Mail weitergegeben wird? Sicher nicht. Das kann schwerwiegende Konsequenzen haben, welche schon vorab vermeidbar sind.
8. Löschung der Daten
Zu klären ist hierbei, dass die Daten nach Beendigung des Auftragsverhältnisses gelöscht werden und der Anbieter keine Berechtigung besitzt, die Daten weiter zu speichern oder zu verarbeiten.
9. Speicherort der Daten
Wenn es die Möglichkeit gibt, dass Daten nicht in der EU gespeichert werden, muss das Datenschutzniveau adäquat hergestellt werden. Der Anbieter muss entweder nach Privacy Shield (USA-Dienste) zertifiziert sein oder Angemessenheitsbeschlüsse liegen vor. Wenn kein angemessenes Datenschutzniveau festgestellt wurde, gibt es die Möglichkeit Garantien zu nutzen. Dies können genehmigte Binding-Corporation-Rules (unternehmensinterne Selbstverpflichtungen), Standarddatenschutzklauseln der Kommission bzw. Aufsichtsbehörde oder genehmigte Zertifizierungsverfahren sein. Ausnahmen bestätigen die Regel. Wenn die betroffene Person ihre Einwilligung zur Weitergabe der Daten gegeben hat, es zur Vertragserfüllung erforderlich ist oder wenn Rechtsansprüche verfolgt werden.
Wenn Sie diese Punkte beachten, können SaaS-Programme Ihren Arbeitsalltag enorm erleichtern und Sie sind trotzdem ein Stück sicherer im Bereich des Datenschutzes unterwegs.
Brauchen Sie Hilfe bei dem Thema der Anbieterauswahl für Ihr Unternehmen? Dann berate ich Sie gerne. Ich erstelle auch die Dokumentation dazu und unterstütze Sie bei dem kompletten Prozess. Schreiben Sie mir einfach eine email: info@litc.de