SaaS Datenschutz: Was muss ich beachten?

Wenn Sie heutzutage eine neue Software kaufen, suchen Sie vergeblich nach der Installations-CD. Denn moderne, digitale Programme werden nicht mehr einmalig gekauft und lokal installiert: Sie erwerben eine monatliche Lizenz und können sich damit in ein digitales System einwählen. Weiterentwickelt wird das Programm nicht erst mit der neuen Aktualisierung ein Jahr später, sondern regelmäßig. Eine solche Software heiß „SaaS“. Falls Sie das Wort noch nie gehört haben, fragen Sie sich jetzt vielleicht „Was ist SaaS?“. Diese ist schnell beantwortet: Der Name kommt daher, dass die Software als Service-Leistung für Sie aufgebaut ist und weiterentwickelt wird. Ein Kernelement der SaaS Software ist die Speicherung der Daten in einer digitalen Cloud. Bei Nutzern, die bisher vor allem mit klassischer Software gearbeitet haben, wirft diese neue Art der Speicherung oft Fragen auf. Wie erkenne ich, ob die Cloud sicher ist? Und wo liegen überhaupt diese Daten? Um Ihnen diese Fragen zu beantworten, haben wir mit Thomas Mathes von Datenschutzexperte.de zum Thema „SaaS Datenschutz“ gesprochen.

Unser Experte: Datenschutzexperte.de

Das Unternehmen mit Sitz in München entwickelt verständliche und digitale Lösungen rund um Datenschutz. Mit eigener Software unterstützt das Team kleine und mittelständische Unternehmen in jeglichen Fragen zum Schutz von Daten.

‍

Herr Mathes, wo liegen die Datenschutzrisiken bei SaaS Software?

Thomas Mathes: „Im Gegensatz zur lokalen Datenspeicherung findet bei der Nutzung von SaaS Software eine Speicherung auf externen Servern statt. Damit gibt man die Hoheit über seine Daten in einem gewissen Maße aus der Hand. Hierbei ist es nicht unüblich, dass Cloud-Anbieter umfangreich personenbezogene Daten verarbeiten. Dabei können die Sicherheitsmaßnahmen von Anbieter zu Anbieter variieren, weshalb man sich im Vorfeld im Detail mit diesen beschäftigen sollte.

Unzureichende Sicherheitsmaßnahmen können zum Beispiel folgende Risiken begründen:

• Es werden die Anforderungen der Datensicherheit nicht eingehalten und dadurch können z. B. unbefugte Personen (Hacker, Behörden) Zugriff auf die Daten nehmen,
• die Datensicherung ist evtl. nicht gewährleistet und dadurch können Daten verloren gehen (z.B. Serverausfall, kein Backup),
• die Nutzer wurden nicht hinreichend sensibilisiert, um verantwortungsbewusst mit dem Cloud-Dienst umzugehen (z.B. durch Weitergabe von Zugangsdaten, ein nicht gesperrter PC etc.).

Je nach Server-Standort kann die Nutzung von SaaS Software zusätzliche datenschutzrechtliche Gefahren und Hürden mit sich bringen, insbesondere wenn personenbezogene Daten außerhalb der EU verarbeitet und gespeichert werden. Besonders wichtig ist, dass ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen wird und dieser alle rechtlichen Anforderungen erfüllt.“

Viele Menschen gehen davon aus, dass Daten nur auf den eigenen Servern sicher sind – kann man das so sagen?

Thomas Mathes: „Natürlich können sich beim Einsatz eines externen Anbieters spezifische Risiken ergeben. Ein Risiko kann etwa bestehen, falls bei einem Serverausfall kein Fachpersonal vor Ort ist, um die Verfügbarkeit von Daten zu garantieren, was im geschäftlichen Umfeld schwerwiegende Folgen haben kann. Entscheidend ist hier die Qualität des Anbieters. Denn der Einsatz eines zuverlässigen und geeigneten Anbieters kann auch dazu beitragen, Datenschutz-Standards sicherzustellen. Das gilt vor allem für kleinere Unternehmen, die selbst vielleicht nicht über hinreichende Mittel verfügen, um allen Anforderungen der Datensicherheit gerecht zu werden. Hier ist der Einsatz eines professionellen Anbieters durchaus sinnvoll.

‍

Woran erkenne ich sichere Cloud Software?

Thomas Mathes: „Wesentlich sind die getroffenen technisch-organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus (z. B. verschlüsselte Übertragung, verschlüsselte Speicherung, sicherer Login, Berechtigungs- und Rollenkonzept) und einer hinreichenden IT-Sicherheit (z.B. nachgewiesen durch spezielle Zertifizierungen, z.B. ISO27001). Häufig zeigt sich auch an einem transparenten und kooperativen Umgang mit dem Thema Datenschutz und Datensicherheit, ob der Anbieter in dieser Hinsicht professionell aufgestellt ist. Es sollte jedenfalls die Möglichkeit geben, einen Ansprechpartner für Datenschutz kontaktieren zu können. „Communication is key“.“

Gibt es Zertifikate / Prüfsiegel, an denen ich mich orientieren kann?

Thomas Mathes: „Zum einen gibt es das C5 Testat, abgekürzt für Cloud Computing Compliance Criteria Catalogue, welches durch das Bundesamt für Sicherheit in der Informationstechnik herausgegeben wurde und einen neuen Maßstab in Sachen Sicherheit und Transparenz setzte. Dieses spezifiziert die Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Da die Anforderungen aber sehr hoch sind, haben nur wenige Unternehmen diese Zertifizierung erhalten.

Darüber hinaus gibt es unterschiedliche ISO-Zertifizierungen (z. B. ISO 27001, ISO 27018), welche ebenso für eine hohe Qualität der Cloud-Dienste bürgen. Bei jeglichen Zertifizierungen ist stets zu beachten, ob

• die Zertifizierungsorganisation unabhängig handelt,
• die Zertifizierung anhand einer internen Selbstauskunft vergeben wurde oder durch eine externe, unabhängige Stelle.“

Welche Bedeutung hat der Serverstandort?

Thomas Mathes: „Aus Datenschutz-Sicht ist besonders relevant, ob die Datenverarbeitung in der EU / dem EWR stattfindet oder außerhalb der EU / des EWR, also in einem sog. Drittland. Denn der Datentransfer in ein solches Drittland muss besonderen Anforderungen der DSGVO genügen.

Ob alle rechtlichen Anforderungen erfüllt werden, sollte stets im Einzelfall und bestenfalls in Abstimmung mit dem Datenschutzbeauftragten geprüft werden.

Das im Juli 2020 ergangene „Schrems-II“-Urteil des Europäischen Gerichtshofs hat nochmals einen besonderen Fokus auf das Thema Drittlandtransfers gelenkt. Zum einen wurde das sog. „Privacy-Shield“ als Grundlage für einen sicheren Datentransfer aus der EU in die USA gekippt, da es keinen hinreichenden Schutz vor behördlichen Zugriffen auf Daten bot. Zum anderen wurde EU-Unternehmen die Pflicht auferlegt, in jedem Einzelfall zu prüfen, ob neben den durch die DSGVO vorgeschriebenen „geeigneten Garantien“ für Drittlandtransfers (in der Regel „Standarddatenschutzklauseln“) noch zusätzliche Maßnahmen nötig sind, um ein angemessenes Schutzniveau bei der Datenverarbeitung im jeweiligen Drittland zu gewährleisten. Sobald also der Server-Standort eines Cloud-Anbieters in einem Nicht-EU-Land liegt, muss das Vorhandensein etwaiger datenschutzrechtlicher Garantien vor Vertragsabschluss überprüft werden.

Grundsätzlich empfiehlt sich die Nutzung von Cloud-Speichern mit Server-Standort in der EU, um Datenschutzrisiken gering zu halten.“

Worauf müssen Firmen bei der Auswahl von SaaS Software aus Datenschutz-Sicht sonst achten?

Thomas Mathes: „Wesentliche Punkte aus Datenschutz-Sicht bei der Auswahl einer SaaS Software sind:

• Ein Auftragsverarbeitungsvertrag inklusive der technischen und organisatorischen Maßnahmen des Cloudanbieters wird zur Verfügung gestellt und bildet die gesetzlichen Anforderungen ab.
• Privacy by Design wird beim Service berücksichtigt. Das heißt, grundsätzliche Funktionalitäten des Dienstes entsprechen den Anforderungen des Datenschutzes.
• Privacy by default wird berücksichtigt, indem Grundeinstellungen datenschutzfreundlich gewählt sind. Die weitere individuelle Konfiguration erfolgt je nach Zweck der Datenverarbeitung.
• Der Anbieter erfüllt die Anforderungen des Datenschutzes und weist dies im Idealfall mit einem Zertifikat nach.
• Der Administrator des Systems hat die Möglichkeit, das System weiter zu konfigurieren, um Anforderungen des Datenschutzes einzustellen.“

Welche Fragen muss ich einem Anbieter für Cloud-Software stellen, um in Sachen SaaS Datenschutz auf der sicheren Seite zu sein?

Thomas Mathes: „Im ersten Schritt kann man dem Anbieter die Frage stellen, inwiefern die Datenspeicherung in der Cloud gesichert wird und sich das Sicherheitskonzept vorlegen lassen. Außerdem sollte geklärt werden, ob ein Datentransfer in ein Drittland vorgesehen ist und falls ja, mit welchen Garantien dieser Transfer hinreichend geschützt wird. Aufschlussreich ist auch die Frage, ob der Anbieter einen Datenschutzbeauftragten benannt hat und wie dieser für Datenschutzfragen erreichbar ist. „

Vielen Dank, Herr Mathes, für das spannende Gespräch!

SaaS Software Capmo: Wir schreiben Datenschutz groß!

Mit der Theorie sind Sie nun vertraut. Aber wie sieht es eigentlich in der Praxis aus? Nehmen Anbieter die Risiken ernst oder gehen doch die meisten Kompromisse zugunsten der eigenen Erfolge ein?

Wir von Capmo nehmen den Schutz Ihrer Daten sehr ernst und bieten mit unserer Software alle Voraussetzungen für eine sichere Datenspeicherung: Unser Cloud Anbieter AWS ist C5 zertifiziert und unsere Daten liegen ausschließlich auf ISO 27001 zertifizierten Servern in Deutschland. Darüber hinaus klären wir Sie gerne jederzeit zu unseren Datenschutz-Vorkehrungen auf.

Sie haben schon genug Informationen zum SaaS Datenschutz, möchten aber mehr zu Capmo erfahren? Dann Fragen Sie jetzt Ihr individuelles Angebot an! Unsere Digitalisierungsberater zeigen Ihnen gerne in einem persönlichen Gespräch, wie Sie Ihre Baudaten mit Capmo sicher aufnehmen, speichern und verwalten. Worauf warten Sie noch?