Datenschutz bei Cloud-Services

DSGVO-Checkliste für SaaS-Anbieter

15.10.2019
Von   IDG ExpertenNetzwerk

Nadine Kohlbrenner arbeitet als Content Creator und SEM Spezialist für die dänischen Unternehmen Morning Train und Morningscore.

Erfahren Sie, was SaaS-Anbieter bezüglich der DSGVO-Richtlinien und den damit verbundenen Datenschutzpflichten beachten sollten.

Software-as-a-Service (SaaS) ist eines der beliebtesten Softwarevertriebsmodelle. Dabei hostet ein Drittanbieter Softwareanwendungen auf einer Cloudplattform und stellt sie Kunden durch einen Lizenzvertrag zur Verfügung. Ein Vorteil solcher Plattformen ist, dass Anwendungen nicht mehr auf einem Computer installiert sein müssen. Somit können Programme und Daten jederzeit und überall abgerufen werden.

Für SaaS-Anbieter gibt es einige zentrale Punkte bezüglich der DSGVO zu beachten.
Für SaaS-Anbieter gibt es einige zentrale Punkte bezüglich der DSGVO zu beachten.
Foto: Carlos Amarillo - shutterstock.com

Die Nutzung von SaaS-Systemen ist jedoch mit einer regelmäßigen Speicherung und Verarbeitung von personenbezogenen Daten verbunden. Somit unterliegen SaaS-Anbieter und Kunden den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und müssen bestimmte Datenschutzrichtlinien erfüllen.

Verantwortlicher und Verarbeiter

In der juristischen Fachsprache wird zwischen einem Datenverarbeiter und einem Datenverantwortlichen unterschieden (siehe Artikel 4 DSGVO). Ein Datenverantwortlicher gibt die Rahmenbedingungen und den Verwendungszweck der erfassten personenbezogenen Daten an. Ein Datenverarbeiter hingegen führt die Verarbeitung der Daten im Rahmen des festgelegten Verwendungszweckes durch.

Die Richtlinien der DSGVO schreiben vor, dass sowohl Datenverarbeiter und Datenverantwortliche für Verstöße gegen die Datenschutzrichtlinien haften. SaaS-Anbieter sind in den meisten Fällen Datenverarbeiter und Datenverantwortliche.

Ein SaaS-Anbieter sollte daher Kunden vor der Nutzung des Cloud-Services über die Art und den Verwendungszweck der Daten aufklären und eine Einverständniserklärung einfordern. Gleichzeitig verarbeiten und speichern SaaS-Anbieter personenbezogene Daten, als Grundlage für die Bereitstellung des Cloud-Services oder eines technischen Supports.

DSGVO-Checkliste für SaaS-Anbieter

Die folgende Checkliste gibt einen Überblick über die wichtigsten Verantwortungsbereiche und Datenschutzplichten von SaaS-Anbietern für die Verarbeitung personenbezogener Daten nach den DSGVO-Richtlinien.

1. Erstellung einer Einverständniserklärung

So beflügeln Sie Fachkräfte

Wie bereits erwähnt, sollte dem Kunden vor der Nutzung des Cloud-Services des genauen Verwendungszweckes, die Notwendigkeit für die Verarbeitung und die Speicherdauer der personenbezogenen Daten aufgezeigt werden. SaaS-Anbieter haben eine Nachweispflicht für die Einwilligung der Nutzer zu den Datenschutzrichtlinien des Cloud-Services. Daher müssen die Einverständniserklärungen der Nutzer durch den SaaS-Anbieter gespeichert werden.

2. Halten Sie Ihre Datenschutzbestimmungen auf dem neusten Stand

Die Datenschutzerklärung sollte alle aktuellen E-Tracking-Verfahren, Cookies und Verwendungszwecke enthalten. SaaS-Anbieter müssen dafür sorgen, dass die Datenschutzerklärungen immer aktuell und akkurat sind. Es gibt jedoch bereits Software-Lösungen, die automatisch die Webseite nach Cookies und neuen Tracking-Anwendungen scannen und die Datenschutzerklärung dementsprechend anpassen.

3. Nutzer Protokolle und Fehlerberichte

Zugriffsprotokolle oder Fehlerberichte für Webserver sind ein wichtiger Bestandteil der Website-Datenverkehrs-Analyse. Sie geben Aufschluss über das allgemeine Nutzerverhalten, über die Benutzerfreundlichkeit der Software und über Sicherheitsprobleme im System. Jedoch sollten Sie darauf achten persönliche Daten der Benutzer anonymisieren oder zu löschen, falls diese nicht mehr benötigt werden. Dazu gehören beispielsweise folgende Informationen: die IP-Adresse der Nutzer, der verwendete Webbrowser und die Webseitenadresse, über die der Nutzer auf die Webseite des SaaS-Anbieters gelangt ist.

4. Speicherung von personenbezogener Benutzerdaten

Wenn es darum geht, Benutzerdaten zu speichern, werden diese aufgrund eines berechtigten Interesses und Nutzens gespeichert und sind für den Betrieb des Cloud-Services erforderlich. Neben den allgemeinen Sicherheitsmaßnahmen gegen einen unbefugten Zugriff auf die Daten, sollten Sie es Ihren Nutzer ermöglichen die eigenen Daten selbständig zu aktualisieren oder zu löschen. Sollte sich der Nutzer über ein Google oder GitHub-Konto anmelden, gelten die Datenschutzbedingungen des Drittanbieters.

5. Maßnahmen im Unternehmen

Informieren Sie Ihr Team über Ihre Datenschutzrichtlinien. Erstellen Sie klare Richtlinien über den Umgang mit personenbezogenen Daten und treffen Sie Vorkehrungen für den Fall eines Datenverlustes. Vergeben Sie unterschiedliche Nutzerrechte an Angestellte. Nicht jeder sollte Zugriff auf das gesamte System und alle Daten haben.

Fazit

Als SaaS-Anbieter müssen Sie sicherstellen, dass Sie und mögliche Drittanbieter die Anordnungen der DSGVO einhalten. Zusätzlich müssen Cloud-Anbieter zukünftig durch ein AUDITOR-Zertifikat ihre DSGVO-Konformität nachweisen können.

Als Datenverarbeiter oder Datenverantwortlicher müssen Sie in der Lage sein, Auskunft über die Art, den Verwendungszweck und über die Verarbeitung der Daten geben zu können. Zudem dürfen Daten nur an Drittanbieter weitergeben werden, die sich der Konformität gegenüber der Datenschutz-Grundverordnung ebenfalls verpflichtet haben. Nicht alle DSGVO-Richtlinien konnten in diesem Artikel behandelt werden. Jedoch sollten Sie nun einen Überblick und Leitfaden über die wichtigsten Maßnahmen und Verantwortungsbereiche für SaaS-Anbieter erhalten haben. (jd)