Datenschutz
Da beim SaaS-Modell die Anwendung und Datenbank off-premise beim Anbieter läuft, muss der Kunde seine Daten dem Anbieter anvertrauen (z.B. Mitarbeiterdaten oder Daten über Kunden). Dies ist in Verhandlungen oft ein heikler Punkt. Regelmäßig finden sich in SaaS-Verträgen Regelungen, dass diese Daten weiterhin dem Kunden "gehören" und der Anbieter die einschlägigen Datenschutzvorschriften beachtet. Das ist gut, reicht aber alleine nicht aus.
Anbieter und Kunden müssen zusätzlich einen Auftragsdatenverarbeitungsvertrag schließen. Dies kann durch Regelungen innerhalb des SaaS-Vertrages, in einem Anhang oder als gesonderter Vertrag erfolgen. Das Bundesdatenschutzgesetz (BDSG) schreibt vor, dass solche Verträge bestimmte Mindestregelungen enthalten. Hierzu gehört auch, dass festgelegt wird, unter welchen Bedingungen der Anbieter Unterauftragnehmer (wie externe Betreiber von Rechenzentren) einschalten darf. Außerdem verlangt das BDSG vertragliche Verpflichtungen für den Anbieter zu den von ihm konkret zu treffenden technischen und organisatorischen Maßnahmen zum Datenschutz. Die Anlage zu Paragraf 9 des BDSG zählt auf, was durch solche Maßnahmen sichergestellt werden muss. Gleichen Sie den Vertrag Ihres Anbieters mit diesem Anhang ab. Die mehr oder weniger bloße Wiedergabe des Anhangs reicht nicht aus. Das BDSG verlangt von Ihnen als Kunde zudem, dass Sie sich von der Einhaltung der vereinbarten Maßnahmen überzeugen. Dies können Sie nur, wenn entsprechende Audit-Rechte vertraglich vereinbart sind.
Die Regelungen zur Auftragsdatenverarbeitung sind schriftlich zu vereinbaren. Das bedeutet, dass beide Parteien auf demselben Schriftstück zu unterschreiben haben. Vorsicht also bei rein online, per Fax oder mittels getrenntem Angebot und Annahmeschreiben geschlossenen Verträgen. Holen Sie auch Expertenrat ein, wenn Sie Zweifel an der Einhaltung des Schriftformerfordernisses haben.
Zusätzliche Anforderungen gelten, wenn Ihr SaaS-Anbieter seinen Sitz außerhalb der EU hat oder Ihre Daten dort in einem Rechenzentrum verarbeitet. Es muss dann sichergestellt sein, dass beim Anbieter ein ausreichendes Datenschutzniveau sichergestellt ist. Für bestimmte Länder - wie die Schweiz oder Kanada - hat die EU-Kommission entschieden, dass das Datenschutzniveau dort ausreicht. US-Anbieter können durch eine sogenannte Safe-Harbor-Zertifizierung ein angemessenes Datenschutzniveau sicherstellen. Achten Sie in diesem Fall darauf, dass Ihr SaaS-Vertrag bestimmt, dass der Anbieter seine Zertifizierung (die jedes Jahr zu erneuern ist) aufrechterhält und Ihre Daten auch tatsächlich im sicheren Hafen liegen. Die Safe-Harbor-Zertifizierung kann nämlich auf bestimmte Arten von Daten beschränkt sein. Eine weitere Möglichkeit zur Sicherstellung eines angemessenen Datenschutzniveaus ist die Vereinbarung bestimmter Standardklauseln, die die EU-Kommission veröffentlicht hat. Gerne weichen Anbieter von unliebsamen Regeln ab. Sprechen Sie Ihren Anbieter auf etwaige Abweichungen an und fragen Sie in Zweifelsfällen bei der zuständigen Datenschutzbehörde, Ihrem betrieblichen Datenschutzbeauftragen oder einem Anwalt nach.
Professionelle Anbieter von SaaS-Lösungen, etwa Salesforce.com, heben sich durch vorbildliche Regelungen zum Datenschutz hervor und gehen mit den Datenschutzanliegen ihrer Kunden professionell um.