Was die DSGVO für SaaS-Anbieter bedeutet

Véronique Hauser, Leiterin Commercial Management Workplace APPs, Telekom Deutschland GmbH
Autor: Véronique Hauser, Leiterin Commercial Management Workplace APPs
  • Beitrag vom: 10.10.2018

Wer Software-as-a-Service aus einer Cloud bereitstellt, übermittelt auch personenbezogene Daten – und muss einen angemessenen Datenschutz sicherstellen. Für kleinere und mittelgroße Softwarehäuser gilt es daher, sich detailliert mit der europäischen Datenschutzgrundverordnung (DSGVO) vertraut zu machen, wenn sie ihr Geschäftsmodell auf SaaS umstellen.

Seit dem 25. Mai 2018 ist in allen EU-Ländern die DSGVO gültig – und verpflichtet Unternehmen und Organisationen, Datenschutzvorgaben unter Androhung empfindlicher Strafen zu beachten und insbesondere personenbezogene Daten zu schützen. Stellen Softwarehäuser ihr Geschäft von der klassischen Lizenzierung auf ein SaaS- oder Mietmodell aus der Cloud um, stehen auch sie in der Pflicht. Denn bei jeder SaaS-Nutzung fallen personenbezogene Daten an.

Personenbezogene Daten schützen und Datenschutz ab Werk einrichten

So legt Artikel 5 der DSGVO fest, dass alle personenbezogenen Daten auf rechtmäßige und nachvollziehbare Weise verarbeitet und nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Mit anderen Worten: Unternehmen wie etwa Softwarehäuser müssen bei der Speicherung personenbezogener Daten sicherstellen, dass betroffene Personen nur so lange identifiziert werden können, wie es für die Zwecke der Datenverarbeitung erforderlich ist. Weiter gilt gemäß Artikel 25 die Grundsätze „Privacy by Design“ und „Privacy by Default“ einzuhalten und damit Datenschutzanforderungen standardmäßig vorab in Prozesse und Produkte zu integrieren. Dies betrifft direkt Software-Entwicklung und Produktdesign: Jede Anwendung, die personenbezogenen Daten verarbeitet, muss standardmäßig (by default) die Anforderungen der DSGVO erfüllen. Zudem lässt sich durch den Datenschutz ab Werk Geld sparen: Sicherheitsmaßnahmen nachträglich umzusetzen ist bis zu 60-mal teurer als die direkte Berücksichtigung von Datenschutz und Datensicherheit ab der ersten Zeile.

Recht auf Datenlöschung und vergessen werden

Auf SaaS-Anbieter kommen damit ganz konkrete Anforderungen im Umgang mit Kundendaten zu. Beispielsweise werden durch das Recht auf Löschung (Artikel 17) und das Recht auf Datenübertragbarkeit (Artikel 20) die Programmierung entsprechender Funktionen in Datenerfassungssystemen wie etwa Customer Relationship Management (CRM) nötig, beispielsweise für den Fall, dass eine als SaaS geführte CRM-Datenbasis genutzt wird, um für Werbezwecke Daten zu exportieren und automatisiert zu verarbeiten. SaaS-Anbieter müssen auch sicherstellen, dass alle Daten von Nutzern einer SaaS-Applikation gelöscht werden, falls diese ihr Software-Abo einmal kündigen. Ein solcher Prozess sollte in die Anwendungsentwicklung einfließen (by design), damit sich teure Änderungen im Nachgang vermeiden lassen.

Damit Unternehmen personenbezogene Daten rechtmäßig verarbeiten können, ist die explizite Einwilligung der Betroffenen unerlässlich: Die Artikel 6 und Artikel 7 der DSGVO regeln, dass jede Person der Nutzung ihrer Daten ausdrücklich zustimmen muss – Verfahren wie das so genannte opt-out sind somit nicht mehr zulässig. Dies müssen beispielsweise auch Personalabteilungen (HR) beachten, die sich aus einem großen Talent-Pool von digitalen Lebensläufen bedienen. Nicht mehr benötigte Dateien gilt es zu löschen, während für die weitere Speicherung von Dokumenten interessanter Kandidaten deren ausdrückliche Einwilligung erforderlich ist.

Das Recht auf Datenübertragbarkeit

Für die Datenübertragung im Falle eines Anbieterwechsels existieren im Geschäftsverkehr bereits Standardvertragsklauseln, die das sogenannte Exit Management regeln. Mit Artikel 20 der DSGVO wird das Recht auf Datenportabilität gesetzlich festgeschrieben. Demnach müssen auch SaaS-Anbieter ihren Kunden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen. Das Datenformat darf nicht proprietär sein, um Kompatibilitätsprobleme im Falle eines Anbieterwechsels auszuschließen. So bietet etwa eine Cloud-Lösung, die auf einem offenen Standard wie OpenStack basiert, die Voraussetzungen, um die DSGVO-Anforderung der Datenportabilität zu erfüllen.

Cloud-Partner mit Erfahrung und Zertifikaten nutzen

Anstatt die Risiken und Unwägbarkeiten alleine zu schultern, die beim Aufbau einer Cloud-Lösung entstehen können, bietet es sich für kleinere und mittelgroße Softwarehäuser an, den Weg in die Cloud mit einem Partner zu gehen, der ihre Produkte skalierbar, schnell und sicher als SaaS-Dienst bereitstellen kann. Gerade im Hinblick auf die DSGVO ist es für Softwareanbieter ein Vorteil, vom Know-how eines Cloud-Anbieters zu profitieren, der professionell Informationssicherheit und Datenschutz praktiziert und Erfahrung im Schutz personenbezogener Daten mitbringt.

Über die Qualitäten eines Cloud-Providers geben unabhängige Zertifikate Auskunft. Verfügt der Anbieter über das Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP), das auf DSGVO-Anforderungen ausgerichtet ist, und das Zertifikat BSI C5 für Informationssicherheit, ist er in der Lage, die Auftragsdatenverarbeitung mit Cloud-Services rechtskonform abzubilden. Zudem sollte ein Cloud-Anbieter sicherstellen, dass keinerlei administrative Zugriffe aus Drittstaaten wie den USA auf Kundendaten erfolgen können, die im EU-Raum gehostet werden.

Zugriffe aus den USA können Unternehmen nach aktueller Rechtslage allerdings nur dann einwandfrei ausschließen, wenn sie keinen US-amerikanischen Cloud-Provider nutzen. Denn mit dem CLOUDAct räumen sich die USA das Recht ein, personenbezogene Daten aus der Cloud bei Ermittlungen auch außerhalb der USA einzufordern. Die USA verpflichten damit US-Unternehmen zur Datenweitergabe – selbst dann, wenn die betreffenden Daten gar nicht in den USA, sondern in einem europäischen Rechenzentrum gespeichert sind. Das widerspricht jedoch den Vorschriften der DSGVO. Um die DSGVO jederzeit zweifelsfrei einhalten zu können, müssen Unternehmen demnach auf US-Cloud-Provider verzichten, wenn sie personenbezogene Daten in der Cloud verarbeiten. Das gilt auch für Softwarehäuser.

Cloud-Partnerprogramme prüfen

Um bei ihrem Schritt in die Cloud beim Thema Datenschutz keine Fehler zu begehen, bietet sich die Kooperation mit einem erfahrenen Partner an, der in dieser Hinsicht entsprechend nachgewiesene Expertise aufweist. Dazu gehört beispielsweise die Telekom, die aktuell ein Partnerprogramm mit IaaS- und PaaS-Ressourcen anbietet, das Softwarehäuser unter anderem darin unterstützt, Produkte DSGVO-konform im SaaS-Modell bereitzustellen. Im Rahmen des Partnerprogramms Softwareboost stellt die Telekom qualifizierten Softwareanbietern Startguthaben von bis zu 250.000 Euro für IT-Ressourcen aus der Open Telekom Cloud zur Verfügung, der Public Cloud der Telekom. Darüber hinaus erhalten sie bei Bedarf auch weitergehende Technologie-Beratung, etwa in Form von Webex-Konferenzen und Vor-Ort-Terminen, sowie Unterstützung bei Vertrieb und Marketing.

Beiträge empfohlen von der Deutschen Telekom


https://www.heise.de/brandworlds/cloud-services/was-die-dsgvo-fuer-saas-anbieter-bedeutet/https://www.heise.de/brandworlds/cloud-services/was-die-dsgvo-fuer-saas-anbieter-bedeutet/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.