DSGVO-Vorgaben für gespeicherte Daten 9 Wege für SaaS-Anbieter, einen Wettbewerbsvorteil aus dem Datenschutz zu ziehen

Autor / Redakteur: Tobias Theelen* / Dr. Jürgen Ehneß

Für Unternehmen, die Software aus der Cloud beziehen, ist die Sicherheit ihrer Daten essentiell. Software-as-a-Service-Anbieter, die den Datenschutz umsichtig, transparent und proaktiv im Sinne ihrer Kunden angehen, sammeln Verkaufsargumente und sichern sich einen Wettbewerbsvorteil. Anwenderunternehmen wiederum sollten darauf achten, ob der SaaS-Anbieter ihres Vertrauens die genannten Punkte erfüllt.

Firmen zum Thema

Tobias Theelen von DataGuard konstatiert: „Das Gebot der Stunde lautet SaaS.“
Tobias Theelen von DataGuard konstatiert: „Das Gebot der Stunde lautet SaaS.“
(Bild: ©Tierney - stock.adobe.com)

Die Zeiten, in denen Unternehmen große Software-Pakete kauften und auf ihren Servern installierten, sind so gut wie vorbei. Das Gebot der Stunde lautet SaaS: Software-Dienste werden von Unternehmen zunehmend bedarfsgerecht aus der Cloud bezogen, etwa Lösungen für das Customer Relationship Management (CRM), das Human Ressource Management (HR) oder das Finanzmanagement. Häufig lagern B2B-Kunden mit der Nutzung von Software-as-a-Service auch schützenswerte, personenbezogenen Daten von Mitarbeiterinnen und Mitarbeitern sowie Kunden aus und sind dennoch für die Datensicherheit verantwortlich. Laut Artikel 28 der EU-Datenschutz-Grundverordnung (EU-DSGVO) haben sie die Pflicht, zu prüfen, ob der Cloud-Anbieter als sogenannter Auftragsverarbeiter Datenschutz und Datensicherheit gewährleistet, und müssen einen Vertrag mit demselben schließen, der die Vorgaben der DSGVO erfüllt. Keine leichte Aufgabe, vor allem für Unternehmen ohne Rechtsabteilung oder dezidiertes Know-how im Datenschutz.

Kein Wunder, dass sich Datenschutzbedenken häufig als Nadelöhr im Vertriebsprozess herausstellen. Wie eine Datenschutz-Benchmark-Studie von Cisco (2019) ermittelt, erlebten 87 Prozent von 3.200 befragten Security-Entscheidern aus 18 Ländern aufgrund von Datenschutzbedenken Verzögerungen im Verkauf. Ungeklärte Datenschutzfragen verlangsamten die Vertriebsprozesse im Schnitt um knapp vier Wochen, teilweise sogar um ein ganzes Jahr oder länger. Hier gibt es also noch Luft nach oben.

Neun schlagende Datenschutzargumente

Aber was genau müssen SaaS-Anbieter tun, um ihre Maßnahmen zum Schutz personenbezogener Daten zu optimieren und für den eigenen Wettbewerbsvorteil zu nutzen? Und wie können die richtigen Argumente und Dokumentationen im Vertriebsprozess eingesetzt werden?

Mit diesen neun Datenschutzmaßnahmen schaffen Sie als SaaS-Anbieter unschlagbare Verkaufsargumente und legen die Basis für eine gute Geschäftsbeziehung:

1. Privacy by Design und Privacy by Default

SaaS-Anbieter sollten sicherstellen, dass schon bei der Entwicklung ihrer Lösung Datenschutzprinzipien einfließen (Privacy by Design) und dass ihre Anwendungen über Voreinstellungen so anwenderfreundlich wie möglich gestaltet sind (Privacy by Default). Sie sollten zum Beispiel keine für den Anwendungsfall unnötigen Analysedaten über das Nutzerverhalten sammeln.

Teilen Sie Ihren (Neu-)Kunden mit, welche Datenschutzprinzipien in Ihre Software-Entwicklung eingeflossen sind und welche datenschutzfreundlichen Voreinstellungen mitgeliefert werden.

2. Der richtige Serverstandort

Anbieter, die mit ihrer SaaS-Lösung personenbezogene Daten in der EU verarbeiten, sollten einen Server-Standort in der EU oder dem Europäischen Wirtschaftsraum (EWR) anstreben. Steht der Server außerhalb der EU, müssen ein Angemessenheitsbeschluss der EU für das entsprechende Land oder eine andere sogenannte „geeignete Garantie“ zum datenschutzkonformen Datentransfer in das Drittland vorliegen. Im Juli 2020 hat der EuGH im Schrems-II-Urteil den Angemessenheitsbeschluss der EU, das sogenannte EU-US-Privacy Shield, das den Datenfluss zwischen der EU und den USA sicherte, überprüft und für ungültig erklärt. Angemessene Garantien bieten nun die sogenannten „EU-Standarddatenschutzklauseln“, die Service-orientierte SaaS-Anbieter direkt auf ihrer Webseite zum Download und Abschluss anbieten können.

Wenn Sie als SaaS-Anbieter den Datentransfer in Drittländer nicht ausschließen können, erleichtern auf Ihrer Webseite verfügbare Standardvertragsklauseln (wie die von LinkedIn) die Vertragsverhandlungen.

3. Transparenz über den eigenen Datenschutz

Ein Kernelement der DSGVO ist Transparenz dahingehend, welche Nutzerdaten in welchem Umfang, zu welchem Zweck, wie lange und wo genau erhoben und verarbeitet werden. Neben den eigenen Datenschutzhinweisen müssen SaaS-Kunden auch die Datenschutzhinweise der SaaS-Lösung in ihre Datenschutzerklärung aufnehmen.

Liefern Sie daher Ihren Kunden einen aussagekräftigen Absatz mit einer Beschreibung zur Funktionsweise Ihrer Software, der möglichen Rechtsgrundlage und den Speicherfristen, den diese einfach in ihre Dokumentation mit aufnehmen können.

Neues eBook

Speicherinfrastrukturen in Unternehmen

On-Premises oder Storage-as-a-Service?

eBook NAS
eBook Speicherinfrastrukturen
(Bildquelle: Storage-Insider)

In diesem eBook erfahren Sie, welche Cloud-Storage-Angebote es für den Mittelstand gibt, wie viel Speicherinfrastruktur ein Unternehmen benötigt und welche Strategien es für die Ausbalancierung der Speicherinfrastruktur gibt.

Die Themen im Überblick:
# Wie viel Speicherinfrastruktur benötigt ein Unternehmen?
# Ausbalancierung von On-Premises und Cloud-Speicher
# Cloud-Storage-Anbieter und -Lösungen für den Mittelstand

>>> eBook „Speicherinfrastrukturen in Unternehmen: On-Premises oder Storage-as-a-Service?“ downloaden

4. Technische und organisatorische Maßnahmen (TOM) und ein IT-Sicherheitskonzept

Die technischen und organisatorischen Maßnahmen (TOM) sind das vielleicht wichtigste Dokument im Vertriebsprozess. Sie drücken aus, wie sicher ein Anbieter mit den Daten seiner Kunden umgeht, und sind wesentlicher Bestandteil von Auftragsverarbeitungsverträgen.

Implementieren Sie angemessene TOM in Ihr Produkt und erstellen Sie eine Dokumentation, die mindestens folgende Punkte enthält:

  • 1. Verschlüsselungsmaßnahmen,
  • 2. Aufschlüsselung darüber, wer Zugang zu welchen Daten hat,
  • 3. Informationen zur Serverredundanz und Serversicherheit,
  • 4. einen Vermerk zur Mandantenfähigkeit der Lösung,
  • 5. Anmerkung zur Multi-Faktor-Authentifizierung (zum Beispiel für Admins), falls vorhanden,
  • 6. den Zweck der erhobenen Daten,
  • 7. Informationen zu Patch-Management und regelmäßigen Updates,
  • 8. Hinweise zum Vorgehen bei Fernwartung. Stellen Sie sicher, dass Ihre TOM-Dokumentation alle wesentlichen Merkmale aus Artikel 32 DSGVO beinhaltet. Eine Hilfestellung von verschiedenen TOM-Kategorien können Sie aus Paragraph 64 BDSG ableiten.

5. Ein starker Auftragsverarbeitungsvertrag (AVV)

SaaS-Anbieter können mit einem lückenlosen Auftragsverarbeitungsvertrag (AVV) Kunden zwar nicht unbedingt begeistern, sorgen aber für einen reibungslosen Vertriebsprozess. Fehlen grundlegende Informationen nach Artikel 28 DSGVO, verzögert sich der Kaufabschluss. Viele SaaS-Anbieter können besonders an folgenden drei Punkten feilen:

  • 1. eine gut definierte Leistungsbeschreibung, aus der hervorgeht, welche Teilleistung Sie als Auftragsverarbeiter erbringen,
  • 2. Datenkategorien, die nicht nur oberflächlich, sondern detailliert erklärt sind,
  • 3. eine Auflistung der Subauftragsverarbeiter und Nachweise über die Prüfung derer Datensicherheit. Weitere verpflichtende Punkte für einen Auftragsverarbeitungsvertrag ergeben sich aus Artikel 28, Absatz 3 DSGVO.

Legen Sie Ihren Kunden einen umfassenden AVV inklusive der Nachweise über die Prüfung der Subunternehmen vor. Sie beweisen Gründlichkeit und Gewissenhaftigkeit und schaffen Vertrauen.

6. Risikoeinschätzung und Datenschutz-Folgenabschätzung

Mit der Einführung einer neuen SAAS-Lösung sind Unternehmen verpflichtet, zu prüfen, ob dadurch ein neues Datenschutzrisiko entsteht und die Notwendigkeit einer Datenschutz-Folgenabschätzung entstehen könnte. Das könnte zum Beispiel gelten, wenn ein Zahnarzt Gesundheitsdaten seiner Kunden über ein Online-CRM speichert und verarbeitet.

Greifen Sie Ihren Kunden unter die Arme, indem Sie eine Beispieldokumentation anfertigen, aus der die wesentlichen Implikationen Ihrer SaaS-Lösung für eine Datenschutz-Folgenabschätzung hervorgehen: Welche Daten werden verarbeitet, in welche Drittländer werden sie übertragen, und welche risikominimierenden Maßnahmen ergreifen Sie?

7. Ein durchdachtes Löschkonzept

Das Thema „Löschen personenbezogener Daten“ ist so wichtig, dass es sich gleich mehrmals in der DSGVO wiederfindet. Hier ist es wichtig, korrekt vorzugehen, um nicht durch fahrlässige Fehler Imageschäden oder gar Bußgelder zu riskieren.

In Übereinstimmung mit Art. 28 DSGVO müssen SaaS-Anbieter personenbezogene Kundendaten in den meisten Fällen zum Vertragsende löschen.

Nehmen Sie eine Datenklassifizierung vor, um diese Anforderungen zu erfüllen. Zeichnen Sie auf, für welche Kategorien personenbezogener Daten welche Löschfristen bestehen (beispielsweise steuerrelevante Daten bis zu zehn Jahre, personenbezogene Daten auf Einwilligung, bis zum Widerruf). Dokumentieren Sie, wo diese Daten liegen und informieren Sie Subunternehmer über die Löschung, sollten Sie Daten übermittelt haben.

Ihre Kunden freuen sich über eine einfache Funktion zum vollständigen Löschen personenbezogener Daten und fragen häufig gleich zu Beginn des Vertriebsprozesses danach. Ein typischer Fall von „low hanging fruit“ ist hier die Entwicklung eines entsprechenden Features für Ihre SaaS-Lösung.

8. Eine Aufzeichnung von Datenverarbeitungsflüssen

Um Daten zu schützen oder zu löschen, muss man zunächst wissen, wo sie liegen. SaaS-Anbieter sollten ihre Datenverarbeitungsflüsse aufzeichnen. Darauf aufbauend, lässt sich ein überzeugendes Löschkonzept erstellen; außerdem kann die Aufzeichnung mit in die TOM aufgenommen werden.

Entwerfen Sie eine so genannte Prozesslandkarte, die alle Prozesse automatischer Datenverarbeitung nachzeichnet. Ob als einfache Excel-Tabelle oder umfangreiches PDF: Wichtig ist, dass sie alle Cloud-Aktivitäten abbildet und zeigt, welche Daten wann und von welchem System oder Server wohin fließen. Am besten verknüpfen Sie diese Prozesslandkarte mit den Datenkategorien aus Punkt 7.

9. Mitarbeiter schulen

SaaS-Anbieter können technisch den besten Datenschutz der Welt implementiert haben, ihre Verträge können lückenlos, und jeder Subunternehmer kann eingehend geprüft worden sein – wenn ein neu angelernter Supportmitarbeiter einen Kunden nach seinem Passwort fragt, sensible Daten im Büro herumliegen oder einfach so neue Plug-ins installiert werden, waren die Mühen nahezu umsonst.

Schulen Sie Ihre Mitarbeiter bereits während der Einarbeitung zum Thema Datenschutz und im Anschluss regelmäßig weiter, zum Beispiel über E-Learnings. Am besten ist, Sie erstellen Schulungsmaterialien speziell für die verschiedenen Rollen im Unternehmen.

Tobias Theelen, Privacy Tech Consultant bei DataGuard.
Tobias Theelen, Privacy Tech Consultant bei DataGuard.
(Bild: DataGuard)

*Der Autor: Tobias Theelen ist Privacy Tech Consultant bei DataGuard. Als IT-Compliance-Spezialist, zertifizierter Datenschutzbeauftragter und zertifizierter ISO 27001 Officer und Auditor berät er Unternehmen in den Bereichen Informationssicherheit und Datenschutz. Zuvor war er als Head of Regulatory Advisory und Head of Marketing & Sales bei der esatus AG tätig. Sein Studium im Bereich Wirtschaftswissenschaften absolvierte Theelen an der Universität Paderborn, seinen Master im Sales Management an der FOM Hochschule Frankfurt. Neben seiner Tätigkeit bei DataGuard wirkt er an Veröffentlichungen und Vorträgen zum Thema Datenschutz und IT-Sicherheit mit.

(ID:47488469)