Die Europäische Union ist nicht zimperlich, wenn es um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) geht. Sie verhängt Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres.
Um diese rechtlichen Probleme zu vermeiden, müssen Unternehmen den richtigen Umgang mit den Daten ihrer Kunden verstehen und sicherstellen. Sie müssen prüfen, ob die SaaS-Lösung, die eingekauft werden soll, DSGVO-konform ist.
Du bist nicht sicher was SaaS eigentlich ist? In diesem Artikel haben wir mehr Informationen für dich: Hosting, SaaS und On-Premise – was ist das eigentlich?
Was ist die EU-Datenschutz-Grundverordnung (DSGVO)?
Im Mai 2018 begann die Europäische Union mit der Durchsetzung der Allgemeinen Datenschutzverordnung (DSGVO oder engl. GDPR) mit dem Ziel, europaweit einheitliche Datensicherheitsgesetze für Kunden von Unternehmen zu schaffen.
Die DSGVO liefert die Verordnungen dafür, wie Unternehmen und andere Organisationen, die Informationen über natürliche Personen verarbeiten, behandeln müssen. Mit der DSGVO wurden auch neue Definitionen für personenbezogene Daten, Zustimmungsarten, Verantwortungsstandards und die an der Entscheidungsfindung, Interpretation und Verarbeitung der Daten beteiligten Rollen eingeführt.
Während es klar ist, dass die DSGVO die 500 Millionen Einwohner Europas und die Unternehmen, die in der EU tätig sind, betrifft, hat sie auch globale Auswirkungen. Unabhängig davon, ob ein Unternehmen in der EU ansässig ist oder nicht, muss es die DSGVO-Anforderungen einhalten, wenn es mit EU-Bürgern Geschäfte macht. Mit anderen Worten: Jeder, der über eine Online-Präsenz (z. B. eine Website) verfügt, auf die Europäische Bürger zugreifen können, sollte sich über die Einhaltung der DSGVO und die entsprechenden Bedingungen im Klaren sein.
Nehmen wir an, dein Unternehmen ist entweder in der EU tätig oder für EU-Bürger zugänglich. Wenn Du die privaten Daten dieser EU-Bürger in deinen SaaS-Anwendungen abfragst oder speicherst, unterliegst dein Unternehmen der DSGVO. Dein Unternehmen ist verantwortlich für die DSGVO-Konformität 1) nicht nur deiner eigenen Softwarelösungen sondern auch für 2) die Sicherstellung der DSGVO-Konformität von externen bzw. eingekauften SaaS-Tools.
Du bist dir nicht sicher, ob die DSGVO auf dein Unternehmen anzuwenden ist. Dann mach hier den Test: Online-Test des Bayerische Landesamt für Datenschutzaufsicht (BayLDA)
Du möchtest noch mehr über die DSGVO erfahren? Dann bist du hier richtig: Interaktive Infografik der EU-Kommission zur DSGVO.
Wie beurteilst du die DSGVO-Compliance für neue SaaS Einkäufe?
Achte auf angemessene Vertragsbedingungen mit den Anbietern
Bei vielen SaaS-Anbietern ist bereits im Vertrag ersichtlich, ob sie DSGVO-konform sind oder nicht. Stell sicher, dass dein rechtlicher Beistand bzw. die Rechtsabteilung die Verträge mit SaaS-Anbietern überprüft und weiß, was für eine vollständige Einhaltung der DSGVO enthalten sein muss.
Dokumentiere, was mit privaten Daten in jeder Anwendung geschieht
Wenn Kunden etwas in Bezug auf ihre Daten verlangen – z. B. dass sie zurückgegeben oder gelöscht werden – stelle sicher, dass die SaaS-Anbieter genau informieren, wie sie dies sicherstellen können. Dokumentiere entsprechende Angaben des Anbieters.
Bewerte die Einhaltung der Vorschriften in regelmäßigen Abständen.
Leider ist die Einhaltung der DSGVO ein fortlaufender Prozess, und die Minimierung des Risikos von Verstößen ist eine Aufgabe, an die du ständig denken musst. Leg im Voraus die Intervalle fest, in denen du die Einhaltung der Vorschriften für jedes SaaS-Tool künftig bewerten wirst. Als Faustregel gilt, dass jede Anwendung einmal im Jahr auf ihre Konformität hin überprüft werden sollte.
Einen Plan für den Fall einer Datenpanne aufstellen
Niemand denkt gerne an das Worst-Case-Szenario, aber es ist wichtig, vorbereitet zu sein. Im Falle einer Datenschutzverletzung sind die für die Datenverarbeitung Verantwortlichen verpflichtet, die Behörden innerhalb von 72 Stunden zu benachrichtigen, es sei denn, es besteht kein Risiko für die betroffenen Personen. Viele Datenschutzverletzungen bleiben stunden-, wochen-, monate- oder sogar jahrelang unentdeckt, so dass Softwareanwender Prozesse benötigen, um Probleme schneller erkennen zu können. Dafür gibt es auch dedizierte Incident Response Software oder SIEM Tools, die dabei helfen kann.
