Der Einsatz eines SaaS-Auftragsverarbeiters und geeignete TOMs - Worauf Unternehmen achten müssen

von Das Team der aigner business solutions GmbH

In der heutigen digitalen Geschäftswelt ist die Nutzung von Software-as-a-Service (SaaS)-Lösungen weit verbreitet. Unternehmen profitieren von der Flexibilität, Skalierbarkeit und Kosteneffizienz dieser Dienste. Doch mit der Auslagerung von Datenverarbeitungsprozessen an einen SaaS-Anbieter kommt auch eine erhebliche Verantwortung hinsichtlich des Datenschutzes und der Datensicherheit mit sich. In diesem Blogbeitrag beleuchten wir die technischen und organisatorischen Maßnahmen (TOMs), die Unternehmen beim Einsatz eines SaaS-Auftragsverarbeiters beachten müssen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden.

Vereinbarung zur Auftragsverarbeitung:

Bevor ein SaaS-Dienstleister personenbezogene Daten verarbeitet, muss ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO, mit dem Dienstleister, abgeschlossen werden. Dieser Vertrag regelt die Rechte und Pflichten beider Parteien und stellt sicher, dass der Dienstleister die Daten nur gemäß den Anweisungen des Verantwortlichen verarbeitet. Seitens des Auftragsverarbeiters müssen technische- und organisatorische Maßnahmen hinsichtlich der Verarbeitung der Daten ergriffen werden. Damit sich das Unternehmen von der Einhaltung der TOMs bei dem Auftragsverarbeiter im Vorfeld überzeugen kann, werden diese meist als Anlage zu der zugehörigen Vereinbarung zur Auftragsverarbeitung beigefügt.

Umsetzung und Einhaltung von geeigneten TOMs seitens Dienstleister

Im Rahmen des Einsatzes eines SaaS-Auftragsverarbeiters müssen geeignete TOMs gemäß Art. 32 DSGVO ergriffen werden, um das Risiko vor dem Zugriff von unberechtigten Dritten oder dem Verlust von Daten bestmöglich zu minimieren. Die technischen Maßnahmen unterteilen sich in die Implementierung von geeigneten Verschlüsselungstechnologien, Zugangskontrollen, Firewalls, regelmäßigen Sicherheitsupdates und Backups für die SaaS-Lösung. Die Beschäftigten des Auftragsverarbeiters, welche im Rahmen des Hostings und der Fernwartung tätig sind, sind auf die Vertraulichkeit zu verpflichten. Des Weiteren sollte innerhalb der SaaS-Lösung die Möglichkeit bestehen, diese mit einem entsprechenden Rechte- und Rollenkonzept zu definieren, um den Zugriff auf die Daten nur berechtigten Personen zu gewähren.

Einhaltung und Umsetzung von geeigneten Maßnahmen seitens des Auftraggebers

Auch das Unternehmen selbst, welches sich für den Einsatz eines Dienstleisters für die Bereitstellung und das Hosting einer SaaS-Lösung entscheidet, muss geeignete Maßnahmen ergreifen, um die Daten vor dem Zugriff Unberechtigter sicherzustellen. Dies umfasst zum einen, darauf zu achten, in welchem Land sich der Serverstandort befindet, in dem die Daten gehostet werden. Zum anderen ist seitens des Unternehmens die Datenminimierung und Zweckbindung im Rahmen der Datenverarbeitung einzuhalten. Als weitere Maßnahme empfiehlt es sich ein entsprechendes Rechte- und Rollenkonzept für die Nutzer der Lösung auszuarbeiten. Insbesondere ist auch darauf zu achten, welche Exit-Strategie bei Vertragsende eingehalten wird. Nachfolgend werden diese Punkte näher erläutert.

Serverstandort:

Der Serverstandort spielt auch bei den SaaS-Lösungen eine wichtige Rolle. Es sollte darauf geachtet werden, dass sich der Serverstandort der Applikation innerhalb der EU oder dem EWR befindet. Denn dadurch können Sie in erster Linie sicherstellen, dass ein hohes Datenschutzniveau eingehalten werden muss. Wir kennen es in der Praxis allerdings auch, dass für solche Lösungen auf US-amerikanische Unternehmen zurückgegriffen wird. In diesem Fall sollte darauf geachtet werden, dass der Auftragsverarbeiter die entsprechenden Standardvertragsklauseln oder andere gültige Rechtsgrundlagen (bspw. Zertifizierung nach Data Privacy Framework) zur Verfügung stellt, um die Datenübermittlung zu legitimieren.

Datenminimierung und Zweckbindung:

Auch bei der Verwendung von SaaS-Lösungen gilt es die datenschutzrechtlichen Grundsätze nach Art. 5 DSGVO einzuhalten. Insbesondere die Datenminimierung und Zweckbindung stellen bei der Einhaltung der Grundsätze einen wesentlichen Bestandteil dar. Dies bedeutet, dass innerhalb der Applikation seitens des Verantwortlichen nur die notwendigsten Daten verarbeitet und auch nur für den festgelegten Zweck genutzt werden dürfen. Der Auftragsverarbeiter muss innerhalb der Software diese Möglichkeit bieten.

Rechte- und Rollenkonzept:

Ein gut durchdachtes Rechte- und Rollenkonzept ist entscheidend für die Sicherheit und Effizienz einer SaaS-Lösung. Es gewährleistet, dass Benutzer nur auf die Daten und Funktionen zugreifen können, die sie für ihre Aufgaben benötigen. Dies minimiert Sicherheitsrisiken und stellt sicher, dass die Nutzung der Software den Unternehmensrichtlinien entspricht.

Exit-Strategie:

Eine gut geplante Exit-Strategie gewährleistet, dass beim Ende der Zusammenarbeit zwischen einem Unternehmen und einem Dienstleister alle Daten sicher und ordnungsgemäß übertragen oder gelöscht werden. Die Exit-Strategie sollte bereits bei der Vertragsverhandlung und -gestaltung berücksichtigt werden. Dies stellt sicher, dass alle Parteien klare Vorstellungen über die Beendigung der Zusammenarbeit haben.

Fazit

Die Nutzung von SaaS-Diensten bringt viele Vorteile, erfordert jedoch eine sorgfältige Berücksichtigung der Datenschutz- und Datensicherheitsanforderungen. Durch die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen können Unternehmen sicherstellen, dass sie die Anforderungen der DSGVO erfüllen und die Daten ihrer Kunden und Mitarbeiter ausreichend schützen. Nur so kann das volle Potenzial von SaaS-Lösungen genutzt werden, ohne dabei die Datensicherheit zu gefährden.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

/assets/images/b/datenschutzbeauftrag-443cfc9e.png
Das Team der aigner business solutions GmbH

Unser Team – Ihr Vorteil | Hier stellen wir uns vor.

Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).