INFORMATIONEN

DFA und SaaS – Sicherstellung der DSGVO-Konformität

Die Einhaltung der DSGVO erfordert kontinuierliche Anstrengungen. Ein Unternehmen muss seine Abläufe analysieren und einen wirksamen Rahmen für die Zuordnung und Verwaltung von Daten einführen. Aber was passiert, wenn ein Unternehmen, das die Vorschriften einhält, ein neues SaaS-Produkt entwickelt? Was muss vor und nach der Markteinführung getan werden, um die kontinuierliche Einhaltung der DSGVO zu gewährleisten?

Was ist SaaS?

Drei Hauptproduktkategorien werden in der Cloud gespeichert: IaaS (Infrastructure as a Service), PaaS (Platform as a Service) und SaaS (Software as a Service). SaaS, die letztgenannte Kategorie, macht den größten Teil des Cloud-Marktes aus und nimmt weiterhin stark zu.

Dropbox, Google Apps, Netflix, Slack und sogar wir gehören zu den beliebten SaaS-Produkten von heute. Einige der frühesten SaaS-Beispiele sind webbasierte E-Mail-Dienste wie Gmail, Hotmail und Yahoo! Mail.

Mit SaaS müssen die Nutzer keine Anwendungen mehr auf ihre PCs importieren. Sie müssen auch nicht immer wieder die gleiche Software für Updates herunterladen. SaaS-Anbieter haben einen besseren Zugang zu ihren Produkten und können sie häufig aktualisieren, was für alle Beteiligten von Vorteil ist.

SaaS & DSGVO-Konformität: Wer ist verantwortlich?

Wenn ein Unternehmen ein neues SaaS-Produkt entwickelt, muss die Einhaltung der DSGVO berücksichtigt werden. Unabhängig davon, ob es sich um einen für die Datenverarbeitung Verantwortlichen oder einen Auftragsverarbeiter handelt, ist der Status des SaaS-Unternehmens einer der entscheidenden Faktoren für die Einhaltung der DSGVO.

Zur Erinnerung: Die Stelle, die das Wie und Warum der Datenverarbeitung, die Mittel und den Zweck festlegt, ist der für die Datenverarbeitung Verantwortliche. Der Auftragsverarbeiter führt die Verarbeitung nur im Auftrag des für die Verarbeitung Verantwortlichen durch. Nach der DSGVO haben alle Parteien eine rechtliche Verantwortung.

Wenn ein Unternehmen SaaS-Software entwickelt und sein Produkt an B2C-Kunden liefert, ist es sowohl ein Controller als auch ein Prozessor. Nur ein Prozessor ist ein SaaS-Anbieter, der auf B2B-Basis mit anderen Front-End-Produkten arbeitet. SaaS-Anbieter arbeiten auch mit anderen Cloud-Anbietern zusammen. Je nachdem, wie viele Unternehmen an der Kette beteiligt sind, können letztere Auftragsverarbeiter oder Unterauftragsverarbeiter sein.

Die Bedeutung einer DFA

Ein für die Verarbeitung Verantwortlicher ist eine Organisation, die das SaaS-Produkt an den Endkunden liefert und als solche eine höhere Haftungslast im DSGVO-Prozess trägt. Ein Teil der Bedeutung einer Datenschutz-Folgenabschätzung (Data Security Impact Assessment, DFA) besteht darin, dass sie die für die Verarbeitung Verantwortlichen daran erinnert, dass es einen Vertrag geben muss, der die Datenverpflichtungen für jeden Auftragsverarbeiter festlegt. Was wird durch die DFA noch erreicht?

Wann Sie eine DFA benötigen und was sie beinhaltet

Eine Datenschutzfolgenabschätzung ist häufig erforderlich, wenn die Datenverarbeitung in einem Projekt wahrscheinlich hohe Risiken birgt. In Artikel 35, Absätze 1, 3 und 4, beschreibt die Datenschutz-Grundverordnung spezifische Gefahren. Zu den verschiedenen Situationen, die eine Datenschutzfolgenabschätzung erforderlich machen, gehört eine vom ICO veröffentlichte Liste:

  • Innovative Technologien oder der Einsatz von Datenverarbeitungstechnologien, wie z. B. KI (künstliche Intelligenz)
  • Verweigerung von Diensten aufgrund automatischer Entscheidungen
  • Großangelegtes Profiling von Personen
  • Analyse von genetischen und biometrischen Daten
  • Datenabgleich, einschließlich der Kombination, des Vergleichs oder des Abgleichs von personenbezogenen Daten aus verschiedenen Quellen
  • Unsichtbare Verarbeitung, bei der die Daten von einer anderen Quelle als dem Nutzer erhalten wurden, ohne dass ein Datenschutzhinweis vorgelegt wurde.
  • Geolokalisierung oder Verhaltenskontrolle
  • Ausrichtung auf gefährdete Personen, wie z. B. Kinder
  • Gefahr von körperlichen Schäden bei einer Verletzung des Datenschutzes
  • Eine Datenschutzfolgenabschätzung ist auch ein entscheidender Teil der Durchsetzung der DSGVO für die Organisation, die die Mittel und den Zweck der Datenerhebung – des für die Verarbeitung Verantwortlichen – bestimmt. Alle mit einem neuen Projekt verbundenen Datensicherheitsrisiken werden durch die Datenschutzfolgenabschätzung analysiert, identifiziert und reduziert. Handelt es sich bei dem Projekt um ein Joint Venture mit mehr als einem für die Verarbeitung Verantwortlichen, kann eine gemeinsame Datenschutzfolgenabschätzung von den beteiligten Unternehmen durchgeführt werden.

    Jedes Unternehmen, das ein SaaS-Produkt auf den Markt bringen will, sollte bereits in einem frühen Stadium des Prozesses mit der Datenschutzfolgenabschätzung beginnen. In der Produktionsphase sollten auf diese Weise Risikofaktoren berücksichtigt werden. In der Datenschutz-Grundverordnung ist nicht genau festgelegt, wie oder was eine Datenschutzfolgenabschätzung aussehen soll, aber sie muss Strenge beweisen. Zu den Themen, die eine Datenschutzfolgenabschätzung abdecken könnte, gehören unter anderem die folgenden:

  • Warum eine Datenschutzfolgenabschätzung erforderlich ist;
  • Eine Zusammenfassung der Verarbeitung der Daten;
  • Der Konsultationsprozess ist noch nicht abgeschlossen;
  • Feststellung der Notwendigkeit und Verhältnismäßigkeit;
  • Risikoerkennung und -bewertung;
  • Maßnahmen zur Risikominderung;
  • Von der Unterschrift des DSB (Datenschutzbeauftragter).
  • Rechtskonformität erreichen und beibehalten

    Wenn Ihr Unternehmen eine neue SaaS-Einführung plant, ist es wahrscheinlich, dass Sie ein für die DSGVO Verantwortlicher sind und eine Datenschutzfolgenabschätzung benötigen. Dieser Artikel wird Ihnen mit etwas Glück einige Besonderheiten erläutern und Sie in die richtige Richtung führen. Was auch immer Sie tun, führen Sie gegebenenfalls Folgenabschätzungen durch und bleiben oder werden Sie DSGVO-konform.