DSGVO-Ein Jahr danach: Welche Veränderungen brachte die DSGVO für SaaS?
Vor einem Jahr wurde die DSGVO verabschiedet. Vor allem für SaaS-Anbieter bedeutete das eine große Veränderung. Doch was genau?- Das lesen Sie hier!
Die Art und Weise, wie Software gebraucht wird, hat sich grundlegend verändert. Software wird nicht mehr lokal gespeichert, sondern direkt im Internet bezogen. Wichtiges Stichwort ist hierbei Software as a Service, kurz SaaS.
Bei SaaS sind die Möglichkeiten für den Nutzer vielseitig. Der Schutz personenbezogener Daten war lange Zeit kaum geregelt. Die EU verabschiedete daher mit der Datenschutz-Grundverordnung, kurz, DSGVO eine EU-einheitliche Regelung zur Kontrolle von persönlichen Nutzerdaten.
Nach einer zweijährigen Übergangsphase trat am 25. Mai 2018 die DSGVO in Kraft. Ein Jahr ist seit dem vergangen. Nach anfänglichem Aufschrei, ist die DSGVO in vielen Unternehmen angekommen. Dementsprechend ist es an der Zeit, ein Résumé zu ziehen.
Was ist Software as a Service/ SaaS?
Bei Software as a Service handelt es sich um eine Art Vertriebsmodell. Software wird nicht mehr direkt bezogen, sondern meistens in einer Art Abonnementsystem direkt über einen Browser betrieben. Die Datenspeicherung erfolgt dabei in einer Cloud beim SaaS-Anbieter.
Vorteile von SaaS:
- Das Endgerät des Nutzers ist nur noch für die Darstellung der Software notwendig. Es wird dementsprechend weniger Speicherplatz benötigt
- Die Rechenleistung wird vom SaaS-Anbieter bereitgestellt
- Die Anforderungen an den eigenen Computer werden gesenkt
- Updates können konstant erhalten werden, ohne dass eine Lizenzverlängerung notwendig ist
- SaaS ist nicht an einen Computer gebunden und kann über den Browser von überall genutzt werden
Was ist die DSGVO?
Die Datenschutz-Grundverordnung soll die Grundrechte und Grundfreiheit natürlicher Personen bewahren. Die DSGVO stellt eine Verordnung dar, mit der die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen, einheitlich geregelt wird. Der freie Datenverkehr im gesamten Binnenmarkt darf dabei nicht beeinträchtigt werden. Im Gegensatz zu vorherigen Richtlinien gilt die DSGVO übergeordnet für alle Mitgliedsstaaten der EU und wird nicht separat geregelt.
Die wichtigsten Änderungen:
- Mitteilungspflicht: Unternehmen sind dazu verpflichtet Ihren Nutzern mitzuteilen, wenn Daten verarbeitet und gespeichert werden. Die Dauer der Datenspeicherung muss für den Benutzer völlig transparent sein. Kommt es zu einer Verletzung des Datenschutzes, sind die Unternehmen dazu verpflichtet unverzüglich ihren Nutzern das mitzuteilen.
- Einwilligung zur Datenverarbeitung: Ein Nutzer muss der Datenverarbeitung eindeutig zustimmen. Andernfalls dürfen Daten nicht erhoben werden. Diese Einwilligung kann jederzeit widerrufen werden.
- Sicherheit: Die Verschlüsselung von personenbezogenen Daten ist für Unternehmen Pflicht. Ferner muss der Datenschutz konstant evaluiert und die Wirksamkeit eigener technischer und organisatorischer Maßnahmen kontrolliert werden.
- Sanktionen: Kommt es zu einer Verletzung des Datenschutzes, werden hohe Sanktionen an das betreffende Unternehmen verhängt.
- Datenlöschung: Das Löschen der Benutzerdaten muss vereinfacht werden. Fordert ein Nutzer die Löschung, sind Unternehmen dazu verpflichtet, diesem Wunsch anstandslos nachzugehen.
- Der Schutz durch die DSGVO muss auch außerhalb der EU gewährleistet werden. Sanktionen werden auch hier bei Datenschutzverletzungen verhängt.
Welche Bedeutung hat die DSGVO für SaaS?
Bei SaaS liegen die Daten beim Anbieter. Im Rahmen der DSGVO mussten daher einige Veränderungen in den Unternehmen getroffen werden, um die Sicherung der persönlichen Nutzerdaten zu gewährleisten. Folgende Bedeutung hat die DSGVO für SaaS:
- Privacy by Design und Default: Bei der Entwicklung von SaaS sollten schon zu Beginn die Datenschutzanforderungen berücksichtigt und in Prozesse und Produkte integriert werden. Jede Anwendung, die personenbezogene Daten verarbeitet, sollte standardgemäß (by default) die Anforderungen der DSGVO erfüllen. Es gelten die beiden Grundsätze Privacy by Design und Privacy by Default. Hohe Kosten können so umgangen werden.
- Datenspeicherung: Datensicherung kann nicht mehr ohne Weiteres erfolgen, sondern muss vollkommen transparent und mit Einwilligung der Nutzer geschehen. SaaS-Anbieter sollten sicherstellen, dass bei der Speicherung persönlicher Daten, betroffene Personen nur solange identifiziert werden können, wie es für die eigentliche Datenverarbeitung der SaaS erforderlich ist. Ferner müssen Betreiber eines SaaS-Produktes sicherstellen, dass bei Löschung eines Benutzerkontos alle personenbezogenen Daten unmittelbar gelöscht werden.
- Zustimmung: Die Nutzung persönlicher Daten erfolgt nur dann, wenn ein Benutzer dazu ausdrücklich zugestimmt hat. Verfahren, wie das sogenannte Opt-out, dem Speichern von Daten, wenn Nutzer dem nicht ausdrücklich widersprechen, sind unzulässig.
- Datenübertragung: Die Datenübertragung im Falle eines Anbieterwechsels ist nun Pflicht. Dementsprechend müssen SaaS-Anbieter ihre Daten für ihre Kunden strukturiert und in maschinenlesbarer Form bereitstellen.
- Sicherstellung der DSGVO bei Drittanbietern: Jedes Unternehmen, an das Daten weitergegeben wird, sollte ebenfalls gemäß der DSGVO handeln. Dies muss vor dem Transfer sichergestellt werden.
- Transparenz: Es sollte immer klar ersichtlich sein, welche Daten zu welchem Zweck entnommen werden.
Ein Jahr DSGVO-Ein Résumé
Ein Jahr ist seit der Einführung der DSGVO vergangen. Der Aufschrei war bei vielen groß. Doch was hat sich wirklich verändert?
Vor allem kleine Unternehmen und Vereine hatten nach der Einführung der DSGVO einiges zu tun. Mit der ständigen Angst vor Sanktionen, wurde versucht den neuen Datenschutzanforderungen der EU bestmöglich gerecht zu werden. Die vorher in den Medien prognostizierte Abmahnwelle blieb jedoch aus.
Im Umgang mit der Software hat sich für den Nutzer nicht viel geändert. Dennoch haben Nutzer wesentlich mehr Kontrolle über ihre personenbezogenen Daten erhalten und können selbst bestimmen, welche Informationen verarbeitet werden. Alle persönlichen Daten werden transparent verarbeitet und können zu jedem Zeitpunkt gelöscht werden. Der Verbraucher ist der große Gewinner der DSGVO. Personenbezogene Daten besitzen nun dank der DSGVO die Wichtigkeit, die ihnen gebührt.
Unternehmen wiederum standen vor einer größeren Aufgabe. Die DSGVO hat die Messlatte der Datenerfassung und -verarbeitung gegenüber der vorherigen Datenschutzrichtlinien angehoben. Für jedes Unternehmen, unabhängig der Größe wurde eine einheitliche Regelung geschaffen, um den Nutzer und dessen personenbezogenen Daten effektiv zu schützen.
Die DSGVO ist Vorreiter in Sachen Datensicherheit von Nutzern und hat somit globalen Vorbildcharakter. Dabei profitieren nicht nur Verbraucher, sondern auch europäische Unternehmen. Aufgrund der Serverlage in den USA sind Firmen, wie Trello, Google oder Facebook im Moment nicht DSGVO-konform. Es ist dementsprechend undurchsichtig, welche Daten entnommen werden und für welchen Zweck. Viele Nutzer wechseln daher zu europäischen Unternehmen.
Ihre persönlichen Daten sind wichtig! Vertrauen daher auch Sie auf DSGVO-konforme Unternehmen, wie Zenkit. Wir legen großen Wert auf Ihre persönlichen Daten und den Schutz Ihrer Privatsphäre. Zusammen mit unserem Datenschutzbeauftragten versuchen wir, daher konstant Ihre Daten zu schützen. Näheres zu unserer Umsetzung der DSGVO können Sie hier nachlesen.
Haben Sie noch weitere Fragen zum Thema? Ist Ihnen eine Veränderung nach der Einführung der DSGVO aufgefallen? Wie setzen Sie die DSGVO am Arbeitsplatz um? Lassen Sie es uns in den Kommentare wissen!
Wir freuen uns, von Ihnen zu hören
Bis bald!
Dominik und das Zenkit Team
KOSTENLOSE 30 MINÜTIGE BERATUNG MIT EINEM PROJEKTMANAGEMENT EXPERTEN
Möchten Sie sehen, wie Zenkit Ihre Arbeit vereinfacht?
Live Demo buchen