„Daten sind eine kostbare Sache und halten länger als die Systeme selbst.“
Tim Berners-Lee, Erfinder des World Wide Web
Daten sind Gold. Und während sich die Welt darum bemüht, Daten auf vielfältige Weise (sowohl ethisch als auch unethisch) zu nutzen, greift die DSGVO zur Rettung ein.
Die Auswirkungen neuer Rechtsvorschriften der EU – Datenschutz-Grundverordnung (DSGVO) auf Unternehmen erweisen sich heute als eine der wichtigsten globalen Vorschriften, da sie mit Datenverwaltung und Datenschutz zusammenhängen. Viele Menschen sind sich nicht sicher, was die DSGVO ist, welche Auswirkungen sie auf ihr Unternehmen haben könnte oder ob sie sich darüber überhaupt Sorgen machen sollten.
DSGVO Bedeutung
Die DSGVO bzw. Datenschutz-Grundverordnung trat am 25. Mai 2018 in Kraft. Die Europäische Union (EU) war in den letzten zwei Jahrzehnten führend bei regulatorischen Entwicklungen im Datenschutz und -schutz. Ein Verstoß gegen die DSGVO kann zu Geldstrafen von bis zu 4 % Ihres weltweiten Jahresumsatzes oder satten 20 Millionen Euro führen – je nachdem, welcher Betrag höher ist. Die DSGVO dient dem Schutz der Datenschutzrechte der EU-Bürger, gilt jedoch für fast jedes Unternehmen mit globaler Präsenz, einschließlich SaaS.
In diesem Artikel besprechen wir die Einhaltung der DSGVO für SaaS und deren Auswirkungen.
Wozu braucht es die DSGVO?
Es gibt zwei Gründe, warum die DSGVO in Kraft getreten ist. Erstens möchte die EU mehr Kontrolle über die personenbezogenen Daten ihrer Einwohner haben und deren Verwendung kontrollieren. Dadurch soll das Vertrauen in die digitale Wirtschaft gestärkt werden.
Zweitens ermöglicht die EU ein einfaches und transparentes Umfeld für die Geschäftstätigkeit von Unternehmen, wodurch es in der gesamten EU nahezu einheitlich wird.
Hat die DSGVO Auswirkungen auf Sie, auch wenn Sie nicht in der EU ansässig sind?
Ja, wenn Sie –
- Waren oder Dienstleistungen an EU-Bürger verkaufen oder deren Verhalten überwachen.
- Verarbeiten Sie die personenbezogenen Daten von EU-Bürgern im Auftrag anderer Unternehmen.
- Betreiben Sie eine Website, die Technologien wie Cookies verwendet, um Personen mit Sitz in der EU zu überwachen
- Beschäftigen Sie alle Einwohner der EU
- Sammeln Sie alle Arten von Daten, die Informationen über EU-Bürger enthalten können
Kurz gesagt gilt die DSGVO für SaaS-Anbieter mit europäischen Kunden oder Verbrauchern, unabhängig vom geografischen Standort der Organisation.
DSGVO für SaaS: Rolle eines Datenverantwortlichen
Sind Sie ein Datenverantwortlicher?
Ein Datenverantwortlicher ist eine Einzelperson oder Organisation, die die Aufbewahrung und Verwendung personenbezogener Daten kontrolliert und dafür verantwortlich ist. Die Tätigkeit als Datenverantwortlicher bringt erhebliche rechtliche Pflichten mit sich. Es müssen Aufzeichnungen über personenbezogene Daten und Verarbeitungsaktivitäten geführt werden.
- Wenn Ihre Organisation die von ihr gespeicherten personenbezogenen Daten kontrolliert und für sie verantwortlich ist, ist Ihre Organisation ein Datenverantwortlicher. Wenn Sie andererseits über die personenbezogenen Daten verfügen, aber eine andere Organisation entscheidet und dafür verantwortlich ist, was mit den Daten passiert, dann ist die letztgenannte Organisation der Datenverantwortliche und Ihre Organisation ist ein Datenverarbeiter.
- Datenverantwortliche können sowohl Einzelpersonen als auch Unternehmen, Regierungsbehörden und Freiwilligenorganisationen sein. Einzelpersonen wie Allgemeinmediziner, Apotheker, Politiker und Einzelunternehmer, die persönliche Informationen über ihre Patienten, Kunden, Wähler usw. aufbewahren.
- Es liegt in der Verantwortung des Datenverantwortlichen, sicherzustellen, dass die Verträge mit dem Auftragsverarbeiter der DSGVO entsprechen.
DSGVO für SaaS-Organisationen: Rolle eines Datenverarbeiters
Sind Sie ein Datenverarbeiter?
Ein Auftragsverarbeiter ist für die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen verantwortlich. Beispiele für Datenverarbeiter sind Lohn- und Gehaltsabrechnungsunternehmen, Buchhalter usw Marktforschungsunternehmen, die alle personenbezogene Daten im Namen einer anderen Person speichern oder verarbeiten. Cloud-Anbieter sind in der Regel auch Auftragsverarbeiter.
Datenverarbeiter sind verpflichtet, Aufzeichnungen über personenbezogene Daten und Verarbeitungsaktivitäten zu führen. Sie haften rechtlich, wenn sie für einen Verstoß verantwortlich sind.
Ein Unternehmen oder eine Person kann sowohl Datenverantwortlicher als auch Datenverarbeiter für unterschiedliche Sätze personenbezogener Daten sein. Beispielsweise wäre ein Lohn- und Gehaltsabrechnungsunternehmen der Datenverantwortliche für die Daten über seine eigenen Mitarbeiter, aber auch der Datenverarbeiter für die Lohn- und Gehaltsabrechnungsdaten der Mitarbeiter, die es für seine Kundenunternehmen verarbeitet.
Bevor wir verstehen, wie sich SaaS-Unternehmen auf die DSGVO vorbereiten müssen, wollen wir zunächst verstehen, für welche Datentypen die DSGVO gilt.
DSGVO für SaaS-Organisationen – Auf welche Daten wird sie angewendet?
Persönliche Daten
Alle Informationen, die sich auf eine identifizierbare Person beziehen, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie Name, Kennnummer, Standortdaten oder Online-Kennungen, die sich aus dem technischen Wandel ergeben, identifiziert werden kann. Sie gilt sowohl für automatisierte personenbezogene Daten als auch für die manuellen Ablagesysteme. Pseudonymisierte personenbezogene Daten, also beispielsweise ein Name, werden durch eine eindeutige Nummer ersetzt, je nachdem, wie schwierig es ist, das Pseudonym einer Person zuzuordnen.
Sensible personenbezogene Daten
Die sensiblen personenbezogenen Daten im Sinne der DSGVO gelten als besondere Kategorien personenbezogener Daten, bei denen es sich um sensiblere Informationen über eine Person handelt und die daher stärker geschützt werden müssen, z. B. Rasse, ethnische Herkunft, politische Ansichten, Religion, Gewerkschaftsmitgliedschaft, genetische Daten wie DNA-Sequenz und biometrische Daten Fingerabdrücke oder Netzhautscans zur Identifizierung usw.
DSGVO-Konformität für SaaS-Unternehmen: Wie bereite ich mich vor?
Es ist wichtig, dass SaaS-Kunden und SaaS-Anbieter auf die Einhaltung der DSGVO vorbereitet und einsatzbereit sind. Wenn Sie es noch nicht getan haben, können Sie es wie folgt tun:
Habe Bewusstsein
Die Entscheidungsträger und Schlüsselpersonen der Organisation sollten sich der DSGVO bewusst sein und deren Auswirkungen analysieren, die damit verbundenen Risiken identifizieren und diese in ihren Risikomanagementprozess einbeziehen.
Ordnungsgemäße Dokumentation
Um rechenschaftspflichtig zu sein und Wirksamkeit zu gewährleisten Prozessdokumentation, sollten Sie dokumentieren, welche personenbezogenen Daten Sie speichern, woher sie stammen und mit wem Sie sie teilen. Möglicherweise verlangen Sie sogar regelmäßige Prüfungen dieser Dokumentation. Dies ist nicht nur deshalb wichtig, weil es eine gesetzliche Anforderung ist, sondern auch, weil es eine gute Datenverwaltung unterstützen und Ihnen dabei helfen kann, die Einhaltung anderer Aspekte der DSGVO nachzuweisen.
Weitergabe von Datenschutzinformationen
Vor der Erfassung personenbezogener Daten ist es laut geltendem Recht erforderlich, dass Sie Ihre Kunden über Ihre Identität, die Gründe für die Erfassung der Daten, die Verwendung(en) für die Datenerhebung, die Weitergabe an wen und darüber, ob sie übermittelt werden, informieren außerhalb der EU. Nach der DSGVO müssen Einzelpersonen vor der Verarbeitung zusätzliche Informationen mitgeteilt werden.
Rechte des Einzelnen
Organisationen müssen personenbezogene Daten in einer allgemein verwendeten Struktur oder in einem elektronischen Format kostenlos bereitstellen. Und sie müssen auch ihre Verfahren überprüfen, um sicherzustellen, dass sie alle Rechte des Einzelnen abdecken. Wie würden Sie beispielsweise reagieren, wenn jemand die Löschung seiner personenbezogenen Daten verlangt? Würden Ihre Systeme Ihnen helfen, die Daten zu finden und zu löschen? Und wer wird diese Entscheidung treffen?
Zustimmung
Führen Sie Aufzeichnungen, um die Einwilligung nachzuweisen – wer hat wann, wie zugestimmt und was wurde ihm mitgeteilt. Machen Sie es den Menschen leicht, ihre Einwilligung jederzeit zu widerrufen. Integrieren Sie regelmäßige Einwilligungsüberprüfungen in Ihre Geschäftsprozesse, da die DSGVO klar vorsieht, dass Verantwortliche in der Lage sein müssen, eindeutig nachzuweisen, dass die Einwilligung erteilt wurde. Überprüfen Sie daher Ihre Systeme zur Aufzeichnung der Einwilligung, um sicherzustellen, dass Sie über einen effektiven Prüfpfad verfügen.
DSGVO und SaaS: Wie werden sich die Subject Access Requests (SAR) ändern?
Gemäß der DSGVO müssen Organisationen den Subject Access Request (SAR) schneller bearbeiten und zusätzliche Informationen bereitstellen. Einzelpersonen haben bereits das Recht, über eine SAR auf ihre personenbezogenen Daten zuzugreifen. Es steht Ihnen jedoch im Allgemeinen frei, solche Anfragen zu stellen, und Einzelpersonen haben Anspruch darauf, die Informationen in elektronischer Form zu erhalten.
Wenn eine Organisation eine große Anzahl von Verdachtsmeldungen bearbeitet, können die Auswirkungen der Änderungen erheblich sein. Daher werden Maßnahmen zur Organisation des Umgangs mit Verdachtsmeldungen Organisationen dabei helfen, die DSGVO einzuhalten.
Datenverstöße
Sie sollten sicherstellen, dass Sie über die richtigen Verfahren verfügen, um einen Verstoß gegen den Schutz personenbezogener Daten zu erkennen und unverzüglich zu melden, wenn möglich innerhalb von 72 Stunden nach Kenntniserlangung und Untersuchung.
Ernennen Sie Datenschutzbeauftragte
Eine Organisation muss jemanden benennen, der die Verantwortung für die Einhaltung des Datenschutzes übernimmt. Sie können entweder von außen oder von jemandem aus der Organisation selbst ernennen. Möglicherweise müssen Sie einige Änderungen in Ihrer Organisationsstruktur vornehmen.
Datenregulierung und zukünftige Projekte
Bei einer DSFA (Data Privacy Impact Decision) handelt es sich um den Prozess der systematischen Prüfung der potenziellen Auswirkungen, die ein Projekt oder eine Initiative auf die Privatsphäre von Einzelpersonen haben könnte. Es ermöglicht Unternehmen, potenzielle Datenschutzprobleme zu erkennen, bevor sie auftreten, und eine Möglichkeit zu finden, diese zu entschärfen. Eine DSFA kann Gespräche mit relevanten Parteien/Stakeholdern beinhalten. Letztendlich kann sich eine solche Bewertung als unschätzbar wertvoll erweisen, wenn es darum geht, die Durchführbarkeit zukünftiger Projekte und Initiativen zu bestimmen. Die DSGVO hat DSIAs für diejenigen Organisationen vorgeschrieben, die an der Verarbeitung mit hohem Risiko beteiligt sind. zum Beispiel dort, wo neue Technologien eingesetzt werden, wo ein Profiling-Vorgang voraussichtlich erhebliche Auswirkungen auf Einzelpersonen hat oder wo eine groß angelegte Überwachung eines öffentlich zugänglichen Bereichs erfolgt.
Die DSGVO scheint für SaaS-Unternehmen ein zusätzlicher Arbeitsbereich zu sein, aber auf lange Sicht ist es angesichts der Menge der generierten Daten durchaus sinnvoll, die Besorgnis über den Datenschutz anzuerkennen.
References:
i) http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
ii) https://spanning.com/blog/the-global-impact-of-gdpr/
iii) https://www.process.st/gdpr-compliance/
iv) https://www.bodlelaw.com/saas/saas-agreements-data-protection-new-eu-data-protection-regulation
v) https://www.eugdpr.org/glossary-of-terms.html
vi) https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
vii) https://media.squirepattonboggs.com/pdf/misc/GDPR-Implications.pdf
viii)http://www.itpro.co.uk/it-legislation/27814/what-is-gdpr-everything-you-need-to-know
ix) https://www.forbes.com/sites/ciocentral/2017/08/31/if-you-use-saas-products-you-need-to-prepare-for-gdpr-heres-how/#1f13189a29f8
