Saas Verträge im Lichte der DSGVO
Immer mehr Unternehmen setzen auf die Nutzung von Software-as-a-Service (Saas), um ihre Geschäftsprozesse zu optimieren und ihre Daten effektiver zu verwalten. Doch was gilt es bei Saas-Verträgen im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) zu beachten? Dieser Artikel gibt einen Überblick.
Was ist SaaS?
Software-as-a-Service (Saas) ist eine Methode, um Softwareanwendungen über das Internet zu nutzen. Der Anbieter stellt die Software in der Cloud bereit und der Nutzer kann sie von jedem Ort und Gerät aus nutzen, solange er eine Internetverbindung hat. Der Vorteil liegt darin, dass der Nutzer keine teure Infrastruktur aufbauen muss, sondern nur für die Nutzung der Software bezahlt.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die seit dem 25. Mai 2018 gilt und die Rechte von EU-Bürgern in Bezug auf ihre personenbezogenen Daten schützt. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob sie in der EU ansässig sind oder nicht.
Saas-Verträge im Hinblick auf die DSGVO
Saas-Verträge müssen den Anforderungen der DSGVO entsprechen. Die DSGVO gilt für alle personenbezogenen Daten, die von Unternehmen verarbeitet werden, unabhängig davon, ob sie in der EU ansässig sind oder nicht. Dies bedeutet, dass sowohl der Saas-Anbieter als auch der Nutzer verpflichtet sind, die Vorgaben der DSGVO einzuhalten.
Saas-Anbieter müssen sicherstellen, dass ihre Software den Anforderungen der DSGVO entspricht. Dazu gehört, dass sie sicherstellen müssen, dass ihre Software sicher ist und dass sie die Daten ihrer Nutzer angemessen schützen. Dies kann durch die Verwendung von Verschlüsselungstechnologien, die Implementierung von Sicherheitsmaßnahmen und die regelmäßige Überprüfung der Sicherheitsvorkehrungen gewährleistet werden.
Darüber hinaus müssen Saas-Anbieter sicherstellen, dass sie als Auftragsverarbeiter gemäß der DSGVO agieren. Dies bedeutet, dass sie die Daten im Auftrag des Nutzers verarbeiten und dass der Nutzer der Datenverantwortliche bleibt. Der Saas-Anbieter muss daher eine Vereinbarung mit dem Nutzer abschließen, die die DSGVO-Anforderungen erfüllt.
Nutzer von Saas-Software müssen sicherstellen, dass sie ihre Verpflichtungen als Datenverantwortlicher gemäß der DSGVO erfüllen. Dies bedeutet, dass sie sicherstellen müssen, dass sie eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten haben, dass sie die betroffenen Personen über die Verarbeitung informieren und dass sie die Daten angemessen schützen.
Darüber hinaus müssen Nutzer sicherstellen, dass die Saas-Software, die sie nutzen, den Anforderungen der DSGVO entspricht und dass sie eine Vereinbarung mit dem Saas-Anbieter abschließen, die die DSGVO-Anforderungen erfüllt. In der Vereinbarung sollten die Verantwortlichkeiten der Parteien klar definiert sein, einschließlich der Art und Weise, wie die personenbezogenen Daten verarbeitet werden, wie die Sicherheit der Daten gewährleistet wird und wie der Zugriff auf die Daten kontrolliert wird.
Eine weitere wichtige Überlegung bei Saas-Verträgen ist die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU. Wenn der Saas-Anbieter personenbezogene Daten außerhalb der EU speichert oder verarbeitet, muss er sicherstellen, dass er die Anforderungen der DSGVO einhält. Dies kann durch die Verwendung von Standardvertragsklauseln oder durch die Gewährleistung eines angemessenen Schutzniveaus in dem betreffenden Drittland erreicht werden.
Fazit
Saas-Verträge sind eine effektive Methode, um Softwareanwendungen zu nutzen, ohne teure Infrastruktur aufbauen zu müssen. Es ist jedoch wichtig, dass Saas-Verträge den Anforderungen der DSGVO entsprechen, um sicherzustellen, dass personenbezogene Daten angemessen geschützt werden. Sowohl der Saas-Anbieter als auch der Nutzer haben Verantwortlichkeiten gemäß der DSGVO und sollten eine Vereinbarung abschließen, die die DSGVO-Anforderungen erfüllt. Durch die Einhaltung der DSGVO können Unternehmen sicherstellen, dass sie ihre rechtlichen Verpflichtungen erfüllen und das Vertrauen ihrer Kunden gewinnen.
Rechtsanwalt Dr. Stephan Schmelzer, Fachanwalt IT-Recht, Fachanwalt Arbeitsrecht, http://www.dr-schmelzer.com, Ostberg 3, 59229 Ahlen, Tel.: 02382.6646.
Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden.
« zurück