+41 71 891 68 68 rs@datenschutz2019.ch

Bericht von Jasmin Lieffering, Autor

 

SaaS – Datenschutzdokumentation

SaaS – Software-as-a-Service ist eines der meist genutzten Arten der Cloudnutzung. Über die Auswahl der richtigen Tools und was Sie beachten müssen, habe ich hier SaaS – Auswahl der richtigen cloudbasierten Anwendung einen Beitrag für Sie verfasst und auch mit der Minimierung der Risiken bei der Nutzung der Tools haben wir uns bereits befasst.

Heute behandeln wir das Thema der Datenschutzdokumentation und welche Dokumente Sie aus welchem Grund erstellen sollten, um die Risiken bewerten zu können.

Wozu dient eine Datenschutzdokumentation?

Grundsätzlich ist der für die Verarbeitung von personenbezogenen Daten Verantwortliche dazu angehalten, genau zu prüfen, welche Software und Hardware eingesetzt wird. Online-Tools, also SaaS-Anwendungen, fallen hier ebenfalls darunter.

Was genau muss man machen? Ganz einfach gesagt, Sie müssen die Folgen abschätzen, was der Einsatz dieser Tools für die Betroffenen bedeutet. Also die Risiken bewerten.

Welche Dokumente sollte man erstellen?

Als aller erstes, sollte man sich fragen, warum man ein Online-Tool einsetzen will. Was soll besser werden? Wozu soll es dienen? Welcher Verarbeitungsvorgang soll verbessert werden? Was ist der Zweck?

Aus den Antworten entsteht der Anforderungskatalog. Die einzelnen Anforderungen können dann einfach mit den einzelnen Anbietern abgeglichen werden. Daraus kann dann die Dokumentation zur Anbieterauswahl erstellt werden. Achten Sie dabei auch auf die Checkliste zur Anbieterauswahl, damit Sie im Zweifelsfall schnell und einfach die Wahl der Anbieter begründen und nachvollziehen können.

Nach Entscheidung für einen Anbieter werden die Risiken abgeschätzt. Hierbei stehen folgende Fragen im Mittelpunkt unsere Dokumentation:

  • Was kann wem passieren?
  • Was tut man als Unternehmen, um das Risiko zu mindern?

Anschließend sollte ein Auftragsverarbeitungsvertrag mit dem Anbieter abgeschlossen und regelmäßig (1 x jährlich) überprüft werden, da Sie als Nutzer weiterhin der Verantwortliche für die Datenverarbeitung sind. Diese Überprüfung kann auch extern vergeben werden oder anhand von Zertifikaten durchgeführt werden.

Für die Nutzung der Tools, sollten interne Arbeitsanweisungen erstellt werden. Diese können dann als Datenschutzleitlinie und IT-Leitlinie dienen. Die Arbeitsanweisungen sollten den Umgang mit den einzelnen Tools beschreiben (wofür werden sie genutzt und wofür nicht, welche Daten werden eingepflegt, welche nicht). Backup-Erstellung und Datenexport wären Beispiele für IT-Leitlinien.

Als letzten Teil der Dokumentation ist es sehr wichtig einzelne Verarbeitungsvorgänge zu bewerten und die dazugehörige Dokumentation wie Risikobewertung der Verarbeitungsvorgänge, Verarbeitungsübersichten, Datenschutzerklärungen zu erstellen.

Haben Sie noch Fragen zum Thema Datenschutz und der Abgrenzung zur IT-Sicherheit bzw. Datensicherheit? E-Mail.