Obwohl sich Software as a Service (SaaS) immer größerer Beliebtheit erfreut, herrscht noch viel Unsicherheit und zum Teil Unkenntnis im Hinblick auf die datenschutzrechtlichen Anforderungen. Kaum ein SaaS-Vertrag erfüllt die Vorgaben des neuen § 11 Bundesdatenschutzgesetz (BDSG). Kunden aber auch Anbieter dürfen sich vor der Materie nicht verschließen.
Nach dem BDSG bleibt der Kunde für die Rechtmäßigkeit der Verarbeitung seiner Mitarbeiter- und Kundendaten durch den SaaS-Anbieter voll verantwortlich und ist verpflichtet, den Anbieter sorgfältig auszuwählen, regelmäßig zu kontrollieren und das Ergebnis der Kontrollen zu dokumentieren. Das BDSG enthält zudem seit dem 1. September 2009 einen 10-Punkte Katalog mit Regelungsgegenständen, die in einem schriftlichen Vertrag zur Auftragsdatenverarbeitung zwingend umgesetzt werden müssen. Bei mangelhaften Verträgen drohen Kunden Bußgelder bis zu € 50.000.
Aber auch Anbieter sollten darauf achten, dass Ihre Standardvertragsbedingungen (AGB) den gesetzlichen Anforderungen genügen. Leider ignorieren noch immer viele Anbieter die datenschutzrechtlichen Compliance Anforderungen ihrer Kunden. Dabei würden SaaS-Provider, deren AGB den Vorgaben des BDSG genügen, bei potentiellen Kunden und deren Datenschutzbeauftragten leicht Pluspunkte sammeln; oder anders gesagt: wessen AGB den gesetzlichen 10-Punkte Katalog ignorieren, fällt oftmals schon von vorne herein heraus, weil sich der Kunde nicht auf mühsame Vertragsverhandlungen einlassen will.
Abgrenzung von Auftragsdatenverarbeitung und “Funktionsübertragung” bei SaaS
Der 10-Punkte Katalog zur Auftragsdatenverarbeitung nach § 11 BDSG ist natürlich nur einschlägig, wenn tatsächlich personenbezogene Daten im Auftrag verarbeitet werden. Personenbezogene Daten wie z.B. Mitarbeiter- oder Kundendaten werden bei den meisten SaaS Anwendungen verarbeitet, bereits das Speichern solcher Daten ist ein verarbeiten. Ausnahme: es handelt sich um rein technische Daten (Bauzeichnungen) oder die Daten wurden anonymisiert, so dass der Anbieter keinerlei Rückschluss auf bestimmte Personen ziehen kann.
Keine Auftragsdatenverarbeitung liegt vor, wenn der Anbieter die Daten nicht nach den Weisungen des Kunden verarbeitet, sondern seinerseits verantwortliche Stelle ist. Dies ist der Fall bei einer so genannten “Funktionsübertragung”. Die Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung ist mitunter fließend und – nach umstrittener Ansicht – in gewissem Umfang auch von den Parteien durch vertragliche Regelungen beeinflussbar.
Teilweise wird beim SaaS wie auch beim Outsourcing versucht, ein Anbieter-Kunden Verhältnis als Funktionsübertragung auszugestalten, um so den strengen Anforderungen des § 11 BDSG zu entgehen. Juristisch steckt Folgendes dahinter: Sendet ein Unternehmen (SaaS-Kunde) personenbezogene Daten an einen “Dritten” (SaaS-Anbieter), oder gewährt diesem darauf Zugriff, so liegt ein “Übermitteln” im Sinne des § 3 (4) Nr. 3 BDSG vor. Eine solche Übermittlung ist nur zulässig, wenn hierfür eine Erlaubnisnorm existiert. Verarbeitet der Dritte hingegen personenbezogene Daten strikt nach den Weisungen (im Auftrag) des Kunden, so ist er “Auftragsdatenverarbeiter” und nach der Definition des § 3 (8) S. 2 BDSG kein “Dritter” mehr. Folge: Es findet rechtlich keine “Übermittlung” statt, womit für diese auch keine Erlaubnisnorm mehr benötigt wird (die Datenverarbeitung im Rahmen der SaaS-Anwendung selbst, muss natürlich weiterhin datenschutzrechtlich zulässig sein).
Welche Probleme die “Übermittlungs”-Lösung mit sich bringt und wie der gesetzliche 10-Punkte Katalog zur Auftragsdatenverarbeitung bei SaaS gesetzeskonform aber zugleich praxisnah umgesetzt werden kann zeigt, Dr. Thomas Helbing in einem ausführlichen Beitrag auf: http://www.thomashelbing.com/de/saas-software-as-a-service-datenschutz-auftragsdatenverarbeitung-11-bdsg-funktionsuebertragung-cloud-computing.
Über den Autor:
Dr. Thomas Helbing arbeitete knapp fünf Jahre als Anwalt bei einer führenden internationalen Wirtschaftskanzlei im Bereich “Intellectual Property, Media and Technology” und beriet dort führende SaaS Anbieter. Seit 2009 hat er seine eigene Kanzlei für IT- und Datenschutzrecht.
Herr Helbing schreibt regelmäßig Fachartikel und hält Vorträge zu IT- und Datenschutzthemen auf Konferenzen, zuletzt der CloudSlam 2010. Er arbeitet in der Kompetenzgruppe “Recht & Compliance” beim Eurocloud Deutschland_eco e.V. an Empfehlungen und Musterverträgen zum Cloud Computing mit. Mehr über ihn im Internet unter: http://www.thomashelbing.com.
Pingback: Tweets that mention Neuer Beitrag: Datenschutz bei SaaS: Verträge zur Auftragsdatenverarbeitung nach § 11 BDSG praktikabel und gesetz... -- Topsy.com