So stellen Sie die DSGVO-Konformität sicher

Um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) Ihrer SaaS-Plattform zu gewährleisten und das Risiko hoher Geldstrafen zu minimieren, befolgen Sie die nachstehenden Richtlinien. Die Einhaltung der DSGVO ist ein Muss, um die Privatsphäre der Nutzer zu schützen und das Vertrauen der Kunden zu erhalten.

Dieser Leitfaden bietet einen Überblick über wichtige Schritte, darunter das Verständnis der wichtigsten GDPR-Konzepte und die Implementierung von Datenschutzmaßnahmen, die zum Aufbau einer datenschutzbewussten SaaS-Plattform beitragen können. 

Um Ihnen zu helfen, den Fokus zu behalten, stellen wir Ihnen im Folgenden eine Checkliste zur Verfügung.

Beginnen Sie am Anfang und tauchen Sie in den offiziellen GDPR-Text ein. Ja, er mag etwas trocken erscheinen, aber achten Sie auf Schlüsselbegriffe wie “personenbezogene Daten” (Informationen, die sich auf eine identifizierbare Person beziehen), “Verarbeitung” (jede Handlung, die an personenbezogenen Daten vorgenommen wird) und “betroffene Person” (die Person, auf die sich die Daten beziehen).

Die GDPR basiert auf sieben Kernprinzipien. 

• Rechtmäßigkeit, Fairness und Transparenz: Sie müssen einen Rechtsgrund für die Datenverarbeitung haben, gegenüber Ihren Kunden transparent über Ihre Praktiken sein und alles vermeiden, was auch nur im Geringsten irreführend sein könnte.
• Zweckbindung: Daten dürfen nur aus legitimen, spezifischen und expliziten Gründen verwendet und erhoben werden und nicht für eine zukünftige Verwendung gespeichert werden.
• Datenminimierung: Erfassen Sie nur die unbedingt notwendigen Informationen.
• Genauigkeit: Bleiben Sie auf dem Laufenden – fehlerhafte Informationen können Schaden anrichten. 
• Speicherbegrenzung: Es ist nicht notwendig, Daten aufzubewahren. Implementieren Sie daher eine klare Richtlinie zur Datenspeicherung.
• Integrität und Vertraulichkeit (Sicherheit): Verwenden Sie Verschlüsselung und schützen Sie Daten stets vor Verlust, Beschädigung und unberechtigtem Zugriff.
• Rechenschaftspflicht: Übernehmen Sie die Verantwortung für die Einhaltung der Vorschriften, dokumentieren Sie Ihre Prozesse und erfüllen Sie alle DSGVO-Anforderungen.

Ziehen Sie ein Gespräch mit einem Experten für Datenschutzrecht in Betracht, informieren Sie sich über Online-Kurse oder Webinare zu diesem Thema oder lesen Sie unseren Leitfaden zur SaaS-Compliance.

Im Zentrum der DSGVO-Konformität steht ein umfassendes Datenaudit. Machen Sie es sich daher zum Ziel, Ihre Daten zu verstehen, woher sie stammen, wohin sie gehen und wie sie verwendet werden. Nutzen Sie Software oder Mapping-Tools, um Ihre Datenflüsse zu verstehen und zu steuern. Erstellen Sie eine Checkliste für das Datenaudit:

• Welche personenbezogenen Daten erfassen wir? (Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen usw.)
• Wie werden diese Daten erfasst? (Direkt von Nutzern, durch Integrationen von Drittanbietern usw.)
• Wo werden unsere Daten gespeichert? (Lokale Server, Cloud-Speicher usw.)
• Wer hat Zugriff auf diese Daten? (Mitarbeiter, Auftragnehmer, Drittanbieter usw.)
• Wie werden unsere Daten verwendet? (Marketing, Analyse, Personalisierung usw.)
• Wie lange speichern wir unsere Daten? (Haben wir eine Datenaufbewahrungsrichtlinie?)
• Haben wir einen legitimen Grund für die Verarbeitung der einzelnen Datenarten? (Einwilligung, Vertrag, berechtigtes Interesse usw.)

Machen Sie Datenschutz zu einer Priorität auf Ihrer Plattform. Minimieren Sie die Datenerfassung, verwenden Sie starke Sicherheitsmaßnahmen und gehen Sie transparent mit Ihren Nutzern hinsichtlich der Verwendung ihrer Daten um.

Berücksichtigen Sie Folgendes:

Datenminimierung:

• Hinterfragen Sie Annahmen: Überdenken Sie alles, was Sie erfassen. Kommen Sie auch mit weniger Informationen aus? Benötigen Sie diese Daten wirklich?
• Schrittweise Erfassung: Erfassen Sie nur die Daten, die Sie gerade benötigen. Sie können beispielsweise zunächst nur die E-Mail-Adresse abfragen und bei Bedarf später weitere Angaben einholen.
• Alternativen anbieten: Bieten Sie Nutzern Optionen an, die Ihre Datenerfassung einschränken. Verwenden Sie beispielsweise Gastbestellungen oder ermöglichen Sie es Kunden, Datenfreigabefunktionen zu deaktivieren.

Zweckbindung:

• Klare Datenschutzerklärungen: Machen Sie den Zweck Ihrer Datenerhebung in Ihren Datenschutz- und Einwilligungserklärungen deutlich.Verwenden Sie keine weit gefassten oder vagen Formulierungen, sondern konzentrieren Sie sich auf eine klare, prägnante Sprache, die den Punkt direkt auf den Punkt bringt.
• Internen Zugriff beschränken: Der Zugriff sollte auf Mitarbeiter beschränkt sein, die ihn unbedingt für ihre Arbeit benötigen.
• Datenlöschung: Erstellen Sie ein Protokoll zum Entfernen aller Daten, die nach der Verwendung für den vorgesehenen Zweck nicht mehr aufbewahrt werden müssen.

Transparenz:

• Granulare Einwilligung: Geben Sie Nutzern die Möglichkeit, bestimmte Funktionen zu aktivieren oder zu deaktivieren, und geben Sie ihnen eine gewisse Kontrolle über die Daten, die sie teilen.
• Verständliche Datenschutzerklärung: Halten Sie Ihre Datenschutzerklärung freundlich und leicht verständlich, indem Sie Alltagssprache anstelle von juristischem Fachjargon verwenden.
• Mehrstufige Hinweise: Fassen Sie sich in Ihren Zusammenfassungen aller wichtigen Informationen für die Nutzer kurz und bieten Sie Links zu weiteren Details für diejenigen an, die ausführlichere Erklärungen lesen möchten.

Pseudonymisierung/Anonymisierung: Implementieren Sie nach Möglichkeit Verfahren zur Anonymisierung personenbezogener Daten. Ersetzen Sie beispielsweise identifizierende Informationen durch Pseudonyme (z. B. Benutzer123), um eine Verknüpfung der Daten mit Einzelpersonen zu verhindern. Erwägen Sie, Identifikatoren vollständig zu entfernen, damit Daten nicht mit Einzelpersonen verknüpft werden können.

Sicherheit:

• Zugriffskontrollen: Seien Sie wählerisch, wer Zugriff auf die Anzeige, Änderung oder Löschung personenbezogener Daten hat.
• Plan zur Reaktion auf Datenschutzverletzungen: Richten Sie Prozesse ein, um Datenschutzverletzungen zu erkennen, einzudämmen und umgehend darauf zu reagieren.
• Regelmäßige Audits: Planen Sie proaktiv Audits und Bewertungen der Sicherheit ein, um potenzielle Sicherheitsprobleme zu finden und zu beheben.
• Verschlüsselung: Verschlüsseln Sie ruhende und übertragene Daten mit starken Algorithmen.

Verwenden Sie eine einfache und klare Sprache für die Einwilligungserklärung, die angibt, wie Benutzerdaten verwendet werden. Seien Sie transparent, dass die Einwilligung freiwillig, informiert und spezifisch erfolgt ist und jederzeit widerrufen werden kann. 

• Einwilligungserklärungen sollten klar und prägnant sein, damit Benutzer verstehen, womit sie einverstanden sind.
• Die Einwilligung dient einem bestimmten Zweck und stellt keine allgemeine Zustimmung dar.
• Die Einwilligung muss ein klares „Ja“ sein. 
• Die Einwilligung ist eine Option und niemals eine erzwungene Voraussetzung.
• Nutzer können ihre Einwilligung jederzeit problemlos widerrufen.

Die Datenschutz-Grundverordnung (DSGVO) legt bestimmte Rechte fest, die betroffenen Personen (Einzelpersonen) in Bezug auf ihre personenbezogenen Daten haben. Ihr SaaS-Unternehmen und Ihre Plattform müssen diesen Rechten Rechnung tragen. 

• Das Recht auf Auskunft: Sie sind verpflichtet, Anfragen von Nutzern darüber zu beantworten, ob Sie ihre Daten verarbeiten, und ihnen eine Kopie davon zur Verfügung zu stellen.
• Das Recht auf Berichtigung: Sie müssen Maßnahmen ergreifen, wenn Personen die Berichtigung ihrer personenbezogenen Daten verlangen.
• Recht auf Einschränkung der Verarbeitung: Einer Anfrage auf Einschränkung der Verarbeitung ihrer Daten in bestimmten Situationen, z. B. wenn sie die Richtigkeit der Daten bestreiten, sollte stattgegeben werden.
• Widerspruchsrecht: Personen können der Verwendung ihrer Daten für Direktmarketing widersprechen. Dies ist ein Beispiel für die Art der Verarbeitung, die sie ablehnen können.
• Recht auf Löschung („Recht auf Vergessenwerden“): Wenn Nutzer die Löschung ihrer personenbezogenen Daten verlangen, haben sie in bestimmten Situationen, z. B. wenn die Daten nicht mehr benötigt werden, das Recht darauf, dass diesem Antrag stattgegeben wird. 
• Recht auf Datenübertragbarkeit: Personen können eine Kopie ihrer Daten in einem strukturierten, maschinenlesbaren Format anfordern und haben das Recht, diese Daten an einen anderen Verantwortlichen zu übermitteln.

DSARs (Anträge auf Datenauskunft) erfordern klare, dokumentierte Verfahren, die festlegen, wer verantwortlich ist, wie Anträge verifiziert werden und welche Informationen bereitgestellt werden.

Mitarbeiter sollten geschult und darauf vorbereitet sein, DSARs gemäß der DSGVO zu bearbeiten und innerhalb eines Monats nach Erhalt zu beantworten. In komplexen Fällen ist eine Bearbeitungszeit von bis zu drei Monaten akzeptabel. Um diesen Prozess zu optimieren, sollten Sie die Verwendung eines DSAR-Management-Tools in Betracht ziehen.

Die Einhaltung der Rechte der betroffenen Personen trägt auch dazu bei, Vertrauen bei den Nutzern zu schaffen und Ihr Engagement für den Datenschutz zu demonstrieren.

Wenn Ihre SaaS-Plattform große Mengen personenbezogener Daten verarbeitet oder Aktivitäten mit hohem Risiko durchführt, sollten Sie die Benennung eines DSB in Erwägung ziehen. Obwohl es nicht zwingend erforderlich ist, wird die Benennung eines Datenschutzbeauftragten empfohlen.

Die wichtigsten Aufgaben eines DSB:

• Das Unternehmen über seine Datenschutzpflichten informieren.
• Als Ansprechpartner für die Aufsichtsbehörde und die betroffenen Personen fungieren.
• Mit der Aufsichtsbehörde zusammenarbeiten.
• Als Fachexperte für Datenschutz-Folgenabschätzungen (DSFA) fungieren.
• Die Einhaltung der DSGVO und anderer Datenschutzgesetze gewährleisten.

Es sollte einen Plan für die Meldung von Datenpannen geben. Im Falle einer Datenpanne müssen die zuständigen Behörden innerhalb von 72 Stunden und betroffene Personen unverzüglich benachrichtigt werden, wenn ihre Rechte und Freiheiten gefährdet sind. 

Plan zur Reaktion auf Datenschutzverletzungen:

• Identifizierung von Vorfällen: Erstellen Sie Kriterien zur Identifizierung einer Datenpanne. Legen Sie eindeutig fest, welche Vorfälle Ihren Reaktionsplan auslösen.
• Eindämmung: Es sollten Verfahren zur Verhinderung weiterer Schäden und zur Eindämmung der Sicherheitsverletzung vorhanden sein, wie z. B. das Ändern von Passwörtern, das Schließen von Sicherheitslücken und die Isolierung von Systemen.
• Bewertung: Bewerten Sie die Schwere der Sicherheitsverletzung und stellen Sie fest, welche Daten kompromittiert wurden. Ermitteln Sie die Anzahl der betroffenen Personen und bewerten Sie die potenziellen Risiken, die sich daraus für ihre Rechte ergeben.
• Meldung: Sollte es zu einer Datenschutzverletzung kommen, die die Rechte von Personen gefährden könnte, informieren Sie die Behörden innerhalb von 72 Stunden. Informieren Sie die betroffenen Personen, wenn die Verletzung ein hohes Risiko für ihre Rechte und Freiheiten darstellt, und geben Sie ihnen klare und prägnante Informationen über die Verletzung und die Maßnahmen, die sie zu ihrem eigenen Schutz ergreifen können. Es ist immer besser, auf Nummer sicher zu gehen und sie auf dem Laufenden zu halten.
• Untersuchung und Fehlerbehebung: Verschaffen Sie sich nach gründlicher Untersuchung ein klares Bild von der Ursache und ergreifen Sie geeignete Maßnahmen, um zukünftige Sicherheitsverletzungen zu verhindern.