Technologische, politische und rechtliche Fragen wirken sich heutzutage auf den Schutz der Privatsphäre und den Datenschutz aus. Hardware und Software benötigen immer mehr persönliche Informationen, um korrekt zu funktionieren.Â
Das Internet der Dinge zum Beispiel öffnet eine grosse Lücke zwischen Technologie und Gesetzgebung. Während Software- und Hardware-Unternehmen riesige Sprünge machen, reagiert die Gesetzgebung nur langsam. Die Ausarbeitung von Vorschriften gegen Datendiebstahl und -betrug wird immer schwieriger.
Der Fussabdruck, den Sie mit Ihren persönlichen Daten hinterlassen, ist gross. Unabhängig von der Nische speichern die meisten Unternehmen zumindest einige identifizierbare oder sensible Informationen über Sie. Von Gesundheits- bis zu Finanz-Apps, von standortbezogenen Diensten bis zum Surfen im Internet – die Unternehmen sammeln sie aus verschiedenen Gründen.
Datenschutz ist ein globales Thema und unterliegt anerkannten internationalen Rechtsvorschriften. In einigen Ländern gibt es jedoch lokale Regulierungsbehörden, die mit Datenschutzgesetzen arbeiten.
Jedes Gebiet geht das Thema im landesspezifischen Kontext an. In diesem Sinne können politische Systeme und Zugehörigkeiten die Politikgestaltung durcheinander bringen, wenn sie keine universelle Grundlage hat. Lokale Lösungen sind zwar nicht zwangsläufig falsch, aber dieser zersplitterte Ansatz ist schon seit langem ein Problem.
In diesem Artikel werden einige rechtliche Bereiche des Datenschutzes erörtert. Er geht auch auf die Art und Weise ein, wie neue Gesetze die Geschäftstätigkeit beeinflussen.
Warum Datenschutz für SaaS so wichtig ist
Was ist Datenschutz?
In manchen Fällen werden die Begriffe “Privatsphäre” und “Datenschutz” synonym verwendet. Um genauer zu sein, sollten wir uns zunächst den Unterschied zwischen diesen beiden Begriffen vergegenwärtigen.
Die Privatsphäre ist das Recht auf Gedanken- und Gewissensfreiheit sowie das Recht, den eigenen Ruf und das Familienleben zu schützen. Kurz gesagt, es ist das Grundrecht auf Würde und Autonomie.Â
Das scheint eine einfache Erklärung zu sein, oder? Vom rechtlichen Standpunkt aus gesehen ist die Privatsphäre jedoch nicht absolut. Das Recht geht nicht vor, wenn es der nationalen Sicherheit, der öffentlichen Sicherheit oder der freien Meinungsäußerung widerspricht.
Beim Datenschutz hingegen geht es um die faire und ordnungsgemässe Verwendung personenbezogener Daten. Er ist ein spezifisch geregelter Bereich der Privatsphäre im weiteren Sinne. Datenschutzgesetze befassen sich mit der Art und Weise, wie Dritte Informationen über Personen verwenden. Dieses Konzept bezieht sich auf die Methoden der Informationsverarbeitung (Weitergabe, Speicherung, Verwendung usw.).
Die Einhaltung der Datenschutzgesetze ist auf die geschäftliche und kommerzielle Nutzung beschränkt. Persönliche Konten, Aktivitäten in sozialen Medien und Briefe fallen nicht darunter. Informationen, die für den Haushalt, die Familie oder persönliche Zwecke verwendet werden, müssen nicht den Vorschriften entsprechen.
Kurz gesagt, der Begriff “Privatsphäre” hat eine breitere Bedeutung. Der Datenschutz ist eine gesetzgeberische Massnahme innerhalb dieses allgemeinen Konzepts.
Wie universell ist das Datenschutzrecht?
Wenn man den schieren Umfang der universellen Datenschutzbestimmungen begreift, kann man sich fragen, ob es überhaupt möglich ist, die entsprechenden Richtlinien angemessen zu verfassen. Die Vielfalt der Organisationen, Situationen und Diplomatien würde Ihnen als Entscheidungsträger in diesem Bereich nicht viel Vertrauen geben.
Hier gibt es keine Einheitslösung und keine absoluten Regeln. Doch die Technik wartet nicht, und persönliche Daten werden immer angreifbarer.
Universelle Datenschutzbestimmungen sind aus mehreren Gründen wichtig. Zunächst einmal fördert der freie Informationsaustausch über Grenzen hinweg den internationalen Handel. Er stärkt das Vertrauen zwischen den Akteuren auf der ganzen Welt.Â
Ein weiterer wichtiger Grund für die Entwicklung von Datenschutzpraktiken ist die Innovation. Wenn die Nutzer wissen, dass Unternehmen ihre privaten Informationen nicht missbrauchen werden, sind sie offener für unkonventionelle Lösungen.Â
Datenschutz in verschiedenen Ländern
Alle Länder haben einige gemeinsame Standards für die Informationssicherheit. In einigen Ländern werden auch lokale Gesetze erlassen und Regulierungsbehörden eingerichtet. Diese Behörden folgen globalen Praktiken und sind mobiler, wenn es darum geht, auf regionale Entwicklungen zu reagieren.
In verschiedenen Ländern gibt es bereits Gesetze und Vorschriften. Der Privacy Act (Kanada), das chinesische Cybersicherheitsgesetz, eDSG in der Schweiz und der Data Protection Act (Vereinigtes Königreich) sind nur einige der bekanntesten davon.
Neben den bestehenden Gesetzen gibt es auch Länderbehörden, die die lokale Szene regulieren. Nationale Datenschutzbehörden (EU), der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Deutschland) und das Information Commissioner‘s Office (ICO, Vereinigtes Königreich) sind einige von ihnen.
Zentrale Konzepte
In den DV-Gesetzen und -Verordnungen herrscht im Allgemeinen Einigkeit über einige grundlegende Konzepte und deren Beschreibungen. Sehen wir uns an, was jeder dieser Begriffe umfasst und wie sie im SaaS-Kontext wirken.Â
Persönliche Daten
Personenbezogene Daten sind Informationen über eine identifizierbare Person. Manche Leute machen den Fehler zu denken, dass diese Kategorie nur private oder anonyme Informationen enthält. Sie kann sensible Daten wie Adresse, Kreditkarte und Sozialversicherungsnummer enthalten. Der Grossteil dieser Kategorie umfasst jedoch allgemeines Wissen wie Name, Familienname und Geschlecht.Â
VerarbeitungÂ
Die Verarbeitung ist das, was man mit den Daten machen kann. Sammeln, Aufzeichnen, Speichern, Ãœbertragen, Analysieren und Kombinieren sind alles Verarbeitungsmethoden. Die Datenschutzgesetze befassen sich in der Regel mit der Informationsverarbeitung und regeln deren Sicherheit und Schutz.Â
Gegenstand der DatenÂ
Die betroffene Person ist eine natürliche Person, deren Daten gesammelt und verarbeitet werden.Â
ControllerÂ
Der für die Verarbeitung Verantwortliche ist die Partei, die Informationen verarbeitet. Dies kann eine Organisation oder eine Person sein, z. B. der Eigentümer eines Unternehmens. Der für die Verarbeitung Verantwortliche kümmert sich um alle Fragen der Einhaltung der Vorschriften.Â
ProzessorÂ
Der Datenverarbeiter ist ein Dritter, der im Auftrag des für die Verarbeitung Verantwortlichen und nach dessen Anweisungen handelt. Wenn auch in geringerem Umfang, hat auch diese Partei verbindliche rechtliche Verpflichtungen im Zusammenhang mit den Daten.Â
Nachdem wir nun die Definitionen kennen, wollen wir anhand eines SaaS-Unternehmens sehen, wie diese Begriffe anzuwenden sind.
- Das Unternehmen ist der für die Verarbeitung Verantwortliche, der die Kundendaten verarbeitet.
- Der Kunde ist das Datensubjekt
- Eine Finanzanwendung eines Drittanbieters innerhalb der Software ist der Prozessor
Die für die Verarbeitung Verantwortlichen müssen Verfahren und Vorschriften einhalten, um sicherzustellen, dass die Verarbeitung im Einklang mit internationalen und lokalen Gesetzen erfolgt. Ihr erstes Ziel sollte es sein, Vertrauen zwischen den betroffenen Personen und dem Unternehmen aufzubauen.Â
GDPR/DSGVO
Die Allgemeine Datenschutzverordnung (GDPR resp. DSGVO) ist ein umfassendes universelles Gesetz. Sie gilt für Organisationen in der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR).
Im Jahr 2016 ersetzte diese Verordnung die Datenschutzrichtlinie. Letztere hatte wenig oder keine Kontrolle über die digitale Datenverarbeitung und das Internet. In der GDPR spielen technologische Entwicklungen eine zentrale Rolle. Die EU-Strategie für den digitalen Binnenmarkt behandelt als Teil der “ePrivacy-Verordnung” alle technologiebezogenen Fragen.
In den zwei Jahren zwischen der Verabschiedung und der Umsetzung der Verordnung mussten alle für die Verarbeitung Verantwortlichen sicherstellen, dass ihre Praktiken der Verordnung entsprechen. Die DSGVO hat seither viele internationale Unternehmen beeinflusst und als neue Leitlinie für Datenschutzstandards fungiert.Â
LGPD
Vor dem Lei Geral de Proteção de Dados (LGPD) gab es in Brasilien 40 verschiedene Gesetze zum Schutz personenbezogener Daten. Dieses neue Gesetz vereinheitlicht alle widersprüchlichen Gesetze in einem einfachen, vollständigen Dokument. Es trat im September 2020 in Kraft.Â
Die LGPD gilt für alle Unternehmen mit Kunden in Brasilien, ohne Rücksicht auf den physischen Standort des Unternehmens. In diesem Sinne weist dieses Gesetz eine offensichtliche Ähnlichkeit mit der GDPR auf. Wenn Ihr Unternehmen die GDPR bereits befolgt, wird die Einhaltung der LGPD aufgrund dieser Regelung kein Problem darstellen.Â
Im Gegensatz zur EU-Verordnung gibt es im brasilianischen Pendant keine einheitliche Definition von “personenbezogenen Daten“. Die grundlegenden Compliance-Prinzipien sind jedoch ähnlich wie bei der DSGVO. Betroffene Personen haben das Recht auf:Â
- Bestätigen Sie die Verarbeitung
- Zugriff auf die Daten
- Korrigieren Sie die unvollständigen, ungenauen oder veralteten Informationen
- Anonymisieren, Sperren oder Löschen unnötiger oder übermäßiger Informationen
- Beantragen Sie die Weitergabe von Informationen an einen anderen Dienst- oder Produktanbieter
- Zustimmung zur Löschung der personenbezogenen Daten
- Informationen über die Entitäten abrufen, die Daten vom Controller erhalten haben
- darüber informiert werden, dass sie ihre Zustimmung verweigern können und welche Folgen dies haben kann
- Zustimmung widerrufen
Obwohl es unbestreitbare Ähnlichkeiten zwischen der Datenschutz-Grundverordnung und der LGPD gibt, gibt es auch ein paar Unterschiede. Die LGPD listet zehn Rechtsgrundlagen für die Datenverarbeitung auf, im Gegensatz zu den 7 im EU-Dokument.
Eine weitere Abweichung besteht darin, dass die LGPD im Falle eines Verstoßes keine restriktive Mitteilungsfrist vorsieht. Die für die Verarbeitung Verantwortlichen müssen das Problem innerhalb eines “angemessenen Zeitrahmens” melden.Â
In Brasilien sind die Strafen für Verstöße nicht so hoch wie in Europa. Der Verstoss wird mit 2 % des Umsatzes des vorangegangenen Steuerjahres bestraft, ohne Steuern. Die höchste Strafe kann 50 Millionen Reais nicht überschreiten.Â
CCPA
Das kalifornische Verbraucherschutzgesetz (CCPA) regelt Fragen des Datenschutzes zwischen Unternehmen und Privatpersonen im Bundesstaat Kalifornien. Viele Experten argumentieren, dass das Gesetz nicht nur innerhalb des Staates wirksam ist. Sie plädieren für eine stärkere Beteiligung des Bundes. Dennoch ist das Gesetz Anfang 2020 in Kraft getreten und verbessert den Datenschutzstatus der Einwohner des Bundesstaates.
Sie gilt für Unternehmen mit Sitz in Kalifornien, die mindestens eines der folgenden Kriterien erfüllen:
- Unternehmen mit einem Bruttoumsatz von 25 Millionen Dollar
- Unternehmen, die Daten von 50.000 oder mehr Verbrauchern verarbeiten
- Unternehmen, die mehr als die Hälfte ihres Jahresumsatzes mit der Datenverarbeitung erzielen
Ein Vergleich zwischen CCPA und GDPR bringt einige Unterschiede zutage. Zunächst einmal ist das kalifornische Datenschutzgesetz spezifischer. Zweitens deckt es nur die Informationen ab, die ein Verbraucher direkt bereitgestellt hat. Gekaufte Daten sind nicht geschützt. Drittens können die Verbraucher ihre Zustimmung verweigern, wenn sie nicht wollen, dass ihre Daten an Dritte weitergegeben werden.
Es gibt eine 30-tägige Frist, in der die Unternehmen die Möglichkeit haben, nach Erhalt einer Benachrichtigung über einen Verstoss nachzukommen. Der Verstoss zieht eine Strafe von 7.500 Dollar pro Datensatz nach sich, die sich jedoch schnell summiert.Â
Unternehmen sollten auch wissen, dass ein Einwohner im Falle eines Verstoßes eine Sammelklage gegen das Unternehmen einreichen kann. Dieses Gesetz gibt den Verbrauchern mehr Möglichkeiten, ihre persönlichen Daten zu schützen.
Wie sich der Datenschutz auf die Wirtschaft im Jahr 2024 auswirkt
Die Datenschutzvorschriften in ihrer derzeitigen, technologiegestützten Form stellen weiterhin eine Herausforderung für alle Beteiligten dar. Behörden stehen vor der schwierigen Aufgabe, die Vielzahl von Szenarien, in denen die Gesetze Anwendung finden, zu antizipieren und effektive Durchsetzungsmethoden zu entwickeln. Die Bewertung ihrer Effizienz in der realen Welt bleibt komplex.
Für stationäre Unternehmen mag die Durchsetzung dieser Vorschriften relativ einfach sein. SaaS-Unternehmen hingegen werfen aufgrund der sich schnell wandelnden Natur des Internets und der Technologie weiterhin erhebliche Probleme auf.
Unternehmer sind oft frustriert über die unklaren und potenziell kostspieligen Folgen einer Nichteinhaltung. Der Aufbau eines robusten Datenschutzrahmens für ein Unternehmen kann aus mehreren Gründen schwierig sein.
Zunächst müssen Unternehmen spezifische Fragen formulieren, um sicherzustellen, dass sie die Ziele der Vorschriften erreichen. Diese Fragen zu identifizieren ist der erste Schritt. Zweitens ist es nahezu unmöglich, die Regeln über verschiedene Branchen und Geschäftsmodelle hinweg zu standardisieren. Drittens sind die ständigen Änderungen und Aktualisierungen der Vorschriften schwer zu verfolgen.
Die Vermeidung von Verstössen sollte jedoch nicht der einzige Anreiz zur Einhaltung der Datenschutzgesetze sein. Wenn Unternehmen die Richtlinien als Rahmen zur Schaffung von Markentreue und Kundenvertrauen betrachten, können sie diese Vorschriften als Vorteil nutzen. Diese Perspektive kann hilfreich sein, wenn man sich mit den oft komplexen juristischen Anforderungen auseinandersetzt. Fragen Sie sich, ob es Ihr oberstes Ziel ist, eine vertrauenswürdige Marke zu sein.
Was Ihr Unternehmen tun sollte
Betrachten wir alle Herausforderungen im Zusammenhang mit Datenschutz und Strafverfolgung. In diesem Zusammenhang können SaaS-Unternehmen einige Schritte unternehmen, um einen reibungslosen Übergang zu gewährleisten.
Schritt 1.
Nehmen Sie sich einen Anwalt, lesen Sie das Gesetz und befolgen Sie die Richtlinien. Wir können gar nicht genug betonen, wie wichtig dieser Schritt ist. Dieser entscheidende Schritt ist der “Ground Zero“, den Sie als erstes machen müssen.
Schritt 2.
Berücksichtigen Sie die Grundregeln der Verordnung und entwickeln Sie Ihre eigene Version der Einhaltung. Es gibt keine Universallösungen. Wie sehen die Datenschutz bestimmungen Ihres Software Partners aus? Sind diese in Europa gespeichert oder ist es nur ein Server in Frankfurt der die Daten mit dem Server in den USA spiegelt?
Schritt 3.
Machen Sie sich bewusst, welche Verbraucherdaten Sie besitzen und wie Sie sie verwenden. Auf diese Weise können Sie Ihre Ziele bei der Datenerhebung besser verstehen und klären.
Schritt 4.
Sorgen Sie für eine klare und präzise Kommunikation mit den Nutzern. Seien Sie transparent darüber, welche Informationen Sie sammeln und wie Sie sie verarbeiten.
Schritt 5.
Geben Sie den Nutzern mehr Kontrolle über ihre Daten. Sie müssen sich bei den Informationen, die sie freigeben, sicher fühlen können.
Schritt 6.
Die Datenverarbeitung ist nicht nur auf Ihr Unternehmen beschränkt. Stellen Sie sicher, dass auch Dritte, die Ihre Unternehmensdaten verwenden, die Vorschriften einhalten.
Schlussfolgerung
Datenschutz ist eine fortschreitende Herausforderung für alle Innovatoren, Gesetzgeber und Nutzer. SaaS-Unternehmen nehmen unter diesen Parteien eine besondere Stellung ein, da sie mit einer grossen Menge an Kundeninformationen umgehen. Datenschutz für SaaS Unternehmen ist daher etwas vom wichtigsten.
Die Bedeutung einer exzellenten Datenschutzstrategie für Softwareunternehmen wird umso offensichtlicher, je mehr wir uns ihrer Anfälligkeit bei der Datenerfassung und -verarbeitung bewusst werden.
Das Vertrauen der Nutzer ist der entscheidende Faktor für den Erfolg von SaaS. Compliance ist also keine rechtliche Hürde. Sie ist die Grundlage für bessere und transparentere Geschäftsabläufe. Mit Zoho sind SaaS Kunden auf der sichern Seite, mit voller Transparenz informiert das Unternehmen über den Schutz der Daten, welche in Ihren SaaS Applikationen anfallen.