Ausgangslage

Software as a Service (SaaS) ist heutzutage in aller Munde. Es handelt sich jedoch keinesfalls um eine neue Erfindung. Dieses Konzept wird beispielsweise schon seit Jahren beim webbasierten E‑Mail-Dienst genutzt. Das SaaS-Modell wird im Rahmen der zukünftigen Entwicklungen zur Digitalisierung der Gesellschaft allerdings aus verschiedenen Gründen immer weiter an Bedeutung gewinnen. Zieht es ein Unternehmen in Betracht, SaaS-Services in Anspruch zu nehmen, so darf es sich nicht nur auf die Vorteile, insbesondere die Kosteneffizienz, konzentrieren, sondern muss auch die Nachteile und die rechtliche Seite beachten.

Was ist SaaS und wie funktioniert es?

SaaS ist ein Teilbereich des Cloud-Computings. Es handelt sich um eine Auslagerung von Geschäftsbereichen (Outsourcing). Dabei stellt ein externer Dienstleister seine eigenen Anwendungen für die Benutzer zentral über das Internet bereit. Die Software und die IT-Infrastruktur werden beim Dienstleister betrieben. Somit spart der Benutzer sich die Installation der dazu erforderlichen Hard- und Software. Ebenso sind die Wartung und Aktualisierung der Programme Sache des Dienstleisters. Die Benutzer müssen im Normalfall lediglich Accounts anlegen und für die Nutzung Gebühren zahlen, um dann die Softwares über den Webbrowser steuern zu können.

Vorteile

Durch das SaaS-Konzept können nun auch aufwendigere Softwares über das Cloud-Computing angeboten werden. Dies bietet unter anderem die folgenden Vorteile für Unternehmen und hat zu neuen Geschäftsmodellen geführt.

Entlastung der Angestellten

Für Unternehmen ist dieses Modell vor allem bei der Anschaffung von ERP-Systemen zur Steuerung von Geschäftsprozessen interessant. Typische Anwendungsbereiche sind beispielsweise die Finanzbuchhaltung, das Auftragsmanagement oder die Personalplanung. Die Dienstleister brauchen nicht mehr Softwarepakete zu verschicken und die dazu nötigen Lizenzen zu vergeben. Die Angestellten eines Unternehmens müssen nur online gehen, um die Software zu nutzen. Dies stellt eine Entlastung der Angestellten dar. Die Angestellten müssen sich weder um die Installation, die Lizenzen, Updates noch die Wartung der Softwares kümmern, sondern können sich internen Angelegenheiten widmen.

Mobilität

Die Nutzung der Anwendungen ist grundsätzlich nicht mehr an einen Arbeitsplatz gebunden. Dies ist bestenfalls vertraglich abzusichern. Die Anwendungen können mobil oder vom Home Office genutzt werden, was insbesondere in der heutigen unsicheren Zeit des COVID-19 von Vorteil ist. Im Falle einer möglichen zweiten Welle kann ein Unternehmen schneller reagieren und die Angestellten in das Home Office schicken, da sie mit ihren Anmeldedaten die Anwendungen problemlos auch von zuhause nutzen können.

Erleichterungen für kleinere Unternehmen

Viele SaaS-Modelle werden heutzutage nicht mehr pauschal, sondern pro Nutzer bezahlt. Dies ist insbesondere für kleinere Unternehmen eine positive Entwicklung, da die Softwarelizenzen verhältnismäßig teuer sind. Für sie ist – unter anderem – ebenfalls von Vorteil, dass oftmals allen Nutzern dieselben Sicherheitsstandards geliefert werden, sodass es nicht von Belang ist, welche Größe ein Unternehmen hat. Bei vielen Anbietern werden die Daten dezentral gespeichert. Ein Vorteil dabei wäre, dass bei lokalen Hardware- oder Softwareproblemen seltener Daten verloren gehen. Die Aufbewahrung und Archivierung sollten jedoch alle Unternehmen vertraglich regeln um den rechtlichen Vorschriften, insbesondere betreffend Aufbewahrungspflichten, zu genügen.

Nachteile

Nebst den vielen Vorteilen bietet SaaS jedoch auch unter anderem die folgenden Problemfelder und Nachteile, welche das Unternehmen bedenken muss.

Fehlende Kontrolle

Die Firmendaten sind im Falle einer dezentralen Speicherung auf den Servern des Betreibers nicht mehr im Besitz des Unternehmens. Der Betreiber sollte höchste Verschwiegenheit und Sicherheit gewährleisten. Das Unternehmen hat aber trotzdem nicht mehr die unmittelbare Kontrolle über die Daten und deren Schutz, sollte es zu Hackerangriffen oder Datenlecks kommen. Allerdings ist hervorzuheben, dass die zunehmende Beliebtheit dieses Geschäftsmodells dazu führt, dass die Betreiber Probleme bei der Datensicherheit und der Performance aufgrund des herrschenden Konkurrenzdrucks schneller beseitigen.

Einstellung der Services

Es könnte dazu kommen, dass ein SaaS-Anbieter insolvent wird und seine Services einstellt. Dadurch kann das Unternehmen die Anwendungen nicht mehr benutzen. Infolgedessen könnte es zu Datenverlusten kommen. In der Realität ist das allerdings selten der Fall. Die Anbieter gewähren den Benutzern rechtzeitig die Möglichkeit, ihre Daten auf anderen Datenträgern oder Servern zu speichern.

Abhängigkeit

Zu den weiteren Nachteilen gehört unter anderem, dass das Unternehmen von einer schnellen und konstanten Internetverbindung und den Leistungen des Anbieters abhängig ist. Das Business Continuity Management (BCM) ist somit ebenfalls ein zu regelnder Vertragsgegenstand.

Rechtliche Vorgaben

Bei der Erwägung von SaaS darf die rechtliche Seite nicht vergessen werden. Es gibt dazu unter anderem die untenstehenden rechtlichen Vorgaben, welche das Unternehmen gegebenenfalls beachten muss.

Outsourcing

Unternehmen, die SaaS nutzen, gelten als Outsourcinggeber und die SaaS-Anbieter als Outsourcingnehmer. Art. 10a DSG hält fest, dass die Bearbeitung von Personendaten Dritten übertragen werden kann, sofern keine gesetzliche oder vertragliche Geheimhaltungspflicht dies verbietet. Es ist das Strafrecht, insbesondere das Berufsgeheimnis (Art. 321 StGB), zu beachten, welches beispielsweise beim Outsourcing von Anwalts- oder Gesundheitsdaten relevant ist. Der Outsourcingnehmer gilt als dessen Hilfsperson, weshalb der Outsourcinggeber dafür verantwortlich ist, dass dieser die Daten nur so bearbeitet, wie er es selbst tun dürfte. Außerdem muss sich der Outsourcinggeber vergewissern, dass jener die Datensicherheit gewährleistet.

Auslagerung ins Ausland

Bei der Auslagerung ins Ausland ist Art. 6 DSG zu berücksichtigen. Es muss sichergestellt werden, dass dasselbe Datenschutzniveau eingehalten wird wie in der Schweiz. Für Anbieter, die der EU-DSGVO oder dem Swiss US Privacy Shield unterstehen, gilt die Vermutung desselben Datenschutzniveaus. Für andere Anbieter sind spezifische Abklärungen und technische und organisatorische Maßnahmen zu treffen. Das Outsourcing vom Berufsgeheimnis geschützter Daten ins Ausland ist problematisch. Der Outsourcingnehmer gilt hier nicht als Hilfsperson, weshalb grundsätzlich eine Einwilligung beim Betroffenen eingeholt werden müsste. Das muss mit den jeweiligen Aufsichtsbehörden geklärt werden. Weiter muss geprüft werden, ob es weitere Vorgaben gibt, welche eine Auslagerung ins Ausland verhindern würden, beispielsweise in Rundschreiben der FINMA, des BAGs oder in der elektronischen Patientendossier-Gesetzgebung.

Fazit

Die Wahrscheinlichkeit, dass Unternehmen ihre IT-Aktivitäten zunehmend an spezialisierte SaaS-Dienstleister auslagern, steigt zunehmend. Dabei müssen verschiedene Fragen vertraglich geregelt werden, um das Funktionieren des Systems sicherzustellen. Dazu zählen unter anderem die Archivierung, die Aufbewahrung, das BCM und die Mobilität. Zu beachten ist zudem, dass es sich dabei um ein Outsourcing handelt und deshalb unter anderem die Sorgfalts- und Archivierungspflichten sowie die Vorschriften bei Auslagerungen ins Ausland eingehalten werden müssen.