Zum Hauptinhalt springen
Compliance Allgemein

SaaS (Software as a Service)

Ein Cloud-basiertes Bereitstellungsmodell, bei dem Software über das Internet als Dienstleistung genutzt wird.

Software as a Service (SaaS) ist ein Cloud-Bereitstellungsmodell, bei dem Anwendungen nicht lokal installiert, sondern über das Internet bereitgestellt und genutzt werden. Der Anbieter betreibt die Infrastruktur, übernimmt Updates, Wartung und Sicherheit – der Nutzer greift über einen Browser oder eine API auf die Software zu. Im Compliance-Umfeld werden SaaS-Lösungen für Datenschutz, Informationssicherheit, Risikomanagement und Nachhaltigkeitsberichterstattung zunehmend eingesetzt.

Aus datenschutzrechtlicher Sicht ist der SaaS-Anbieter in der Regel ein Auftragsverarbeiter nach Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) ist zwingend erforderlich. Compliance-Beauftragte müssen prüfen, wo die Daten verarbeitet werden (EU/EWR oder Drittland), welche Sub-Auftragsverarbeiter eingesetzt werden und welche TOMs der Anbieter nachweist. Für sicherheitskritische Anwendungen kann der C5-Kriterienkatalog des BSI als Prüfmaßstab herangezogen werden.

Ein wesentlicher Vorteil von SaaS-Compliance-Lösungen liegt in der kontinuierlichen Aktualisierung: Der Anbieter kann regulatorische Änderungen zentral einpflegen, ohne dass Kunden aufwändige Updates durchführen müssen. Compliance-Beauftragte sollten jedoch die Abhängigkeit vom Anbieter (Vendor Lock-in) und die Möglichkeiten zur Datenmitnahme (Portabilität) bei einem Anbieterwechsel im Blick behalten.

Rechtliche Grundlage

Art. 28 DSGVO, C5-Kriterienkatalog des BSI

Praxisbeispiel

Ein Unternehmen wechselt von einer lokalen Datenschutz-Software auf eine SaaS-Compliance-Lösung. Vor der Einführung prüft der Compliance-Beauftragte den AVV des Anbieters, überprüft den Serverstandort (EU-Rechenzentrum), fordert ein aktuelles C5-Testat an und klärt die Schnittstellen zu bestehenden Systemen. Nach der Einführung profitiert das Unternehmen von automatischen Gesetzesänderungs-Updates und einer mandantenfähigen Verwaltungsumgebung ohne eigene IT-Infrastruktur.

Häufige Fragen

Folgende Punkte sind zu prüfen: Abschluss eines AVV nach Art. 28 DSGVO, Serverstandort (EU/EWR bevorzugt), Sub-Auftragsverarbeitende, TOMs-Nachweis (z. B. ISO 27001-Zertifikat, C5-Testat), Regelungen zur Datenlöschung nach Vertragsende und Portabilität der eigenen Daten.
Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein Prüfrahmenwerk des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er definiert Mindestanforderungen an die Informationssicherheit von Cloud-Diensten. Ein C5-Testat (Typ 1 oder Typ 2) durch einen unabhängigen Wirtschaftsprüfer signalisiert ein nachgewiesenes Sicherheitsniveau.
Art. 20 DSGVO gewährt betroffenen Personen ein Recht auf Datenportabilität. Für Unternehmenskunden sollte der AVV konkrete Regelungen zur Datenrückgabe und -löschung nach Vertragsende enthalten. Best Practice ist ein standardisiertes Exportformat (z. B. CSV, XML) und eine definierte Übergangsphase von mindestens 30–90 Tagen nach Vertragsende.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Mandantenfähigkeit Compliance-Management-System (CMS) Auftragsverarbeitung (AVV) Technische und organisatorische Maßnahmen (TOMs) Drittlandübermittlung
Zurück zum Glossar