Globale SaaS-Einhaltung: Eine vollständige Audit-Checkliste

Das Schöne an Unternehmen, die SaaS online verkaufen, ist, dass sie von Anfang an global agieren können. Jeder, der über einen Internetanschluss verfügt, kann ein Kunde werden, so dass jedes Land ein potenzieller Markt für Ihre Produkte sein könnte.

Die SaaS-Branche ist voller Möglichkeiten. Aber sie ist auch ein riesiges, komplexes Umfeld.

Als mit COVID-19 ein Großteil unseres Lebens ins Internet verlagert wurde, folgten rasch neue globale Datenvorschriften. Über 132 Länder haben inzwischen eigene Gesetze und Vorschriften erlassen.

Sind Sie mit den neuesten Richtlinien auf dem Laufenden? Gehen Sie unsere Checkliste für SaaS-Audits durch und machen Sie sich auf den Weg, ein datenschutzkonformes Unternehmen zu werden.

Was ist nötig, damit Ihr SaaS-Unternehmen die Vorschriften einhält?

Konformität" bedeutet, dass Ihr Unternehmen oder Ihr Produkt die Vorschriften einer Zertifizierungsorganisation erfüllt, die davon abhängt, wo Sie und Ihr Kunde ansässig sind.

Ein globales, datenschutzkonformes Unternehmen zu sein, kann in einem lokalen Kontext relativ einfach sein. Wenn Ihre Reichweite jedoch größer ist, werden die Dinge komplexer. Wenn Sie beispielsweise auf mehreren Märkten tätig sind, könnte dies die Einhaltung vieler verschiedener Gesetze, Richtlinien und Vorschriften erfordern, je nachdem, wo Sie und Ihre Kunden sich befinden.

In der SaaS-Branche geht es beim globalen Datenschutz darum, wie Ihr Unternehmen mit aktuellen und potenziellen Kunden und deren Daten umgeht - d. h. wie Sie mit deren sensiblen Informationen umgehen und deren Datenschutzrechte wahren.

Warum ist Compliance wichtig?

Die aktuelle globale Landschaft

Jeden Tag teilen Millionen von Kunden ihre persönlichen Daten mit Unternehmen auf der ganzen Welt. Für die meisten SaaS-Anwendungen und Unternehmen ist dies unerlässlich, da die Informationen für Abonnements und Kontodienste erfasst werden müssen.

Die Erfassung dieser Daten bringt jedoch eine große Verantwortung für die Unternehmen mit sich. Die Unternehmen von heute müssen sicherstellen, dass die persönlichen Daten ihrer Kunden sicher gespeichert und behandelt werden und dass sie ein angemessenes Maß an Privatsphäre wahren. Wird dies nicht beachtet, sind die Informationen anfällig für Sicherheitsverletzungen und Hacks. Es kann auch zu rechtlichen Problemen und mangelndem Vertrauen der Kunden führen.

Die Möglichkeit der SaaS-Startup-Finanzierung

Seitdem Covid die Welt erobert und bewiesen hat, dass Sicherheit ein erfundenes Konzept ist, ist die Finanzierung von SaaS-Startups eher ein Überlebensplan geworden. Es ist möglich, aus bestehenden Prozessen Kapital zu schlagen, solange man es geschafft hat, eine Einkommensinfrastruktur zu schaffen. Dieser Gedanke ist eng mit der Einhaltung von Vorschriften verknüpft, da es ohne vollständige Einhaltung der Vorschriften keine stetigen Einnahmequellen gibt. Um sich die Möglichkeit einer SaaS-Finanzierung zu sichern, müssen Entwickler daher alle Compliance-Regeln und -Vorschriften einhalten, sowohl auf lokaler als auch auf globaler Ebene, wenn sie ins Ausland expandieren wollen.

Kundenerwartungen

Wenn es um den Datenschutz geht, wollen die Verbraucher von heute, dass ihre persönlichen Informationen sicher sind. Wie eine Cisco-Umfrage aus dem Jahr 2019 zeigt, legen 32 % der Befragten großen Wert auf den Schutz ihrer Daten. Darüber hinaus sind die Kunden bereit zu handeln, wenn sie unzufrieden sind, und wechseln häufig den Anbieter.

Viele Regierungen reagieren darauf mit der Einführung strengerer Richtlinien, Gesetze und Vorschriften, so dass SaaS-Anwendungen unter Druck stehen, um sicherzustellen, dass sie die entsprechenden Anforderungen erfüllen.

Die Risiken der Nichteinhaltung von Vorschriften

Die Nichteinhaltung von Gesetzen und Vorschriften zum Schutz der Privatsphäre und der Daten kann Ihre SaaS-Lösung teuer zu stehen kommen. Die Nichteinhaltung von Datenschutzrichtlinien und -vorschriften für bestimmte Länder oder Branchen kann zu:

Erhebliche Geldbußen

Rechtsstreitigkeiten

Freiheitsentzug

In einigen Fällen kann die Nichteinhaltung der Datenschutzrichtlinien und -bestimmungen dazu führen, dass die Nutzung Ihres Produkts oder der Geschäftsbetrieb in bestimmten Gebieten, Rechtsprechungen oder Ländern untersagt wird.

Nichteinhaltung der Vorschriften: Eine Fallstudie

Ein hilfreiches Beispiel für ein globales Unternehmen, das mit Rechtsstreitigkeiten wegen Nichteinhaltung von Vorschriften konfrontiert ist, ist TikTok.

Diese beliebte Video-Sharing-Plattform gehört dem chinesischen Unternehmen ByteDance und hat weltweit mehr als 800 Millionen Nutzer. Im Jahr 2020 stuften die USA TikTok als nationale Sicherheitsbedrohung ein, weil sie befürchteten, dass die Daten der Nutzer nicht sicher seien.

Vor Gericht ging es um die Sammlung von Kinderdaten ohne Zustimmung der Eltern. Zu diesen Daten gehörten Telefonnummern, Videos, genaue Standorte und biometrische Daten.

In der ursprünglichen Sammelklage wurde behauptet, dass TikTok weder die Zustimmung der Nutzer eingeholt noch sie über die Erfassung ihrer biometrischen Daten informiert hat. Außerdem wurde behauptet, dass TikTok die Daten weitergab und davon profitierte. 

Die Forderung wurde im Namen aller minderjährigen Nutzer erhoben, unabhängig davon, ob sie aktive Konten hatten oder nicht. Im April 2021 beantragte TikTok einen Vergleich in Höhe von 92 Millionen Dollar (der jedoch noch nicht genehmigt wurde).

Obwohl es sich bei TikTok nicht um ein SaaS-Unternehmen handelt, ähneln seine globale Reichweite und die Sammlung personenbezogener Daten denen jeder SaaS-Lösung. Dieser Fall zeigt deutlich, dass Datenschutzprobleme kostspielige Folgen haben können.

5 Schritte zur Unternehmens-Compliance: SaaS Audit Checkliste

1. Informieren Sie sich über die verschiedenen Verordnungen

Es ist von entscheidender Bedeutung, sich über die neuesten Datenschutzbestimmungen auf dem Laufenden zu halten, um die Vorschriften einzuhalten bzw. einzuhalten. Dies ist besonders wichtig, wenn Sie Ihr Geschäft auf andere Länder oder Regionen ausdehnen wollen oder in einer bestimmten Branche tätig sind, da die Vorschriften sehr unterschiedlich sein können.

Wir haben einige der gängigsten und bekanntesten aufgenommen, damit Sie einen genaueren Blick darauf werfen können, aber dies ist nur eine kleine Auswahl der Datenschutzbestimmungen auf der ganzen Welt, die Ihr Unternehmen betreffen können.

Beispiele für wichtige SaaS-Compliance-Vorschriften und -Normen

Dienstleistungskontrolle 2 (SOC 2)

Service Organizational Control 2 ist ein Prüfverfahren, das auf den "Trust Services Criteria" des American Institute of Certified Public Accountants (AICPA) basiert. Unternehmen können damit prüfen, ob ihre Informationssysteme den SOC-2-Grundsätzen entsprechen.

SOC 2 wurde speziell für Unternehmen entwickelt, die Kundendaten in der Cloud speichern. Es ist daher auf fast alle SaaS-Anwendungen anwendbar und gehört zu den am weitesten verbreiteten Compliance-Rahmenwerken. Um SOC-2-konform zu werden, muss Ihr Unternehmen strenge Datenrichtlinien aufstellen und befolgen. Diese betreffen die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit aller in der Cloud gespeicherten Daten.

Allgemeine EU-Datenschutzverordnung (GDPR)

Die Allgemeine Datenschutzverordnung ist eine umfassende Rechtsvorschrift der Europäischen Union, die Einzelpersonen Datenrechte einräumt und Organisationen und Unternehmen stärker in die Pflicht nimmt. Die DSGVO hindert Unternehmen daran, zu weit zu gehen, und gibt den Bürgern die Gewissheit, dass die Unternehmen ihre Daten korrekt behandeln. Die Hauptfunktion der GDPR besteht darin, den Bürgern mehr Kontrolle über ihre Daten zu geben. Außerdem gibt sie den Aufsichtsbehörden mehr Befugnisse, um Organisationen, die gegen dieses Gesetz verstoßen, mit Geldstrafen zu belegen.

Nach der Datenschutz-Grundverordnung können EU-Bürger auf ihre Daten zugreifen, Fehler korrigieren, ihre Daten löschen, der Verarbeitung ihrer Daten widersprechen und ihre Daten exportieren. Umgekehrt verpflichtet die DSGVO die Unternehmen, Informationen über den Zweck, die Art und die Dauer der Speicherung von Daten bereitzustellen.

Unternehmen, die im Rahmen der GDPR-Richtlinien tätig sind, müssen ihre Kunden auch über Sicherheitsverletzungen informieren, sobald sie davon Kenntnis erlangen. Es müssen Schutzvorkehrungen getroffen werden, um solche Verstöße zu verhindern, und wenn dies nicht der Fall ist, drohen dem Unternehmen hohe Geldstrafen.

Selbst wenn Ihr Software-as-a-Service-Geschäft in den USA oder anderswo angesiedelt ist, ist es wichtig, die GDPR zu verstehen, da Sie möglicherweise eine gewisse Reichweite in europäischen Ländern oder mit europäischen Kunden haben.

Payment Card Industry Data Security Standard (PCI DSS)

Der 2006 eingeführte Payment Card Industry Data Security Standard ist eine Reihe von Anforderungen, die sicherstellen sollen, dass alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten. Der Standard wurde geschaffen, um die Kontrollen im Zusammenhang mit Karteninhaberdaten zu verstärken und Kreditkartenbetrug durch die Einführung strenger Sicherheitsstandards und die Verbesserung der Kontosicherheit während des gesamten Transaktionsprozesses zu verringern.

Der PCI DSS wird vom PCI SSC (Security Standards Council) verwaltet und geleitet, einem unabhängigen Gremium, das von Visa, Mastercard, American Express, Discover und JCB gegründet wurde. PCI DSS gilt für alle Unternehmen, die Daten von Karteninhabern annehmen, speichern oder übertragen, unabhängig von ihrer Größe oder der Anzahl der von ihnen abgewickelten Transaktionen.

Es gibt zwar 12 klare Bedingungen für die Erlangung des PCI DSS, aber jede davon ist mit vielen spezifischen Unteranforderungen verbunden. Die Einhaltung der Anforderungen erfordert außerdem die Annahme und Einhaltung einer spezifischen Informationssicherheitspolitik, was die Erlangung der Zertifizierung unglaublich schwierig macht.  Es gibt vier verschiedene PCI-Compliance-Stufen, die einem Unternehmen auf der Grundlage der Anzahl der jährlich verarbeiteten Transaktionen zugewiesen werden.

Kalifornisches Verbraucherschutzgesetz (CCPA)

Der California Consumer Privacy Act von 2018 bietet kalifornischen Verbrauchern mehr Datenschutzrechte und Verbraucherschutz. Die CCPA-Verordnungen enthalten Leitlinien zur Umsetzung der Datenschutzrechte für kalifornische Verbraucher und bieten mehr Kontrolle darüber, welche Informationen Unternehmen über sie sammeln und wie sie verwendet und gespeichert werden.

Außerdem haben die Verbraucher das Recht auf Löschung der über sie gesammelten personenbezogenen Daten, das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen, das Recht auf Nichtdiskriminierung bei der Ausübung dieser Rechte und das Recht auf Mitteilungen zur Erläuterung ihrer Datenschutzpolitik.

Die Internationale Organisation für Normung (ISO)

Die Internationale Organisation für Normung (ISO) erarbeitet Normen durch den Einsatz von ISO-Ausschüssen. Sie arbeitet auch mit der Internationalen Elektrotechnischen Kommission (IEC) in Fragen der elektrotechnischen Normung zusammen und stellt Kriterien für Informationssicherheitsmanagementsysteme (ISMS) bereit. Diese befassen sich mit Informationsrisiken und helfen Unternehmen, diese zu erkennen und zu bewältigen.

ISO/IEC ist keine Vorschrift im eigentlichen Sinne, sondern eine Reihe von Normen, die Sie für die Einhaltung von Sicherheitsrisiken nutzen können. Sie können sie als Ausgangspunkt für eine formale Bewertung verwenden, um eine offizielle Akkreditierung durch zertifizierte Prüfer zu erhalten. Dazu müssen Sie eine Informationssicherheitspolitik, ein Risikobewertungsverfahren und Nachweise für die Sicherheitsüberwachung vorlegen.

SaaS-Unternehmen können die ISO/IEC-Norm nutzen. Darüber hinaus kann sie auf jede Branche, jede Größe und jeden Markt angewendet werden.

Branchenspezifische Vorschriften in den U.S.A.

Neben den oben erwähnten allgemeineren oder häufig anzutreffenden Vorschriften und Standards müssen Sie mit allen anderen spezifischen Regeln vertraut sein, die für Ihre SaaS-Anwendungen in dem Land gelten, in dem Sie tätig sind. In den USA müssen Sie zum Beispiel Folgendes beachten:

1. 1. • Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen
      • New Yorker Cybersicherheitsverordnung
      • Bundesrat für die Prüfung von Finanzinstituten

2. Das Gesetz und die Datenverarbeitung

SaaS-Unternehmen müssen bei der Verarbeitung von Kundendaten auf der richtigen Seite des Gesetzes bleiben, sonst riskieren sie einen Rechtsstreit. Sie müssen sich darüber im Klaren sein, warum Sie die Daten Ihrer Kunden verarbeiten und wofür Sie sie verwenden. Schauen wir uns dies im Rahmen Ihrer SaaS-Audit-Checkliste etwas genauer an.

Datenschutz-Folgenabschätzungen

Es ist unerlässlich, eine Datenschutz-Folgenabschätzung durchzuführen. Diese Bewertung sollte die Arten von Daten, die Sie verarbeiten, den Zweck dieser Verarbeitung, die Personen, die innerhalb und außerhalb der Organisation Zugang zu den Daten haben, die Art und Weise, wie Sie die Daten Ihrer Nutzer schützen wollen, und den Zeitpunkt, zu dem Sie die Daten löschen wollen, umfassen. Das Information Commissioners Office (ICO) bietet alle notwendigen Informationen zur Erstellung Ihres eigenen DIPA, einschließlich einer Mustervorlage.

Rechtliche Begründungen und Informationen für Datenschutzrichtlinien

Als Nächstes sollten Sie sich genau überlegen, warum Sie Daten verarbeiten, und dann Ihre Kunden über Ihre Beweggründe informieren. In dieser Mitteilung sollten Sie erläutern, wie die Kundendaten verarbeitet werden, wer Zugang zu ihnen hat und wie Sie sie sichern. Legen Sie alles klar und einfach in Ihrer Datenschutzrichtlinie dar.

3. Datensicherheit

Datenschutzrichtlinien

SaaS-Anbieter müssen die Datensicherheit stets ausdrücklich erwähnen. Berücksichtigen Sie beide nachstehenden Faktoren, um die Einhaltung der Vorschriften zu gewährleisten:

1. 1. • Datenschutz durch Design

        Das bedeutet, dass Sie den Datenschutz und die Datensicherheit bereits in der Entwurfsphase eines jeden neuen Systems, Dienstes, Prozesses oder Produkts berücksichtigen. Sie müssen die Sicherheit während des gesamten Lebenszyklus aufrechterhalten.

1. 1. • Standardmäßiger Datenschutz

        Das bedeutet, dass Sie nur die Daten verarbeiten, die zur Erreichung eines bestimmten Zwecks erforderlich sind. Legen Sie fest, was das bedeutet, und informieren Sie Ihre Kunden, bevor der Prozess beginnt.

Interne Sicherheitspolitiken

Es ist wichtig, dass Sie auch eine interne Sicherheitsrichtlinie für Ihre Teammitglieder erstellen. Stellen Sie sicher, dass jeder die Prozesse und Prioritäten Ihres Unternehmens in Bezug auf Datenschutz und Sicherheit kennt.

Datenverstöße

Darüber hinaus müssen Sie über ein Verfahren verfügen, das vorschreibt, wie Sie mit Datenverstößen (oder möglichen Verstößen) umgehen. Dieser Prozess sollte regeln, wie Behörden und betroffene Personen benachrichtigt werden, und alle Benachrichtigungen sollten schriftlich erfolgen.

4. Rechenschaftspflicht und Governance

Es gibt noch ein paar weitere Dinge, die Sie auf Ihrer Checkliste für SaaS-Audits berücksichtigen sollten:

Chief Compliance Officer

Alle SaaS-Unternehmen sollten einen internen Chief Compliance Officer ernennen. Diese Person hat die Befugnis und die Verantwortung, Prozesse zu bewerten und Richtlinien zum Schutz von Kundendaten einzuführen. Er ist auch dafür verantwortlich, sich über die sich ändernden Gesetze und Vorschriften auf dem Laufenden zu halten.

Vereinbarungen zur Datenverarbeitung

Ermitteln Sie als Nächstes alle Drittanbieter, die mit den personenbezogenen Daten Ihrer Kunden umgehen. Dazu können E-Mail-Dienste, Cloud-Server oder Analysesoftware gehören. Unterzeichnen Sie mit jedem von ihnen eine Datenverarbeitungsvereinbarung. Für die meisten dieser Dienste sollte bereits ein Standarddokument vorhanden sein. Verwenden Sie nur Drittanbieterdienste, die strenge Branchen- und regionale Standards erfüllen.

Datenschutzbeauftragte

Stellen Sie sicher, dass ein Datenschutzbeauftragter ernannt wird. Die Datenschutz-Grundverordnung sieht vor, dass ein Beauftragter in alle Fragen des Schutzes personenbezogener Daten einbezogen wird. Diese Person hat ein breites Spektrum an unterschiedlichen Aufgaben. Sie ist vor Eingriffen aus dem Unternehmen geschützt und untersteht der höchsten Führungsebene. Diese Person muss über das rechtliche und technische Fachwissen verfügen, um Datenschutzbewertungen und -richtlinien zu verstehen und umzusetzen.

5. Rechte auf Privatsphäre

Die Auseinandersetzung mit den Datenschutzrechten Ihrer Kunden ist ein weiterer wichtiger Schritt bei der Vervollständigung Ihrer SaaS-Audit-Checkliste.

Verfahren zum Schutz der Privatsphäre der Nutzer

Stellen Sie sicher, dass Ihre Verfahren kundenorientiert sind. Sorgen Sie stets dafür, dass Ihre Kunden sich sicher fühlen, dass Sie ihre Daten sicher aufbewahren, und zerstreuen Sie etwaige Bedenken, indem Sie transparent über deren Verwendung informieren.

Zugang der Kunden zu Informationen über ihre persönlichen Daten

Ihre Kunden müssen herausfinden können, welche persönlichen Daten Sie oder Dritte, mit denen Sie zusammenarbeiten, über sie gespeichert haben. Sie müssen die Möglichkeit haben, unrichtige Daten zu ändern und die Löschung ihrer Daten zu verlangen.

Die Kunden müssen auch wissen, wie lange Sie ihre Daten speichern wollen und warum sie so lange aufbewahrt werden. Diese Informationen sollten frei zugänglich sein, zumindest wenn sie zum ersten Mal angefordert werden. Darüber hinaus sollten die Informationen innerhalb eines Monats nach der Anfrage des Kunden verfügbar sein.

Tipps zur SaaS-Einhaltung

Sicherstellung der Zusammenarbeit zwischen Compliance- und IT-Teams

Ihre Compliance-Abteilung oder Ihr Compliance-Beauftragter muss eng mit Ihrem IT-Team zusammenarbeiten. Es ist auch eine gute Idee, über Ihre Personalabteilung Schulungen für Ihre Mitarbeiter zu organisieren. Wenn Sie dies richtig machen, sollte die Schulung Ihnen helfen, die Vorschriften einzuhalten.

Einen Verhaltenskodex aufstellen

Erstellen Sie einen Verhaltenskodex für Ihr spezifisches Compliance-Programm, um dessen Zweck klar zu definieren. Dieser Kodex stellt sicher, dass das Verhalten Ihres Teams mit dem Programm und den zugehörigen Datenschutzrichtlinien übereinstimmt.

CIS-Benchmarks befolgen

Stellen Sie sicher, dass Ihre Dateninfrastruktur den Benchmarks des Center for Internet Security (CIS) entspricht. Dabei handelt es sich um eine Reihe von Leitlinien zum Schutz vor möglichen Cyber-Bedrohungen.

Änderungen der Vorschriften überwachen

Bleiben Sie auf dem Laufenden über alle Änderungen von Vorschriften und neuen Gesetzen, die im Zuständigkeitsbereich Ihres Unternehmens erlassen wurden. Der Datenschutz hat heute einen höheren Stellenwert als je zuvor, und die Regierungen verschärfen die Kontrollen der Datenverarbeitung. Lassen Sie sich nicht überrumpeln.