SaaS
Kurz erklärt
Sie nutzen die Anwendung so, wie sie ist – gehostet und gewartet vom Dienstleister –, beispielsweise als geschäftliches E-Mail-System oder als CRM. Sie greifen nicht auf die Server zu: Sie melden sich über Ihren Browser an.
▶ Präzise Definition
Software as a Service im Sinne des NIST (SP 800-145). Der Anbieter verwaltet die gesamte Kette: Infrastruktur, Plattform und Anwendung. Der Kunde beschränkt sich darauf, den Dienst zu konfigurieren und zu nutzen, ohne Zugriff auf den Code oder das System zu haben. Beispiele: Microsoft 365, Google Workspace, Salesforce, Notion, Slack.
Unsere Analyse
Der Großteil des Risikos französischer Unternehmen liegt im SaaS-Bereich, da dieser zum täglichen Arbeitsalltag gehört: E-Mail, Zusammenarbeit, CRM, ERP. Gerade das, was man gedankenlos nutzt, hinterfragt man nie.
Genau darin liegt die Falle. SaaS ist technisch unsichtbar: Es müssen keine Server verwaltet und keine Geräte ausgewählt werden, sodass Fragen der Rechtshoheit, der Datenportabilität und der Rückgängigkeit im Vorfeld fast nie aufkommen. Sie tauchen im ungünstigsten Moment auf, wenn der Dienstleister einen Dienst einstellt, seine Bedingungen ändert oder übernommen wird – und es bereits zu spät ist, um sich ordnungsgemäß zurückzuziehen.
Die DSGVO schreibt vor, dass die in einem SaaS-Dienst verarbeiteten personenbezogenen Daten deren Bestimmungen entsprechen müssen, was auch die Regelung von Datenübermittlungen außerhalb der Europäischen Union umfasst: Standardvertragsklauseln, Angemessenheitsbeschluss, gleichwertige Garantien. Ein US-amerikanisches SaaS-System ohne angemessene Rechtsgrundlage für die Datenübermittlung stellt ein direktes Risiko dar – in erster Linie rechtlicher, erst in zweiter Linie technischer Natur. Die Benutzerfreundlichkeit von SaaS verschleiert die Tatsache, dass dies der Bereich ist, in dem am meisten delegiert wird, und somit auch der Bereich, über den man am wenigsten Kontrolle hat.