Datenschutz: Sind ihre Daten beim automatisierten Rechnungsmanagement durch SaaS-Anbieter geschützt?

Datenschutz_bei_SaaS_Anbietern_Rechnungsmanagement_1200x630-1080x630.png

Vor ein paar Jahren noch installierten IT-Abteilungen Software auf den firmeneigenen Rechnern und Servern. Inzwischen halten „Software as a Service“-Lösungen (SaaS) wie FLOWWER Einzug in den Unternehmensalltag und entlasten spürbar die HR- und IT-Abteilungen, denn sie bieten zahlreiche Vorteile, wie:

  • planbare Kosten,
  • Programme funktionieren geräteunabhängig,
  • Software wird einfach und unkompliziert über das Internet zugänglich gemacht und
  • das Installieren von Updates entfällt.

Dank eines automatisierten Onboarding-Prozesses können Neukunden die Software in der Regel zeitnah nutzen. Das heißt, Sie erstellen sich einen Zugang und im Hintergrund wird Ihr Account automatisch seitens des SaaS-Anbieters erstellt und für Sie eingerichtet.

Verantwortungsvolle und erfahrene SaaS-Anbieter optimieren ihre Systeme und entwickeln sie permanent weiter. Kunden profitieren davon, denn sie nutzen immer die aktuellste und zuverlässigste IT-Infrastruktur, ohne selbst Hand anzulegen oder zusätzlich investieren zu müssen.

Im Hinblick auf den betrieblichen Datenschutz können SaaS-Lösungen jedoch kritisch sein.

SASCHA SCHWEGELBAUER

Bereits kleine Mängel im Design können zu Datenverlusten oder zum Bekanntwerden sensibler Informationen führen. Daher sollten Sie insbesondere bei SaaS-Lösungen, wo es um ihre sensiblen finanziellen Firmendaten und Freigabeprozesse in Unternehmen geht, Ihren Anbieter auf Herz und Nieren prüfen.

Warum spielt Datenschutz insbesondere bei SaaS-Lösungen für automatisiertes Rechnungsmanagement eine Rolle?

In allen Unternehmen und Organisationen fallen Daten an. Die Digitalisierung und Cloud Computing verstärken das natürlich. Wenn Sie im Unternehmen SaaS-Lösungen oder generell externe Services verwenden, geben Sie zunächst die Hoheit über Ihre Daten auf. Das ist grundsätzlich völlig in Ordnung, solange Sie wissen:

wofür der Anbieter welche Daten benötigt, wer auf welche Daten Zugriff hat, wie die Sicherheit der sensiblen Finanzdaten und Freigabe-Workflows gewahrt und Hackerangriffe vermieden werden.

Sicherheit_der_Daten_hinterfragen.png

Datenschutz-Beauftragte werden hellhörig, sobald US-Dienste ins Spiel kommen. Der US-amerikanische „Cloud Act“ ermöglicht der US-Regierung Zugriff auf Daten von Firmen, die mit den USA zu tun haben, und zwar unabhängig davon, wo sich die Rechenzentren befinden. Das bedeutet, dass Cloud-Anbieter von Regierungsbehörden im Rahmen strafrechtlicher Ermittlungen aufgefordert werden, ihnen relevante Informationen aus den in ihren Rechenzentren gespeicherten Daten zur Verfügung zu stellen.

Im März 2018 hat dazu der US-Kongress den Clarifying Lawful Overseas Use of Data Act („CLOUD Act“) verabschiedet. Das Gesetz regelt die Herausgabe von Daten an US-Behörden, auch wenn diese Daten zum Beispiel auf Servern innerhalb der Europäischen Union liegen.

Worauf kommt es bei SaaS-Lösungen an, wenn es um das heikle Thema Datenschutz geht?

Selbstverständlich sollte jedem SaaS-Anbieter klar sein, dass er als Anbieter selbst sensibel mit den Daten umgeht. Software-as-a-Service-Unternehmen betreiben eine sogenannte „Auftragsverarbeitung“ und müssen besondere Maßnahmen treffen. Um das sicherzustellen, gilt seit Mai 2018 die Pflicht zur Aufsetzung von Auftragsverarbeitungsverträgen gemäß Art. 24 ff DSGVO bzw. § 11 BDSG. Sobald ein Dritter an der Datenverarbeitung beteiligt ist, muss ein AVV zwischen dem SaaS-Anbieter und dem Anbieter der Drittservices geschlossen werden.

Kommt es dennoch zu Verletzungen des Datenschutzes, Verlust von sensiblen Daten oder Ähnliches bedeutet das für den Endkunden, dass er seinen SaaS-Anbieter im Fall der Fälle juristisch nicht belangen kann, weil dieser einen Vertrag zu Auftragsverarbeitung abgeschlossen hat.

In der Folge hat der Kunde den Schaden und zusätzlich den Aufwand, den Verantwortlichen für die Datenpannen zu finden. Das ist im Fall von US-Firmen wie Google oder schlicht einem osteuropäischen Anbieter praktisch unmöglich.

Allein die Klage in einem anderen Staat bedeutet, dass man einen dort zugelassenen Anwalt benötigt. Ganz zu schweigen von möglichen Sprachbarrieren. Kunden haben einen massiven Zeit- und Kostenaufwand, obgleich das Kind bereits in den Brunnen gefallen ist. Denn die Daten sind bereits verloren gegangen.

Schafft man es, den Drittanbieter über den Auftrag zur Datenverarbeitung zur Verantwortung zu ziehen, kann dieser Insolvenz anmelden, wenn der Schaden zu hoch für eine Regulierung ist.

Sie wollen mehr darüber wissen, warum Sie mit FLOWWER ein sichereres und leistungsfähiges Belegmanagement erhalten? Mehr dazu finden Sie hier.

Woran erkennen Kunden, ob ein SaaS-Anbieter für automatisiertes Rechnungsmanagement vertrauenswürdig ist?

Beim Einsatz eines SaaS-Produktes ist die Verlässlichkeit und Professionalität des Anbieters ein wichtiger Aspekt. Hier lohnt ein Blick in die Garantien des Anbieters, hinsichtlich Zuverlässigkeit der Systeme und darüber hinaus im Netz nach Bewertungen hinsichtlich Systemausfälle und Kundenservice zu suchen.

vertrauenswuerdige_SaaS_Anbieter_erkennen.png
An diesen Punkten erkennen Sie vertrauenswürdige SaaS-Anbieter

Ein weiterer wichtiger Punkt ist die Bedienung der Software. Ein SaaS-Produkt sollte die firmeneigenen Anforderungen abdecken und gleichzeitig leicht und intuitiv zu bedienen sein. Dadurch werden Datenpannen vermieden, die durch Fehler in der Bedienung entstehen können. Diesem Punkt wird in der Praxis oft zu wenig Aufmerksamkeit gewidmet. Da Kunden die Software selbst bedienen, bleibt die fachliche Verantwortung komplett beim Kunden.

Zusätzlich sollten Sie prüfen, ob die Software DSGVO-konform ist. In der Regel ist das auf der Webseite klar kommuniziert, da Anbieter potenziellen Kunden die nötige Sicherheit vermitteln wollen.

Darüber hinaus gilt es zu hinterfragen, welche Drittanbieter ebenfalls Datenzugriff erhalten. Wenn zahllose Tools vom Anbieter verwendet werden, die Zugriff auf die Kundendaten haben, ist Vorsicht geboten. Besonders Anbieter mit Sitz in den USA oder auch außerhalb des EU-Raumes sind nicht, wie europäische Unternehmen, an die DSGVO gebunden.

Beim Einsatz von SaaS-Lösungen liegen die Kunden- oder Mitarbeiterdaten nicht mehr auf eigenen Rechnern, sondern beim SaaS-Anbieter. Zwischen dem Kunden und dem Anbieter der SaaS-Lösung wird ein Vertrag zur Auftragsverarbeitung nach Art. 28 der Datenschutz-Grundverordnung (DSGVO) geschlossen. Üblicherweise werden vertrauliche Daten verarbeitet, sodass diese mit entsprechenden Sicherheitsmaßnahmen geschützt werden müssen. Daher ist es empfehlenswert, vor dem Einsatz einer SaaS-Lösung zu prüfen, ob beispielsweise die Anbieter oder ihre Rechenzentren nach Sicherheitsnormen wie ISO 27001 geprüft worden sind.

Sie wollen FLOWWER für Ihr automatisiertes Rechnungsmanagement und Freigabeprozesse testen? Erstellen Sie in wenigen Minuten Ihren Zugang.

Was unternimmt FLOWWER im Bereich Datenschutz konkret? Und was ist daran so einzigartig?

Alle Daten von FLOWWER befinden sich ausschließlich im Gridscale-Rechenzentrum. Wir haben uns für Gridscale entschieden, weil sie die Sicherheit der Infrastruktur und Daten ernst nehmen und die gesamte gridscale Cloud-Technologie nach ISO 27001 und ISO 27018 zertifiziert sind.

Darüber hinaus geben wir keine Daten an andere Unternehmen weiter.

SASCHA SCHWEGELBAUER

Dementsprechend können wir jedem Kunden zu 100 % sicher sagen, wo sich seine uns anvertrauten Daten befinden. Und selbstverständlich können wir diese auch zu 100 % sicher löschen, wenn es notwendig ist.

Unser Team setzt sich aus leidenschaftlichen Programmierern zusammen, die – inklusive des Gründers und Geschäftsführers Sascha Schwegelbauer – Lust am Programmieren haben und von Hause aus sehr sicherheitsaffin sind. Jeder Kunde hat daher seine komplett eigene Datenbank und eigene Applikationsinstanz. Wir trennen tatsächlich nicht nur in der Storage, sondern auch in der Applikation komplett voneinander.

Infografik zu hoher Datensicherheit in FLOWWER: geschützte Server, Daten verbleiben in Deutschland, zertifiziertes Rechnerzentrum, verschlüsselte Übertragung

Einer unserer Kunden wollte eine separate Verschwiegenheitserklärung abschließen. Als er die folgende Antwort von uns bekam, war er überzeugt, dass es nicht notwendig ist:

„Der einzige Dienstleister, an den wir zum Betrieb von FLOWWER Daten übermitteln, ist unser Infrastrukturanbieter Gridscale.

Das bedeutet, dass wir weder Hyperscaler (Google, Amazon, Microsoft, etc.) noch andere Drittservices nutzen: Die FLOWWER-OCR, die Belegdatenextraktion, die Datenbanken, die Workflowengine, die Suchmaschine, der Volltextkatalog und sogar der Massenversand der Statusmails wird vollständig auf unseren Maschinen ausgeführt. Auch das System-Monitoring, das Ticketsystem und Accounting befindet sich vollständig auf unseren privaten Servern.

Sie sehen: Wir nehmen die Sicherheit der Daten unserer Kunden sehr ernst. Tatsächlich ist mir kein anderer Anbieter bekannt, der das realtechnisch in vergleichbarem Umfang macht. In diesem Bereich können wir auch die Verschwiegenheitserklärung akzeptieren.

Allerdings von dem Moment an, in welchem die Daten unseren Einflussbereich verlassen (Übertragung an Schnittstellenpartner wie DATEV usw.), haben wir keinen Einfluss mehr auf die Art und Weise wie „am anderen Ende der Leitung“ mit den Daten umgegangen wird. Das bedeutet, im Moment der Übertragung endet auch unser Verantwortungsbereich für diese Daten. Sofern eine Kopie bei uns weiterhin vorgehalten wird, besteht natürlich weiterhin unsere Verantwortlichkeit im Rahmen unseres Systems.

Unabhängig davon haben Sie ja mit dem empfangenden Unternehmen sicher schon ein Vertragsverhältnis, sonst würde der Empfänger ja gar nicht wissen, was er mit Ihren Daten anfangen soll. Insofern sollte der weitere Umgang mit Ihren Daten entsprechend über eine AV-V zwischen Ihnen und dem Empfänger geregelt werden.“

Auszug aus der Mail an den Kunden

Die Antwort des Kunden auf unsere Mail:

„Danke für die sehr ausführliche Antwort. Sie sollen ja gar keine Verantwortung für eventuell Verhalten nachgelagerte Stellenübernehmen. Auch nicht dafür, dass WIR Daten aus IHREM Tool z.B. zur DATEV übertragen. Die Verschwiegenheitserklärung sagt lediglich aus, dass SIE sich zur Verschwiegenheit verpflichten UND (falls SIE Daten weitergeben) auch die Empfänger dieser Daten zur Verschwiegenheit verpflichten. Das ist alles. Wenn Sie, wie Sie ausführlich erläutern, gar keine Datenweitergabe durchführen, gibt es auch kein Problem, da Sie niemanden verpflichten müssen.“

Auszug aus der Mail des Kunden

Erfahren Sie mehr FLOWWER als Ihr Werkzeug für die digitale Rechnungsfreigabe.