Wenn ein Anbieter sagt "wir sind DSGVO-konform", heißt das nicht, dass er Ihnen sagt, wo Ihre Daten physisch liegen, welche Unterauftragsverarbeiter darauf zugreifen und über welchen Rechtsmechanismus sie Grenzen überschreiten.
Warum der Datenstandort nicht mehr optional ist
Wenn ein SaaS-Anbieter Ihnen sagt "wir sind DSGVO-konform", ist das nicht dasselbe, als Ihnen zu sagen, wo Ihre Daten physisch liegen, welche Unterauftragsverarbeiter darauf zugreifen und über welchen Rechtsmechanismus sie Grenzen überschreiten. Für jeden Unternehmenskäufer, der EU-Kunden bedient oder EU-Mitarbeiter beschäftigt, sind Standort- und Übermittlungsmechanismen inzwischen Due-Diligence-Punkte, keine Marketing-Häkchen — Aufsichtsbehörden wie Unternehmenskunden stellen die konkrete Frage, nicht die allgemeine.
Die Frage der Unterauftragsverarbeiter
Jede SaaS-Plattform ist auf Unterauftragsverarbeiter angewiesen — Cloud-Hosting, E-Mail-Zustellung, Analytik, Zahlungsabwicklung. Nach der DSGVO bleibt der Verantwortliche (Ihr Unternehmen) dafür rechenschaftspflichtig, wie diese Unterauftragsverarbeiter personenbezogene Daten handhaben, obwohl Sie sie nicht direkt ausgewählt haben. Fordern Sie vor der Unterzeichnung die aktuelle Liste der Unterauftragsverarbeiter des Anbieters an, bestätigen Sie, dass sie mit vorheriger Ankündigung von Änderungen aktuell gehalten wird, und prüfen Sie, ob jeder Eintrag über einen eigenen angemessenen Übermittlungsmechanismus verfügt.
Standardvertragsklauseln nach Schrems II
Seit das Schrems-II-Urteil den EU-US Privacy Shield für ungültig erklärt hat, sind Standardvertragsklauseln (SCC) in Kombination mit einer dokumentierten Transfer Impact Assessment der praktische Mechanismus für die meisten grenzüberschreitenden Übermittlungen. Ein Anbieter, der auf Anfrage kein aktuelles SCC-Paket und keine Folgenabschätzung vorlegen kann, ist nicht bereit für Enterprise-Geschäft in der EU — unabhängig davon, was seine Marketingseite behauptet.
Was Sie vor der Unterschrift fragen sollten
- —Fordern Sie die Liste der Unterauftragsverarbeiter und den Benachrichtigungsprozess bei Änderungen schriftlich an
- —Fragen Sie, in welchen Regionen Daten gespeichert und gesichert werden — nicht nur, wo sie "verarbeitet" werden
- —Fordern Sie Aufbewahrungs- und Löschfristen im AVV an, nicht in der Datenschutzrichtlinie — der AVV ist das bindende Dokument
- —Fragen Sie, was mit Ihren Daten nach Vertragsende geschieht — ein festgelegtes, schriftliches Löschfenster ist der Standard, den Sie von jedem Anbieter verlangen sollten