Saas Vertrag datenschutz

Fehlerberichterstattungsdienste, wie z. B. sentry.io, sind ebenfalls für die Warnung und das Debuggen von Problemen unverzichtbar, erheben aber in der Regel personenbezogene Daten wie die IP-Adresse und die Benutzer-ID des Benutzers. Dies wird auf der gleichen Grundlage wie Ihre Protokolle gesammelt und muss ebenfalls rechtzeitig entfernt werden. Es ist auch eine gute Idee, dies so zu konfigurieren, dass alle Inhalte, die persönliche Daten oder Zugangsdaten enthalten können, nicht in Benachrichtigungen enthalten sind, um zu verhindern, dass sie in E-Mail-Postfächern oder Slack-Kanälen aufgehen. Die DSGVO unterscheidet zwischen Datenverantwortlichen und Datenverarbeitern. Ein für die Verarbeitung Verantwortlicher ist die juristische Person, die für die Daten verantwortlich ist. Ein Prozessor ist ein Dritter, der die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Als SaaS werden Sie höchstwahrscheinlich beides sein: Sie sind ein Controller für Daten, die Sie selbst erfassen (z. B.

Ihre Benutzerdatenbank und Newsletter-Abonnements), und ein Verarbeiter für Daten, die Ihre Kunden in Ihrem SaaS-Produkt speichern. Wenn Sie Drittanbieter-Prozessoren (z. B. einen Cloud-Anbieter oder E-Mail-Dienst) beschäftigen, müssen Sie sicherstellen, dass sie die Daten in einer Weise verarbeiten, die mit Ihren Bedingungen und der DSGVO kompatibel ist – ebenso sollten Sie als Prozessor Ihren Kunden (den Controllern) Bedingungen und Tools zur Verfügung stellen, die es ihnen ermöglichen, DSGVO-konform zu sein. Dies ist ein gemeinsames Konzept, das in verschiedenen Branchen seit vielen Jahren häufig gesehen wird, und es ist erst vor kurzem ein Aspekt geworden, der von der DSGVO gefordert wird. Die DSGVO-Idee von Privacy by Design bedeutet einfach, dass Datenschutz eines der Kernmerkmale bei der Gestaltung und Entwicklung Ihrer Geschäftsidee sein sollte. 8. Die Datenschutzfolgenabschätzung und der Auftragsverarbeiter für vorherige Konsultationen bieten dem Unternehmen angemessene Unterstützung bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Überwachungsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen vernünftigerweise gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen eines anderen Datenschutzgesetzes für erforderlich hält, in jedem Fall ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch , und unter Berücksichtigung der Art der Verarbeitung und der Informationen, die den Vertragsverarbeitern zur Verfügung stehen. Obwohl die DSGVO klar festlegt, dass die Dpa alle Pflichten für Datenverarbeiter und für die Verarbeitung Verantwortliche umfassen sollte. Viele Datenschutzbehörden, die von SaaS-Kunden bereitgestellt werden, enthalten jedoch nicht: Eine DPIA ist eine Methode zur Identifizierung und Minimierung potenzieller Risiken für die Datensicherheit in bestimmten Situationen mit hohem Risiko.

In der DSGVO heißt es, dass ein DPIA obligatorisch ist, wenn ein neues Datenverarbeitungsprojekt “ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” darstellt. Neben kündigungsrechten sollten Sie auch etwas über die Auswirkungen der Kündigung sagen. Die wichtigsten Fragen drehen sich dabei um Kundendaten. Kann der Kunde alle seine Daten von der Plattform herunterladen? Ist der Dienstleister verpflichtet, dem Kunden die Daten zur Verfügung zu stellen? Wenn ja, wann und wie? Und an welchem Punkt muss der Dienstleister die Kundendaten aus seinen Live- und Sicherungsdatenbanken löschen? (Wenn die Datenbank personenbezogene Daten enthält und der Diensteanbieter ein Verarbeiter dieser personenbezogenen Daten ist, muss sie nach Abschluss der Dienste gelöscht werden, um die DSGVO einzuhalten.) Personenbezogene Daten sind datenlose Daten, die vernünftigerweise auf eine bestimmte Person zurückverfolgt werden können, einschließlich des Offensichtlichen wie Name, Adresse, Foto, Telefonnummer und E-Mail-Adresse, aber auch der weniger offensichtlichen wie IP-Adresse, Browser-Benutzer-Agent, Benutzer-ID usw.