Diese Frage können die meisten Firmeninhaber ohne zu zögern beantworten. Meist sind alle Unterlagen, Rechnungen, Lieferantenunterlagen und Kundenordner sauber geordnet und in abschließbaren Schränken untergebracht. Gerade bei Kundendaten, Geschäftszahlen und Entwicklungen lassen die meisten Firmen größte Sorgfalt walten.
Und Deine digitalen Daten?
Fast genauso umsichtig wird mit digitalen Daten umgegangen. Viele mittelständische Unternehmen haben schon seit Jahren eine digitale Ablage und Backupstrategie entwickelt. Diese mag oft noch auf Bändern, DVDs oder externen Festplatten basieren und technisch nicht auf dem neusten Stand sein, doch sie funktioniert. Im Großen und Ganzen weiß der deutsche Mittelstand also, wo er seine Daten hat.
Sicher?
Seit ein paar Jahren wird es modern, Software nicht mehr zu kaufen, sondern als Service zu mieten. Auf Neudeutsch heißt das SaaS (Software as a Service) und ist ein typischer Cloudservice. Ein Standardszenario ist es zum Beispiel, dass eine Firma ihr neues CRM nicht kauft, sondern als Service mietet. An und für sich eine tolle Sache, muss man sich doch nicht mehr um die Hardware oder den Bertrieb kümmern. Updates, Wartungen, Hardwareaustausch – alles Probleme, die man an den Hersteller abgibt. Was man ihm auch gibt, sind natürlich die Daten.
An dieser Stelle wird es seltsam. Sensible Daten aus dem Verkauf (Einkaufspreise, Angebote usw.) wandern aus dem Stahlschrank irgendwo ins Internet. Ich durfte selber schon mehrfach Zeuge werden, dass da eine Art blindes Vertrauen herrscht. Ich bin der Meinung, dass es für eine Firma sehr sinnvoll ist, Software als Service zu beziehen, doch ein paar Gedanken über die Datensicherheit und den Datenschutz sollte man sich trotzdem machen.
Du solltest Deinem Anbieter ein paar kritische Fragen stellen.
Wo liegen die Daten? Ich denke, Du hast ein Recht, zu wissen, wo Deine Daten liegen – und zwar ausschließlich. Mit „wo“ meine ich dabei nicht nur den Betreiber, sondern auch die Standorte. Als deutsche Firma, die dem deutschen Datenschutz unterliegt, solltest Du es Dir schriftlich geben lassen, dass Deine Daten nur in europäischen Rechenzentren liegen. Das gilt auch für die Backups der Daten.
Wie steht es mit dem Datenschutz: Hat Dein SaaS-Anbieter ein Datenschutzabkommen mit dem RZ-Anbieter geschlossen? Bist Du rechtlich auf der sicheren Seite? An dieser Stelle solltest Du im Zweifel einen Beauftragten für Datenschutz konsultieren. Claus Michael Sattler, Gerichtsgutachter und Sachverständiger für Fragen des gewerblichen Datenschutzes, hat mir 2013 in einem Interview gesagt, dass er es für datenschutzrechtlich bedenklich hält, als deutsche Firma US-amerikanische Anbieter zu nutzen (das ganze Interview findest Du hier).
Wer kann auf die Daten zugreifen? Man sollte sich über eines im Klaren sein: Liegen die Daten unverschlüsselt auf einem Server im Internet, kann sich der Serveradmin, der physikalischen Zugriff auf den Server hat, fast immer Zugriff auf die Daten verschaffen. Auch das sollte man bedenken, bevor man ein „weltweit“ aufgestelltes Rechenzentrum als Provider wählt.
Was ist mit der Datensicherheit? Die meisten seriösen Anbieter von CRM-Systemen werden für Backups sorgen, schon im eigenen Interesse. Es gibt aber viele andere SaaS-Lösungen, die vielleicht nur auf eine hohe Verfügbarkeit des Speichers setzen (ich denke da an Angebote für den Austausch von Dateien). Eine Frage ist dieser Punkt bestimmt wert.
Fazit
Kann der Anbieter diese Fragen zur vollen Zufriedenheit beantworten, steht der schönen neuen SaaS-Welt eigentlich nichts mehr im Weg. Daran, dass Software as a Service in Zukunft immer wichtiger wird, besteht in meinen Augen kein Zweifel. Wir sollten mit unseren Ansprüchen nur dafür sorgen, dass unsere Daten auch in Zukunft noch sicher sind.