Auf dem europäischen SaaS-Softwaremarkt müssen Ihre Marketing- und Vertriebsbemühungen zwingende rechtliche und andere Anforderungen erfüllen, wie z. B. das Urheberrecht und die Datenschutzgrundverordnung (DSGVO). Da der IT- und SaaS-Wettbewerb vor allem in Deutschland, dem Vereinigten Königreich, Spanien, Frankreich und Polen stark ist, sollten Sie sich auf Ihre Kernkompetenzen und die Qualität Ihrer Dienstleistungen konzentrieren und nicht nur auf die Kosten. Die Spezialisierung auf bestimmte Branchen ist ebenfalls ein guter Weg, um den Wettbewerb zu verringern.
Die Anforderungen an SaaS-Anbieter unterscheiden sich je nach Land, Branche und Segment. So gibt es beispielsweise für die Automobilindustrie, das Bildungswesen, das Gesundheitswesen und den öffentlichen Sektor unterschiedliche branchenspezifische Standards, Regeln und Vorschriften. Da es unmöglich wäre, alle möglichen Anforderungen aufzulisten, konzentrieren wir uns an dieser Stelle auf die gängigsten Anforderungen.
Obligatorische Anforderungen, die erfüllt werden müssen
Mandatory requirements for providing SaaS solutions within the European market can be divided into legal and non-legal mandatory requirements.
Legal requirements include legislation about copyright as well as personal data protection. Privacy is highly regulated and protected in Europe, via the 2018 established General Data Protection Regulation (GDPR) and the ePrivacy Directive. If you do not respect these directives, you may be subject to enforcement actions and/or possible claims – even though you are located outside of the European Union. Non-legal requirements mainly deal with security. Although you are not obliged to comply by law, they are considered minimum requirements to enter the European market.
Urheberrecht
Die Europäische Union hat spezielle Rechtsvorschriften zum Schutz von Computerprogrammen durch das Urheberrecht erlassen. Gemäß der Richtlinie über den Rechtsschutz von Computerprogrammen müssen Sie sicherstellen, dass Sie beim Inverkehrbringen Ihres Computerprogramms keine Urheberrechte verletzen. Gleichzeitig schützt diese Richtlinie Ihre Produkte auch vor unerlaubter Vervielfältigung.
DSGVO - Datenschutzgrundverordnung
Die Datenschutzgrundverordnung ist am 25. Mai 2018 in Kraft getreten. Diese Verordnung wurde entwickelt, um Einzelpersonen in Europa vor Verletzungen der Privatsphäre und Daten zu schützen und den Menschen mehr Kontrolle über ihre persönlichen Daten zu geben. Sie ermöglicht es Unternehmen auch, von gleichen Wettbewerbsbedingungen zu profitieren, da die Gesetze und Vorschriften in allen europäischen Ländern gleich sind. Die Datenschutz-Grundverordnung gilt für alle Unternehmen, die personenbezogene Daten von Personen in Europa verarbeiten, unabhängig vom Standort des Unternehmens. Das bedeutet, dass sie auch für Sie direkt gilt. Das heißt, wenn Ihr Unternehmen in einem Nicht-EU-Land wie den Vereinigten Staaten, Thailand oder Israel ansässig ist, und unabhängig davon, ob die DSGVO oder ihre Vorgängerin Sie jemals betreffen musste, gilt sie auch jetzt.
Nach der alten Richtlinie war allein der für die Datenverarbeitung Verantwortliche (Eigentümer) für den Schutz aller Daten verantwortlich, mit denen eine Person identifiziert werden kann. Nach der Datenschutz-Grundverordnung ist jedoch jedes Unternehmen oder jede Person, die Daten verarbeitet, auch für deren Schutz verantwortlich. Beispiele für personenbezogene Daten, die durch diese Verordnung geschützt sind, sind Namen, E-Mail-Adressen, Bankdaten, Inhalte sozialer Medien, Fotos und IP-Adressen.
Zu den wichtigsten Verbraucherrechten, die Sie einhalten müssen, gehören unter anderem:
Einwilligung - Verbraucher müssen ausdrücklich zustimmen, indem sie sich anmelden, die Einwilligung muss leicht widerrufen werden können, und die Anfragen müssen spezifisch und in einfacher Sprache formuliert sein;
Recht auf Auskunft - Verbraucher haben das Recht zu erfahren, ob Unternehmen ihre personenbezogenen Daten verarbeiten, wo dies geschieht und zu welchem Zweck;
Recht auf Vergessenwerden - die Verbraucher haben das Recht, dass ihre personenbezogenen Daten gelöscht und die Verarbeitung und Weitergabe gestoppt werden;
Privacy by Design - der Datenschutz sollte von Anfang an bei der Entwicklung von Systemen berücksichtigt werden. Die Daten sollten auf ein Minimum reduziert und der Zugang beschränkt werden.
Zwar betreffen nicht alle Softwareprojekte und Websites personenbezogene Daten, aber viele von ihnen - insbesondere in SaaS-Unternehmen - schon. Da der Aspekt der personenbezogenen Daten in der Softwareentwicklung in den kommenden Jahren voraussichtlich zunehmen wird, wird die Einhaltung der DSGVO für diesen Sektor immer wichtiger.
ePrivacy-Richtlinie
Die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG), die gemeinhin als "Cookie-Gesetz" bekannt ist, enthält spezifische Vorschriften für den Datenschutz im Bereich der elektronischen Kommunikation. So verbietet die Richtlinie beispielsweise unaufgeforderte kommerzielle elektronische Post ("Spam"). Sie enthält strenge Regeln für die Verwendung von Cookies, und Kontaktdaten dürfen nur mit Zustimmung des Betroffenen veröffentlicht werden.
Ursprünglich sollte eine neue Datenschutzverordnung für elektronische Kommunikation zusammen mit der Datenschutz-Grundverordnung in Kraft treten, aber ihre Umsetzung hat sich inzwischen verzögert. Mit der neuen Verordnung soll die Vertraulichkeit der elektronischen Kommunikation durch strengere Datenschutzvorschriften geschützt werden. Anders als die derzeitige Richtlinie schließt sie internetbasierte Sprach- und Messaging-Technologien wie Skype, WhatsApp und Facebook Messenger ein.
Die ePrivacy-Verordnung erwähnt in ihren aktuellen Fassungen ausdrücklich die Softwareentwicklung: "Diese Verordnung sollte für Anbieter von elektronischen Kommunikationsdiensten, für Anbieter von öffentlich zugänglichen Verzeichnissen und für Anbieter von Software gelten, die elektronische Kommunikation, einschließlich des Abrufs und der Darstellung von Informationen im Internet, ermöglicht."
Sicherheit
Die Datensicherheit ist eine der größten Herausforderungen für SaaS- und IT-Lösungsanbieter. Dazu gehören sowohl Datenschutz- als auch Wiederherstellungssysteme. Viele europäische Käufer erwarten von Ihnen, dass Sie ein Informationssicherheits- und -managementsystem einführen, insbesondere in Branchen, in denen Sicherheit von entscheidender Bedeutung ist, wie im Finanz- und Bankwesen, im Gesundheitswesen oder bei mobilen Anwendungen. Obwohl es keine spezifischen Rechtsvorschriften dazu gibt, enthält die ISO 27000-Reihe gemeinsame Normen und Leitlinien für die Informationssicherheit.
ISO 27001 ist eine international anerkannte Norm, die Anforderungen an ein Managementsystem für die Informationssicherheit enthält. Unternehmen können sich nach ISO 27001 zertifizieren lassen, wenn sie diese Norm einhalten. ISO 27002 ist ein ergänzendes Dokument zu ISO 27001, das Anleitungen und Ratschläge für die Umsetzung von Informationssicherheitskontrollen enthält. Weitere unterstützende Leitliniendokumente der ISO 27000-Familie sind ISO 27003 und ISO 27004. ISO/IEC 27701:2019 ist eine zertifizierbare Datenschutzerweiterung der ISO 27001 und unterstützt die DSGVO.