Plattformen und Systeme im Vergleich

Welches System kann datenschutzkonform eingesetzt werden?

Syteme und Plattformen im Vergleich
Primary Item (H2)

Adobe Acrobat Sign

Sind bei Verwendung von Adobe Acrobat Sign datenschutzrelevante Aspekte zu berücksichtigen?

Mit Adobe Acrobat Sign können PDF Dokumente elektronisch signiert und unterschrieben werden. Adobe Systems Software hat seinen Unternehmenssitz in Irland und ist somit auch zur Einhaltung der DSGVO verpflichtet. 

Nach den Informationen auf Adobe’s Webseite werden beim Signaturvorgang Name, E-Mail-Adresse, IP-Adresse und optional Telefonnummer gesammelt und dann zusammen mit der Vereinbarung und der Signatur gespeichert. Dies alles wird von dem Unternehmen kontrolliert, das die zu unterschreibende Vereinbarung gesendet hat. 

Die Signatur und die gesammelten Daten stellen personenbezogene Daten dar. Damit ist Art. 17 DSGVO bezüglich Löschpflichten zu beachten. Es ist davon auszugehen, dass eine Löschpflicht erst besteht, wenn eine etwaige gesetzliche Speicherfrist abgelaufen ist (Art. 17 Abs. 3 lit. b DSGVO) und das Dokument nicht mehr zur Geltendmachung oder Verteidigung von Rechtsansprüchen notwendig ist (Art. 17 Abs. 3 lit. e DSGVO). Das betrifft natürlich immer nur das gesamte Dokument – und nicht die einzelne Unterschrift. Letztere darf nicht gesondert gelöscht werden, weil es damit das ganze Dokument verfälschen würde!

Azure Key Vault

Was ist Azure Key Vault?

Azure Key Vault ist ein von Microsoft angebotener Cloud-Dienst zum Speichern von Geheimnissen, wie Passwörter, Zertifikate oder kryptografischer Schlüssel.

Wie sinnvoll ist für die Microsoft Azure Cloud eine Verschlüsselung, wenn der Schlüssel im Azure Key Vault liegt?

Der Vorteil eines solchen Vorgehens ist, dass alles zentralisiert ist und man nur einen Dienstanbieter nutzt bzw. nutzen muss.

Gegen ein solches Vorgehen sprechen aber gewichtige Argumente:

Aus der Perspektive der IT-Sicherheit ist es niemals eine gute Idee, Daten und Schlüssel an demselben Ort aufzubewahren. Diese Überlegung lässt auch auf Dienstanbieter übertragen: Es ist bereits prinzipiell davon abzuraten, Daten und Schlüssel bei demselben Anbieter zu verwahren.

  • Gemäß dem Urteil „Schrems II“ des Europäischen Gerichtshofes sind Verantwortliche, die Daten in die USA exportieren wollen, dazu verpflichtet, die SCC ergänzende Schutzmaßnahmen zu treffen. Eine wirksame Schutzmaßnahme stellt grundsätzlich die Verschlüsselung der Daten vor der Übertragung dar die Verschlüsselung. Wie der EDSA auf S. 28 seiner „Empfehlungen zu Maßnahmen der Ergänzung“ deutlich macht, gilt dies nur wenn der verwendete Schlüssel in der EU verbleibt. Dies meint von einer europäischen bzw. nicht dem amerikanischen Recht unterliegenden Entität verwaltet wird. Dies ist bei Google-Diensten nicht möglich, denn Alphabet Inc. der Mutterkonzern ist ein US-amerikanischer Konzern, sodass US-Geheimdienste auch Zugriff auf Daten verlangen können, die bei europäischen Tochtergesellschaften (auf Servern in Europa) gespeichert sind.

Insgesamt halten wir es daher für ein unnötiges Datenschutzrisiko und im Zweifel als nicht datenschutzkonform, wenn die verschlüsselten Daten in der Microsoft Azure Cloud und der zu ihnen zugehörige Schlüssel in dem Microsoft Azure Key Vault gespeichert werden.

FontAwesome

Was ist „FontAwesome“?

FontAwesome bietet eine Web Icon Library. Um die Icons anzeigen und laden zu können, werden bei FontAwesome (wie bei der der Verlinkung von GoogleFonts) die IP-Adresse beim Aufruf übertragen. Somit werden personenbezogene Daten im Sinne der DSGVO erfasst.

Für die Verarbeitung personenbezogener Daten, die FontAwesome vornimmt, benötigt man eine Rechtsgrundlage nach Art. 6 DSGVO.

--> Einwilligung!

Fällt FontAwesome in die gleiche Kategorie wie Google Fonts?

Antwort:

Ja, wenn Google Fonts dynamisch per Link eingebunden wird, kann man FontAwesome damit vergleichen.

Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.

Google AdWords

Was ist das Tracking-Tool Google AdWords?

  • Google AdWords ist ein Werbesystem des US-amerikanischen Unternehmens Google LLC.
  • es wird von vielen Unternehmen für Suchmaschinenmarketing genutzt
  • es handelt sich bei Google AdWords um eine Anzeigenschaltung auf den Suchergebnissen von Google
  • bei den Ergebnissen wird ein Verweis auf die Internetseite gesetzt
  • Preis pro Klick auf die Unternehmenswebsite ist abhängig von Konkurrenzanzeigen
  • Messung von Conversions können durchgeführt werden

Welche Alternativen gibt es für Google AdWords?

Google AdWords = größter Anbieter

Es gibt auch Alternativen zu Google AdWords, z.B.:

  • Bing Ads
  • Amazon Ads
  • LinkedIn Ads
  • Instagram Ads
  • Reddit Ads

Kann Google AdWords datenschutzrechtlich sicher eingesetzt bzw. ohne Setzen eines Cookies implementiert werden?

  • Um nachvollziehen zu können, ob Google-Ad-Besucher auch auf einer Website bleiben oder sogar kaufen, ist das Setzen eines Cookies erforderlich
  • --> Einwilligung einholen + Informationspflichten nachkommen + AV-Vertrag abschließen

 

  • Conversions sind über Google Ads ohne Cookies aber wohl möglich
  • Google Ads steht jedoch in Verbindung mit Google Analytics
  • daher sind Anpassungen im Google Analytics Code erforderlich
  • Einige Datengruppen werden bei der Veränderung des Codes nicht mehr erfasst (Demographie, neuer/wiederkehrender Nutzer etc.)
  • Bestimmte Werbefunktionen müssen ebenfalls deaktiviert werden
  • Ungelöstes Problem: § 25 TTDSG, da auch Fingerprinting einer Einwilligung bedarf!

Google Analytics

Verstößt Google-Analytics gegen die DSGVO?

Es gibt schon lange Bedenken hinsichtlich Google-Analytics seitens der Datenschutzaufsichtsbehörden in Deutschland, v.a wegen des nahezu unbeschränkten Zugriffs von US-Behörden auf personenbezogene Daten.

Jetzt:

DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden.

Google-Analytics vertößt gegen die Schrems II-Entscheidung des EuGH (= Privacy Shield gewährt kein angemessenes Datenschutzniveau).

Die vollständige Entscheidung finden Sie hier

Google Optimize

Google Optimize ist ein A/B-Testing-Tool

Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.

Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.

Voraussetzungen eines rechtskonformen Einsatzes wären damit:

  1. Einwilligung der Nutzer
  2. Abschluss von Standardvertragsklauseln
  3. Aufnahme in die Datenschutzerklärung
  4. Daten-Transfer-Folgenabschätzung

Hier finden Sie eine gute Übersicht mit Checkliste

Google Tag Manager

Was ist der Google Tag Manager?

  • Google Tag Manager ist ein kostenloses Tag-Management-System (TMS)
  • Damit können Code-Schnipsel (z.B. Tracking-Codes und Conversionpixel) auf der eigenen Website und Apps eingebaut werden
  • Zugriff auf den Quellcode ist dabei nicht bei jeder kleinen Änderung erforderlich
  • einmalig muss jedoch der Google Tag Manager Code in den Quellcode eingebunden werden
  • sobald der Google Tag Manager Code einmal im Quellcode erfasst ist, können die einzelnen Tags im TMS angelegt werden --> leichtere und schnellere Anpassung bei Google Analytics, Google Ads etc. möglich
  • Mit dem Google Tag Manager können also zentral externe Marketing- und Analyse-Tools verwaltet werden

Kann der Google Tag Manager datenschutzkonform eingesetzt werden?

  • Datenschutzkonformer Einsatz nur möglich, wenn die Anforderungen der DSGVO und des TTDSG eingehalten werden
  • Der Tag Manager selbst setzt keine Cookies
  • Wird aber im Browser der Nutzer ausgeführt --> § 25 TTDSG!
  • Wenn nicht technisch notwendig, muss:
    • Einwilligung des Nutzer muss eingeholt werden (über Cookie Consent Tool)
    • AV-Vertrag abgeschlossen werden
    • Hinweis in Datenschutzerklärung transparent gestaltet werden

Hubpsot

Was ist Hubspot?

Hubspot ist ein Consumer-Relationship-Management (CRM) Plattform, die nach eigenen Angaben alle notwendigen Tools bezüglich Marketing, Vertrieb, Kundenservice, CMS und Operations umfasst. Die einzelnen Dienste können separat oder als Bundle gebucht werden.

Durch den Einsatz von Hubspot werden – wie generell bei CRM Systemen – eine Vielzahl von persönlichen Daten erhoben. Darunter sind Name, Adresse, Email-Adresse, IP-Adresse etc.

Bei Hubspot handelt es sich um ein US-amerikanisches Unternehmen. Es gelten also auch in Bezug auf Hubspot alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Hubsport bietet zwar ein ausschließliches Hosting auf deutschen Servern an. Dies mindert die Bedenken jedoch nur zum Teil, da die weitreichenden Eingriffsbefugnisse von US-Geheimdiensten auch hinsichtlich Daten auf europäischen Servern gelten.

Was muss alles getan werden, um Hubspot datenschutzkonform nutzen zu können?

  • Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung) und: es gibt die Möglichkeit, die Speicherung der Daten auf europäischen Servern zu wählen (nicht in den USA!)
  • ein AV-Vertrag zwischen dem Unternehmen und Hubspot ist zwingend abzuschließen
  • Eine Aufklärung über die Verarbeitung und Speicherung der Daten muss in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform vorgenommen werden
  • Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO aufgrund des Wegfalls des Privacy-Shields sind Standarddatenschutzklauseln zu verwenden

Matomo

Was ist Matomo?

Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.

Was ist datenschutzrechtlich zu beachten?

Das Tool kann

  • ganz ohne die Erhebung personenbezogener Daten eingesetzt werden(Privacy-Einstellungen), indem, dass die letzten Ziffern der IP-Adresse anonymisiert wird.
  • auch komplett ohne Cookies eingesetzt werden (in der Privacy-Einstellung „alle Tracking-Cookies deaktivieren“).
    (Achtung: Matomo nutzt in der Standardeinstellung Cookies. In diesem Fall muss also in jedem Fall ein Cookie-Banner mit Einwilligungsmöglichkeit verwendet werden.)

Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung  (und damit keinen Banner!) Ein Hinweis in der Datenschutzerklärung dürfte optional sein.

Was aber ist TTDSG-rechtlich zu beachten?

Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

  • gilt also vor allem für Cookies! Allerdings soll nach dem Willen des Gesetzgebers und wohl auch nach dem Wortlaut des
    § 25 TTDSG die Einwilligungspflicht nicht nur für Cookies gelten, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ bestimmte Informationen zum Nutzer nachvollzogen werden kann.

Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.

Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.

Salesforce

Salesforce ist US-amerikanischer IT-Konzern, der u.a. eine eine CRM-Plattform anbietet. 

Die DSGVO-Konformität von Salesforce ist schwierig zu beurteilen. Auf einigen Homepages wird Salesforce als DSGVO-konform beschrieben (https://mind-force.de/knowhow/salesforce-dsgvo/#datenschutz-salesforce; https://softwareguide24.de/software/crm/salesforce-1/dsgvo-konform).  Da Salesforce Inc. ein US-Unternehmen ist, stellt sich möglicherweise hier die Drittstaatenproblematik nach Art. 44 ff. DSGVO. Für die Anwendbarkeit von Art. 44 ff. DSGVO ist die Übermittlung an einen Empfänger mit Sitz in einem Drittland ausreichend. „Übermittlung“ ist dabei weit zu verstehen und meint bereits die Offenlegung bzw. Zugänglichmachung der personenbezogenen Daten an einen Empfänger aus einem Drittland (Beck, BeckOK Datenschutzrecht Art. 44 Rn. 15).

Damit ist für den deutschen Nutzer entscheidend, welche Salesforce Entität Empfänger der Daten ist. Liegen die Daten ausschließlich auf europäischen Servern, die von den deutschen oder anderen europäischen Tochtergesellschaften (ohne Zugriffsmöglichkeit des US-Mutterunternehmens) gemanaged werden, läge keine Drittlands-Übermittlung vor.

Hätte die Muttergesellschaft Salesforce Inc. oder eine drittstaatliche Tochtergesellschaft Zugriff auf die Daten, wäre der Anwendungsbereich der Art. 44 ff. DSGVO hingegen eröffnet. Demnach würde sich hier die Unsicherheit entfalten, die das EuGH-Urteil „Schrems II“ hinterlassen hat. Hiernach trifft den Verantwortlichen die Pflicht zu beurteilen, ob die SCC ausreichend wirksame Garantien für eine Drittlandsübermittlung schaffen. Ist dies nicht der Fall muss der Verantwortliche zusätzliche Maßnahmen treffen, die garantieren, dass dem europäischen Datenschutzniveau auch im Drittland Rechnung getragen wird.

Da der EuGH zu dem Schluss gekommen ist, dass das Datenschutzniveau in den USA nicht ausreichend ist, sind bei Übermittlungen in die USA regelmäßig zusätzliche Maßnahmen vom Verantwortlichen zu ergreifen (siehe Dazu Pressemittelung der DSK).

Zu den weiteren Maßnahmen, die ein EU-Exporteur treffen kann, gibt es einen Beispielskatalog in den Empfehlungen des EDSA.

Insgesamt ist der Einsatz von Salesforce also mit einigen Unsicherheiten verbunden. Sollte Salesforce dennoch eingesetzt werden, ist an die folgenden Maßnahmen zu denken:

Voraussetzungen für den datenschutzkonformen Einsatz von Salesforce:

  • Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
  • Sich bei dem Hersteller erkundigen, ob die Server-Instanzen, auf denen die Daten gespeichert werden sollen, ausgewählt werden können. Wenn Ja, dann europäische Server wählen.
  • Standarddatenschutzklauselnvereinbaren
  • Einwilligung des Betroffenen einholen (nach § 25 Abs. 1 TTDSG und nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO)
  • Entsprechender Hinweis in der Datenschutzerklärungauf der Website bzw. anderweitig in Textform
  • Abschluss  eines AV-Vertragsmit Salesforce

Samdock

Samdock ist eine cloudbasierte Customer-Relationship-Management-Lösung für kleine und mittlere Vertriebsteams.

  • Hosting der CRM Daten erfolgt nach eigenen Angaben in Deutschland
  • Das System Samdock ist laut eigenen Angaben von Samdock nach den Grundsätzen der DSGVO entwickelt und einsetzbar

Samdock ist somit unter folgenden Voraussetzungen datenschutzkonform nutzbar:

  • Hinweis in der Datenschutzerklärungauf der Website bzw. anderweitig in Textform, Art. 6 und 13 DSGVO
  • Ein AV-Vertragmit Samdock muss geschlossen werden
  • Ggf. (je nach Anwendung) eine Einwilligung des Betroffenen nach § 25 Abs. 1 TTDSG

Stand: 09.11.2022

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation