Seit 10.07.2023 gibt es einen neuen Angemessenheitsbeschluss mit den USA - Das EU-US Data Privacy Framework
Somit gibt es eine neue Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU in die USA.
Damit können also ab sofort personenbezogene Daten aus der EU in die USA fließen, ohne dass Standarddatenschutzklauseln oder TIAs erforderlich sind. Dies gilt jedoch nur, sofern die Organisation, an die die Daten übermittelt werden, auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen.
Derzeit gilt also: rein rechtlich können auf Basis des Angemessenheitsbeschlusses personenbezogene Daten in die USA übertragen werden, sofern das Unternehmen hier gelistet ist.
Mit Adobe Acrobat Sign können PDF Dokumente elektronisch signiert und unterschrieben werden. Adobe Systems Software hat seinen Unternehmenssitz in Irland und ist somit auch zur Einhaltung der DSGVO verpflichtet.
Nach den Informationen auf Adobe’s Webseite werden beim Signaturvorgang Name, E-Mail-Adresse, IP-Adresse und optional Telefonnummer gesammelt und dann zusammen mit der Vereinbarung und der Signatur gespeichert. Dies alles wird von dem Unternehmen kontrolliert, das die zu unterschreibende Vereinbarung gesendet hat.
Die Signatur und die gesammelten Daten stellen personenbezogene Daten dar. Damit ist Art. 17 DSGVO bezüglich Löschpflichten zu beachten. Es ist davon auszugehen, dass eine Löschpflicht erst besteht, wenn eine etwaige gesetzliche Speicherfrist abgelaufen ist (Art. 17 Abs. 3 lit. b DSGVO) und das Dokument nicht mehr zur Geltendmachung oder Verteidigung von Rechtsansprüchen notwendig ist (Art. 17 Abs. 3 lit. e DSGVO). Das betrifft natürlich immer nur das gesamte Dokument – und nicht die einzelne Unterschrift. Letztere darf nicht gesondert gelöscht werden, weil es damit das ganze Dokument verfälschen würde!
Was ist Azure Key Vault?
Azure Key Vault ist ein von Microsoft angebotener Cloud-Dienst zum Speichern von Geheimnissen, wie Passwörter, Zertifikate oder kryptografischer Schlüssel.
Wie sinnvoll ist für die Microsoft Azure Cloud eine Verschlüsselung, wenn der Schlüssel im Azure Key Vault liegt?
Der Vorteil eines solchen Vorgehens ist, dass alles zentralisiert ist und man nur einen Dienstanbieter nutzt bzw. nutzen muss.
Gegen ein solches Vorgehen sprechen aber gewichtige Argumente:
Aus der Perspektive der IT-Sicherheit ist es niemals eine gute Idee, Daten und Schlüssel an demselben Ort aufzubewahren. Diese Überlegung lässt auch auf Dienstanbieter übertragen: Es ist bereits prinzipiell davon abzuraten, Daten und Schlüssel bei demselben Anbieter zu verwahren.
Insgesamt halten wir es daher für ein unnötiges Datenschutzrisiko und im Zweifel als nicht datenschutzkonform, wenn die verschlüsselten Daten in der Microsoft Azure Cloud und der zu ihnen zugehörige Schlüssel in dem Microsoft Azure Key Vault gespeichert werden.
Was ist Calendly?
Calendly ist eine Terminplanungssoftware. Kunden können sich selbst automatisiert verfügbare Termine über eine Website reservieren und sich diese dann in den eigenen Terminkalender integrieren und Erinnerungsmails dazu schicken lassen. Es ist eine Anbindung an den persönlichen Terminkalender notwendig, damit Termine sofort im Terminkalender blockiert werden.
Calendly ist ein amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.
Im Einzelnen:
1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
2. Standarddatenschutzklauseln vereinbaren
3. Einwilligung des Betroffenen einholen
4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig
in Textform
LiiDU-Tipp: Eine deutsche Alternative mit Servern in Deutschland nutzen, z.B. Meetergo
Was ist die Microsoft Copilot Funktion?
Microsoft Copilot für Microsoft 365 ist KI-gestütztes Produktivitätstool. Es koordiniert große Sprachmodelle (LLMs), Inhalte in Microsoft Graph und die Microsoft 365-Apps.
Nach eigenen Angaben von Microsoft erfüllt Copilot die bestehenden Datenschutz Datenschutz-, Sicherheits- und Complianceverpflichtungen gegenüber Kommerziellen Microsoft 365-Kunden, einschließlich der Datenschutz-Grundverordnung (DSGVO) und der Datenbegrenzung der Europäischen Union (EU).
Die verarbeiteten Daten werden laut Microsoft auch nicht für Trainingszwecke grundlegender LLM's verwendet.
Checkliste zum datenschutzkonformen Einsatz:
Um datenschutzrechtlich sicher arbeiten zu können, empfehlen wir folgende Punkte (jederzeit erweiterbar):
Reicht es für Risikobewertungen für die Verwendung von Microsoft Copilot aus, sich auf die Angaben der Hersteller zu stützen?
Werden Tools in Unternehmen eingesetzt, müssen ggf. Risikobewertungen durchgeführt werden.
Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine Datenschutz-Folgenabschätzung vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte.
Bei der Bewertung können und müssen ergänzende Produktdokumentationen bei Datenschutzbewertungen mit einbezogen werden. Anwender müssen sich darauf verlassen können, dass die Hersteller korrekte Angaben machen, da sie sonst einen Verstoß sowohl gegen die DSGVO als auch das UWG begehen würden, wenn falsche Produktangaben auf der Website veröffentlicht werden würden.
Was macht Cloudflare?
Cloudflare ist ein US-amerikanisches Unternehmen, das ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitstellt, die sich zwischen dem Besucher und dem Hosting-Anbieter des Cloudflare-Benutzers befinden und als Reverse Proxy für Websites fungieren. Cloudflare legt zudem Kopien von Webseiten auf eigene Server. Diese Server befinden sich verteilt an unterschiedlichen Standorten auf der Welt. Bei Aufruf einer bestimmten Webseite von einem bestimmten Standort aus, wird immer der geeignete Server angesprochen, was den Zugriff auf die Seite beschleunigt. Zudem identifiziert Cloudflare Crawler oder Bots, die möglicherweise Ressourcen und Bandbreite belasten würden.
Problem: US-amerikanischer Dienst!
--> Eigentlich kann der Einsatz nur mit Einwilligung des Nutzers stattfinden
(was aber den Interessen des Berechtigten widersprechend dürfte).
Das schreibt der TÜV-Süd auf seiner Website zur Nutzung Cloudflare:
"Schutz vor Störungen und Missbrauch sowie Verbesserung der Webseite
Personenbezogene Nutzungsdaten, wie Ihre IP-Adresse sowie die Zeiten Ihrer Aufrufe unseres Internettauftritts, werden über die Webseite zur Ermittlung sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen und zur Performanceverbesserung unseres Internetauftrittes, verarbeitet. Diese Website nutzt Dienste von „Cloudflare“ (Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare betreibt ein Content Delivery Network (CDN) und stellt Schutzfunktionen für die Website (Web Application Firewall) zur Verfügung. Der Datentransfer zwischen Ihrem Browser und unseren Servern fließt über die Infrastruktur von Cloudflare und wird dort analysiert, um Angriffe abzuwehren. Cloudflare setzt dazu Cookies ein, um Ihnen den Zugang zu unserer Webseite zu ermöglichen. Die Nutzung von Cloudflare erfolgt im Interesse einer sicheren Nutzung unserer Internetpräsenz und der Abwehr schädlicher Angriffe von außen. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung"
Unter dem Punkt: technisch-notwendige Cookies!
Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.
FontAwesome bietet eine Web Icon Library. Um die Icons anzeigen und laden zu können, werden bei FontAwesome (wie bei der der Verlinkung von GoogleFonts) die IP-Adresse beim Aufruf übertragen. Somit werden personenbezogene Daten im Sinne der DSGVO erfasst.
Für die Verarbeitung personenbezogener Daten, die FontAwesome vornimmt, benötigt man eine Rechtsgrundlage nach Art. 6 DSGVO.
--> Einwilligung!
Antwort:
Ja, wenn Google Fonts dynamisch per Link eingebunden wird, kann man FontAwesome damit vergleichen.
Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.
Google AdWords = größter Anbieter
Es gibt auch Alternativen zu Google AdWords, z.B.:
Es gibt schon lange Bedenken hinsichtlich Google-Analytics seitens der Datenschutzaufsichtsbehörden in Deutschland, v.a wegen des nahezu unbeschränkten Zugriffs von US-Behörden auf personenbezogene Daten.
Jetzt:
DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden.
Google-Analytics vertößt gegen die Schrems II-Entscheidung des EuGH (= Privacy Shield gewährt kein angemessenes Datenschutzniveau).
Die vollständige Entscheidung finden Sie hier
Seit dem 6. März 2024 ist der Google Consent Mode Version 2 (V2) für alle Websitebetreiber, die Google-Dienste wie Google Ads oder Google Analytics 4 (GA4) verwenden, verpflichtend. Der Google Consent Mode v2 ist eine aktualisierte Schnittstelle, die es Websites ermöglicht, Google über die Einwilligung der Nutzer zur Verwendung von Cookies zu informieren. Dies beeinflusst, wie Google seine Tracking-Cookies verwendet.
Der Google Consent Mode V2 bietet zwei Varianten der Einbindung:
Basic Mode:
Advanced Mode:
Der Basic Mode ist aus datenschutzrechtlicher Sicht vorzuziehen, da er geringere rechtliche Risiken birgt, allerdings sollte die Übertragung der IP-Adressen klar an die Website-Besucher kommuniziert werden.
Der Advanced Mode sollte aufgrund der hohen rechtlichen Risiken und der Erfordernis einer Einwilligung für die Datenverarbeitung, die nicht standardmäßig eingeholt wird, vermieden werden.
Google Optimize ist ein A/B-Testing-Tool
Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.
Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.
Voraussetzungen eines rechtskonformen Einsatzes wären damit:
Hubspot ist ein Consumer-Relationship-Management (CRM) Plattform, die nach eigenen Angaben alle notwendigen Tools bezüglich Marketing, Vertrieb, Kundenservice, CMS und Operations umfasst. Die einzelnen Dienste können separat oder als Bundle gebucht werden.
Durch den Einsatz von Hubspot werden – wie generell bei CRM Systemen – eine Vielzahl von persönlichen Daten erhoben. Darunter sind Name, Adresse, Email-Adresse, IP-Adresse etc.
Bei Hubspot handelt es sich um ein US-amerikanisches Unternehmen. Es gelten also auch in Bezug auf Hubspot alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Hubsport bietet zwar ein ausschließliches Hosting auf deutschen Servern an. Dies mindert die Bedenken jedoch nur zum Teil, da die weitreichenden Eingriffsbefugnisse von US-Geheimdiensten auch hinsichtlich Daten auf europäischen Servern gelten.
inSign ist ein Tool zur Erstellung einer elektronischen Unterschrift. inSign hat seinen Unternehmenssitz in Deutschland und verwendet deutsche Server. Zudem ist inSign ISO- und TÜV-zertifiziert.
Was ist beim Einsatz von inSign datenschutzrechtlich zu beachten?
Was ist jsDelivr?
jsDelivr ist ein Open Source Content Delivery Network (CDN), das verwendet wird, um JavaScript- und CSS-Dateien schnell und effizient zu verteilen. Es wird häufig von Entwicklern verwendet, um sicherzustellen, dass ihre Anwendungen und Websites schnell geladen werden.
Um jsDelivr als CDN datenschutzkonform nach der DSGVO einzusetzen, müssen folgende Voraussetzungen erfüllt sein:
Was ist Keeper?
Keeper ist ein Passwort-Manager-Tool mit Sitz in den USA, Japan und Irland. Keeper ist nach eigener Aussage eine Zero-Knowledge-Sicherheitslösung.
Laut eigenen Angaben von Keeper, kann das Tool datenschutzkonform nach der DSGVO eingesetzt werden:
Mailchimp ist ein in den USA sitzender Anbieter eines Newsletter-Tools.
Aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und: --> datenschutzrechtliche Einwilligung ist einzuholen
Voraussetzungen für den datenschutzkonformen Einsatz:
Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.
Was ist datenschutzrechtlich zu beachten?
Das Tool kann
Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung (und damit keinen Banner!) Ein Hinweis in der Datenschutzerklärung dürfte optional sein.
Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ bestimmte Informationen zum Nutzer nachvollzogen werden kann.
Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.
Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.
Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.
Was ist Meetergo?
Meetergo ist eine Conversion- und Terminplanungs-Software.
Ist Meetergo datenschutzkonform einsetzbar?
Fazit:
Meetergo ist datenschutzkonform verwendbar, wenn ein entsprechender Hinweis in der Datenschutzerklärung auf der Website erfolgt.
Meta Platforms Inc. hat seinen Sitz in den USA. Sie ist die Muttergesellschaft der Meta Platforms Ireland Ltd.. Damit können auch dann personenbezogene in die USA übertragen werden, wenn der eigentliche Vertragspartner ein europäisches Unternehmen ist.
Seit dem Angemessenheitsbeschluss für die Datenübermittlung in die USA und der Zertifizierung des Datenempfängers gemäß des Datenschutzabkommens EU-USA (Data Privacy Framework), ist eine Verarbeitung personenbezogener Daten in den USA rechtskonform.
Da Meta Platforms Inc. DPF-zertifiziert ist, sind die Tools von Meta (einschließlich Facebook und Instagram) grundsätzlich zulässig.
Aber:
Mit dem Urteil vom 05. Juni 2018 hat der EuGH die gemeinsame Verantwortlichkeit von Facebook und den Betreibern einer Facebook Fanpage bekräftigt. Damit wurde festgestellt, dass auch die Betreiber der Fanpage für die Einhaltung des Datenschutzes zuständig sind und nicht die alleinige Verantwortung an Facebook bzw. Meta abgegeben werden kann.
Folgende Dokumente sind vorzuhalten:
Ausführliche Informationen zu Microsoft Office 365 finden Sie in unserem Blog.
Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.
Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.
Argument nicht valide, da
Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:
Was ist Miro?
Miro ist ein US-amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields derzeit Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.
Im Einzelnen:
Voraussetzungen für den minimalen datenschutzkonformen Einsatz von Miro:
Der Einsatz von Paypal als Bezahlmethode ist DSGVO-konform.
PayPal ist in den meisten Fällen verantwortliche Stelle (und kein Auftragsverarbeiter). Sitz ist in Luxemburg, damit gelten die DSGVO-Regelungen unmittelbar – ohne Art. 44 DSGVO bemühen zu müssen.
Als europäische Bank mit Sitz in Luxemburg muss PayPal den Anforderungen des Datenschutzes und der Finanzaufsichtsbehörden nachkommen.
Tipp:
PayPal als Bezahlmethode in die eigene Datenschutzerklärung mitaufnehmen.
Pipedrive ist ein Cloud-basiertes Software-as-a-Service-Unternehmen mit Sitz in den USA. Es gibt eine Webanwendung und eine mobile App zur Nutzung des Kundenbeziehungsmanagement-Tools. Bei der Verwendung von Pipedrive werden personenbezogene Daten der Kunden verarbeitet.
Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.
Im Einzelnen:
Voraussetzungen für den datenschutzkonformen Einsatz von Pipedrive:
1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
2. Standarddatenschutzklauseln vereinbaren
3. Einwilligung des Betroffenen einholen, § 25 Abs. 1 TTDSG
4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform
5. Abschluss eines AV-Vertrags mit Pipedrive
Salesforce ist US-amerikanischer IT-Konzern, der u.a. eine eine CRM-Plattform anbietet.
Die DSGVO-Konformität von Salesforce ist schwierig zu beurteilen. Auf einigen Homepages wird Salesforce als DSGVO-konform beschrieben (https://mind-force.de/knowhow/salesforce-dsgvo/#datenschutz-salesforce; https://softwareguide24.de/software/crm/salesforce-1/dsgvo-konform). Da Salesforce Inc. ein US-Unternehmen ist, stellt sich möglicherweise hier die Drittstaatenproblematik nach Art. 44 ff. DSGVO. Für die Anwendbarkeit von Art. 44 ff. DSGVO ist die Übermittlung an einen Empfänger mit Sitz in einem Drittland ausreichend. „Übermittlung“ ist dabei weit zu verstehen und meint bereits die Offenlegung bzw. Zugänglichmachung der personenbezogenen Daten an einen Empfänger aus einem Drittland (Beck, BeckOK Datenschutzrecht Art. 44 Rn. 15).
Damit ist für den deutschen Nutzer entscheidend, welche Salesforce Entität Empfänger der Daten ist. Liegen die Daten ausschließlich auf europäischen Servern, die von den deutschen oder anderen europäischen Tochtergesellschaften (ohne Zugriffsmöglichkeit des US-Mutterunternehmens) gemanaged werden, läge keine Drittlands-Übermittlung vor.
Hätte die Muttergesellschaft Salesforce Inc. oder eine drittstaatliche Tochtergesellschaft Zugriff auf die Daten, wäre der Anwendungsbereich der Art. 44 ff. DSGVO hingegen eröffnet. Demnach würde sich hier die Unsicherheit entfalten, die das EuGH-Urteil „Schrems II“ hinterlassen hat. Hiernach trifft den Verantwortlichen die Pflicht zu beurteilen, ob die SCC ausreichend wirksame Garantien für eine Drittlandsübermittlung schaffen. Ist dies nicht der Fall muss der Verantwortliche zusätzliche Maßnahmen treffen, die garantieren, dass dem europäischen Datenschutzniveau auch im Drittland Rechnung getragen wird.
Da der EuGH zu dem Schluss gekommen ist, dass das Datenschutzniveau in den USA nicht ausreichend ist, sind bei Übermittlungen in die USA regelmäßig zusätzliche Maßnahmen vom Verantwortlichen zu ergreifen (siehe Dazu Pressemittelung der DSK).
Zu den weiteren Maßnahmen, die ein EU-Exporteur treffen kann, gibt es einen Beispielskatalog in den Empfehlungen des EDSA.
Insgesamt ist der Einsatz von Salesforce also mit einigen Unsicherheiten verbunden. Sollte Salesforce dennoch eingesetzt werden, ist an die folgenden Maßnahmen zu denken:
Voraussetzungen für den datenschutzkonformen Einsatz von Salesforce:
Samdock ist eine cloudbasierte Customer-Relationship-Management-Lösung für kleine und mittlere Vertriebsteams.
Samdock ist somit unter folgenden Voraussetzungen datenschutzkonform nutzbar:
Was ist TikTok?
TikTok ist eine Social Media Plattform zum Teilen von Kurz-Videos.
TikTok hat seinen Hauptsitz in China (große Drittland-Problematik)
Laut Datenschutzerklärung von TikTok, werden bei Verwendung der App u.a. folgende personenbezogene Daten verarbeitet:
Was ist beim (geschäftlichen) Einsatz von TikTok zu beachten?
--> Einsatz von TikTok ist aus datenschutzrechtlicher Sicht sehr problematisch, heiß diskutiert und sollte nach Möglichkeit unterlassen werden.
Was ist Webflow?
Webflow ist ein amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields bis auf Weiteres Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.
Im Einzelnen:
Voraussetzungen für den minimalen datenschutzkonformen Einsatz von Webflow:
Was ist Cisco Webex?
Webex ist ein Videokonferenz-Tool mit Sitz in den USA. Cisco ist unter dem EU-US Data Privacy Framework zertifiziert.
Webex ist ISO/IEC 27001:2013 zertifiziert und bietet Ende-zu-Ende-Verschlüsselung an. Zudem kann bei Webex eine Benutzerverifizierung durchgeführt werden. Außerdem bietet Webex Sicherheitskontrollen an, wie z. B. Zeitüberschreitung bei Leerlauf, Geräte-PIN und Remote-Löschung von allen Webex-Inhalten.
Um die Vorgaben der DSGVO zu erfüllen, müssen alle wählbaren Sicherheitseinstellungen entsprechend vorgenommen werden, um eine sichere Datenübertragung gewährleisten zu können.
Zulässigkeit des Videokonferenz-Tools Cisco Webex am EuGH
In einem aktuellen Beschluss wurde vom EU-Datenschutzbeauftragten Wojciech Wiewiórowski festgestellt, dass die die Installation des Cloud-gestützten Videokonferenzdienstes Cisco Webex, die beim EuGH aktuell verwendet wird, den Anforderungen der Datenschutzgrundverordnung entspricht.
Entscheidend für die positive Entscheidung hinsichtlich der Verwendbarkeit sei laut Wiewiórowski die Tatsache, dass der Europäische Gerichtshof technische und organisatorische Maßnahmen getroffen habe, um die personenbezogenen Daten in einem angemessenen Maß zu schützen.
Dieser Beschluss vom 13.07.2023 stellt jedoch weder eine allgemeine Billigung noch eine Zertifizierung der Einhaltung der Datenschutzbestimmungen der von einer Cisco Webex-Einheit angebotenen Videokonferenzdienste dar. Mehr Infos dazu bei Heise.de
Zoom ist datenschutzkonform einsetzbar.
Dienst wurde erheblich nachgebessert, v.a. nach Kritik des LfDI Baden-Württemberg zur fehlenden Verschlüsselung, der unklaren Beteiligung von Unternehmen aus Drittländern und der üblichen Kritik, dass die Server in den USA stehen.
Jetzt: LfDI Baden-Württemberg hat seine Warnung zurückgezogen.
Empfehlungen:
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung