Sind bei Verwendung von Adobe Acrobat Sign datenschutzrelevante Aspekte zu berücksichtigen?

Mit Adobe Acrobat Sign können PDF Dokumente elektronisch signiert und unterschrieben werden. Adobe Systems Software hat seinen Unternehmenssitz in Irland und ist somit auch zur Einhaltung der DSGVO verpflichtet. 

Nach den Informationen auf Adobe’s Webseite werden beim Signaturvorgang Name, E-Mail-Adresse, IP-Adresse und optional Telefonnummer gesammelt und dann zusammen mit der Vereinbarung und der Signatur gespeichert. Dies alles wird von dem Unternehmen kontrolliert, das die zu unterschreibende Vereinbarung gesendet hat. 

Die Signatur und die gesammelten Daten stellen personenbezogene Daten dar. Damit ist Art. 17 DSGVO bezüglich Löschpflichten zu beachten. Es ist davon auszugehen, dass eine Löschpflicht erst besteht, wenn eine etwaige gesetzliche Speicherfrist abgelaufen ist (Art. 17 Abs. 3 lit. b DSGVO) und das Dokument nicht mehr zur Geltendmachung oder Verteidigung von Rechtsansprüchen notwendig ist (Art. 17 Abs. 3 lit. e DSGVO). Das betrifft natürlich immer nur das gesamte Dokument – und nicht die einzelne Unterschrift. Letztere darf nicht gesondert gelöscht werden, weil es damit das ganze Dokument verfälschen würde!

Was ist Azure Key Vault?

Azure Key Vault ist ein von Microsoft angebotener Cloud-Dienst zum Speichern von Geheimnissen, wie Passwörter, Zertifikate oder kryptografischer Schlüssel.

Wie sinnvoll ist für die Microsoft Azure Cloud eine Verschlüsselung, wenn der Schlüssel im Azure Key Vault liegt?

Der Vorteil eines solchen Vorgehens ist, dass alles zentralisiert ist und man nur einen Dienstanbieter nutzt bzw. nutzen muss.

Gegen ein solches Vorgehen sprechen aber gewichtige Argumente:

Aus der Perspektive der IT-Sicherheit ist es niemals eine gute Idee, Daten und Schlüssel an demselben Ort aufzubewahren. Diese Überlegung lässt auch auf Dienstanbieter übertragen: Es ist bereits prinzipiell davon abzuraten, Daten und Schlüssel bei demselben Anbieter zu verwahren.

• Gemäß dem Urteil „Schrems II“ des Europäischen Gerichtshofes sind Verantwortliche, die Daten in die USA exportieren wollen, dazu verpflichtet, die SCC ergänzende Schutzmaßnahmen zu treffen. Eine wirksame Schutzmaßnahme stellt grundsätzlich die Verschlüsselung der Daten vor der Übertragung dar die Verschlüsselung. Wie der EDSA auf S. 28 seiner „Empfehlungen zu Maßnahmen der Ergänzung“ deutlich macht, gilt dies nur wenn der verwendete Schlüssel in der EU verbleibt. Dies meint von einer europäischen bzw. nicht dem amerikanischen Recht unterliegenden Entität verwaltet wird. Dies ist bei Google-Diensten nicht möglich, denn Alphabet Inc. der Mutterkonzern ist ein US-amerikanischer Konzern, sodass US-Geheimdienste auch Zugriff auf Daten verlangen können, die bei europäischen Tochtergesellschaften (auf Servern in Europa) gespeichert sind.

Insgesamt halten wir es daher für ein unnötiges Datenschutzrisiko und im Zweifel als nicht datenschutzkonform, wenn die verschlüsselten Daten in der Microsoft Azure Cloud und der zu ihnen zugehörige Schlüssel in dem Microsoft Azure Key Vault gespeichert werden.

Was ist Calendly?

Calendly ist eine Terminplanungssoftware. Kunden können sich selbst automatisiert verfügbare Termine über eine Website reservieren und sich diese dann in den eigenen Terminkalender integrieren und Erinnerungsmails dazu schicken lassen. Es ist eine Anbindung an den persönlichen Terminkalender notwendig, damit Termine sofort im Terminkalender blockiert werden.

Calendly ist ein amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den datenschutzkonformen Einsatz von Calendly:

    1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)

    2. Standarddatenschutzklauseln vereinbaren

    3. Einwilligung des Betroffenen einholen

    4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig
        in Textform

LiiDU-Tipp:  Eine deutsche Alternative mit Servern in Deutschland nutzen, z.B. Meetergo

Was macht Cloudflare?

Cloudflare ist ein US-amerikanisches Unternehmen, das ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitstellt, die sich zwischen dem Besucher und dem Hosting-Anbieter des Cloudflare-Benutzers befinden und als Reverse Proxy für Websites fungieren. Cloudflare legt zudem Kopien von Webseiten auf eigene Server. Diese Server befinden sich verteilt an unterschiedlichen Standorten auf der Welt. Bei Aufruf einer bestimmten Webseite von einem bestimmten Standort aus, wird immer der geeignete Server angesprochen, was den Zugriff auf die Seite beschleunigt. Zudem identifiziert Cloudflare Crawler oder Bots, die möglicherweise Ressourcen und Bandbreite belasten würden.

Problem: US-amerikanischer Dienst!
--> Eigentlich kann der Einsatz nur mit Einwilligung des Nutzers stattfinden
(was aber den Interessen des Berechtigten widersprechend dürfte).

Das schreibt der TÜV-Süd auf seiner Website zur Nutzung  Cloudflare:

"Schutz vor Störungen und Missbrauch sowie Verbesserung der Webseite
Personenbezogene Nutzungsdaten, wie Ihre IP-Adresse sowie die Zeiten Ihrer Aufrufe unseres Internettauftritts, werden über die Webseite zur Ermittlung sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen und zur Performanceverbesserung unseres Internetauftrittes, verarbeitet. Diese Website nutzt Dienste von „Cloudflare“ (Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare betreibt ein Content Delivery Network (CDN) und stellt Schutzfunktionen für die Website (Web Application Firewall) zur Verfügung. Der Datentransfer zwischen Ihrem Browser und unseren Servern fließt über die Infrastruktur von Cloudflare und wird dort analysiert, um Angriffe abzuwehren. Cloudflare setzt dazu Cookies ein, um Ihnen den Zugang zu unserer Webseite zu ermöglichen. Die Nutzung von Cloudflare erfolgt im Interesse einer sicheren Nutzung unserer Internetpräsenz und der Abwehr schädlicher Angriffe von außen. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung"

Unter dem Punkt: technisch-notwendige Cookies!

Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.

Was ist „FontAwesome“?

FontAwesome bietet eine Web Icon Library. Um die Icons anzeigen und laden zu können, werden bei FontAwesome (wie bei der der Verlinkung von GoogleFonts) die IP-Adresse beim Aufruf übertragen. Somit werden personenbezogene Daten im Sinne der DSGVO erfasst.

Für die Verarbeitung personenbezogener Daten, die FontAwesome vornimmt, benötigt man eine Rechtsgrundlage nach Art. 6 DSGVO.

--> Einwilligung!

Fällt FontAwesome in die gleiche Kategorie wie Google Fonts?

Antwort:

Ja, wenn Google Fonts dynamisch per Link eingebunden wird, kann man FontAwesome damit vergleichen.

Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.

Was ist das Tracking-Tool Google AdWords?

• Google AdWords ist ein Werbesystem des US-amerikanischen Unternehmens Google LLC.
• es wird von vielen Unternehmen für Suchmaschinenmarketing genutzt
• es handelt sich bei Google AdWords um eine Anzeigenschaltung auf den Suchergebnissen von Google
• bei den Ergebnissen wird ein Verweis auf die Internetseite gesetzt
• Preis pro Klick auf die Unternehmenswebsite ist abhängig von Konkurrenzanzeigen
• Messung von Conversions können durchgeführt werden

Welche Alternativen gibt es für Google AdWords?

Google AdWords = größter Anbieter

Es gibt auch Alternativen zu Google AdWords, z.B.:

• Bing Ads
• Amazon Ads
• LinkedIn Ads
• Instagram Ads
• Reddit Ads

Kann Google AdWords datenschutzrechtlich sicher eingesetzt bzw. ohne Setzen eines Cookies implementiert werden?

• Um nachvollziehen zu können, ob Google-Ad-Besucher auch auf einer Website bleiben oder sogar kaufen, ist das Setzen eines Cookies erforderlich
• --> Einwilligung einholen + Informationspflichten nachkommen + AV-Vertrag abschließen

• Conversions sind über Google Ads ohne Cookies aber wohl möglich
• Google Ads steht jedoch in Verbindung mit Google Analytics
• daher sind Anpassungen im Google Analytics Code erforderlich
• Einige Datengruppen werden bei der Veränderung des Codes nicht mehr erfasst (Demographie, neuer/wiederkehrender Nutzer etc.)
• Bestimmte Werbefunktionen müssen ebenfalls deaktiviert werden
• Ungelöstes Problem: § 25 TTDSG, da auch Fingerprinting einer Einwilligung bedarf!

Verstößt Google-Analytics gegen die DSGVO?

Es gibt schon lange Bedenken hinsichtlich Google-Analytics seitens der Datenschutzaufsichtsbehörden in Deutschland, v.a wegen des nahezu unbeschränkten Zugriffs von US-Behörden auf personenbezogene Daten.

Jetzt:

DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden.

Google-Analytics vertößt gegen die Schrems II-Entscheidung des EuGH (= Privacy Shield gewährt kein angemessenes Datenschutzniveau).

Die vollständige Entscheidung finden Sie hier

Google Optimize ist ein A/B-Testing-Tool

Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.

Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.

Voraussetzungen eines rechtskonformen Einsatzes wären damit:

1. Einwilligung der Nutzer
2. Abschluss von Standardvertragsklauseln
3. Aufnahme in die Datenschutzerklärung
4. Daten-Transfer-Folgenabschätzung

Hier finden Sie eine gute Übersicht mit Checkliste

Was ist der Google Tag Manager?

• Google Tag Manager ist ein kostenloses Tag-Management-System (TMS)
• Damit können Code-Schnipsel (z.B. Tracking-Codes und Conversionpixel) auf der eigenen Website und Apps eingebaut werden
• Zugriff auf den Quellcode ist dabei nicht bei jeder kleinen Änderung erforderlich
• einmalig muss jedoch der Google Tag Manager Code in den Quellcode eingebunden werden
• sobald der Google Tag Manager Code einmal im Quellcode erfasst ist, können die einzelnen Tags im TMS angelegt werden --> leichtere und schnellere Anpassung bei Google Analytics, Google Ads etc. möglich
• Mit dem Google Tag Manager können also zentral externe Marketing- und Analyse-Tools verwaltet werden

Kann der Google Tag Manager datenschutzkonform eingesetzt werden?

• Datenschutzkonformer Einsatz nur möglich, wenn die Anforderungen der DSGVO und des TTDSG eingehalten werden
• Der Tag Manager selbst setzt keine Cookies
• Wird aber im Browser der Nutzer ausgeführt --> § 25 TTDSG!
• Wenn nicht technisch notwendig, muss:
  • Einwilligung des Nutzer muss eingeholt werden (über Cookie Consent Tool)
  • AV-Vertrag abgeschlossen werden
  • Hinweis in Datenschutzerklärung transparent gestaltet werden

Was ist Hubspot?

Hubspot ist ein Consumer-Relationship-Management (CRM) Plattform, die nach eigenen Angaben alle notwendigen Tools bezüglich Marketing, Vertrieb, Kundenservice, CMS und Operations umfasst. Die einzelnen Dienste können separat oder als Bundle gebucht werden.

Durch den Einsatz von Hubspot werden – wie generell bei CRM Systemen – eine Vielzahl von persönlichen Daten erhoben. Darunter sind Name, Adresse, Email-Adresse, IP-Adresse etc.

Bei Hubspot handelt es sich um ein US-amerikanisches Unternehmen. Es gelten also auch in Bezug auf Hubspot alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Hubsport bietet zwar ein ausschließliches Hosting auf deutschen Servern an. Dies mindert die Bedenken jedoch nur zum Teil, da die weitreichenden Eingriffsbefugnisse von US-Geheimdiensten auch hinsichtlich Daten auf europäischen Servern gelten.

Was muss alles getan werden, um Hubspot datenschutzkonform nutzen zu können?

• Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung) und: es gibt die Möglichkeit, die Speicherung der Daten auf europäischen Servern zu wählen (nicht in den USA!)
• ein AV-Vertrag zwischen dem Unternehmen und Hubspot ist zwingend abzuschließen
• Eine Aufklärung über die Verarbeitung und Speicherung der Daten muss in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform vorgenommen werden
• Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO aufgrund des Wegfalls des Privacy-Shields sind Standarddatenschutzklauseln zu verwenden

Was ist inSign?

inSign ist ein Tool zur Erstellung einer elektronischen Unterschrift. inSign hat seinen Unternehmenssitz in Deutschland und verwendet deutsche Server. Zudem ist inSign ISO- und TÜV-zertifiziert.

Was ist beim Einsatz von inSign datenschutzrechtlich zu beachten?

• Vertrag zur Auftragsverarbeitung abschließen, Art. 28 DSGVO
• Ggf. Einwilligung von Geschäftspartnern einholen, die den Signaturprozess durchlaufen sollen
• Hinweis in der Datenschutzerklärung auf der Website oder anderweitig in Textform, Art. 13 DSGVO

Was ist jsDelivr?

jsDelivr ist ein Open Source Content Delivery Network (CDN), das verwendet wird, um JavaScript- und CSS-Dateien schnell und effizient zu verteilen. Es wird häufig von Entwicklern verwendet, um sicherzustellen, dass ihre Anwendungen und Websites schnell geladen werden.

Um jsDelivr als CDN datenschutzkonform nach der DSGVO einzusetzen, müssen folgende Voraussetzungen erfüllt sein:

• Einwilligungen der Nutzer in Cookies
• AV-Vertrag abschließen
• Datenschutzerklärungen anpassen

Was ist Keeper?

Keeper ist ein Passwort-Manager-Tool mit Sitz in den USA, Japan und Irland. Keeper ist nach eigener Aussage eine Zero-Knowledge-Sicherheitslösung.

Laut eigenen Angaben von Keeper, kann das Tool datenschutzkonform nach der DSGVO eingesetzt werden:

• Registrierte Privatnutzer aus der EU nutzen automatisch Datenzentrum in der EU
• Geschäftskunden können Datenzentrum frei wählen --> unbedingt Datenzentrum in der EU wählen
• Keeper ist  SOC 2 Typ 2 und ISO 27001 zertifiziert
• Keeper nutzt TLS-Verschlüsselung (Transport Layer Security) und AES-256-Bit-Kodierung (Datenschlüssel und Kodierungsschlüssel sind voneinander getrennt)
• AV-Vertrag abschließen!

Mailchimp ist ein in den USA sitzender Anbieter eines Newsletter-Tools.

Aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und: --> datenschutzrechtliche Einwilligung ist einzuholen

Voraussetzungen für den datenschutzkonformen Einsatz:

• 1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
• 2. Standarddatenschutzklauseln vereinbaren
• 3. Einwilligung bei Newsletter-Registrierung einholen
• 4. Double-Opt-In (eigentlich eine werberechtliche Voraussetzung)

Was ist Matomo?

Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.

Was ist datenschutzrechtlich zu beachten?

Das Tool kann

• ganz ohne die Erhebung personenbezogener Daten eingesetzt werden(Privacy-Einstellungen), indem, dass die letzten Ziffern der IP-Adresse anonymisiert wird.
• auch komplett ohne Cookies eingesetzt werden (in der Privacy-Einstellung „alle Tracking-Cookies deaktivieren“).
  (Achtung: Matomo nutzt in der Standardeinstellung Cookies. In diesem Fall muss also in jedem Fall ein Cookie-Banner mit Einwilligungsmöglichkeit verwendet werden.)

Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung  (und damit keinen Banner!) Ein Hinweis in der Datenschutzerklärung dürfte optional sein.

Was aber ist TTDSG-rechtlich zu beachten?

Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

• gilt also vor allem für Cookies! Allerdings soll nach dem Willen des Gesetzgebers und wohl auch nach dem Wortlaut des
  § 25 TTDSG die Einwilligungspflicht nicht nur für Cookies gelten, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ bestimmte Informationen zum Nutzer nachvollzogen werden kann.

Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.

Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.

Was ist Meetergo?

Meetergo ist eine Conversion- und Terminplanungs-Software.

Ist Meetergo datenschutzkonform einsetzbar?

• Eine solche Anwendung ist als Auftragsverarbeitung nach Art. 28 DSGVO einzuordnen.
• Die entsprechenden Voraussetzungen müssen also vorliegen, v.a. Vertrag zur Auftragsverarbeitung und ausreichende Maßnahmen nach Art. 32 DSGVO  - TOMs.

Meetergo 

• speichert nach eigenen Angaben die Daten auf deutschen Servern in Frankfurt (Datenzentren nach ISO 27001 zertifiziert)
• erfordert beim Einsatz keine zusätzlichen Cookies
• bietet einen Vertrag zur Auftragsverarbeitung an
• verschlüsselt alle Daten mit einer End-zu-End-Verschlüsselung (RSA-2048 und AES-256)
• verwendet bei der Terminbuchungsseite ein SSL-Zertifikat

Fazit:
Meetergo ist datenschutzkonform verwendbar, wenn ein entsprechender Hinweis in der Datenschutzerklärung auf der Website erfolgt.

Ausführliche Informationen zu Microsoft Office 365 finden Sie in unserem Blog.

Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.

Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.

Argument nicht valide, da

• Änderungen im AV-Vertrag nur für Zukunft gelten
• Verarbeitung nur für vorher festgelegte Zwecke erfolgt, nämlich: Abrechnungs- und Kontoverwaltung
• Interne Berichterstattung
• Bekämpfung von Betrug und Cyberkriminalität;
• Keine Verarbeitung zur Benutzerprofilierung, zur Werbung oder zu ähnlichen kommerziellen Zwecken!

Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:

• Die Nutzung von sogenannten EU-Standardverträgen
• Der Aufbau von internen Unternehmensrichtlinien zur Nutzung von Office 365 innerhalb eines Unternehmens
• Die Einwilligung der Betroffenen als Zustimmung zum transatlantischen Datentransfer

Was ist Miro?

• Miro ist ein Online-Kollaborations-Tool
• Miro bietet die Möglichkeit, im Team an Online-Whiteboards zu arbeiten sowie zahlreiche Tools zu integrieren, wie z.B. Zoom, Google Docs oder auch Microsoft 365 Apps u.v.m.
• Miro wird v.a. von Software-Unternehmen, Designern und Agenturen eingesetzt
• Miro ist ein cloudbasiertes Tool mit Sitz in den USA

Miro ist ein US-amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields derzeit Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den minimalen datenschutzkonformen Einsatz von Miro:

1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
2. Standarddatenschutzklauseln (inkl. TIA) vereinbaren
3. Einwilligung des Betroffenen einholen
4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform

Der Einsatz von Paypal als Bezahlmethode ist DSGVO-konform.

PayPal ist in den meisten Fällen verantwortliche Stelle (und kein Auftragsverarbeiter). Sitz ist in Luxemburg, damit gelten die DSGVO-Regelungen unmittelbar – ohne Art. 44 DSGVO bemühen zu müssen.

Als europäische Bank mit Sitz in Luxemburg muss PayPal den Anforderungen des Datenschutzes und der Finanzaufsichtsbehörden nachkommen.

Tipp:
PayPal als Bezahlmethode in die eigene Datenschutzerklärung mitaufnehmen.

Pipedrive ist ein Cloud-basiertes Software-as-a-Service-Unternehmen mit Sitz in den USA. Es gibt eine Webanwendung und eine mobile App zur Nutzung des Kundenbeziehungsmanagement-Tools. Bei der Verwendung von Pipedrive werden personenbezogene Daten der Kunden verarbeitet.

Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den datenschutzkonformen Einsatz von Pipedrive:

    1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)

    2. Standarddatenschutzklauseln vereinbaren

    3. Einwilligung des Betroffenen einholen, § 25 Abs. 1 TTDSG

    4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform

    5. Abschluss eines AV-Vertrags mit Pipedrive

Salesforce ist US-amerikanischer IT-Konzern, der u.a. eine eine CRM-Plattform anbietet. 

Die DSGVO-Konformität von Salesforce ist schwierig zu beurteilen. Auf einigen Homepages wird Salesforce als DSGVO-konform beschrieben (https://mind-force.de/knowhow/salesforce-dsgvo/#datenschutz-salesforce; https://softwareguide24.de/software/crm/salesforce-1/dsgvo-konform).  Da Salesforce Inc. ein US-Unternehmen ist, stellt sich möglicherweise hier die Drittstaatenproblematik nach Art. 44 ff. DSGVO. Für die Anwendbarkeit von Art. 44 ff. DSGVO ist die Übermittlung an einen Empfänger mit Sitz in einem Drittland ausreichend. „Übermittlung“ ist dabei weit zu verstehen und meint bereits die Offenlegung bzw. Zugänglichmachung der personenbezogenen Daten an einen Empfänger aus einem Drittland (Beck, BeckOK Datenschutzrecht Art. 44 Rn. 15).

Damit ist für den deutschen Nutzer entscheidend, welche Salesforce Entität Empfänger der Daten ist. Liegen die Daten ausschließlich auf europäischen Servern, die von den deutschen oder anderen europäischen Tochtergesellschaften (ohne Zugriffsmöglichkeit des US-Mutterunternehmens) gemanaged werden, läge keine Drittlands-Übermittlung vor.

Hätte die Muttergesellschaft Salesforce Inc. oder eine drittstaatliche Tochtergesellschaft Zugriff auf die Daten, wäre der Anwendungsbereich der Art. 44 ff. DSGVO hingegen eröffnet. Demnach würde sich hier die Unsicherheit entfalten, die das EuGH-Urteil „Schrems II“ hinterlassen hat. Hiernach trifft den Verantwortlichen die Pflicht zu beurteilen, ob die SCC ausreichend wirksame Garantien für eine Drittlandsübermittlung schaffen. Ist dies nicht der Fall muss der Verantwortliche zusätzliche Maßnahmen treffen, die garantieren, dass dem europäischen Datenschutzniveau auch im Drittland Rechnung getragen wird.

Da der EuGH zu dem Schluss gekommen ist, dass das Datenschutzniveau in den USA nicht ausreichend ist, sind bei Übermittlungen in die USA regelmäßig zusätzliche Maßnahmen vom Verantwortlichen zu ergreifen (siehe Dazu Pressemittelung der DSK).

Zu den weiteren Maßnahmen, die ein EU-Exporteur treffen kann, gibt es einen Beispielskatalog in den Empfehlungen des EDSA.

Insgesamt ist der Einsatz von Salesforce also mit einigen Unsicherheiten verbunden. Sollte Salesforce dennoch eingesetzt werden, ist an die folgenden Maßnahmen zu denken:

Voraussetzungen für den datenschutzkonformen Einsatz von Salesforce:

• Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
• Sich bei dem Hersteller erkundigen, ob die Server-Instanzen, auf denen die Daten gespeichert werden sollen, ausgewählt werden können. Wenn Ja, dann europäische Server wählen.
• Standarddatenschutzklauselnvereinbaren
• Einwilligung des Betroffenen einholen (nach § 25 Abs. 1 TTDSG und nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO)
• Entsprechender Hinweis in der Datenschutzerklärungauf der Website bzw. anderweitig in Textform
• Abschluss  eines AV-Vertragsmit Salesforce

Samdock ist eine cloudbasierte Customer-Relationship-Management-Lösung für kleine und mittlere Vertriebsteams.

• Hosting der CRM Daten erfolgt nach eigenen Angaben in Deutschland
• Das System Samdock ist laut eigenen Angaben von Samdock nach den Grundsätzen der DSGVO entwickelt und einsetzbar

Samdock ist somit unter folgenden Voraussetzungen datenschutzkonform nutzbar:

• Hinweis in der Datenschutzerklärungauf der Website bzw. anderweitig in Textform, Art. 6 und 13 DSGVO
• Ein AV-Vertragmit Samdock muss geschlossen werden
• Ggf. (je nach Anwendung) eine Einwilligung des Betroffenen nach § 25 Abs. 1 TTDSG

Was ist TikTok?

TikTok ist eine Social Media Plattform zum Teilen von Kurz-Videos.

TikTok hat seinen Hauptsitz in China (große Drittland-Problematik)

Laut Datenschutzerklärung von TikTok, werden bei Verwendung der App u.a. folgende personenbezogene Daten verarbeitet:

• Auswertung von Standortinformationen
• Tracking des Nutzerverhaltens
• Erhebung von technischen Daten
• TikTok behält sich vor, personenbezogene Daten innerhalb des Konzern auszutauschen und weiterzugeben
• Etc.

Was ist beim (geschäftlichen) Einsatz von TikTok zu beachten?

• Abwägung der Verantwortlichen nötig, ob Tool zwingend eingesetzt werden muss
• Falls ja: genaue Dokumentation der Gründe für die Verwendung des Tools
• Standarddatenschutzklauseln (inkl. TIA) vereinbaren
• Durchführung einer Datenschutz-Folgenabschätzung (DSFA) 
• Hinweis in Datenschutzerklärung auf Website oder anderweitig in Textform
• Einwilligung des Betroffenen einholen, Art. 6 Abs. 1 lit. a) DSGVO, § 25 Abs. 1 TTDSG
• Abschluss eines AV-Vertrags

--> Einsatz von TikTok ist aus datenschutzrechtlicher Sicht sehr problematisch, heiß diskutiert und sollte nach Möglichkeit unterlassen werden.

Mehr Infos

Was ist Webflow?

• Webflow fällt unter die Kategorie Software as a Service (SaaS)
• Mithilfe von Webflow können ohne fundierte Programmierkenntnisse schnell und unkompliziert Webseiten und Online-Shops erstellt werden mittels einer Online-Editor-Plattform
• Webflow bietet zudem einen Hosting Service
• Webflow, Inc. ist ein US-amerikanisches Unternehmen mit Sitz in San Francisco

Webflow ist ein amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields bis auf Weiteres Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den minimalen datenschutzkonformen Einsatz von Webflow:

1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
2. Standarddatenschutzklauseln (inkl. TIA) vereinbaren
3. Einwilligung des Betroffenen einholen
4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform
5. Vertrag zur Auftragsverarbeitung abschließen