Seit 10.07.2023 gibt es einen neuen Angemessenheitsbeschluss mit den USA - Das EU-US Data Privacy Framework
Somit gibt es eine neue Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU in die USA.
Damit können also ab sofort personenbezogene Daten aus der EU in die USA fließen, ohne dass Standarddatenschutzklauseln oder TIAs erforderlich sind. Dies gilt jedoch nur, sofern die Organisation, an die die Daten übermittelt werden, auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen.
Derzeit gilt also: rein rechtlich können auf Basis des Angemessenheitsbeschlusses personenbezogene Daten in die USA übertragen werden, sofern das Unternehmen hier gelistet ist.
Mit Adobe Acrobat Sign können PDF Dokumente elektronisch signiert und unterschrieben werden. Adobe Systems Software hat seinen Unternehmenssitz in Irland und ist somit auch zur Einhaltung der DSGVO verpflichtet.
Nach den Informationen auf Adobe’s Webseite werden beim Signaturvorgang Name, E-Mail-Adresse, IP-Adresse und optional Telefonnummer gesammelt und dann zusammen mit der Vereinbarung und der Signatur gespeichert. Dies alles wird von dem Unternehmen kontrolliert, das die zu unterschreibende Vereinbarung gesendet hat.
Die Signatur und die gesammelten Daten stellen personenbezogene Daten dar. Damit ist Art. 17 DSGVO bezüglich Löschpflichten zu beachten. Es ist davon auszugehen, dass eine Löschpflicht erst besteht, wenn eine etwaige gesetzliche Speicherfrist abgelaufen ist (Art. 17 Abs. 3 lit. b DSGVO) und das Dokument nicht mehr zur Geltendmachung oder Verteidigung von Rechtsansprüchen notwendig ist (Art. 17 Abs. 3 lit. e DSGVO). Das betrifft natürlich immer nur das gesamte Dokument – und nicht die einzelne Unterschrift. Letztere darf nicht gesondert gelöscht werden, weil es damit das ganze Dokument verfälschen würde!
Was ist Azure Key Vault?
Azure Key Vault ist ein von Microsoft angebotener Cloud-Dienst zum Speichern von Geheimnissen, wie Passwörter, Zertifikate oder kryptografischer Schlüssel.
Wie sinnvoll ist für die Microsoft Azure Cloud eine Verschlüsselung, wenn der Schlüssel im Azure Key Vault liegt?
Der Vorteil eines solchen Vorgehens ist, dass alles zentralisiert ist und man nur einen Dienstanbieter nutzt bzw. nutzen muss.
Gegen ein solches Vorgehen sprechen aber gewichtige Argumente:
Aus der Perspektive der IT-Sicherheit ist es niemals eine gute Idee, Daten und Schlüssel an demselben Ort aufzubewahren. Diese Überlegung lässt auch auf Dienstanbieter übertragen: Es ist bereits prinzipiell davon abzuraten, Daten und Schlüssel bei demselben Anbieter zu verwahren.
Insgesamt halten wir es daher für ein unnötiges Datenschutzrisiko und im Zweifel als nicht datenschutzkonform, wenn die verschlüsselten Daten in der Microsoft Azure Cloud und der zu ihnen zugehörige Schlüssel in dem Microsoft Azure Key Vault gespeichert werden.
Was ist Calendly?
Calendly ist eine Terminplanungssoftware. Kunden können sich selbst automatisiert verfügbare Termine über eine Website reservieren und sich diese dann in den eigenen Terminkalender integrieren und Erinnerungsmails dazu schicken lassen. Es ist eine Anbindung an den persönlichen Terminkalender notwendig, damit Termine sofort im Terminkalender blockiert werden.
Calendly ist ein amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.
Im Einzelnen:
1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
2. Standarddatenschutzklauseln vereinbaren
3. Einwilligung des Betroffenen einholen
4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig
in Textform
LiiDU-Tipp: Eine deutsche Alternative mit Servern in Deutschland nutzen, z.B. Meetergo
Was macht Cloudflare?
Cloudflare ist ein US-amerikanisches Unternehmen, das ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitstellt, die sich zwischen dem Besucher und dem Hosting-Anbieter des Cloudflare-Benutzers befinden und als Reverse Proxy für Websites fungieren. Cloudflare legt zudem Kopien von Webseiten auf eigene Server. Diese Server befinden sich verteilt an unterschiedlichen Standorten auf der Welt. Bei Aufruf einer bestimmten Webseite von einem bestimmten Standort aus, wird immer der geeignete Server angesprochen, was den Zugriff auf die Seite beschleunigt. Zudem identifiziert Cloudflare Crawler oder Bots, die möglicherweise Ressourcen und Bandbreite belasten würden.
Problem: US-amerikanischer Dienst!
--> Eigentlich kann der Einsatz nur mit Einwilligung des Nutzers stattfinden
(was aber den Interessen des Berechtigten widersprechend dürfte).
Das schreibt der TÜV-Süd auf seiner Website zur Nutzung Cloudflare:
"Schutz vor Störungen und Missbrauch sowie Verbesserung der Webseite
Personenbezogene Nutzungsdaten, wie Ihre IP-Adresse sowie die Zeiten Ihrer Aufrufe unseres Internettauftritts, werden über die Webseite zur Ermittlung sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen und zur Performanceverbesserung unseres Internetauftrittes, verarbeitet. Diese Website nutzt Dienste von „Cloudflare“ (Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare betreibt ein Content Delivery Network (CDN) und stellt Schutzfunktionen für die Website (Web Application Firewall) zur Verfügung. Der Datentransfer zwischen Ihrem Browser und unseren Servern fließt über die Infrastruktur von Cloudflare und wird dort analysiert, um Angriffe abzuwehren. Cloudflare setzt dazu Cookies ein, um Ihnen den Zugang zu unserer Webseite zu ermöglichen. Die Nutzung von Cloudflare erfolgt im Interesse einer sicheren Nutzung unserer Internetpräsenz und der Abwehr schädlicher Angriffe von außen. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung"
Unter dem Punkt: technisch-notwendige Cookies!
Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.
FontAwesome bietet eine Web Icon Library. Um die Icons anzeigen und laden zu können, werden bei FontAwesome (wie bei der der Verlinkung von GoogleFonts) die IP-Adresse beim Aufruf übertragen. Somit werden personenbezogene Daten im Sinne der DSGVO erfasst.
Für die Verarbeitung personenbezogener Daten, die FontAwesome vornimmt, benötigt man eine Rechtsgrundlage nach Art. 6 DSGVO.
--> Einwilligung!
Antwort:
Ja, wenn Google Fonts dynamisch per Link eingebunden wird, kann man FontAwesome damit vergleichen.
Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.
Google AdWords = größter Anbieter
Es gibt auch Alternativen zu Google AdWords, z.B.:
Es gibt schon lange Bedenken hinsichtlich Google-Analytics seitens der Datenschutzaufsichtsbehörden in Deutschland, v.a wegen des nahezu unbeschränkten Zugriffs von US-Behörden auf personenbezogene Daten.
Jetzt:
DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden.
Google-Analytics vertößt gegen die Schrems II-Entscheidung des EuGH (= Privacy Shield gewährt kein angemessenes Datenschutzniveau).
Die vollständige Entscheidung finden Sie hier
Google Optimize ist ein A/B-Testing-Tool
Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.
Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.
Voraussetzungen eines rechtskonformen Einsatzes wären damit:
Hubspot ist ein Consumer-Relationship-Management (CRM) Plattform, die nach eigenen Angaben alle notwendigen Tools bezüglich Marketing, Vertrieb, Kundenservice, CMS und Operations umfasst. Die einzelnen Dienste können separat oder als Bundle gebucht werden.
Durch den Einsatz von Hubspot werden – wie generell bei CRM Systemen – eine Vielzahl von persönlichen Daten erhoben. Darunter sind Name, Adresse, Email-Adresse, IP-Adresse etc.
Bei Hubspot handelt es sich um ein US-amerikanisches Unternehmen. Es gelten also auch in Bezug auf Hubspot alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Hubsport bietet zwar ein ausschließliches Hosting auf deutschen Servern an. Dies mindert die Bedenken jedoch nur zum Teil, da die weitreichenden Eingriffsbefugnisse von US-Geheimdiensten auch hinsichtlich Daten auf europäischen Servern gelten.
inSign ist ein Tool zur Erstellung einer elektronischen Unterschrift. inSign hat seinen Unternehmenssitz in Deutschland und verwendet deutsche Server. Zudem ist inSign ISO- und TÜV-zertifiziert.
Was ist beim Einsatz von inSign datenschutzrechtlich zu beachten?
Was ist jsDelivr?
jsDelivr ist ein Open Source Content Delivery Network (CDN), das verwendet wird, um JavaScript- und CSS-Dateien schnell und effizient zu verteilen. Es wird häufig von Entwicklern verwendet, um sicherzustellen, dass ihre Anwendungen und Websites schnell geladen werden.
Um jsDelivr als CDN datenschutzkonform nach der DSGVO einzusetzen, müssen folgende Voraussetzungen erfüllt sein:
Was ist Keeper?
Keeper ist ein Passwort-Manager-Tool mit Sitz in den USA, Japan und Irland. Keeper ist nach eigener Aussage eine Zero-Knowledge-Sicherheitslösung.
Laut eigenen Angaben von Keeper, kann das Tool datenschutzkonform nach der DSGVO eingesetzt werden:
Mailchimp ist ein in den USA sitzender Anbieter eines Newsletter-Tools.
Aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und: --> datenschutzrechtliche Einwilligung ist einzuholen
Voraussetzungen für den datenschutzkonformen Einsatz:
Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.
Was ist datenschutzrechtlich zu beachten?
Das Tool kann
Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung (und damit keinen Banner!) Ein Hinweis in der Datenschutzerklärung dürfte optional sein.
Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ bestimmte Informationen zum Nutzer nachvollzogen werden kann.
Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.
Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.
Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.
Was ist Meetergo?
Meetergo ist eine Conversion- und Terminplanungs-Software.
Ist Meetergo datenschutzkonform einsetzbar?
Fazit:
Meetergo ist datenschutzkonform verwendbar, wenn ein entsprechender Hinweis in der Datenschutzerklärung auf der Website erfolgt.
Ausführliche Informationen zu Microsoft Office 365 finden Sie in unserem Blog.
Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.
Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.
Argument nicht valide, da
Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:
Was ist Miro?
Miro ist ein US-amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields derzeit Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.
Im Einzelnen:
Voraussetzungen für den minimalen datenschutzkonformen Einsatz von Miro:
Der Einsatz von Paypal als Bezahlmethode ist DSGVO-konform.
PayPal ist in den meisten Fällen verantwortliche Stelle (und kein Auftragsverarbeiter). Sitz ist in Luxemburg, damit gelten die DSGVO-Regelungen unmittelbar – ohne Art. 44 DSGVO bemühen zu müssen.
Als europäische Bank mit Sitz in Luxemburg muss PayPal den Anforderungen des Datenschutzes und der Finanzaufsichtsbehörden nachkommen.
Tipp:
PayPal als Bezahlmethode in die eigene Datenschutzerklärung mitaufnehmen.
Pipedrive ist ein Cloud-basiertes Software-as-a-Service-Unternehmen mit Sitz in den USA. Es gibt eine Webanwendung und eine mobile App zur Nutzung des Kundenbeziehungsmanagement-Tools. Bei der Verwendung von Pipedrive werden personenbezogene Daten der Kunden verarbeitet.
Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.
Im Einzelnen:
Voraussetzungen für den datenschutzkonformen Einsatz von Pipedrive:
1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
2. Standarddatenschutzklauseln vereinbaren
3. Einwilligung des Betroffenen einholen, § 25 Abs. 1 TTDSG
4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform
5. Abschluss eines AV-Vertrags mit Pipedrive
Salesforce ist US-amerikanischer IT-Konzern, der u.a. eine eine CRM-Plattform anbietet.
Die DSGVO-Konformität von Salesforce ist schwierig zu beurteilen. Auf einigen Homepages wird Salesforce als DSGVO-konform beschrieben (https://mind-force.de/knowhow/salesforce-dsgvo/#datenschutz-salesforce; https://softwareguide24.de/software/crm/salesforce-1/dsgvo-konform). Da Salesforce Inc. ein US-Unternehmen ist, stellt sich möglicherweise hier die Drittstaatenproblematik nach Art. 44 ff. DSGVO. Für die Anwendbarkeit von Art. 44 ff. DSGVO ist die Übermittlung an einen Empfänger mit Sitz in einem Drittland ausreichend. „Übermittlung“ ist dabei weit zu verstehen und meint bereits die Offenlegung bzw. Zugänglichmachung der personenbezogenen Daten an einen Empfänger aus einem Drittland (Beck, BeckOK Datenschutzrecht Art. 44 Rn. 15).
Damit ist für den deutschen Nutzer entscheidend, welche Salesforce Entität Empfänger der Daten ist. Liegen die Daten ausschließlich auf europäischen Servern, die von den deutschen oder anderen europäischen Tochtergesellschaften (ohne Zugriffsmöglichkeit des US-Mutterunternehmens) gemanaged werden, läge keine Drittlands-Übermittlung vor.
Hätte die Muttergesellschaft Salesforce Inc. oder eine drittstaatliche Tochtergesellschaft Zugriff auf die Daten, wäre der Anwendungsbereich der Art. 44 ff. DSGVO hingegen eröffnet. Demnach würde sich hier die Unsicherheit entfalten, die das EuGH-Urteil „Schrems II“ hinterlassen hat. Hiernach trifft den Verantwortlichen die Pflicht zu beurteilen, ob die SCC ausreichend wirksame Garantien für eine Drittlandsübermittlung schaffen. Ist dies nicht der Fall muss der Verantwortliche zusätzliche Maßnahmen treffen, die garantieren, dass dem europäischen Datenschutzniveau auch im Drittland Rechnung getragen wird.
Da der EuGH zu dem Schluss gekommen ist, dass das Datenschutzniveau in den USA nicht ausreichend ist, sind bei Übermittlungen in die USA regelmäßig zusätzliche Maßnahmen vom Verantwortlichen zu ergreifen (siehe Dazu Pressemittelung der DSK).
Zu den weiteren Maßnahmen, die ein EU-Exporteur treffen kann, gibt es einen Beispielskatalog in den Empfehlungen des EDSA.
Insgesamt ist der Einsatz von Salesforce also mit einigen Unsicherheiten verbunden. Sollte Salesforce dennoch eingesetzt werden, ist an die folgenden Maßnahmen zu denken:
Voraussetzungen für den datenschutzkonformen Einsatz von Salesforce:
Samdock ist eine cloudbasierte Customer-Relationship-Management-Lösung für kleine und mittlere Vertriebsteams.
Samdock ist somit unter folgenden Voraussetzungen datenschutzkonform nutzbar:
Was ist TikTok?
TikTok ist eine Social Media Plattform zum Teilen von Kurz-Videos.
TikTok hat seinen Hauptsitz in China (große Drittland-Problematik)
Laut Datenschutzerklärung von TikTok, werden bei Verwendung der App u.a. folgende personenbezogene Daten verarbeitet:
Was ist beim (geschäftlichen) Einsatz von TikTok zu beachten?
--> Einsatz von TikTok ist aus datenschutzrechtlicher Sicht sehr problematisch, heiß diskutiert und sollte nach Möglichkeit unterlassen werden.
Was ist Webflow?
Webflow ist ein amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields bis auf Weiteres Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.
Im Einzelnen:
Voraussetzungen für den minimalen datenschutzkonformen Einsatz von Webflow:
Was ist Cisco Webex?
Webex ist ein Videokonferenz-Tool mit Sitz in den USA.
Cisco Webex gab in einer Pressemitteilung am 29.06.2023 bekannt, dass sie sich in großem Maße für den Datenschutz und eine sichere hybride Arbeitsumgebung einsetzen und hierfür eine Zertifizierungsprozess durch unabhängige Dritte durchlaufen haben, um die höchste Stufe des europäischen Scope-Verhaltenskodex zu erlangen.
Diese Zertifizierung bietet einen Nachweis für die Umsetzung zusätzlicher Sicherheitsvorkehrungen, die - gemäß dem risikobasierten Ansatz der DSGVO - für einige Verarbeitungstätigkeiten besonders relevant sein können. Mit der Einführung von weiteren Sicherheitsvorkehrungen konnte Cisco die Konformitätsstufe von Webex auf die höchste Stufe anheben, was die starken Bemühungen des Unternehmens um angemessene und transparente Datenverarbeitungspraktiken unterstreicht.
Zulässigkeit des Videokonferenz-Tools Cisco Webex am EuGH
In einem aktuellen Beschluss wurde vom EU-Datenschutzbeauftragten Wojciech Wiewiórowski festgestellt, dass die die Installation des Cloud-gestützten Videokonferenzdienstes Cisco Webex, die beim EuGH aktuell verwendet wird, den Anforderungen der Datenschutzgrundverordnung entspricht.
Entscheidend für die positive Entscheidung hinsichtlich der Verwendbarkeit sei laut Wiewiórowski die Tatsache, dass der Europäische Gerichtshof technische und organisatorische Maßnahmen getroffen habe, um die personenbezogenen Daten in einem angemessenen Maß zu schützen.
Dieser Beschluss vom 13.07.2023 stellt jedoch weder eine allgemeine Billigung noch eine Zertifizierung der Einhaltung der Datenschutzbestimmungen der von einer Cisco Webex-Einheit angebotenen Videokonferenzdienste dar. Mehr Infos dazu bei Heise.de
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung