Auswahl von Online-Tools

Auswahl von Online-Tools – was sagt der Datenschutz?

Fast alle Unternehmen müssen sich bei der Auswahl von Online-Tools mit dem Datenschutz auseinandersetzen, denn Sie setzen wahrscheinlich irgendwo entsprechende Online-Tools ein.

Zum Beispiel für die Zusammenarbeit mit Mitarbeitern, Lieferanten und Kunden (Home-Office!). Aber auch für die Verbesserung von internen Prozessen (z.B. Projektmanagement, Schulung, Zeiterfassung usw.) werden Online-Tools genutzt.

Bei der Auswahl stehen naturgemäß Funktion, Bedienbarkeit und nicht zuletzt die Kosten im Fokus.

Aber haben Sie auch den Datenschutz ausreichend berücksichtigt? Sind Ihre Daten jederzeit verfügbar und sicher? Und was ist mit Anbietern außerhalb der EU?

Völlig unproblematisch ist der Einsatz eines Online-Tools nur, wenn alle Anforderungen der DSGVO erfüllt werden. In der Praxis ist das aber meistens nicht der Fall. Kann man Online-Tools als Unternehmen trotzdem einsetzen? Welche Punkte Sie dabei  beachten sollten…

Risikobasierter Ansatz

Das Risiko für den Einsatz eines Online-Tools, trägt der „Verantwortliche“. Verantwortlich ist gemäß Art. 4 Nr. 7 DSGVO diejenige Stelle, die

„…allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet …“.

Verantwortlich ist daher in der Regel das nutzende Unternehmen, vertreten durch die Geschäftsführung. Abhängig vom konkreten Einsatzszenario können sich aber auch andere Verantwortlichkeiten ergeben.
Der Verantwortliche muss sich vor dem Einsatz des Online-Tools informieren, welche Risiken in Bezug auf die Rechte und Freiheiten aller möglicherweise betroffenen Personen bestehen.

Entscheidet er sich trotz bestehender Risiken für den Einsatz des Tools, so verantwortet er die möglichen Folgen des Einsatzes.

Welche Kriterien sind bei der Auswahl von Online-Tools wichtig?

Folgende Punkte sind bei der Auswahl zur Beurteilung eines Online-Tools wichtig:

  • Welche Daten werden überhaupt übertragen und verarbeitet (Metadaten, personenbezogene Inhalte, besondere Kategorien von Daten, geheimhaltungsbedürftige Daten)?
  • Wie kritisch sind diese verarbeiteten Daten aus Datenschutzsicht / für die betroffenen Personen?
  • Zu welchen Zwecken verarbeitet der Anbieter die Daten? (Nutzung ausschließlich für die Erbringung der beauftragten Dienstleistung, oder auch für eigene Zwecke?(!))
  • Wo werden die Daten verarbeitet?
  • Wie ist es um den Datenschutz am Ort der Verarbeitung oder dem Sitz des Anbieters bestellt?
  • Ist der Datenschutz technisch und vertraglich ausreichend abgesichert (formal -> Vertrag zur Verarbeitung im Auftrag, technisch -> Sicherheit der Verarbeitung beim Anbieter)?

Aber auch im eigenen Unternehmen müssen einige Punkte beachtet werden:

  • Sind die Informationspflichten gegenüber den Betroffenen eingehalten?
  • Können die Betroffenenrechte umgesetzt werden?

Empfehlungen für die Auswahl von Online-Tools

  1. Tipp: Der Einsatz von Tools sollte ein gesteuerter Prozess sein. Lassen Sie nicht zu, dass Ihre Beschäftigten beliebige Tools ohne Überprüfung einsetzen.
  2. Tipp: Wovon „lebt“ der Tool-Anbieter? Kostenlose Tools wirken auf den ersten Blick attraktiv. Häufig bezahlen Sie diese Anbieter aber mit personenbezogenen Daten der Nutzer oder durch Werbung.
  3. Tipp: Werfen Sie einen kritischen Blick in die Datenschutzhinweise oder das „Privacy Statement“ des Anbieters. Hier sollte verständlich beschrieben sein, was mit Ihren Daten passiert.
  4. Tipp: Zumeist handelt es sich beim Einsatz von Online-Tools um eine Verarbeitung im Auftrag. Daher muss ein entsprechender Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden. Hierbei unterstützt Sie Ihr Datenschutzberater oder Datenschutzbeauftragter.
  5. Tipp: Transparenz! Informieren Sie alle Betroffenen über den Einsatz eines Tools und nehmen Sie Bedenken gegen einzelne Online-Tools von Betroffenen unbedingt ernst!

Fazit für die Auswahl von Online-Tools

Online-Tools bieten große Potenziale. Nutzen Sie diese! Wenn Sie unsere Tipps berücksichtigen, haben Sie schon sehr viel für den Datenschutz getan!

Wir unterstützen Sie bei der Bewertung und Auswahl geeigneter Online-Tools gerne.

LDA untersagt Mailchimp Nutzung

LDA untersagt Mailchimp Nutzung

LDA untersagt Mailchimp Nutzung

Mit „LDA untersagt Mailchimp Nutzung“ hat das Ende des Privacy Shield und die Datenübertragung in Drittländer, das sind Länder außerhalb der Europäischen Union ohne Angemessenheitsbeschluss wie z.B. die USA, nun Auswirkungen.

Das bayerisches Landesamt für Datenschutzaufsicht (LDA) hat einem Münchner Unternehmen die Nutzung von Mailchimp (Newsletter-Tool) untersagt. Quelle https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

Grund hierfür war eine unzureichende Interessenabwägung, also eine fehlende Begründung dafür, warum gerade dieser Anbieter genutzt wird, und wieso damit eine Rechtfertigung bestehen sollte, die personenbezogenen Daten auch in Drittstaaten zu übertragen.

kein generelles Verbot der Mailchimp Nutzung

Das LDA hat das Newsletter-Tool im allgemeinen nicht verboten, jedoch wird mit der Entscheidung klar, dass ohne überwiegende Interessen, dieses Tool zu nutzen, andere Alternativen in Betracht gezogen werden müssen.

Gerade bei der Übertragung von Daten in Drittstaaten sind seit dem Ende des Privacy Shield Abkommens, abgesehen von Standardvertragsklauseln zusätzliche Garantien notwendig. Ein einfaches „wir brauchen das, weil es so toll ist“ reicht nicht aus. Das Datenschutz-Niveau muss gewährleistet sein. Zum Beispiel mit entsprechenden Maßnahmen zur Verschlüsselung und zusätzlichen Vereinbarungen mit dem Auftragsverarbeitern, dass die Daten nicht ohne rechtliche Grundlage herausgegeben werden.

Insbesondere die Interessenabwägung des Münchner Unternehmens war hier nicht ausreichend. Es ist in diesem Zusammenhang immer zu Prüfen, ob es nicht ein milderes Mittel gibt. Also im Fall des Newsletter-Tools in Drittstaaten, ein anderes Tool, das die Daten nicht außerhalb der EU überträgt. Verfügt theoretisch kein anderes Tool über diese Funktionen, könnte ein berechtigtes Interesse gegeben sein. Aber auch dann wären zusätzliche Maßnahmen zu ergreifen um das Datenschutz-Niveau aufrechtzuerhalten.

Bewertung der Untersagung

Diese Entscheidung ist nur eine der ersten praktischen Auswirkungen des Schrems II Urteils. Angeblich erstellen die Landes-Datenschutzbehörden Fragebögen im Zusammen mit der Drittstaatenübertragung von personenbezogenen Daten.

Wir gehen davon aus, dass Kontrollen durchgeführt und Beschwerden nachgegangen werden wird. Deshalb sollte  spätestens jetzt jedes Unternehmen die Übertragungen prüfen. (Auftragsverarbeiter und Unterauftragnehmer nicht vergessen!)

Im Zweifel könnte der Einsatz bestimmter Tools nicht mehr möglich sein. Bußgelder wären möglich und Geschäftsprozesse kämen zum erliegen.

Was Unternehmen nun tun sollten

Ob eine Interessenabwägung überhaupt ausreichend sein kann, ist derzeit noch (immer) nicht klar. Wer sich Ärger und viel Aufwand ersparen möchte, sich mit den kleinen Details nicht auseinandersetzen möchte, oder kann, sucht sich am besten ein Newsletter Tool innerhalb der EU.