DSGVO und Drittanbieterlösungen: Antworten auf Ihre Fragen | Mailjet

DSGVO und Drittanbieterlösungen

Antworten auf Ihre Fragen

 

 

  1. Was passiert, wenn meine Daten bei Drittanbieter-Cloud-Lösungen gespeichert sind?
  2. Was sollte ich tun, wenn ich Drittanbieterlösungen bei der Verarbeitung von Daten unter der EU Datenschutz-Grundverordnung verwende?
  3. Kann ich unter der Europäischen Datenschutz-Grundverordnung mit Lösungsanbietern arbeiten, die außerhalb der EU ansässig sind?
  4. Welche Kriterien muss mein Lösungsanbieter außerhalb der EU erfüllen, um von der DSGVO anerkannt zu werden?
  5. Was passiert wenn die Prüfung meines Lösungsanbieters außerhalb der EU erfolgreich war?
  6. Welche 11 Fragen sollten Sie Ihren Lösungsanbieter stellen?
  7. Brauche ich eine Einwilligung der betroffenen Personen, wenn ich mit Drittanbietern arbeite?

 
 

Was passiert, wenn meine Daten bei Drittanbieter-Cloud-Lösungen gespeichert sind?

Ja, die DSGVO gilt nicht nur für Unternehmen, die die Daten speichern sondern auch für diejenigen die diese Daten verarbeiten. Ihr Unternehmen wird laut Datenschutzgrundverordnung als Datenverarbeiter angesehen und trägt somit die gleiche Verantwortung wie ein Lösungsanbieter, der die Daten speichert.

 

Was sollte ich tun, wenn ich Drittanbieterlösungen bei der Verarbeitung von Daten unter der EU Datenschutz-Grundverordnung verwende?

Erstens: Machen Sie eine Liste aller Drittanbieter-Cloud-Lösungen, die Sie aktuell verwenden. Führen Sie in dieser Liste jegliche Lösungsanbieter auf, um einen Überblick über deren Standorte zu erhalten und um diese jederzeit benennen zu können.

Zweitens: Planen Sie den Weg Ihrer Daten, den diese während des Lebenszyklus Ihrer Prozesse zurücklegen, um ein angemessenes Maß an Sicherheit bei jedem Schritt zu gewährleisten. Nur wenn Sie jeden Schritt Ihrer Daten kennen, ist ein hoher Schutz dieser möglich.

Drittens: Beurteilen Sie das Risiko, das Sie für Einzelpersonen darstellen könnten, wenn Ihre Daten kompromittiert werden. Fragen Sie sich wie groß die Gefahr ist, dass Unbefugte in Ihr Computersystem eindringen und die dort befindlichen Daten nutzen oder manipulieren. Welche Folgen hat dies für betroffene Personen und deren personenbezogenen Daten?

Viertens: Bestimmen Sie, ob Sie einen Datenschutzbeauftragten ernennen müssen. Auch wenn die DSGVO auf Ihr Unternehmen anwendbar ist heißt das nicht zwangsläufig, dass Sie einen Datenschutzbeauftragten ernennen müssen. Trotzdessen ist es empfehlenswert einen Datenschutzbeauftragten zu ernennen, um eine zusätzliche Aufsicht und mehr Sicherheit im Fall von Streitigkeiten zu garantieren..

Fünftens: Überprüfen Sie alle Ihre Verträge, um zu verstehen, wo Ihre Daten und Anwendungen gespeichert sind und ob Ihre Daten jemals außerhalb der EU verarbeitet werden. Verpflichten Sie Ihren Lösungsanbieter sämtliche Unteranbieter sowie jegliche Standorte von Datenzentren in denen personenbezogene Daten gespeichert und verarbeitet werden aufzulisten, sodass diese jederzeit gegenüber von betroffenen Personen benannt werden können.

Sechstens: Schließen Sie strenge Vertraulichkeits-, Datenschutz- und Datenresidenzklauseln in Ihren Verträgen ein. So erhöhen Sie die Sicherheit der Daten und verpflichten Ihren Lösungsanbieter zur Einhaltung dieser.

Siebtens: Fragen Sie Ihre Lösungsanbieter, insbesondere jene, die außerhalb der EU ansässig sind, ob sie mit der Datenschutz-Grundverordnung übereinstimmen und fordern Sie eine schriftliche Zustimmung ein.

Achtens: Beginnen Sie mit der Auswertung und Planung eines Wechsels zu EU-DSGVO-kompatiblen Lösungsanbietern, wenn Ihre aktuellen Lösungsanbieter ab Mai 2018 keine DSGVO-kompatiblen Plänen haben.

 

Weitere Informationen zu Mailjet

 

Kann ich unter der Europäischen Datenschutz-Grundverordnung mit Lösungsanbietern arbeiten, die außerhalb der EU ansässig sind?

Ja, solange diese Drittanbieter-Lösungen den DSGVO-Richtlinien für die Datenverarbeitung und -speicherung entsprechen. Personenbezogene Daten können nur außerhalb der EU an Länder übertragen werden, die die Angemessenheitsanforderung erfüllen oder wenn Sie ein angemessenes Maß an Schutz der Privatsphäre durch verbindliche Unternehmensregeln gewährleisten können.

 

Welche Kriterien muss mein Lösungsanbieter außerhalb der EU erfüllen, um von der DSGVO anerkannt zu werden?

Wenn Sie mit einem Lösungsanbieter außerhalb Europas arbeiten wird es gemäß der Datenschutz-Grundverordnung zu einer Prüfung der Angemessenheitsanforderungen kommen. Um diesen Anforderungen zu entsprechen müssen folgende Kriterien gegeben sein:

a.) Im betreffendem Land, indem sich der Standort Ihrer Drittanbieters befindet, müssen die Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten gewährleistet sein. Zusätzlich muss die öffentliche und nationale Sicherheit, Verteidigung als ein Strafrecht und der Zugang der Behörden zu personenbezogenen Daten garantiert werden. Auch ob die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Übermittlung personenbezogener Daten an Dritte gewährleistet sind, wird geprüft. Die Rechtsprechung und Durchsetzung der Rechte von betroffenen Personen und dessen personenbezogener Daten steht bei der Prüfung an erster Stelle.

b.) Ein weiteres Kriterium der Prüfung ist die Existenz von unabhängigen Aufsichtsbehörden im betreffendem Land, die die Einhaltung aller Rechtsvorschriften und Datenschutzrichtlinien überwacht. Die Beratung und Unterstützung von betroffenen Personen muss von der Aufsichtsbehörde übernommen werden und der Austausch mit anderen Aufsichtsbehörden gewährleistet sein.

c.) Zudem wird geprüft, ob internationale als auch andere Verpflichtungen im Zusammenhang auf den Schutz von personenbezogenen Daten erfüllt werden.

 


 

Was passiert wenn die Prüfung meines Lösungsanbieters außerhalb der EU erfolgreich war?

Nachdem eine Prüfung der Angemessenheitsanforderung erfolgreich abgeschlossen ist und das  Schutzniveau Ihres Lösungsanbieters den Richtlinien der DSGVO entspricht, wird ein Durchführungsrechtakt beschlossen. Dieser beinhaltet die regelmäßige Kontrolle des betreffenden Landes, indem sich Ihr Lösungsanbieter befindet (mindestens alle 4 Jahre). Eine Kommission überwacht die fortlaufende Entwicklung des betreffenden Standortes und widerruft oder ändert die Beschlüsse des Durchführungsrechtakts wenn notwendig.

 

Welche 11 Fragen sollte ich meinen Drittlösungsanbieter stellen?

  1. Wo sind Ihre Daten und Anwendungen gespeichert?
  2. Sind diese Daten jemals aus der EEA gezogen worden?
  3. Haben Sie jemals Daten zwischen Rechenzentren außerhalb der EU übertragen?
  4. Informieren Sie mich immer, wenn meine Daten übertragen werden?
  5. Haben Sie einen Datenschutzbeauftragten?
  6. Welche Datenkontrollen und Risikomanagementprozesse haben Sie?
  7. Wie verwalten Sie den Freigabeprozess auf Ihrer Plattform, um ein angemessenes Datenschutzniveau zu gewährleisten?
  8. Wer kann auf meine Daten zugreifen, unter welchen Umständen und was können sie sehen? Wird dieser Zugriff verfolgt?
  9. Kann ich Ihre Sicherheit und technische Maßnahmen zum Schutz der Daten prüfen?
  10. Verfügen Sie über einen Prozess, der Sie über Sicherheitsverstöße informiert?
  11. Welche Maßnahmen ergreifen Sie, um ab Mai 2018 DSGVO-konform handeln zu können?

 

Brauche ich eine Einwilligung der betroffenen Personen, wenn ich mit Drittanbietern arbeite?

Wenn Sie Daten an Dritte weitergeben, müssen die Einwilligung der betroffenen Personen erlangen, die es Ihnen erlaubt, Daten an diese Drittanbieter zu übermitteln. Eine einfache Zustimmung einer Weitergabe der Daten an die “ Kategorie: Dritte” reicht für die neue DSGVO nicht aus. Unter der EU Datenschutz-Grundverordnung muss eine Auflistung der Namen der beteiligten Drittanbieter erarbeitet und für Einzelpersonen bei der Zustimmung der Datennutzung sichtbar sein. Sofern Sie Daten von Dritten verwenden, müssen Sie bestätigen und im Streitfall beweisen, dass die Einwilligung der einzelnen Personen ordnungsgemäß erhoben wurde.

 

Weitere Informationen zu Mailjet

 

Weiterführende Informationen zur DSGVO