Schrems II macht uns ordentlich zu schaffen bei jedem neuen Auftragsverarbeiter. Spätestens bei den Unterauftragsverarbeiter treffen wir US-Firmen an. Gibt es irgendwo eine Liste, welche Auftragsverarbeiter (z. B. beim Bewerbermanagement, bei Newsletterdiensten, bei Websitehostern, usw.) ohne AWS, Azure, Google usw. auskommen? Wie geht ihr denn damit um? Hab manchmal das Gefühl, dass nur ich da so einen Wind drum mache… Und ja klar, diverse Handreichungen zu ergänzenden Pflichten, usw. gibt’s. Nur setzt das mal nachweisbar und prüfbar um mit den Konzernriesen… Wenn eine Liste nicht vorhanden ist, sollten wir hier mal eine aufmachen!
1 „Gefällt mir“
Bei Online-Diensten würde ich spontan ein whois auf die verwendeten IP-Adressen/Hostnamen (Webseiten, Mailserver) absetzen. Werden die Cloud-Dienstleister genutzt, wird es normalerweise aus der Antwort ersichtlich (Domain = irgendwas.de => Adressbereich = Cloudflare o.ä.). Ansonsten kann man sich nur auf die Zu-/Absagen und die Doku der Auftragsverarbeiter verlassen, oder?
1 „Gefällt mir“
Is schon wahr. Mindestens die Hälfte verheimlicht was. Meistens ohne sich dessen bewusst zu sein. Man erntet oft Unverständnis, wenn man danach fragt. Es sollte doch für alle Kunden von Interesse sein, die Leistung zulässig anzubieten.
D., der für so was gern Produkthaftung hätte.
2 „Gefällt mir“
Hm … die Hoffnung stirbt zuletzt 
Zum Ersten kann sich ja jederzeit etwas ändern in einer solchen Aufstellung. Und zum Wesentlichen: für dynamisch anpassbare Skalierungen der Kapazitäten wird ein Anbieter meist auf cloudbasierte Lösungen setzen. Und das bedeutet …
2 „Gefällt mir“
Genau mit der Problematik des Marktführers für dynamisch skalierbare Cloudsysteme, sehe ich mich immer öfter in meinem Alltag im Gesundheitswesen immer öfter konfrontiert. Unsere Dienstleister, welche den Marktführer als Subauftragnehmer einsetzen, haben eine Zusage, dass nur Rechenzentren im Wirkbereich der DS-GVO eingesetzt werden. Dazu wird seitens der Dienstleister mit starker Verschlüsselung gearbeitet. Die Decodierung ist für den Subauftragnehmer nicht möglich, so dass das Restrisiko einer Einsichtnahme durch eine us-amerikanische Behörde im überschaubaren Rahmen bleiben dürfte. Es fader Geschmack wird jedoch bleiben.
Die Aufsichtsbehörde beschäftigen sich jedoch mit dem Thema us-amerikanische Dienstleister. Das dürfte spätesten mit den Verboten des Einsatzes von Analysetools von Webseiten durch den Platzhirsches, welche durch die Behörde in Österreich und Frankreich verhängt wurden, klar sein. Es wird sicher auch nur eine Frage der Zeit sein, bis Clouddienstleister usw. ins Visier der Aufsichtsbehörden geraten.
1 „Gefällt mir“
Gut, dass jemand mal dieses Thema anspricht. Regelmäßig wird man vom Marketing angesprochen “Wir möchten dieses Tool einsetzen um Werbung aufzuspielen und Conversions zu messen - müssen wir was beachten?” Oft geht es dann um Drittland-Tools und es wird gleich argumentiert “Andere machen das ja auch”. Auf zahlreichen Webseiten findet man z.B. das TikTok Pixel. Auf TikTok wird also Werbung aufgespielt und irgendwo auf unserer Webseite ein Pixel eingebaut, damit man erkennen kann, ob ein Käufer vorher auf TikTok war und mutmaßlich dort zum Kauf animiert wurde. Punkt 1: Für das Setzen des Pixels braucht man eine Einwilligung. Ist ja noch relativ einfach, wenn man ein Consent Tool hat. Aber hier kommt das erste Risiko: Ist das ConsentTool 100% ok? Da war doch was mit Cookiebot? Ist das Cookie-Banner auch ok? Da war doch was mit Nudging? Eigentlich will ja niemand, dass der Kunde die Einwilligung ablehnt, dann hat man ja keine Conversions! Na gut - aber die Einwilligung muss ja auch “informiert” erfolgen, also brauchen wir auch noch einen Infotext in der Datenschutzerklärung. Das nächste Risiko: Wer weiß schon so genau, was TikTok da macht und wieviel will der Kunde lesen? Lebensdauer des Pixels - woher soll ich das wissen ? Also einfach einen Text kopieren - eine DSE liest ja eh niemand ! Huch - aber das ist doch Drittlandtransfer !!! TikTok verarbeitet also pseudonyme Daten in China! pseudonymisiert=personebezogen. Dann benötigt man ja wohl SCCs oder einen DPA und “zusätzliche Garantien”. TikTok und Datenschutz ? Risiko Nr. 3! Aber die haben doch einen Sitz in Irland! Wird aber in Frage gestellt, ob das reicht. Dann machen wir doch ein Transfer Impact Assessment! Hat mal jemand eine Vorlage? Also Risiko Nr. 4. Und jetzt nochmal eine Frage in die Runde: “Darf man das TikTok-Pixel einsetzen???” An Ds99: Auch ich mache Wind darum und habe schon oft nach guten Listen gesucht. Die bekannten “Handreichungen” helfen da kaum.
2 „Gefällt mir“