Hallo, ich würde für unser Unternehmen gerne den Kalender teamup.com verwenden. Es handelt sich dabei wohl um einen Anbieter aus der Schweiz, welcher die Daten bei Amazon web Service hostet. Da wir in den Kalender neben Namen der Kunden auch z.B. deren Telefonnummer eingeben würden, stellt sich die Frage nach der Zulässigkeit. Nach Angabe auf der Webseite wird GDPR-konform gearbeitet. Ist das verlässlich und auch ausreichend? Hier kann man das auch nachlesen: https://www.teamup.com/dpa/
Mir fällt es schwer die Angabe zu bewerten. Hat jemand einen Tipp?
Also den DPA kannst du mit der Vorlage/Checkliste der Berliner Behörde prüfen, die ziemlich gut ist. Die Gestaltung des DPA müsste maßgeblich sein, ob die Verarbeitung datenschutzkonform ist. Da ist bereits die Hinzuziehung neuer Unterauftragsverarbeiter nicht konform, weil nicht proaktiv informiert wird.
Aber kleine Vorwarnung: Die Berliner Behörde ist relativ streng, sodass es oft zu noncompliance kommt und die Verantwortlichen dann entscheiden müssen ob sie das Risiko so hinnehmen wollen.
Das hosten auf AWS-Servern lässt sich idr. DSGVO-konform umsetzen, vor allem wenn europäische Server gewählt sind.
Hallo Alex,
danke schon mal. Ich denke es gibt whl Probleme, da die Server nicht in Europa stehen laut dieser Antwort auf meine Anfrage per Mail:
The Teamup servers are hosted with Amazon Web Services (AWS) in US West and Dublin (Ireland). The two AWS regions that Teamup uses are connected and all data is replicated in real-time. We do this to provide redundancy.
Das Hosting in Amerika ist - da Amazon im Data Privacy Framework zertifiziert ist - kein Ausschlusskriterium solang ein ordentlicher DPA (zwischen teamup und Amazon) vorliegt und der zwischen euch und teamup auch ordentlich ist.
Habt ihr einen internen DSB oder DSK oder jemand externes der helfen kann, oder bist du damit aktuell Alleinbetreut?
Also ich hab da kurz reingeschaut und durchgerusht also kein Anspruch auf Vollständigkeit, Richtigkeit und definitiv keine Rechtsberatung, aaaber, wenn ihr wirklich nur Kontaktdaten und insbesondere keine Gesundheitsdaten (da nehmen die sich nämlich in 5.4 aus der Verantwortung) speichert wird das in Ordnung sein. Ihr solltet defintiv den “newsletter” für neue Unterauftragsverarbeiter abonnieren.
Ja, der DPA ist nicht komplett streng compliant mit den Anforderungen der Berliner Behörde (insbesondere in den Punkten der Auditgewährung, Unterauftragsverarbeiter und Verarbeitung von Daten ohne/gegen eure Weisung aufgrund gesetzlicher Bestimmungen), aber das sind leider wenige und es sollte für eure Zwecke genügen. Die eingesetzten Unterauftragsverarbeiter sind auch gängig und annehmbar und allgemein ist der DPA so formuliert, dass der Eindruck entsteht, dass sich da Mühe gemacht wurde.
Es ist bei weitem nicht der schlechteste DPA der mir vorgelegt wurde, sondern gutes bis ggfs. oberes Mittelfeld.
