Achtung "angestaubt"!
Dieser Artikel ist bereits ein wenig veraltet und kann Informationen enthalten, die nicht mehr dem aktuellen Stand des Themas entsprechen.
Grundsätzliches vorab: Erstellen Sie eine Tabelle, in welcher Sie sämtliche Dienstleister notieren, welche in irgendeiner Weise in Ihrem Auftrag Daten verarbeiten. Dazu gehören Steuer- und Lohnbüros, Cloud-Services, E-Mail-Services aber auch Hoster. Notieren Sie sich, wann Sie einen ADV-Vertrag angefragt haben, wann er Ihnen zugekommen ist und dokumentieren Sie sämtliche Kommunikation mit dem jeweiligen Dienstleister. So sind Sie immer auf dem aktuellen Stand. In diesem Artikel fokussieren wir uns auf verschiedene Online-Services, die wir und unsere Kunden regelmäßig nutzen.
Wenn Ihr Unternehmen eines oder mehrere der folgenden Online-Services nutzt, sollten Sie die genannten Schritte durchführen, um gemäß der DSGVO für Datenschutz zu sorgen.
1. Google Analytics
Google Analytics wird von sehr vielen Webseiten-Betreibern genutzt, um Webseiten-Traffic zu messen und zu beobachten. Die Daten werden dabei an Google in die USA gesendet, was bezüglich Datenschutz zumindest bedenklich sein kann. Als Unternehmen in der EU haben Sie die Pflicht, dafür zu sorgen, dass Daten von EU-Bürgern geschützt werden, sofern Sie die Verarbeitung dieser Daten in Auftrag geben. Das ist der Fall, sobald Sie Webseiten-Analysen erstellen.
Zum einen müssen die IP-Adressen von Ihren Besuchern anonymisiert sein. Man spricht hier von dem Tracking-Parameter "anonymize IP" oder auch "aip", welcher "true" sein muss. Hierfür muss eine Zeile Code in den Google Analytics Tracking Code eingetragen werden. Wie das genau funktioniert, wird hier sehr genau beschrieben. Selbstverständlich können wir als Internetagentur diese Aufgabe für Sie übernehmen.
Zum anderen sollten Sie einen Vertrag mit Google Analytics abschließen, der Sie als Unternehmen absichert, was die von Ihnen zur Verarbeitung beauftragten Daten betrifft. Hierzu melden Sie sich bei Google Analytics an und klicken dann links in der Sidebar auf "Verwalten" (Admin) und auf Kontoebene auf "Kontoeinstellungen"
Scrollen Sie hier ganz nach unten bis zu diesem Abschnitt:
Klicken Sie auf "Zusatz anzeigen". Es öffnet sich ein Popup mit den Bestimmungen dieses Zusatzes. Klicken Sie auf "Zustimmen".
Klicken Sie danach unten auf Speichern. Als in der EU sesshaftes Unternehmen müssen Sie außerdem noch auf den Link "Details zum Zusatz zur Datenverarbeitung verwalten" im grauen Kasten klicken, um dort mindestens eine juristische Person sowie mindestens einen Kontakt (Primärkontakt) Ihres Unternehmens einzutragen. Es öffnet sich ein neues Fenster:
Klicken Sie in das Feld "Juristische Personen" und tragen Sie dort z. B. Ihren Unternehmensnamen ein. Klicken Sie im Feld "Kontaktpersonen" rechts oben auf das + und geben Sie hier die nötigen Informationen ein.
2. Amazon Web Services
Amazon Web Services (AWS) ist eine Plattform für "Cloud-Services, die Rechenleistung, Datenbankspeicherung, Bereitstellen von Inhalten und weitere Funktionen bietet [...]". Wenn Sie AWS für Ihr Unternehmen nutzen, müssen Sie einen schriftlichen Vertrag mit AWS abschließen. Diesen Vertrag finden Sie hier https://eu-west-1.console.aws.amazon.com/console/dpa oder können ihn hier herunterladen.
Füllen Sie den Vertrag aus und senden Sie ihn per E-Mail an aws-dpa-submissions@amazon.com. Der Vertrag ist von AWS bereits unterschrieben. Bewahren Sie Ihre Kopie sicher auf.
3. Google Suite
Google Suite, ehemals Google Apps for work wid häufig genutzt, um Dokumente, Tabellen oder Präsentationen in einer Cloud für kollaboratives Arbeiten zu nutzen und zu speichern. Auch hier können personenbezogene Daten anfallen. Google bietet hier eine ähnlich einfache Lösung wie Google Analytics.
Melden Sie sich in der Google Suite an: https://admin.google.com. Klicken Sie anschließend auf "Unternehmensprofil"
Klicken Sie auf "Profil"
Scrollen Sie ganz nach unten bis zu diesem Bereich:
Sie müssen von den 4 Ergänzungen in jedem Fall 1., 2. und 4. prüfen und akzeptieren. Punkt 3 ist für Unternehmen, welche dem HIPAA-Gesetz unterliegen (Health Insurance Portability and Accountability Act).
4. Slack
Slack ist ein Kommunikationsmedium, in welchem Workspaces für verschiedene (Projekt-)Teams erstellt werden können, sodass eine Online-Kommunikation stattfinden kann. Den Dienst gibt es als kostenlose und kostenpflichtige Version. Die Konditionen können hier eingesehen werden.
Slack hat seine Datenschutzerklärung bereits an die DSGVO angepasst und bietet Informationen zum Datenschutz auf dieser Seite: https://slack.com/intl/de-de/privacy-policy-updated
Den ADV-Vertrag gibt es auf Anfrage an feedback@slack.de, auf dieser Seite: https://slack.com/intl/de-de/terms-of-service/data-processing oder hier zum Download
Für jeden Workspace muss ein ADV-Vertrag abgeschlossen werden. Der Vertrag ist bereits von Seiten Slacks unterschrieben und muss ausgefüllt an dpa@slack-corp.com geschickt werden mit der Information, um welche Workspace-URL es sich handelt. Bewahren Sie Ihre Kopie sicher auf.
Wie vorgehen bei weiteren Dienstleistern?
Die meisten Dienstleister haben bereits auf die kommende DSGVO reagiert und bieten Informationen auf ihren Webseiten. Durch Suchanfragen wie "service adv", "service dpa" oder "service datenschutz" werden Sie vermutlich fündig. Auch die Suche nach dem Datenschutzbeauftragten des Dienstleisters kann weiterhelfen. Wie schon am Anfang genannt, sollten Sie in einer Tabelle festhalten, welche Maßnahmen Sie ergriffen haben, um sich rechtlich abzusichern.