Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

So wird die neue Datenschutz-Grundverordnung bei Boxcryptor umgesetzt.
Andrea

Andrea Pfundmeier | CEO

@A_Pfund

Umsetzung der DS-GVO bei Boxcryptor Teil 4: Umgang mit Drittanbietern

Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit dem 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine neue Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt.

Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen. Viele Umfragen zeigen, dass das Thema DS-GVO Sorgen bereitet.

Bei Boxcryptor haben wir uns dazu entschieden, die DS-GVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.

Lesen Sie hier die vorangegangenen und weiteren Artikel der Serie:

Teil 1 – Überblick verschaffen (Schritte 1-4)
Teil 2 – Optimierung bestehender Prozesse (Schritte 5-8)
Teil 3 – Interne Umsetzung und externe Datenschutzbeauftragte
Teil 5 – Verschlüsselung
Teil 6 – Vor der DS-GVO ist nach der DS-GVO

Schritt 9 Überprüfung von Drittanbietern

Drittanbieter sind Unternehmen und Dienste, auf die wir bei der Abwicklung unseres Geschäfts angewiesen sind. Gemeint sind (in Bezug auf die Datenschutz Grundverordnung) solche Anbieter, die in unserem Auftrag personenbezogene Daten verarbeiten. Zur Verdeutlichung möchte ich einige Beispiele nennen:

  • Mailchimp – Versand von E-Mail-Newslettern
  • Onapply – webbasierte Abwicklung von Bewerbungen
  • Salesforce – Abwicklung von Abrechnungsinformationen, Kundenbindungsmanagement
  • Dropbox – Speicherung von Unternehmensdaten

Im Zuge der Dokumentation unternehmensinterner Prozesse Schritt 2 habe ich eine vollständige Liste alle Drittanbieter erstellt. Nun gilt es, jeden einzelnen davon auf DS-GVO Konformität zu überprüfen.
Dazu habe ich zunächst auf den jeweiligen Webseiten recherchiert, ob es bereits Informationen über den Status der DS-GVO Konformität gibt. Einige Unternehmen waren da bereits sehr fleißig und stellen umfangreiche Informationen zur Verfügung. Als Positivbeispiel möchte ich da die DS-GVO Infoseite von Mailchimp nennen.
Wenn ich die benötigten Informationen gefunden habe, habe ich ein Häkchen auf meiner Liste gesetzt. Falls nicht, habe ich das jeweilige Unternehmen kontaktiert und um eine Stellungnahme gebeten. Meine Fragen waren stets:

  1. Wie ist der Status bei der Umsetzung der DS-GVO?
  2. Wann werden Sie DS-GVO konform sein?
  3. Wann können Sie mir die entsprechenden Dokumente zuschicken?

Teilweise habe ich umfangreiche Antworten bekommen, teilweise wurde ich an die Rechtsabteilung weiterverwiesen oder mir wurde ein Datum genannt bis zu dem DS-GVO Konformität erreicht sei.
Diese Antworten habe ich in meiner Tabelle vermerkt und mir entsprechende Wiedervorlagen erstellt, damit ich den Überblick nicht verliere.

Drittanbieter und externer Datenschutzbeauftragter

In der letzten Folge unserer DS-GVO Artikelserie habe ich berichtet, dass wir einen externen Datenschutzbeauftragten bestellt haben - dazu sind wir eigentlich nicht verpflichtet. Eigentlich. Denn als CEO kann ich (aus rechtlichen Gründen) selbst nicht gleichzeitig auch Datenschutzbeauftragte sein. Derzeit gibt es jedoch keinen Mitarbeiter, der für die Position als Datenschutzbeauftragte/r in Frage kommt, denn zum einen sind alle bereits ausgelastet, zum anderen würden die Ausbildung und die kontinuierlichen Fortbildungen unsere derzeitige Struktur als Startup sprengen. Ich gebe außerdem zu Bedenken, dass (interne) Datenschutzbeauftragte unkündbar sind. Das dürfte für den einen oder anderen Arbeitgeber ebenfalls eine relevante Information sein.

In den Aufgabenbereich des Datenschutzbeauftragten fallen auch die Dienstleisterkontrolle und die Umsetzung der Vorgaben zur Auftragsdatenverarbeitung. Für mich war bei der Auswahl des externen Datenschutzbeauftragten vor allem eines wichtig: Branchenkenntnis. Für uns als IT-Unternehmen ist es maßgeblich, dass unsere Dienstleister wissen, mit welchen Tools wir arbeiten und wie die internen Prozesse ablaufen. Darüber hinaus brauche ich Partner, die gegenüber Innovationen positiv eingestellt sind.

Abgesehen davon habe ich bewusst einen Datenschutzbeauftragten aus der Region gewählt, damit es für uns möglichst einfach ist, den persönlichen Kontakt zu halten. Kurze Wege zu Schulungen und anderen Terminen sind mir sehr wichtig. Wichtig ist auch das gegenseitige Vertrauen. Um zu sehen ob dieses in der Zusammenarbeit entsteht, haben wir uns auf eine Vertragslaufzeit von zunächst einem Jahr geeinigt.

Wie bei vielen anderen Themen lohnt es sich auch hier, mit anderen Unternehmern zu sprechen und sich über die Erfahrungen mit externen Datenschutzbeauftragten auszutauschen. So erhält man mit Sicherheit gute Empfehlungen.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.