Umsetzung der DS-GVO bei Boxcryptor Teil 4: Umgang mit Drittanbietern
Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit dem 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine neue Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt.
Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen. Viele Umfragen zeigen, dass das Thema DS-GVO Sorgen bereitet.
Bei Boxcryptor haben wir uns dazu entschieden, die DS-GVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.
Lesen Sie hier die vorangegangenen und weiteren Artikel der Serie:
Teil 1 – Überblick verschaffen (Schritte 1-4)
Teil 2 – Optimierung bestehender Prozesse (Schritte 5-8)
Teil 3 – Interne Umsetzung und externe Datenschutzbeauftragte
Teil 5 – Verschlüsselung
Teil 6 – Vor der DS-GVO ist nach der DS-GVO
Schritt 9 Überprüfung von Drittanbietern
Drittanbieter sind Unternehmen und Dienste, auf die wir bei der Abwicklung unseres Geschäfts angewiesen sind. Gemeint sind (in Bezug auf die Datenschutz Grundverordnung) solche Anbieter, die in unserem Auftrag personenbezogene Daten verarbeiten. Zur Verdeutlichung möchte ich einige Beispiele nennen:
- Mailchimp – Versand von E-Mail-Newslettern
- Onapply – webbasierte Abwicklung von Bewerbungen
- Salesforce – Abwicklung von Abrechnungsinformationen, Kundenbindungsmanagement
- Dropbox – Speicherung von Unternehmensdaten
Im Zuge der Dokumentation unternehmensinterner Prozesse Schritt 2 habe ich eine vollständige Liste alle Drittanbieter erstellt. Nun gilt es, jeden einzelnen davon auf DS-GVO Konformität zu überprüfen.
Dazu habe ich zunächst auf den jeweiligen Webseiten recherchiert, ob es bereits Informationen über den Status der DS-GVO Konformität gibt. Einige Unternehmen waren da bereits sehr fleißig und stellen umfangreiche Informationen zur Verfügung. Als Positivbeispiel möchte ich da die DS-GVO Infoseite von Mailchimp nennen.
Wenn ich die benötigten Informationen gefunden habe, habe ich ein Häkchen auf meiner Liste gesetzt. Falls nicht, habe ich das jeweilige Unternehmen kontaktiert und um eine Stellungnahme gebeten. Meine Fragen waren stets:
- Wie ist der Status bei der Umsetzung der DS-GVO?
- Wann werden Sie DS-GVO konform sein?
- Wann können Sie mir die entsprechenden Dokumente zuschicken?
Teilweise habe ich umfangreiche Antworten bekommen, teilweise wurde ich an die Rechtsabteilung weiterverwiesen oder mir wurde ein Datum genannt bis zu dem DS-GVO Konformität erreicht sei.
Diese Antworten habe ich in meiner Tabelle vermerkt und mir entsprechende Wiedervorlagen erstellt, damit ich den Überblick nicht verliere.
Drittanbieter und externer Datenschutzbeauftragter
In der letzten Folge unserer DS-GVO Artikelserie habe ich berichtet, dass wir einen externen Datenschutzbeauftragten bestellt haben - dazu sind wir eigentlich nicht verpflichtet. Eigentlich. Denn als CEO kann ich (aus rechtlichen Gründen) selbst nicht gleichzeitig auch Datenschutzbeauftragte sein. Derzeit gibt es jedoch keinen Mitarbeiter, der für die Position als Datenschutzbeauftragte/r in Frage kommt, denn zum einen sind alle bereits ausgelastet, zum anderen würden die Ausbildung und die kontinuierlichen Fortbildungen unsere derzeitige Struktur als Startup sprengen. Ich gebe außerdem zu Bedenken, dass (interne) Datenschutzbeauftragte unkündbar sind. Das dürfte für den einen oder anderen Arbeitgeber ebenfalls eine relevante Information sein.
In den Aufgabenbereich des Datenschutzbeauftragten fallen auch die Dienstleisterkontrolle und die Umsetzung der Vorgaben zur Auftragsdatenverarbeitung. Für mich war bei der Auswahl des externen Datenschutzbeauftragten vor allem eines wichtig: Branchenkenntnis. Für uns als IT-Unternehmen ist es maßgeblich, dass unsere Dienstleister wissen, mit welchen Tools wir arbeiten und wie die internen Prozesse ablaufen. Darüber hinaus brauche ich Partner, die gegenüber Innovationen positiv eingestellt sind.
Abgesehen davon habe ich bewusst einen Datenschutzbeauftragten aus der Region gewählt, damit es für uns möglichst einfach ist, den persönlichen Kontakt zu halten. Kurze Wege zu Schulungen und anderen Terminen sind mir sehr wichtig. Wichtig ist auch das gegenseitige Vertrauen. Um zu sehen ob dieses in der Zusammenarbeit entsteht, haben wir uns auf eine Vertragslaufzeit von zunächst einem Jahr geeinigt.
Wie bei vielen anderen Themen lohnt es sich auch hier, mit anderen Unternehmern zu sprechen und sich über die Erfahrungen mit externen Datenschutzbeauftragten auszutauschen. So erhält man mit Sicherheit gute Empfehlungen.