Datenschutz und Datensicherheit stellen Firmen, die personenbezogene Daten verarbeiten oder nutzen, vor immer neue Herausforderungen. Davon betroffen sind auch Unternehmen, die Kunden- und Interessentenkontakte erheben und verwerten.
Die Aufhebung des Safe-Harbor-Abkommens, womit der Europäische Gerichtshof (EuGH) die Datenspeicherung durch US-amerikanische Cloud-Dienste für grundsätzlich unzulässig erklärt hat, sorgte bereits im vergangenen Jahr für Aufruhr. Noch gibt es hier keine eindeutig rechtskonforme Lösung. Klar ist jedoch: Beim automatisierten E-Mail-Marketing und Leadmanagement ist es für europäische Unternehmen unverzichtbar, eine Software zu benutzen, die den aktuell geltenden gesetzlichen Vorgaben hinsichtlich Datenschutz und -sicherheit entspricht.
Die folgende Checkliste von SC-Networks zeigt, worauf Unternehmen bei der Auswahl eines entsprechenden Software-Anbieters achten sollten:
- Halten sowohl das Anwenderunternehmen als auch der Lösungsanbieter bestimmte Datensicherheitsgebote, wie etwa Zutritts-, Zugangs- und Zugriffskontrolle, Ein- und Weitergabekontrolle, Auftrags- und Verfügbarkeitskontrolle sowie ein Trennungsgebot, ein?
- Liegt ein schriftlicher Vertrag zur Auftragsdatenverarbeitung (ADV) vor?
- Umfasst der ADV-Vertrag alle vorgeschriebenen Elemente?
- Sind konkrete technische und organisatorische Maßnahmen vereinbart?
- Ist ein Verantwortlicher im Unternehmen benannt, der die Kontrollpflicht übernimmt und sicherstellt, dass der Anbieter die im ADV-Vertrag festgehaltenen Vorgaben umsetzt?
- Bei Anbietern von gehosteten Lösungen: Handelt es sich um einen deutschen Anbieter, der Software und Daten in Deutschland, im Europäischen Wirtschaftsraum (EWR) oder in einem als sicher geltenden Drittland hostet und verarbeitet?
- Falls nein: Liegt eine Rechtsgrundlage für die Übermittlung der relevanten personenbezogenen Daten an den Dienstleister vor?
- Falls nein: Gibt es ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der damit verbundenen Rechte
- Bei US-amerikanischen Anbietern: Besteht mit dem Anbieter ein schriftlicher Auftragsdatenverarbeitungsvertrag, der mindestens die Anforderungen der Standardvertragsklauseln gemäß Kommissionsbeschluss 2010/87/EU für Auftragsverarbeitung vom 05.05.2010 erfüllt?
- Lässt der US-Anbieter angemessene Kontrollen zu? Gewährt der US-amerikanische Cloud-Anbieter insbesondere den Zugriff auf die Protokolldaten zu Prüfzwecken, stellt er eine auswertbare Protokollierung zur Verfügung und ermöglicht er die Konfiguration der Aufbewahrungszeit der Protokolldaten?