Produkt
Aktuelles
Produktivität
Erfolgsgeschichten
Produkt
Deutsch
English
한국어
Français
Deutsch
日本語
ไทย
Português
español
Bahasa
italiano

Cloud-Services und Projektmanagement-/Collaboration-Tools DSGVO-konform nutzen

Auftragsdatenverarbeitung und DSGVO-Compliance bei Taskworld

Auftragsdatenverarbeitung und DSGVO-Compliance bei Taskworld

Cloud-basierte Collaboration- und Projektmanagement-Tools erfreuen sich weltweit wachsender Beliebtheit – nicht nur bei Unternehmen mit verteilten Teams und dezentralen Organisationsstrukturen. Beim Thema DSGVO und der Auftragsverarbeitung durch Cloud-Dienstleister herrscht jedoch vielfach noch Unsicherheit, gerade beim grenzüberschreitenden Datenaustausch in unseren weltweit wachsenden Kollaborationsnetzwerken. Denn wenn personenbezogene Daten in der Cloud geteilt oder „verarbeitet“ werden, ist grundsätzlich Vorsicht geboten. Beliebte Collaboration-Tools wie Trello oder Slack hosten ihre Daten auf US-Servern und unterliegen damit nicht mittelbar der europäischen Datenschutzgrundverordnung (EU-DSGVO). Worauf Unternehmen achten müssen, um nicht in die Datenschutz-Falle zu geraten und empfindliche Strafen zu riskieren, erklären wir in diesem Blog-Beitrag.

Anbieter von Projektmanagement- und Collaboration-Tools Cloud gelten – wie auch andere Cloud-Service-Provider – im Datenschutzrechtlichem Sinne als sogenannte Auftragsverarbeiter, wenn personenbezogene Daten im Auftrag des Cloud-Anwenders erfasst und gespeichert, sprich „verarbeitet“ werden. Dieser Sachverhalt ist im Artikel 28 der DSGVO geregelt und sieht vor, dass der Cloud-Nutzer bei einer Auftragsverarbeitung nur Dienstleister beauftragen darf, „die hinreichend Garantien dafür bieten, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Anforderungen an DSGVO und Auftragsverarbeitung

Der Gesetzgeber nimmt damit Cloud-Dienstleister wie auch Anwenderunternehmen in die Pflicht, die erforderlichen Rahmenbedingungen für ein einheitliches Datenschutzniveau zu schaffen und Lücken im Umgang mit Datenschutzrechten zu schließen. Für Unternehmen bedeutet dies konkret, bei der Auswahl des externen Dienstleisters zu prüfen, ob der Auftragsverarbeiter einen ausreichenden Datenschutz gewährleistet, sowie die vertragliche Ausgestaltung eines entsprechenden Datenschutz-Niveaus und die Kontrolle des Dienstleisters sicherzustellen.

Um die eigenen Daten sowie die Daten der Kunden zu schützen und sich selbst rechtlich abzusichern, müssen Unternehmen daher einen Auftragsverarbeitungsvertrag (kurz: AV-Vertrag) mit dem Dienstleister abschließen. Darin werden u.a. Gegenstand, Umfang, Art, Zweck und Dauer des Auftrags, Pflichten und Berechtigungen, die zugrundeliegenden Weisungsbefugnisse sowie Datenschutz- und Kontrollmechanismen geregelt. Die Übermittlung personenbezogener Daten an eine Organisation oder ein Drittland außerhalb der EU ist dabei nur unter bestimmten Voraussetzungen zulässig, weshalb dem Standort des Rechenzentrums, auf dem die Daten gespeichert sind, eine besondere Bedeutung zukommt. Der AV-Vertrag sollte daher im Vorwege genau geprüft werden, wenn Unternehmen personenbezogene Daten über einen Cloud-Dienst hosten – insbesondere dann, wenn die Daten auf einem Server außerhalb der EU gehostet und verarbeitet werden. Denn verantwortlich im Sinne des DSGVO bleibt auch mit einem AV-Vertrag zunächst der Auftraggeber bzw. das Anwenderunternehmen.

Freie Wahl des Server-Standortes

Taskworld bietet als einer der wenigen Betreiber von Cloud-fähigen Projektmanagement- und Collaboration-Plattformen Software seinen Nutzern an, selbst zu entscheiden, ob die sensiblen Unternehmensdaten auf einem US-Server, einem APAC-Server, einem voll DSGVO-konformen EU-Server (Frankfurt oder Wien) oder einem Schweizer Server gespeichert werden. So kann jedes Unternehmen abhängig seiner eigenen Organisationsstrukturen und Anforderungen frei wählen, welche technischen und rechtlichen Rahmenbedingungen der eigenen Datennutzung am besten entsprechen.

Shared-Cloud vs. Virtual-Private-Cloud vs. lokalem OnPremise-Betrieb

Neben der Festlegung des Server-Standortes haben Taskworld Nutzer die Wahl, ob sie die Projektmanagement- und Collaboration-Plattform in einer geschützten Virtual-Private-Cloud auf einem dedizierten Server mit erweitertem Service-Angebot oder einer Shared-Cloud-Umgebung von Amazon Web Services (AWS) betreiben wollen. Als dritte Option bietet Taskworld Kunden die Möglichkeit, die Plattform „OnPremise“, d.h. lokal, als eigenständige Virtual Appliance auf dem eigenen Server, zu betreiben. Diese Option eignet sich vor z.B. für Unternehmen, die strenge und sehr restriktive Anforderungen an die Speicherung und Übermittlung von Daten zu erfüllen haben oder über ein eigenes Rechenzentrum für den Inhouse-Betrieb verfügen. Eine Übersicht der verschiedenen Leistungsangebote ist hier zu finden.

DSGVO-Compliance mit Taskworld

Nutzer von Cloud-Diensten erwarten höchste Transparenz darüber, wo genau die Daten gespeichert sind, wer darauf Zugriff hat, wie diese gesichert werden und welchen Compliance- und Datenschutzrichtlinien diese unterliegen. Entscheidet sich ein Unternehmen für den Cloud-Betrieb von Taskworld in einem deutschen Rechenzentrum, so werden die Daten in dem der weltweit modernsten und sichersten Rechenzentrum unseres Infrastruktur-Partners Amazon Web Services (AWS) gehostet. Gemeinsam mit AWS erfüllt Taskworld die wichtigsten Standards nach ISO 27001, ISO 27017, ISO 27018, ISO 9001, dem Cloud Computing Compliance Controls Catalog (C5 Deutschland) sowie dem SOC 3 Report für interne Kontrollmechanismen im Hinblick auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Taskworld und AWS garantieren allen Cloud-Kunden darüber hinaus die Erfüllung des CISPE Verhaltenskodex („Code of Conduct for Cloud Infrastructure Service Providers“), granulare Zugangskontrollen, eine End-to-End Datenverschlüsselung samt Schlüsselverwaltung, Prüfungskapazitäten und die laufende Compliance mit IT-Sicherheitsstandards. Damit erfüllt Taskworld nicht nur die gesetzlichen Vorgaben im Hinblick auf DSGVO und Auftragsverarbeitung, sondern erfüllt auch die strengen Anforderungen unserer Kunden an ein zukunftsweisendes, 100%ig datenschutzkonformes, Cloud-basiertes Projektmanagement- und Collaboration-Tool.

Auftragsverarbeitungsvertrag mit Taskworld

Gemäß Art. 28 DSGVO bietet Taskworld seinen Cloud-Kunden einen Auftragsdatenverarbeitungsvertrag an, der Art und Auftragsinhalte, technische und organisatorische Datenschutz-Maßnahmen, Qualitätssicherungen und Pflichten, Berichtigungen und Löschungen von Daten, Weisungsbefugnisse des Auftraggebers, Kontrollrechte sowie die Unterauftragsverhältnisse mit AWS regelt. Dieser ist sowohl online einsehbar oder kann als PDF-Dokument direkt in elektronischer Form heruntergeladen werden, um die internen Kontroll- und Verarbeitungsmechanismen im Hinblick auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz zu dokumentieren.

Daten-Migration vom US-Server auf EU-Server

Unternehmen, die ihren virtuellen Taskworld Workspace auf US-Servern betreiben, bietet Taskworld einen optionalen Migrations-Service an, um den gesamten Workspace mit allen hinterlegten Projektdaten auf einen DSGVO-konformen EU-Server zu migrieren. Zwar unterliegt der Taskworld US-Server dem Privacy-Shield-Abkommen und bietet gemäß dem Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) auch ohne Sondergenehmigung ein angemessenes Schutzniveau zur Übermittlung personenbezogener Daten an ein Drittland, doch unterliegt diese Bewertung einer in regelmäßigen Abständen zu wiederholenden Prüfung. Um daraus resultierende Risiken und ein aufwändiges Vertragswerk mit EU-Standardvertragsklauseln zu vermeiden, bietet Taskworld Unternehmen auf Anfrage einen Migrationspfad für den Datenumzug vom US auf einen EU Server an. Die Preise für dieses Angebot starten ab 299€ und sind abhängig von der Anzahl der Workspaces, der Projekte und der User. Für weitere Informationen und ein individuelles Angebot kontaktiert gerne unseren Support unter kontakt@taskworld.com.

FAQs:

Muss ich als auftragsverarbeitender Auftraggeber Datenschutzrichtlinien und AV-Verträge um Unterauftragsverhältnisse ergänzen, wenn ich nicht nur eigene, sondern auch personenbezogene Kundendaten bei Taskworld abspeichere?

Ja, sobald personenbezogene Kundendaten von einem externen Cloud-Dienstleister verarbeitet werden, müssen diese Verarbeitungstätigkeiten in AV-Verträgen berücksichtigt werden. Grundsätzlich gilt dabei, nie ein höheres Datenschutzniveau zuzusichern, als das, welches Ihnen von Dritten zugesichert wird.

Kann der Zugriff auf die personenbezogenen Daten auch von außerhalb der EU erfolgen?

Grundsätzlich ja. Es ist ein wesentliches Merkmal moderner Projektmanagement- und Collaboration-Tools, dass der Zugriff auf die Daten plattform- und standortunabhängig erfolgen kann – unabhängig davon, wo die Daten gespeichert sind. Für die DSGVO-Compliance ist der Ort der Datenverarbeitung maßgeblich, nicht der Ort des Datenzugriffs. Daher kommt der Verschlüsselung der Daten zwischen Rechenzentrum und Endgerät eine wesentliche Bedeutung zu, um ein ausreichendes Schutzniveau zu gewährleisten. Taskworld verfügt über eine sichere End-to-End Verschlüsselung mit Server-Authentifizierung und SSL-Zertifikat über den HTTPS-Standard.

Wann muss ein AV-Vertrag geschlossen werden?

Einen Auftragsverarbeitungs-Vertrag muss nach EU-DSGVO jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag, d.h. von einem Dienstleister, verarbeiten lässt. Typische Beispiele von Tatbeständen mit AV-Charakter sind u.a.:

  • Die Inanspruchnahme von Web-Hostern oder Cloud-Hostern
  • Die Inanspruchnahme von Newslettermailing-Dienstleistern
  • Die Beauftragung von Lohnbuchhaltungs-, Call-Center- oder IT-Wartungs-Dienstleistern
  • Die Inanspruchnahme bestimmter Cloud-Shop-Lösungen oder Zahlungs-Hubs mit Fremdhosting

Sachverhalte ohne AV-Charakter sind hingegen u.a.:

  • Weiterleitung von Rechnungen an Steuerberater
  • Inanspruchnahme von Versanddienstleistern
  • Dropshipping-Geschäfte (sogenanntes Streckengeschäft)

Möchtest du zenartiges Teamwork erfahren?

Loading...
Taskworld Logo
Copyright © 2013-2020 Taskworld™. Pat. Pend. All rights reserved.