Noti­on Daten­schutz und GDPR/DSGVO

Ich wur­de kürz­lich ange­fragt, wie es Noti­on mit der DSGVO (auch Noti­on GDPR) hält und wie die Ent­wick­lung zum Pri­va­cy Shield Abkom­men (Juli 2020) die Nut­zung von cloud­ba­sier­ten Soft­ware­lö­sun­gen beeinflusst.

Was vor­ne­weg zu die­sem Arti­kel gesagt wer­den kann, es besteht ein gros­ser kul­tu­rel­ler Unter­schied wie Daten­schutz gewich­tet wird und ist zudem abhän­gig davon, wer sich damit befasst:

• Anwen­der
• poten­zi­el­le Anwender
• Unter­neh­mer, die ein geeig­ne­tes Tool wollen
• Kun­den, die ihre Daten geschützt haben wollen
• Juri­sten, um die Risi­ken fürs Unter­neh­men zu bewerten
• Poli­ti­sche Ebe­ne: Län­der haben unter­schied­li­che Inter­es­sen, um ihren natio­na­len Markt zu schüt­zen und um Indu­strie­spio­na­ge (auch unter befreun­de­ten Län­dern) zu minimieren

Noti­on befin­det sich in einem sol­chen Span­nungs­feld und so auch der Daten­schutz Noti­ons. Neben dem kul­tu­rel­len Unter­schied (unab­hän­gig vom Unter­neh­men) gibt es mas­si­ve gesetz­li­che Unter­schie­de, wie mit per­sön­li­chen Daten umge­gan­gen sind. In der EU und der Schweiz sind die gesetz­li­chen Rah­men­be­din­gun­gen enger definiert.

Der Arti­kel soll dir hel­fen eine Ent­schei­dung in Bezug auf den Daten­schutz in dei­nem Land und Noti­ons Daten­schutz geben.

Bild­quel­le Titel­bild: Foto­graf Lian­hao Qu auf Uns­plash

Die an mich gerich­te­te Fra­ge bezog sich zwar auf Noti­on, betrifft aber alle Daten­ver­ar­bei­tungs­dienst­lei­stun­gen, die man im Unter­neh­men ver­wen­det. Es herrscht Ver­un­si­che­rung dar­über, was man als Unter­neh­men für Ver­pflich­tun­gen gegen­über den Kun­den und Web­sei­ten­be­su­chern hat und auch, ob man dem­nächst mit einer Abmahn­flut zu kämp­fen hat. Was macht man, wenn man ver­un­si­chert ist? Man fragt einen Pro­fi. Für die­se Fra­ge ist der eige­ne Jurist, spe­zia­li­siert auf Daten­schutz, zu konsultieren.

Als juri­sti­scher Laie gebe ich hier kei­ne end­gül­ti­ge Ant­wort, höch­stens wie ich als Schwei­ze­rin mit Geschäfts­sitz in der Schweiz, mit Kun­den in der Schweiz & EU und in mei­ner Rol­le als Unter­neh­me­rin zu einer Ein­schät­zung für mein Busi­ness gekom­men bin. Und, er soll dir eine Ent­schei­dungs­grund­la­ge lie­fern, spe­zi­ell, wie Noti­on Daten­schutz betreibt.

Ist Noti­on sicher?

Die Sicher­heit von Noti­on umfasst meh­re­re Aspek­te und falls du mit die­sem Begriff gegoo­gelt hast – es gibt kei­ne schnel­le Ant­wort. Denn es kommt dar­auf an, was du dar­un­ter meinst:

• Willst du wis­sen, ob Noti­on ver­schlüs­selt ist?
• Willst du wis­sen, ob Noti­on eine End-zu-End-Verschlüsselung hat?
• Willst du wis­sen, wie Noti­on sein Access-Management und Rech­te­ver­wal­tung betreibt?
• Willst du wis­sen, wer sonst noch dei­ne Daten ein­se­hen kann?
• Willst du wis­sen, ob du Siche­rungs­ko­pien machen sollst?
• Willst du wis­sen, wel­che Daten nicht in Noti­on gehören?
• Fragst du dich, ist Noti­on DSGVO konform?

Du siehst, die Aus­gangs­fra­ge kann sehr vie­les ent­hal­ten und das The­ma Noti­on Sicher­heit hat sei­ne Berech­ti­gung. Aber, die besteht aus meh­re­ren Facetten.

Noti­on Daten­schutz – Was für Noti­on auf dem Spiel steht

Man muss sich bei der Fra­ge, wie es Noti­on mit dem Daten­schutz hält, auch ver­ge­gen­wär­ti­gen, wie wich­tig das The­ma für Noti­on selbst ist.

Für Noti­on ist es essen­zi­ell, sei­nen guten Ruf als ver­trau­ens­wür­di­ges Unter­neh­men auf­recht­zu­er­hal­ten. Ver­trau­en ist für Noti­on eine wert­vol­le Wäh­rung, die wir Nut­zer dem Unter­neh­men geben.

Noti­on Datensicherheit:

Über­le­bens­wich­tig für Noti­on als Unternehmen.

• Sicher­heit und Ver­trau­en sind das Basis­ge­schäft von Noti­on. Das Risi­ko für das eige­ne Unter­neh­men ist zu hoch und der Ver­lust von Kun­den nicht wie­der­gut­zu­ma­chen. Man ist sich des­sen also bewusst.
• Dank ihres Wachs­tums und Finan­zie­rung kann Noti­on die besten Inge­nieu­re für den Bereich Sicher­heit anziehen.
• Die Appli­ka­ti­on wird von gros­sen Unter­neh­men ver­wen­det. Und deren Legal-Abteilungen haben Über­prü­fun­gen vor­ge­nom­men. Aber, wohl am ehe­sten im Zusam­men­hang mit ame­ri­ka­ni­schem Recht und nicht EU/CH.
• Noti­on ist gleich zu behan­deln, wie ande­re Cloud­lö­sun­gen, die kei­ne End-zu-End Ver­schlüs­se­lung haben, wie Goog­le Drive.
• Ohne End-zu-End-Verschlüsselung soll­ten kei­ne sen­si­ti­ven (Fremd)Daten, wie gesundheits‑, finanz- und juri­sti­sche Daten, in sol­chen Anwen­dun­gen gespei­chert werden.

Mei­ne Noti­on Erfah­run­gen sind durch­wegs posi­tiv. Per­sön­lich spei­che­re ich kei­ne sen­si­ti­ven Daten dar­in, wie Finanz­zah­len und Passwörter.

Wenn wir bei Noti­on ein Service-Ticket beim Sup­port lösen muss­ten, so kann Noti­on nicht „ein­fach“ auf die Inhal­te zugrei­fen. Ich muss sie auf den jewei­li­gen Workspace berech­ti­gen und die­se Zusa­ge erlischt auto­ma­tisch nach 2 Wochen.

So geht der Pro­fi das The­ma an

Dazu emp­feh­le ich dir das Video von Sabri­na Keese-Haufs, sie geht auf die Auf­lö­sung des Pri­va­cy Shield Abkom­mens ein.

Zusam­men­fas­sung Video

• Ent­scheid des Euro­päi­schen Gerichts­hofs (EuGH), dass das Pri­va­cy Shield Abkom­men Grund­rech­te verletzt.
• es gibt kei­ne Mög­lich­keit, weder durch das Abkom­men noch durch Stan­dard­ver­trags­klau­seln, sich abzusichern.
• es gibt kaum noch ein Unter­neh­men, das kei­ne Daten in die USA trans­fe­riert. Auch wenn die Ser­ver in der EU ste­hen, und das Mut­ter­haus in den USA, wird es Zugriffs­mög­lich­kei­ten geben und/oder Daten in die USA transferiert.
• Emp­feh­lung: Indi­vi­du­el­le (und ver­ständ­li­che) Ein­wil­li­gungs­er­klä­rung ein­ho­len (jeweils pro Kun­de und Tool). Mög­li­cher­wei­se stim­men die Daten­schutz­be­hör­den die­sem Vor­ge­hen nicht zu.
• Cookie-Banner; beur­teilt Sabri­na Keese-Haufs als schwie­ri­ger als bei direk­ten Kundenbeziehungen
• Was wird aus ihrer Sicht pas­sie­ren? Gar nichts, im Sin­ne von Abmahnungen.

Wei­ter­füh­ren­des

Was ist das Pri­va­cy Shield Abkom­men – Video

Wel­che Berei­che sind davon betroffen

Um den Ein­fluss auf mein Busi­ness bes­ser zu ver­ste­hen, zer­le­ge ich die The­ma­tik zuerst:

• Ich frag­te mich, wel­che Märk­te in wel­chen Län­dern ich bedie­ne. Je nach­dem muss ich auch die Gesetz­ge­bung mei­ner Kun­den berücksichtigen.
• Danach frag­te ich mich, wel­che Gesetz­ge­bun­gen das alles sind. In mei­nem Fall die Datenschutz-Gesetzgebungen der Schweiz, dann mei­ner Kun­den (EU und CH).

Die zwei­te Fra­ge stellt sich nun im Zusam­men­hang mei­ner Dienstleister:

• Wo befin­den sich mei­ne Daten und die mei­ner Kunden?

Vie­le mei­ner Dienst­lei­ster sind ent­we­der ame­ri­ka­ni­sche Unter­neh­men oder haben ihr Mut­ter­haus in Amerika.

Als Bei­spiel über­neh­me ich von Sabri­na Keese-Haufs: Face­book und der Facebook-Pixel (ein Plug-in zur Iden­ti­fi­ka­ti­on von Webseitenbesuchern):

Zwar wer­den mei­ne Daten an Face­book in Irland über­tra­gen, aber das Mut­ter­haus in den USA hat sicher Zugriff auf die Ser­ver in Irland und somit wohl auch auf die Daten mei­ner Kunden.

Die Fra­ge betrifft also drei unter­schied­li­chen Gesetzgebungen:

• Schweiz
• EU
• USA

Du siehst, das ist kom­plex! Wir haben hier also Kon­flik­te zwi­schen den Gesetz­ge­bun­gen meh­re­rer Länder.

Zudem hat der EuGH ent­schie­den, dass das Pri­va­cy Shield Abkom­men euro­päi­sche Rech­te ver­letzt und hat das Abkom­men gekippt. Was für mich als Unter­neh­me­rin das Erfül­len der Daten­schutz­be­stim­mun­gen erschwert.

Aller­dings kann ich (aus mei­ner Unternehmer-Sicht) die neue Unsi­cher­heit nicht kom­plett allein lösen. Dazu ist der Gesetz­ge­ber und die Poli­tik gefragt.

Die Pro­ble­ma­tik nach unten, also die KMU abzu­wäl­zen, ist das eine, aber das Schei­tern des Abkom­mens ist ein poli­ti­sches Ver­sa­gen. Des­halb sehe ich mich nicht dazu ver­pflich­tet etwas zu lösen (was auch nicht mach­bar ist), was auf einer mir über­ge­ord­ne­ten Ebe­ne nicht hin­be­kom­men wurde.

Kommt hin­zu, dass die Poli­tik dazu neigt, vor­wie­gend Ver­hand­lun­gen im Hin­blick auf (gros­se) inter­na­tio­nal aus­ge­rich­te­te Unter­neh­men zu füh­ren. Die gros­se Men­ge, wir KMUs, gehen da etwas unter.

Es macht schlicht­weg kei­nen (unter­neh­me­ri­schen) Sinn, dass man als Ein­zel­un­ter­neh­men die glei­chen Ein­wil­li­gungs­er­klä­run­gen beim Kun­den ein­ho­len muss, wie ein Kon­zern inner­halb der EU.

Mei­ner Mei­nung nach soll­te die Poli­tik das Unter­neh­mer­tun für KMUs ver­ein­fa­chen und das Erfül­len des Daten­schut­zes (was ich ger­ne tue) in einen rea­li­sti­schen und effi­zi­en­ten Rah­men bringen.

Soviel zu mei­ner Erwar­tung an die Poli­tik. Zurück zum Business.

Fol­gen­de Business-Bereiche sehe ich davon betrof­fen und gehe anschlies­send ver­tieft dar­auf ein.

• Juri­sti­sche Sach­la­ge – in Bezug auf dich und dein Unternehmen
• Geo­gra­fie – Ser­ver­stand­or­te
• Phi­lo­so­phie des Unter­neh­mens – dei­nes Dienstleisters
• Fir­men­hal­tung und ‑wer­te – von dir und dei­nem Unternehmen
• Wel­che Daten sind betroffen
• Risi­ko­be­wer­tung – du schätzt für dein Busi­ness ein, was ein­tref­fen könn­te und wie wahr­schein­lich das ist
• unge­eig­ne­te Anwendungsbereiche

Juri­sti­sche Sachlage

Die Ein­schät­zung und Hand­ha­bun­gen unter­schei­den sich schon mal zwi­schen der Schweiz und der EU. Abhän­gig von dei­nem Geschäfts­sitz und wo sich dei­ne Ziel­grup­pe befin­det, tan­giert man das ent­spre­chen­de Gesetz.

Geo­gra­fie

Der juri­sti­schen Sach­la­ge nach­fol­gend, stellt sich die Fra­ge, was für ein wei­te­rer Play­er noch hin­zu­kommt. Hier wird die Anwen­dung, das Tool, hin­zu­ge­zo­gen. Ob Face­book, Hoster dei­ner Web­sei­te, dein E‑Mail Mar­ke­ting Pro­vi­der, Noti­on – alle haben ihre Ser­ver an unter­schied­lich­sten Orten platziert.

Im Fal­le von grös­se­ren Unter­neh­men wie Goog­le und Face­book kommt hin­zu, dass die Daten der Kun­den zwar «regio­nal» auf Ser­vern gespei­chert sind, aber das Mut­ter­haus befin­det sich nicht «regio­nal» und hat somit auch Zugriff auf Ser­ver aus­ser­halb sei­nes Lan­des. Sprich auch Apple könn­te aus Cup­er­ti­no auf dein Han­dy und dei­ne Daten in der iCloud zugrei­fen – egal, wo du bist, mit dei­nem Han­dy bist und unab­hän­gig davon, wo der Ser­ver für dei­ne Daten in der Cloud steht.

Eine juri­sti­sche Bera­tung bezieht die juri­sti­sche Sach­la­ge mit ein. Als Resul­tat einer Bera­tung soll­te man eine Auf­li­stung von mög­li­chen Risi­ken erhal­ten und im Spe­zi­el­len die Wahr­schein­lich­keit des Ein­tre­tens eines Risi­kos auf­ge­zeigt bekom­men. Ich wür­de auch dar­auf pochen, kon­kre­te Hand­lungs­emp­feh­lun­gen zu erhal­ten, resp. die aktu­el­le Infor­ma­ti­ons­wei­se und ‑gehalt (Coo­kie Noti­ce, Impres­sum, AGB) über­prü­fen zu lassen.

Das ist wie das Lesen eines Bei­pack­zet­tels eines Medi­ka­men­tes; du ent­schei­dest über die Ein­nah­me oder nicht.

Phi­lo­so­phie des Unternehmens

Du ent­schei­dest, mit wel­chen Anbie­tern (E‑Mail Mar­ke­ting, E‑Mail-Provider, Web­ho­sting, Marketing-Plattformen wie Face­book, Video­kon­fe­renz­sy­stem etc.) du zusam­men­ar­bei­test. Das Pro­blem ist, dass gewis­se Dienst­lei­stun­gen und Anwen­dun­gen von „regio­na­len“ Anbie­tern ein­fach nicht so gut sind wie das „Ori­gi­nal“. Auch wenn du die Fir­men­phi­lo­so­phie des Unter­neh­mens unter allen fin­dest. Du musst hier selbst eine Nutzen- und (juri­sti­sche) Risi­ko­ab­schät­zung vornehmen.

Will­kom­men im Leben eines Unter­neh­mers! Alles ist eine Abwä­gung und es gibt kei­ne Garantien

Fir­men­wer­te

Dei­ne Fir­ma, dei­ne Regeln – inner­halb der grös­se­ren Regeln …

Du ent­schei­dest, wie du mit dei­nen Dienst­lei­stern und vor allem dei­nen Kun­den umgehst. Wie trans­pa­rent willst du über die Ver­wen­dung von Daten infor­mie­ren? Wenn du vor­hast, die Kun­den­da­ten wei­ter­zu­ver­kau­fen, dann ten­dierst du eher zu einer mini­ma­len Infor­ma­ti­ons­po­li­tik und behan­delst dei­ne Kun­den als „Nutz­tie­re“.

Damit kann ich mich in kei­ner Wei­se iden­ti­fi­zie­ren. Ich will mei­ne Daten bei ande­ren sicher wis­sen, wes­halb ich das gleich hal­te. Die­ser Hal­tung fol­gend, reflek­tiert sich das in der Infor­ma­ti­on, wie Kun­den­da­ten ver­wen­det wer­den. Was sich dann im Impres­sum, Daten­schutz und den AGBs niederschlägt.

Ist das eine ein­ma­li­ge Sache? Nein!

Ich gehe immer wie­der über die Bücher und reflek­tie­re mei­ne Geschäfts­prak­ti­ken. Sind sie für mich respekt­voll und inte­ger? Kann ich das noch stär­ker in der direk­ten Kom­mu­ni­ka­ti­on und der Dienst­lei­stungs­er­brin­gung zum Aus­druck brin­gen? Müs­sen die AGB und das Impres­sum ange­passt wer­den? Kann auch ganz sim­pel sein, dass man eine Anwen­dung, einen Dienst­lei­stungs­er­brin­ger, gewech­selt hat und sich dadurch eine Anpas­sung ergibt.

Wel­che Daten sind betroffen

Es kön­nen zwei Daten­be­rei­che gezo­gen wer­den: die eig­nen Fir­men­da­ten und Inhal­te und Kundendaten.

Ob man sei­ne fir­men­in­ter­nen Finanz­da­ten in Noti­on führt, ist jedem selbst über­las­sen. Kom­men aber zu den Finanz­da­ten noch Kun­den­in­for­ma­tio­nen hin­zu, hat man eine Ver­ant­wor­tung zum Schutz die­ser Daten gegen­über Drittpersonen.

Risi­ko­be­wer­tung

Eine Risi­ko­be­wer­tung schaut sich nicht nur an, wel­che Daten erfasst wer­den, son­dern setzt alle Fak­to­ren (vor­her­ge­hen­de Kapi­tel) in einen Kon­text und beur­teilt das Risi­ko für das Unternehmen.

Für eine sol­che Risi­ko­be­wer­tung emp­feh­le ich den Bei­zug eines Juristen.

Man kann sich auch selbst in die The­ma­tik ein­le­sen, die Dyna­mik ver­ste­hen und zu einem Schluss kommen.

Die Risi­ko­be­wer­tung umfasst mög­li­che Risi­ken und wie wahr­schein­lich die ein­tref­fen könn­ten. Je höher die Wahr­schein­lich­keit, desto bes­ser soll­te man sich absichern.

Wel­che Mass­nah­men zur Absi­che­rung genü­gen, beant­wor­tet auch wie­der der/die Juri­stin ODER wer sich selbst infor­mie­ren will, hört in den nach­fol­gen­den Pod­cast rein und schaut sich anschlies­send das Video an.

Unge­eig­ne­te Anwendungsbereiche

Alle Anwen­dungs­be­rei­che, die sen­si­ti­ve und heik­le Daten von Per­so­nen haben. Das sind z. B.

• Pati­en­ten­da­ten
• Finanz­da­ten zu Per­so­nen und Firmen
• Pass­wort­ver­wal­tung
• Kli­en­ten­da­ten von Anwaltskanzleien
• sen­si­ti­ve juri­sti­sche Dokumente

Bild­quel­le: Foto­graf Day­ne Top­kin auf Uns­plash

Tech­ni­sche Aspekte

Noti­on hat kei­ne End-zu-End Ver­schlüs­se­lung; wie es E‑Mail, Ever­no­te, Drop­box, Air­ta­ble, Goog­le Sheet, Goog­le Doc etc. auch nicht haben.

Die Grün­de, wes­halb es kei­ne End-zu-End Ver­schlüs­se­lung in Noti­on gibt, sind:

• es das Suchen von Daten extrem verlangsamt,
• die Echtzeit-Zusammenarbeit verunmöglicht,
• das spä­te­re Zusam­men­füh­ren von Anpas­sun­gen auf der glei­chen Sei­te von meh­re­ren Usern kaum zu rea­li­sie­ren ist
• das Mar­kie­ren (Tag­ging) von ande­ren Per­so­nen fast nicht mehr ermöglicht

Das ist kein allei­ni­ges Pro­blem von Noti­on, son­dern bei allen Cloud basier­ten Appli­ka­tio­nen und ein Offline-Modus steht in den Sternen.

Ich gehe eher davon aus, dass Noti­on cloud-basiert bleibt.

Es ist also eine Fra­ge, wie wich­tig die­se Anfor­de­rung ist und um wel­che Daten es sich han­delt. Wer zwin­gend End-zu-End Ver­schlüs­se­lung benö­tigt, setzt bes­ser auf eine Eigen­ent­wick­lung, die auf eige­nen Ser­vern läuft.

Cloud­ba­siert oder eige­ne Serverlösung?

Noti­on spei­chert die Daten auf Ama­zon Ser­vern in den USA. Da die Noti­on Ser­ver in den USA ste­hen, kann dies für eini­ge Unter­neh­men bereits ein Aus­schluss­kri­te­ri­um sein.

Damit haben vor allem Unter­neh­men aus der Finanz‑, Verwaltungs- und Gesund­heits­bran­che ein Pro­blem. Denn ame­ri­ka­ni­sche Unter­neh­men unter­lie­gen ame­ri­ka­ni­schem Recht, was ame­ri­ka­ni­schen Behör­den den Zugriff auf ihre Daten grund­sätz­lich ermöglicht.

Eini­ge Unter­neh­men wol­len ihre Inhal­te nicht poten­zi­ell mit dem ame­ri­ka­ni­schen Staat tei­len, denn es könn­ten auch rele­van­te Geschäfts­ge­heim­nis­se abge­fragt werden.

Gehört dein Unter­neh­men nicht in die ein­gangs erwähn­ten Bran­chen, steht der Nut­zung von Noti­on prin­zi­pi­ell nichts mehr viel im Weg.

Wer den­noch auf eige­ne Lösun­gen oder eige­ne Ser­ver­spei­che­run­gen setzt, trägt das vol­le Risi­ko den Schutz umfas­send zu unter­hal­ten und die hohen Kosten.

In den letz­ten zwei Jah­ren war die Zahl der Daten­schutz­ver­let­zun­gen, die wir welt­weit bei Unter­neh­men mit eige­nen Rechen­zen­tren erlebt haben, enorm. Dar­um wol­len jetzt vie­le in die Cloud wech­seln, weil sie dort eine Sicher­heit erhal­ten, die sie sonst nir­gend­wo bekom­men können.

Wer­ner Vogels, Chef­tech­no­lo­ge bei Ama­zon, Quel­le Tages­an­zei­ger (Sep­tem­ber 2022)

«Wer sei­ne Daten geschützt haben will, der geht in die Cloud.»,

Chri­sti­an Hitz, Dozent Zür­cher Hoch­schu­le für Ange­wand­te Wissenschaften

 

Das sei siche­rer, als wenn jedes klei­ne Unter­neh­men sel­ber ver­su­che, das Fir­men­netz­werk abzusichern.

Dies bestä­ti­gen alle ange­frag­ten Cloud-Fachleute und auch Amazon-Cheftechnologe Wer­ner Vogel

Quel­le: Tages­an­zei­ger

Wel­che Daten nicht anvertrauen?

Auf jeden Fall soll­te man Noti­on nicht für die Passwort-Speicherung nut­zen, son­dern dafür spe­zia­li­sier­te Pro­gram­me mit End-zu-End Ver­schlüs­se­lung nut­zen. Ich ver­wen­de seit Jah­ren die Dienst­lei­stung von Secu­re­Safe.

Zudem ver­wal­te ich mei­ne Finan­zen (Bud­ge­tie­rung, Ein­nah­men) nicht in Noti­on. Das aus dem ein­fa­chen Grund, dass Tabel­len­pro­gram­me defi­ni­tiv bes­ser dafür geeig­net sind (Kal­ku­la­tio­nen, Dia­gram­me etc.) und die Buch­hal­tung nur in spe­zi­fi­schen Anwen­dun­gen führe.

Wo sen­si­ti­ve Daten speichern?

Eine Pati­en­ten­ver­fü­gung kann man im pri­va­ten Pass­wort­ver­wal­ter, wie Secur­Safe, abspei­chern. Will man sen­si­ti­ve Daten spei­chern und eine End-zu-End Ver­schlüs­se­lung, kann man Sync (Cana­da) oder Treso­rit (Schweiz) genau­er betrach­ten. Letz­te­re erfül­len die Auf­la­gen des Schwei­zer Daten­schut­zes, die noch stren­ger als die in der EU sind.

Wei­ter­füh­ren­de Informationen

Um das The­ma Daten­schutz in Bezug auf dein Busi­ness aus einer prak­ti­schen Per­spek­ti­ve zu ver­ste­hen, emp­feh­le ich dir den Pod­cast der Online-Unternehmerin San­dra Hol­ze. Dar­in hörst du, wie sie das The­ma aus unter­neh­me­ri­scher Sicht sieht und was Sabri­na Keese-Haufs dazu erwi­dert (Minu­te 44:30 bis 59:00). Es ist eine sehr ange­reg­te Dis­kus­si­on über Sinn und Unsinn.

Du willst auf Num­mer sicher gehen und hast noch kei­ne Juri­stin? Dann kann ich dir Sabri­na Keese-Haufs emp­feh­len. Die Juri­stin hat sich auf DSGVO und Pri­va­cy Shield für Online-Unternehmen spe­zia­li­siert und nimmt das The­ma Pri­va­cy Shield in ihrem You­Tube Video vom Sep­tem­ber 2020 auf.

Noti­on Daten­schutz & Noti­on DSGVO

Dazu emp­feh­le ich dir die AGBs und Daten­schutz­be­stim­mun­gen direkt bei Noti­on zu lesen. Im Data Pro­ces­sing Adden­dum, auf der Sei­te GDPR (=Noti­on DSGVO), Kapi­tel 10 “EUROPEAN SPECIFIC PROVISIONS”, erklärt Noti­on sei­ne Hal­tung in Bezug auf die EU und die Schweiz. Schau dort nach, um eine juri­stisch ver­bind­li­che Ant­wort zu erhal­ten, wie Noti­on Pri­va­cy lautet.

Da sich die­se Tex­te jeder­zeit, wie bei allen Dienst­lei­stern, ändern kön­nen, ver­zich­te ich auf eine Wie­der­ga­be von Texten.

Zum tech­ni­schen Aspekt; Noti­on Mit­ar­bei­ten­de haben, mit Frei­ga­be durch dich, Zugriff auf die Daten. Tech­nisch gese­hen haben sie jeder­zeit Zugriff auf die Daten ihrer Kun­den. Was hier­bei stört, ich als Kun­de kann den Zugriff auf mei­ne Daten durch die Notion-Mitarbeiter nicht steu­ern, resp. sperren.

Wer heu­te ein Support-Ticket bei Noti­on löst (Stand Juli 2022) und Noti­on zur Pro­blem­ana­ly­se auf den Workspace zugrei­fen muss, muss dies inner­halb der App zuerst frei­ge­ben. Die­se Frei­ga­be ver­fällt nach 2 Wochen.

Tech­nisch gese­hen, auf Pro­gram­mie­rungs­ebe­ne, kann jedes Unter­neh­men die Daten ihrer Kun­den her­aus­ho­len. Auch selbst ent­wickel­te Daten­ban­ken die auf loka­len Ser­vern geho­stet wer­den, kön­nen durch den IT Sup­port ein­ge­se­hen werden.

Updates

Noti­on teilt in ihrer Pres­se­mit­tei­lung vom August 2021 mit, dass sie nun SOC 2 Type 2 com­pli­ant sind. Das bedeu­tet, der Bericht bestä­tigt das Ein­hal­ten von fol­gen­den Stan­dards (nicht über­setzt, damit kei­ne Ver­zer­rung entsteht):

• Strong authen­ti­ca­ti­on con­trols and limi­t­ed access to data — We com­ple­te indi­vi­du­al com­pu­ter audits with JAMF, and we limit access to cus­to­mer data to tho­se who need it to do their job.
• Con­ti­nuous con­trols moni­to­ring and inci­dent respon­se — We run con­ti­nuous com­pli­ance moni­to­ring to ensu­re that the key con­fi­gu­ra­ti­ons our con­trols rely upon are in place, and that we’­re able to quick­ly respond to any issues that may arise.
• Employee secu­ri­ty awa­re­ness — We run back­ground checks pri­or to hiring and pro­vi­de secu­ri­ty trai­ning for all employees during onboar­ding and on an ongo­ing basis.

Umset­zung im Business

Wie mit ande­ren Daten­ver­ar­bei­tungs­dienst­lei­stern, z.B. Mail­pro­vi­der, E‑Mail Mar­ke­ting Pro­vi­der, Webseiten-Host, Face­book Pixel, Buch­hal­tungs­soft­ware, Kun­den­da­ten­bank, etc. ist der Kun­de über die Daten­ver­ar­bei­tung zu infor­mie­ren. Die­se Infor­ma­ti­on fin­det Platz im Fir­men­im­pres­sum oder in der sepa­ra­ten Daten­schutz­er­klä­rung.

Ich per­sön­lich fol­ge­re aus dem oben erwähn­ten Video und Pod­cast für mich; dass ich ent­spre­chend infor­mie­re, wel­che Daten erfasst und für wel­chen Zweck ver­wen­det wer­den. Zudem ist es mir wich­tig zu infor­mie­ren, dass kei­ne Daten wei­ter­ver­kauft wer­den und bei Zah­lungs­lö­sun­gen ver­wen­de ich Syste­me die kei­ne ver­trau­li­che Daten auf mei­nen Ser­vern speichern.

Schluss­fol­ge­rung

Wir arbei­ten in einem Umfeld, wo uns die IT-Infrastruktur über die geo­gra­fi­schen und juri­sti­schen Gren­zen her­aus­for­dert. Aber man muss für sich auch abwä­gen und rea­li­sie­ren, dass die Geset­ze alle Unter­neh­men über den glei­chen Kamm sche­ren. Egal, ob mul­ti­na­tio­nal und gross oder klein und Nischen-bezogen. Was nicht wirk­lich unter­neh­me­risch för­der­lich ist und zur Ver­un­si­che­rung beiträgt.

Ich ver­su­che es prak­tisch und trans­pa­rent (mei­nen Kun­den gegen­über) zu hal­ten: Ja, dei­ne Daten wer­den wei­ter­ver­ar­bei­tet. Zu wel­chem Zweck ist im Daten­schutz nachzulesen.