Cloud Computing Anbieter und Datenschutz im Vergleich

Cloud Computing Anbieter im Datenschutz Vergleich

Inhaltsverzeichnis

Cloud Computing Anbieter im Vergleich – ARBEITSPAPIER!

Aufgrund der Komplexität der umfangreichen Prüfungen, haben wir uns erstmals entschlossen, einen Beitrag online zu stellen, obwohl er noch in Bearbeitung ist.

Sicherheit und Datenschutz in der Cloud sind wesentliche Argumente bei der Auswahl eines Cloud Anbieters.

Vor allem nach dem Wegfall des EU US Privacy Shields ist es noch schwieriger zu bewerten, inwiefern ein Anbieter eines Online-Dienstes die Anforderungen erfüllen kann.

Wir arbeiten daher gerne mit einem risikobasierten Ansatz. Die gelisteten Cloud Computing Anbieter werden nach objektiven Kriterien bewertet. Eine Risikobewertung basiert aber auch immer auf einer subjektiven Einschätzung, daher ist es wichtig, dass Sie die Liste als Empfehlung sehen, diese aber mit Ihren eigenen Kriterien abgleichen, bevor Sie sich für einen Anbieter entscheiden.

Wir verwenden ein Ampelsystem, das recht einfach zu verstehen sein sollte. Bei US Anbietern bleibt aufgrund der gesetzlichen Lage immer ein Restrisiko. Kaum ein Dienst kann 100% konform betrieben werden. In diesem Fall kennzeichnen wir dies – wenn alle anderen Bedingungen positiv sind – mit einer grün-gelben Ampel.

Risiken beim Einsatz von Cloud Computing
Die Risiken lassen sich in drei Kategorien unterteilen. Der rechtliche oder vertragliche Teil und dann die Risiken beim Anbieter, aber auch die Risiken im anwendenden Unternehmen.

Zur Risikobewertung selber möchte ich an dieser Stelle nicht weiter eingehen. Mehr zur Risikoanalyse und zur Bewertung von Cloud Computing Anbietern finden Sie hinter den jeweiligen Links.

Dieser Beitrag ist eine Sammlung verschiedener Anbieter und wird von uns immer wieder ergänzt.

Wir recherchieren nach bestem Wissen und Gewissen. Wir können aber keine Gewährleistung für die Richtigkeit der Angaben übernehmen. Die Liste soll Ihnen eine erste grobe Einschätzung vermitteln, kann aber keine detaillierte Recherche Ihrerseits ersetzen.

Und bevor’s losgeht noch zu erwähnen: Natürlich kann dieser Beitrag auch keine Rechtsberatung ersetzen.

Prüfungsvorgehen

Compliance Risiko

  1. Hauptsitz des Anbieters
  2. ggf. Vertreter in der EU
  3. AV Vertrag oder Vertrag für gem. Verantwortlichkeit vorhanden
  4. Welche Rechtsgrundlage zur Datenübermittlung ins Drittland
  5. Datenschutzerklärung – gibt es eine DSE für den entsprechenden Service, ist er vollständig, Erfüllung nach Art. 13 und 14. Werden Daten zu eigenen Zwecken verwendet;
  6. Transparenz zu Cloud Act (bei Anfragen von US Behörden nach Daten)
  7. Liegen Daten außerhalb der EU, wenn ja welche?

Risiken beim Anbieter

  1. Ausgewählte technische Maßnahmen, z.B.:
    1. MFA – Multifaktor Authentifizierung
    2. Verschlüsselung möglich (Inhalt)
    3. Verschlüsselung mit eigenem Key oder Drittanbieter-Software (Inhalt)
    4. Zugriffseinschränkung nach IP-Range
    5. sonstige, positiv herausgestellte techn. Maßnahmen
  2. Change Management bei Update der Funktionen / Sicherheitspatches
  3. Zertifizierungen des Anbieters

Cloud Computing Anbieter nach Alphabet

123erfasst GmbH

Zweck / ServiceApps für die Baustelle zur Erfassung von Bauinformationen und Zeiten
Datenkategorien
InformationspflichtNicht online gefunden
AuftragsverarbeiterJa
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in
Mutterkonzern in Deutschland (NEVARIS Bausoftware GmbH)
Compliance Risiko Ampel grün
Transparenz zu Cloud Actentfällt
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz Ampel grün

Actionbound GmbH

Zweck / ServiceActionbound, Digitale Touren erstellen und anbieten
DatenkategorienUsername, IP-Adresse, E-Mail Adresse (freiwillig für User, zwingend für den Ersteller eines Bonus), weitere Angaben freiwillig
InformationspflichtJa, https://de.actionbound.com/agb
AuftragsverarbeiterNein
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Actionbound GmbH, Deutschland
Mutterkonzern in
Compliance Risiko Ampel grün
Transparenz zu Cloud Actentfällt
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz Ampel grün

Einschätzung der Datenbeschützerin

Actionbound informiert sehr transparent und in einem sehr netten Ton zum Datenschutz. Der Service versucht mit so wenig personenbezogenen Daten, wie möglich auszukommen.

Welcher Anbieter das Serverhosting übernimmt oder ob die Server in den genannten deutschen Rechenzentren selbst betrieben werden, wird nicht genannt.

Der User hat die Kontrolle und Entscheidung über die Daten, der er preisgibt.

ActiveCampaign, LLC

Zweck / ServiceNewsletterdienstleister
DatenkategorienE-Mail Adressen, IP-Adressen, Verwendungsstatistiken (welche Teile einer Seite wurden besucht, um später diese genau bewerben zu können), Analysen
Informationspflichthttps://www.activecampaign.com/de/legal/privacy-policy
AuftragsverarbeiterJa
AV-Vertraghttps://www.activecampaign.com/legal/dpa
Vertreter in der EU (nach Art. 27 DSGVO) Niederlassung in Dublin, aber nicht offiziell genannt als Vertreter in der EU
Vertragspartner für EU-Firmen in Vertragspartner ist Sitz in den USA
Mutterkonzern in USA
Compliance Risiko Garantie für Datenübermittlung: Standardvertragsklauseln: https://www.activecampaign.com/legal/scc
Ampel gelb
Transparenz zu Cloud Act und Behördenanfragenkeine Aussage des Anbieters
Risiken beim Anbieternicht identifiziert
Zu berücksichtigen / SchwachstellenDas Site-Tracking darf nur mit Einwilligung des Seitenbetreibers erfolgen.
Bekannte Maßnahmen zur Risikominimierung Es werden nur wenige personenbezogene Daten erhoben. Wenn das Site Tracking deaktiviert wird, kann der Betroffene noch mehr geschützt werden.
Restrisiko beim Einsatz Anbieter beruft sich auf die Standardvertragsklauseln.
Es werden keine Daten nach Art. 9 DSGVO verarbeitet.

Ein eventueller Zugriff der Behörden würde sich auf E-Mail Adressen, Öffnungs- und Klickstatistiken beziehen.
Daher ist unsere Einschätzung, dass es sich um ein mittleres Restrisiko handelt.
Ampel grün gelb

Aidoo Software GmbH

Zweck / ServiceMitgliederverwaltung für Fitnessstudios
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Irland
Mutterkonzern in USA
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Atlassian

InformationspflichtDatenschutzrichtlinie | Atlassian
AuftragsverarbeiterJa; Vertrag steht hier zum Download bereit
Vertreter in der EU (nach Art. 27 DSGVO) nicht identifiziert
Vertragspartner für EU-Firmen in Atlassian B.V.
c/o Atlassian, Inc.
350 Bush Street, Floor 13
San Francisco, CA 94104
E-Mail: eudatarep@atlassian.com

laut Datenschutzerklärung ist dieser Standort für Anfragen zum Datenschutz zuständig.
Mutterkonzern in Atlassian Inc., Australien (lt. Atlassian ist der Hauptsitz in Sydney)
Tochterunternehmen in USA
Compliance Risiko Atlassian teilt auf einer Unterseite mit, dass die Datenübertragung in die USA mittels der Standardvertragsklauseln gesichert sind.

Atlassian beruft sich in der Datenschutzerklärung und im AV-Vertrag Nr. 6.1 (ii) auf das nicht mehr gültige Privacy-Shield für die Datenübermittlung an die Tochterunternehmen in die USA.

Im AV-Vertrag sind die Standardvertragsklauseln im Anhang 4 angefügt.
Ampel gelb
Transparenz zu Cloud Act / BehördenanfragenAnfragen von Behörden und internationalen Strafverfolgungsbehörden werden im Einklang mit den US-Gesetzen beantwortet.

Der Ablauf für eine Beantwortung ist in den dafür vorgesehenen Guidelines zu entnehmen.

Der Transparenzbericht zeigt auf, dass nur wenige Anfragen innerhalb der letzten Jahren bei Atlassian eingingen.
Genannte Schutzmaßnahmen des Anbieter– Zertifizierung nach SOC2, SOC3, ISO 27001, ISO27018, PCI DSS
TRUSTe-Zertifizierung
– Übertragungsverschlüsselung
– Verschlüsselung ruhender Daten mittels AES-256
– Mandantentrennung
– Externe Sicherheitstest mittels Bug-Bounty und Penetrationstests
– weitere Sicherheitsmaßnahmen können hier eingesehen werden
Ampel grün

Jira Software in der Cloud

Zweck / ServiceAufgaben- / Projektverwaltung; Erstellung von Workflows
DatenkategorienKonto- und Profilinformationen
– Registrierungsinformationen (z.B. Kontaktdaten, Abrechnungsdaten)
– Profileinstellungen und -änderungen (Profilname, -bild, Position)

Produktinhalte
– Zusammenfassung und Beschreibung eines Jira-Vorgang,
– Feedback zu Inhalten
– Inhalte der Produkte (jedoch verschlüsselt)
– Clickstream-Daten (Interaktion mit und Umsetzung mit einem Service)

Supportanfragen
Zahlungsinformationen
Automatische Erfassung von
– Log-Daten
– angeklickte Links,
– Art, Größe und Dateinamen von Anhängen
– Suchbegriffe
– Team und Kontaktpersonen (Häufigkeit der Zusammenarbeit etc.)

Geräte- und Verbindungsinformationen
– Verbindungstyp
– Einstellung zur Installation
– Betriebssystem
– Browsertyp
– IP-Adresse
– URLs
– Gerätekennung
– Absturzdaten
– (ungefährer) Standort
Risiken beim Anbieter– (weltweites) Hosting bei AWS; AWS bietet zwar die Möglichkeit Standorte für die Speicherung auszuwählen, jedoch kommt es letztendlich auf den Dienst selbst darauf an. Es kann daher nicht ausgeschlossen werden, dass die Daten in Jira auf Drittlandservern von AWS gespeichert werden.
Ampel gelb
Zu berücksichtigen / Schwachstellen– Mittels der Enterprise-Lösung von Jira ist es möglich, den Speicherort für Daten zu wählen.

– Eine endgültige Datenlöschung erfolgt nur, wenn sämtliche Jira-Produkte gekündigt wurden
Genannte Schutzmaßnahmen des Anbieter– Übertragungsverschlüsselung
– Verschlüsselung ruhender Daten in Jira mittels AES-256
– Festplattenverschlüsselung von ruhenden Jira-Vorgangsdaten
– Mandantentrennung innerhalb von Jira mittels TCS (Tenant Context Serivce)
Bekannte Maßnahmen zur Risikominimierung Atlassian bietet ebenfalls Jira als on-premise zu installieren. Diese Variante sollte bevorzugt genutzt werden, um die Datenübermittlung weitestgehend zu unterbinden.
Restrisiko beim Einsatz mittel bei Cloud-Lösung
Ampel gelb
On Premise Lösung wurde nicht betrachtet, Risiken unterscheiden sich hier!

Confluence

Zweck / ServiceInformationsplattform
DatenkategorienKonto- und Profilinformationen
– Registrierungsinformationen (z.B. Kontaktdaten, Abrechnungsdaten)
– Profileinstellungen und -änderungen (Profilname, -bild, Position)

Produktinhalte
– erstellte Seiten in Confluence
– Kommentare zu Seiten
– Autor eines Beitrags

Supportanfragen
Zahlungsinformationen
Automatische Erfassung von
– Log-Daten
– angeklickte Links,
– Art, Größe und Dateinamen von Anhängen
– Suchbegriffe
– Team und Kontaktpersonen (Häufigkeit der Zusammenarbeit etc.)

Geräte- und Verbindungsinformationen
– Verbindungstyp
– Einstellung zur Installation
– Betriebssystem
– Browsertyp
– IP-Adresse
– URLs
– Gerätekennung
– Absturzdaten
– (ungefährer) Standort
Risiken beim Anbieter– (weltweites) Hosting bei AWS; AWS bietet zwar die Möglichkeit Standorte für die Speicherung auszuwählen, jedoch kommt es letztendlich auf den Dienst selbst darauf an. Es kann daher nicht ausgeschlossen werden, dass die Daten in Jira auf Drittlandservern von AWS gespeichert werden.
Ampel gelb
Zu berücksichtigen / Schwachstellen– Mittels der Enterprise-Lösung von Jira ist es möglich, den Speicherort für Daten zu wählen.
Genannte Schutzmaßnahmen des Anbieter– Übertragungsverschlüsselung
– Verschlüsselung ruhender Daten in Jira mittels AES-256
– Festplattenverschlüsselung von ruhenden Confluence-Seitendaten
– Mandantentrennung innerhalb von Confluence mittels TCS (Tenant Context Serivce)
Ampel grün
Bekannte Maßnahmen zur Risikominimierung Es ist im Vorfeld zu definieren, welche Informationen in Confluence geteilt werden. Die Einpflegung sensibler Informationen von und über Betroffene (z.B. Mandanten, Patienten) sollten vermieden werden.
Restrisiko beim Einsatz hohes / mittleres Risiko bei sensiblen Informationen, geringes Risiko bei „normalen“ Daten (z.B. Arbeitsanweisungen)
Ampel gelb

Einschätzung der Datenbeschützerin zu Atlassian (insgesamt)

Atlassian bietet verschiedene Produkte für verschiedene Einsatzzwecke an. Die dargelegten Sicherheitsmaßnahmen von Atlassian sind zahlreich und ermöglichen somit einen hohen Schutzbedarf der Daten.

Leider stößt es mir bei der Prüfung immer wieder etwas sauer auf, dass keine einheitliche Sprache verwendet wird. Die Produktseiten, Datenschutzerklärung und vereinzelte Unterseiten sind in deutscher Sprache vorhanden. Sofern man sich jedoch intensiver z.B. mit den Schutzmaßnahmen auseinandersetzen will, sind diese meist nur in Englisch verfügbar. Für uns ist es nicht schwer, den Sinn und den Zusammenhang zu erfassen, jedoch vielleicht für die Nutzer und Betroffenen selbst.

Ist der Einsatz von Atlassian nun möglich? Bedingt. Sofern die Jira Software on-premise installiert wird, sehen wir hier nur ein geringes Restrisiko. In der Cloud-Version (Jira und Confluence) ist vorab zwingend zu ergründen, zu welchem genauen Zweck der Dienst genutzt wird und vor allem welche Informationen von Betroffenen eingepflegt und gespeichert werden.

Weiterhin bleibt Atlassian ein Anbieter aus einem Drittland. Zumal sich auf nicht mehr gültige EU-US-Privacy Shield berufen wird und die Daten in Jira und Confluence wohl weltweit bei AWS gehostet werden.

Es empfiehlt sich daher ggf. vorab nach einer europäischen Lösung zu suchen und diese erst einmal zu bevorzugen.

AWS

EC2 Server

Zweck / ServiceServerhosting
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Irland
Mutterkonzern in USA
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Citrix

Zweck / ServiceVirtualisierung / virtuelle Desktops
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO)
Vertragspartner für EU-Firmen in
Mutterkonzern in
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

CleverReach

Zweck / ServiceNewsletterdienstleister
DatenkategorienNewsletteranmeldung
– E-Mail-Adresse

Account-Registrierung (kostenlos)
– E-Mail-Adresse
(kostenpflichtig)
– E-Mail-Adresse
– Zahlungsdaten / Zahlungsmittel
(bei der kostenlosen Variante sendet CleverReach Werbung in Form von Account-Reports, News & Produktinformationen zu)

Anmeldinformationen von Abonnenten
– E-Mail-Adresse
– IP-Daten
– Zeitstempel

Reporting und Tracking:

Messung der Klick-, Öffnungs-, Abmelde-, Bouncerate
Geo- und E-Mail-Client Analyse
– genutzte Devices (Handy, PC, Laptop)

Conversion Tracking über Google Analytics z.B.
– Verweildauer auf Webseite
– Konversationen auf der Webseite (z.B. Kauf, Download etc.)

IntelliAD-Tracking
Erfassung sämtlicher Aktivitäten über alle Kanäle
InformationspflichtDatenschutz – CleverReach
AuftragsverarbeiterJa, Muster ist hier abrufbar.
Die Anleitung für die Bearbeitung und den Abschluss des Vertrags wird im FAQ erläutert.
Vertreter in der EU (nach Art. 27 DSGVO) nicht nötig
Vertragspartner für EU-Firmen in Deutschland
Mutterkonzern in Deutschland
Compliance Risiko nicht identifiziert
Transparenz zu Cloud Actnicht nötig
Risiken beim AnbieterNutzung von Google Analytics für Conversion Tracking. CleverReach gibt zwar an, dass die Daten nur in der EU verarbeitete werden; allerdings ist Google dennoch ein US-Anbieter, weshalb die Ampel auf gelb gesetzt wird.
Ampel gelb
Zu berücksichtigen / SchwachstellenEs wird empfohlen die Tracking- und Analysefunktion von CleverReach nicht zu nutzen. Wir vermuten, dass die Abschaltung möglich ist, da die weiteren Tracking-Methoden als „erweiterte Optionen“ dargestellt werden.
Bekannte Maßnahmen zur Risikominimierung – Rechnerzentren von CleverReach sind mit MFA gesichert; zusätzliche Zertifizierung ISO 27001
– jährliche SOC 1-Überprüfungen
– TÜV-geprüftes ISMS
– Double-Opt-In
– Aussage von CleverReach selbst: DSGVO-konformes E-Mail-Marketing
– Datenspeicherung erfolgt nur auf Servern in der EU
– SSL-Verschlüsselung
Restrisiko beim Einsatz Ampel grün gelb

Einschätzung der Datenbeschützerin

CleverReach ist einer der bekanntesten deutschen Newsletteranbieter. Wir finden es nur etwas schade, dass ein deutscher Anbieter dennoch einen US-Anbieter für Analysezwecke einsetzt. Als Risikominderung (und damit die grüne Ampel) empfehlen wir die Analysetools nicht zu nutzen.

COYO GmbH

InformationspflichtCOYO Datenschutzrichtlinien für COYO Cloud, COYO mobile app & COYO Engage mobile app (coyoapp.com)
AuftragsverarbeiterDas Formular für den AV-Vertrag kann hier ausgefüllt werden. Nach dem Ausfüllen werden die Daten in den AV-Vertrag importiert.
Vertreter in der EU (nach Art. 27 DSGVO) nicht nötig
Vertragspartner für EU-Firmen in Deutschland
Mutterkonzern in Deutschland
Transparenz zu Cloud Act / Behördenanfragennicht nötig
Genannte Schutzmaßnahmen des AnbieterAllgemein
– SSL- / TLS-Verschlüsselung
– Vertraulichkeitsverpflichtung der Mitarbeiter

COYO Cloud

Zweck / ServiceIntranet für Unternehmen
DatenkategorienZugriffsdaten
– IP-Adresse
– Browserinformationen
– Geräteinformationen (Betriebssystem)
– Netzwerkinformationen
– Zeitstempel des Abrufs (Datum, Uhrzeit)
– anfragende Webseite

Cookies
– Reichweitenmessung
– local Sotrage Technik (Login Name, Sprache, Filter-Einstellungen, Messaging Sidebar)

Registrierungsdaten
– Name,
-E-Mail-Adresse
– Nickname
– Geburtstag, Handynummer, Adresse, berufliche Funktion, Abteilung (freiwillig)

Kommunikationsdaten
– Inhalte im Intranet
– Kommentare

Analyse und Tool Funktionen
– Analyse der Nutzdaten über COYO Analytics
Compliance Risiko nicht identifiziert
Risiken beim Anbieternicht identifiziert
Zu berücksichtigen / Schwachstellen
Genannte Schutzmaßnahmen des Anbieter COYO Analytics:
– Daten werden ausschließlich in Deutschland verarbeitet und gespeichert; Pseudonymisierung und Anonymisierung der Daten erfolgt ebenfalls
– Auswertung erfolgt nur grafisch
– Datensätze von weniger als 12 Personen werden gar nicht ausgewertet
Ampel grün
Bekannte Maßnahmen zur Risikominimierung Es ist im Vorfeld zu definieren, welche Informationen auf der Coyo Cloud geteilt werden. Die Einpflegung sensibler Informationen von und und über Betroffene (z.B. Mandanten, Klienten, Patienten etc.) sollten vermieden werden.
Restrisiko beim Einsatz Ampel grün
Die Enterprise Version wurde hier nicht berücksichtigt.

Coyo Engage / Web View-App

Zweck / ServiceKommunikationsplattform
DatenkategorienDownload (werden durch App-Store erhoben)
-Zahlungsinformationen
– Kundenummer

Web-Analyse der Apps
– Google Analytics
– Google Firebase: Cloud Messaging, Crashlytics, Analytics
Compliance Risiko In der Datenschutzerklärung wird im Punkt IX eine Zusammenfassung der Verarbeitung dargelegt.
Bei dem Punkt Analyse wird hier das berechtigte Interesse dargelegt. Dies ist insofern möglich, wenn es sich dabei für die Bereitstellung des Dienstes selbst handelt.
Aus der Übersicht ist leider nicht erkennbar, dass Google Analytics auf Basis der Einwilligung genutzt wird.
Ampel gelb
Risiken beim AnbieterDer Einsatz von Google Diensten ist zum aktuellen Zeitpunkt mit einem Risiko versehen, da es sich bei Google letztendlich um einen US-Anbieter handelt.
Ampel gelb
Zu berücksichtigen / SchwachstellenEs ist im Vorfeld zu definieren, welche Informationen im Intranet geteilt werden. Die Einpflegung sensibler Informationen von und über Betroffene (z.B. Mandanten, Patienten) sollten vermieden werden.
Bekannte Maßnahmen zur Risikominimierung nicht bekannt
Restrisiko beim Einsatz Ampel gelb
Die Enterprise Version wurde hier nicht berücksichtigt.

Einschätzung der Datenbeschützerin

Bei der Prüfung war es wirklich verwunderlich, dass die COYO-Cloud auf Drittanbieter verzichtet; die Apps jedoch nicht.

Leider kann aus der Datenschutzerklärung für COYO Engage nicht genau herausgelesen werden, dass der Einsatz von Google Analytics auf Grundlage der Einwilligung erfolgt. Die Einholung der Einwilligung ist bei Google Analytics jedoch unumgänglich. Es erfolgte jedoch keine Prüfung der App selbst.

Dropbox

Zweck / ServiceOnlinespeicher
Datenkategorien– Kontoinformationen (Name, E-Mail-Adresse, Telefonnummer, Zahlungsdaten, Postanschrift, Profilbild, Einkaufs- und Nutzerverhalten)
– Inhalte (Dateien, Dokumente, Fotos, Kommentare, Nachrichten)
– Kontakte (Name, E-Mail-Adresse)
– Nutzungsinformationen
– Geräteinformationen
Cookies
Informationspflichthttps://www.dropbox.com/privacy
https://help.dropbox.com/de-de/accounts-billing/security/privacy-policy-faq
https://help.dropbox.com/de-de/files-folders/restore-delete/data-retention-policy
AuftragsverarbeiterAuf der Webseite ist nur die Dropbox-Business-Vereinbarung einsehbar.
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Dropbox International Unlimited Company,
Irland
Mutterkonzern in Dropbox, Inc,
USA
Compliance Risiko Dropbox beruft sich in der Datenschutzerklärung auf das nicht mehr gültige EU-US-Privacy-Shield für die Datenübermittlung in die USA.
Rote Ampel
Transparenz zu Cloud ActDropbox veröffentlicht die Anfragezahlen auf der Webseite. Im Punkt Nr. 11 des FAQ können die Anfrage aus dem letzten Jahr eingesehen werden. Weiterhin können die Transparenzberichte und Statistiken hier eingesehen werden.

Des Weiteren klärt Dropbox transparent über Ihre Vorgehensweise bei Eintreffen einer Anfrage auf.
Risiken beim AnbieterMit der Zustimmung der AGBs
Zu berücksichtigen / SchwachstellenDie kostenlose Version richtet sich an Privatpersonen, nicht an Business-Kunden.
Genannte Sicherheitsmaßnahmen des Anbieters – Verschlüsselung mit 256-Bit AES
– Datenübertragung wird mit TLS und SSL verschlüsselt
– regelmäßige Überprüfung auf Sicherheitslücken der Apps und -Infrastruktur
– 2-Faktoren-Authenfizierung
– Zertifizierungen: ISO27017, ISO 27018, ISO 22301, ISO 27701
– weitere Informationen finden Sie hier.
Ampel grün
Bekannte Maßnahmen zur Risikominimierung Dateien, die Sie hochladen können Sie zusätzlich mit einer eigenen Software verschlüsseln, um so den Schutz zu erhöhen.
Restrisiko beim Einsatz Grundsätzlich bietet Dropbox viele zusätzliche Features und Maßnahmen zum Schutz. Die Referenz auf das Privacy Shield geht aber gar nicht mehr. Daher ist das Risiko im Einsatz mindestens gelb, wenn nicht rot.
Ampel gelb

Einschätzung der Datenbeschützerin

Dropbox veröffentlicht auf seiner Webseite viele Informationen zum Thema Datenschutz. Die Prüfung selbst war teilweise etwas beschwerlich, da auf viele Unterseiten mit weiteren Informationen und FAQs verwiesen wird. Die oben genannten technischen Schutzmaßnahmen habe ich nur durch eine Suchmaschinenrecherche gefunden. In der Menüführung von Dropbox wäre ich leider nicht darauf gekommen.

Auch die zahlreichen Zertifizierungen seitens Dropbox stellen ein gewisses Datenschutzniveau her. Allerdings werden die Daten in Rechenzentren von Drittanbietern und auch wiederum in den USA gespeichert.

Google

Zweck / ServiceGSuite / Google Produkte
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Irland
Mutterkonzern in USA
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

DATA Security

Zweck / ServiceData Security Chat
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO)
Vertragspartner für EU-Firmen in
Mutterkonzern in
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Datev

Zweck / ServiceData Security Chat
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO)
Vertragspartner für EU-Firmen in
Mutterkonzern in
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

ELO Digital Office GmbH

Zweck / ServiceELO / Dokumentenmanagement
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Deutschland
Mutterkonzern in
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Ionos 1&1

Zweck / ServiceHosting
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Deutschland
Mutterkonzern in USA
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Juicer

Zweck / ServiceSocial Media
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO)
Vertragspartner für EU-Firmen in
Mutterkonzern in
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Loge Me In

GoToMeeting

Zweck / ServiceVideokonferenztool
DatenkategorienKundenkonto und Anmeldedaten:
● Vor- und Nachname
● Position
● Funktion
● Arbeitgeber
● Kontaktdaten (Unternehmen, E-Mail, Telefon, Geschäftsanschrift)
● Geräteidentifikationsdaten und Verkehrsdaten (z. B. MAC-Adresse, Web-Protokolle usw.)
● Informationen zum Berufsleben
● Informationen zum Privatleben
● Informationen zu Aufenthaltsorten

Servicedaten (Sitzungs-, Orts- und Nutzungsdaten)
Informationspflichtallgemeine Datenschutzerklärung, jedoch nicht direkt auf GoToMeeting bezogen
AuftragsverarbeiterJa – Vertrag nicht öffentlich zugänglich.
Datenverarbeitungsnachtrag vom 27.08.2020 bezüglich Privacy-Shield
Liste der Unterauftragsnehmer vom 30.09.2020
Vertreter in der EU (nach Art. 27 DSGVO) nicht nötig
Vertragspartner für EU-Firmen in Irland (https://logmeincdn.azureedge.net/legal/LMI-Contracting-Entities-October-2020.pdf)
Mutterkonzern in USA
Compliance Risiko Es ist keine eigene Datenschutzerklärung GoToMeeting vorhanden. Dies erschwert, die Einsicht, welche Daten genau beim Onlinemeeting verarbeitet werden.

Weiterhin wird keine genaue Aussage getroffen, welche Daten außerhalb der EU verarbeitet werden.
Ampel gelb
Transparenz zu Cloud Actkeine Aussage seitens LogMeIn
Risiken beim AnbieterLoMeIn stellt eine Vielzahl verschiedener Dokumente zum Thema Datensicherheit und Datenschutz bereit. Jedoch kann nicht im Detail geprüft werden, wie und welche Daten bei der Nutzung von GoToMeeting geschützt und verarbeitet werden.
Zu berücksichtigen / Schwachstellen– GoToMeeting ist nicht für die Kommunikation mit Minderjährigen geeignet
Genannte Schutzmaßnahmen des Anbieter– TLS-Verschlüsselung oder andere Sicherheitsprotokolle bei Datenübertragung
– Verschlüsselung von sensiblen Daten (z.B. Kreditkartennummer)
– Überprüfung der Sicherheitsmaßnahmen nach  SOC2 Typ II, BSI C5, SOC3 und ISO 27001
Bekannte Maßnahmen zur Risikominimierung Definieren Sie, welche Informationen und Daten Sie über das Konferenztool teilen möchten. Schränken Sie die Verteilung vertraulicher Daten ein.
Restrisiko beim Einsatz Ampel gelb

Zweck / ServiceStimmungsabfrage der Onlineteilnehmer
DatenkategorienKontaktdaten, Geräteinformationen, Cookie Informationen (Marketing und Sicherheitsaspekte), Interaktionen
Informationspflichthttps://www.mentimeter.com/privacy
Auftragsverarbeiternein
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Schweden
Mutterkonzern in Schweden
Compliance Risiko Einsatz von Subunternehmern in den USA – Garantie für Datenübermittlung: Standardvertragsklauseln
Ampel gelb
Transparenz zu Cloud Actentfällt beim Anbieter,
indirekt über Subdienstleister – hierzu aber keine Aussage
Risiken beim Anbieter– Mentimeter nutzt die Rechenzentren von Heroku und Amazon über den AWS-Service in den USA
Zu berücksichtigen / Schwachstellen– Teilnahme an Mentimeter ist erst ab 16 Jahren erlaubt
– Die IP-Adresse des Präsentierenden wird bis auf Widerruf dauerhaft gespeichert
– Die IP-Adresse von Umfrageteilnehmern wird 12 Monate gespeichert, wenn diese ihre E-Mail-Adresse angeben
– Es ist unklar, welche Daten genau zu den Subunternehmern in die Drittländer, insbesondere USA übermittelt werden
Ampel gelb
Bekannte Maßnahmen zur Risikominimierung – Die Daten werden bei Menitmeter verschlüsselt auf den AWS-Servern gespeichert
– Die Daten werden während der Übertragung per TLS 1.2 verschlüsselt
– Sofern die Umfrage es nicht erfordert, werden wenig personenbezogene Daten und keine Daten nach Art. 9 DSGVO übermittelt
Ampel grün
Restrisiko beim Einsatz Restrisiko gering – mittel vorhanden, durch die nicht geklärte Datenweitergabe an Subdienstleister in die USA
Ampel grün gelb

Einschätzung der Datenbeschützerin

Es ist unklar, welche Daten zu welchen Subunternehmern in die USA übermittelt werden. Die Transparenz der Datenschutzerklärung ist zum Teil gewährleistet und erfüllt.

Es ist auch unklar, weshalb der Anbieter die IP-Adresse des Präsentierenden dauerhaft speichert und von Teilnehmern für 12 Monate bei Eingabe der E-Mail-Adresse.

Im Gegenzug dazu teilt Mentimeter seine technischen und organisatorischen Maßnahmen ausführlich in der Security-Policy mit.

NextCloud

Zweck / ServiceDatenspeicher / Datenaustausch
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO)
Vertragspartner für EU-Firmen in Nextcloud GmbH
Hauptmannsreute 44a
70192 Stuttgart Germany

Es ist jedoch unklar, ob für jedes Land ein eigener Standort bzw. Ansprechpartner existiert
Mutterkonzern in
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Genannte Schutzmaßnahmen des Anbieter– Quellcode von NextCloud ist bei GitHub offen zugänglich
– SSL/TLS-Verschlüsselung bei Datenübertragung
– Verschlüsselung der Dateien selbst mittels AES-256-Verschlüsselung (Schlüsselverwaltung kann serverbasiert oder benutzerdefiniert erfolgen).
– Daten auf dem Client können Ende-zu-Ende-Verschlüsselung
– Befolgung des EU Rechtsakt zur Cybersicherheit
– Befolgung des CFR – Code of Federal Regulations Titel 21
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Polyas

Zweck / ServiceDurchführung Online-Wahlen
DatenkategorienWebseite: IP-Adresse, Datum, Uhrzeit, Geräteinformationen (Betriebssystem, Browserversion), Online-Kennungen

Software: Logfiles, Benutzerkennung der Wahlberechtigten, Passwort für erstmaligen Zugang (TAN), Wählerstimme (anonym), Stimmzettel mit Kandidaten / Abstimmungsinhalte
InformationspflichtNur für Webseite vorhanden: https://www.polyas.de/datenschutz
AuftragsverarbeiterJa: wenn personenbezogene Daten Ihrer Wähler bei POLYAS gespeichert werden. Hier ist der Link zum AV-Vertrag.

Nein: wenn Sie als Wahlveranstalter selbst das Wählerverzeichnis betreiben oder eine SecureLink-Authentifizierung mittels einer anonymisierten ID erfolgt.
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Deutschland
Mutterkonzern in Deutschland
Compliance Risiko Ampel grün
Transparenz zu Cloud Actentfällt, da Unternehmen in Deutschland
Risiken beim Anbieterkeine Identifizierung
Zu berücksichtigen / Schwachstellenkeine Identifizierung
Genannte Schutzmaßnahmen des Anbieter– BSI-Zertifizierung nach Common Criteria
– Sicherheitswarnung bei Datenintegritätsfehlen per E-Mail an Wahlvorstand
– Verschlüsselte Kommuniktion
– Hosting auf Open Telekom Cloud
Ampel grün
Bekannte Maßnahmen zur Risikominimierung laut Polyas bereits voreingestellte Sicherheitsmaßnahmen vorhanden
Restrisiko beim Einsatz Ampel grün

Einschätzung der Datenbeschützerin

Polyas klärt auf seiner Homepage umfassend und transparent gerade in Bezug auf Datensicherheit den Nutzer auf.

Ein herausstechender Plus-Punkt ist die BSI-Zertifizierung nach Common Criteria. Damit sind die zahlreichen Bedingungen an ein Online-Wahlsystem durch Polyas gegeben.

Signal

Zweck / ServiceMessenger-Dienst
DatenkategorienKontoinformationen
– Telefonnummer
– Profilname
– Profilbild

Nachrichten (verschlüsselt)

Technische Informationen
– Authentifizierungs-Token
– Schlüssel,
– Push-Token

Kontakte
– registrierte Kontakte in Signal

Supportanfragen
– Daten, die im Rahmen der Anfrage mitgeteilt wurden
Informationspflichthttps://www.signal.org/legal/#privacy-policy
AuftragsverarbeiterJa
Vertreter in der EU (nach Art. 27 DSGVO) keine Angabe dazu
Vertragspartner für EU-Firmen in USA
Mutterkonzern in USA, Kalifornien
Compliance Risiko keine konkrete Nennung, wie der Datentransfer in die USA abgesichert ist
Ampel gelb
Transparenz zu Cloud ActKurzer Hinweis in der Datenschutzerklärung, dass zur Erfüllung rechtlicher Verfahren oder durchsetzbaren Anfragen der Regierung die Daten weitergegeben.
Risiken beim Anbieternicht identifiziert
Zu berücksichtigen / SchwachstellenDie Nutzung von Signal ist erst ab 13 Jahren möglich.
Genannte Schutzmaßnahmen des Anbieter– Ende-zu-Ende-Verschlüsselung
– Telefonnummern aus dem Telefonbuch werden mittels Hash-Wert verschlüsselt
– Daten werden auf dem Mobilgerät gespeichert
– Quellcode von Signal ist bei GitHub offen einsehbar
Ampel grün
Bekannte Maßnahmen zur Risikominimierung Regeln Sie beim Unternehmenseinsatz, dass keine vertraulichen Informationen über den Dienst übermittelt werden dürfen.
Restrisiko beim Einsatz Ampel grün gelb

Einschätzung der Datenbeschützerin

Signal ist einer der datenschutzkonformen Messenger-Dienste, die seitens der Behörden und Datenschutzbeauftragten empfohlen werden.

Was uns fehlt ist die Angabe, auf welcher Basis eine Datenübermittlung in die USA stattfindet.

Leider sind die Datenschutzhinweise, AGBs und Blogeinträge nur auf Englisch vorhanden. Dies trägt unserer Ansicht nach nicht vollständig zur Transparenz bei. Die Startseite und die FAQs sind auf Deutsch. Es wäre super, wenn Signal hier noch nachbessert und die Informationen für jeden verständlich auch in deutscher Sprache anbietet.

TeamViewer

Blizz

https://www.blizz.com/de/

Zweck / ServiceBlizz / Onlinekonferenz
Datenkategorien
Informationspflichthttps://www.blizz.com/de/privacy-policy-product/
AuftragsverarbeiterJa
AV-Vertraghttps://www.blizz.com/de/auftragsverarbeitungsvertrag/
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in entfällt
Mutterkonzern in Deutschland
Compliance Risiko Ampel grün
Transparenz zu Cloud Actentfällt
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz Ampel grün

TeamViewer

Zweck / ServiceRemote-Software
Datenkategorien
Informationspflicht
AuftragsverarbeiterJa
AV-Vertrag
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in entfällt
Mutterkonzern in
Compliance Risiko
Transparenz zu Cloud Actentfällt
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Telegram

Zweck / ServiceMessenger
DatenkategorienKontoinformationen
– Mobilnummer
– Profilname
– Benutzername / Nickname
– Profilbild
– Informationen über das Profil

E-Mail-Adresse
Nachrichten

Telefonnummern und Kontakte
– Telefonnummer
– Name

Technisch notwendige Cookies
Metdaten
– IP-Adresse

Zahlungsinformationen über Zahlungsanbieter
Versandinformationen
Informationspflichthttps://telegram.org/privacy
AuftragsverarbeiterNein, sofern nur geheime Chats genutzt werden
Vertreter in der EU (nach Art. 27 DSGVO) nicht identifiziert
Vertragspartner für EU-Firmen in vermutlich Dubai Hauptsitz
Mutterkonzern in Dubai
Compliance Risiko Da Vertragspartner und Vertreter nicht klar sind, setzen wir die gelbe Ampel.
Ampel gelb
Transparenz zu Behördenanfragen Bisher noch keine Behördenanfragen erfolgt. Bei Vorlage eines Gerichtsbeschlusses wird die IP-Adresse und die Telefonnummer an die zuständige Behörde weitergegeben. Der Link zum Transparenzbericht ist bereits vorhanden.
Risiken beim Anbieterkeine identifiziert
Zu berücksichtigen / SchwachstellenNur „geheime Chats“ sind mit Ende-zu-Ende-Verschlüsselung versehen
„Offene Chats“ / Cloud-Chats werden mittels Server-Client Verschlüsselung geschützt
Genannte Schutzmaßnahmen des Anbieter-Die Datenspeicherung erfolgt für Nutzer aus dem EWR und dem Vereinten Königreich in einem niederländischen Rechenzentrum
API und Quellcode ist frei zugänglich
– basierend auf dem MTProto Protokoll
– Verschlüsselungsschlüssel werden auf unterschiedlichen Rechenzentren gespeichert
Ende-zu-Ende-Verschlüsselung für geheime Chats (Nachrichten, Sprachnachrichten, Videoanrufe) – diese werde nicht gespeichert
– 2-Faktoren-Authenfizierung
– Garantie für Datenübermittlung zwischen den Unternehmensstandorten (Dubai und British Virgin-Inseln) sind mittels Standardvertragsklauseln gesichert
– Nachrichten in geheimen Chats können mittels eines Zeitstempels automatisch gelöscht werden
Ampel grün
Bekannte Maßnahmen zur Risikominimierung Es wird empfohlen einen „geheimen Chat“ zu erstellen, um die Ende-zu-Ende-Verschlüsselung zu gewährleisten
Restrisiko beim Einsatz Grundsätzlich würden wir hier eine grüne Ampel ansetzen. Allerdings stört uns die fehlende Information zu den Vertragspartnern.
Ampel grün gelb

Einschätzung der Datenbeschützerin

Bei der Prüfung finde ich es immer wieder, wie bei bereits vielen fremdsprachigen Anbietern, schade, dass nur vereinzelte Unterseiten und Informationen auf Deutsch verfügbar sind. Im Rahmen des Transparenzgebots wäre es schön, wenn die Webseiten ebenfalls auf Deutsch vorhanden wären.

Telegram ist bereits vielfach ausgezeichnet und positiv in verschiedenen Fach- und Zeitungsartikeln erwähnt worden. Die Begründer von Telegram haben sogar einen Wettbewerb gestartet. Derjenige, der die Verschlüsselung knackt und entschlüsseln kann, erhält ein Preisgeld von 300.000 US-Dollar. Auch gibt es Belohnungen, wenn man auf Sicherheitslücken hinweist.

Aktuell steht Telegram, zwar nicht wegen Sicherheitslücken, in der Kritik, sondern wegen den zahlreichen Gruppen, die verschiedene Theorien, Hassreden oder anderweitige negative Nachrichten über den Kanal verbreiten. Aufgrund dessen, dass die Entwickler die Inhalte nicht löschen, bleiben somit diese negativen Nachrichten auch weiterhin vorhanden. Der TÜV Süd berichtet davon in einem kurzen Blogbeitrag (Stand: 09.11.2020) auf seiner Seite.

Aus unserer Sicht setzt Telegram gewissenhaft den Datenschutz um. Sicherheit und Anonymität stehen dabei an erster Stelle.

Telekom Cloud

Zweck / ServiceCloud-Speicher / Datenspeicherung
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO) nicht nötig
Vertragspartner für EU-Firmen in Deutschland
Mutterkonzern in Deutschland
Compliance Risiko
Transparenz zu Behördenanfragen
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Genannte Schutzmaßnahmen des Anbieter
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz gering

Threema Work

Zweck / ServiceMessenger-Dienst
DatenkategorienBestandsdaten
– Session-Cookies
– E-Mail-Adresse
– Threema-ID
– Anschrift des Unternehmens

Nutzungsdaten zur Verwaltung von Lizenzen
– Nutzerübersicht (Benutzername, Threema-ID, Nickname, App-Version, Betriebssystem, Zeitstempel, letzte Aktivität)
– E-Mail-Adresse von zugriffsberechtigten Personen
InformationspflichtDatenschutzerklärung
Merkblatt Sicherheit und Datenschutz (ab Seite 4)
AuftragsverarbeiterStandard-Vertrag
Vertreter in der EU (nach Art. 27 DSGVO) nicht nötig
Vertragspartner für EU-Firmen in Schweiz
Mutterkonzern in Schweiz
Compliance Risiko Datenübermittlung in die Schweiz unterliegt dem Angemessenheitsbeschluss
Ampel grün
Transparenz zu Behördenanfragen Threema stellt einen Transparenzbericht zur Verfügung. In diesem ist eine Statistik für die Anfragen seit 2014 enthalten.
Risiken beim Anbieternicht identifiziert
Zu berücksichtigen / Schwachstellennicht identifiziert
Genannte Schutzmaßnahmen des AnbieterEnde-zu-Ende-Verschlüsselung
– Starke Verschlüsselung auf dem Endgerät
– dezentrale Verwaltung
– genutztes Rechenzentrum ist ISO 27001 zertifiziert
– sofortige Löschung von Nachrichten nach erfolgreicher Übermittlung
– keine Speicherung von Kontaktlisten
– der Quellcode von Threema ist auf Github frei zugänglich

Die ausführliche Erläuterung der Sicherheitsmaßnahmen kann hier eingesehen werden.
Ampel grün
Bekannte Maßnahmen zur Risikominimierung nicht identifiziert
Restrisiko beim Einsatz Ampel grün

Einschätzung der Datenbeschützerin

Threema ist ein weiterer Favorit, wenn es um die Datenschutzkonformität geht. Auch das BayLDA empfiehlt in seinem FAQ Threema als Alternative zu WhatsApp.

Des Weiteren unterzieht sich Threema regelmäßig externen Audits. Zuletzt wurde ein Audit im Jahr 2019 von der FH Münster durchgeführt mit Bestnoten-Ergebnissen.

Was ist der Unterschied zwischen Threema und Threema Work?

Der wesentliche Unterschied zwischen den beiden Versionen liegt vor allem in der Management-Oberfläche. Threema Work bietet eine eine Nutzeroberfläche, in welcher Benutzer und Teilnehmer einheitlich verwaltet und organisiert werden können.

Threema in der herkömmlichen Version richtet sich an die private Nutzung.

Tobit Software GmbH

Zweck / ServiceDavid / E-Mail Hoster
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO)
Vertragspartner für EU-Firmen in
Mutterkonzern in
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Vimeo

Zweck / ServiceVideohosting und -streaming
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO)
Vertragspartner für EU-Firmen in
Mutterkonzern in USA
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Genannte Schutzmaßnahmen des Anbieters
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

WhatsApp

Zweck / ServiceMessenger-Dienst
DatenkategorienAccount Informationen
– Mobilnummer
– Profilname
– Telefonnummern aus Adressbuch
– E-Mail-Adresse
– Profilbild

Nachrichten (verschlüsselt)
– Chats
– Fotos
– Videos
– Sprachnachrichten
– Videos
– Dateien

Zahlungsinformationen
– Kauf- und Transaktionsnummer

Nutzungs- und Loginformationen
Diagnose-, Absturz-, Webseiten- und Performance-Logs, Zeitpunkt der Registrierung, genutzte Funktionen (Anruf, Status, Gruppen), Online-Status und Aktualisierungen

Geräte- und Verbindungsdaten
Betriebssystem, Hardware-Modell, Signalstärke, App-Version, Browserinformationen, Mobilfunknetz, IP-Adresse, Telefonnummer, Mobilfunk- oder Internetanbieter, Sprache, Zeitzone, Gerätebetrieb, Geräteerkennungen

Standort-Informationen
Cookies (welche Cookies jedoch genau bei WhatsApp gesetzt werden ist jedoch unklar)

Informationen Dritter
– durch Dritte bereitgestellte Informationen (z.B. aus Telefonbuch)
– durch Unternehmen
– Drittanbieter und Facebook
InformationspflichtDatenschutzerklärung
Weitere Hinweise zur Datenverarbeitung
AuftragsverarbeiterJa, in der Business-Version
Vertreter in der EU (nach Art. 27 DSGVO) entfällt
Vertragspartner für EU-Firmen in Irland
Mutterkonzern in USA
Compliance Risiko – WhatsApp beruft sich noch auf das nicht mehr gültige EU-US-Privacy-Shield
Rote Ampel
Transparenz zu Cloud ActNur ein kurzer Hinweis, dass die Informationen im guten Glauben zur Beantwortung von Behördenanfragen und gerichtlichen Verfügungen etc. geteilt werden.
Risiken beim AnbieterStellungnahme des BayLDA:  
Darf WhatsApp für die Kommunikation innerhalb des Unternehmens eingesetzt werden? Grund hierfür ist, dass WhatsApp viele Informationen zur Kommunikation innerhalb der Facebook-Unternehmensgruppe teilt. Außerdem gewährt die Nutzung von WhatsApp im Unternehmen auch Einblicke in Geschäftsgeheimnisse.“
Zu berücksichtigen / SchwachstellenMit der Datenübertragung in die USA hat man plötzlich laut DSGVO ein „Drittland“, an welches die Daten übermittelt werden.
Wenn man davon ausgeht, dass der Zweck der Datenübermittlung der Abgleich der WhatsApp User ist, müsste anschließend eine Löschung des Adressbuchs am Server erfolgen. Dies ist aber leider nicht der Fall. Selbst Kontakte, die nicht als WhatsApp User identifiziert wurden, bleiben trotzdem auf den Servern des Anbieters gespeichert.

Kritisch sehen wir die extrem nahe Verbindung zu Facebook und die Zusammenarbeit der Unternehmen. Es werden unter anderem die Telefonnummer, Geräteinformationen (Gerätekennung, Betriebssystemversion, App-Version, Plattforminformation, Ländervorwahl der Mobilnummer, Netzwerkcode sowie Markierungen, die es erlauben, deine Zustimmung zu Aktualisierungen und Steuerungsoptionen nachzuverfolgen) und einige deiner Nutzungsinformationen (wann du WhatsApp zum letzten Mal genutzt hast, wann du deinen Account registriert hast, sowie die Art und Häufigkeit deiner Nutzung von Features) an Facebook weitergegeben.

Die Nutzung von WhatsApp ist im europäischen Raum erst ab 16 Jahren erlaubt.
Rote Ampel
Genannte Schutzmaßnahmen des AnbieterEnde-zu-Ende-Verschlüsselung
– Speicherung der Nachrichten auf dem eigenen Endgerät bei verschlüsselten Nachrichten
– Zwei-Faktoren-Verifizierung in der App

– Es werden keine Daten für die Verbesserung der Facebook-Produkte auf Facebook genutzt, sondern nur zur Verbesserung, Aufrechterhaltung und Erreichbarkeit des Dienstes. Weitere Information können hier eingesehen werden
Ampel grün
Bekannte Maßnahmen zur Risikominimierung – eigenes Mobiltelefon ohne Adressbuch nutzen
– Anlegen eines privaten und geschäftlichen Adressbuch (Trennung)
Restrisiko beim Einsatz Rote Ampel
bezogen auf den Einsatz im Unternehmen

Einschätzung der Datenbeschützerin

Die Thematik um WhatsApp haben wir bereits in einem ausführlichen Blogartikel behandelt.

In den Cookie-Hinweisen von WhatsApp heißt es, dass Cookies für Servicezwecke eingesetzt werden. Welche Cookies jedoch konkret gesetzt werden, ist unklar. Folgende Beschreibung hat mich mehr als stutzig gemacht: „Um zu verstehen, welche FAQ die beliebtesten sind und dir relevante Inhalte zu unseren Services anzubieten.“ Was das konkret bedeutet, konnte ich leider nicht herausfinden. Die Informationen zu den Cookies selbst finde ich persönlich sehr schwammig und dürftig formuliert.

Wire

Zweck / ServiceMessenger-Dienst
Datenkategorien– Logfiles
– Profildaten (Name, E-Mail-Adresse oder Handynummer)
– Zahlungsdaten
– Adressbuchdaten (freiwillig)
– technische Daten (z.B. Gerätetyp)
– Nutzungsdaten
Informationspflichthttps://wire.com/de/legal/#privacy
AuftragsverarbeiterJa, hier abrufbar: https://wire.com/de/legal/#dpa
Vertreter in der EU (nach Art. 27 DSGVO) nicht nötig
Vertragspartner für EU-Firmen in Schweiz
Mutterkonzern in Schweiz
Compliance Risiko Wire setzt Subunternehmer für verschiedene Dienstleistungen (z.B. CRM, Zahlungsdienstleistung, E-Mail-Versand) ein; beachtet aber, dass die Datenübermittlung den Standardvertragsklauseln, dem Swiss-US-Privacy-Shield, Zertifizierungen oder sonstige Garantien.
Ampel grün gelb
Transparenz zu Cloud Actnicht nötig
Risiken beim Anbieternicht identifiziert
Zu berücksichtigen / SchwachstellenDie Nutzung von Wire ist erst ab 16 Jahren möglich
Genannte Schutzmaßnahmen des Anbieter– Quellcode ist bei GitHub frei zugänglich
Ende-zu-Ende-Verschlüsselung mit Proteus Protokoll
– Verschlüsselung von Sprach- und Videoanrufen (DTLS, KASE für Schlüsselausgabe und SRTP für Transport)
– regelmäßige externe Audits
– Forward- und Backward-Secrecy
– mehrfache Auszeichnungen (z.B. Cyber Security Excellence Award 2020, etc.)
Ampel grün
Bekannte Maßnahmen zur Risikominimierung nicht nötig
Restrisiko beim Einsatz Ampel grün

Einschätzung der Datenbeschützerin

Auch Wire ist neben Threema ein datenschutzkonformer Anbieter aus der Schweiz.

Auch hier empfiehlt das BayLDA in seinen FAQs Wire als Alternative zu WhatsApp.

Wodify

Zweck / ServiceCRM-System für Fitnesscenter und Sportstudios
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO)
Vertragspartner für EU-Firmen in
Mutterkonzern in USA
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / SchwachstellenIn der Datenschutzerklärung von Wodify wird mitgeteilt, dass die Daten der EU-Bürger aufgrund eines Angemessenheitsbeschluss, oder der Standardvertragsklauseln übermittelt werden. Weitere Informationen erhält man nur auf Anfrage. Die Daten der Nutzer werden in Virginia, USA gespeichert.
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Yellowfox GmbH

Zweck / ServiceYello Fox /
Datenkategorien
Informationspflicht
Auftragsverarbeiter
Vertreter in der EU (nach Art. 27 DSGVO)
Vertragspartner für EU-Firmen in
Mutterkonzern in USA
Compliance Risiko
Transparenz zu Cloud Act
Risiken beim Anbieter
Zu berücksichtigen / Schwachstellen
Bekannte Maßnahmen zur Risikominimierung
Restrisiko beim Einsatz

Zoom

Zweck / ServiceVideokonferenz
DatenkategorienBenutzerkonto (kostenlos):
– Geburtsdatum
– Vor- und Nachname
– Telefonnummer
– E-Mail-Adresse
– Spracheinstellung
– Benutzer IDs und Passwort
– Profilbild
– Abteilung
– Meeting-Planung

Benutzerkonto (kostenpflichtig):
– Benutzerdaten (s.o).
– Rechnungsadresse
– Zahlungsmethode
– Unternehmen
– Mitarbeiteranzahl

Betriebsdaten
– Konfigurationsdaten
– Meeting-Metadaten
– Nutzungsdaten der Funktionen
– Leistungsdaten
– Dienst-Protokolle

– ungefährer Standort

daneben noch: Support und Feedbackdaten,
Informationspflichthttps://zoom.us/de-de/privacy.html
AuftragsverarbeiterWird automatisch beim Anlegen eines kostenpflichtigen Benutzerkontos geschlossen
Vertreter in der EU (nach Art. 27 DSGVO) Lionheart Squared Ltd
Attn: Data Privacy
2 Pembroke House
Upper Pembroke Street 28-32
Dublin
DO2 EK84
Republik lrland
Vertragspartner für EU-Firmen in USA
Mutterkonzern in USA
Compliance-Risiko– Datenübertragung in die USA erfolgt aus Basis der Standardvertragsklauseln
Ampel gelb
Transparenz zu Cloud ActIm Leitfaden für Behördenanfragen werden die Voraussetzungen für die Beantwortung einer Anfrage in verschiedenen Varianten (Anfrage der US-Regierung, internationalen Behörden etc.) beschrieben.

Eine Übersicht über die Anfragenhäufigkeit ist nicht vorhanden.
Risiken beim Anbieter– Bei Video-Aufzeichnung erscheint lediglich ein POP-Up Fenster für den Teilnehmer; das bedeutet das die Einwilligung der Teilnehmer außerhalb Zoom geregelt werden muss.
Zu berücksichtigen / SchwachstellenZoom ist für Kinder unter 16 Jahren nicht geeignet. Für den Einsatz in Schulen wird ein eigenes Tool.
Bekannte Maßnahmen zur RisikominimierungEs wird dringend angeraten, die Auswahl für die Rechenzentrumsregion vorzunehmen. Am Besten sollte der Standort USA gesperrt werden und nur Germany als Standort gewählt werden.
Genannte Schutzmaßnahmen des Anbieter – Ende-zu-Ende-Verschlüsselung (eine Anleitung zur Einrichtung der Ende-zu-Ende-Verschlüsselung finden Sie bei den Kollegen der datenschutz-notizen)
– 2-Faktoren-Authenfizierung
– Keine Aufmerksamkeitsverfolgung

– Auswahl eines Rechenzentrums für Benutzer und Gruppen (z.B. Deutschland, Australien, Kanada etc.).

– Zertifizierungen: SOC 2, FedRAMP, DSGVO-, CCPA, COPPA-, FERPA- und HIPAA-konform

Zoom bietet weiterhin eine „Datenschutz-Checkliste“ an, die auf der DSK-Checkliste vom November basiert. Zoom zeigt damit praktische Hilfestellung für Einstellungsmöglichkeiten zur Verfügung.
Ampel grün
Restrisiko beim Einsatz Ampel grün gelb

Einschätzung der Datenbeschützerin

Zoom stand und steht auch immer wieder in der Kritik. Viele Unternehmen und Organisationen entscheiden sich jedoch aufgrund der einfachen Handhabung für Zoom.

Zoom hat Nachbesserungen geleistet, insbesondere die Ende-zu-Ende-Verschlüsselung.

Was mir jedoch immer wieder sauer aufgestoßen ist bei der Prüfung, dass die Informationen teilweise sehr verstreut sind. Gerade der Hinweis für die Rechnerzentrumauswahl ist im HelpCenter zu finden. Diesen Hinweis hätte ich wohl nie gefunden, wenn ein Kunde uns nicht den Link zugeschickt hätte 🙂

Zoom bietet zwar zahlreiche Schutzmaßnahmen, jedoch bleibt Zoom ein US-Anbieter. Es ist jedoch nicht ganz klar, ob und welche Daten dennoch in die USA übermittelt werden, auch bei Konfiguration des Standorts. Deshalb verbleibt immer noch ein Risiko beim Einsatz von Zoom .

Wie ist Ihre Einschätzung zum Cloud Computing Anbieter Vergleich?

Wahrscheinlich stimmen wir nicht in allen Punkten überein, das kann gut sein. Vielleicht sehen Sie das eine oder andere etwas differenziert. Es kann auch sein, dass Ihre Rahmenbedingungen anders aussehen. Egal warum. Wir freuen uns auf Ihr Feedback und Ihre Einschätzung in den Kommentaren.

Gerne können Sie uns auch Ihre Bewertungen schicken, wenn wir System noch nicht geprüft haben. Über Hilfe sind wir immer dankbar.

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

One Comment on “Cloud Computing Anbieter und Datenschutz im Vergleich”

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.