In den letzten Monaten habe ich viele Datenschutzkonzepte erstellt und datenschutzrechtliche Fragen beantwortet. Folgende Themen standen dabei besonders im Fokus.
Hätten Sie gedacht, dass …
1) ... die Nutzung von WhatsApp auf einem dienstlichen Handy einen Datenschutzverstoß darstellt?
Die geschäftliche Nutzung von WhatsApp zu dienstlichen Zwecken ist aus lizenzrechtlichen Gründen schon verboten. Dafür war WhatsApp nämlich nie gedacht. Und deswegen kümmert man sich dort auch nicht um den datenschutzkonformen Umgang mit Daten. WhatsApp liest munter Ihr Adressbuch und Ihre Fotos aus und leitet diese Daten an verschiedenste Empfänger weiter.
Aus diesem Grund ist die reine Verwendung von WhatsApp, wenn ein Kunde Sie anschreibt, gar nicht das Problem, sondern vielmehr die Speicherung von Kontaktdaten im Adressbuch (auch von Kontakten, mit denen Sie niemals Kontakt per WhatsApp haben).
Fazit: Kein WhatsApp auf Smartphones installieren, wo geschäftliche Kontaktdaten im Adressbuch gespeichert sind!
2) ... die Einbindung von Google Web Fonts und Google Maps datenschutzrechtlich bedenklich ist?
Durch die Nutzung der Schnittstellen bezüglich Schriftarten und der Kartenausschnitte ist eine Verbindung zu den Servern von Google. Und darüber können auch Daten zum Surfverhalten Ihrer Website-Besucher übertragen werden. Das wäre dann eine Datenübermittlung an Dritte.
Um ganz sicher zu gehen, sollten Sie also lieber kein Google Maps verwenden und besondere Schriftarten auf Ihrer Website entweder durch Standardschriftarten ersetzen oder aber diese speziellen Schriftarten lokal auf Ihrem eigenen Server einbinden (und nicht über Google laden).
3) ... Sie spezielle Datenschutz-Verträge mit Ihrem Webhoster, Ihre IT-Firma, Dropbox und Co. schließen müssen?
Jedes Unternehmen, das in Ihrem Auftrag Daten von Ihnen und Ihren Kunden speichert, ist mit hoher Wahrscheinlichkeit ein sogenannter Auftragsverarbeiter. Mit diesen müssen Sie entsprechende Verträge schließen und besonders gut prüfen, ob diese Unternehmen gut auf Ihre Daten aufpassen.
Im Fall von Microsoft und Dropbox handelt es sich sogar um einen Datentransfer in ein Drittland (also ein Land außerhalb der EU), weil die Daten auf amerikanischen Servern gespeichert werden. Hier gelten noch einmal besonders scharfe Bestimmungen.
So müsste zum Beispiel über das sogenannte EU-U.S. Privacy Shield sichergestellt sein, dass das Unternehmen einen ähnlichen Datenschutzstandard hat wie durch die EU-DSGVO vorgeschrieben. Für Microsoft und Dropbox trifft das zu. Dennoch müssen Sie hier entsprechende Verträge schließen.
Im Zweifelsfall ist also ein europäischer Anbieter aus Datenschutz-Sicht vorzuziehen. Solche Alternativen bieten beispielsweise TeamDrive oder Fabasoft.