Dieser Artikel ist auch verfügbar in:
Dieser Artikel wurde mit maschineller Übersetzung übersetzt. Er könnte dementsprechend einige Fehler oder kuriose Formulierungen enthalten. Wir glauben trotzdem, dass es nützlich für Sie ist, diesen Hilfeartikel in Ihrer Sprache lesen zu können. Geben Sie uns nach dem Lesen aber gerne Bescheid, ob der Artikel hilfreich war, oder ob Sie sonstiges Feedback haben.

In diesem Artikel erläutern wir, wie sich die Außerkraftsetzung des Privacy Shield auf die Art und Weise auswirkt, wie wir unsere Kunden- und Teilnehmerdaten speichern.

Zuletzt aktualisiert am: August 11, 2020_

Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union das EU-US Privacy Shield für ungültig erklärt. Das bedeutet, dass das Privacy Shield kein gültiger Rechtsrahmen mehr für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in die USA ist. Wir und tausende andere Unternehmen haben sich für wesentliche Teile unseres Systems auf diesen Rahmen verlassen. Da diese Entscheidung unerwartet kam, herrscht große Unsicherheit über unsere Optionen hinsichtlich der Nutzung von US-basierten Diensten

Datenschutz und Sicherheit sind für uns sehr wichtig. Wir speichern alle Daten innerhalb der Europäischen Union, aber wir haben Unterauftragsverarbeiter in den USA, die für das Funktionieren unseres LMS unerlässlich sind. Wir verfolgen die Entwicklungen rund um die Außerkraftsetzung des Privacy Shields und untersuchen derzeit unsere Optionen mit unseren nicht in der EU ansässigen Unterauftragsverarbeitern.

Wir beabsichtigen, vollständig GDPR-konform zu sein, also werden wir alles tun, um sicherzustellen, dass alle unsere Daten rechtmäßig und sicher verarbeitet werden, um die Privatsphäre unserer Kunden und deren Kunden zu schützen. Wir haben uns dazu entschlossen, mit allen unseren US-amerikanischen Unterauftragsverarbeitern Datenverarbeitungsverträge (Data Processing Agreements, DPAs) zu unterzeichnen, die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) enthalten und einen Schutz aller personenbezogenen Daten auf einem ähnlichen Niveau wie unter der GDPR gewährleisten. Sobald es Aktualisierungen gibt, werden diese auf dieser Seite veröffentlicht.

Da wir transparent machen möchten, wie wir mit dieser Situation umgehen, haben wir eine Liste aller unserer Nicht-EU-Unterauftragsverarbeiter erstellt, welche personenbezogenen Daten sie verarbeiten und wie wir auf die Ungültigkeitserklärung des Privacy Shields reagieren. Da wir sowohl die Daten unserer direkten Kunden als auch die der Teilnehmer unserer Kunden verarbeiten, werden wir diese verschiedenen Gruppen personenbezogener Daten als "personenbezogene Daten von Kunden" bzw. "personenbezogene Daten von Teilnehmern" bezeichnen.

Personenbezogene Daten des Teilnehmers

Diese Systeme verarbeiten personenbezogene Daten von Teilnehmern:

AWS

Unsere Anwendung wird auf Amazon AWS-Servern in Frankfurt gehostet, Deutschland. Alle Daten werden auf einem weiteren AWS-Server am gleichen Standort vollständig verschlüsselt gespeichert. Bis jetzt haben wir uns auf das Privacy Shield für jegliche Datenübertragungen in die USA verlassen. Auch wenn alle Daten verschlüsselt sind und sicher sein sollten, prüfen wir derzeit die Unterzeichnung von SCCs, die alle Daten vollständig absichern sollen. Mehr über AWS und Datenschutz können Sie hier.

Mandrill

Wir verwenden Mandrill für alle unsere E-Mails, die von unserem LMS-System generiert werden. Mandrill speichert und verarbeitet alle Informationen in den Vereinigten Staaten. Sie haben die SCCs in ihre Nutzungsbedingungen aufgenommen und geben auf ihrer Website an, dass sie weiterhin die gleichen Datenschutzmaßnahmen befolgen werden, was im Wesentlichen den gleichen Datenschutz wie vor der Ungültigkeitserklärung des Privacy Shields bietet.

Die folgenden E-Mails werden über Mandrill an die Teilnehmer gesendet:
Einladungs-E-Mails
Ergebnis-E-Mails
Zertifikats-E-Mails
Passwort-Rücksetzungs-E-Mails
Und an die Admins:
Ergebnis-Benachrichtigungs-E-Mails
Export-Benachrichtigungs-E-Mails
Admin-Einladungs-E-Mails
Admin-Passwort-Rücksetz-E-Mails
Rechnungs-E-Mails
Die meisten dieser E-Mails enthalten persönliche Informationen des Teilnehmers, nämlich seinen Namen und seine E-Mail-Adresse.

Sie können sicherstellen, dass keine E-Mails an Teilnehmer über Mandrill versendet werden, indem Sie Ihren eigenen Mailserver verwenden. Wie Sie das machen, finden Sie hier.

Dies hat keinen Einfluss auf die E-Mails, die an Admins gesendet werden. Wir arbeiten daran, dies zu ändern, aber in der Zwischenzeit können Sie die Benachrichtigungen bei Beendigung eines Teilnehmers deaktivieren. In Kombination mit Ihrem eigenen Mailserver werden keine persönlichen Daten der Teilnehmer an Mandrill gesendet. Dies verhindert nicht, dass persönliche Daten der Kunden an Mailchimp gesendet werden.

Persönliche Daten des Kunden

Die folgenden Systeme verarbeiten ausschließlich mandantenbezogene Daten

Demo-Tools

Wir verwenden verschiedene Tools für unsere Demos und Funktionsanfragen, darunter:
Calendly
GoToMeeting
Pipedrive
Produkttafel
Zapier
Wir haben mit all diesen Unternehmen DPAs überprüft und unterzeichnet, um die Sicherheit bei der Verarbeitung von Namen, E-Mail-Adressen, Telefonnummern und Firmendaten zu gewährleisten.

Atlassian-Produkte

Wir verwenden mehrere Produkte von Atlassian, hauptsächlich für die interne Prozessverfolgung. Einige dieser Daten beinhalten Kunden-E-Mails, daher haben wir deren DPA unterzeichnet, um sicherzustellen, dass diese Daten sicher gespeichert und verarbeitet werden.

Google Drive

Wir verwenden Google Drive für die interne Speicherung von Dokumenten. Wir prüfen mehrere Lösungen, um die zukünftige Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich der Speicherung von Daten in der EU, der Anonymisierung von Daten im Laufwerk und der Suche nach einer Alternative.

Slack

Wir verwenden Slack als unser internes Kommunikationstool, in dem wir manchmal Kundenanfragen besprechen. Wir haben deren DPA unterzeichnet.

Intercom

Früher haben wir Intercom für unser Help Center und den Chat verwendet, aber wir sind zu Crisp gewechselt, das in der Europäischen Union ansässig ist. Sie sind vollständig GDPR-konform, also gibt es dort keine Probleme!
War dieser Beitrag hilfreich?
Stornieren
Danke!