DSGVO-konformes Teamwork: So sichern Sie sich ab

Seit die europäische Datenschutz-Grundverordnung greift, stufen Agenturen und Unternehmen Online-Kollaborationstools wie Slack oder Trello als heikel ein. Doch sind sie das wirklich? Wir geben Tipps für DSGVO-sensible Online-Tools und mögliche Lösungen im Agenturalltag.



DSGVO-konforme Zusammenarbeit in Agenturen

 


Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 blicken viele Auftraggeber und Agenturen argwöhnisch auf Online-Tools, vor allem, wenn sie amerikanischer Herkunft sind. Dabei sind sie aus dem Agenturalltag nicht mehr wegzudenken, schließlich arbeiten gerade in agilen Projekten Kunde, Agenturmitarbeiter und Freelancer Hand in Hand und brauchen ein verbindliches Kollaborationswerkzeug, auf das sie als Single Source of Truth (SSOT) zugreifen können. Der Begriff der einzigen Quelle der Wahrheit stammt aus dem Data Warehousing und dokumentiert den Wunsch nach einem allgemeingültigen Datenbestand, auf den sich alle verlassen können.

Inhaltsverzeichnis:

Datenschutz in Agenturen: Online-Tools sind nicht das Problem

Doch der Wunsch nach reibungsloser Zusammenarbeit ließ sich offenbar nicht mit den DSGVO-Bestimmungen vereinbaren. Deswegen griffen viele Agenturen hart durch, um nicht Gefahr zu laufen, wegen einer Datenpanne ein Bußgeld zu kassieren. Die Hysterie ging teils so weit, dass Online-Tools gänzlich von den Gerätschaften der Unternehmen verbannt wurden. Dabei sei die Aufregung meist völlig unbegründet, sagt Sascha Hesse, Rechtsanwalt und CEO der Datenschutzberatung AGOR AG in Frankfurt am Main. In Kooperation mit dem Gesamtverband Kommunikationsagenturen GWA berät er Agenturen in Sachen Datenschutz und Datensicherheit. Er weiß aus Erfahrung: Das Hauptproblem liegt darin, herauszufinden, ob und wie personenbezogene Daten verarbeitet werden.

Was sind personenbezogene Daten?

»Daten sind personenbezogen, wenn sie eindeutig oder mittelbar einer bestimmten natürlichen Person zugeordnet werden können«, erklärt Sascha Hesse. Dazu gehören beispielsweise Informationen wie Kfz-Kennzeichen, Konto- oder Kreditkartennummer, Kranken- und Rentenversicherungsnummer et cetera, über die sich mit vertretbarem Aufwand ein direkter Personenbezug herstellen lässt. Zunächst führt Hesse bei seinen Klienten ein technisches und organisatorisches Datenschutz-Audit durch. Welche Datenverarbeitungsprozesse finden in der Agentur statt? Wie geht sie beispielsweise mit Millionen E-Mail-Adressen um, die ein Kunde als Verteiler für einen Newsletter liefert? Wandern sie in eine webbasierte Projektmanagementsoftware? Werden die personenbezogenen Daten gar über die Google Cloud weiterverarbeitet? Oder liegen sie sicher in einem Customer-Relationship-Management-System, das von außen nur über eine gesicherte Schnittstelle zu erreichen ist? Manchmal ist Hesse erschüttert angesichts des leichtfertigen Umgangs mit sensiblen Daten. In dem webbasierten Projektmanagement-Tool Trello hat der Anwalt sogar schon Einsatzpläne von Piloten – mit Klarnamen und Telefonnummern – gefunden. DSGVO und Online-Tools: : Unterscheidung von sensiblen Daten
top

DSGVO im Agenturalltag: So sichern Sie sich ab

»Die Abgrenzung zwischen personenbezogenen und neutralen Daten – bei Letzteren findet die DSGVO keine Anwendung – fällt vielen Agenturen schwer«, erklärt Sascha Hesse. Oft wissen Mitarbeiter schlicht nicht, dass auch eine IP-Adresse eine personenbezogene Information sein kann. Maßstab ist die Zuordenbarkeit von bestimmten Informationen (auch durch Verknüpfung) zu einer natürlichen Person. Die IP-Adresse eines Nutzers ist im Prinzip wie eine Telefonnummer. Nutzen Teams also beispielsweise Trello, haben IP-Adressen persönlicher Websites von Freelancern darin nichts zu suchen, denn auch hier sind Rückschlüsse auf die Person möglich. Auch den Metadaten in Bildern und PDFs, die Designer zum Beispiel in kollaborativen Designtools zur Illustration anhängen, wird zumeist wenig Beachtung geschenkt. Dabei enthalten sie nicht selten den Namen des Fotografen, Speicherpfade, Informationen zu Softwareversionen und Zugriffsrechten sowie das Datum der letzten Änderung – auch das sind personenbezogene Daten.
top

Persönlich oder neutral? Bewusstsein für Daten schaffen

Vielleicht fehlt das Bewusstsein für das Problem, weil die Verarbeitung personenbezogener Daten im Agenturalltag eher die Ausnahme als die Regel ist. »In meiner gesamten professionellen Laufbahn habe ich nie direkten Zugriff auf personenbezogene Kundendaten gehabt«, sagt Burkhard Müller, Head of Digital beim Designstudio Mutabor in Hamburg. Im Design- und Entwicklungsprozess arbeite die Agentur stets mit generierten Mockdaten – echte Kundendaten fließen erst in der gesicherten Umgebung beim Auftraggeber in die Anwendung ein. Grundsätzlich sollten Agenturen personenbezogene Kundendaten oder Daten von Beschäftigten nicht an externe Developer weiterleiten, ohne sie zu verschlüsseln und sich vertraglich zusichern zu lassen, dass diese sorgsam behandelt werden. Die Verarbeitung personenbezogener Daten ist laut DSGVO Artikel 5 nur erlaubt, wenn sie »auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden«. Also muss man entweder eine Einwilligung der betroffenen Person einholen, oder eine Einverständniserklärung über die Verarbeitung personenbezogener Daten kommt mit der Kundenregistrierung zustande – das trifft beispielsweise für die Registrierung bei Online-Kollaborationstools zu.
top

DSGVO: Vorsicht bei webbasierten Kollaborationstools

»Online-Tools sind immer von außen angreifbar, eine hundertprozentige Sicherheit gibt es nicht«, sagt Sascha Hesse. Daher gehörten sensible Daten generell nicht in webbasierte Kollaborationstools. Vor allem dann nicht, wenn Agenturen neue Produktkampagnen vorbereiten, die bis zu ihrer Veröffentlichung unter strenger Geheimhaltung stehen. Im besten Fall hostet man alle Kollaborationstools auf dem eigenen Server. Möglich ist dies etwa mit Atlassians Projektmanagementsoftware Confluence, die als zentrale Plattform für alle Projektunterlagen (Konzept, Designpatterns, Spezifikationen, Projektpläne, Produktanforderungen, Dokumentationen, Besprechungsnotizen, Bilder, Videos et cetera) fungiert. Dazu kann man Jira als Ticketingsystem nutzen, um Aufgaben im Team zu verteilen. Jeder Projektbeteiligte bekommt eine ID und ein Passwort, über das er sich einloggt, und baut damit eine sichere End-to-End-Verbindung als Virtual Private Network (VPN) auf. So kann etwa der Computer eines Auftraggebers oder eines Mitarbeiters im Homeoffice auf das Firmennetz zugreifen. Oder man setzt zumindest auf Anbieter, die ihre Tools auf europäischen Servern hosten. So richten einige Agenturen vor Inkrafttreten der DSGVO eine Microsoft-Infrastruktur ein. Microsoft bietet mit OneDrive, Skype for Business und Teams Kollaborationstools an, die auf europäischen Servern liegen. Bei Kreativen sind sie aber eher verpönt – zu ungelenk, zu wenig inspirativ, lautet das Urteil.
top

Wann sind Datenverarbeitungsverträge nützlich?

Um sich ein Mindestmaß an Sicherheit zu verschaffen, haben einige Agenturen mit den Anbietern von Online-Kollaborationstools sogenannte Auftragsdatenverarbeitungsverträge, kurz ADV-Verträge, geschlossen (www.datenschutz-guru.de/auftragsverarbeitung). Ein ADV-Vertrag ist ein Muss, wenn es um die Verarbeitung personenenbezogener Daten geht, etwa bei Google Analytics, wenn man Newsletter über externe Anbieter versendet, beim Outsourcing von Rechenzentren, bei der Beauftragung von Callcentern, bei externer Lohnabrechnung und so weiter. »Ein solches Vertragswerk ist besser als gar nichts, reicht aber im Prinzip nicht aus, wenn es um internationale Geschäftsbeziehungen geht«, warnt Sascha Hesse. Hier benötige man ein extra angefertigtes Vertragswerk mit EU-Standardvertragsklauseln, an denen kein Komma geändert werden dürfe. »Aber angesichts der von der EU angedrohten Haftungsszenarien unterschreibt kein US-amerikanischer Softwareanbieter so ein Vertragswerk«, winkt Hesse ab. Er weiß um die vertrackte Situation, denn meist ist die Software längst eingeführt und läuft, da wolle man nichts austauschen. Also denken die meisten: »Wird schon gut gehen!« Mit der DSGVO scheint ein Umdenken der US-Anbieter Einzug zu halten: Sicher auch aus Angst, in Europa Kunden zu verlieren, installieren immer mehr Anbieter ihre Server bereits auf europäischen Boden.
top

Für eine neue Datenkultur in den Agenturen

Solange dies auf die US-amerikanischen Softwarefavoriten in Agenturen nicht zutrifft, sollte es zumindest Verhaltensregeln für Mitarbeiter geben: In unverschlüsselten Chats wie in Slack oder anderen Online-Tools teilt man keine personenbezogenen Daten oder sicherheits­relevanten Informationen. Mitarbeiterschulungen verleihen einem bewussten Umgang Nachdruck – denn Slack zu verbieten ist unrealistisch. Die so typischen »Kannst du mal eben?«-Fragen sollen sich ja nicht in die E-Mail-Flut einreihen, sondern direkt im Slack-Projektchannel beantwortet werden, wo jeder wie in einem Wiki nachschlagen kann, was im Team beschlossen wurde. Bei aller Beliebtheit des Tools sollte man sich dennoch klar machen, dass Slack weder europäische Server noch Verschlüsselungsoptionen plant. Und doch setzen sich vermeintlich sicherere Alternativen wie Threema aus Zürich, das sich auf dem eigenen Agenturserver hosten lässt, oder stashcat, der »Messenger made in Germany« aus Hannover, nur mühsam durch. »Sie sind eben nicht so gut zu nutzen wie Slack«, meint Burkhard Müller. Es gebe schon Gründe, warum das Tool aus San Francisco so bekannt ist. Auf die cleveren und kostengünstigen Online-Tools, die meist auf US-Servern liegen, will einfach niemand verzichten. DSGVO-konformes Teamwork in Agenturen: Slack und Co adé?
top

Nicht alle Online-Tools sind DSGVO-konform

Natürlich kann man sich auf die Suche nach Werkzeugen machen, die auf deutschen oder zumindest auf europäischen Servern liegen und damit eine gewisse Sicherheit bieten. Einige US-Unternehmen wie die Projektmanagementplattform Asana leiten den europäischen Datenverkehr inzwischen über einen Server in Irland – aber die Alternativen sind rar gesät. Nicht zuletzt stehen auch die Server vieler beliebter Online-Designwerkzeuge, ohne die man sich als Kreativer das Leben kaum mehr vorstellen mag, in den USA. Prototyping-Tools wie InVision oder Zeplin.io, das eine Brücke zwischen Designern und Developern schlägt, oder das inzwischen sehr beliebte kollaborative Interface-Design-Tool Figma aus San Francisco, sind nicht DSGVO-konform. »Figma ist einfach das bessere Sketch«, schwärmt Burkhard Müller. Schade nur, dass man es nicht wie Sketch auf dem eigenen Server hosten kann. Es bietet ähnliche Funktionen wie Sketch, zusätzlich kann man Teammitgliedern via Web quasi in Echtzeit beim Designen zuschauen und hat jederzeit einen aktuellen Arbeitsstand. Daher bauen viele UI/UX Designer ihre Wireframes und Designs inzwischen in Figma und schicken den Link an Team und Kunde. »Man sieht sogar am Mauszeiger, wo jemand gerade arbeitet«, erklärt Müller. So, wie Confluence die Single Source of Truth für Spezifikationen und Projektunterlagen ist, avanciert Figma zur einzigen Quelle der Wahrheit im Design. Aber so klug und bequem Figma auch sein mag, es bleibt ein webbasiertes Tool – und damit ist auch hier Vorsicht geboten. Personenbezogene Daten sind wegen der DSGVO ohnehin tabu, aber auch mit anderen sensiblen Daten wie Fotos von Prototypen oder Informationen sollten Designer achtsam umgehen.
top

DSGVO-konformes Teamwork bleibt das Ziel

Für alle Agenturbereiche gilt: »Cloud-Services sind die Zukunft, dafür müssen wir Lösungen finden«, sagt Burkhard Müller. Aber statt immer zuerst an die Datenschutzregeln zu denken, ist für ihn relevant, was so ein Tool für die Zusammenarbeit bringt. Über potenzielle Sicherheitsrisiken und Vor- und Nachteile eingesetzter Tools spricht er im Vorfeld mit seinen Auftraggebern. »Die Vorteile von Figma gegenüber Sketch sind so überzeugend, dass die meisten Kunden sich mit dem Online-Tool einverstanden erklären, wenn sie keine personenbezogenen oder sicherheitsrelevanten Daten verwenden«, erklärt Müller. In Deutschland ist Datenschutz zu Recht ein sehr heikles Thema, weiß Müller, »aber wir gehen lösungsorientiert damit um«. Wenn es nicht gerade um öffentliche Infrastruktur und Government-Themen oder datensensible Projekte geht, sei es dem Auftraggeber, der Agentur und den Mitarbeitern meist wichtiger, dass alle möglichst gut kollaborieren können. »Ohne kluge Online-Tools sind Digitalagenturen heute nicht arbeitsfähig«, betont Müller. Solange das so ist und solange die Anbieter aus den USA ihren europäischen Kunden keine DSGVO-konformen Lösungen anbieten, heißt es für Agenturen: Finger weg von personenbezogenen Daten in solchen Werkzeugen, Problembewusstsein bei den eigenen Mitarbeitern schaffen und Auftraggeber genau darüber aufklären, wann sicherheitsrelevante Daten eine geschützte Umgebung erfordern.
top

Checkliste für DSGVO-konformes Teamwork

Agenturen oder Freelancer, die mit personenbezogenen Daten und Online-Kollaborationstools arbeiten, sollten einige Sicherheitsvorkehrungen treffen

  • Führen Sie ein Datenschutz-Audit durch, um zu identifizieren, ob und wie Sie personenbezogene Daten in der Agentur verarbeiten. Externe Datenschutzbeauftragte finden Sie etwa über den Gesamtverband Kommunikationsagenturen GWA oder den Berufsverband der deutschen Kommunikationsdesigner e. V. (BDG). Wer keine personenbezogenen Daten verarbeiten, kann sich entspannen.
  • Hosten Sie die Kollaborationstools auf dem eigenen Server und ermöglichen Sie den Zugang für externe Mitarbeiter und Kunden nur über ID und Passwort.
  • Ist das Hosten auf dem eigenen Server nicht möglich, setzen Sie Online-Kollaborationstools ein, die den europäischen Datenverkehr über Server auf deutschem oder europäischem Boden leiten.
  • Schließen Sie mit Softwareanbietern und Dienstleistern Auftragsdatenverarbeitungsverträge. Musterverträge gibt es für unterschiedliche Branchen.
  • Schicken Sie personenbezogene Daten nie unverschlüsselt durchs Web, sondern chiffrieren Sie die Mails etwa mittels Pretty Good Privacy (PGP) oder OpenPGP.

Tipps für Kreative zum Umgang mit der DSGVO

Kreative kommen im Job nicht um das Verarbeiten von Daten aus: Kontaktformulare, Newsletter oder das Speichern von Kundendaten. Wir haben Tipps zum Umgang mit der Datenschutzgrundverordnung für Sie zusammengestellt. Was jeder Kreative über die rechtliche Seite DSGVO wissen sollte, erklärt die auf IT-Recht spezialisierte Anwältin Sabrina Keese-
Haufs im Interview.
top

[7882]

Schlagworte: , , ,




Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Das könnte Sie auch interessieren