TIPP:  DSGVO-konforme Evernote-Nutzung
#1

Wer Evernote privat nutzt, braucht jetzt nicht weiter lesen.

Bei beruflicher / gewerblicher Nutzung ist hingegen der Abschluß einer Datenverarbeitungsvereinbarung zu empfehlen. Das gilt auch für 1-Mann-Unternehmer wie Freelancer. Schließlich gehen unsere Daten über den großen Teich...

Evernote ist dafür durchaus aufgestellt, wie ich selbst erfahren konnte. Über ein Ticket an den Support bekam ich die Rückfrage, weshalb ich ein DPA (Data Processing Agreement) abschließen möchte. Das habe ich kurz erklärt (eine gewerbliche oder berufliche Nutzung angeben), und bekam daraufhin einen Link zugeschickt.

Der folgende Prozess lief über eine (englischsprachige) Website. Ich bekam die Vereinbarung übermittelt, konnte sie mir durchlesen, dann elektronisch unterzeichnen. Das ganze wurde über meine bei EN hinterlegte Mailadresse verifiziert, freigegeben und mir ein Exemplar zugemailt. Das Ganze hat kein 15min gedauert.

Wer eine Webseite betreibt, stellt das Bestehen einer solchen Vereinbarung noch dort in die Datenschutzerklärung ein, fertig. Und wieder ein Loch gestopft, durch das sich so ein Abmahnhai breit machen könnte.
Zitieren
#2

Danke!

Es hat zwar, hier bei mir, jetzt etwas länger gedauert (Supportanfrage am 23.02.2019 10:41 Uhr, DPA for Premium Plus Basic - presigned English is now ready to be signed. Your email address has been verified am 26.02.2019 18:06 Uhr), aber es ist genauso wie von Dir beschrieben gelaufen.

@Rosa Elefant: "Wer eine Webseite betreibt, stellt das Bestehen einer solchen Vereinbarung noch dort in die Datenschutzerklärung ein, fertig. Und wieder ein Loch gestopft, durch das sich so ein Abmahnhai breit machen könnte."

Kannst Du ein Muster hier veröffentlichen?

Meine Vormulierung ist unter "Verwendung von Evernote" https://www.hsw2.de/datenschutzerklaerung/ zu finden.

Beste Grüße
Horst
--
Meine Evernote-Blogbeiträge https://www.hsw2.de/category/evernote/
Windows 10 / HUAWEI P20 lite EMUI 9.1.0 ANE-LX1 0.1.0132/C432E5R1P7)/Android 9





Zitieren
#3

Habe meine online-Version nicht geändert.

Da steht der Web- und Mailhoster, das sind die, mit denen ein zufälliger Besucher der Seite in Berührung kommt.

Die EN-Nutzung tritt in meinem Fall erst ein, wenn jemand in ein Vertragsverhältnis eintritt. Daher werde ich es dort einbauen.

Angestoßen wurde das Thema bei mir aus einem Thread im englischsprachigen EN-Blog. Da haben sich eine ganze Reihe User darüber aufgeregt, dass EN die DSGVO völlig verpennt hätte. Wäre es so, wären sie damit ja auch nicht ganz alleine auf der Welt  Tongue Ich war damals für ein Unternehmen mit 2 Mrd. Umsatz tätig - die haben ihren Kram auch erst in der Nacht zum 25.5.18 online gestellt. Und zwar, weil sie bis zum 24.5. 17.59h keine GF-Freigabe hatten ...

Also habe ich es einfach getestet: Siehe da, alles ordentlich aufgestellt bei EN, kein Grund für erhöhten Blutdruck für gewerbliche oder freiberufliche Nutzer. Nur anschieben muss man es halt selbst.
Zitieren
#4

@Rosa Elefant: "Die EN-Nutzung tritt in meinem Fall erst ein, wenn jemand in ein Vertragsverhältnis eintritt. Daher werde ich es dort einbauen."
Seit der DSGVO muss jeder Kunde eine Einwilligungserklärung (Ist zusammen mit einem Anwalt entstanden) unterschreiben. Ich übernehme keine Aufträge ohne vorliegende Einwilligungserklärung.


Angehängte Dateien Bild(er)
           

Beste Grüße
Horst
--
Meine Evernote-Blogbeiträge https://www.hsw2.de/category/evernote/
Windows 10 / HUAWEI P20 lite EMUI 9.1.0 ANE-LX1 0.1.0132/C432E5R1P7)/Android 9





Zitieren
#5

Da sind wir einig. Ich sehe die Regelung der Datenverarbeitung in 2 Stufen vor: 

  1. Wenn jemand meine Website besucht, dann werden unweigerlich bereits Daten ausgetauscht. Daher dort Cookiehinweis plus Datenschutzerklärung, mit Verweis auf meinen Web- und Mailhoster (beide mit Standort und Server in D). 
  2. Kommt es zu einer Geschäftsbeziehung, werden automatisch mehr Daten ausgetauscht, und es wird mehrschichtig (Mails, Dokumente, Zeichnungen etc.). Daher ist dann eine Vereinbarung zur vertragsbezogenen Datenverarbeitung sinnvoll. Und erst da kommt Evernote ins Spiel, z.B. weil ich Geschäftsdokumente dort ablege. Das ist Stufe 2, und hat eine andere Qualität als die Datenschutzerklärung auf meiner Website. Die schützt den ahnungslosen Besucher vor meiner unendlichen Neugier und dient vor allem der Abwehr / Erschwerung lästiger Abmahnversuche ...
Zitieren
#6

(22.02.2019, 19:53)Rosa Elefant schrieb:  Wer Evernote privat nutzt, braucht jetzt nicht weiter lesen.

Bei beruflicher / gewerblicher Nutzung ist hingegen der Abschluß einer Datenverarbeitungsvereinbarung zu empfehlen. Das gilt auch für 1-Mann-Unternehmer wie Freelancer. Schließlich gehen unsere Daten über den großen Teich...

Evernote ist dafür durchaus aufgestellt, wie ich selbst erfahren konnte. Über ein Ticket an den Support bekam ich die Rückfrage, weshalb ich ein DPA (Data Processing Agreement) abschließen möchte. Das habe ich kurz erklärt (eine gewerbliche oder berufliche Nutzung angeben), und bekam daraufhin einen Link zugeschickt.

Der folgende Prozess lief über eine (englischsprachige) Website. Ich bekam die Vereinbarung übermittelt, konnte sie mir durchlesen, dann elektronisch unterzeichnen. Das ganze wurde über meine bei EN hinterlegte Mailadresse verifiziert, freigegeben und mir ein Exemplar zugemailt. Das Ganze hat kein 15min gedauert.

Wer eine Webseite betreibt, stellt das Bestehen einer solchen Vereinbarung noch dort in die Datenschutzerklärung ein, fertig. Und wieder ein Loch gestopft, durch das sich so ein Abmahnhai breit machen könnte.

Das Problem bei Evernote ist beim kommerziellen Einsatz einfach die Struktur des Programms und der nirgends eindeutig dargelegten Sicherheitsstandards.  Evernote Sicherheitsübersicht  Fakt ist, daß Evernote in jüngster Zeit schon mehrfach illegale Zugriffe zugeben musste. Ich würde jeden Dienstleister davor warnen personenbezogene Daten von Dritten in Evernote zu verwalten. Kommt es zum Datenklau ist der Wisch von Evernote keinen Pfifferling wert. Wie wenig professionell der Sicherheitsbeauftragte bei Evernote handelt liest man hier weniger geht kaum. Anstelle die betroffenen Konten zwangsweise sperren schickt man eine Mail in der Hoffnung daß die User entsprechend handeln.

gib der nächsten Beta eine Chance - und dir wird nie langweilig  Cool
Zitieren
#7

@JohnL: Bei jedem externen Dienst, aber auch bei lokal genutzten Programmen können Datenklau und/oder illegale Zugriffe geschehen.
Die DSGVO sieht aber vor das man alle evtl. genutzten Dienste und deren Datenschuitzerklärungen benennt. Und wenn ein Programmlieferant, aus welchen Gründen auch immer, seine Arbeit einstellt entfällt auch die Handhabe. Auch offengelegte Strukturen und Sicherheitsstandards nutzen mir wenig, denn kontrollieren kann ich diese nicht.

Beste Grüße
Horst
--
Meine Evernote-Blogbeiträge https://www.hsw2.de/category/evernote/
Windows 10 / HUAWEI P20 lite EMUI 9.1.0 ANE-LX1 0.1.0132/C432E5R1P7)/Android 9





Zitieren
#8

Hallo, liebes Panikorchester,

jetzt betritt der Rosa Elefant den Porzellanladen. Mal sehen, was passiert ?!

Sobald man „Datenschutz“ und „Clouddienst“ in einem Satz verwendet, landet man bekanntlich im digitalen Fegefeuer. Daher ein Strukturierungsversuch, von mir als Nichtjuristen (man sehe es mir nach):

Ebene 1: Rein formal hat sich mit der „neuen“ EU-Datenschutzgrundverordnung wenig geändert. Neu ist die nicht, es gab bis zum Inkrafttreten am 25.5.2018 eine 2-jährige Übergangszeit. Die Panik an besagtem Datum dürfte eher daran gelegen haben, dass viele (Entscheidungsträger in Unternehmen) die 2 Jahre schlicht verpennt haben.

Die DSGVO hat inhaltlich wenig geändert. Die Anforderungen sind weitestgehend wie vorher - nur die möglichen Strafen für Datenschutzverstösse sind drastisch erhöht worden.

Damit - und jetzt zum Kern von Pkt.1 - haben sich die unterstellten Werte erhöht, aus denen unsere Abmahnmafia ihre „Gebühren“ ableitet. Also lohnt es sich (im Sinn vermiedener Risiken), auch als „kleiner“ Privatinterneter mit geschäftlichen Nebenaktivitäten diese formalen Dinge auf einem gewissen Stand zu haben. Denn die Abmahnwürmer  ernähren sich nicht von tatsächlichen Verstößen, sondern formalen Defiziten. Dieser Haufen marodiert durch das Netz der Netze und pflückt nur die faulen Früchte, die leicht erreichbar sind. Hängt sie hoch, und ihr habt höchstwahrscheinlich Ruhe.

Fazit 1: Es ist wichtiger geworden, formal „sauber“ zu sein, weil Verstöße potenziell (!) teurer geworden sind. Aus formalen Lässlichkeiten abgemahnt zu werden ist dabei viel gefährlicher als wegen eines objektiven Verstoßes verknackt zu werden.

Ebene 2: Tatsächliche personenbezogene Daten, der Begriff wird immer weiter gefasst: Brief vom Finanzamt, Unterinspektorin Johanna Greif: Check; Rechnung vom Elektriker, Sachbearbeiter Helge Leuchte: Check; Friseurtermin bei Ulla Wuschel im Kalender: Check. 

Ja alles richtig - aber machen wir uns jetzt mal nicht verrückt: Wollen wir den genannten Personen jetzt jeweils eine Einverständniserklärung abnötigen, bevor wir die damit verbundenen Dinge einer elektronischen Ablage zuführen ?

Fazit 2: Kirche im Dorf lassen - bloßes elektronisches Archivieren oder Vermerken für die eigene Nutzung ist weit weg von einem relevanten Verstoß gegen die DSGVO. Das gilt auch für die gesetzlich geforderte (!) Führung üblicher Geschäftsunterlagen durch ein Unternehmen / -er. Die muss man jetzt nicht plötzlich wieder zwischen Aktendeckel stecken.

Ebene 3: Und wenn doch etwas passiert .... dann passiert es eben.

Wenn ich mir mal so anschaue, was typische Muster sind: Datenklau oder andere Malaissen bei einem einzelnen Anwender - eher wahrscheinlich. Dazu gehört dann auch die Evernote-Datenbank im Benutzerverzeichniss. Die ist dort viel gefährdeter und besser abzugreifen als auf dem EN-(Google)-Server in der Cloud ! Das hat aber nichts mit EN zu tun, das ist ein Kollateralschaden. Inzwischen wird der ganze Kram auch eher verschlüsselt als herunter geladen. Das ist dann zwar ärgerlich bis lästig, aber unter Datenschutzaspekten sogar vorteilhaft ... kommt eben keiner mehr dran, Deckel drauf !

Die Daten auf dem EN-Server selbst halte ich für besser geschützt, da mache ich mir weniger Gedanken. Wenn sich dort jemand in den persönlichen Account hackt, liegt das eher an „PW = 123456“ als der Fahrlässigkeit des Providers (siehe aktuelle Warnhinweise von Evernote: https://discussion.evernote.com/topic/10...-accounts/ )

Und wenn man dort oder auf C:/User/dummes_brot/... die Bilder der letzten Rektaluntersuchung, die Liste der Schmiergeldzahlungen an Lokalpolitiker oder den persönlichen Rekord im Konsum bewußtseinserweiternder Mittel antrifft: Selber schuld, kein Gramm Mitleid !

Fazit 3: Es gibt keinen 100%igen Datenschutz. Was ganz vertraulich bleiben soll, bleibt besser auf Papyr(us), oder gerne mit einer 2. Verschlüsselungsebene innerhalb der elektronischen Ablage. So lange man aber a) seriöse Partner beauftragt und b) mit diesen eine vertragliche Grundlage nachweist, sind die Sorgen über diese Art der Archivierung überflüssig, zumindest rechtlich. Sachlich muss das jeder mit sich ausmachen, und ggf. seinen EN-Account aufgeben.

Nach diesem Exkurs in Form eines 3-Sprungs zurück zum Kern meines initialen Posts:

1) Evernote ist sich der Bedeutung der DSGVO für sich und die Nutzer durchaus bewusst, sowie der Bedeutung tatsächlichen, objektiven Datenschutzes für die ihm anvertrauten Daten von Benutzern und Dritten. Da wird gerne und viel herum kritisiert, aus meiner Sicht ohne belastbare Fakten.
2) ich beschreibe den Weg, eine rechtlich saubere Datenverarbeitungsvereinbarung mit EN abzuschließen
3) alles weitere möge jeder mit sich ausmachen, sowohl was die Nutzung jeder Art von Clouddiensten für persönliche Daten angeht (keiner muss ... ) wie auch die persönliche Fähigkeit, die eigene IT-Infrastruktur besser aufzustellen als ein Unternehmen, das davon lebt, den Benutzern plattformübergreifend seine synchronisierten Daten an jedem netztechnisch erreichbaren Punkt dieser Erde bereitzustellen, und zwar sssssubito. Ich bin da nach wie vor begeistert von der Leistung von EN ganz generell, was mich über die eine oder andere Ärgerlichkeit hinwegsehen lässt.

Hatte die Ehre eurer geschätzten Aufmerksamkeit (der einzigen echten Währung des Internetzeitalters), Rosa Elefant ist durch und am Ausgang des Porzellanladens ;-)
Zitieren
#9

Liebe Leute,
mir ist es völlig egal wie ihr die Sache handhabt. 
Ich wollte nur darauf hinweisen, daß sich jeder Nutzer bewusst sein muß, daß  Evernote als Software für die Speicherung von personenbezogenen Daten von Klienten höchst ungeeignet ist. Evernote ist im Fall der Fälle außen vor, der jeweilige Nutzer steht in der Pflicht.
Zitieren


Möglicherweise verwandte Themen...
Thema / Verfasser Antworten Ansichten Letzter Beitrag

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste