Knowledge

Make.com Datenschutz: Datenschutzkonforme Automatisierungen mit europäischer Automatisierungssoftware

24.8.2020
Make.com Datenschutz: Datenschutzkonforme Automatisierung

Der Europäische Gerichtshof hat den „Privacy-Shield“ gekippt, der bisher den Datenschutz und –austausch zwischen EU und den USA maßgeblich regelte. Somit wurde bereits die zweite Vereinbarung, nach dem Safe-Harbor-Abkommen von 2015, vom höchsten europäischen Gericht für ungültig erklärt und wirft nun einige Fragen für die Unternehmenspraxis auf. Wir stellen mit Make.com eine Automatisierungssoftware vor, die nach DSGVO Daten verarbeitet. Somit genügt der Make.com formerly Integromat Datenschutz den höchstrichterlichen Anforderungen zu personenbezogenen Daten.

Privacy-Shield wurde für unwirksam erklärt

Mit Facebook, Google oder Apple sind zahlreiche Big Player am Markt, die nicht direkt dem europäischen Datenschutzrecht unterliegen. Doch der Schutz personenbezogener Daten ist eine immer wichtiger werdende Aufgabe der EU, der sich auch das höchste europäische Gericht wiederkehrend annimmt. Spätestens mit der Verabschiedung der DSGVO ist klar, dass Datenschutz in Deutschland und der EU auch starke Auswirkungen für die Unternehmenspraxis hat.

Der Begriff Daten bezieht sich im vorliegenden Beitrag stets auf personenbezogene Daten. Dies bedeutet, dass einzelne Personen mithilfe der Daten identifizierbar sind, beispielsweise über Businessdaten.

Der transatlantische Datenaustausch war bisher über den sogenannten „Privacy Shield“ geregelt. Doch der EuGH urteilte nun, dass dies für den strengen europäischen Datenschutz nicht ausreichend ist, da die US-amerikanischen Überwachungsgesetze die Daten von EU-Bürger*innen nicht ausreichend und angemessen schützen könne.

Grundlage für das Urteil ist die DSGVO. Diese verbietet die Datenverarbeitung außerhalb der EU, wenn das Datenschutzniveau im EU-Ausland nicht ausreichend ist. Hierzu gehören insbesondere die USA. Durch den Privacy-Shield wurde den USA bisher ein ausreichendes Datenschutzniveau beigemessen, unter der Voraussetzung, dass US-amerikanische Unternehmen das EU-Recht auf Grundlage dieses Abkommens zu beachten.

Dieses Privacy-Shield Abkommen wurde nun vom EuGH als unwirksam erklärt.

Da US-Behörden in Amerika besondere Prüfungsrechte inne halten, aufgrund derer auf die Daten von EU-Bürger*innen auch ohne Rechtsschutz oder gerichtlichen Beschluss zugegriffen werden darf, folgerte der EuGH, dass das Datenschutzniveau der USA nicht ausreichend ist.

Was sind meine Möglichkeiten für die Praxis, wenn ich US-Anbieter nutze?

Zum jetzigen Zeitpunkt kann von einem Rechtsvakuumgesprochen werden, da das Urteil Unternehmen politisch alleine lässt. Einige Optionen sind nach wie vor mit bestehenden Rechtsunsicherheiten verbunden und können bis zu einer konkreteren Anweisung für Unternehmen oder einer Neuverhandlung der Datenverarbeitung zwischen EU und USA nicht als absolut sicher erachtet werden.

Wenn möglich, sollten Sie auf EU-Server ausweichen, wenn US-Unternehmen dies anbieten. Amazon Web Services oder Microsoft bieten beispielsweise diese Möglichkeit an.

Die aktuell sicherste Variante scheint, keine US-Dienstleister zu nutzen oder solche Dienstleister, die mit US-Subunternehmen zusammen arbeiten.

Ein Abwarten der Reaktion von EU-Kommission und Datenschutzbehörden ist ebenfalls möglich, jedoch mit einem Restrisikoverbunden. Die aktuelle politische Lage lässt vermuten, dass eine schnelle politische Lösung und eine Kooperation der USA unwahrscheinlich oder zumindest langwierig sind. Außerdem können Ihre Kund*innen, Nutzer*innen oder andere Betroffene Sie dazu auffordern, den Datentransfer in die USA einzustellen.

Da der Schaden des EuGH Urteils auch für US-Unternehmen erheblich sein wird, kann zumindest von Unternehmensseite auf eine schnelle Lösung gehofft werden. Im Idealfall baut dies Druck auf die Politik auf.

Make Datenschutz: Ist der Automatisierungs-Anbieter vom EuGH-Urteil betroffen?

Make ist ein Automatisierungs-Anbieter mit Sitz in der Tschechischen Republik. In Make.com's Privacy-Policy wird deutlich, dass Daten nach EU-Datenschutzrecht verarbeitet werden. Somit ist das Service-Angebot der Software nicht vom EuGH-Urteil betroffen und kann weiterhin wie gewohnt genutzt werden.

Integromat Datenschutz Erklärung
Make.com Datenschutz Erklärung

So werden personenbezogene Daten auf Grundlage der DSGVO(Englisch: GDPR) verarbeitet. Die Datenverarbeitung von Make.com wird somitnicht vom Privacy-Shield berührt und erfüllt die Anforderungen des europäischenRechts.

Die Speicherung der personenbezogenen Daten findet ebenfalls in der EU statt, auf Servern in Tschechien.

Integromat Datenspeicherung
Make.com Datenspeicherung

Diese sind außerdem ISO 9001 und ISO 27001 zertifiziert, also DIN-Normen zum Qualitätsmanagement und zum Informationssicherheits-Managementsystem.

Warum Make.com nun an neuer Relevanz für Automatisierungen gewinnt

Make.com funktioniert ähnlich wie Zapier. Die Automatisierungs-Software unterstützt zahlreiche Apps in der Cloud, verbindet diese miteinander und schafft somit nahtlose, effiziente Datenflüsse. Preislich liegt Make.com im direkten Vergleich mit Zapier sogar vorn: 1000 Prozessschritte gibt es für 0€ ohne Limitierung von Applikationen.

Außerdem ist das Automatisierungs-Tool sehr gut für User mit komplexen Unternehmensprozessen geeignet. Make.com legt nicht nur in der Privacy-Policy, sondern auch in der täglichen Anwendung viel Wert auf Sicherheit und Datenschutz. So können Entwickler problemlos Automatisierungen für Unternehmen abbilden, ohne alle Daten und Kennwörter zu kennen oder zu sehen.

(Einen ausführlichen Vergleich der beiden Cloud Prozess Automatisierungstools gibt es hier.)

Wir schätzen den Make.com Datenschutz schon lange, doch mit dem Urteil des EuGH wird deutlich, wie nötig der europäische Markt "heimische" Software-Anbieter hat, die nach europäischem Recht operieren. Mit der Erklärung des Privacy-Shields als unwirksam wird wieder deutlich, wie unsicher US-amerikanische Anbieter in Zeiten von verschärftem Datenschutz sein können. Auch wenn zeitnah eine Neuregelung des transatlantischen Abkommens zur Datenverarbeitung geschlossen wird, kann dies erneut, wie schon 2015 beim Safe-Harbor-Abkommen, für unwirksam erklärt werden und Unternehmen vor praxisrelevante Herausforderungen stellen.

Dies ist besonders ärgerlich, da Unternehmen aktuell mit dem EuGH-Urteil und dessen Auswirkungen völlig allein gelassen werden.

Auswirkungen des EuGH-Urteils auf andere Automatisierungs-Anbieter

Mit dem Privacy-Shield wurde bisher der Großteil des Datentransfers zwischen EU und USA reguliert. Mit dem Urteil des EuGHs, diesen Passus als unwirksam zu erklären, werden Software-Anbieter aus den USA mit neuen Herausforderungen konfrontiert. Einer dieser Anbieter ist Zapier.

Aus deren Datenschutzhinweisen wird deutlich, dass der Automatisierungs-Anbieter vom EuGH Urteil betroffen ist, denn Zapiers Datenschutz und die damit einhegende Datenverarbeitung findet bisher auf alleiniger Grundlage des Privacy-Shields statt. Das wird nun nicht mehr ausreichen.

Nach aktuellem Kenntnisstand und Rechtslage können wir als technische Bewertung nur davon abraten, Zapier weiterhin zu nutzen. Möchten Sie dies dennoch weiterhin tun, setzen Sie sich einem eigenen Risiko aus. Was genau an Rechtsfolgen auf Unternehmen zukommen wird, welche mit US-Anbietern arbeiten, die durch das EuGH-Urteil zum Privacy-Shield betroffen sind, können wir nicht absehen. Hinweise darauf gibt es jedoch in diesem Artikel.

Was Sie noch zum Make.com Datenschutz wissen müssen

Jegliche aufgeführte Hinweise zum Make.com Datenschutz (by Celonis SE) haben lediglich Auswirkungen auf das Service-Angebot des tschechischen Software-Anbieters. Genauer heißt das:

Zum jetzigen Zeitpunkt können Sie sicher sein, dass Make.com DSGVO-konform operiert und Ihre Daten rechtskonform und sicher verarbeitet werden. Das ändert sich auch nach dem jüngsten EuGH-Urteil nicht. Anders sieht es bei der US-amerikanischen Konkurrenz aus.

Die Privacy Policy von Make.com greift jedoch nicht, wenn Sie damit US-Software-Anbieter in Ihren Automatisierungen anbinden und somit Daten über diese Tools verarbeiten.

Bei einer Automatisierung mittels Make.com, in der Sie beispielsweise Mail chimp oder Instagram einbinden, obliegt die Nutzung dieser Softwares weiterhin in Ihrem eigenen Ermessen und geht nach dem EuGH-Urteil mit Risiken einher. Die Datenverarbeitung dieser Drittanbieter wird nicht von der  DSGVO-konforme Datenverarbeitung von Make.com abgedeckt. Nicht die angebundenen, automatisierten Apps, sondern der Service von Make.com selbst unterliegt europäischem Recht,

Sie sollten also für sich ausloten, wie Sie künftig mit jeglichen US-Software-Anbietern verfahren möchten.

Make.com als DSGVO-konformer Software-Anbieter

Zum jetzigen Zeitpunkt raten wir dazu, europäischen Software-Anbietern den Vorzug vor US-amerikanischen Unternehmen wie Zapier zu geben. Zwar ist es denkbar, dass ein weiteres Abkommen zum EU-US-Datenaustausch kommen wird, dennoch können wir in keiner Weise absehen, wie sich das EuGH-Urteil zum Privacy-Shield in Zukunft auswirken wird und ob auch neuere Abkommen nicht wieder gekippt werden.

Sollten Sie Fragen oder Bedenken zu Ihrer Automatisierung mit Make.com haben, kontaktieren Sie uns gerne oder vereinbaren Sie noch heute einen kostenfreien Termin zur Automatisierungs- & IT-Beratung.  

Disclaimer: Dieser Beitrag stellt keine Rechtsberatung, sondern lediglich einen redaktionellen Beitrag dar. Wir sind keine Anwälte und führen lediglich eine IT-technische Bewertung anhand des EuGH-Urteils und öffentlich zugänglichen Daten durch. Wir übernehmen keinerlei Haftung für Inhalte oder abgeleiteten Handlungsempfehlungen.

Make.com Datenschutz: Datenschutzkonforme Automatisierung
Make.com Datenschutz: Datenschutzkonforme Automatisierung

Cloud Integration, iPaaS, SaaS, BPA… Ough, hard to keep track of all these terms. They are currently used frequently (and increasingly) in the context of automation, and it is sometimes difficult to make a clear distinction and distinction. We have already written blog posts on the terms iPaaS, SaaS and BPA, but we’ll take them up again here to make the difference.

But let’s start with cloud integration, because that’s the central umbrella term in which we embed all the other technologies in this blog post.

Arrange a free cloud integration consultation now

What does Cloud Integration mean?

What does Cloud Integration mean?

flgkhdxlkbgkjdfngl

  • Is available in real time
  • Can be accessed from almost anywhere
  • Reduce potential sources of error by entering the same data multiple times
  • Require less installation and maintenance
  • Can optimize business processes

Arrange a free cloud integration consultation now

To illustrate these advantages, an example is suitable that we know well from our everyday work as an automation agency:

The central data to be used here is the data of a major customer. This can be the simplest information, such as the address. This address is required in numerous but completely different processes in the company: on the one hand, for correct invoicing in accounting. On the other hand, in the CRM system, where all the data of the large customer is also stored. But the address is also important in sales, for example, when employees go to the sales meeting on site.

Now the customer announces that the address of the company has changed after a move. This information will reach you by e-mail. There are now two options:

01. The e-mail is forwarded to all affected departments, accounting, sales, customer service, marketing… All persons open their corresponding program, CRM, accounting software, marketing tools (such as newsletter marketing) and change the data already stored there of the customer. This means that in multiple applications, different people do exactly the same thing: change one address.

02. But there is also an alternative: By connecting your applications, thus by integrizing them, the customer’s e-mail, or rather the information it contains about the address change, is automatically passed on to all affected applications: CRM, accounting, marketing, ERP. This does not require any clicks, because the cloud integration detects a trigger, i.e. address change, and thus automatically starts the process.

What sounds unimpressive in a single process becomes more effective when such a process occurs several times a day or weekly. Because there is a lot of data that is available in different applications and should always be correct. If these applications are cloud applications they are suitable for cloud integration.

But cloud integration doesn’t just happen. There are now a variety of applications that enable and implement this. Such tools usually allow us to link the relevant cloud applications on a central platform and define clear rules on when, how, where, how much data should be passed on and what happens to them.

IPaaS, SaaS, BPA, ABC – who can still see through it?

To realize cloud integration, there are various applications and technologies that are sometimes used interchangeably.

We have made a first distinction between iPaaS and BPA here.

We explain the term SaaS in more detail here.

Here the short version, again:

Cloud integration cannot be done without SaaS, iPaaS and BPA

Cloud integration is rather an umbrella term that includes numerous technologies, such as SaaS, iPaaS and BPA, and this is also absolutely necessary. Cloud integration is a concept that is made possible by appropriate technologies.

However, all terms share the commonality that they are cloud-based and thus offer enormous potential for growth and scaling. In addition, they are often cheaper to implement and maintain because changed requirements are easy to implement.

As an independent automation agency, we implement cloud integration according to your requirements. We use a variety of SaaS tools and iPaas (strictly speaking BPA) software. Together we find individual solutions that are flexible and scalable.

Arrange a free cloud integration consultation now

Automatisierungsberatung. Automate. Improve. Succeed.

Wir beraten dich unabhängig und bieten unsere Expertise an.
wemakefuture abonnieren
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Featured

Kategorien

Automation consultancy. Automate. Improve. Succeed.

Wir beraten dich unabhängig und bieten dir gerne unsere Unterstützung an.
Close
Oops! Something went wrong while submitting the form.