Der Europäische Gerichtshof hat den „Privacy-Shield“ gekippt, der bisher den Datenschutz und –austausch zwischen EU und den USA maßgeblich regelte. Somit wurde bereits die zweite Vereinbarung, nach dem Safe-Harbor-Abkommen von 2015, vom höchsten europäischen Gericht für ungültig erklärt und wirft nun einige Fragen für die Unternehmenspraxis auf. Wir gehen darauf ein: Was bedeutet das für den Zapier Datenschutz? Können Sie Zapier weiterhin nutzen? Sollten Sie Zapier weiterhin nutzen? Gibt es eventuell datenschutzkonforme Alternativen?
Spätestens seit der DSGVO ist klar, dass Datenschutz inDeutschland und der EU einen immer höheren Stellenwert erhält, was vor allemAuswirkungen für die Unternehmenspraxis hat. Dennoch sind zahlreiche US-amerikanischeBig Player am Markt, wie etwa Facebook, Google, Microsoft oder Apple, die nichtdirekt dem europäischen Datenschutzrecht unterliegen.
In this article, the term data always refers to personal data. This means that individual persons are identifiable with the help of the data, for example via business data.
The transatlantic exchange of data was previously regulated by the so-called "Privacy Shield". But the ECJ has now ruled that this is not sufficient for strict European data protection, as the US surveillance laws cannot adequately and appropriately protect the data of EU citizens.
The basis for the ruling is the GDPR. This prohibits data processing outside the EU if the level of data protection in the EU country is not sufficient. This includes the USA in particular. Through the Privacy Shield, the USA has so far been considered to have a sufficient level of data protection, on the condition that US companies comply with EU law on the basis of this agreement.
This Privacy Shield agreement has now been declared invalidby the ECJ.
Since US authorities in America hold special inspection rights that allow them to access the data of EU citizens without legal protection or a court order, the ECJ concluded that the level of data protection in the US is insufficient.
At this stage, there is a legal vacuum, as the ruling leaves companies politically alone. Some options are still linked to existing legal uncertainties and cannot be considered absolutely certain until a more concrete instruction for companies or a renegotiation of data processing between the EU and the US.
If possible, you should switch to EU servers ifUS companies offer this. Amazon Web Services or Microsoft, for example, offer this option.
The safest option at present seems to be not to use any US service providers or to use service providers that work with US subcontractors.
Waiting for the reaction of the EU Commission and data protection authorities is also possible, but with a residual risk. The current political situation suggests that a quick political solution and cooperation from the US is unlikely or at least protracted. In addition, your customers, users or other stakeholders may ask you to stop transferring data to the US.
Since the damage of the ECJ ruling will also be significant for US companies, companies can at least hope for a quick solution. Ideally, this will build pressure on policymakers.
Mit dem Privacy-Shield wurde bisher der Großteil desDatentransfers zwischen EU und USA reguliert. Mit dem Urteil des EuGHs, diesenPassus als unwirksam zu erklären, stellen sich neue Herausforderungen füreuropäische Unternehmen, die US-amerikanische Anbieter wie Microsoft oderFacebook nutzen.
Zu diesen Anbietern gehört ebenfalls Zapier. Die Datenschutzhinweise können frei zugänglich bei Zapier abgerufen werden. Schon beim ersten Blick fällt auf, dass der Automatisierungs-Anbieter vom EuGH Urteil betroffen ist.
Der Zapier Datenschutz und die damit einhergende Datenverarbeitung findet bisher auf alleiniger Grundlage des Privacy-Shields statt.
Dessen Grundsätzen verpflichtet sich das Unternehmen. Das wird nun nicht mehr ausreichen.
According to current knowledge and the legal situation, we can only advise against continuing to use Zapier as a technical assessment. If you still want to do so, you are exposing yourself to your own risk. We cannot predict what exactly the legal consequences will be for companies working with US providers affected by the ECJ ruling on the Privacy Shield. However, there are indications of this in this article.
Selbstverständlich steht es Ihnen frei, ob Sie die aktuelle Situation erst einmal abwarten möchten, bevor Sie vorschnelle, mitunter kostspielige Entscheidungen treffen. Wir raten dennoch dazu, einen Blick auf andere Automatisierungs-Anbieter zu werfen, die nicht von der Unwirksamkeit des Privacy-Shields betroffen sind. (Bspw. Make)
Make ist ein Automatisierungs-Anbieter mit Sitz in der Tschechischen Republik. In Make Privacy-Policy wird deutlich, dass Daten nach EU-Datenschutzrecht verarbeitet werden. Erfahren Sie hier mehr dazu.
Thus, personal data is processed on the basis of the GDPR. Make's data processing is therefore not affected by the Privacy Shield and meets the requirements of European law.
The storage of personal data also takes place in the EU, on servers in the Czech Republic.
They are also ISO 9001 and ISO 27001 certified, which are DIN standards for quality management and information security management systems.
Make funktioniert zudem ähnlich wie Zapier. DieAutomatisierungs-Software unterstützt zahlreiche Apps in der Cloud, verbindet diesemiteinander und schafft somit nahtlose, effiziente Datenflüsse. Preislich liegtIMake im direkten Vergleich mit Zapier sogar vorn: 1000 Prozessschrittegibt es für 0€ ohne Limitierung von Applikationen.
In addition, the automation tool is very well suited for users with complex business processes. Make attaches great importance to security and data protection not only in the privacy policy, but also in daily use. This means that developers can easily map automations for companies without knowing or seeing all the data and passwords.
(A detailed comparison of the two cloud process automation tools can be found here).
Die Grundlagen zum Zapier Datenschutz als auch zum Datenschutz bei Make , beziehen sich lediglich auf das Service-Angebot der beiden Automatisierungs-Dienstleister. Was heißt das genau?
Bei Make können Sie sich zum aktuellen Zeitpunktsicher sein, dass Ihre personenbezogenen Daten DSGVO-konform verarbeitetwerden. Für die Nutzung ergeben sich keinerlei Änderungen auf Grundlage desEuGH-Urteils. Wie zuvor dargestellt, sieht das bei Zapier anders aus.
Für die Anbindung von US-Software-Anbietern in IhrerAutomatisierung, sei es Zapier oder Make, und der damit verbundenenDatenverarbeitung greifen die Privacy Policies beider Plattformen nicht.
Das heißt, wenn Sie einen Automatisierungs-Workflow nutzen,in welchem beispielsweise Facebook, GMail oder Mailchimp eingebunden sind,obliegt die Nutzung dieser Software Ihrem eigenen Ermessen. Auch Makegewährleistet keine DSGVO-konforme Datenverarbeitung von diesen Drittanbietern.Lediglich der Service selbst unterliegt europäischem Recht, nicht die darinverwendeten Apps.
So you should explore for yourself how you want to deal with any US software providers in the future.
Wir können nicht absehen, wie sich das EuGH-Urteil zum Privacy-Shield in Zukunft auswirken wird. Sollte ein weiteres Abkommen zum transatlantischen Datenaustausch kommen, dreht sich das Blatt wieder. Dennoch raten wir zum jetzigen Zeitpunkt von der Nutzung von Zapier ab.
Da wir ebenfalls an einer schnellen Lösung für unsere Kund*innen interessiert sind, bemühen wir uns um eine Reaktion von Zapier und stehen daher im Kontakt mit den Entwicklern und Geschäftsführer der Automatisierungs-Software.
Sollten Sie Fragen oder Bedenken zu Ihrer Automatisierung mit Zapier oder Make haben, kontaktieren Sie uns gerne oder vereinbaren Sie noch heute einen kostenfreien Termin zur Automatisierungs- & IT-Beratung.
Disclaimer: Dieser Beitrag stellt keine Rechtsberatung, sondern lediglich einen redaktionellen Beitrag dar. Wir sind keine Anwälte und führen lediglich eine IT-technische Bewertung anhand des EuGH-Urteils und öffentlich zugänglichen Daten durch. Wir übernehmen keinerlei Haftung für Inhalte oder abgeleitete Handlungsempfehlungen.
Cloud Integration, iPaaS, SaaS, BPA… Ough, hard to keep track of all these terms. They are currently used frequently (and increasingly) in the context of automation, and it is sometimes difficult to make a clear distinction and distinction. We have already written blog posts on the terms iPaaS, SaaS and BPA, but we’ll take them up again here to make the difference.
But let’s start with cloud integration, because that’s the central umbrella term in which we embed all the other technologies in this blog post.
Arrange a free cloud integration consultation now
Arrange a free cloud integration consultation now
To illustrate these advantages, an example is suitable that we know well from our everyday work as an automation agency:
The central data to be used here is the data of a major customer. This can be the simplest information, such as the address. This address is required in numerous but completely different processes in the company: on the one hand, for correct invoicing in accounting. On the other hand, in the CRM system, where all the data of the large customer is also stored. But the address is also important in sales, for example, when employees go to the sales meeting on site.
Now the customer announces that the address of the company has changed after a move. This information will reach you by e-mail. There are now two options:
01. The e-mail is forwarded to all affected departments, accounting, sales, customer service, marketing… All persons open their corresponding program, CRM, accounting software, marketing tools (such as newsletter marketing) and change the data already stored there of the customer. This means that in multiple applications, different people do exactly the same thing: change one address.
02. But there is also an alternative: By connecting your applications, thus by integrizing them, the customer’s e-mail, or rather the information it contains about the address change, is automatically passed on to all affected applications: CRM, accounting, marketing, ERP. This does not require any clicks, because the cloud integration detects a trigger, i.e. address change, and thus automatically starts the process.
What sounds unimpressive in a single process becomes more effective when such a process occurs several times a day or weekly. Because there is a lot of data that is available in different applications and should always be correct. If these applications are cloud applications they are suitable for cloud integration.
But cloud integration doesn’t just happen. There are now a variety of applications that enable and implement this. Such tools usually allow us to link the relevant cloud applications on a central platform and define clear rules on when, how, where, how much data should be passed on and what happens to them.
To realize cloud integration, there are various applications and technologies that are sometimes used interchangeably.
We have made a first distinction between iPaaS and BPA here.
We explain the term SaaS in more detail here.
Cloud integration is rather an umbrella term that includes numerous technologies, such as SaaS, iPaaS and BPA, and this is also absolutely necessary. Cloud integration is a concept that is made possible by appropriate technologies.
However, all terms share the commonality that they are cloud-based and thus offer enormous potential for growth and scaling. In addition, they are often cheaper to implement and maintain because changed requirements are easy to implement.
As an independent automation agency, we implement cloud integration according to your requirements. We use a variety of SaaS tools and iPaas (strictly speaking BPA) software. Together we find individual solutions that are flexible and scalable.
