PandaDocs DSGVO-Konformität

Stand 19. März 2021

Worum es geht, was wir tun und was Sie tun können

Die DSGVO trat am 25. Mai 2018 in Kraft und verschärfte die Aufsicht über globale Datenschutzrechte und deren Einhaltung. Wir bei PandaDoc haben die DSGVO-Anforderungen umgesetzt. Dieser Leitfaden soll unseren Kunden helfen, die Haltung von PandaDoc in Bezug auf die DSGVO zu verstehen. Er ist nicht als umfassende Abhandlung über die Anwendung der DSGVO gedacht und sollte in diesem Sinne gelesen werden.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Datenschutzgesetz, das am 14. April 2016 verabschiedet wurde und seit dem 25. Mai 2018 offiziell in Kraft ist. Die Verzögerung von zwei (2) Jahren zwischen der Verabschiedung und der Durchsetzung sollte Unternehmen ausreichend Zeit zur Vorbereitung geben.

Die Datenschutz-Grundverordnung ist ein ehrgeiziger Versuch, das EU-Datenschutzrecht zu stärken, zu harmonisieren und zu modernisieren und die Rechte und Freiheiten des Einzelnen im Einklang mit dem europäischen Verständnis der Privatsphäre als grundlegendes Menschenrecht zu stärken. Die DSGVO regelt unter anderem, wie Einzelpersonen und Unternehmen personenbezogene Daten erhalten, verwenden, speichern und löschen dürfen. Sie ersetzt eine frühere Datenschutzrichtlinie der Europäischen Union, die Richtlinie 95/46/EG (die „Richtlinie“), die von 1995 bis Anfang 2018 die Grundlage des europäischen Datenschutzrechts bildete. Im Gegensatz zu ihrer Vorgängerin gilt die DSGVO sofort in der gesamten Europäischen Union („EU“) und in allen Mitgliedstaaten, ohne dass weitere gesetzgeberische Maßnahmen der Mitgliedstaaten erforderlich sind.

Seit Mitte Mai 2018 ist die DSGVO in Kraft und es gibt keine „Schonfrist“ mehr. Es ist wichtig, dass Unternehmen, die von der DSGVO betroffen sind, jetzt die Bestimmungen der Verordnung einhalten.

Wie funktioniert die DSGVO?

Die DSGVO hat viele Grundsätze und Anforderungen eingeführt. Daher ist es wichtig, die DSGVO in ihrer Gesamtheit zu lesen, um sicherzustellen, dass Sie die Anforderungen vollständig verstehen und wissen, wie sie auf Ihr Unternehmen zutreffen. Während die DSGVO viele der in der Richtlinie festgelegten Grundsätze beibehält, führt sie auch mehrere wichtige und anspruchsvolle Änderungen ein. Hier sind einige davon aufgeführt, von denen wir der Meinung sind, dass sie für PandaDoc und unsere Kunden besonders relevant sind:

  1. Ausweitung des Anwendungsbereichs: Die Datenschutz-Grundverordnung gilt für alle Unternehmen, die in der EU niedergelassen sind oder Daten betroffener Personen verarbeiten. Damit wird das Konzept der Extraterritorialität eingeführt und der Anwendungsbereich des EU-Datenschutzrechts weit über die Grenzen der EU hinaus ausgedehnt.
  2. Erweiterung der Definitionen von personenbezogenen Daten und besonderen Datenkategorien.
  3. Ausweitung der Rechte des Einzelnen: Betroffene Personen haben nach der DSGVO mehrere wichtige Rechte, darunter das Recht auf Vergessenwerden, das Recht auf Widerspruch, das Recht auf Berichtigung, das Recht auf Auskunft und das Recht auf Datenübertragbarkeit. Ihr Unternehmen muss sicherstellen, dass sie diese Rechte wahrnehmen können, wenn es personenbezogenen Daten der betroffenen Personen verarbeitet.

4. Strengere Anforderungen an die Einwilligung: Die Einwilligung ist eine der grundlegenden Rechtsgrundlagen der DSGVO, und Unternehmen müssen sicherstellen, dass die Einwilligung im Einklang mit den Anforderungen der DSGVO eingeholt wurde. Ihr Unternehmen muss von seinen Abonnenten und Kontakten für jede Verwendung ihrer personenbezogenen Daten die Einwilligung einholen, es sei denn, es kann sich auf eine andere Rechtsgrundlage stützen. Der Weg zur Einhaltung der Vorschriften führt über die Einholung einer ausdrücklichen Einwilligung. Zu beachten ist Folgendes:

5. Strenge Anforderungen an die Verarbeitung: Betroffene Personen haben das Recht, „faire und transparente“ Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten, darunter:

Wer ist davon betroffen?

Wie bereits erwähnt, ist der territoriale Anwendungsbereich der DSGVO sehr weit gefasst. Die beiden häufigsten territorialen Bedingungen für die Anwendung der DSGVO sind: Die DSGVO gilt (1) für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Europäischen Union, unabhängig davon, ob die Verarbeitung in der Europäischen Union stattfindet oder nicht; und (2) für die Verarbeitung (a) des Angebots von Waren oder Dienstleistungen an betroffene Personen in der Europäischen Union, unabhängig davon, ob eine Zahlung der betroffenen Person erforderlich ist; oder (b) der Überwachung ihres Verhaltens, sofern ihr Verhalten in der Europäischen Union stattfindet. Letzteres ist die Einführung des Grundsatzes der „Extraterritorialität“ durch die DSGVO – dies bedeutet, dass die DSGVO für jedes Unternehmen gilt, das personenbezogene Daten von betroffenen Personen verarbeitet, unabhängig davon, wo es niedergelassen ist und wo seine Verarbeitungstätigkeiten stattfinden. Dies wiederum bedeutet, dass die DSGVO für jedes Unternehmen überall auf der Welt gelten kann, und alle Unternehmen eine Analyse durchführen müssen, um festzustellen, ob sie personenbezogene Daten von EU-Bürgern verarbeiten oder nicht. Die Datenschutz-Grundverordnung gilt außerdem für alle Branchen und Sektoren.

Nachfolgend finden Sie einige Definitionen, die Ihnen helfen werden, den breiten Anwendungsbereich der DSGVO zu verstehen.

Was ist eine „betroffene Person“?

Die Datenschutz-Grundverordnung definiert eine betroffene Person im Rahmen ihrer Definition von „personenbezogenen Daten“, die weiter unten erläutert wird. Eine betroffene Person ist eine identifizierbare natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die charakteristisch für die physische, psychische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind.

Eine betroffene Person ist nicht auf die EU-Bürgerschaft beschränkt. Was dies bedeutet, wird in der oben beschriebenen territorialen Anwendung der DSGVO deutlich. Ein Unternehmen, das personenbezogene Daten im Zusammenhang mit einer Niederlassung in der EU verarbeitet, verarbeitet personenbezogene Daten jeder identifizierbaren natürlichen Person, unabhängig vom physischen Standort der natürlichen Person – vorausgesetzt, die Verarbeitung erfolgt im Zusammenhang mit der Niederlassung. Ein Unternehmen, das nicht in der EU niedergelassen ist, aber einer betroffenen Person mit Sitz in der EU Waren oder Dienstleistungen anbietet, fällt ebenfalls unter die DSGVO. Beachten Sie, dass in diesem Fall zusätzlich zu der Anwendung auf eine natürliche Person auch die physische Anwesenheit der natürlichen Person in der EU erforderlich ist.

Was gilt als „personenbezogene Daten“?

Die DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, d. h. Informationen, die allein oder in Verbindung mit anderen Daten zur Identifizierung einer betroffenen Person verwendet werden können. Zu beachten ist die extreme Reichweite dieser Definition. Personenbezogene Daten umfassen nun nicht nur Daten, die gemeinhin als personenbezogen gelten (z. B. Sozialversicherungsnummern, Namen, Anschriften, E-Mail-Adressen), sondern auch Daten wie IP-Adressen, Verhaltensdaten, Standortdaten, biometrische Daten, Finanzinformationen und vieles mehr. Für PandaDoc-Benutzer bedeutet dies, dass Informationen, die ein Unternehmen über seine Abonnenten und Kontakte sammelt, als personenbezogene Daten im Sinne der DSGVO gelten. Es ist außerdem zu beachten, dass selbst „pseudonymisierte“ personenbezogene Daten als personenbezogene Daten betrachtet werden können, wenn das Pseudonym mit einer bestimmten Person in Verbindung gebracht werden kann, sodass bei der Bewertung der Anwendung gebührende Sorgfalt geboten ist. Die Einstufung von Daten als personenbezogene Daten im Rahmen der DSGVO verpflichtet Unternehmen zur Einhaltung bestimmter Aufgaben und Pflichten in Bezug auf das, was man allgemein als Transparenz bei der Verwendung dieser personenbezogenen Daten bezeichnen kann – dazu gehört auch deren Sicherheit.

Besondere Datenkategorien, wie z. B. Gesundheitsinformationen oder Informationen, die Aufschluss über die Rasse oder ethnische Herkunft einer Person geben, müssen gemäß der DSGVO noch stärker geschützt werden. Unternehmen dürfen keine Daten dieser Art in ihrem PandaDoc-Konto speichern.

Was bedeutet die „Verarbeitung von Daten“?

Verarbeitung im Sinne der DSGVO ist „jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ Grundsätzlich gilt: Wenn Ihr Unternehmen personenbezogene Daten von betroffenen Personen erhebt, verwaltet, nutzt oder speichert, verarbeitet es personenbezogene Daten aus der EU im Sinne der DSGVO. Das bedeutet zum Beispiel, dass Ihr Unternehmen personenbezogene EU-Daten im Sinne der DSGVO verarbeitet, wenn eine ihrer PandaDoc-Listen die E-Mail-Adresse, den Namen oder andere personenbezogene Daten einer betroffenen Person enthält. Die Anwendung der DSGVO hängt natürlich von der Erfüllung der oben erläuterten territorialen Schwellenwerte ab.

Denken Sie daran, dass die DSGVO und die ihr zugrundeliegenden Prinzipien für Ihr Unternehmen auch dann wichtig sein können, wenn Sie nicht der Meinung sind, dass Ihr Unternehmen von der Datenschutz-Grundverordnung betroffen ist. Das europäische Recht ist in der Regel richtungsweisend für die internationale Datenschutzregulierung, und ein erhöhtes Bewusstsein für den Datenschutz zu diesem Zeitpunkt kann dem Unternehmen später einen Wettbewerbsvorteil verschaffen.

Wer verarbeitet personenbezogene Daten im Sinne der DSGVO?

Wenn ein Unternehmen personenbezogene Daten „verarbeitet“, tut es dies entweder als Verantwortlicher oder als Auftragsverarbeiter, und für beide gibt es unterschiedliche Anforderungen und Verpflichtungen. Ein Verantwortlicher ist die Organisation, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Ein Verantwortlicher bestimmt zudem die spezifischen personenbezogenen Daten, die von einer betroffenen Person zur Verarbeitung erhoben werden. Ein Auftragsverarbeiter ist die Organisation, die die Daten im Auftrag des Verantwortlichen verarbeitet. Stellen Sie sich den Auftragsverarbeiter als Dienstleister oder Verkäufer in dieser Beziehung vor.

Die DSGVO hat die grundlegenden Definitionen des Verantwortlichen und des Auftragsverarbeiters, die in der Richtlinie enthalten sind, nicht geändert, aber sie hat die Verantwortlichkeiten der beiden Parteien erweitert. Die für die Verarbeitung Verantwortlichen behalten die Hauptverantwortung für den Datenschutz (einschließlich der Verpflichtung, Datenschutzverletzungen an die Datenschutzbehörden zu melden); die DSGVO überträgt jedoch auch dem Auftragsverarbeiter einige direkte Verantwortlichkeiten. Es ist wichtig zu wissen, ob Ihr Unternehmen als Verantwortlicher oder als Auftragsverarbeiter agiert, und sich dementsprechend mit Ihren Verantwortlichkeiten vertraut zu machen.

Im Zusammenhang mit der PandaDoc-Anwendung und unseren zugehörigen Diensten fungieren in den meisten Fällen unsere Kunden als Verantwortliche. Unsere Kunden entscheiden zum Beispiel, welche Informationen von ihren Kontakten oder Abonnenten in ihr PandaDoc-Konto hochgeladen oder übertragen werden. Wie PandaDoc persönliche Daten verarbeitet, wird nachfolgend beschrieben.

Wie erfüllt PandaDoc die Anforderungen der DSGVO?

PandaDoc nimmt die Einhaltung der DSGVO sehr ernst und hat schon lange vor dem Inkrafttreten mit der Vorbereitung auf die DSGVO begonnen. Als Teil dieses Prozesses haben wir alle unsere internen Prozesse, Verfahren, Systeme und Dokumentationen überprüft (und bei Bedarf aktualisiert), um sicherzustellen, dass wir bereit waren, als die DSGVO in Kraft trat. Die Einhaltung der Vorschriften ist keine statische Errungenschaft, sondern erfordert ständige Wachsamkeit angesichts veränderter Umstände und rechtlicher Anforderungen.

Eine der jüngsten Änderungen betrifft das Urteil des Gerichtshofs der Europäischen Union („EuGH“) in der sogenannten Schrems-II-Entscheidung. In dieser Entscheidung geht es um die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in Drittländer wie die Vereinigten Staaten. Wie die Richtlinie enthält auch die DSGVO keine spezifische Vorschrift, dass die personenbezogenen Daten von EU-Bürgern nur in den EU-Mitgliedstaaten gespeichert werden dürfen. Vielmehr schreibt die DSGVO vor, dass bestimmte Bedingungen erfüllt sein müssen, bevor personenbezogene Daten in Länder außerhalb der EU übermittelt werden, und nennt eine Reihe verschiedener Rechtsgrundlagen, auf die sich Unternehmen bei der Durchführung solcher Datenübermittlungen berufen können. Eine der in der DSGVO genannten Rechtsgrundlagen für die Übermittlung personenbezogener Daten ist eine „Angemessenheitsentscheidung“. Eine Angemessenheitsentscheidung ist eine Entscheidung der Europäischen Kommission, dass ein angemessenes Schutzniveau für die personenbezogenen Daten in dem Land, dem Gebiet oder dem Unternehmen besteht, in/an das sie übermittelt werden. Mit der Schrems-II-Entscheidung wurde die Angemessenheitsentscheidung für die transatlantische Datenübermittlung in die Vereinigten Staaten, bekannt als Privacy Shield II, für ungültig erklärt. Eine weitere Auswirkung dieser Entscheidung war die Verwendung von Standardvertragsklauseln (SCC) zwischen dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten in dem Drittland oder dem internationalen Unternehmen. SCCs sind eine häufig angeführte Rechtsgrundlage unter der Überschrift „angemessene Garantien“, wonach die Übermittlung personenbezogener Daten nur erfolgen darf, wenn angemessene Garantien vorhanden sind und durchsetzbare Rechte der betroffenen Person sowie wirksame Rechtsbehelfe zur Verfügung stehen. In den Fällen, in denen der EuGH die Gültigkeit dieser Schutzmaßnahme bestätigte, hat er bestimmte Bedingungen für ihre Anwendung festgelegt.

PandaDoc verpflichtet sich, die Ergebnisse der Schrems-II-Entscheidung und alle anderen gesetzlichen Vorgaben in der Zukunft einzuhalten und verfolgt die weiteren Entwicklungen – insbesondere im Hinblick auf die Veröffentlichungen der Leitlinien des Europäischen Datenschutzausschusses und die Stellungnahmen der Aufsichtsbehörden.

Gemäß unserer Unternehmenspolitik stehen wir zur Verfügung, um alle Anfragen unserer Kunden in Bezug auf ihre erweiterten individuellen Rechte gemäß der DSGVO zu beantworten. Dazu gehören:

Wie verarbeitet PandaDoc personenbezogene Daten? 

PandaDoc nutzt derzeit, wie jedes andere Unternehmen auch, Drittanbieter als Unterauftragsverarbeiter, um verschiedene Geschäftsfunktionen wie Geschäftsanalysen, Cloud-Infrastruktur, E-Mail-Benachrichtigungen, Zahlungen und Kundensupport bereitzustellen. Bevor PandaDoc einen Unterauftragsverarbeiter beauftragt, wird dieser einer Due-Diligence-Prüfung unterzogen, um seine Verteidigungsfähigkeit zu bewerten. PandaDoc schließt eine Vereinbarung ab, die jeden Unterauftragsverarbeiter verpflichtet, ein Minimum an akzeptablen Sicherheitspraktiken einzuhalten. Wir haben unsere Unterauftragsverarbeiter auf einer separaten Liste aufgelistet. Wir halten diese Seite auf dem neuesten Stand. Bitte schauen Sie regelmäßig vorbei, um sich über alle Änderungen zu informieren.

Müssen Sie sich an die DSGVO halten?

Wie vorstehend ausgeführt, hat die DSGVO eine breite extraterritoriale Reichweite, und ihre Anwendung auf die Geschäftstätigkeit Ihres Unternehmens sollte gebührend berücksichtigt werden. Wir können nicht oft genug betonen, dass Sie sich mit einem Rechtsberater oder einem anderen professionellen Berater über den vollen Umfang der Compliance-Verpflichtungen Ihres Unternehmens im Rahmen der Datenschutz-Grundverordnung beraten sollten.

Was geschieht, wenn Sie die Vorschriften nicht einhalten?

Die Nichteinhaltung der DSGVO kann hohe Geldstrafen nach sich ziehen. Die Sanktionen für die Nichteinhaltung können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Wo sollte ich anfangen?

Die nachstehende Tabelle soll dazu beitragen, dass sich unsere Kunden über die DSGVO und ihre Verantwortlichkeiten bewusst werden UND welche Rolle PandaDoc dabei spielt. Diese Liste ist weder exklusiv noch erschöpfend.

DSGVO-AnforderungDSGVO-ReferenzAkteur(e)Ergriffene Maßnahmen
Rechtliche GrundlageArtikel 6, Artikel 11GemeinsamPandaDoc: Schafft eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten. Betroffene Person: Wenn die Rechtsgrundlage die Einwilligung ist, stimmt die betroffene Person der Erhebung von Daten über sie durch PandaDoc zu.
Verarbeitung personenbezogener Daten von KindernArtikel 8PandaDocEs wird nicht zwischen verschiedenen Arten personenbezogener Daten unterschieden und es werden nicht wissentlich personenbezogene Daten von Kindern gesammelt.
Eingebauter DatenschutzArtikel 25GemeinsamPandaDoc: Erfasst ein Minimum an personenbezogenen Daten, die für die Durchführung des normalen Geschäftsbetriebs erforderlich sind. Kunde: Verwaltet Inhalte innerhalb der Plattform von PandaDoc.
Datenschutz-FolgenabschätzungArtikel 35GemeinsamPandaDoc: Ernennt verantwortliche Mitarbeiter für die Durchführung aller erforderlichen Datenschutz-Folgenabschätzungen. Kunde: Bestimmt den Umfang der mit Geschäftspartnern geteilten Inhalte und kann PandaDoc als Verarbeiter unterstützen.
VerschlüsselungArtikel 32GemeinsamPandaDoc und Kunde (als Verarbeiter): Einhaltung der Sicherheitsanforderungen. Personenbezogene Daten werden bei der Übertragung und im Ruhezustand mittels AES-256-Bit-Verschlüsselung verschlüsselt.
Europäischer DatenschutzausschussArtikel 68GemeinsamPandaDoc und Kunde (als Verarbeiter): Beobachtung der Tätigkeit des Europäischen Datenschutzausschusses
Inventarisierung personenbezogener DatenArtikel 30GemeinsamPandaDoc und Kunde (als Verarbeiter): Einhaltung der Anforderungen bezüglich der Aufzeichnung von Verarbeitungstätigkeiten.
Recht auf LöschungArtikel 17GemeinsamPandaDoc: Ernennt verantwortliche Mitarbeiter, die auf jede Ausübung dieses Rechts reagieren. Betroffene Person: Macht von ihrem Recht auf Löschung Gebrauch, wie von PandaDoc vorgesehen.