Datenschutzerklärung für Zapier

Ist die Nutzung von Zapier zulässig?

Verwenden Sie ein Tool oder Programm, das personenbezogene Daten verarbeitet, werden diese Daten an den Dienstanbieter des Tools übermittelt. Je nachdem, in welchem Land der Dienstanbieter sitzt (USA), kann diese Datenübermittlung problematisch sein.

Denn: Übertragen Sie personenbezogene Daten aus der EU in ein Drittland, ist dies nur unter bestimmten Voraussetzungen zulässig. Und zwar dann, wenn das Schutzniveau für die Datenübermittlung in ein Drittland mit dem der EU der Sache nach gleichwertig ist. Bietet das Drittland ein angemessenes Datenschutzniveau, verabschiedet die EU-Kommission einen Angemessenheitsbeschluss.

Der Diensteanbieter von Zapier ist die Zapier Inc. Dieses Unternehmen hat seinen Sitz in den USA. Es gibt einen Angemessenheitsbeschluss für die Datenübermittlung in die USA. Zusätzlich ist die Datenübertragung in die USA rechtlich aber erst dann zulässig, wenn der Datenempfänger außerdem nach dem Datenschutzabkommen EU-USA (Data Privacy Framework) zertifiziert ist.

Wichtig:
Nur weil die Datenübertragung mit diesem Tool rechtlich zulässig ist, bedeutet dies nicht, dass das Programm automatisch datenschutzkonform ist. Damit Sie nicht gegen den deutschen Datenschutz verstoßen, müssen Sie zusätzliche Pflichten erfüllen.

Warum ist Zapier datenschutzrechtlich relevant?

Unternehmen erheben über Zapier Daten ihrer Webseitenbesucher und geben diese an den Anbieter der App weiter. Welche Daten sie mit Zapier erheben, hängt davon ab, welche Apps sie miteinander verbinden. Oftmals erheben Business-Inhaber Daten wie

• Namen,
• E-Mail-Adressen,
• IP-Adressen,
• Telefonnummern und
• Details zum Webseitenbesuch.

Dabei handelt es sich zum Teil um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) besonders geschützt. Seitenbetreiber müssen daher besondere Vorgaben beachten, wenn sie Zapier verwenden.

So nutzen Sie Zapier datenschutzkonform

Unternehmen müssen diese datenschutzrechtlichen Pflichten erfüllen, um Zapier datenschutzkonform zu nutzen:               

Vertrag zur Auftragsverarbeitung abschließen

Seitenbetreiber erheben über Zapier personenbezogene Daten und geben diese an den Anbieter weiter. Der Anbieter verarbeitet die Daten weisungsgebunden. Die DSGVO schreibt dafür vor: Seitenbetreiber müssen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Zapier stellt dafür ein Data Processing Agreement (DPA) zur Verfügung. Dies entspricht einem AV-Vertrag. Seitenbetreiber sollten überprüfen, ob das DPA aufführt,

• welche personenbezogenen Daten sie an Zapier weitergeben,
• warum und wie lange Zapier diese Daten speichert und
• welche Pflichten Seitenbetreiber und Zapier haben.

Standardvertragsklauseln abschließen

Auch wenn eine Datenübertragung durch DPF-Zertifizierung zulässig ist, empfehlen wir Ihnen nach Möglichkeit den Abschluss von Standardvertragsklauseln sowie eine Datentransfer-Folgenabschätzung vorzunehmen.

Datenschutzerklärung anpassen

Seitenbetreiber erheben über Zapier personenbezogene Daten und geben diese an das Unternehmen in den USA weiter. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. Dabei sollten sie erklären, dass sie für die Datenweitergabe ein DPA mit Zapier geschlossen haben. In diesem Kontext sollten Seitenbetreiber auch angeben,

• warum sie mit Zapier personenbezogen Daten sammeln,
• wie lange sie diese speichern wollen und
• welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO).

Damit Webseitenbesucher einen genaueren Einblick erhalten, was mit ihren Daten bei Zapier passiert, sollten Seitenbetreiber in ihrer Datenschutzerklärung auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen von Zapier hinweisen.

Eine rechtssichere Datenschutzerklärung können Sie jetzt schnell und kostenfrei mit unserem Datenschutz-Generator erstellen.