Auf dieser Seite finden Sie alle für den Datenschutz wichtigen Dokumentationen für Ihren Mautic-Einsatz.
- Was muss dokumentiert werden?
- So erstellen Sie die Doku
- Checkliste Datenschutz-Doku
Worum geht es?
Mautic ist eine sehr umfangreiche Software ist und bietet viele für den Datenschutz relevante Funktionen. Das geht von Emails, über Lead-Management, Formularen, Tagging bis zum Tracking.
Für jede eingesetzte Funktion muss jeweils eine passende Rechtsgrundlage und der Zweck der Verarbeitung gefunden werden.
Egal ob Sie Ihre Datenschutzerklärung selber schreiben oder zum Beispiel Ihren Datenschutzbeauftragten damit beauftragen, eine strukturierte Sammlung aller genutzten Mautic-Funktionen ist in jedem Fall sehr hilfreich. Sie können erst mal einfach alles aufschreiben, wozu Sie Mautic benutzen. Die formalen Dokumente lassen sich daraus dann später ableiten.
Dokumentationen, an die es zu denken gilt (die aber nicht in jedem Fall nötig sind):
- Datenschutzerklärung
- Verarbeitungsverzeichnis
- Auftragsverarbeiter-Verarbeitungsverzeichnis
- Erwägungen bei Berufung auf „Berechtigtes Interesse“
- Löschkonzept
- Konzept für die Betroffenenrechte
- Cookie Opt In
- Tracking Opt In
Welche Funktionen von Mautic nutzen Sie?
Am besten erstellen Sie ein Dokument und sammeln darin tabellarisch die Beschreibungen.
So sollten Sie vorgehen:
- Erstellen Sie eine Liste aller genutzten Mautic-Funktionen
- Legen Sie jeweils eine Rechtsgrundlage fest
- Beschreiben Sie den Zweck der Verarbeitung
Beispiele
| Mautic-Funktion | Rechtsgrundlage | Zweck |
Formulare |
Art. 6, Abs. 1 (a) Einwilligung |
Kontaktaufnahme durch Interessenten |
Wie wirkt sich die Art des Hostings auf den Datenschutz aus?
Je nachdem wie genau Sie den Mautic-Server betreiben, ergeben sich etwas unterschiedliche Anforderungen für den Datenschutz. Ein komplett intern von Ihrer IT verwalteter Server stellt oft ein geringeres Risiko da als die Nutzung von Cloud-Hosting. Dementsprechend gibt es einige Unterschiede zu beachten.
Hosting auf internem Server (eigene IT)
In diesem Fall bleiben die Daten am stärksten unter Ihrer Kontrolle. Nur Mitarbeiter haben Zugriff.
Zusätzliche Datenschutz-Anforderungen:
- Keine zusätzlichen Anforderungen
Managed Hosting / ASP (Europa)
Beim Managed Hosting kümmert sich ein Dienstleister (Hosting-Provider) um die Wartung des Servers, die Sicherheit sowie die Qualität des Hosting-Services.
Dazu verwendet der Provider eigenes Personal und kommt mit den personenbezognen Daten in Kontakt. Deswegen ist in diesem Fall bereits ein Vertrag über Auftragsverarbeitung notwendig.
Zusätzliche Datenschutz-Anforderungen:
- Vertrag über Auftragsverarbeitung
- Dokumentation und Prüfung der Technisch-organisatorischen-Maßnahmen (TOM)
Cloud-Hosting / SaaS (USA)
Dieser Fall ist generell kritisch zu sehen. Es ist schwierig bis unmöglich (Stand 2022) eine Rechtsgrundlage für die Datenübermittlung in die USA zu finden.
Alle bisherigen Ansätze, zum Beispiel die Standardvertragsklauseln oder Abkommen wie Privacy Shield oder Safe Harbour sind in Urteilen des EuGH für unzulässig erklärt worden.
Zusätzliche Datenschutz-Anforderungen:
- Vereinbarung von genehmigten Standardvertragsklauseln
- Anzeige an / Genehmigung durch Aufsichtsbehörde
- Dokumentation und Prüfung der Technisch-organisatorischen-Maßnahmen (TOM)
- Zusätzliche technische Schutzmaßnahmen nach dem Stand der Technik
