Wer einen IT-Dienstleister braucht um so simple Aufgaben wie Termin-Vergaben erledigen zu lassen, wie bei uns im ECHT smarten Duisburg, kann sich auch trotz DSGVO eines solchen bedienen. Auftragsverarbeiter heissen die in der Regel.
Die Stadt Duisburg macht seit langem davon Gebrauch. Ich berichtete letztens etwas süffisant über die millionste Termin-Bucherin die OB Link mit einem Blumenstraus beglückte.
So weit so lustig, nun wird es ernsthafter, denn wer einen Termin auf Duisburgs-Plattform bucht wird quasi auch „Kunde/Kundin“ der schwedischen Firma qmatic – das Thema hatte ich vor langer Zeit schon mal.
Hier der betreffenden Link:
https://www.duisburg.de/allgemein/fachbereiche/90/terminvereinbarung-buergerservice.php
Bitte dann die Datenschutzerklärung (ganz unten) anklicken! Hier ein Auszug daraus, den schwedischen Anbieter für Customer-Journey-Software betreffend den Duisburg beauftragt hat:
Laut DSGVO ist das gesetzeskonform, wenn qmatic sich an alles hält was vom eigentlichen Anbieter des Online-Dienstes, also der Stadt, gemäß DSGVO auch eingehalten wird, in diesem Falle muß es qmatic eben vertraglich auferlegt werden.
Ich weiß nicht wieso es unbedingt einer der weltweiten Marktführer sein muß und nicht z.B. ein örtliches Unternehmen wie Krankikom sein kann oder eine bundesdeutsche Alternative, denn die Aufgabe an sich ist ziemlich simpel.
Ich weiß auch nicht ob es eine Ausschreibung gab und wieviel der ganze Spaß kostet.
Ich ahne aber bzw. vermute, dass qmatic mit den Daten einen riesigen Schatz über Jahre anhäufen hätte können, wenn qmatic es denn gewollt hätte.
Sie achten bitte auf den Konjunktiv!
Es böte sich also an, angesichts der lösbaren Aufgabe den Anbieter regelmässig zu wechseln, aus Datenschutzgründen und um eben einer möglichen Dauerüberwachung und Datenabschöpfung vorzubeugen.
Denn solche Anbieter können mir versprechen was sie wollen, ich traue ihnen meist eher nicht.
So wie ich den Auszug oben lese werden die Daten in Schweden bei qmatic gespeichert, dazu müsste qmatic eigentlich Server in Schweden haben.
Zu den Servern (Clouds) und auch zu Zertifizierungen haben ich auf qmatic-Websites nicht gefunden was etwas darüber preisgibt wo genau die Server für Duisburger Daten stehen bzw. inwieweit Leistungen von qmatic in puncto Datenschutz bzw. DSGVO zertifiziert sind. => siehe Art. 42 EU-Datenschutz-Grundverordnung (DSGVO)
https://sio.no.qmatic.cloud/help/index.html#page/Reference%20Manual/02_01%20Install.03.02.html
https://www.qmatic.com/meet-qmatic/quality-policy
Und ich finde auf der qmatic-Website keinen Link auf den Datenschutz.
Ich schliesse allerdings nicht aus, dass es das alles gibt, nur wie beschrieben, ich habe es es nicht auf Anhieb gefunden.