WeTransfer ist ein kostenloser Filesharing-Dienst, der Nutzern eine unkomplizierte Möglichkeit bietet, große Dateien schnell und einfach zu versenden. Ohne Zwang zu einem registrierten Konto können Nutzer Dateien auf der Website von WeTransfer hochladen. Anzugeben sind sowohl die E-Mail Adresse des Versenders, als auch des Empfängers. Darüber hinaus kann eine persönliche Nachricht an den Empfänger hinzugefügt werden. Der Empfänger erhält eine E-Mail mit einem Downloadlink sowie ggf. der persönlichen Nachricht.
WeTransfer gibt an, dass personenbezogene Daten nur so lange gespeichert werden, bis der Dienst erfolgreich abgeschlossen ist. Sobald eine Datei heruntergeladen wurde oder der Download-Link abgelaufen ist, werden die Daten gelöscht.
WeTransfer ist in den Niederlanden ansässig und unterliegt daher dem europäischen Datenschutzrecht. Viele Nutzer sind sich jedoch nicht bewusst, dass WeTransfer personenbezogene Daten speichert und diese Daten auch an Drittländer (außerhalb des Geltungsbereichs der DSGVO) übermittelt werden können.
Unternehmen, die personenbezogene Daten verarbeiten, fallen unter den Anwendungsbereich der DSGVO. Damit sind sie gem. Art. 5 Abs. 1 lit. f DSGVO verpflichtet, für einen angemessenen Schutz der verarbeiteten personenbezogenen Daten (dazu gehört auch die Speicherung und der Versand) zu sorgen.
WeTransfer bietet eine Verschlüsselung von Dateien nur bei bezahlten Premium-Abonnements an.
Weiterführende Angaben über die technische Implementierung und Qualität der Verschlüsselung sind der Webseite von WeTransfer nicht zu entnehmen. Es ist daher unklar, ob die getroffenen technisch-organisatorischen Maßnahmen den Schutz der Daten gewährleisten können.
Nur bei einer vollständigen Ende-zu-Ende Verschlüsselung wäre sichergestellt, dass weder der Betreiber von WeTransfer, noch der Betreiber der genutzten technischen Infrastruktur Zugriff auf die Daten erhalten. Anderenfalls wäre der nach Art. 5 DSGVO geforderte angemessener Schutz vor unbefugter oder unrechtmäßiger Verarbeitung ("Vertraulichkeit“) nicht gewährleistet.
Darüber hinaus handelt es sich bei der Nutzung von WeTransfer zur Übertragung von personenbezogenen Daten durch Unternehmen um eine Auftragsverarbeitung nach Art. 28 DSGVO. Damit wäre eine Vereinbarung über die Auftragsverarbeitung nach den geltenden Mustern zu schließen. WeTransfer selbst bietet auf der Webseite keine Vereinbarung über die Auftragsverarbeitung an.
Da WeTransfer selbst in jedem Fall unverschlüsselten Zugriff auf die E-Mail Adresse des Empfängers erhält, um den Downloadlink zu versenden, bedarf es in der Regeln auch einer Einwilligung des Empfängers über die Weitergabe dieses personenbezogenen Datums an WeTransfer.
Zuletzt weist WeTransfer darauf hin, dass die Daten in den USA gespeichert werden. Nach dem Urteil des EuGH zur (Un-) Zulässigkeit der Übertragung personenbezogener Daten aus der EU in die USA (EuGH C 311/18 – „Schrems II“) obliegt dem Verantwortlichen für die Datenverarbeitung (dem Unternehmen, dass personenbezogene Daten über WeTransfer übermitteln möchte), eine hohe Prüfungs- und Bewertungspflicht. Den Angaben in der Datenschutzerklärung kann jedenfalls nicht entnommen werden, dass die Anforderungen an eine zulässige Datenübertragung aus dem Empfehlungspapier des European Data Protection Board
(https://edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_de.pdf) erfüllt werden.
WeTransfer ist grundsätzlich ein ungeeignetes Mittel zur Übermittlung von personenbezogenen Daten durch Verantwortliche i.S.d. DSGVO. Die rechtlichen Anforderungen an die Sicherheit und Vertraulichkeit sowie die DSGVO-konforme Auftragsverarbeitung können nicht gewährleistet werden.
Von einer Verwendung von WeTransfer zur Übermittlung von personenbezogenen Daten im Rahmen von Auskunftsersuchen oder weiteren Betroffenenrechtsanfragen sollte daher abgesehen werden.
Auch ohne Bezug zu personenbezogenen Daten birgt WeTransfer bedeutsame Risiken. Verschlüsselung muss käuflich erworben werden und es ist zum jetzigen Zeitpunkt nicht klar, ob die Verschlüsselung einen Zugriss auf die hochgeladenen Daten durch den Anbieter selbst unterbinden kann.
Geht es rein um die Übertragung von personenbezogene Daten zwischen Individuen, so können Lösungen, die Daten nicht in die USA Übertragen genutzt werden. SwissTransfer.com stellt ein entsprechendes Angebot zur Verfügung, das nach eigenen Angaben Daten rein auf Servern in der Schweiz (und somit ein einem Land mit angemessenem Datenschutzniveau i.S.d. Art. 45 Abs. 1 DSGVO) speichert.
Bei der Übertragung von personenbezogenen Daten zwischen Unternehmen und natürlicher Person oder zwischen zwei Unternehmen sieht das Angebot jedoch deutlich übersichtlicher aus. Hier sind die in Abschnitt 2 aufgezeigten Anforderungen zu beachten.
Im Zusammenhang mit Auskunftsersuchen oder sonstigen Betroffenenrechten kann jedoch eine Lösung Sinn machen, die nicht nur den Datenaustausch DSGVO-konform regelt, sondern gleichzeitig auch den gesamten Prozess vom Erhalt bis zur Beantwortung einer Anfrage unterstützt.
Das PRVAPI PORTAL (www.privapi.io) bietet DSGVO-konforme Lösungen für klassische Probleme, Zeitfresser und rechtliche Risiken bei der Bearbeitung von Betroffenenrechtsanfragen an. Dazu gehören z.B. die Identifizierung von Anfragenden, die Herstellung eines Ende-zu-Ende verschlüsselten Übertragungswegs, die Nutzung von Vorlagen und vom Tool selbst und für den individuellen Fall generierten Antworten sowie die Herstellung eines Überblicks über erhaltene Anfragen und die Überwachung von Fristen.
Mit workflow-orientierten Prozessen ermöglicht das PRIVAPI PORTAL die strukturierte Einbindung verschiedener Stellen in der Organisation für eine gemeinsame und effiziente Bearbeitung von Anfragen auf Basis von Rollen und Verantwortlichkeiten.
Ebenfalls bietet das PRIVAPI PORTAL die direkte Einbindung digitaler Lösungen des B2B-Kunden (z.B. Apps oder Webseiten), um deren Endkunden im Sinne von Transparenz und Benutzerfreundlichkeit eine nahtlose Integration für die Ausübung ihrer Betroffenenrechte direkt aus den digitalen Lösungen heraus zu bieten.
Damit hebt es sich von der klassischen Bearbeitung von Anfragen aus dem E-Mail Postfach oder via Ticketing-Tool ab, sichert qualitativ hochwertige und den rechtlichen Anforderungen genügenden Antworten und reduziert das sowohl das Risiko für Bußgelder, Abmahnungen und benötigte Ressourcen (Zeit, Personal, Fachwissen).
WeTransfer ist ein einfaches und intuitiv bedienbares Tool zum Versenden von großen Dateien. Die Sicherheit und Vertraulichkeit der über WeTransfer versendeten Daten sowie die rechtliche Einordnung unterliegen jedoch erheblichen Bedenken.
Es gibt Alternativen zu WeTransfer, aber insbesondere bei der Kommunikation zwischen Unternehmen und natürlichen Personen im Anwendungsbereich der DSGVO bestehen Hürden für die Nutzung.
Für eine Anwendung von Datenaustauschsystemen im Rahmen der Bearbeitung von Auskunftsersuchen oder den weiteren Betroffenenrechten i.S.d. DSGVO bietet das PRIVAPI PORTAL (www.privapi.io) eine maßgeschneiderte Lösung, die neben dem verschlüsselten Datenaustausch noch den gesamten Prozess vom Erhalt über die Identifizierung des Anfragenden bis zur automatisierten Erstellung von Antworten unterstützt.
.jpg)
