Telekom CloudPBX 2.0: Fragwürdige Auftragsverarbeiter und Datenschutzhinweise

Die Deutsche Telekom bietet für Geschäftskunden seit einigen Jahren eine »Telefonanlage in der Cloud« an. Kurz: CloudPBX. Unter anderem bietet der Dienst Komfortfunktionen, wie Makeln, Anrufbeantworter und Gruppen können via Webinterface und App angepasst werden – Videokonferenzen sind darüber ebenfalls möglich. Nun möchte die Deutsche Telekom auf die Version 2.0 der CloudPBX umstellen und (Bestands-)Kunden sollen ergänzende Bedingungen zur Auftragsverarbeitung zustimmen bzw. neue Datenschutzhinweise abnicken/»zur Kenntnis nehmen«:

ErgB-AV | Datenschutzhinweise

Die ErgB-AV stehen erstmal in einer »gekürzten« Version zur Verfügung. Erst nach einer Anfrage an GDPR@telekom.de bekommt man das vollständige ErgB-AV-Dokument zugesendet, in dem dann auch alle (Sub-)Unterauftragnehmer (ab Seite 9) genannt werden. Schnell wird klar, dass die Daten aus der CloudPBX 2.0 vom Unterauftragsverarbeiter Broadsoft Inc. (Cisco Systems) theoretisch weltweit verarbeitet werden können:

  • Vereinigte Staaten von Amerika
  • Kanada
  • Nordirland
  • Niederlande
  • Großbritannien
  • Brasilien
  • Singapur
  • Japan
  • Australien
  • Hongkong
  • China
  • Jordanien
  • Bulgarien
  • Cosa Rica
  • Indien

Wenn ich das richtig einschätze, betrifft das die Kerndienstleistung: Bereitstellung des Webex-Service bzw. der Anwendungen für die Telekom-eigene Cloud PBX 2.0 Plattform, Betrieb (Webex) und Support. (WebEx-Videokonferenz sind ebenfalls in CloudPBX 2.0 integriert).

Wenn man als Kunde zunächst explizit ein ErgB-AV-Dokument anfragen muss, um zu erfahren, welche (Sub-)Unterauftragnehmer die Daten verarbeiten, dann kann von Transparenz eigentlich keine Rede sein. Als Kunde würde ich in die ergänzenden Bedingungen zur Auftragsverarbeitung jedenfalls nicht einwilligen bzw. dem Vertrag zustimmen. Und selbst die »ausführliche Version« ist nicht vollständig, denn man muss konkret über GDPR@telekom.de anfragen, wo die Daten in der Amazon Cloud (AWS) verarbeitet werden:

Verarbeitungsort: AWS (Global) – Welche dies konkret sind, ist abrufbar bzw. über GDPR@telekom.de zu erfragen.

Nein Danke, so nicht liebe Deutsche Telekom.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡