Der 25. Mai ist jetzt schon eine Weile her, ist dir etwas aufgefallen? Mir nicht, alles wie bisher. Der große Knall blieb also aus! Fast wie im Jahr 2000, alle dachten das Internet bricht zusammen. Nichtsdestotrotz müssen wir unseren Teil zur DSGVO beitragen, denn jeder Mensch hat das Recht auf den Schutz der sie betreffenden personenbezogenen daten. Deshalb möchte ich dir einen DSGVO Leitfaden für dein VA Business an die Hand geben.

Die wichtigsten Fragen sollten wir direkt am Anfang klären! Trifft dich die DSGVO? JA! Bist du als virtuelle Assistenz Auftragsverarbeiter? In der Regal JA! Und darüber hinaus, kann es sein, dass du auch gleichzeitig Verantwortlicher bist. Schon zu viel? Keine Sorge, wir kümmern uns jetzt Schritt für Schritt darum.

Durch die DSGVO gibt es bestimmte Grundprinzipien die zu beachten sind:

  • Datenvermeidung & Datensparsamkeit – Privacy by design & Privacy by default
  • Zweckbindung – für einen festgelegten, eindeutigen und legitimen Zweck (Kopplungsverbot)
  • Transparenz – personenbezogene Daten müssen transparent und nach Treu & Glauben verarbeitet werden, auf eine für die betroffene Person nachvollziehbare Weise
  • Verbot mit Erlaubnisvorbehalt – Bedingungen für Einwilligung zur Nutzung der Daten
  • Datenübermittlung an Drittstaaten
  • Auskunfts-, Korrektur- und Löschrecht
  • Auftragsdatenverarbeitung
  • Dokumentationspflicht – Verzeichnis für Verarbeitungstätigkeiten
Basics

Wichtige Begriffe der DSGVO

Welche Daten unterliegen eigentlich der DSGVO?

Die DSGVO gilt ausschließlich für personenbezogene Daten, wie z. B:

  • Kundendaten
  • Lieferantendaten
  • Mitarbeiterdaten 

Wichtige Begriffe

Auftragsverarbeiter: eine Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Beispiel: ein Kunde (Verantwortlicher) bittet dich in seinem Namen eine Mailingliste zu verwalten und Newsletter an diese Liste auszusenden. In der Mailingliste liegen personenbezogene Daten von anderen Menschen, auf die du Zugriff hast.

Verantwortlicher: eine Person die allein oder gemeinsam mit anderen über Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Beispiel: du verarbeitest die Rechnungsdaten deiner Kunden weiter und nutzt sie zur Rechnungsstellung

Personenbezogene Daten: sind Informationen, die sich auf eine identifizierbare Person (betroffene Person) beziehen und mittels deren sie identifiziert werden kann.

  • Name, Geburtsdatum, Geburtsort, Postanschrift,
  • E-Mail-Adresse, Rufnummern usw.
  • Sozialversicherungsnummer, Steueridentifikationsnummer,
  • Nummer bei der Krankenkasse, Personalausweisnummer usw.
  • Bankdaten: Kontostände, Kontonummern, Kreditinformationen, usw.
  • Geschlecht, Haut-, Haar- und Augenfarbe, Statur usw.
  • Kundendaten: Bestellungen, Adressdaten, Kontodaten usw.
  • Online-Daten: IP-Adresse, Standortdaten usw.
  • u. v. m. 

Verarbeitung: Vorgang mit oder ohne Hilfe automatisierter Verfahren mit personenbezogenen Daten, z. B. erheben, erfassen, organisieren, ordnen, speichern, anpassen, abgleichen, löschen, verändern, auslesen, abfragen, verwenden, einschränken

Stellt sich also heraus, dass du ein Auftragsverarbeiter bist, und das bist du in den meisten Fällen, dann brauchst du einen Auftragsdatenverarbeitungsvertrag. Darin werden folgende Punkte geregelt:

  • Gegenstand & Dauer der Verarbeitung
  • Art 6 Zweck der Verarbeitung
  • Art & Kategorien der personenbezogenen Daten
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung der technischen und organisatorischen Maßnahmen (TOM)
  • Subunternehmer
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Fragen der Betroffenen
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrecht der für die Verarbeitung Verantwortlichen und Duldungspflicht des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen das Datenschutzrecht verstößt (unverzüglich) 

Ebenso bist du verpflichtet ein Verzeichnis von Verarbeitungstätigkeit für Verantwortliche (also für dich selbst), aber auch eines für Auftragsverarbeiter zu führen. Darin wird folgendes geregelt:

  • Name des Verantwortlichen/ Auftragsverarbeiter
  • Name der Verarbeitung
  • Zweck der Verarbeitung
  • Kategorien der verarbeiteten Daten
  • Kategorien der betroffenen Personen
  • Kategorien der Empfänger
  • Übermittlung an Drittländer?
  • Vorgesehene Fristen für Löschung der Datenkategorien (z. B. bei Rechnungen (Aufbewahrungspflicht 10 Jahre) und bei geschäftlichen Briefen /E-Mails (Aufbewahrungspflicht 6 Jahre)
  • Beschreibung der TOMs (wenn möglich) 

Verzeichnis von Verarbeitungstätigkeit für Auftragsverarbeiter – jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeit. Also musst du quasi ein VV für dich und eines für deine Kunden führen.

Ab wann liegt jetzt eigentlich eine Auftragsverarbeitung vor?

  • Auftragsgeber und Auftragnehmer sind 2 verantwortliche, aber unterschiedliche Personen
  • Zwischen Auftragsgeber und Auftragnehmer werden personenbezogene Daten ausgetauscht
  • Auftragnehmer erhebt, verarbeitet oder nutzt personenbezogene Daten im Auftrag des Auftragsgeber (er hat kein Eigeninteresse an den Daten)
  • Auftragnehmer ist weisungsgebunden in Bezug auf die Datenverarbeitung

Wichtige Dokumente für die DSGVO

Welche Dokumente benötigst du als Auftragsverarbeiter:

  • Auftragsverarbeitungsvertrag
  • Geheimhaltungsvereinbarungen
  • Vertrag für freie Mitarbeiter
  • TOM
  • Verzeichnis für Verarbeitungstätigkeiten
  • AGB (optional)

 

Welche Dokumente benötigst du als Verantwortlicher:

  • Auftragsverarbeitungsvertrag von externen Dienstleistern, die Daten für dich verarbeiten
  • Geheimhaltungsvereinbarungen mit Mitarbeitern, Freelancern oder freien Mitarbeitern
  • Vertrag für freie Mitarbeiter
  • TOM
  • Verzeichnis für Verarbeitungstätigkeiten
  • AGB (optional)

 

Wo findest du Vorlagen dafür?

Auftragsdatenverarbeitungsverträge:

 

Verzeichnis für Verarbeitungstätigkeiten:

 

Geheimhaltungsvereinbarungen:

 

TOM (technisch und organisatorische Maßnahmen):

 

AGBs:

 

Weitere Informationen

Bist du bereit für die DSGVO?

Wie geht es jetzt weiter? Das sind schon einige Informationen die du zu verarbeiten hast. Lese dir alles in Ruhe durch und dann empfehle ich dir folgende Vorgehensweise:

 

  • Bestandsaufnahme: überprüfe, wo du überall personenbezogene Daten verarbeiten könntest (Offline & Online) und mach dir eine Liste davon
  • Hast du alle Auftragsverarbeiter und die dazugehörigen Verträge? HIER findest du eine tolle Übersicht über zahlreiche Anbieter
  • Du bist selbst Auftragsverarbeiter (als VA, ja!)? Hast du mit deinen Kunden einen Auftragsverarbeitungsvertrag?
  • Datenlöschung – erstelle dir ein Prozess, wie und wann du Daten löscht, die du nicht mehr aufbewahren musst, z. B. alle 6 Monate
  • Verzeichnis für Verarbeitungstätigkeiten anlegen
  • TOM erstellen

Es macht vielleicht nicht viel Spaß, aber wenn du es einmal erledigt hast bist du gut aufgestellt. Also nicht lange nachdenken, einfach anfangen!

 

P.S. Brauchst du einen Komplett-Schutz gegen Abmahnungen für deine Website, dann schaue doch mal HIER* vorbei.

Oder willst du dich gerade selbständig machen und möchtest Rechtssicher von Anfang an mit dem easyRechtssicher Starterpaket* für Deine Existenzgründung sein?

 

Arbeiten als virtuelle Assistenz

Tanja Baumann

*Dieser Artikel enthält Affiliate-Links von externen Portalen. D.h. ich bekomme eine kleine Provision, wenn du über diesen Link etwas auf der vorgestellten Seite kaufst. Für Dich ändert sich am Preis natürlich nichts. Vielen Dank, dass Du mich damit unterstützt.