DSGVO-Checkliste für virtuelle Assistenten

Seit dem 28. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO). Wie haben wir uns doch alle davor schon verrückt gemacht, oder? Wir haben Stunden in Facebook-Gruppen und im Internet verbracht und haben wie Irre recherchiert. Mit jeder weiteren Info hatten wir mehr Fragezeichen im Kopf.

Wenn ich heute zurückblicke denke ich mir, dass die Umsetzung der DSGVO als virtuelle Assistenz gar nicht so dramatisch war.

In diesem Beitrag verrate ich dir, was du in deinem Business als virtuelle Assistenz in Bezug auf DSGVO beachten und umsetzen musst.

[Hinweis: dieser Artikel ist keine Rechtsberatung. Der Inhalt basiert auf ausführliche Recherche und Prüfung der Angaben. Für die Richtigkeit wird keine Haftung übernommen.]

1. Auftragsverarbeiter oder Verantwortlicher?

War dir bisher klar, dass du als virtuelle Assistenz Verantwortlicher und Auftragsverarbeiter bist?

Begriffserklärung
Verantwortlicher: du verarbeitest personenbezogene Daten deines Kunden. Dies ist z.B. der Fall bei Rechnungsstellung oder Speicherung der Kontaktdaten.

Auftragsverarbeiter: du verarbeitest personenbezogene Daten von Kunden DEINES Kunden im Auftrag. Dies ist z.B. der Fall bei Websitebetreuung, wenn du Besucherdaten verarbeitest oder im E-Mail-Support, wenn du Kontaktdaten speicherst.

Bei der Umsetzung der DSGVO muss dir also immer bewusst sein, in welcher Rolle du dich gerade befindest: Auftragsverarbeiter oder Verantwortlicher? Verarbeitest du SELSBT oder IM AUFTRAG personenbezogene Daten?

2. Verarbeitungsverzeichnis

Du bist sowohl als Auftragsverarbeiter als auch als Verantwortlicher dazu verpflichtet, ein Verarbeitungsverzeichnis (kurz VV) zu führen.

Im Verarbeitungsverzeichnis listest du alle „Verfahren“ auf, bei denen du personenbezogene Daten erfasst oder verarbeitest. Art. 30 Abs.1 DSGVO sagt dir bereits, welche Angaben in ein solches Verzeichnis gehören.

• Namen und Kontaktdaten deines Unternehmens,
• Datenschutzbeauftragter (sofern erforderlich und vorhanden),
• den konkreten Zweck der Verarbeitung,
• Wer ist betroffen (z.B. Kunden),
• Welche Daten werden verarbeitet (Kategorien wie Kontaktdaten, Bankdaten etc.),
• Welche weiteren Unternehmen (Empfänger) sind beteiligt (Angabe der Kategorie, wie Buchhaltungssoftware, Cloud
  Speicherdienst, Anbieter Newslettersoftware etc.),
• Übermittlungen in Drittländer (konkrete Benennung des Landes, z.B. USA) sowie die Angabe der geeigneten Garantien (z.B. Privacy Shield bei US-Unternehmen),
• Dauer der Speicherung (wenn möglich).
• Achte bei der Erstellung deiner beiden Verzeichnisse wie immer darauf, in welcher Position du dich befindest: Auftragsverarbeiter oder Verantwortlicher?

3. Technische und Organisatorische Maßnahmen (TOM)

Wenn du selbst oder im Auftrag personenbezogene Daten verarbeitest, musst du technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Dazu schreibt das Datenschutzgesetz folgende Maßnahmen vor:

Zutrittskontrolle
Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben.

Zugangskontrolle
Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nutzen.

Zugriffskontrolle
Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Weitergabekontrolle
Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss nachvollziehbar und überprüfbar sein, an welche Stellen Daten übermittelt werden.

Eingabekontrolle
Es muss nachträglich überprüft werden, von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden.

Auftragskontrolle
Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur den Anweisungen des Auftraggebers folgend geschehen.

Verfügbarkeitskontrolle
Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein.

Getrennte Verarbeitung
Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können.
Du musst sicherstellen, dass diese Anforderungen in deinem Unternehmen erfüllt werden!

4. Notwendige Verträge

Neben einem Vertrag für freie Mitarbeiter, den du unabhängig von der DSGVO ohnehin abschließen solltest, gibt es noch eine Reihe anderer Verträge, die durch die DSGVO zur Pflicht wurden. Auch mündliche Absprachen sowie ein Angebot und eine Annahme sind bereits ein Vertrag.

Als Auftragsverarbeiter musst du nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (kurz AVV) für deine Kunden anbieten. In diesem musst du u.a. regeln, wie genau du die Daten deiner Kunden behandelst und sie schützt.

Außerdem bist du verpflichtet die „Vertraulichkeit“ zu wahren. Dies machst du mit einer Vertaulichkeitsvereinbarung.

Hast du bereits entsprechende Vertragsmuster?
Ich habe von Anfang an die Vertragsmuster* von Lawlikes verwendet. Meine Kunden sind superhappy, wenn ich ihnen direkt diese verständlich ausgearbeiteten Verträge zur Verfügung stellen kann. Auch dir würde ich empfehlen, einmalig diese Investition von 65,00 Euro für das AV-Paket* von Lawlikes zu tätigen. Damit bist du abgedeckt und kannst die Vertragsmuster beliebig oft verwenden. Einmal ausgefüllt musst du für jeden neuen Kunden einfach nur Name und die Beschreibung der Tätigkeit abändern. Einfacher geht’s wirklich nicht!

Das AV-Paket enthält:

• Muster Auftragsverarbeitungsvertrag
• Muster Vertraulichkeitsvereinbarung
• Hinweise zur Erstellung der TOM
• 2 Video-Tutorials, die dir beim Ausfüllen helfen
• Checkliste mit Beispielen zu den TOM

Seit ich diese Muster habe, frage ich mich wirklich, warum ich mir so einen Stress wegen der DSGVO gemacht habe. Eigentlich ist es keine große Sache. Falls du Fragen zur Umsetzung hast, dann schreibe mir gern.