DSGVO-Beitragsbild-1024x768 (2)

Die DSGVO Schritt für Schritt umsetzen – dein Action Plan Teil 3 Dein Business

/ Datenschutz

Du hast dir einen Überblick verschafft, welche Daten du auf deiner Webseite verarbeitest, alles angepasst und auch die AV-Verträge abgeschlossen.

Kommen wir nun zu den Daten, die du intern in deinem Business nutzt.

Übersicht
  1. CRM, Buchhaltung, Kundenkartei und Cloud-Dienste
  2. Sind dein Laptop, Computer, USB-Stick verschlüsselt?
  3. Keine Regel ohne Ausnahme
  4. Wer kann wen verklagen und abmahnen?
  5. Verzeichnis der Verarbeitungstätigkeiten
  6. Dokumentation der technischen & organisatorischen Maßnahmen (TOMs)
  7. Fazit

CRM, Buchhaltung, Kundenkartei und Cloud-Dienste

Kommen wir jetzt zu den Tools, die du für deine internen Business Prozesse nutzt. Auch hier gilt: wo, wofür und wie lange werden diese Daten aufbewahrt:

  • Nutzt du eine Buchhaltungs-Software, in der die Rechnungs-Adresse deiner Kunden hinterlegt sind?
  • Oder eine Kundenkartei, in der deine Kundendaten erfasst (egal, ob elektronisch oder als Karteikasten-Box) sind?
  • Ich selber nutze ein CRM, um meine Kontakte zu verwalten.
  • Sicherst du Backups deiner Daten in der Cloud?

Hier gibt es unglaublich viele Tools, wie zum Beispiel:

  • Google Drive
  • WeTransfer
  • Trello
  • Dropbox
  • Bitrix
  • Hubspot
  • Zoho
  • Salesforce
  • Fastbill

Dann musst du mit den jeweiligen Anbietern einen AV-Vertrag abschließen. Es gibt ja immer noch Menschen, die ihre Rechnungen mit Word oder Excel schreiben. Das ist seit 2017 schon nicht mehr rechtskonform!

Das Stichwort ist GoBD, mehr dazu findest du hier bei Lexware. Also ist das jetzt doch der beste Zeitpunkt, schnell zu wechseln.

Zum Beispiel zu Papierkram, einem deutschen Anbieter für Angebote, Rechnungen, Zeiterfassung und mehr, der auch eine kostenlose Version bietet.

Sind dein Laptop, Computer, USB-Stick verschlüsselt?

Datensicherheit fängt bei dir im (Home-) Office an, bei deinen Speichermedien. Diese müssen nun verschlüsselt werden laut DSGVO. Manchmal geht das mit “hausinternen” Mitteln wie bei Mac oder Windows 10 Pro. Ansonsten gibt es eine Vielzahl an Verschlüsselungssoftware, zum Beispiel:

Weitere Informationen findest du hier in dem Artikel von Datenschutz Praxis.

Keine Regel ohne Ausnahme

Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines (Zitat)

  • Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstituts für den Geldtransfer
  • Postdienstes für den Brieftransport
  • und vieles mehr.

(Quelle: Auszug aus dem Kurzpapier Nummer 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit dem Titel „Auftragsverarbeitung“, Anhang B.)

Wer kann wen verklagen und abmahnen?

Landesdatenschutzbehörden sind damit beauftragt, Datenschutzverstößen nachzugehen und gegebenenfalls einzuschreiten. Jedoch hat Deutschland hat im Februar 2016 ein eigenes Verbandsklagerecht in Datenschutzsachen eingeführt (als einziges Land der EU). Das heißt: Auch Verbände, zum Beispiele Verbraucherschutzverbände, dürfen Unternehmen wegen Datenschutzverletzungen abmahnen und verklagen.

Natürlich hat jeder das Recht, über seine personenbezogenen Daten und deren Verwendung selbst zu bestimmen. Wenn er sich in diesem informationellen Selbstbestimmungsrecht verletzt fühlt, hat er das Recht das betreffende Unternehmen abzumahnen. Das ist jedoch auch im jetzigen Bundesdatenschutzgesetz der Fall.

Verzeichnis der Verarbeitungstätigkeiten

Dieses Verzeichnis muss geführt werden und muss auf Verlangen der Datenschutzbehörde vorlegt werden. Es gibt Musterbeispiele die aufführen, was dort hineingehört. So ein Muster nimmst du dir am besten und generierst daraus dein eigenes Verzeichnis.

Derartige Vorlagen gibt es vielfach, zum Beispiel:

Das kann in einer Excel-Liste sein, in der du dokumentierst, welche Daten mit welchem System warum erfasst und wie lange diese Daten gespeichert werden.

Dokumentation der technischen & organisatorischen Maßnahmen (TOMs)

Hier geht es darum, wie die Daten der Betroffenen (zum Beispiel deiner Kunden, Lieferanten, Mitarbeiter) geschützt und abgesichert sind. Diese Dokumentation muss belegen, dass du angemessene Maßnahmen zum Schutz der Daten, die du verarbeitest, getroffen hast. Je sensibler die Daten (Gesundheitsbranche), desto höher sollten die Sicherheitsmaßnahmen sein.

Ein Muster zur Dokumentation findest du hier als pdf-Datei. Eine Hilfe zur Dokumentation findest du hier.

Fazit

Das ist nun der letzte Teil meines DSGVO Action Plans. Es hat ein wenig gedauert, doch nun solltest du erstmal auf der sicheren Seite sein.

Bitte denke daran, dass Datenschutz keine einmalige Angelegenheit ist, sondern immer wieder mal von dir überprüft werden sollte. Schließlich nutzt du auch mal andere Tools und Anbieter oder die Datenschutzkonferenz, bzw. Gerichte sprechen neue Empfehlungen sowie Urteile aus.

Das könnte dich auch interessieren

Nach oben scrollen