Viele starten munter los in die Selbstständigkeit und wagen Ihren Traum. Das ist wahnsinnig toll und diese Anfangsenergie soll auch genutzt werden. Doch Vorsicht: Virtuelle Assistenten sind Auftragsverarbeiter und haben damit neben den regulären Datenschutzpflichten noch 2-3 weitere Dinge zu beachten, welche Sie gleich zu Beginn umsetzen müssen.
Auftragsverarbeiter sind verpflichtet, einen Auftragsverarbeitungsvertrag abzuschließen.
Andernfalls drohen Strafen!
Virtuelle Assistenten, Social-Media-Manager, E-Mail-Marketing-Spezialisten und Online-Business-Manager haben alle eins gemeinsam: Sie sind Auftragsverarbeiter. Und als solche sind sie gesetzlich dazu verpflichtet, einen Auftragsverarbeitungsvertrag mit den Verantwortlichen abzuschließen (Art. 28 DSGVO).
Strafen drohen dann, wenn entweder kein Auftragsverarbeitungsvertrag abgeschlossen wurde oder dieser fehlerhaft ist. Und da kann es teuer werden (Art. 83 DSGVO).
Nicht in jedem Fall ist ein Auftragsverarbeitungsvertrag abzuschließen
In einigen Fällen wird kein Auftragsverarbeitungsvertrag geschlossen. Dies ist z. B. dann der Fall, wenn fremde Fachleistungen in Anspruch genommen werden (z. B. Steuerberater), die Datenverarbeitung nicht im Vordergrund steht (z. B. Blumenhändler) oder eine gemeinsame Verantwortlichkeit vorliegt, d. h. beide Parteien eigene Zwecke verfolgen. Im letzteren Fall ist eine Vereinbarung gemäß Art. 26 DSGVO abzuschließen.
Der Auftragsverarbeiter muss ausreichend hohe technisch-organisatorische Maßnahmen (TOM) vorweisen
Herzstück des Auftragsverarbeitungsvertrags sind die Maßnahmen, welche der Auftragsverarbeiter trifft, um die Sicherheit der Daten des Kunden zu gewährleisten. Der Gesetzgeber fordert technische und organisatorische Maßnahmen. Diese sollten insgesamt acht verschiedenen Bereichen (z. B. Zutritts-, Zugriffskontrolle) abdecken. Einige davon, wie die E-Mail-Verschlüsselung oder Datensicherungen, sind verpflichtend.
Im Auftragsverarbeitungsvertrag genannten Maßnahmen, sind ab Unterzeichnung des Vertrags verpflichtend. D.h. der Auftragsverarbeiter muss diese wie beschrieben umsetzen. Er haftet dafür.
Prüfung des Auftragsverarbeiters
Ob der Auftragsverarbeiter die genannten TOM auch tatsächlich durchführt, davon kann und sollte der Verantwortliche sich persönlich überzeugen. Er kann bei der Virtuellen Assistenz vorbeikommen und schauen, ob dies alles läuft wie angegeben. Auch die Aufsichtsbehörde für Datenschutz hat dazu ein Recht. Die Virtuelle Assistenz muss solch eine Überprüfung – auch eine Inspektion ggf. zu Hause – zulassen.
Subunternehmer müssen genehmigt werden
Personenbezogenen Daten des Verantwortlichen können vom Auftragsverarbeiter nicht einfach irgendwo eigenständig gespeichert werden. Haben Dritte Zugriff auf die Daten, muss dies im Auftragsverarbeitungsvertrag stehen, sofern es sich hier um eigens gewählte Systeme handelt. Hier ist unbedingt auch an eingesetzte Software zu denken.
Vorsicht bei Anbietern, die nicht im DSGVO-Raum sitzen – Ein Auftragsverarbeitungsvertrag allein reicht nicht aus
Viele arbeiten mit Anbietern aus den USA (z. B. Microsoft, Google, Zoom) oder anderen Ländern zusammen, welche außerhalb der EU bzw. des Europäischen Wirtschaftsraumes liegen. Hier sind weitere Sicherheitsmaßnahmen notwendig, wenn es sich um kein sogenanntes sicheres Drittland handelt.
Vorsicht bei Ländern, wie z.B. China, welche als unsicheres Drittland eingestuft sind. Hier reicht ein Auftragsverarbeitungsvertrag allein nicht aus, um den Datentransfer rechtlich durchführen zu dürfen. Weitere Garantien sind zwingend erforderlich (Art. 44 ff DSGVO). Auch bei Anbietern aus den USA ist höchste Vorsicht geboten, nur einige Unternehmen fallen unter das neue Datenschutzabkommen.
Auftragsverarbeiter haben ein weiteres Verzeichnis der Verarbeitungstätigkeiten zu führen
Unternehmer müssen ein Verzeichnis der Verarbeitungstätigkeiten führen, aus welchem alle Prozesse hervorgehen, bei dem personenbezogene Daten in ihrem Unternehmen verarbeitet werden (Art. 30 Abs. 1 DSGVO).
Auftragsverarbeiter haben jedoch neben diesem noch ein zweites Verzeichnis zu führen (Art. 30 Abs. 2 DSGVO).
Hättest du alle Punkte gewusst und hast sie auch umgesetzt?
Wenn ja, herzlich Glückwunsch! Deine Kunden freuen sich sicherlich, dass ihre Daten bei dir in sicheren Händen sind. Und ich freue mich ebenfalls, dass du verantwortungsvoll mit den personenbezogenen Daten anderer Menschen umgehst. Denn genau das ist es doch, was wir auch von unserem Gegenüber erwarten, oder?
Falls du jetzt noch offene Punkte entdeckt hast, solltest du das Thema schnellstmöglich angehen. Bußgelder können dich ab Tag 1 deiner Selbstständigkeit treffen. Solltest du notwendige Verträge noch nicht abgeschlossen haben, ist dies auf jeden Fall nachzuholen. Auch wenn dir dies unangenehm ist. Denke daran: Ihr seid beide in der gesetzlichen Pflicht und beim nächsten Kunden bist du dann tip top aufgestellt.
Autorin
Karin Steffens
Hi, ich bin Karin. Ich bin Datenschutzbeauftragte aus Leidenschaft – Ja, so etwas gibt‘s. Denn mir ist das Thema sehr wichtig & ich freue mich über strahlende Augen, wenn bei meinem Gegenüber aus den vielen Fragezeichen ein erleichtertes Lachen wird.
Jeder Selbstständige / Unternehmer hat im Datenschutz circa 25 gesetzliche Pflichten zu erfüllen, von denen viele gar nichts wissen – der Bereich Auftragsverarbeitung stellt nur einen kleinen Teil dar.
Ich habe es mir zur Aufgabe gemacht, meinen Kunden das Thema so zu erklären, dass sie es verstehen und problemlos selbst umsetzen können. Drum herum kommen wir nicht – da darf der Weg dahin doch aber zumindest leicht sein. Damit ich selbst mehr Abwechslung habe, aber auch damit ich verstehe, was meine Kunden für tolle Tools im Einsatz haben und vor welchen Herausforderungen sie stehen, bin ich selbst auch als Projektmanagerin und als Virtuelle Assistentin tätig.
Kostenlose Datenschutztipps gibt’s auch in meinem Newsletter. Zudem möchte ich Dich einladen, auf meiner Website oder in meinem Datenschutz-Shop zu stöbern.
Themen-Gebiete von Karin Steffens
Datenschutz
Projektmanagement
0 Kommentare