Grundlage meines Artikels ist der kostenlose Kurs zur Datenschutzgrundverordnung (kurz: DSGVO) bei Udemy
https://www.udemy.com/dsgvo-basics-fur-einzelunternehmerinnen/
Vorherige Registrierung und „Einkauf“ des Kurses sind notwendig. Der Kurs teilt sich in mehrere Lektionen, ist unterhaltsam und empfehlenswert! Danach ist man schlauer!
Ihr solltet was zu Schreiben an der Hand haben! 😉
Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 wird das Recht auf die persönlichen Daten obligatorisch. Somit hat jeder EU-Bürger gegenüber Unternehmen in der EU das Recht auf
- schrftl. Auskunft über die Nutzung personengebundener Daten binnen eines Monats,
- sofortige Richtigstellung bzw. Änderung/Löschung,
- Nichtnutzung bei falschen Daten, und
- sofortige Löschung personenbezogener Daten.
Für Unternehmen außerhalb der EU (z.B. Kanada, USA …) gilt der EU-US Privacy Shild.
Zweckgebundenheit und Datenminimierung
Daten dürfen grundsätzlich nur mit Einwilligungserklärung und zweckgebunden erhoben, und nicht an Dritte weitergegeben werden. Es gilt ein Koppelungsverbot.
Datenverarbeitung und Vereinbarungen
Jede Unternehmerin/Unternehmer hat in einem Datenverarbeitungsverzeichnis (z.B. in einer Excelliste) zu dokumentieren, welche Daten verarbeitet werden.
Beispiel: Newsletter, z.B. mit Mailchimp/Mailpoet
- Welche Datenkategorien werden erhoben?
z.B. Vorname | Mailadresse … - Verwendungszweck: Newsletter
- Verwendungsdauer, z.B. 1 Jahr
- Wer ist Auftragsverarbeiter?
z.B. domainfactory, Mittwald, strato … - Mailchimp/Mailpoet
- …
Wenn ein Unternehmen seine Steuererklärung von einem auswärtigen Steuerbüro erledigen lässt, dann muss die Zusammenarbeit und damit auch die Übergabe von Daten über sog. Auftragsverarbeiter-Vereinbarungen geregelt werden. Genannt werden hier z.B.
- die/der Datenverantwortliche in der Firma
z.B. die Unternehmerin XY, der Unternehmer XY - Auftragsverarbeiter, z.B. das Steuerbüro, die Webdesignerin, die Webhostfirma …
- der Cloudanbieter, der Webhoster …
- Mailprogramm-Software, z.B. Outlook, Firefox, web.de …
Also eine Liste all jener, denen ich Daten weitergebe. Und diese sollte regelmäßig aktualisiert werden!
Sicherheitsmaßnahmen
Daten, die im Unternehmen genutzt werden müssen gesichert werden, z.B. vor Diebstahl, vor Mißbrauch und Fehlverhalten. Hier gibt es verschiedene Maßnahmen um Fehlerquellen systematisch zu minimieren.
Der Zugriff auf Daten sollte beschränkt sein. Stichwort Zugriffsmanagement. In größeren Unternehmen sollten Mitarbeiter nur Zugriff auf ihren Arbeitsbereich haben, welcher passwortgeschützt sein sollte.
Sicherheitsupdates und Firewall muss jedes Unternehmen standardmäßig berücksichtigen.
Eine Sicherheitsanalyse bzw. Einschätzung, im wirtschaftlich vertretbaren Rahmen, gehört ebenfalls zu den Vorkehrungen der Datenschutzgrundverordnung (DSGVO).
Obligatorisch sollte die Verschlüsselung des Datentransfers über die Website mit dem sicheren Hypertext-Übertragungsprotokoll HTTPS erfolgen.
Datenschutzerklärung
Die Datenschutzerklärung muss um einige Punkte ergänzt werden:
- Wer ist der Datenverantwortliche?
- Welche Daten werden erhoben?
- Speicherfristen nennen
- Wer ist Auftragsverabeiter? Welche Daten werden an diese weitergegeben?
- Alle Möglichkeiten der Auskunftspflicht/Auskunftsrecht zur Verfügung stellen (Mailadresse/Telefonnummer/Fax …)
- …
Weitere Informationen im Netz
https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
Mein Beitrag stellt keinen Anspruch auf Vollständigkeit. Wer auf Nummer sicher gehen möchte, sollte sich juristischen Beistand zur Erfüllung der DSGVO-Vorgaben einholen.