Virtuelle Assistenz & DSGVO • Katja Gersdorf

Virtuelle Assistenz & DSGVO

Inhaltsverzeichnis

DSGVO – schon mal gehört?
Heute geht es um virtuelle Assistenz und die Datenschutzgrundverordnung der EU. Lass uns klären, warum die DSGVO für virtuelle Assistenten wichtig ist, wo der Unterschied zwischen Auftragsverarbeiter und Verantwortlichem liegt und natürlich auch, was eigentlich TOM und AVV ist?

Was ist die EU-DSGVO?

Ganz kurz gefasst regelt die DSGVO die Verarbeitung von persönlichen und personenbezogenen Daten durch Personen, Organisationen oder Unternehmen in der EU.
Wichtig dabei ist, dass die Regelung nicht gilt, wenn es sich um die personenbezogenen Daten von verstorbenen oder juristischen Personen handelt.

Die Regelung schützt außerdem nur diese Daten, die auch in einem Bezug zu einer wirtschaftlichen oder beruflichen Tätigkeit stehen. Wenn es sich also um personenbezogene Daten handelt, die du ausschließlich im persönlichen und familiären Umfeld nutzt, gilt die DSGVO der EU nicht.

Wo gilt die EU-DSGVO und wo nicht?

Ein kleines Beispiel, damit du besser verstehst, wo die DSGVO greift und wo nicht.
Wenn du ein eigenes kleines Notizbuch führst, in dem du die E-Mail-Adressen deiner Familienmitglieder aufgeschrieben hast und dieses benutzt, um die Einladung zu deiner Geburtstagsfeier zu versenden, greift die DSGVO nicht.

Wenn du jedoch selbständig bist und du und/ oder dein Kunde sind in der EU ansässig, unterliegst du der DSGVO. Dann müssen alle unternehmerischen Tätigkeiten der DSGVO entsprechen.

Was ist eine virtuelle Assistenz?

Virtuelle Assistenten übernehmen für Ihre Vorgesetzten verschiedene Aufgaben, die sich über das Internet erledigen lassen. Das könnte bedeuten, dass deine virtuelle Assistenz E-Mails für dich tippt, deinen Onlinekalender führt oder sogar ganze Projekte für dich übernimmt. Viele virtuellen Assistenten sind auch als digitale Nomaden unterwegs.

Somit sorgt eine virtuelle Assistenzkraft dafür, dass du dich in jeder Hinsicht auf deine Hauptaufgaben konzentrieren kannst und dennoch alles andere ebenfalls erledigt wird. Sozusagen dein virtuelles Backoffice. Über die Vor- und Nachteile haben wir bereits in einem anderen Blog gesprochen.

Warum ist die DSGVO auch für virtuelle Assistenten wichtig?

Je nachdem, welche Tätigkeit du deiner virtuellen Assistenz gibst (oder du ausführst, wenn du selbst als Assistent arbeitest), wird die DSGVO wichtig. Soll dein Assistent etwa Einladungen verschicken, E-Mails schreiben oder anderweitig mit personenbezogenen Daten deiner Kunden hantieren, greift die DSGVO.

Außerdem gilt ein virtueller Assistent sowohl als „Verantwortlicher“ als auch als „Auftragsverarbeiter“. Diese beiden Begriffe entstammen der DSGVO und sind enorm wichtig.

Wo liegt der Unterschied zwischen Auftragsverarbeiter und Verantwortlichem?

Im vorherigen Absatz schrieb ich, dass du sowohl als Auftragsverarbeiter als auch Verantwortlicher giltst, wenn du als virtueller Assistent arbeitest. Trotzdem gibt es bestimmte Unterschiede zwischen den beiden Positionen.

Als „Verantwortlicher“ gilt sowohl dein Kunde/Vorgesetzter als auch du. Dabei handelt es sich um eine Person, die personenbezogene Daten von Kunden in einem beruflichen oder wirtschaftlichen Tätigkeitsfeld verarbeitet. Etwa, wenn du eine Rechnung schreibst. Du verarbeitest die Daten also selbst.

Der „Auftragsverarbeiter“ ist die Person, die personenbezogene Daten von Kunden ihres Kunden verarbeitet. Dieser Fall tritt etwa ein, wenn du einen Support per E-Mail oder Telefon anbietest. Du verarbeitest die Daten also im Auftrag eines Kunden.

Was ist ein Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis wird im Normalfall mit „VV“ abgekürzt. Das VV muss als Verantwortlicher und auch als Auftragsverarbeiter geführt werden. Darin listest du alle Tätigkeiten auf, bei denen du die Daten der Kunden erfasst oder verarbeitest.

Welche Angaben gehören in ein Verarbeitungsverzeichnis?

Zum Glück kannst du direkt im Art. 30; Abs. 1 der DSGVO nachsehen, welche Angaben ins VV gehören.
Unbedingt ins VV müssen daher …

  • Die Kontaktdaten und der Name deines Unternehmens
  • (wenn vorhanden) die Angaben des Datenschutzbeauftragten
  • der Zweck, der für die Verarbeitung der erfassten Daten vorgesehen ist
  • Angaben darüber, wer (in diesem Falle die Kunden) betroffen ist
  • Angaben darüber, was genau verarbeitet wurde (Bankdaten zum Beispiel)
  • Welche Unternehmen sind außerdem beteiligt?
  • Gab es Übermittlungen an Drittländer? Wenn ja, an welche?
  • Wie lange werden die Daten gespeichert?

Was bedeutet TOM?

Unter der Abkürzung „TOM“ versteht man „Technische und organisatorische Maßnahmen“. Diese TOMs werden dir von dem Datenschutzgesetz vorgeschrieben.

Dazu gehören …

  • Zutrittskontrollen; nur Befugte dürfen Zutritt zu den Anlagen der Datenverarbeitung haben.
  • Zugangskontrollen; nur Befugte dürfen die Möglichkeit erhalten, die Anlagen zu nutzen.
  • Zugriffskontrollen; die Daten müssen mit Zugriffsberechtigungen für einzelne Befugte versehen werden und dürfen im Nachhinein weder gelesen, kopiert, verändert noch entfernt werden.
  • Weitergabekontrollen; die Weitergaben der Daten müssen geschützt und nachvollziehbar sein.
  • Eingabekontrollen; es muss einsehbar sein, wer die Daten eingegeben und verändert hat.
  • Auftragskontrollen; wenn Daten durch Dritte verarbeitet werden, muss ein Auftrag vom Auftraggeber vorliegen.
  • Verfügbarkeitskontrollen; die Daten müssen vor Zerstörung und Verlust geschützt werden.
  • Getrennte Verarbeitung; werden Daten erhoben, die zu unterschiedlichen Zwecken genutzt werden, müssen diese getrennt werden.

Was ist ein AVV?

Hinter dem „AVV“ verbirgt sich der „Auftragsverarbeitungsvertrag“. Diesen benötigst du als Auftragsverarbeiter, damit deine Kunden sehen und unterschrieben können, wie und wo ihre Daten verarbeitet werden.

Zusätzlich benötigst du eine Vertraulichkeitsvereinbarung. In dieser legst du fest, dass du dich dazu verpflichtest, die Vertraulichkeit der erhobenen Daten zu bewahren.

Ein AVV ist nicht ganz so einfach zu erstellen. Darum gibt es von verschiedenen Anbietern bereits Musterverträge, in denen du lediglich die Namen und Beschreibungen der Tätigkeiten deiner Kunden eintragen musst. Solltest du dennoch lieber selbst einen AVV schreiben, müssen bestimmte Angaben gemacht werden.

Was muss in einen AVV?

Kurz gesagt: die ganz grundlegenden Inhalte der Verarbeitung von personenbezogenen Daten. Dazu zählen, unter anderem …

  • Art und Zweck der Verarbeitung
  • Rechte der Auftragsgeber und -nehmer
  • Pflichten der Auftragsgeber und -nehmer

Ich rate dir dazu, eine Mustervorlage für einen AVV zu verwenden. So kannst du dir sicher sein, dass du rechtlich abgesichert bist und keine wichtigen Sätze oder Vereinbarungen fehlen.
Du kannst dir dazu die Muster von Bitkom, Lawlikes oder DataGuard ansehen.

Fazit

Als virtueller Assistent oder Auftraggeber musst du dich mit der DSGVO auseinandersetzen. Neben der Datenschutzverordnung benötigst du auch einige verschiedene Verträge, wie den AVV, und musst ein Verarbeitungsverzeichnis führen. Doch dies alles ist garnicht so kompliziert, wie sich das so einige vorstellen. Wenn man erst mal die Basics verstanden hat, lässt es sich recht leicht DSGVO-konform arbeiten.

Wenn du selbst als virtuelle Assistenz durchstarten möchtest, aber noch Startschwierigkeiten hast, dann melde dich bei mir. Ich habe bereits mehrere VAs in die Selbstständigkeit begleitet und ihnen im 1:1 Coaching gezeigt, wie sie schnell ausgebucht sind.

Newsletter

Werde ein Teil der Community und trage Dich zum kostenfreien Newsletter ein. Du erhältst alle Neuigkeiten hinsichtlich SEO und SEA und profitierst von wertvollen Insider-Tipps.

Name(erforderlich)
Katja Gersdorf Newsletter

Weitere interessante Artikel

Rich Snippet
1x1 des Marketings

Rich Snippet: Wie du sie richtig verwendest

Rich Snippets sind eine Strategie zur Optimierung von Suchergebnissen (SEO), um die Sichtbarkeit deiner Website in den Google-Suchergebnissen zu verbessern. Das Hinzufügen dieser Snippets zu

Ads: negative und auszuschließende Keywords
1x1 des Marketings

Google Ads: negative und auszuschließende Keywords

Keywords, die du in Google eintippst, sorgen dafür, dass dir das gewünschte Ergebnis angezeigt wird. Das funktioniert aber auch andersherum – mit sogenannten negativen Keywords.

Qualitätsfaktor Google Ads
1x1 des Marketings

Qualitätsfaktor bei Google Ads

Das Internet ist mittlerweile ein wichtiger Bestandteil im täglichen Leben geworden. Das gilt sowohl für Privatleute als auch für kleine, mittelständische und große Unternehmen ebenso

Kontakt aufnehmen

Katja Gersdorf Kontakt Erstgespräch

info@katja-gersdorf.de

+49 174 710 90 22

Impressum

Angaben gemäß § 5 TMG

Das Impressum gilt auch für die Social Media Profile auf Facebook, Instagram, Linkedin und Pinterest

Gersdorf Consulting DOO
Vasil Glavinov 7b
1000 Skopje
North Macedonia

Steuernummer: 4080022604560

Kontakt

Telefon: +49 174 710 90 22
E-Mail: info@katja-gersdorf.de

Redaktionell verantwortlich

Gersdorf Consulting DOO
Vasil Glavinov 7b
1000 Skopje
North Macedonia

EU-Streitschlichtung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr/.
Unsere E-Mail-Adresse finden Sie oben im Impressum.

Verbraucher­streit­beilegung/Universal­schlichtungs­stelle

Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

eRecht24 Impressum