Virtuelle Assistenz & DSGVO

DSGVO – schon mal gehört?
Heute geht es um virtuelle Assistenz und die Datenschutzgrundverordnung der EU. Lass uns klären, warum die DSGVO für virtuelle Assistenten wichtig ist, wo der Unterschied zwischen Auftragsverarbeiter und Verantwortlichem liegt und natürlich auch, was eigentlich TOM und AVV ist?

Was ist die EU-DSGVO?

Ganz kurz gefasst regelt die DSGVO die Verarbeitung von persönlichen und personenbezogenen Daten durch Personen, Organisationen oder Unternehmen in der EU.
Wichtig dabei ist, dass die Regelung nicht gilt, wenn es sich um die personenbezogenen Daten von verstorbenen oder juristischen Personen handelt.

Die Regelung schützt außerdem nur diese Daten, die auch in einem Bezug zu einer wirtschaftlichen oder beruflichen Tätigkeit stehen. Wenn es sich also um personenbezogene Daten handelt, die du ausschließlich im persönlichen und familiären Umfeld nutzt, gilt die DSGVO der EU nicht.

Wo gilt die EU-DSGVO und wo nicht?

Ein kleines Beispiel, damit du besser verstehst, wo die DSGVO greift und wo nicht.
Wenn du ein eigenes kleines Notizbuch führst, in dem du die E-Mail-Adressen deiner Familienmitglieder aufgeschrieben hast und dieses benutzt, um die Einladung zu deiner Geburtstagsfeier zu versenden, greift die DSGVO nicht.

Wenn du jedoch selbständig bist und du und/ oder dein Kunde sind in der EU ansässig, unterliegst du der DSGVO. Dann müssen alle unternehmerischen Tätigkeiten der DSGVO entsprechen.

Was ist eine virtuelle Assistenz?

Virtuelle Assistenten übernehmen für Ihre Vorgesetzten verschiedene Aufgaben, die sich über das Internet erledigen lassen. Das könnte bedeuten, dass deine virtuelle Assistenz E-Mails für dich tippt, deinen Onlinekalender führt oder sogar ganze Projekte für dich übernimmt. Viele virtuellen Assistenten sind auch als digitale Nomaden unterwegs.

Somit sorgt eine virtuelle Assistenzkraft dafür, dass du dich in jeder Hinsicht auf deine Hauptaufgaben konzentrieren kannst und dennoch alles andere ebenfalls erledigt wird. Sozusagen dein virtuelles Backoffice. Über die Vor- und Nachteile haben wir bereits in einem anderen Blog gesprochen.

Warum ist die DSGVO auch für virtuelle Assistenten wichtig?

Je nachdem, welche Tätigkeit du deiner virtuellen Assistenz gibst (oder du ausführst, wenn du selbst als Assistent arbeitest), wird die DSGVO wichtig. Soll dein Assistent etwa Einladungen verschicken, E-Mails schreiben oder anderweitig mit personenbezogenen Daten deiner Kunden hantieren, greift die DSGVO.

Außerdem gilt ein virtueller Assistent sowohl als „Verantwortlicher“ als auch als „Auftragsverarbeiter“. Diese beiden Begriffe entstammen der DSGVO und sind enorm wichtig.

Wo liegt der Unterschied zwischen Auftragsverarbeiter und Verantwortlichem?

Im vorherigen Absatz schrieb ich, dass du sowohl als Auftragsverarbeiter als auch Verantwortlicher giltst, wenn du als virtueller Assistent arbeitest. Trotzdem gibt es bestimmte Unterschiede zwischen den beiden Positionen.

Als „Verantwortlicher“ gilt sowohl dein Kunde/Vorgesetzter als auch du. Dabei handelt es sich um eine Person, die personenbezogene Daten von Kunden in einem beruflichen oder wirtschaftlichen Tätigkeitsfeld verarbeitet. Etwa, wenn du eine Rechnung schreibst. Du verarbeitest die Daten also selbst.

Der „Auftragsverarbeiter“ ist die Person, die personenbezogene Daten von Kunden ihres Kunden verarbeitet. Dieser Fall tritt etwa ein, wenn du einen Support per E-Mail oder Telefon anbietest. Du verarbeitest die Daten also im Auftrag eines Kunden.

Was ist ein Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis wird im Normalfall mit „VV“ abgekürzt. Das VV muss als Verantwortlicher und auch als Auftragsverarbeiter geführt werden. Darin listest du alle Tätigkeiten auf, bei denen du die Daten der Kunden erfasst oder verarbeitest.

Welche Angaben gehören in ein Verarbeitungsverzeichnis?

Zum Glück kannst du direkt im Art. 30; Abs. 1 der DSGVO nachsehen, welche Angaben ins VV gehören.
Unbedingt ins VV müssen daher …

• Die Kontaktdaten und der Name deines Unternehmens
• (wenn vorhanden) die Angaben des Datenschutzbeauftragten
• der Zweck, der für die Verarbeitung der erfassten Daten vorgesehen ist
• Angaben darüber, wer (in diesem Falle die Kunden) betroffen ist
• Angaben darüber, was genau verarbeitet wurde (Bankdaten zum Beispiel)
• Welche Unternehmen sind außerdem beteiligt?
• Gab es Übermittlungen an Drittländer? Wenn ja, an welche?
• Wie lange werden die Daten gespeichert?

Was bedeutet TOM?

Unter der Abkürzung „TOM“ versteht man „Technische und organisatorische Maßnahmen“. Diese TOMs werden dir von dem Datenschutzgesetz vorgeschrieben.

Dazu gehören …

• Zutrittskontrollen; nur Befugte dürfen Zutritt zu den Anlagen der Datenverarbeitung haben.
• Zugangskontrollen; nur Befugte dürfen die Möglichkeit erhalten, die Anlagen zu nutzen.
• Zugriffskontrollen; die Daten müssen mit Zugriffsberechtigungen für einzelne Befugte versehen werden und dürfen im Nachhinein weder gelesen, kopiert, verändert noch entfernt werden.
• Weitergabekontrollen; die Weitergaben der Daten müssen geschützt und nachvollziehbar sein.
• Eingabekontrollen; es muss einsehbar sein, wer die Daten eingegeben und verändert hat.
• Auftragskontrollen; wenn Daten durch Dritte verarbeitet werden, muss ein Auftrag vom Auftraggeber vorliegen.
• Verfügbarkeitskontrollen; die Daten müssen vor Zerstörung und Verlust geschützt werden.
• Getrennte Verarbeitung; werden Daten erhoben, die zu unterschiedlichen Zwecken genutzt werden, müssen diese getrennt werden.

Was ist ein AVV?

Hinter dem „AVV“ verbirgt sich der „Auftragsverarbeitungsvertrag“. Diesen benötigst du als Auftragsverarbeiter, damit deine Kunden sehen und unterschrieben können, wie und wo ihre Daten verarbeitet werden.

Zusätzlich benötigst du eine Vertraulichkeitsvereinbarung. In dieser legst du fest, dass du dich dazu verpflichtest, die Vertraulichkeit der erhobenen Daten zu bewahren.

Ein AVV ist nicht ganz so einfach zu erstellen. Darum gibt es von verschiedenen Anbietern bereits Musterverträge, in denen du lediglich die Namen und Beschreibungen der Tätigkeiten deiner Kunden eintragen musst. Solltest du dennoch lieber selbst einen AVV schreiben, müssen bestimmte Angaben gemacht werden.

Was muss in einen AVV?

Kurz gesagt: die ganz grundlegenden Inhalte der Verarbeitung von personenbezogenen Daten. Dazu zählen, unter anderem …

• Art und Zweck der Verarbeitung
• Rechte der Auftragsgeber und -nehmer
• Pflichten der Auftragsgeber und -nehmer
• …

Ich rate dir dazu, eine Mustervorlage für einen AVV zu verwenden. So kannst du dir sicher sein, dass du rechtlich abgesichert bist und keine wichtigen Sätze oder Vereinbarungen fehlen.
Du kannst dir dazu die Muster von Bitkom, Lawlikes oder DataGuard ansehen.

Fazit

Als virtueller Assistent oder Auftraggeber musst du dich mit der DSGVO auseinandersetzen. Neben der Datenschutzverordnung benötigst du auch einige verschiedene Verträge, wie den AVV, und musst ein Verarbeitungsverzeichnis führen. Doch dies alles ist garnicht so kompliziert, wie sich das so einige vorstellen. Wenn man erst mal die Basics verstanden hat, lässt es sich recht leicht DSGVO-konform arbeiten.