Die Einwilligungserklärung des Kunden liegt vor, die Daten sind erhoben, doch was passiert nun mit diesen? Die DSGVO schreibt die Sicherheit der Verarbeitung vor, das bedeutet du bist dafür verantwortlich, dass die Daten deiner Kunden sicher abgelegt und gesetzeskonform dokumentiert sind, so dass kein Dritter darauf Zugriff hat. Je sensibler die Daten sind, umso größer muss die Sorgfaltplficht sein. Daher bist du verpflichtet, technische und organisatorische Maßnahmen (TOM) zu treffen, die diesen Schutz der Daten gewährleisten. Eine gute TOM-Vorlage, mit der du deine Sicherheitsschritte checken kannst, hat der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. erstellt, die du hier einsehen kannst.
Das ist wichtig
Zu TOM gehören die Pseudonymisierung der Daten, zum Beispiel die E-Mail-Adresse durch eine Kundennummer ersetzen; Verschlüsselung der Daten durch z.B. Passwörter, um keinen unbefugten Zugriff zu ermöglichen; Gewährleistung der Vertraulichkeit – wie gewährleistest du, dass nur Berechtigte Zugang zu den Daten haben?; Gewährleistung der Integrität, bedeutet, sicherzustellen, dass die Daten richtig sind; Gewährleistung der Verfügbarkeit, heißt, was passiert mit den Daten bei Stromausfall?; Gewährleistung der Belastbarkeit der Systeme, bedeutet, regelmäßig die eigenen System auf mögliche ungeschützte Stellen kontrollieren; Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall – also, wie stellst du die Daten wieder her?; Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen – wie überprüfst du deine Maßnahmen zur Datensicherheit?; Schriftliche Dokumentation von sonstigen Maßnahmen: Sind Mitarbeiter über die Datenschutzanweisungen informiert und gibt es eine IT-Sicherheitszertifizierung?
Auftragdatenverarbeitung – was ist zu beachten
Auftragsdatenverabeiter sind Personen, mit denen du zusammenarbeitest und die dadurch Zugriff auf die Daten deiner Kunden erhalten, zum Beispiel der Steuerberater, aber auch Google Analytics. Diese müssen dir gegenüber vorweisen, dass sie ebenfalls TOM durchführen. Lass dir das auf jeden Fall bestätigen und aushändigen. Du bist im Schadenfall verantwortlich, wenn deine Auftragsdatenverarbeiter nicht ordnungsgemäß mit deinen Kundendaten umgehen.
Noch Fragen zu diesem Thema? Dann schreib uns und wir recherchieren gerne für dich weiter.
Recent Comments