Der Grundgedanke hinter der DSGVO ist Datensicherheit – für Nutzer*innen, aber auch für Unternehmen. Doch wie schützt Du die Daten Deiner Kund*innen? Und was ist mit Deinen Eigenen?
Grundsätzlich liegen Daten immer besser in der eigenen Infrastruktur. Also alles, was auf Deinen Servern oder auf Deinem Rechner liegt, beispielsweise auf der Festplatte Deines Laptops oder auf einer externen Festplatte im Regal. Bei Servern ist die entscheidende Frage, ob Du sie selbst betreibst. Wenn nicht, musst Du mit dem Unternehmen, das die Server unterhält, einen sogenannten Auftragsverarbeitungsvertrag (kurz AV-Vertrag) abschließen. Dazu kommen wir später noch mal.
Was sind persönliche Daten?
Einfach gesagt sind das alle Daten, die Nutzer*innen identifiziert oder mit denen Du selbst identifiziert werden kannst. Denn schließlich verraten sie etwas über Dich: Wie alt bist Du? Wählst Du grün oder CDU? Wie viel Geld liegt auf Deinem Konto?
Dazu gehören aber auch solche Informationen, die es erlauben, ein Bewegungsprofil zu erstellen. Wann Du aufstehst, lässt sich beispielsweise darüber erfassen, wann Du den Strom anstellst, um welche Uhrzeit Du Deine Mails checkst oder bei Facebook reinschaust. Fährst Du mit der Bahn oder läufst Du? Kaufst Du ein Handyticket, triffst Du Dich mit jemanden auf dem Weg zur Arbeit und schickst ihr Deinen Standort, damit sie weiß, wann Du am Kaffeestand bist? Solche Daten zeigen, was Du für eine Person bist und lassen sich dafür benutzen, um Dir – im profansten Beispiel – eine Werbeanzeige im Newsfeed zu platzieren. Sie können aber auch dabei helfen vorauszusagen, wie Du bei der nächsten Wahl abstimmst.
Daneben gibt es auch sogenannte pseudo-anonymisierte Daten. Bei diesen kann Dich zwar niemand auf den ersten Blick direkt identifizieren, aber trotzdem sind Rückschlüsse möglich. Nehmen wir einen klassischen Termin. Wann triffst Du Dich mit Person XY? Und wo? Wie viel Zeit brauchst Du, um dort hinzugelangen? Die Uhrzeit sagt aus, ob die Person in einem Beruf arbeitet, die im Home Office erledigt werden kann, oder ob sie beispielsweise in einer Arztpraxis angestellt ist. Im Grunde sind es also Informationen, die man nicht mit einer Person in Verbindung bringen kann, aber der Kontext (die sog. Metadaten) macht es möglich. Alle diese Informationen sind schützenswert und deshalb musst Du als Unternehmer*in dafür Sorge tragen.
persönliche Daten* | pseudo-anonymisierte Daten* |
|---|---|
Geburtsdatum | Kundennummer |
Name | IP-Adresse |
Kontaktdaten | Geburtsjahr |
Bankverbindung | Kfz-Kennzeichen |
Gesundheitsdaten (sehr sensibel!) | |
Parteizugehörigkeit (sehr sensibel!) |
* keine abschließende Aufzählung
Also, wie gehe ich korrekt mit den Daten meiner Kund*innen um?
Zum einen musst Du Dir überlegen, welche Informationen wo abgelegt werden. Wenn Du zum Beispiel Deine Aufgaben mit der Plattform Trello organisierst, dann brauchst Du den oben erwähnten AV-Vertrag. Dieser Vertrag regelt, wie Trello mit Deinen Informationen umgeht, und für welche Anliegen der Anbieter diese gegebenenfalls benutzen kann. Diese Verträge müssen auch Google, Facebook, Amazon oder Dropbox anbieten. Manche bieten diese Vereinbarung auch bei kostenfreien Tarifen an, andere wiederum nur bei kostenpflichtigen Angeboten.
Beispiel Google: Du organisierst Deine Termine mit dem Google Kalender und hast nur einen freien Account? Dann sieht Dich Google als Privatnutzer*in an. Und damit muss Google keinen AV-Vertrag anbieten. Schließlich hast Du bei der Registrierung angegeben, dass Du mit der Nutzung Deiner Daten einverstanden bist, aber was ist mir den Informationen Deiner Kund*innen? Hier gibt es nur zwei Alternativen: Entweder bezahlen oder umorientieren.
Ein Vertrag ist ein Vertrag, ist ein Vertrag
(aber nur zwischen Ferengi)
Doch was ist mit Deinen Kundendaten? Deine Kund*innen wollen sicher auch wissen, wie Du ihre Daten verarbeitest. Also musst Du mit deinen Kund*innen selbst einen AV-Vertrag abschließen. Dort erklärst Du, welche Daten von Dir erhoben und verarbeitet werden. Auch das „Wieso?“ gehört hier dazu. Denn die Zweckmäßigkeit ist ein weiteres wichtiges Kriterium. Du darfst nur die Daten speichern, die Du auch brauchst. Es ist zwar schön zu wissen, wie viele Kinder Dein Gegenüber hat, aber diese Information ist (in der Regel) nicht zwingend erforderlich für den Kundenkontakt.
Da die meisten, die ich kenne, nicht fließend „Jura“ sprechen braucht es bei solchen Themen Unterstützung. Aber auch hier ist es eine Frage des Geldes. Es gibt kostenfreie Angebote, Standardverträge gegen Geld oder Du lässt Dir einen Vertrag von einer/m fachkundigen Anwältin/Anwalt erstellen. Die kostenfreien Vereinbarungen und auch die kostenpflichtigen Standardvertragswerke decken nur die Standardfälle ab. Ein gewisses Restrisiko bleibt also weiterhin bei Dir. Das Internet bietet dennoch diverse Angebote an. Es lohnt sich also, selbst einmal zu schauen, was zu Deinen Bedürfnissen passt, um die größten Risiken auszuräumen.
Zum Vertragswerk
Grundsätzlich wird im ersten Teil des Vertrags abgeklärt, welche Daten verarbeitet werden. Handelt es sich um Vertragsdaten oder Zahlungsdaten? Geht es vielleicht um Bewerberdaten? Diese Fragen müssen hier beantwortet werden.
Im zweiten Teil geht es um die technisch/organisatorischen Maßnahmen, wie
- physische Zutrittsbarrieren (im oder am Gebäude),
- systemseitige Barrieren (Firewall, Virenscanner, Authentifizierung, Passwortmanager),
- Datenweitergabe (An wen, warum, werden welche Daten weitergegeben),
- Eingabekontrolle (Dokumentation der jeweiligen Eingabe von Daten),
- Verfügbarkeit der Daten (wie werden Daten für die Bearbeitung zur Verfügung gestellt),
- Zweckbindung (wofür werden die Daten genutzt),
- Wie werden die Dateien zugeordnet – und der letzte Punkt
- Welche Unternehmen/Dienste werden beauftragt, um Aufgaben zu übernehmen?
Natürlich sind diese Vereinbarungen auch ein „Offenbarungseid“ gegenüber der eigenen Kundschaft, allerdings kannst Du immer noch überlegen, was Du gegebenenfalls sein lassen solltest. Keine Alternative ist jedoch, bestimmte Verarbeitungs- oder Speicherformen einfach nicht zu erwähnen. Schließlich geht es immer auch um Vertrauen und das solltest Du nicht leichtfertig verspielen.
tl;dr
Ich fasse zusammen: Informationen fallen immer wieder an. Die Frage ist, wie Du damit umgehst. Welche Dienste sind notwendig und wie regelst Du den Umgang der Infos, die Du von Deinen Klient*innen bekommst? Du musst das Rad nicht neu erfinden, nur die richtigen „Reifen“ sind wichtig. Wie immer gilt auch hier: Um Rat zu fragen, ist keine Schande. Das Einzige, was auf jeden Fall falsch wäre, wäre es den Kopf in den Sand zu stecken.