CRM, Buchhaltung, Kundenkartei und Cloud-Dienste

Kommen wir jetzt zu den Tools, die du für deine internen Business Prozesse nutzt. Auch hier gilt: wo, wofür und wie lange werden diese Daten aufbewahrt:

  • Nutzt du eine Buchhaltungs-Software, in der die Rechnungs-Adresse deiner Kunden hinterlegt sind?
  • Oder eine Kundenkartei, in der deine Kundendaten erfasst (egal, ob elektronisch oder als Karteikasten-Box) sind?
  • Ich selber nutze ein CRM, um meine Kontakte zu verwalten.
  • Sicherst du Backups deiner Daten in der Cloud?

Hier gibt es unglaublich viele Tools, wie zum Beispiel:

  • Google Drive
  • WeTransfer
  • Trello
  • Dropbox
  • Bitrix
  • Hubspot
  • Zoho
  • Salesforce
  • Fastbill

Dann musst du mit den jeweiligen Anbietern einen AV-Vertrag abschließen. Es gibt ja immer noch Menschen, die ihre Rechnungen mit Word oder Excel schreiben. Das ist seit 2017 schon nicht mehr rechtskonform!

Das Stichwort ist GoBD, mehr dazu findest du hier bei Lexware oder hier. Also ist das jetzt doch der beste Zeitpunkt, schnell zu wechseln. Zum Beispiel zu Papierkram, einem deutschen Anbieter für Angebote, Rechnungen, Zeiterfassung und mehr, der auch eine kostenlose Version bietet.

Sind dein Laptop, Computer, USB-Stick verschlüsselt?

Datensicherheit fängt bei dir im (Home-) Office an, bei deinen Speichermedien. Diese müssen nun verschlüsselt werden laut DSGVO. Manchmal geht das mit “hausinternen” Mitteln wie bei Mac oder Windows 10 Pro. Ansonsten gibt es eine Vielzahl an Verschlüsselungssoftware, zum Beispiel:

Weitere Informationen findest du hier in dem Artikel von Datenschutz Praxis.

Keine Regel ohne Ausnahme

Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines (Zitat)

  • Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstituts für den Geldtransfer
  • Postdienstes für den Brieftransport
  • und vieles mehr.
Quelle: Auszug aus dem Kurzpapier Nummer 13 der unabhängigen Datenschutzbehörden des
Bundes und der Länder (Datenschutzkonferenz – DSK) mit dem Titel „Auftragsverarbeitung“, Anhang B.

Wer kann wen verklagen und abmahnen?

Landesdatenschutzbehörden sind damit beauftragt, Datenschutzverstößen nachzugehen und gegebenenfalls einzuschreiten. Jedoch hat Deutschland hat im Februar 2016 ein eigenes Verbandsklagerecht in Datenschutzsachen eingeführt (als einziges Land der EU). Das heißt: Auch Verbände, zum Beispiele Verbraucherschutzverbände, dürfen Unternehmen wegen Datenschutzverletzungen abmahnen und verklagen.

Natürlich hat jeder das Recht, über seine personenbezogenen Daten und deren Verwendung selbst zu bestimmen. Wenn er sich in diesem informationellen Selbstbestimmungsrecht verletzt fühlt, hat er das Recht das betreffende Unternehmen abzumahnen. Das ist jedoch auch im jetzigen Bundesdatenschutzgesetz der Fall.

Verzeichnis der Verarbeitungstätigkeiten

Dieses Verzeichnis muss geführt werden und muss auf Verlangen der Datenschutzbehörde vorlegt werden. Es gibt Musterbeispiele die aufführen, was dort hineingehört. So ein Muster nimmst du dir am besten und generierst daraus dein eigenes Verzeichnis.

Derartige Vorlagen gibt es vielfach, zum Beispiel:

  • https://www.datenschutz-guru.de/verzeichnis-von-verarbeitungstaetigkeiten/
  • https://www.lda.bayern.de/de/kleine-unternehmen.html
  • https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html

Das kann in einer Excel-Liste sein, in der du dokumentierst, welche Daten mit welchem System warum erfasst und wie lange diese Daten gespeichert werden.

Dokumentation der technischen und organisatorischen Maßnahmen (TOMs)

Hier geht es darum, wie die Daten der Betroffenen (zum Beispiel deiner Kunden, Lieferanten, Mitarbeiter) geschützt und abgesichert sind. Diese Dokumentation muss belegen, dass du angemessene Maßnahmen zum Schutz der Daten, die du verarbeitest, getroffen hast. Je sensibler die Daten (Gesundheitsbranche), desto höher sollten die Sicherheitsmaßnahmen sein.

Ein Muster zur Dokumentation findest du hier als pdf-Datei. Eine Hilfe zur Dokumentation findest du hier.

Du magst das lieber zusammen mit anderen umsetzen?

Dann komm vorbei zum virtuellen Coworking – einfach kurz eine Mail an info@letsgetitstraight.de und mehr erfahren!

Newsletter

Newsletter

Mein kostenloser Infoletter bringt dir jeden Monat digitale Neuigkeiten, kostenlose Tools oder Inhalte aus meiner Online-Welt. Newsletter Beispiele und Datenschutz findest du hier.

Danke für deine Anmeldung!

Pin It on Pinterest

Share This