In Zeiten von Corona neue Wege gehen
Social Distancing ist das Motto dieser Tage und wahrscheinlich auch der nächsten Wochen, wenn nicht sogar Monate. Covid-19 hat auch die Geschäftswelt fest in seiner Hand und was in den letzten Jahren nur schleppend vorangegangen ist, wird zwangsläufig nun beschleunigt: die Digitalisierung erfährt durch den aktuellen Corona-Lockdown einen nicht geahnten Schub in Deutschland.
Egal ob Videokonferenzen, Onlineberatungen oder Fernwartung, es gibt einiges zu beachten um den Datenschutz nach DS-GVO und (neuem) BDSG einzuhalten. Nachdem wir Ihnen bereits das Wichtigste zum Thema Homeoffice mit auf den Weg gegeben haben, möchte Datenschutzberater.NRW sich nun diesen Themen widmen.
Umstellung auf Onlineberatung – Chancen und Stolpersteine
Viele Unternehmen, vor allem aus Einzelhandel, dem Sport- oder Bildungssektor, mussten Ihre Geschäfte in Folge der Pandemie vorübergehend schließen. Das bedeutet für alle Betroffenen einen riesigen Einbruch im Umsatz, was sicher nicht jeder auffangen kann. Nun heißt es auch im Dienstleistungssektor neue Wege zu gehen und dabei werden viele Unternehmer jetzt kreativ. Neben dem klassischen Lieferservice, nutzen gerade Dienstleister jetzt immer öfter auch die Möglichkeit Ihre Leistungen online anzubieten.
Diese Geschäftsmodelle der Zukunft bieten für viele Anbieter derzeit neue Nischen, die zum Überleben auf dem Markt elementar werden können. Meetings werden virtuell durchgeführt, Tanzschulen bieten Ihren Unterricht online an und das Fitnesstraining wird über eine App ins eigene Wohnzimmer verlegt, Schulungen, theoretischer Unterricht von Fahrschulen finden am heimischen Schreibtisch statt – um nur einige wenige Beispiele zu nennen.
Aber auch hier sollte sich jede Firma vorab genau damit auseinandersetzen, welche Vereinbarungen es zu treffen gilt. Unter Umständen müssen die Verträge angepasst und der Datenschutz nach Datenschutzgrundverordnung und Bundesdatenschutzgesetz angeglichen werden. Wer jetzt von der persönlichen Betreuung auf die Onlineberatung umstellt, der sollte prüfen, ob die vertragliche Grundlage dazu dann noch vorhanden ist. Gibt es einen Beratervertrag, in dem definiert ist, dass die Beratung vor Ort stattfindet, dann ist eine Online- oder Videoberatung keine vertragliche Grundlage. Eine neue Einwilligung kann also notwendig werden, ggf. muss der Vertrag in Bezug auf den Leistungsort geändert werden.
Fernwartung, Videokonferenzen und andere neue Portale
Bieten Sie Ihre Dienstleistungen jetzt über diverse Onlineportale an, dann müssen sie bei der Wahl der entsprechenden Anbieter darauf achten, welche Daten hier in welcher Form verarbeitet werden. Schon beim Anmelden auf einer solchen Plattform, oder für Ihre Dienstleistung in Form von Zugängen auf Ihrer Homepage, über den Newsletter oder in irgendeiner anderen Form, erheben Sie von Ihren Kunden personenbezogene Daten. Dazu zählt schon die IP-Adresse, die zur Verwendung von Cookies genutzt wird (worauf Sie bei der Verwendung von Cookies achten müssen, haben wir für Sie in einem Blog-Beitrag zusammengefasst).
Wenn sich Ihre Kunden, Mitglieder oder Mitarbeiter für eine Videokonferenz anmelden oder für ein Onlineangebot registrieren, werden personenbezogene Daten verarbeitet. Diese Verarbeitung unterliegt dann den Regeln der Datenschutzgrundverordnung (DS-GVO) und dem neuen Bundesdatenschutzgesetz (BDSG). Wenn Sie einen Dienstleister für Ihre Onlineangebote nutzen, dann benötigen Sie einen Vertrag über die Datenverarbeitung durch einen Dienstleister (ADV-Vertrag) – es handelt sich hierbei um eine Auftragsdatenverarbeitung. Prüfen Sie bestehende Verträge auch darauf, ob Sie für die neue Situation geeignet sind oder ggf. ergänzt werden müssen.
Wenn Sie online Meetings, Videokonferenzen oder auch Videocoachings durchführen sollten Sie grundlegende Vorkehrungen treffen. Achten Sie darauf die IT-Sicherheit zu gewährleisten. Bei der Arbeit über das Internet sind Ihre Daten und die Ihrer Kunden besonderen Gefahren ausgesetzt (Identitätsfälschung, Lauschangriff, Phishing, Malware).
Besonderheit im Datenschutz: Videoangebote
Wenn Sie neben den klassischen Online- und Telefonangeboten auch Video-Telefonie oder ähnliches nutzen wollen, dann sollten Sie sich vorab mit den Besonderheiten im Datenschutz auseinandersetzen, die bei der Entstehung von Bildaufnahmen einzuhalten sind. Bilder oder Bildsequenzen, auf denen eine Person zu erkennen ist, sind personenbezogene Daten. Egal ob Sie mit Kunden oder Mitarbeitern kommunizieren, benötigen Sie für deren Verarbeitung eine Einwilligung des Betroffenen. Prüfen Sie auch, wie die Bilder vom Dienstleister verarbeitet werden und ob bzw. wie lange diese gespeichert werden.
Der Datenschutz bei Bildaufnahmen oder der Verarbeitung der Daten sollte extrem genau eingehalten werden.
Wir haben Ihnen für die Nutzung von Videokonferenzen oder -Chats eine kurze Checkliste zusammengestellt, mit Tipps, worauf Sie im Datenschutz aber auch bei der IT-Sicherheit zusätzlich achten sollten:
- Ergänzen Sie ggf. die eigene Datenschutzerklärung und prüfen Sie die des Anbieters für Ihre Online-Lösung
- Aktualisieren Sie Browser und Plug-ins und prüfen diese auf ausreichende Sicherheit
- Achten Sie auf sichere Kennwörter (auch bei den Teilnehmern)
- Stellen Sie sicher, wie Sie überprüfen können, wer an dem Meeting teilnimmt
- Achten Sie auf die nötige Sicherheit bei Webcam und Mikrofoneinsatz
- Stellen Sie Sprachassistenten in einem anderen Raum auf und stellen Sie Mikrofon und Webcam nach Gebrauch wieder aus
- Geben Sie Ordner zur Arbeit nur nach Absprache frei
- Achten Sie darauf, dass keine Daten während der Videokonferenz an Ihrem Arbeitsplatz sichtbar sind
- Prüfen und dokumentieren oder ergänzen Sie nach DSGVO:
- ADV-Verträge mit Anbietern
- Einverständniserklärung der Betroffenen
- Vertragliche Grundlagen
- Technisch-organisatorische Maßnahmen (TOMs)
- Speicherung und Löschung der Daten (Löschkonzepte und Aufbewahrungspflichten)
- Verzeichnis der Verarbeitungstätigkeiten (VVT)
- Informations- und Nachweispflichten des Verantwortlicher, sowie Betroffenenrechte
- Datenschutzerklärung
- Datenschutzfolgenabschätzung / Schwellwertanalyse
- Mitarbeiterschulungen zum Datenschutz
Die Vorgaben im Datenschutz und der IT-Sicherheit gelten auch bei der analogen Datenverarbeitung. Also auch, wenn Sie per Brief oder über das Telefon mit Ihren Kunden und Mandanten kommunizieren, müssen Sie die Vorgaben der EU-DSGVO einhalten und Ihre Dokumentationen anpassen.
Zur Sicherheit – Datenschutzbeauftragten hinzuziehen
Gerade jetzt, wo schnell neue Möglichkeiten umgesetzt werden müssen, um auf dem Markt trotz geschlossener Geschäftsräume zu bestehen, müssen viele Unternehmen, aber auch Vereine, Praxen, Agenturen und Kanzleien schnell ein neues Konzept erarbeiten, um mit den Kunden in Kontakt bleiben zu können. Schnell und praxisnah heißt dabei die Devise, Datenschutz und IT-Sicherheit sollten darunter nicht leiden. Auch wenn in dieser Notsituation sicher erst einmal das Handeln wichtiger ist, sollten mögliche Konsequenzen aus Fehlern für die Zukunft nicht unterschätzt werden.
Es macht daher Sinn, wenn Sie sich bei der Einführung neuer Konzepte und Tools auch immer mit Ihrem internen oder externen Datenschutzbeauftragten in Verbindung setzen. Dieser sollte in jedem Fall die aktuelle Lage und das nötige Datenschutzkonzept einfließen lassen und beurteilen.
Gerade bei diesen ad-hoc-Lösungen bietet sich die Beratung durch einen Datenschutzberater an, da dieser Ihnen schnell und vom Unternehmensbetrieb unabhängige Beurteilungen zur Durchführung Ihres Projektes liefern kann. Er kann seine Leistungen punktuell und auf die Situation bezogen einfließen lassen.
Das Team von Datenschutzberater.NRW hilft Ihnen gerne schnell und unkompliziert, aber trotzdem DS-GVO-konform bei der Umsetzung neuer Aufgaben. Durch unsere Mitarbeiter aus dem Bereich Datenschutz, IT und Buchhaltung, können wir Ihnen ein umfassendes und praxisorientiertes Paket für Ihren Datenschutz schnüren.
Wir unterstützen Unternehmen im Raum Köln, Bonn, Düsseldorf und ganz NRW durch die Durchführung von Datenschutz-Erstberatungen, Datenschutz-Audits, IT-Audits, Beratung im Bereich IT-Sicherheit oder Datenschutz und die GoBD-Beratung. Außerdem stellen wir einen externen Datenschutzbeauftragten (TÜV) und bieten ganzjährliche Betreuung im Bereich Datenschutz an. Gerne können Sie uns auch projektbezogen hinzuziehen.
Sie erreichen uns über FREECALL, unser Kontaktformular oder direkt per Mail.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.