Mittlerweile kommt niemand mehr am Thema Datenschutz vorbei. Egal ob innerhalb eines Unternehmens, bei der Zusammenarbeit mit Lieferanten oder aber auch beim Auslagern von Tätigkeiten an eine virtuelle Assistenz (VA). Bei einer Vielzahl von Aufgaben, so banal sie zunächst auch erscheinen mögen, sind datenschutzrechtliche Dinge zu beachten.
Ob beim Versand von Newslettern, der Pflege der Kundendaten oder dem Nachfassen von offenen Angeboten – fast immer sind personenbezogene Daten im Spiel. Und da die Zusammenarbeit mit einer VA nur virtuell erfolgt, musst du ihr unweigerlich die nötigen Unterlagen, Zugangsdaten und Zugriffsrechte für die unterschiedlichen Tätigkeiten zur Verfügung stellen.
Doch wie kann die Zusammenarbeit mit einer VA trotzdem funktionieren, ohne dass eine Verletzung des Datenschutzes vorliegt? Dafür sollte zunächst einmal ganz allgemein das Thema Datenschutzgrundverordnung erklärt werden.
Was ist die Datenschutzgrundverordnung und wen betrifft sie?
Die Datenschutzgrundverordnung (DSGVO) ist eine europaweite Verordnung der Europäischen Union, welche die Verarbeitung personenbezogener und vertraulicher Daten regelt. Von dieser betroffen ist sowohl der private als auch der öffentliche Sektor. Mit dieser Regelung, die am 25. Mai 2018 eingeführt wurde, sollen zum einen die personenbezogenen Daten innerhalb des Datenverkehrs der EU besser geschützt werden. Zum anderen soll damit aber auch ein freier Datenverkehr innerhalb der EU ermöglicht werden. Die neue Datenschutzgrundverordnung ersetzt die alte Richtlinie 95/46/EG aus dem Jahr 1995.
Was sind personenbezogene Daten?
Personenbezogene Daten sind Informationen, die Rückschlüsse auf eine natürliche, lebende Person erlauben oder sich auf eine solche beziehen. Auch kleinere Teilinformationen, die zusammen die Identifizierung einer Person ermöglichen, gehören zu den personenbezogenen Daten. Selbst wenn Daten anonymisiert, verschlüsselt und/oder pseudonymisiert wurden, aber dennoch eine Identifizierung der Person erlauben, gelten sie immer noch als personenbezogene Daten und müssen entsprechend der DSGVO behandelt werden.
Einige Beispiele personenbezogener Daten:
- Vor- und Nachname
- Geburtsdatum
- Sozialversicherungsnummer
- Wohnanschrift
- E-Mail-Adresse, die aus Vor- und Zunamen beziehungsweise einem Teil des Klarnamens besteht
- Standortdaten
- IP-Adresse
- Bankverbindungen
- Religionszugehörigkeit
Was hat das mit der Zusammenarbeit mit einer virtuellen Assistenz zu tun?
Sowohl du als Auftraggeber, als auch die VA, ihr seid beide Unternehmer. Und ihr arbeitet beide mit personenbezogenen Daten. Das können entweder Kundendaten sein oder Daten, die dich selbst betreffen. Schon allein bei der alltäglichen Büroarbeit fallen Aufgaben an, die dem Datenschutz unterliegen – beispielsweise das Versenden von Kundeninformationen.
Hierbei gibt es einen Unterschied zu beachten:
- Als Auftragsverarbeiter verarbeitest du die Daten im Auftrag des Kunden, beispielsweise bei der Planung eines Firmenevents.
- Als Verantwortlicher unterliegen die Verarbeitung, der Zweck sowie die zur Verarbeitung eingesetzten Mittel dir selbst. Das bedeutet: Entscheidest du selbst, welche Daten du zum Beispiel für die Erstellung eines Angebotes zwingend benötigst und wie du sie verarbeitest, dann bist du der Verantwortliche.
Aus diesem Grund ist es wichtig, in welcher Rolle die virtuelle Assistenz die Kundendaten verarbeitet. Wenn diese im Zuge einer gemeinsamen Zusammenarbeit die Kundendaten bearbeiten muss, dann arbeitet sie als Auftragsverarbeiter für dich. In diesem Fall ist es wichtig, die Regelungen der Datenschutzgrundverordnung bereits vor der Aufnahme der Zusammenarbeit mit der VA zu beachten. Bevor du der virtuellen Assistenz Zugriff auf die Daten gewährst, müsst ihr demnach eine Verschwiegenheitserklärung sowie einen Auftragsverarbeitungsvertrag unterzeichnen.
Was ist ein Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag (kurz AVV oder AV-Vertrag) wird benötigt, sobald Dritte in deinem Auftrag personenbezogene Daten verarbeiten. Aber nicht immer ist so ein Vertrag zwingend erforderlich.
Eine Auftragsverarbeitung liegt nämlich nur dann vor, wenn der Schwerpunkt in der Verarbeitung der personenbezogenen Daten liegt. Mit anderen Worten: Soll ein Rekruter nach neuen Mitarbeitern suchen, so liegt der Schwerpunkt im Rekrutieren neuer Mitarbeiter und nicht in der Verarbeitung personenbezogener Daten. Denn die Daten werden nur für den Zweck der Aufgabe benötigt und verarbeitet.
Beispiele für Auftragsverarbeitung sind:
- Anfertigen von Gehaltsabrechnungen und/oder der Buchhaltung
- Kundenanrufe im Namen des Auftraggebers
- Durchführen von Marketingkampagnen oder Kundenumfragen
- Erstellen, prüfen und Anpassen von Wartungsverträgen unter Verwendung personenbezogener Daten
Leider sind die Grenzen zwischen einer Auftragsverarbeitung und einer Funktionsübertragung fließend. Doch zum Glück gibt es ein kleines Unterscheidungsmerkmal, das hilft die Frage zu beantworten: Die Weisungsbindung! Kann die VA frei bei ihrer Arbeit entscheiden und ist sie keineswegs an die Weisungen und Vorgaben des Auftraggebers gebunden, dann ist kein Auftragsverarbeitungsvertrag notwendig. Doch genau hier wird es schwierig – denn eine virtuelle Assistenz arbeitet in der Regel insbesondere nach den Weisungen des Auftraggebers. Demnach sind in diesem Fall die Vorgaben der Datenschutzgrundverordnung bezüglich der Auftragsverarbeitung bei der Zusammenarbeit zu beachten.
Was muss ein Auftragsverarbeitungsvertrag enthalten?
- Nennung beider Vertragsparteien
- Aufgaben und Tätigkeiten
- Rechte und Pflichten des Auftraggebers
- Pflichten des Auftragnehmers
- Meldepflicht des Auftragnehmers bei Verstoß gegen die Datenschutzgrundverordnung
- Mitwirkungspflicht
- Kontrollbefugnis
- Unterauftragsverhältnisse
- Wahrung von Betroffenenrechten
- Vertraulichkeitsverpflichtung
- Technische und organisatorische Maßnahmen
- Dauer der Zusammenarbeit oder des Auftrags
Weitere Punkte, die bezüglich des Datenschutzes bei der Zusammenarbeit mit einer virtuellen Assistenz zu beachten sind
Wenn du dich für die Zusammenarbeit mit einer VA entscheidest, solltest du im Sinne des Datenschutzes bei der Weitergabe von Passwörtern vorsichtig sein. Im besten Fall richtest du für die virtuelle Assistenz einen eigenen Benutzer mit eingeschränkten Zugriffsrechten ein. Beendet ihr die Zusammenarbeit irgendwann aus welchem Grund auch immer, kannst du diesen einfach wieder löschen. Das ist allerdings nicht bei jedem System möglich. Gerade bei SaaS-Produkten kann steht oft nur ein einzelner Zugang zur Verfügung und du musst daher deine eigenen Daten herausgeben.
Für solche Fälle sind sogenannte Passwortmanager hilfreich. Mit diesen kannst du Passwörter bequem verwalten und Login-Zugänge übersichtlich freigegeben. Sehr gute Dienste dafür sind:
- LastPass: Über die Teams-Version von LastPass kannst du einzelne Zugriffsrechte vergeben und entscheiden, zu welchen Unternehmensbereichen die VA einen Zugang bekommt und zu welchen nicht. Die Passwörter werden dann verschlüsselt weitergegeben. Bei LastPass Teams handelt es sich um einen kostenpflichtigen Service, es gibt allerdings auch eine kostenlose Variante mit eingeschränktem Funktionsumfang.
- 1Password: Auch hier bestimmst du als Auftraggeber genau die Zugriffsrechte der virtuellen Assistenz. Damit bekommt die VA auch nur jene Zugänge zu sehen, die sie für die Zusammenarbeit benötigt – und das alles unter Wahrung der Datenschutzgrundverordnung. Dieser Passwortmanager bietet zwar eine kostenfreie Probephase an, ist danach jedoch auf jeden Fall kostenpflichtig.
- Keeper Security: Alle vertraulichen Daten sind bei diesem Programm verschlüsselt und vor internen wie externen Angriffen geschützt. Die VA erhält über ein ausschließlich ihr bekanntes Masterpasswort Zugriff auf ihr persönliches Profil, über welches sie wiederum auf die jeweiligen Dateien und Programme zugreifen kann. Dieser Dienst ist ebenfalls nach Ablauf des Testzeitraums kostenpflichtig.
Fazit – die Zusammenarbeit mit einer VA unter Einhaltung des Datenschutzes ist einfacher als gedacht
Auch wenn das Thema Datenschutz und Zusammenarbeit mit externen Dienstleistern ein Schreckgespenst für viele Unternehmer ist – so schlimm ist es letztendlich überhaupt nicht. Überlege dir im Vorfeld genau, welche Aufgaben die virtuelle Assistenz erledigen soll und welche Zugänge sie dafür benötigt. Setzt anschließend (wenn nötig) einen AV-Vertrag sowie eine Verschwiegenheitserklärung auf. Damit ist bereits der erste Schritt für die erfolgreiche Zusammenarbeit mit der VA getan, trotz Datenschutzgrundverordnung.
Benötigt die virtuelle Assistenz bestimmte Zugänge für externe Dienste? Dann gib ihr die Zugangsdaten über einen Passwortmanager frei. Somit werden diese verschlüsselt übertragen und du kannst gleichzeitig leichter kontrollieren, wer Zugriff auf welche Passwörter hat.