Tragemami-Blog

Die Regeln der DSGVO für Elternberaterinnen (Teil 2) - Dokumente und Datensicherheit

Die Regeln der DSGVO für Elternberaterinnen (Teil 2) - Dokumente und Datensicherheit

von Katharina, in Anleitungen, bewerte diesen Artikel
(0 votes)

Ein Rundblick über die neuen Datenschutzregeln für Trageberatung, Stillberatung und Stoffwindelberatung (sowie Kangatraining, Doulas und Hebammen*)

 

Veröffentlicht am: 21.06.2018

|

Aktualisiert am: 25.06.2018

Was geht Dich als Trageberaterin, Stillberaterin oder Stoff­windel­beraterin die neue Daten­schutz­grund­ver­ord­nung an? Mit dieser Artikel-Serie möchten wir Euch konkrete Lösungs­wege für die zahlreichen Anforder­ungen der DSGVO vorstellen, welche ab dem 25.05.2018 für alle Selb­ständigen und Unter­nehmen gelten.

* Da ich selbst Trageberaterin bin, eignen sich die von uns entwickelten Lösungswege ideal für andere Trageberaterinnen, sowie Still- und Stoffwindelberaterinnen. Für die meisten Kangatrainerinnen sowie Doulas und Hebammen sollten unsere Hinweise jedoch auch passen :)

** Auch wenn die ganannten Berufe teilweise auch von Männern ausgeübt werden, haben wir der Einfachheit halber hier nur die gängige weibliche Schreibweise verwendet.


Inhalt von Teil 2

  1. Dokumente
  2. Datensicherheit

Dokumente

Papierkram für den Fall der Fälle

In diesem Punkt kümmern wir uns um die Dokumente, welche Du im Fall einer Kontrolle den Behörden vorlegen musst.

Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungs­tätigkeiten (auch Verarbeitungs­verzeichnis oder Verfahrens­verzeichnis) wird in vielen Guides zur DSGVO als das Herzstück aller Maßnahmen bezeichnet.

Was hat es damit auf sich? In diesem Verzeichnis müsst Ihr alle Vorgänge in Eurem Unternehmen beschreiben, in denen personenbezogene Daten verarbeitet werden. Dieses können bei einer Trageberaterin z.B. E-Mail-Kommunikation, WhatsApp-Kommunikation, eine Einzelberatung mit Beratungsprotokoll oder ein Gruppenkurs sein.

Zu jedem Verarbeitungsvorgang muss dann zu den folgenden Punkten Auskunft gegeben werden:

  • Name des Verantwortlichen
  • Warum werden die Daten erhoben?
  • Welche Personengruppen sind betroffen?
  • Wem werden die Daten zur Verfügung gestellt (verarbeitet z.B. ein Unternehmen für Euch die Daten weiter)?
  • Werden die Daten in ein Drittland übertragen?
  • Wann werden die Daten wieder gelöscht?
  • Welche Maßnahmen gibt es zum Schutz der Daten?

Zur Veranschaulichung könnt Ihr Euch die Vorlage des Bayrischen Landesamtes angucken. Hier gibt es auch noch einen detaillierten Fragenkatalog für einen einzelnen Verarbeitungsvorgang.

Beim Verfahrensverzeichnis handelt sich um eine internes Dokument, welches nicht öffentlich zugänglich zu machen ist. Es ist lediglich Behörden auf Verlangen auszuhändigen. Inhaltlich steht es aber Eurer Datenschutzerklärung sehr nah, da die aufgeführten Verfahren auch in der Datenschutzerklärung zu finden sein sollten. Dort dann jedoch nicht kurz und knapp für eine Behörde, sondern verständlich und transparent erläutert für den Betroffenen. Anregungen für das korrekte Befüllen des Verfahrensverzeichnisses kann man sich daher aus seiner Datenschutzerklärung holen, wenn diese von einem guten Generator oder gar einem Fachmann erstellt wurde.

Auch beim Verfahrensverzeichnis lässt sich eine Diskussion darüber führen, ob Elternberaterinnen überhaupt eines führen müssen. Die DSGVO sagt zum einen, dass nur Unternehmen ab einer Mitarbeiterzahl von 250 dazu verpflichtet wären. Diese Regel wird jedoch wieder durch die Aussage ausgehebelt, dass auch kleinere Unternehmen zur Führung eines Verzeichnisses verpflichtet sind, wenn ihre Datenverarbeitung ein Risiko birgt oder wenn die Verarbeitung personenbezogener Daten nicht nur gelegentlich stattfindet. Erstes sollte für uns nicht zutreffen, zweites in der Regel aber schon.

Die fachkundigen Expertenaussagen meinen hierzu, dass bereits der Betrieb einer Webseite in jedem Fall zur regelmäßigen Verarbeitung zu zählen ist (da zumindest die IP-Adressen der Besucher erfasst werden). Was wäre jedoch mit einer Trageberaterin, welche keine Webseite hat? Deren Datenverarbeitung würde sich auf einige Kontakte pro Monat beschränken. Für jede Beratung würde dabei jedoch eine Datenverarbeitung erfolgen (alleine schon durch das Aufschreiben des Namens und der Adresse). Ist diese nun regelmäßig oder nicht? Hierzu konnte ich bisher keine klare Einschätzung finden. Ein Unternehmen ohne regelmäßige Verarbeitung personenbezogener Daten ist aber offensichtlich eher ein Bäcker, welcher direkt an der Ladentheke an anonyme Laufkundschaft verkauft.

Der sichere Weg wird es also sein, zumindest ein Verzeichnis mit den wichtigsten Informationen zu führen (vgl. datenschutzbeauftragter-info.de)

Wer möchte, kann gerne mein Verarbeitungsverzeichnis als Vorlage verwenden und daraus alles für sich passende übernehmen. Schickt mir hierzu einfach eine Mail.

Auftragsdaten­verarbeitungs­vertrag (AVV)

Ein weiterer Satz an wichtigen Dokumenten sind die “Vereinbarungen zur Auftragsdatenverarbeitung” oder auch Auftragsdaten­verarbeitungs­verträge. Diese müsst Ihr mit allen Partnern bzw. Unternehmen abschließen, welche in Eurem Auftrag personenbezogene Daten verarbeiten (Diese müssen somit auch in Eurem Verfahrensverzeichnis auftauchen). Es handelt sich dabei z.B. um E-Mail-Provider oder Webseiten-Hoster. In diesem Vertrag sichern Euch die Unternehmen zu, dass sie die Datenschutz-Regeln einhalten und sie erläutern, welche Sicherheitsmaßnahmen sie dafür ergreifen. Mittlerweile bieten fast alle größeren Unternehmen Ihren Kunden solch ein Vertrag standardmäßig an. Dieser kann meist direkt auf digitalem Wege abgeschlossen werden. Nur in einigen Fällen muss ein von Euch unterschriebener Vertrag per Post versendet werden.

Eine wirklich schöne Übersicht hat Finn Hillebrandt in seinem Blog zusammengestellt. Geht diese Liste einmal durch und durchsucht sie nach Dienstleistern, die Ihr verwendet. Wie Ihr an die entsprechenden Verträge kommt, ist dort jeweils vermerkt. Notiert Euch am besten alle Unternehmen inkl. Anschrift und Datum des Vertragsabschlusses in einer Liste. Diese packt Ihr dann als Anlage zum "Verzeichnis der Verarbeitungstätigkeiten".

Leider ist es nicht möglich, mit allen Dienstleistern solch einen Vertrag zu schließen. Somit wird durch den Abschluss eines Auftragsdaten­verarbeitungs­vertrags definiert, ob man rein rechtlich einen Service in Europa geschäftlich nutzen darf. Das betrifft vor allem die großen E-Mail-Anbieter Gmail, GMX und Web.de. Da sie auf Privatkunden ausgerichtet sind, bieten sie diesen Geschäftskundenservice nicht an. Konsequenz: Wer von Euch noch einen kostenlosen Mail-Anbieter nutzt, müsste für seine geschäftlichen Mails zu einem kostenpflichtigen Service wechseln. Von Google gibt es dafür z.B. die Google Suite, welche man sich ab 4 € im Monat zulegen kann. Wir selbst nutzen ein Paket von Host Europe.

Gleiches trifft übrigens auch auf kostenlose Accounts von Dropbox oder GoogleDrive zu. Dort solltet Ihr also keine Kundendaten mehr ablegen (In der Google Suite ist übrigens auch ein 30 GB Cloudspeicher enthalten). Im besten Fall solltet Ihr aber immer ein Anbieter aus der EU verwenden, welcher die Daten innerhalb der EU speichert.

Keinen AV-Vertrag braucht Ihr übrigens mit Eurem Telefonanbieter, Steuerberater oder Eurer Bank. Grund: Soweit ich es verstanden habe besteht für diese eh eine gesetzliche Grundlage für den datenschutzkonformen Umgang mit Euren Daten.

Indirektes Vertragsverhältnis

Wenn Ihr für Eure E-Mail-Kommunikation einen Serviceanbieter nutzt, mit dem Ihr nicht selbst in einem Vertragsverhältnis steht, da es z.B. der Account von Eurem Freund/Mann ist, müsst Ihr den AVV mit Eurem Freund/Mann abschließen ;) Bei uns ist das auch so. Wir haben uns einen Vertrag auf Grundlage eines Musters zusammengestellt. Meldet Euch einfach bei mir, wenn Ihr ihn als Vorlage nutzen wollt.


Datensicherheit

Sag Hallo zu Deiner neuen Paranoia

Die DSGVO verlangt von Euch, dass Ihr technische und organisatorische Maßnahmen (kurz TOMs) ergreift, um Eure Daten zu schützen (also vor unberechtigten Zugriffen, unberechtigter Veränderung, Zerstörung, usw.). Beispiele hierfür sind der Passwortschutz Eures Computers oder die sichere Aufbewahrung Eurer Beratungsprotokolle. Die Auflistung der Schutzmaßnahmen ist ebenfalls in einem Dokument zu notieren und wird dem Verzeichnis der Verarbeitungstätigkeiten angehängt. Bei einer behördlichen Prüfung wird dieses also ebenso von Interesse sein.

Während die DSGVO in ihren Anforderungen kaum zwischen kleinen Selbständigen und großen Unternehmen unterscheidet, sollen sich die erwarteten Sicherheitsmaßnahmen angeblich an den Möglichkeiten des betreffenden Unternehmens orientieren. Mit anderen Worten: Von großen Unternehmen wird ein höherer Sicherheitsstandard erwartet als von Kleinen. Was bei uns Trage-, Stillberaterinnen oder Kangatrainerinnen nun aber mit reinspielt ist, dass der Umgang mit Gesundheitsdaten wiederum höhere Anforderungen an die Datensicherheit stellt (siehe Oben).

Die folgenden Maßnahmen solltet Ihr unserer Meinung nach auf jeden Fall umsetzen, um DSGVO-konform zu sein.

Aber Achtung: Jetzt wird es teilweise schräg. Vieles davon wird Euch albern oder übertrieben vorkommen - aber offenbar wird es vom Gesetzgeber so verlangt. Nehmt die vorgeschlagenen Maßnahmen in jedem Fall in Eure TOMs-Liste auf, somit seid Ihr schonmal auf dem Papier DSGVO-konform, wenn Ihr diese vorlegen müsst.

PC / Notebook

  • Alle Dokumente mit Kundendaten solltet Ihr in einen verschlüsselten Ordner / Container packen. Verwendet dazu am besten das Programm VeraCrypt. Hier findet Ihr eine Anleitung von schneckchen.in.
  • Beim Einschalten und nach dem Verlassen des Computers sollte immer eine Passwortabfrage erfolgen.
  • Ihr solltet alle paar Wochen ein Backup Eurer Geschäftsdaten machen. Auch dieses sollte dann verschlüsselt sein. Wenn Ihr wie oben empfohlen mit einem verschlüsselten VeraCrypt-Container arbeitet, dann könnt Ihr diese Container-Daten einfach auf ein anderes Laufwerk / USB-Stick / DVD kopieren.
  • Bewahrt das Backup möglichst weit entfernt von Eurem Arbeitsplatz auf (damit z.B. ein Feuerschaden nicht gleich das Backup mit zerstört)
  • Ihr solltet stets einen Rettungsdatenträger für Euer Betriebssystem im Schrank haben
  • Antivirenprogramm und Firewall sollten aktiv sein
  • stets die neusten Updates installieren
  • lange sichere Passwörter verwenden und für jeden Zugang ein eigenes Passwort verwenden (Tipp: Passwort-Manager KeePass)

Personenzugang

  • Beim Verarbeiten personenbezogener Daten (z.B. dem Schreiben einer Rechnung) solltet Ihr sicherstellen, dass sich niemand unbefugtes im Raum befindet, der Euch dabei über die Schultern sehen kann. Bei einem Einzelunternehmen wäre das praktisch jeder andere.
  • Eure Wohnung oder Euer Haus sollte zudem stets verschlossen sein, so dass niemand unbemerkt Zutritt zu Euren Arbeitsräumen erlangen kann.

Dokumente

  • Alle Papierdokumente mit Kundendaten solltet Ihr stets verschlossen aufbewahren. Diese niemals einfach offen auf Eurem Schreibtisch liegen lassen
  • Nicht mehr benötigte Dokumente immer über einen Aktenvernichter entsorgen (min. Sicherheitsstufe 3 und Schutzklasse 2). Wir haben uns diesen hier zugelegt: Quigg PBS 14-17 (über eBay)

Arbeitsräume

  • Ausstattung mit Feuermelder
  • Feuerlöscher griffbereit
  • WLAN immer mit hoher Verschlüsselungsmethode und langem sicheren Passwort

Handy

  • Das Handy, mit dem Ihr mit Euren Kunden kommuniziert, sollte ebenfalls gut abgesichert sein
  • PIN / Sperr-Muster oder Fingerabdruck-Sensor bei jeder Reaktivierung
  • stets neuste Updates installieren lassen

Die einzelnen Maßnahmen werden von der Verordnung in verschiedene Bereiche unterteilt. Ausführliche Erläuterungen dazu findet Ihr z.B. bei der activeMind AG.

Liste der TOMs

Die Auflistung der technischen und organisatorischen Maßnahmen sind Teil des Verzeichnisses der Verarbeitungstätigkeiten, bzw. stellen eine Anlage von diesem dar. Wie schon erwähnt könnt Ihr unser Dokument gerne als Muster / Vorlage verwenden. Meldet Euch dazu einfach bei mir.


Hinweis: Von Experten wird dazu geraten, die Beschreibungen der Maßnahmen nicht so ausführlich zu machen, sondern diese nur kurz in Stichworten zu umschreiben.

Damit hättet Ihr die Dokumente erstellt und die Maßnahmen ergriffen, welche bei einer behördlichen Prüfung im Fokus stehen würden.

 


Tags:

Hinterlasse ein Kommentar

Gib bitte die erforderlichen Informationen an, welche mit (*) gekennzeichnet sind. HTML-Codes ist nicht erlaubt.