Im E-Commerce-Bereich ist Datenschutz und Datensicherheit elementar!

Einen Verlust von Daten kann sich wohl niemand leisten. Auch der Umgang mit Kundendaten ist relevant.

Hier meine Leistungsübersicht:

  • Beratung zu den Themen Cloud Computing, Meldepflichten (Umgang mit Datenpannen), Rechte der Kunden
  • Durchführung einer Datenanalyse
  • Erstellen und Führen des Verzeichnisses der Verarbeitungstätigkeiten
  • Erstellen eines Auftragsdatenverarbeitungsvertrages
  • Erstellen von Datenschutzrichtlinien
  • Beantwortung von Fragen Ihrer Kunden zum Datenschutz
  • Datenschutzbeauftragter extern

Eine Übersicht der Beratungsmodelle finden Sie hier: Beratungsmodelle

Sie haben Fragen oder möchten mich beauftragen? Schicken Sie mir eine Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Wenn sich eine geschäftliche Beziehung anbahnt oder ein Produkt / Dienstleistung verkauft wird, fallen automatisch Kundendaten an. Viele dieser Daten sind personenbezogene Daten, wie zum Beispiel E-Mail-Adresse, Name und Anschrift, Telefonnummer, Online-Kennung, Bankverbindungsdaten, Kreditkartennummer etc. Da durch diese personenbezogenen Daten natürliche Personen identifiziert werden können, spricht die EU-Datenschutzgrundverordnung (DS-GVO) von betroffener Person.

Entgegen der landläufigen Meinung, dass Kundendaten uns gehören, werden diese praktisch geliehen. Sie dürfen:

  • erhoben,
  • erfasst,
  • organisiert,
  • geordnet,
  • gespeichert,
  • angepasst oder
  • verändert,
  • ausgelesen,
  • abgefragt und
  • verwendet werden,

wenn die Erlaubnis dazu gegeben wurde oder es notwendig ist für das Unternehmen. Die Erlaubnis kann durch ein vertragliches Verhältnis zustande kommen oder durch eine Einwilligungserklärung und ist immer zweckgebunden.

Beschäftigen Sie mehr als 9 Personen, die sich regelmäßig mit automatisierter Verarbeitung beschäftigen, müssen Sie einen Datenschutzbeauftragten haben. Allen anderen ist dies freigestellt. Das bedeutet nichts anderes, das Jeder sich um Datenschutz kümmern muss, aber nicht jeder einen Datenschutzbeauftragten benennen muss.

 

Was bedeutet das eigentlich für den Umgang mit Kundendaten?

Durch die Datenschutzgrundverordnung hat man zum einen Dokumentationspflichten und zum anderen Sorge dafür zu tragen, dass IT-Sicherheit und die Abläufe im Unternehmen datenschutzkonform sind.

 

Was für Dokumentationspflichten hat man?

Fangen wir ganz vorne im Prozess an:

  • vorab muss der potenziellen Kunden informiert werden, welche Daten, wie und zu welchem Zweck verarbeitet werden.
  • eine Einwilligungserklärung muss vorhanden sein. Diese muss nachweisbar sein. Ohne Einwilligung muss ein berechtigtes Interesse des Unternehmens bestehen.
  • ein Verzeichnis von Verarbeitungstätigkeiten muss vorhanden sein.
  • eine Datenschutzleitlinie muss formuliert sein. 
  • eine IT-Sicherheitsleitlinie muss vorhanden sein.

 

Datenschutz und IT-Sicherheit bei Kundendaten - was bedeutet das?

In der Datenschutzgrundverordnung wird ein neuer Grundsatz verankert. Privacy by Design. Datenschutz durch Technik. Was genau bedeutet das?

Immer wenn eine technische Lösung im Umgang mit personenbezogenen Daten eingesetzt wird, muss der Datenschutz gewährleistet sein. Jede Software, jede Hardware und jede fremdvergebene Dienstleistung muss risikobewertet werden. Ein Beispiel, Sie schreiben Ihre Rechnungen mit Hilfe einer Software, die in einer Cloud gelagert ist. Die Daten werden in die Cloud übertragen. Eine Risikobewertung des Dienstleisters muss gemacht werden. In diesem Fall wird sogar ein Auftragsdatenverarbeitungsvertrag nötig.

Der zweite Grundsatz, der schon etwas älter ist, lautet, Privacy by Default. Datenschutz als Standardeinstellung. Dies ist gerade im Onlinebusiness eine Herausforderung. Hier hinter verbirgt sich, dass nur so viele Daten erhoben und verarbeitet werden, wie es für den Zweck unbedingt nötig ist. Also nice-to-have gibt es nicht mehr. Datenschutz als Standardeinstellung lässt im Moment noch viele Fragen offen.