DSGVO Kleinunternehmer

  • Hallo zusammen,


    ich bin seit Kleinunternehmer und darf mich natürlich auf mit der neuen DSGVO beschäftigen ;)

    Ich würde mich sehr darüber freuen, wenn ich mit eurer Unterstützung rechnen kann.


    Habe mal eine Auflistung meiner Prozesse erstellt, wie ich aktuell mit bestimmen Situation umgehe.


    IST-Situation (Kleinunternehmer (ohne Angestellte) im Bereich IT Dienstleistungen)

    • Kundendaten (Name, Mail, Adresse, Telefonnummer, Termine)
      • werden in der iCloud gespeichert werden über mehrer Geräte synchronisiert (Alles meine Geräte)
      • Datenbank (Rechnungen, Angebote, Kundendaten, Kundenzugänge (FTP, E-Mail, ...) der Buchhaltungssoftware wird lokal auf einer NAS gespeichert (Zugriff von extern möglich)
    • Einkäufe werden im Auftrag des Kunden durchgeführt
      • Rechnung wird beim Händler auf Namen des Kunden ausgestellt (Kundendaten liegen dann auch dem Händler vor)
    • Webseite
      • Kontaktformular
      • Feedback abgeben (Kunde kann anonym oder unter Angabe des Namen ein Feedback hinterlassen, der Name wird dann beim jeweiligen Feedback auf der Webseite angezeigt)
      • Habe bereits mit Hilfe des DSGVO Generators (https://www.wbs-law.de/it-rech…hutzerklaerung-generator/) eine Datenschutzerklärung für meine Webseite erstellt
    • Mail
      • Der E-Mail verkehr läuft via SSL über Strato Server
    • Facebook, Google+, Twitter
      • Eigene Seite für das Unternehmen - hier werden unserseits keine Kundendaten veröffentlicht oder Gewinnspiele durchgeführt.
        Diese Seite dient lediglich der Bekanntgebung von Informationen, welche das Unternehme betreffen
    • Dienstleistungen


      • Ich erhalte öfters Computer, bzw. hole diese bei Kunden ab (Bin dann so lange im Besitz der auf dem PC gespeicherten Daten)


    Die Frage die sich mir jetzt stellt.

    Was muss meinerseits jetzt alles gemacht werden?

    Muss ich den Kunden in bestimmten Situation zukünftig etwas unterschrieben lassen, bzw. benötigt der Kunde von mir eine Unterschrift?

    (z.B. eine Datenschutzerklärung für die Abholung eines PCs?)


    und und und.


    Freue mich über so viele Informationen, in Bezug auf die o.g. IST-Situation, wie möglich !

    Schon mal vielen Dank :)

  • Hallo Ghost,

    das Thema haben wir schon hier angesprochen und enthält Ansatzpunkte, Infos.


    Kundendaten gehören aus meiner Sicht grundsätzlich nicht in die Cloud! Wenn der Cloud-Anbieter seinen Serverstandort ausserhalb der EU hat, ist dies problematisch. In jedem Fall ist ein sog. "Vertrag zur Auftragsverarbeitung" mit dem Cloud-Anbieter und dem Website-Provider erforderlich.
    Zugriff von aussen auf die NAS, ebenfalls sehr kritisch! Könnte man schon als grob fahrlässig bezeichnen! Jeden Tag hast du an die 20 Besucher (oder mehr) aus China, Russland, Brasilien, Asien, die alle möglichen Tricks ausprobieren um sich Zugang zu den Daten zuverschaffen. Schau in die Access- und Error-Logs der NAS, dann weist du Bescheid. Du weist nicht was Logs sind oder wie man sich die anschaut - sofort die Portweiterleitung am Router abschalten.

    Gruß HMV

  • Hallo,


    ein paar von den Punkte, aus deinem verlinkten Thread, habe ich bereits umgesetzt.

    Allerdings bleiben mir immer noch einige Punkte ungeklärt ("Einkäufe werden im Auftrag des Kunden durchgeführt", "Dienstleistungen")


    Kundendaten in der Cloud bzw. NAS würde ich jetzt nicht zwingend als "grob fahrlässig" bezeichnen.

    Es ist halt eine Grauzone - auf der einen Seite möchte man immer und überall auf diese Daten zugreifen können (ist für mich absolut erforderlich)

    Sollte ich stattdessen die Kundendaten nur lokal auf den Gerät speichern und untereinander synchronisieren, habe ich auch keine 100% Sicherheit.

    Jedes Gerät, welches mit dem Internet verbunden ist, ist angreifbar :/

  • Hallo,

    vielen Dank für dein Feedback. Eine Anforderung aus der DSGO ist, dass vor der Speicherung, Verarbeitung von personen bezogenen Daten eine Einwilligung des Kunden einzuholen ist (bei einem Kontaktformular auf der Website, z.B. durch eine Checkbox). Bei einer telefonischen oder schriftlichen Auftragserteilung liegt dein sog. berechtigtes Interesse zur Verarbeitung der Daten vor. Sonst könnte man den Auftrag oder die Dienstleistung nicht abwickeln. Werden auch Newsletter verschickt, so bist du gut beraten dir diese Einwilligung nachträglich zu besorgen, ansonsten bleibt nur die Herausnahme der Mail-Adressen.

    Zum Thema Cloud und NAS:
    Auch als Kleinunternehmer unterliegst du der DSGVO und solltest ein Verzeichnis der Datenverarbeitung führen. Dabei wirst du auf die sog. technischen und organisatorischen Maßnahmen stoßen, wo du beschreiben musst, wie die NAS & Cloud gegen unbefugten Zugriff abgesichert ist.

    Sprich wie die Datensicherheit gewährleistet wird. Ich denke die NAS steht in keinem geschützten Datencenter wo sich professionelles Personal um die Sicherheit kümmert.
    Mir ist bewusst, dass die Nutzung für dich wichtig ist. Nur ist es so, dass die Sicherheit der Kundendaten über deinen Interessen stehen.
    Die Antwort hast du bereits gegeben: Jedes Gerät öffentlich im Netz ist angreifbar. Sorry, ich bleibe dabei. Ohne weitere technische Sicherungsmaßnahmen ist dies aus meiner Sicht fahrlässig.

    Gruß HMV

  • NAS war auch nur eine alternative.

    Wie bereits gesagt, nutze ich aktuell die iCloud, welche sicherlich "in einem geschützten Datencenter steht, wo sich professionelles Personal um die Sicherheit kümmert".


    Wie genau könnte ich es in deinen Augen dann sicherer machen?


    Ob jetzt NAS, lokal auf PC oder iCloud - alle diese Optionen sind angreifbar

    Bleibe somit bei der iCloud Lösung.


    Aber was genau bedeutet das?

    Muss ich meine Kunden jetzt darüber informieren, dass wir die iCloud nutzen und ich eine Unterschrift als Zustimmung einholen ?

  • Ich bin kein Jurist und kann dir daher nicht sagen, ob von jedem Kunden eine Zustimmung einzuholen ist. In der Datenschutzerklärung bzw. in den AGB ist eh darauf hinzuweisen. Es schadet daher nicht wenn allen Kunden diese per E-Mail neu übermittelt werden. Widersprechen können die Kunden nicht (oder eine Löschung fordern) da die gesetzlichen Aufbewahrungsfristen einzuhalten sind.

    Allerdings sollte die Cloud von einem Anbieter in einem EU-Mitgliedsstaat sein.

    Gruß HMV