Welche Datenschutzregeln muss ich einhalten?

Häufige VPA Fragen

Welche Datenschutzregeln muss ich einhalten?

Du bist hier:
< Alle Themen

Da my-vpa gesetzlich dazu verpflichtet ist, dich regelmäßig im Datenschutz zu unterweisen werden dir diese Regeln regelmäßig in der my-vpa zum bestätigen angezeigt. Bei deiner VPA Tätigkeit musst du folgende Datenschutz Richtlinien einhalten:

1. Personenbezogene Kundendaten

Alle personenbezogene Daten die dir bekannt werden, darfst du nicht unbefugt zu einem anderen als dem zur Aufgabenerfüllung gehörenden Zweck verarbeiten, bekannt geben, zugänglich machen oder auf andere Weise nutzen. Gemeint sind alle Angaben, die etwas über eine natürliche Person – also Herrn X, Frau Y aussagen, z.B. wann Herr X geboren ist, wo er wohnt, wie er heißt, wie viel Kinder er hat, welches Auto er fährt, etc.

2. Digitale Kundendaten

Alle digitalen Daten die du von deinen Kunden erhältst oder erarbeitest, dürfen ausschließlich in der my-vpa Owncloud gespeichert werden. Digitale Daten sind alle Formen von digitalen Dokumenten, Bildern, Sprachnachrichten und Videos. Du darfst diese Daten also beispielsweise außerhalb der my-vpa Owncloud nicht auf einem Endgerät (PC, Laptop, Smartphone, Tablet, etc.), einem externen Datenträger (USB Stick, etc.) oder einer anderen Storage Cloud (Dropbox, etc.) speichern. Zudem darfst du diese Daten niemals Dritten zugänglich machen.

3. Geschäfts- und Betriebsgeheimnisse

Hinsichtlich aller Geschäfts- und Betriebsgeheimnisse die dir über Kunden zur Kenntnis gelangen, musst du Stillschweigen bewahren. Als Betriebs- und Geschäftsgeheimnisse werden alle auf ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge verstanden, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind. Betriebsgeheimnisse sind technisches Wissen; Geschäftsgeheimnisse betreffen hingegen kaufmännisches Wissen (z.B. Umsätze, Ertragslagen, Kundenlisten, Bezugsquellen, Konditionen, Marktstrategien).

 

Technisch-organisatorische Maßnahmen (TOM) (Stand Mai 2018)

Die Regeln dieser Technisch-organisatorische Maßnahmen (TOM) stellen sicher, dass du bei der Tätigkeit für my-vpa personenbezogene Daten deiner my-vpa Kunden rechtskonform verarbeitest und schützt. Grundsätzlich musst du immer folgende drei Regeln einhalten:

1. Bitte vermische niemals my-vpa Kundendaten mit Privatdaten Du darfst my-vpa Daten jedes einzelnen Kunden niemals mit denen andere Kunden oder deinen privaten oder anderen Daten vermischen oder anderen zur Kenntnis geben oder gelangen lassen.

2. Bitte schütze die digitalen my-vpa Aufgabendaten deiner Kunden Digitale Daten sind alle Formen von digitalen Dokumenten, Bildern, Sprachnachrichten und Videos, die du im Rahmen der Aufgabenbearbeitung erhältst. Du darfst diese Daten niemals Dritten geben. Wenn du Arbeitsmaterial vom Kunden per Post erhalten hast, musst du dieses sicher aufbewahren und sofort nach Erledigung der Aufgabe datenschutzgerecht vernichten oder zurücksenden.

3. Bitte schütze die my-vpa Kommunikationsdaten deiner Kunden Wichtig: Du darfst mit deinem Kunden nur über die von my-vpa zur Verfügung gestellten Kommunikationskanäle kommunizieren. Achtung: Die Kommunikation über private Telefone, Smartphones (auch WhatsApp oder ähnlich), private Skype Accounts ist also verboten.  

 

I) Datenschutzregeln für deinen PC

1. Bitte richte ein Anmeldepasswort ein

Dein PC muss mit einem nur dir bekanntem Passwort mit mind. 8 Zeichen, einer Zahl und einem Sonderzeichen geschützt sein und alle 120 Tage deutlich geändert werden.

2. Bitte aktiviere die Bildschirmsperre

Die Bildschirmsperre muss auf deinem PC nach max. 2 Minuten mit Passworteingabe aktiviert sein. Sperre den PC manuell, bevor du den Platz verlässt. Wie Du die Sperre einrichtest findest du hier.

3. Bitte schütze immer die Bildschirmeinsicht

Wenn du für my-vpa arbeitest, darf dein Monitor von anderen Personen nicht eingesehen werden. Das gilt auch für Laptops an öffentlichen Plätzen. Nutze hier z.B. einen Blickschutzfilter.

4. Bitte nutze nur geschützte WLAN

Wenn du für my-vpa arbeitest, darfst du nur WLANs nutzen, die nach dem Standard WPA2 verschlüsselt sind. Klicke in Netzwerkumgebung auf „Sicherheit“, um das WLAN zu prüfen.

5. Bitte speichere my-vpa Kundendaten nur in der Owncloud

Du darfs niemals Kundendaten außerhalb deines Owncloud-Ordners auf deinem PC speichern. Speichere Kundendaten nie auf internen oder externen Datenträgern (USB Sticks, Dropbox, etc.)

6. Bitte richte einen performanten Virenscanner ein

Du musst auf deinem PC einen dem jeweils aktuellen Stand der Technik entsprechenden Virenscanner mit automatischer Aktualisierung einrichten. Hier findest du einen guten und kostenfreien Virenscanner für alle Betriebssysteme.

7. Bitte verschlüssele deine PC Festplatte

Du musst die Festplatte deines PCs verschlüsseln. Für Windows findest du hier eine Anleitung. Bei Apple OSX Systemen, aktiviere bitte unter „Systemeinstellungen“ die Funktion “FileVault“.

8. Bitte nutze nur den OX E-Mail Client und keine Desktop-Clients Zum Empfang und Versand von my-vpa

E-Mails darfst du ausschließlich unseren E-Mail Client nutzen. Die Nutzung von IMAP oder POP3 (Outlook, Thunderbird, …) sind ausdrücklich verboten.

 

II) Datenschutzregeln für dein Smartphone 

1. Bitte richte ein Anmeldepasswort ein

Dein Smartphone muss mit einem nur dir bekanntem Passwort mit mind. 8 Zeichen, einer Zahl und einem Sonderzeichen geschützt sein und alle 120 Tage deutlich geändert werden. Biometrischen Funktionen wie Fingerprint oder Retina Scan sind auch ok.

2. Bitte aktiviere die Display-Sperre

Die Display-Sperre muss auf deinem Smartphone nach max. 2 Minuten mit Passworteingabe aktiviert sein. Unter iOS und Android findest Du diese Einstellung z.B. unter dem Punkt „Anzeige“

3. Bitte schütze immer die Display-Einsicht

Wenn du für my-vpa arbeitest, darf dein Display von anderen Personen nicht eingesehen werden.

4. Bitte nutze nur geschütztes WLAN

Wenn du mit deinem Smartphone für my-vpa arbeitest, darfst du nur WLANs nutzen, die mindestens nach dem Standard WPA2 (kleines Schlosssymbol neben WLAN Namen) verschlüsselt sind.

5. Bitte speichere Kundendaten nur in der Owncloud

Du darfs niemals Kundendaten außerhalb deines Owncloud-Ordners auf deinem Smartphone speichern (z.B. in Kontaktdaten). Nutze hierzu die Owncloud App wie in den Tutorials beschrieben.

6. Bitte verschlüssele dein Smartphone

Apple iOS Geräte sind von Haus aus verschlüsselt, wenn Du einen Passcode eingibst. Bei Android funktioniert das bei jedem Gerät anders. Anleitung: gib bei YouTube z. B. „S8 Encryption“ ein.

7. Bitte nutze nur die OX E-Mail App und keine E-Mail Apps anderer Anbieter

Zum Empfang und Versand von my-vpa E-Mails darfst du auf deinem Smartphone ausschließlich die „OX Mail“ App aus dem Playstore/Appstore nutzen. IMAP oder POP3 ist verboten.

8. Bitte installiere immer alle iOS/Android Updates

Installiere alle Updates, wenn diese von den Herstellern angeboten werden. Installiere keine Apps die nicht in dem jeweiligen App-Store zertifiziert sind.

 

Häufige Fragen 

Frage Ist diese Vereinbarung mit der Bestätigung am 25.05 in der my-vpa-App erledigt oder muss ich euch separat eine Vereinbarung zu senden und wenn ja in welcher Form?

Antwort Ja, ist mit der elektronischen Bestätigung erledigt.

 

Frage Muss ich für einzelne Kunden eine zusätzliche Datenschutzvereinbarung unterschreiben?

Antwort Nein, eine zusätzliche Datenschutzvereinbarung ist nicht nötig. Melde dich beim Admin-Team, wenn eine Kunde dich bittet, eine Zusatzvereinbarung zu unterzeichnen.

 

Frage Muss ich sämtliche E-Mails, Skype-Chats vergangener Kunden löschen, für die ich mal ein Projekt gemacht habe und mit denen ich zurzeit nicht mehr in Kontakt stehe?

Antwort Nein, du wirst explizit von der Software mit einer Benachrichtigung darauf hingewiesen, wenn und welche Daten du löschen musst.

 

Frage Ich habe auf OwnCloud abgeschlossene Projekte nach wie vor gespeichert. Muss ich diese nun alle löschen?

Antwort Nein, diese werden vom System automatisch gelöscht.

 

Frage Was heißt alte Kundendaten? Manche Aufträge waren einmalig, sodass ich davon ausgehen kann, dass diese „alt sind“ und nun gelöscht werden können. Ich habe aber auch noch „alte Projekte“ bzw. „alte E-Mails“ von Kunden, bei denen ich vermute, dass ich in Zukunft nochmal eine Zusammenarbeit stattfinden könnte – es wäre vielleicht unklug, sämtliche alten Daten zu diesen Kunden zu löschen?!

Antwort Du musst aktiv keine Kundendaten löschen. Du wirst explizit von der Software mit einer Benachrichtigung darauf hingewiesen, wenn und welche Daten Du löschen musst.

 

Frage Hin und wieder bespreche ich Aufgabendetails mit meinem Kunden per Skype. Aus dem Gespräch formuliere ich dann meist eine schriftliche Beschreibung der Aufgabe, aber ich halte nicht immer direkt alle Anweisung genau fest. Müsste ich das tun?

Antwort Nein.

 

Frage Bei einigen Kunden kommuniziere ich auf deren Wunsch über Slack, Whatsapp etc. Darf ich das und muss ich wenn ich das dann mache etwas besonderes zum Schutz der Daten unternehmen?

Antwort In den TOM steht, dass du mit dem Kunden zum Schutz der personenbezogenen Daten nicht über private Kommunikationskanäle wie WhatsApp kommunizieren darfst. Für diesen Fall gibt es aber eine Ausnahme: Sofern der Kunde dies in der Aufgabe schriftlich freigibt, ist es erlaubt. Wichtig: der Kunde muss explizit in der Aufgabe schreiben, dass er zur Bearbeitung dieser Aufgabe die Kommunikation über z.B. WhatsApp wünscht. Kurzum, der Kunde muss das also aktiv und schriftlich in der Aufgabe fordern. Wenn das in der Aufgabe vom Kunden so geschrieben wird (Aufgabe darf nicht durch VPA eingestellt sein), dann geht das. Kunde muss also schriftlich Freigabe für jede einzelne Aufgabe erteilen. Ein kurzer Satz reicht hierfür, dieser gilt aber nur für diese und nicht automatisch für die nächste Aufgabe. Wenn du dann über z. B. WhatsApp kommunizierst musst du keine Sicherheitsmaßnahmen ergreifen.

 

Frage Darf ich nicht personenrelevante Aufgabendaten auf einem externen Speicher, z.B. USB Stick speichern?

Antwort Nein. Ale Aufgabendaten darfst du nur in der OwnCloud (Web oder Desktop Client) speichern.

 

Frage Bei mir funktioniert die Festplatten-Verschlüsselung nicht. Ich habe eine Windows Home Edition.

Antwort In diesem Fall verschlüssele nicht deine ganze Festplatte, sondern nur den OwnCloud Ordner auf deiner Festplatte. Eine Anleitung findest du hier.

 

Frage Darf ich als Virenscanner den Windows Defender nutzen?

Antwort Ja.

 

Frage Mein aktuelles Windows-Passwort hat nur 7 Zeichen und das Passwort wird erst in einem Monat über eine automatische Abfrage wieder geändert. Reicht das?

Antwort Nein, bitte ändere das Passwort jetzt manuell.

 

Frage Kann Imap/Prop3 nicht doch erlaubt werden, das sich dadurch meine Reaktionsgeschwindigkeit auf Kundenemails verringern wird?

Antwort Imap/Prop3 darf gemäß DSGVO leider nicht erlaubt werden, da die E-Mails dann direkt auf dem Endgerät gespeichert werden und nicht mehr im zentralen Zugriff von my-vpa sind. Der zentrale Zugriff muss jedoch gewährleistet sein. Wir wissen, dass das eine ärgerliche Einschränkung ist, können dies aber leider nicht ändern. Einzige Lösungsmöglichkeiten sind

  1. OX im Webbrowser nutzen, dass geht auf allen Endgeräten und User erhält auch Notifications
  2. Die my-vpa mobile App (kommt noch im Mai 2018 raus) informiert den User via Push-Notifications über neue Events (z.B. neue Chats), was die allgemeine Reaktionsgeschwindigkeit erhöhen und auch die Notwendigkeit von E-Mails verringern sollte.

 

Frage Wird es künftig nicht mehr erlaubt sein, das mich mein Kunde auf dem Handy telefonisch erreichen kann bei wichtigen Fragen?

Antwort In den TOM steht, dass Du mit deinem Kunden nur über die von my-vpa zur Verfügung gestellten Kommunikationskanäle kommunizieren darfst . Achtung: Die Kommunikation über private Telefone, Smartphones (auch WhatsApp oder ähnlich), private Skype Accounts ist also verboten.

 

Frage Kann der Assistent unter schriftlicher Freigabe des Kunden Daten auf anderen Kanälen abspeichern (z.B. Google Drive)?

Antwort Wie bei privaten Kommunikationsanlagen. Kunde muss das in “jeder” Aufgabe explizit anweisen.

 

Frage Wie sieht das mit der Passwortweitergabe aus, hinsichtlich von Kundenportalen etc.? Dürfen diese über Emails mitgeteilt werden?

Antwort Über die Art und Weise der Weitergabe von Passwörtern etc. entscheidet allein der Kunde. Aus Gründen der Sicherheit empfiehlt es sich jedoch, keinerlei “geheime” Daten via E-Mail zu versenden, sondern dies auf telefonischem Wege zu machen oder in Passwort und Benutzernamen in getrennten Emails zu versenden. Kreditkarten Daten, Bankraten etc. niemals per Email.