Umgang mit Kundendaten

Der Schutz personenbezogener Daten hat für mich höchste Priorität.

Es gelten die Anforderungen Datenschutz-Grundverordnung (DSGVO), die zum 25.5.2018 in Kraft tritt. Ein Eckpfeiler der DSGVO ist der Grundsatz der Transparenz. In diesem Sinne informiere ich hier gerne über meinen Umgang mit Kundendaten.

  1. Verantwortlich für den Umgang mit Kundendaten ist allein der freiberufliche Dienstleister: Tim Reeves, Flurstr. 10, D-85221 Dachau. Kontaktmöglichkeiten finden Sie auf der Kontaktseite.
  2. Ein ständiger Vertreter oder Datenschutzbeauftragter habe ich nicht.

Personenbezogene Daten in meinem Unternehmen

  1. Personenbezogenen Daten entstehen in meinem Unternehmen
    • Durch den Erhalt von E-Mails.
    • Durch die Protokollierung von Gesprächen und Telefonaten.
    • Durch meine Aktivität im Auftrag von Kunden z.B. bei der inhaltlichen Gestaltung ihrer Websites bzw. Einrichtung von Software samt Zugangsdaten.
    • Durch Rechnungsstellung (die Rechnungen schreibe ich selbst).
  2. In geringem Maße liegen solche Daten in Papierform vor (Buchhaltungsdaten). Sie befinden sich in meinem Büro.
  3. Alle übrigen Daten – E-Mails, Dateien, Kontakt- und Termindaten – liegen primär auf einem exklusiv von mir genutzten, angemieteten virtuellen Server, der in einem Rechnenzentrum des Vermieters (Hetzner Online GmbH) steht. Für die Verwaltung der Daten setze ich ein:
    • E-Mail-Verkehr wird von den gängigen Programmen Dovecot und Postfix abgewickelt; die Übertragung der E-Mails zwischen meinen Endgeräten und dem Server erfolgt verschlüsselt.
    • Dateien, Kontakte und Termine werden mittels Nextcloud verwaltet. Nextcloud entspricht den Industriestandards wie Abschnitt 14 der ISO / IEC 27001-2013 und den damit verbundenen Standards, Leitlinien und Sicherheitsprinzipien.
    • Die mittels Nextcloud massgeblich am Server vorgehaltenen Daten werden, damit ich damit arbeiten kann, zu 2 PCs in meinem Büro laufend gespiegelt, sowie zu meinem Tablet (wenn er eingeschaltet ist, was selten vorkommt).
  4. Der Server selbst wird von mir allein verwaltet; nur ich besitze die entsprechenden Zugangsdaten. Als Dienstleister auf genau diesem Gebiet, versehe ich den Server (das Betriebssystem selbst, die laufenden Dienste sowie auf dem Server gehosteten eigene Websites) mit sehr vielen Sicherheitsvorkehrungen gegen Einbruch. Die Unversertheit und Verfügbarkeit dieser Systeme werden laufend überwacht.

Recht auf Auskunft, Löschung und Berichtigung

Diese Rechte sind eher in Bezug auf Unternehmen gemünzt, die personenbezogenen Daten im Großen Stil speichern und bereitstellen – wie Facebook, Twitter und Co. Dennoch gelten sie allgemein, und ich muss daher darauf hinweisen – obwohl ich selbstverständlich Daten meiner Kunden weder öffentlich verfügbar mache noch an Dritte weitergebe (letzteres mit Ausnahme meiner Buchhaltungsdaten oder eines legalen Zwanges).

  1. Personen deren Daten gespeichert wurden haben ein Auskunftsrecht über Ihre gespeicherten Daten und können in einem formlosen Antrag Auskunft darüber verlangen.
  2. Dies ermöglicht den Personen weitere Rechte geltend zu machen:
    • Löschung oder Einschränkung der Verarbeitung soweit gesetzliche Regelungen dies nicht verhindern.
    • Berichtigung der Daten.

Löschung personenbezogener Daten ohne Aufforderung

  1. Zu meiner eigenen Entlastung lösche ich Daten von ehemaligen Kunden wie folgt:
    • Wenn ein Kunde die Zusammenarbeit aufkündigt und eine spätere Wiederaufnahme der Zusammenarbeit nicht im Raum steht.
    • Wenn ein Kunde die Zusammenarbeit implizit aufkündigt (z.B. der Kunde ersetzt eine von mir erstellten Website durch das Werk eines anderen Dienstleisters.
    • Wenn eine Website endgültig vom Netz geht (Geschäftsaufgabe, Verstorben usw.) oder ein Server gekündigt und abgeschaltet ist.
    • Diese Arbeit nehme ich mir jährlich, in den Weihnachtsferien vor, um ballastfrei in das neue Jahr gehen zu können.
    • Buchhaltungsdaten vernichte ich nach Ablauf der gesetzlichen Aufbewahrungspflicht von 10 Jahren.

Personenbezogenen Daten bei meinen Kunden

  1. Als Administrator von Servern und Websites habe ich Zugriff auf sämtlichen dort liegenden Kundendaten meiner Kunden.
  2. Ein Kopieren oder Verarbeiten solcher Daten mache ich grundsätzlich nicht, Einsicht nehme ich nur dann wenn ich ein Kunde in der Benutzung von Werkzeugen einweisen muss (z.B. Abrufen und Interpretieren von Besucherstatistiken, Nutzung von Newsletter-Software). Dennoch gelte ich nach den Kriterien der DSGVO als Auftragsdatenverarbeiter, alleine weil ich Zugangsmöglichkeit zu solchen Daten habe.
  3. Aus diesem Grund lege ich meinen Kunden nahe, auf das Sammeln und Verarbeiten von personenbezogenen Daten zu verzichten, wo es nur geht. Fallen dennoch durch ein berechtigtes Interesse personenbezogenen Daten an, so möchte ich zum gegenseitigen Schutz einen Auftragsdatenverarbeiter-Vertrag mit dem Kunden schließen. Fallen keine personenbezogenen Daten an, so ergibt sich diese Frage nicht.

Verantwortung und Kontinuität

An meiner Person hängt durch die Art meiner Tätigkeit viel Verantwortung bezüglich Kundendaten. Aber auch dafür, dass Server und Websites kontinuierlich im Internet erreichbar sind und bleiben. Ich gehöre zu den besonders pflichtbewussten Menschen und versuche stets, diesen Verantwortungen gerecht zu werden.

Obenstehende Ausführungen, dass ich der einzige bin, der Zugang zu meiner IT-Infrastruktur hat, ist zwar beruhigend in Bezug auf den Datenschutz – könnte aber beunruhigend wirken im Sinne der Kontinuität – wer sollte die Website / den Server verwalten, wenn ich es nicht mehr kann oder will? Aus diesem Grund rate ich meinen Kunden grundsätzlich zu Strategien, die keine Abhängigkeit zu meiner Person beinhalten (z.B. Domains bei unabhängigen Spezialisten im eigenen Namen anzumieten). Meine Kunden erhalten auch alle Zugangsdaten zu ihren Servern und Websites von mir – unabhängig davon, ob sie persönlich etwas damit anfangen können. Im Notfall reichen diese Zugangsdaten damit ein Fachkollege die Betreuung übernehmen könnte.