Information, Belehrungen und Merkblätter für Freelancer
Datenschutzkonzept Inhaltsangabe
1. Einführung
2. Umfang der Tätigkeit und räumlicher Geltungsbereich
3. Verantwortliche Stelle für Datenschutz
4. Fortbildung und technischer Entwicklungsstand
5. Sensibilisierung von Freelancern und Dienstleistern
6. Arten der Datenverarbeitung und Verarbeitungszwecke
7. Prüfung auf Datenschutzfolgen (DSFA)
8. Darstellung der technischen und organisatorischen Maßnahmen (TOMs)
8.1 Grundprinzipien
8.2 IT-Systeme und Infrastruktur
8.3 Verantwortlichkeiten im IT-Bereich
8.4 Einzelne Maßnahmen
8.4.1 Wahrung der Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
8.4.2 Zugangskontrolle
8.4.3 Zugriffskontrolle
8.4.4 Trennungskontrolle
8.4.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
8.4.6 Verschlüsselung von Daten
8.5 Sicherstellung der Integrität (Art. 32 Abs. 1 lit. b DSGVO)
8.5.1 Kontrolle bei Datenweitergabe
8.5.2 Kontrolle bei Dateneingaben
8.6 Verfügbarkeit und Belastbarkeit
8.6.1 Verfügbarkeitskontrolle
8.6.2 Schnelle Wiederherstellbarkeit
8.7 Organisationskontrolle
8.7.1 Organisationskontrolle
8.7.2 Sicherheits- und Risikomanagement
8.7.3 Zertifizierungen und Standards
8.7.4 Verfahren für Sicherheitsvorfälle (Incident Response)
8.7.5 Datenschutzfreundliche Grundeinstellungen
8.7.6 Kontrolle bei Auftragsverarbeitung
9. Verfahren zur Authentifizierung und Qualitätssicherung der Freelancer
9.1 Überprüfung der Identität der Freelancer (Nutzer)
9.2 Maßnahmen zur Qualitätssicherung
10. Rechtliche Hinweise (Impressum & Datenschutzerklärung)
11. Wahrung der Rechte betroffener Personen
11.1 Prozessabläufe zur Sicherstellung von Betroffenenrechten
11.2 Ablauf bei Datenschutzverletzungen (Prozesskette)
12. Jährliche Überprüfung und Optimierung (Checkliste)
13. Schlussfolgerung / Zusammenfassung
1. Einführung
Dieses Datenschutzkonzept orientiert sich an den Grundsätzen des Art. 5 Abs. 1 DSGVO und und Art. 5 UK-GDPR, wie Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität, Vertraulichkeit sowie dem Recht auf Löschung („Recht auf Vergessenwerden“). Grundlage für die Verarbeitung personenbezogener Daten bildet stets eine rechtmäßige Verarbeitung im Sinne des Art. 6 DSGVO und Art. 6 UK-GDPR.
Die Einhaltung der Verordnungskonformität (Art. 5 Abs. 2; Art. 24 Abs. 1 DSGVO), die Wahrung der Rechte betroffener Personen (Art. 13–20 DSGVO), die Erfüllung der Meldepflichten bei Datenschutzverletzungen (Art. 33–34 DSGVO) sowie die Nachweis- und Rechenschaftspflicht (Art. 5 Abs. 2; Art. 24 Abs. 1 DSGVO) sind durch dieses Konzept abgesichert.
Zur kontinuierlichen Sicherstellung der Datenschutz- und Datensicherheitsstandards wird mindestens einmal jährlich ein Kontroll- und Verbesserungsprozess durchgeführt (Art. 32 Abs. 1 DSGVO). Grundlage hierfür bildet unter anderem die Checkliste, die im letzten Kapitel dieses Datenschutzkonzepts enthalten ist.
2. Umfang und räumlicher GeltungsbereichSupportConnect verarbeitet personenbezogene Daten von natürlichen Personen ab dem vollendeten 18. Lebensjahr (Art. 8 DSGVO). Die Verarbeitung erfolgt ganz oder teilweise automatisiert.
Der Geschäftssitz des Unternehmens befindet sich im Vereinigten Königreich:
G&B Commerce Ltd. / SupportConnect71–75 Shelton Street
Covent Garden
WC2H 9JQ London
England
E-Mail:
gb-commerce@outlook.comTel.: +49 (0)1567 9597337
Web:
www.supportconnect.de3. Datenschutzbeauftragter und Verantwortlicher für den DatenschutzNach den gesetzlichen Kriterien (Art. 37 DSGVO und Art. 37 UK-GDPR) ist ein Datenschutzbeauftragter (DSB) nur dann zu bestellen, wenn eine der folgenden Voraussetzungen erfüllt ist:
- die Verarbeitung erfolgt durch eine Behörde oder öffentliche Stelle (ausgenommen Gerichte),
- die Verarbeitung personenbezogener Daten stellt eine Kerntätigkeit der Organisation dar und erfordert eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen,
- oder die Verarbeitung betrifft in erheblichem Umfang besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten, ethnische Herkunft, biometrische oder genetische Daten, Gewerkschaftszugehörigkeit).
Für SupportConnect liegen diese Voraussetzungen derzeit nicht vor. Ein Datenschutzbeauftragter wurde daher nicht benannt.
Verantwortlicher für den Datenschutz im Sinne der DSGVO und des UK-GDPR:
G&B Commerce Ltd. / SupportConnect
71–75 Shelton Street
Covent Garden
WC2H 9JQ London
England
4. Weiterbildung und Stand der TechnikSupportConnect sorgt dafür, dass die Verantwortlichen regelmäßig über aktuelle Entwicklungen im Datenschutzrecht informiert sind. Hierzu nehmen die Geschäftsführung und ggf. Mitarbeitende an Schulungen, Fachwebinaren und Informationsveranstaltungen teil (z. B. bei spezialisierten Datenschutz- oder Unternehmerportalen).
Die Weiterbildung erfolgt in regelmäßigen Abständen, um sicherzustellen, dass der Umgang mit personenbezogenen Daten stets dem aktuellen Stand der Technik und den gesetzlichen Anforderungen entspricht.
5. Sensibilisierung von Mitarbeitenden und DienstleisternSupportConnect legt großen Wert darauf, dass alle eingebundenen Mitarbeitenden und externen Dienstleister im Umgang mit personenbezogenen Daten geschult und für Datenschutzfragen sensibilisiert sind. Nur informierte und verantwortungsbewusste Personen können Sicherheitsmaßnahmen wirksam umsetzen und potenzielle Vorfälle frühzeitig erkennen.
Tritt ein Sicherheitsvorfall auf, ist dieser unverzüglich zu analysieren. Sobald die Ursache identifiziert wurde, sind geeignete Maßnahmen zur Behebung einzuleiten. Falls erforderlich, werden betroffene Systeme oder Zugänge vorübergehend isoliert, um mögliche Auswirkungen einzudämmen.
Jeder Vorfall wird vollständig dokumentiert, einschließlich der ergriffenen Maßnahmen und der daraus gezogenen Erkenntnisse.
Zur zusätzlichen Absicherung stellt SupportConnect Musterverpflichtungen zur DSGVO- und UK-GDPR-Compliance für Mitarbeitende sowie Musterverträge zur Auftragsverarbeitung zur Verfügung.
6. Datenverarbeitungen und Verarbeitungszwecke
SupportConnect verarbeitet personenbezogene Daten ausschließlich zu klar definierten und rechtmäßigen Zwecken.
6.1. Rechnungswesen und Geschäftsabwicklung
Wir verarbeiten und übermitteln personenbezogene Daten im Rahmen der Geschäftsbeziehungen mit Auftraggebern, Freelancern und Lieferanten sowie an Dritte und Geschäftspartner, die an der Abwicklung beteiligt sind. Dies umfasst auch deren jeweilige Kontaktpersonen. Hierbei können automatisiert erstellte und archivierte Dokumente wie Rechnungen, Verträge oder geschäftliche Korrespondenz verarbeitet werden.
6.2. Kundenbetreuung und Marketing
Zur serviceorientierten Betreuung von Auftraggebern, Freelancern, Lieferanten und weiteren Geschäftspartnern verarbeitet SupportConnect personenbezogene Daten auch zu Informations- und Marketingzwecken. Dazu gehören die Pflege von Kontakten, der Versand von Newslettern, Informationsmaterial, Serienmails sowie die Bearbeitung und Archivierung geschäftlicher Korrespondenz.
6.3. Betrieb der Internetseite
Im Rahmen der Nutzung unserer Plattform und des Stellenmarkts können personenbezogene Daten verarbeitet und übermittelt werden, z. B. Firmenname, Ansprechpartner, Telefonnummer, Webseitenadresse, Stellenbeschreibung, Lebenslauf, Adresse, Benutzername und Passwort. Darüber hinaus erfolgt ein Newsletter-Versand, um Interessenten und Kunden regelmäßig über neue Stellenangebote sowie Themen rund um unsere Plattform und Social Media zu informieren.
6.4. Webseitenanalyse
Zur Verbesserung und Optimierung unseres Online-Angebots analysiert SupportConnect das anonymisierte Besucherverhalten auf der Webseite. Dabei werden unter anderem Einstiegs- und Ausstiegsseiten, die Verweildauer sowie weitere Nutzungsdaten ausgewertet, um die Nutzerfreundlichkeit und Nachvollziehbarkeit der Seitenbesuche zu erhöhen.
6.5. Kontaktformular und Freelancerbereich
Über das Kontaktformular können Interessenten und Kunden Anfragen an SupportConnect richten, die zur Bearbeitung ihrer Anliegen verarbeitet werden. Darüber hinaus haben registrierte Nutzer die Möglichkeit, sich in den geschützten Freelancerbereich einzuloggen, um auf spezifische Inhalte und Funktionen der Plattform zuzugreifen.
7. Datenschutz-Folgenabschätzung
Sollte eine geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, ist vor Beginn eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und Art. 35 UK-GDPR durchzuführen. Die Prüfung und Entscheidung, ob eine solche Folgenabschätzung erforderlich ist, obliegt der Geschäftsleitung von SupportConnect. Das Verfahren darf erst nach entsprechender Prüfung und Freigabe gestartet werden.
8. Beschreibung der Technisch-organisatorischen Maßnahmen (TOMS)
8.1 Grundsätze
SupportConnect hat als verantwortliche Stelle geeignete technische und organisatorische Maßnahmen (TOMs) umgesetzt, um die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des UK-GDPR einzuhalten und dies auch nachweisen zu können. Diese Maßnahmen stellen sicher, dass alle Verarbeitungen personenbezogener Daten in Einklang mit den gesetzlichen Anforderungen erfolgen.
Die Maßnahmen zielen insbesondere darauf ab:
- die Vertraulichkeit der Systeme und Dienste zu gewährleisten,
- die Integrität der Datenverarbeitung sicherzustellen,
- die Verfügbarkeit der Systeme und Dienste aufrechtzuerhalten,
- die Belastbarkeit der Systeme auch im Störungsfall zu sichern,
- sowie die Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten nach einem physischen oder technischen Zwischenfall zu ermöglichen.
- Darüber hinaus erfolgen regelmäßige Prüfungen, Bewertungen und Evaluierungen der eingesetzten Maßnahmen, um deren Wirksamkeit dauerhaft sicherzustellen.
Die Auswahl und Umsetzung der technischen und organisatorischen Maßnahmen richtet sich nach:dem
- Stand der Technik,
- den Kosten der Implementierung,
- der Art, dem Umfang, den Umständen und dem Zweck der jeweiligen Verarbeitung,
- sowie nach der Eintrittswahrscheinlichkeit und dem möglichen Schweregrad der Risiken für die Rechte und Freiheiten betroffener Personen.
Dabei wird stets ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sichergestellt. Um dieses Schutzniveau dauerhaft zu wahren, werden die Maßnahmen regelmäßig überprüft, angepasst und bei Bedarf aktualisiert.
8.2 IT-Infrastruktur
Die eingesetzte IT-Infrastruktur von SupportConnect ist in einem gesonderten Dokument („Technisches Setup und DV-Infrastruktur“) beschrieben.
8.3 Verantwortlicher für IT
Verantwortlich für die IT-Infrastruktur und die Umsetzung ist Herr Okan Bicer.
E-Mail:
kontakt@supportconnect.de
8.4 Einzelmaßnahmen
8.4.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO / Art. 32 Abs. 1 lit. b UK-GDPR)
Da SupportConnect keine eigenen Serverräume oder physischen Rechenzentren betreibt, bezieht sich die Zutrittskontrolle ausschließlich auf die digitalen Systeme. Der Zugriff auf personenbezogene Daten ist nur autorisierten Personen möglich. Hierfür setzen wir insbesondere auf:
- Nutzung von individuellen Benutzerkonten mit sicheren Passwörtern,
- Zwei-Faktor-Authentifizierung (2FA) für administrative Zugänge,
- verschlüsselte Verbindungen (TLS/SSL) bei allen Datenübertragungen,
- Zugriffsbeschränkungen nach dem Need-to-know-Prinzip,
- regelmäßige Überprüfung und Anpassung der Zugriffsrechte.
8.4.2 Zugangskontrolle
Der Zugang zu den IT-Systemen und Anwendungen von SupportConnect ist ausschließlich autorisierten Nutzern gestattet. Unbefugte Zugriffe werden durch folgende Maßnahmen verhindert:
- Nutzung von individuellen Benutzerkonten mit sicherem Passwort (Mindestlänge, Passwortkonventionen).
- Zwei-Faktor-Authentifizierung (2FA) für Administratoren und sensible Zugänge.
- Rechte- und Rollenmanagement: Zugriff wird nach dem Need-to-know-Prinzip vergeben, Änderungen erfolgen nur durch autorisierte Administratoren und werden dokumentiert.
- Bildschirmsperre nach maximal 10 Minuten Inaktivität.
- Sichere WLAN-Nutzung (Trennung von Gäste-WLAN und Arbeitsnetzwerk).
- Remote-Zugriff ausschließlich über verschlüsselte Verbindungen (TLS/SSL, VPN oder SSH-Schlüssel).
8.4.3 Zugriffskontrolle
Die Zugriffskontrolle stellt sicher, dass nur berechtigte Personen Zugriff auf Systeme und Daten von SupportConnect erhalten und unbefugte Tätigkeiten wie das Lesen, Kopieren, Verändern oder Löschen von Informationen verhindert werden.
Um dies zu gewährleisten, setzt SupportConnect folgende Maßnahmen um:
- Rollen- und Berechtigungskonzept: Jeder Nutzer erhält nur die Zugriffsrechte, die er für seine Tätigkeit benötigt („Need-to-know-Prinzip“). Änderungen und Entzüge von Berechtigungen erfolgen ausschließlich durch autorisierte Administratoren.--
- Individuelle Benutzerkonten: Der Zugriff auf Systeme erfolgt ausschließlich über persönliche Benutzerkennungen mit Passwörtern.
- Sichere Authentifizierung: Administratoren und sensible Zugänge werden zusätzlich durch starke Passwortkonventionen und ggf. Zwei-Faktor-Authentifizierung abgesichert.
- Regelmäßige Überprüfung: Bestehende Zugriffsrechte werden regelmäßig kontrolliert und bei Bedarf angepasst oder entzogen.
- Protokollierung: Zugriffe und administrative Änderungen werden in Logdateien dokumentiert und regelmäßig überprüft.
- Verpflichtung der Administratoren: Administratoren und Mitarbeitende mit besonderen Berechtigungen sind zur Einhaltung von Datenschutz, Fernmeldegeheimnis und Informationssicherheit verpflichtet und werden regelmäßig geschult.
- Löschung und Vernichtung: Daten werden nach Ablauf der Aufbewahrungsfrist sicher gelöscht. Papierunterlagen oder Ausdrucke werden kontrolliert und datenschutzkonform vernichtet.
8.4.4 Trennungskontrolle
Die Daten der Nutzer werden in einer zentralen Datenbank gespeichert, wobei die Trennung nach Nutzerrollen (z. B. Freelancer, Auftraggeber) sowie nach Verarbeitungszwecken durch entsprechende Kennzeichnungen (Attribute/IDs) erfolgt. Der Zugriff auf die Daten ist ausschließlich autorisierten Personen vorbehalten. Eine Vermischung oder zweckwidrige Nutzung der Daten ist ausgeschlossen.
8.4.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO / Art. 32 Abs. 1 lit. a UK-GDPR; Art. 25 Abs. 1 DSGVO / Art. 25 Abs. 1 UK-GDPR)
Im SupportConnect Portal werden personenbezogene Daten den jeweiligen Nutzern durch eine eindeutige interne Kennung (z. B. „freelancer01“) zugeordnet. Diese Kennung dient der Darstellung auf der Plattform und ermöglicht eine organisatorische Trennung zwischen öffentlicher Anzeige und den hinterlegten Stammdaten (z. B. Name, Anschrift, Bankdaten).
Da die Identifikationsdaten in derselben Datenbank wie die jeweilige Kennung gespeichert sind, handelt es sich hierbei nicht um eine vollständige Pseudonymisierung im Sinne der DSGVO, sondern um eine interne Kennzeichnung der Nutzer. Eine tatsächliche Pseudonymisierung, bei der eine Zuordnung nur durch zusätzliche, gesondert aufbewahrte Informationen möglich wäre, findet nicht statt.
SupportConnect stellt jedoch durch technische und organisatorische Maßnahmen sicher, dass Zugriffe auf diese Daten ausschließlich autorisierten Personen vorbehalten sind und eine unbefugte Verknüpfung der Informationen ausgeschlossen ist.
8.4.6 Maßnahmen zur Verschlüsselung der Daten
Das Ziel der eingesetzten Verschlüsselungsmaßnahmen ist es, personenbezogene Daten und vertrauliche Informationen vor unbefugter Einsichtnahme oder Veränderung zu schützen.
Die Übertragung sämtlicher Daten erfolgt ausschließlich über verschlüsselte Verbindungen (HTTPS/TLS). Sowohl das SupportConnect Portal (gehostet über IONOS und Webflow) als auch die angebundenen Systeme (z. B. Firebase, Make) nutzen aktuelle Verschlüsselungsstandards (TLS) für die Kommunikation zwischen Endgerät des Nutzers und den jeweiligen Servern.
Eine zusätzliche E-Mail-Verschlüsselung (z. B. S/MIME oder PGP) wird derzeit nicht standardmäßig eingesetzt, ist jedoch bei Bedarf und auf Gegenseitigkeit möglich.
Gespeicherte Daten innerhalb der genutzten Systeme (z. B. Firebase-Datenbanken und Cloud-Speicher) werden durch die vom Anbieter bereitgestellten Verschlüsselungsverfahren abgesichert. SupportConnect stellt durch organisatorische Maßnahmen sicher, dass ausschließlich autorisierte Personen Zugriff auf die Daten haben.
8.5 Integrität (Art. 32 Abs. 1 lit. b DSGVO / Art. 32 Abs. 1 lit. b UK-GDPR)
8.5.1 Weitergabekontrolle
Es wird sichergestellt, dass personenbezogene Daten bei elektronischer Übertragung oder Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Organisatorische Vorgaben: Der Umgang mit Daten ist durch interne Richtlinien geregelt; ein unberechtigter Export oder Transfer ist untersagt.
- Gesicherte Speicherung: Alle Datensicherungen erfolgen ausschließlich in Cloud-Systemen von zertifizierten Anbietern (z. B. Firebase, IONOS), die ihrerseits den Anforderungen der DSGVO und gängigen Sicherheitsstandards entsprechen. Eine physische Aufbewahrung eigener Datenträger findet nicht statt.
- Datenträgerentsorgung: Sofern ausnahmsweise lokale Datenträger (z. B. externe Festplatten, USB-Sticks) genutzt werden, erfolgt deren Löschung oder Vernichtung nach anerkannten Standards (z. B. DIN 66399, Sicherheitsstufe 3 oder höher).
- Zugriffskontrolle: Der Zugriff auf Systeme ist ausschließlich autorisierten Personen vorbehalten und erfolgt über individuelle Benutzerkennungen und starke Authentifizierung (z. B. Passwort, ggf. Zwei-Faktor-Authentifizierung).
- Verschlüsselte Übertragung: Die Übermittlung sensibler Daten erfolgt ausschließlich über verschlüsselte Verbindungen (TLS/HTTPS). Bei hochsensiblen Daten kann zusätzlich eine E-Mail-Verschlüsselung (z. B. PGP, S/MIME) genutzt werden.
8.5.2 Eingabekontrolle
Es wird sichergestellt, dass nachvollzogen werden kann, ob und von wem personenbezogene Daten in die Systeme eingegeben, verändert oder gelöscht wurden.
- Zugangsregelungen: Der Zugriff auf personenbezogene Daten erfolgt ausschließlich über personalisierte Accounts. Jeder Nutzer erhält individuelle Zugangsdaten, sodass eine eindeutige Identifizierung möglich ist.
- Protokollierung: Alle relevanten Zugriffe und Änderungen an personenbezogenen Daten werden durch systemseitige Logging-Funktionen (z. B. Firebase Audit Logs, Server-Logs) erfasst. Dadurch ist nachvollziehbar, welche Benutzer welche Aktionen durchgeführt haben.
- Rechtemanagement: Nutzerrechte werden rollenbasiert vergeben (z. B. Admin, Freelancer, Auftraggeber) und regelmäßig überprüft. Änderungen an Berechtigungen werden dokumentiert.
- Aufbewahrung von Protokollen: Systemprotokolle werden für die Dauer der gesetzlichen oder vertraglichen Aufbewahrungsfristen gespeichert und anschließend datenschutzgerecht gelöscht.
- Änderungsnachweise: Änderungen in Datenbanken (z. B. Firebase) werden revisionssicher gespeichert.
8.6 Verfügbarkeitskontrolle
Zum Schutz vor zufälliger oder vorsätzlicher Zerstörung sowie Verlust von personenbezogenen Daten werden geeignete Maßnahmen umgesetzt.
- Regelmäßige Datensicherung: Sämtliche Daten werden durch die genutzten Cloud-Dienste (z. B. Firebase, IONOS) regelmäßig gesichert und redundant gespeichert. Dadurch ist eine schnelle Wiederherstellung im Notfall gewährleistet.
- Schutz vor Ausfällen: Die genutzten Cloud-Provider betreiben ihre Systeme mit unterbrechungsfreien Stromversorgungen (USV) sowie Notfallmaßnahmen, die eine kontinuierliche Stromversorgung und Datenverfügbarkeit sicherstellen.
- IT-Sicherheitsmaßnahmen: Firewalls und aktuelle Sicherheitstechnologien werden durch die Provider gewährleistet.
- Backupsystem: Cloudbasierte Backups ermöglichen eine zeitnahe Wiederherstellung bei Störungen oder Datenverlust.
8.7. Organisationskontrolle
8.7.1 Allgemeine Maßnahmen
Zur Sicherstellung der ordnungsgemäßen Verarbeitung personenbezogener und sensibler Daten bestehen organisatorische Maßnahmen, die sich an den Vorgaben der DSGVO orientieren:
- IT-Sicherheitskonzept:
Ein grundlegendes Konzept zur Informationssicherheit ist vorhanden und wird regelmäßig überprüft und angepasst.
- Kennwortrichtlinie: Für alle genutzten Systeme gilt eine verbindliche Richtlinie zur Passwortsicherheit (z. B. Mindestlänge, Komplexität, regelmäßige Aktualisierung).
- Datenschutzrichtlinie: Eine interne Datenschutzrichtlinie ist implementiert und bildet die Grundlage für den sicheren Umgang mit personenbezogenen Daten.
- Datenschutzkoordination: Ein interner Verantwortlicher (Hakan Demir,
kontakt@supportconnect.de) übernimmt die Koordination der Datenschutzmaßnahmen. Ein externer Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht erfüllt sind.
- Verpflichtung von Nutzern und Freelancern: Alle Nutzer und eingebundenen Dienstleister werden auf die Einhaltung der Vertraulichkeit, das Datengeheimnis sowie die Grundsätze der DSGVO (Art. 29, Art. 32 Abs. 4 DSGVO) und des UK-GDPR (Art. 29, Art. 32 Abs. 4) verpflichtet. Personenbezogene Daten dürfen ausschließlich nach Weisung des Verantwortlichen verarbeitet werden.
- Einsatz von Subunternehmern: Werden Subunternehmer eingesetzt, erfolgt dies ausschließlich auf Grundlage einer vertraglichen Vereinbarung, die den datenschutzrechtlichen Anforderungen entspricht (AVV nach Art. 28 DSGVO / Art. 28 UK-GDPR).
- Schulungen und Sensibilisierung: Alle beteiligten Personen werden regelmäßig über Datenschutz- und Informationssicherheitsanforderungen informiert und geschult. Dadurch wird sichergestellt, dass Vorgaben verbindlich umgesetzt und Sicherheitsvorfälle frühzeitig erkannt werden.
8.7.2 Security- und RisikomanagementDas Unternehmen betreibt ein grundlegendes Informationssicherheitsmanagement, das auf den gesetzlichen Vorgaben der DSGVO (insbesondere Art. 32) und des UK-GDPR (insbesondere Art. 32) basiert. Dazu gehören dokumentierte Prozesse für Datenschutz, Zugriffskontrolle und Datensicherung.
Die eingesetzten Sicherheitsmaßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst. Risiken im Zusammenhang mit den genutzten Cloud-Diensten (z. B. Firebase, Webflow, IONOS) werden laufend bewertet.
Ein internes Risikomanagement berücksichtigt sowohl operative Risiken aus Projekten und Verträgen als auch technische Risiken im Hinblick auf Datenschutz, Datensicherheit und die Verfügbarkeit der Dienste.
8.7.3 ZertifizierungDas Unternehmen verfügt derzeit über keine externe ISO-Zertifizierung. Die Umsetzung der technischen und organisatorischen Maßnahmen zum Datenschutz erfolgt jedoch gemäß den Anforderungen der DSGVO (Art. 32) und des UK-GDPR (Art. 32). Interne Überprüfungen und regelmäßige Aktualisierungen gewährleisten, dass ein angemessenes Schutzniveau eingehalten wird.
8.7.4 Incident-Response-ManagementSicherheitsvorfälle werden nach einem klar definierten Verfahren behandelt, um einen reibungslosen Betrieb schnellstmöglich wiederherzustellen. Tritt ein Security-Ereignis auf, wird es zeitnah erkannt, dokumentiert und analysiert.
Je nach Art des Vorfalls werden die zuständigen internen Verantwortlichen sowie, falls erforderlich, externe Fachstellen (z. B. Cloud-Anbieter wie Google/Firebase oder Webflow) einbezogen. Ziel ist es, die Ursache zu identifizieren, Risiken zu minimieren und geeignete Maßnahmen zur Behebung einzuleiten.
8.7.5 Datenschutzfreundliche VoreinstellungenSupportConnect berücksichtigt den Grundsatz „Privacy by Design and by Default“ bereits bei der Gestaltung und Auswahl seiner Systeme und Prozesse. Ziel ist es, eine datenschutzfreundliche Verarbeitung sicherzustellen und das Risiko von Datenmissbrauch präventiv zu reduzieren.
Dazu setzen wir insbesondere folgende Maßnahmen um:
- Erhebung und Verarbeitung nur der personenbezogenen Daten, die für den jeweiligen Zweck erforderlich sind („Need-to-Know-Prinzip“).
- Einsatz von Pseudonymisierung oder Verschlüsselung, sobald dies technisch möglich und zweckmäßig ist.
- Frühzeitige Löschung oder Anonymisierung von Daten, sobald deren Speicherung nicht mehr notwendig ist.
- Minimierung der Zugriffsmöglichkeiten auf personenbezogene Daten durch ein strenges Rechte- und Rollenkonzept.
- Konfiguration der Systeme (z. B. Firebase, Webflow, Cloud-Dienste) mit den datenschutzfreundlichen Standardeinstellungen.
- Transparenz gegenüber Nutzern in Bezug auf Funktionen und Verarbeitungsschritte.
8.7.6 AuftragskontrolleDie Auftragskontrolle stellt sicher, dass personenbezogene Daten, die im Auftrag verarbeitet werden, ausschließlich nach den dokumentierten Weisungen des Auftraggebers verarbeitet werden.
Alle eingesetzten Subdienstleister werden nach klar definierten Kriterien sorgfältig ausgewählt und vorab auf die Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet. Mit allen Dienstleistern, die als Auftragsverarbeiter im Sinne von Art. 28 DSGVO tätig sind, wird ein Auftragsverarbeitungsvertrag geschlossen. Darin sind insbesondere die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten festgelegt, die sich an den in diesem Dokument beschriebenen Standards orientieren. Eine aktuelle Liste der eingesetzten Auftragsverarbeiter wird vorgehalten.
Mitarbeiter, die mit der Auftragsverarbeitung befasst sind, werden regelmäßig im Datenschutzrecht geschult. Ihnen ist bewusst, dass Weisungen des Auftraggebers verbindlich sind und ausschließlich nach diesen gehandelt werden darf. Weisungsbefugte Personen werden klar benannt und dokumentiert.
Vor der Vergabe eines Auftrags wird die IT-Sicherheit des jeweiligen Dienstleisters geprüft. Darüber hinaus wird durch eine eindeutige Vertragsgestaltung mit klarer Abgrenzung von Rechten und Pflichten der Parteien sichergestellt, dass eine Verarbeitung nur auf Grundlage des erteilten Auftrags erfolgt. Weisungen werden grundsätzlich schriftlich erteilt und vom Auftragnehmer bestätigt.
Eine Verarbeitung personenbezogener Daten ohne entsprechende Weisung des Auftraggebers ist ausgeschlossen. Dazu zählen u. a. eine formal geregelte Auftragsvergabe, die strenge Auswahl von Dienstleistern, Vorabprüfungen sowie regelmäßige Nachkontrollen.
Alle Aktivitäten im Zusammenhang mit personenbezogenen Daten erfolgen ausschließlich auf Grundlage eines bestehenden Vertragsverhältnisses. Standardänderungen werden, sofern sie die Verarbeitung personenbezogener Daten betreffen, ausschließlich durch ausdrücklich autorisierte Personen des Auftraggebers entgegengenommen.
9. Freelancer-Authentifizierung und QualitätssicherungNach Art. 32 Abs. 1 und 2 DSGVO sowie Art. 32 Abs. 1 und 2 UK-GDPR ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Werden personenbezogene Daten durch Dritte im Auftrag verarbeitet, so muss sichergestellt werden, dass diese nur auf rechtmäßige Weise und nach aktuellem Stand der Technik verarbeitet werden.
Im Rahmen der Authentifizierung und Qualitätssicherung werden insbesondere folgende Schutzziele verfolgt:
- Datenträgerkontrolle: Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Löschen von Datenträgern.
- Speicherkontrolle: Sicherstellung, dass gespeicherte personenbezogene Daten nicht unbefugt eingesehen, verändert oder gelöscht werden können.
- Benutzerkontrolle: Verhinderung der unbefugten Nutzung von IT-Systemen durch Zugangsbeschränkungen und Authentifizierungsverfahren.
- Zugriffskontrolle: Zugriffsrechte werden so vergeben, dass Nutzer nur auf die für sie erforderlichen personenbezogenen Daten zugreifen können.
- Eingabekontrolle: Nachvollziehbarkeit, welche personenbezogenen Daten zu welchem Zeitpunkt und von welchem Nutzer in Systeme eingegeben, verändert oder gelöscht wurden.
- Auftragskontrolle: Verarbeitung personenbezogener Daten im Auftrag erfolgt ausschließlich nach dokumentierten Weisungen des Auftraggebers.
9.1 Kontrollmaßnahmen zur Authentifizierung von FreelancernZur Sicherstellung, dass ausschließlich der registrierte Freelancer Zugriff auf seinen Account und die vereinbarten Projekte hat, setzt SupportConnect verschiedene Authentifizierungsmaßnahmen ein:
- Benutzername und Passwort: Der Zugang zum SupportConnect-Portal erfolgt ausschließlich über individuelle Zugangsdaten (E-Mail-Adresse und Passwort).
- Passwortrichtlinien: Von Freelancern wird die Verwendung sicherer Passwörter verlangt. Diese dürfen nicht an Dritte weitergegeben werden.
- Identitätsprüfung im Onboarding: Vor der Freischaltung des Accounts wird die Identität des Freelancers überprüft (z. B. durch Vorlage oder Upload von Dokumenten).
- Monitoring von Anmeldeaktivitäten: Ungewöhnliche oder verdächtige Logins können erkannt und manuell überprüft werden.
9.2 Maßnahmen zur QualitätssicherungSilent Monitoring: SupportConnect kann zu Schulungs- und Qualitätssicherungszwecken Gespräche mithören, die von Freelancern im Rahmen eines Projekts geführt werden. Dies geschieht ausschließlich, wenn sowohl der Auftraggeber als auch der Freelancer zuvor ausdrücklich zugestimmt haben. Ziel ist es, den Freelancern durch gezieltes Feedback die Möglichkeit zu geben, ihre Gesprächsführung zu verbessern und so eine höhere Qualität der Dienstleistung zu gewährleisten.
Voice Recording: Gespräche von Freelancern können zu Schulungs- und Dokumentationszwecken aufgezeichnet werden. Dabei wird ausschließlich das gesprochene Wort des Freelancers gespeichert, nicht das des Gesprächspartners. Aufzeichnungen erfolgen grundsätzlich nur mit vorheriger Zustimmung des Freelancers. In Ausnahmefällen, etwa bei konkreten Beschwerden eines Auftraggebers, kann eine Aufzeichnung auch ohne vorherige Kenntnis des Freelancers erfolgen, sofern dies zur Klärung des Sachverhalts erforderlich ist und rechtlich zulässig ist.
10. Impressum und DatenschutzerklärungenDie rechtlich erforderlichen Angaben sind DSGVO-konform auf der Webseite von SupportConnect abrufbar. Dazu gehören insbesondere:
-
Impressum-
Datenschutzerklärung-
Datenschutzinformation (Art. 12 ff. DSGVO / Art. 12 ff. UK-GDPR)-
AGB für Freelancer 11. Wahrung der Betroffenenrechte
SupportConnect stellt allen Nutzern und Betroffenen stets die jeweils aktuelle Version des Datenschutzkonzeptes zur Verfügung.
Gemäß der Datenschutz-Grundverordnung (DSGVO) und des UK-GDPR stehen Betroffenen insbesondere folgende Rechte zu:
- Recht auf Auskunft (Art. 15 DSGVO / Art. 15 UK-GDPR)
- Recht auf Berichtigung (Art. 16 DSGVO / Art. 16 UK-GDPR)
- Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO / Art. 17 UK-GDPR)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO / Art. 18 UK-GDPR)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO / Art. 20 UK-GDPR)
- Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO / Art. 21 UK-GDPR)
- Recht auf Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde
11.1 Prozessabläufe zur Sicherstellung von Betroffenenrechten
Sobald SupportConnect eine Anfrage erhält, mit der ein Betroffener seine Rechte nach der DSGVO geltend machen möchte, sei es mündlich, schriftlich oder per E-Mail, wird diese nach folgendem Verfahren bearbeitet:
1. Identitätsprüfung
Falls der Betroffene nicht eindeutig bekannt ist, erfolgt eine Identitätsfeststellung, um eine unbefugte Weitergabe personenbezogener Daten zu verhindern. Hierzu kann die Vorlage einer Kopie des Personalausweises oder Reisepasses erforderlich sein.
Wenn die Identität nicht bestätigt werden kann und keine weitere Rückmeldung erfolgt, wird die Anfrage geschlossen.
2. Bearbeitung der Anfrage
Wird die Identität zweifelsfrei festgestellt und ist die Anfrage berechtigt, bearbeitet SupportConnect diese innerhalb von maximal 14 Tagen und stellt dem Betroffenen eine klare und verständliche Antwort zur Verfügung. Die Bearbeitung erfolgt wie folgt:
- Auskunft (Art. 15 DSGVO / Art. 15 UK-GDPR): Der Betroffene erhält eine Übersicht seiner gespeicherten personenbezogenen Daten.
- Berichtigung (Art. 16 DSGVO / Art. 16 UK-GDPR): Der Betroffene erhält eine aktualisierte Übersicht seiner korrigierten Daten.
- Löschung (Art. 17 DSGVO / Art. 17 UK-GDPR): Die Daten werden gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen (z. B. steuer- oder handelsrechtliche Fristen) entgegenstehen. In solchen Fällen werden die betreffenden Daten bis zum Ablauf der Frist gesperrt.
- Einschränkung (Art. 18 DSGVO / Art. 18 UK-GDPR): Die Daten werden markiert und nicht weiterverarbeitet, solange die Einschränkung gilt.
- Datenübertragbarkeit (Art. 20 DSGVO / Art. 20 UK-GDPR): Der Betroffene erhält seine Daten in einem maschinenlesbaren Format. Auf Wunsch kann die Übermittlung auch verschlüsselt an einen anderen Verantwortlichen erfolgen.
- Widerspruch (Art. 21 DSGVO / Art. 21 UK-GDPR): Die Verarbeitung wird eingestellt, soweit keine zwingenden schutzwürdigen Gründe entgegenstehen.
- Beschwerderecht: Betroffene werden auf die Möglichkeit hingewiesen, sich bei der zuständigen Datenschutzaufsichtsbehörde (für UK: Information Commissioner’s Office – ICO) zu beschweren.
11.2. Ablauf bei Datenschutzverletzungen (Prozesskette)
Eine Verletzung des Schutzes personenbezogener Daten („Data Breach“) liegt nach Art. 33 DSGVO und Art. 33 UK-GDPR vor, wenn es unbeabsichtigt oder unrechtmäßig zu einer Vernichtung, einem Verlust, einer Veränderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf personenbezogene Daten kommt, die übermittelt, gespeichert oder anderweitig verarbeitet wurden.
Sobald wir von einer solchen Datenschutzverletzung Kenntnis erlangen, prüfen wir unverzüglich den Vorfall und melden ihn, sofern ein Risiko für die Rechte und Freiheiten natürlicher Personen nicht ausgeschlossen werden kann, innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde. Für SupportConnect ist die zuständige Aufsichtsbehörde die Information Commissioner’s Office (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF, Vereinigtes Königreich
Betroffene Personen werden in geeigneter Form informiert, insbesondere wenn die Verletzung voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten darstellt. Sie erhalten parallel eine Kopie der Meldung an die Aufsichtsbehörde.
Alle Datenschutzverletzungen werden von uns dokumentiert. Diese Dokumentation enthält die Art des Vorfalls, dessen mögliche Auswirkungen sowie die ergriffenen Abhilfemaßnahmen und dient als Nachweis gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 5 DSGVO und Art. 33(5) UK-GDPR.
12. Jährliche Überprüfung und Optimierung (Checkliste)
Die folgende Checkliste dient als Umsetzungshilfe zur Überprüfung und Dokumentation des aktuellen Stands der Datenschutz- und IT-Sicherheitsmaßnahmen. Sie kann zugleich als Nachweis der Bemühungen um Informationssicherheit genutzt werden.
Organisatorische Maßnahmen
- Werden neue Mitarbeitende oder Freelancer vor Beginn ihrer Tätigkeit auf die Datenschutzregeln und Handlungsanweisungen hingewiesen?
- Liegt von allen Mitarbeitenden/Freelancern eine Verpflichtung zur Wahrung des Datengeheimnisses vor?
- Gibt es Vertretungsregelungen für Schlüsselpositionen?
- Existiert eine Checkliste für den Austritt/Vertragsende von Mitarbeitenden oder Freelancern (z. B. Rechteentzug, Löschung von Zugängen)?
Technische Maßnahmen
- Werden regelmäßige Datensicherungen (Backups) von Firestore und Storage erstellt und überprüft?
- Sind auf allen Endgeräten aktuelle Virenschutzprogramme und Firewalls aktiv?
- Werden Betriebssysteme und Anwendungen regelmäßig durch Updates auf dem neuesten Stand gehalten?
- Ist eine Benutzer- und Rechteverwaltung für alle eingesetzten Systeme (z. B. Firebase, IONOS, Webflow, Make) vorhanden und dokumentiert?
- Sind Passwortrichtlinien (z. B. Mindestlänge, 2FA) umgesetzt?
- Ist auf allen Endgeräten die Bildschirmsperre aktiviert?
Mobile Arbeit & Cloud-Nutzung
- Ist der Zugriff auf Firebase, Webflow und andere Systeme ausschließlich mit Zwei-Faktor-Authentifizierung geschützt?
- Werden sensible Daten ausschließlich über verschlüsselte Verbindungen (HTTPS/TLS) übertragen?
- Werden vertrauliche Daten nicht unverschlüsselt auf mobilen Endgeräten gespeichert?
- Sind klare Vorgaben vorhanden, welche Unterlagen/Daten am privaten Arbeitsplatz verarbeitet und zwischen Endgeräten übertragen werden dürfen?
Kommunikation & Netzwerk
- Wird beim WLAN-Zugriff mindestens WPA2/WPA3 eingesetzt?
- Werden WLAN-Schlüssel regelmäßig geändert?
- Wird E-Mail-Kommunikation nach Möglichkeit verschlüsselt (TLS/PGP)?
Löschung & Entsorgung
- Gibt es klare Prozesse zur Löschung von Daten, die nicht mehr benötigt werden (inkl. Sperrung/Anonymisierung in Firestore)?
- Werden portable Datenträger (z. B. USB-Sticks, externe Festplatten) vor Entsorgung datenschutzgerecht gelöscht oder vernichtet?
13. Schlussfolgerung / Zusammenfassung
Wir bewerten das in diesem Dokument beschriebene Datenschutzniveau und die umgesetzten technischen und organisatorischen Maßnahmen (TOMs) für SupportConnect als angemessen und ausreichend.
Liebe Auftraggeberinnen, Auftraggeber, Freelancerinnen und Freelancer,
Vertrauen bildet die Grundlage unserer Arbeit und die Voraussetzung für die Nutzung des SupportConnect Portals. Deshalb sind Ihre persönlichen und beruflichen Daten bei uns sicher.
Wir stellen sicher, dass wir mit allen Daten sorgfältig und streng vertraulich umgehen. Unsere Datenschutzmaßnahmen orientieren sich stets am aktuellen Stand der gesetzlichen Vorgaben, und unsere eingesetzten Systeme werden regelmäßig überprüft und auf dem neuesten Stand gehalten.
Darauf können Sie sich verlassen.
London, 04.09.2025
Datum, Ort, Unterschrift
Hinweis: Ein Original dieses Datenschutzkonzepts mit Unterschrift wird in unserem Archiv aufbewahrt. Die digitale Version ist auch ohne Unterschrift gültig.
Für Fragen zum Datenschutz bei SupportConnect wenden Sie sich bitte an:
kontakt@supportconnect.de
MERKBLATT ZU GESCHÄFTS- UND BETRIEBSGEHEIMNISSEN
Worum geht es?
Dieses Merkblatt informiert dich über deine Pflicht zur Wahrung von Geschäfts- und Betriebsgeheimnissen im Zusammenhang mit deiner Tätigkeit bei SupportConnect. Es fasst die wichtigsten Punkte zusammen, damit du jederzeit nachlesen kannst, worauf zu achten ist. Solltest du Fragen haben, kannst du dich jederzeit an die verantwortliche Stelle wenden.
Was sind Geschäfts- und Betriebsgeheimnisse?
Geschäftsgeheimnisse beziehen sich in erster Linie auf kaufmännische und wirtschaftliche Informationen. Beispiele:
- Geschäftsvorgänge und Vertragsunterlagen
- Kunden- und Lieferantendaten
- Marktanalysen, Strategien und Kalkulationen
- Preise, Konditionen, Bilanzen
- Informationen zu Mitarbeitern und Organisationsstrukturen
Betriebsgeheimnisse betreffen den organisatorischen, technischen und internen Bereich. Beispiele:
- Konstruktions- und Entwicklungsunterlagen
- interne Verfahren, Abläufe und Prozesse
- Funktionsweisen von Systemen oder Software
- Planung neuer Produkte oder Dienstleistungen
- Test-, Analyse- und Kontrollverfahren
- interne Programme, Quellcodes oder Methoden
Ein Betriebsgeheimnis kann auch darin bestehen, dass SupportConnect ein bestimmtes Verfahren oder eine bestimmte Software nutzt, selbst wenn dieses Verfahren allgemein bekannt ist.
Was ist kein Geheimnis?
Öffentlich zugängliche Informationen oder solche, die allgemein bekannt sind, stellen kein Geschäfts- oder Betriebsgeheimnis dar.
Welche Pflichten hast du?
- Geschäfts- und Betriebsgeheimnisse dürfen nicht an Unbefugte weitergegeben werden.
- Sie dürfen weder für eigene Zwecke noch zum Vorteil Dritter genutzt werden.
- Die Pflicht zur Geheimhaltung gilt auch nach Beendigung deiner Tätigkeit bei SupportConnect weiter
- Vertrauliche Unterlagen und Datenträger sind sorgfältig zu behandeln und bei Beendigung der Tätigkeit zurückzugeben.
Welche Folgen drohen bei Verstößen?
Ein Verstoß gegen die Geheimhaltungspflichten kann zu arbeitsrechtlichen, zivilrechtlichen und strafrechtlichen Konsequenzen führen. Dazu gehören:
- Vertragsstrafen oder Schadensersatzforderungen
- Strafanzeigen wegen Verletzung von Geschäftsgeheimnissen
- Ausschluss von der weiteren Zusammenarbeit mit SupportConnect
MERKBLATT ZUM TELEKOMMUNIKATIONSGEHEIMNIS
Deine Verpflichtung zum Fernmeldegeheimnis
Du wurdest heute über das Fernmeldegeheimnis belehrt. Dieses Merkblatt fasst die wichtigsten Punkte zusammen, damit du deine Pflichten jederzeit nachlesen kannst. Bei Fragen kannst du dich jederzeit an die verantwortliche Stelle bei SupportConnect wenden.
Was bedeutet das Fernmelde- oder Telekommunikationsgeheimnis?
Das Fernmeldegeheimnis schützt sämtliche Kommunikationsformen, nicht nur klassische Telefonate oder Fax, sondern auch moderne digitale Wege wie E-Mail, Chats oder vergleichbare Dienste. Deshalb wird es auch Telekommunikationsgeheimnis genannt.
Es handelt sich um ein Grundrecht (Art. 10 Grundgesetz – GG), das in § 88 Telekommunikationsgesetz (TKG) sowie § 206 Strafgesetzbuch (StGB) näher geregelt ist. Ergänzend können auch die DSGVO oder andere Datenschutzgesetze einschlägig sein.
Das Fernmeldegeheimnis schützt zwei Ebenen:
1. Den Inhalt der Kommunikation:
- Was in Telefonaten, E-Mails oder Nachrichten besprochen oder geschrieben wurde
- übertragene Daten
- selbst der Betreff einer E-Mail fällt darunter
2. Die Umstände der Kommunikation:
- Wer hat wann mit wem kommuniziert?
- Welche Internetseiten wurden aufgerufen?
- Gab es erfolglose Verbindungsversuche?
Deine persönliche Verantwortung
Nicht nur SupportConnect, sondern auch du persönlich bist gesetzlich verpflichtet, das Fernmeldegeheimnis einzuhalten (§ 88 TKG, § 206 StGB). Die heutige Verpflichtung soll dir bewusst machen, wie ernst diese Pflicht zu nehmen ist.
Dauer der Verpflichtung
Das Fernmeldegeheimnis gilt unbefristet, also auch nach Beendigung deiner Tätigkeit bei SupportConnect. Es bindet dich gegenüber allen Personen, die nicht dienstlich mit der jeweiligen Sache zu tun haben, auch gegenüber Kollegen anderer Bereiche, Familienangehörigen oder externen Dritten (z. B. Presse).
Deine Pflicht zur Wahrung des Fernmeldegeheimnisses
Informationen, die dem Fernmeldegeheimnis unterliegen, musst du absolut vertraulich behandeln. Das bedeutet insbesondere, dass du keine Einzelverbindungsnachweise oder Logfiles über Kommunikationsverbindungen einsehen oder auswerten darfst, keine E-Mail-Postfächer öffnen oder vergleichbare Maßnahmen ergreifen, es sei denn, eine gesetzliche Grundlage erlaubt dies ausdrücklich.
Die wichtigste Ausnahme findet sich in § 88 Abs. 3 Satz 1 TKG: Wenn die Erbringung von Telekommunikationsdiensten oder der Schutz unserer Systeme ohne die Kenntnisnahme bestimmter, dem Fernmeldegeheimnis unterliegender Daten nicht möglich ist, ist eine Einsicht erlaubt. Nach den §§ 96 und 97 TKG dürfen Verbindungsdaten zudem gespeichert und genutzt werden, soweit dies für die Abrechnung erforderlich ist. Zur Bekämpfung von Störungen und Betrugsfällen erlaubt § 100 TKG in bestimmten Konstellationen eine Nutzung dieser Daten. Ergänzend können die DSGVO oder gegebenenfalls nationale Datenschutzgesetze anwendbar sein. Welche Daten im konkreten Fall wofür gespeichert und genutzt werden dürfen, erläutert dir dein Vorgesetzter.
Diese Erlaubnisse gelten jedoch nur insoweit, wie es für den jeweiligen Zweck unbedingt erforderlich ist. Musst du beispielsweise zur Behebung eines technischen Fehlers auf eine Mailbox zugreifen, ist der Zugriff auf das absolut notwendige Minimum zu beschränken. Reicht es, den Header einer E-Mail einzusehen, darf der Nachrichtentext nicht gelesen werden. Auch Informationen, von denen du in diesem Zusammenhang rechtmäßig Kenntnis erlangst, dürfen nicht an unbefugte Dritte weitergegeben werden, auch nicht an Vorgesetzte, es sei denn, es besteht eine gesetzliche Verpflichtung (z. B. bei den in § 138 StGB genannten schweren Straftaten).
Auskunftsverlangen
Solltest du von Polizei- oder anderen Behördenanfragen betroffen sein, leite diese bitte unverzüglich an den internen Datenschutzkoordinator von SupportConnect weiter. Du darfst selbst keine Auskünfte erteilen, sofern dies nicht ausdrücklich zu deinen Aufgaben gehört.
Folgen von Verstößen
Ein Verstoß gegen das Fernmeldegeheimnis kann schwerwiegende Konsequenzen haben:
- Strafrechtlich: Nach § 206 StGB drohen bis zu fünf Jahre Freiheitsstrafe, wenn du Informationen weitergibst, die dem Fernmeldegeheimnis unterliegen. Ebenso strafbar ist das unbefugte Unterdrücken, Löschen oder Zurückhalten von Nachrichten (z. B. E-Mails).
- Bußgelder: Bestimmte Verstöße gegen das TKG können Bußgelder nach sich ziehen (§ 149 TKG). Weitere mögliche Tatbestände sind Verstöße gegen die DSGVO (Art. 83), das UWG (§ 17 – Verrat von Geschäfts- und Betriebsgeheimnissen), § 202a StGB (Ausspähen von Daten) oder § 263a StGB (Computerbetrug).
- Schäden für SupportConnect: Datenschutzverletzungen führen zu massivem Vertrauensverlust. Kunden und Auftraggeber könnten unsere Dienste nicht mehr nutzen, wenn sie ihre Daten nicht sicher wissen. Nach der DSGVO sind wir zudem verpflichtet, Datenschutzvorfälle zu melden und gegebenenfalls auch Betroffene und die Öffentlichkeit zu informieren.
- Zivilrechtlich: Kommt es durch einen Verstoß zu Schäden, können sowohl SupportConnect als auch du persönlich schadensersatzpflichtig sein.
- Arbeitsrechtlich / Vertraglich: Je nach Schwere des Fehlverhaltens drohen Abmahnungen, ordentliche Kündigungen oder sogar fristlose Kündigungen ohne vorherige Verwarnung.
Wortlaut der Gesetze
Telekommunikationsgesetz (TKG) – § 88 Fernmeldegeheimnis
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.
(4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt oder gegenüber ihrer Stellvertretung.
Strafgesetzbuch (StGB) – § 206 Verletzung des Post- oder Fernmeldegeheimnisses
(1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt
- eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,
- eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt oder
- eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert.
(3) Die Absätze 1 und 2 gelten auch für Personen, die
1. Aufgaben der Aufsicht über ein in Absatz 1 bezeichnetes Unternehmen wahrnehmen,
2. von einem solchen Unternehmen oder mit dessen Ermächtigung mit dem Erbringen von Post- oder Telekommunikationsdiensten betraut sind oder
3. mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage oder mit Arbeiten daran betraut sind.
4. Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die ihm als außerhalb des Post- oder Telekommunikationsbereichs tätigem Amtsträger aufgrund eines Eingriffs in das Post- oder Fernmeldegeheimnis bekanntgeworden sind, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
5. Dem Postgeheimnis unterliegen die näheren Umstände des Postverkehrs bestimmter Personen sowie der Inhalt von Postsendungen. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
Belehrung zur Einhaltung des Gesetzes gegen den unlauteren Wettbewerb (UWG)
Die Freelancer werden darüber belehrt, im Rahmen der telefonischen Tätigkeit keine unlauteren geschäftlichen Handlungen vorzunehmen:
Was bedeutet „unlauter“?
Unlautere geschäftliche Handlungen sind alle Verhaltensweisen im geschäftlichen Verkehr, die geeignet sind, die Entscheidungsfreiheit von Verbrauchern oder Geschäftspartnern ungebührlich zu beeinflussen. Ziel ist es, zu verhindern, dass Personen durch irreführende, aggressive oder belästigende Methoden zu einer Entscheidung gedrängt werden, die sie ohne diese Einwirkung nicht getroffen hätten.
Was ist verboten?
Besonders im telefonischen Kontakt gelten strenge Regeln. Zu den wichtigsten unzulässigen Handlungen zählen:
- Unzumutbare Belästigung (§ 7 UWG): Telefonische Werbung ohne vorherige ausdrückliche Einwilligung des Verbrauchers ist grundsätzlich verboten. Dies betrifft insbesondere sogenannte Kaltakquise.
- Ausnahmen:
1. Wenn ein Verbraucher vorab ausdrücklich seine Einwilligung erklärt hat. Eine nachträgliche Zustimmung am Telefon reicht nicht aus.
2. Bei Gewerbetreibenden kann ausnahmsweise eine mutmaßliche Einwilligung angenommen werden, wenn ein klarer Bezug zu einer bestehenden Geschäftsbeziehung besteht und sich der Anruf ausschließlich auf den bisherigen Geschäftsbereich beschränkt.
3. Wenn die angerufene Person selbst aktiv um einen Rückruf gebeten hat.
Aggressive Verkaufsmethoden (§ 4a UWG)
Es ist untersagt, bei Vertragsgesprächen Druck aufzubauen oder eine Person psychologisch zu beeinflussen. Jede Art von Einschüchterung oder Überrumpelung ist unzulässig. Stattdessen ist ein respektvoller, sachlicher und stets freundlicher Umgangston einzuhalten.
Geschäftsschädigende Äußerungen über Mitbewerber (§ 4 Nr. 1 und 2 UWG)
Unwahre Tatsachenbehauptungen, die den Ruf von Mitbewerbern beeinträchtigen könnten, sind verboten. Negative Aussagen sind nur dann erlaubt, wenn sie objektiv richtig und belegbar sind. Schon leichte Übertreibungen oder unsachliche Kommentare können rechtlich problematisch sein und sogar strafrechtliche Konsequenzen (z. B. Verleumdung) nach sich ziehen.
Irreführende geschäftliche Handlungen (§ 5 UWG)
Im telefonischen oder sonstigen geschäftlichen Kontakt dürfen keine Aussagen gemacht werden, die geeignet sind, eine falsche Vorstellung zu erwecken. Unzulässig sind u. a.:
- Falschaussagen zu Produkten oder Dienstleistungen.
- Aussagen, die zwar richtig sind, aber in die Irre führen können.
- Werbung mit Selbstverständlichkeiten wie: „Wir bieten 2 Jahre Garantie“, da dies ohnehin gesetzlich vorgeschrieben ist.
- Verschweigen relevanter Informationen, z. B. wenn es sich um B-Ware oder Auslaufmodelle handelt.
Vergleichende Werbung (§ 6 UWG)
Vergleiche mit Mitbewerbern oder deren Produkten sind grundsätzlich erlaubt, müssen aber fair und überprüfbar sein. Ein Vergleich darf nur auf nachweislich richtigen Tatsachen beruhen.
Besondere Vorsicht gilt bei Alleinstellungsbehauptungen wie „Die Nummer 1“, „Der Größte“ oder „Marktführer“. Solche Aussagen sind nur erlaubt, wenn sie objektiv messbar und dauerhaft zutreffend sind.
Reine Werturteile („Ich persönlich finde Produkt X besser“) sind hingegen zulässig, da sie keine überprüfbaren Tatsachen darstellen.
Geheimnisschutz
Die unbefugte Nutzung oder Weitergabe von Geschäftsgeheimnissen stellt ebenfalls einen Verstoß gegen das UWG dar. Auf die gesonderte Belehrung zu Geschäfts- und Betriebsgeheimnissen wird ausdrücklich hingewiesen.
„Schwarze Liste“ (Anhang zu § 3 Abs. 3 UWG)
Das UWG enthält eine verbindliche Liste von Geschäftspraktiken, die in jedem Fall unzulässig sind, unabhängig von einer Einzelfallprüfung. Dazu gehören u. a. irreführende Angaben über Preise, Gewinnversprechen ohne tatsächliche Grundlage, aggressive Verkaufsmethoden oder die Verschleierung der Identität des Anrufers.
Rechtsfolgen bei unlauterem Verhalten
Ein Verhalten, das gegen die Vorgaben des UWG verstößt, gilt als sittenwidrig im Sinne des § 138 BGB. Verträge, die auf diesem Wege zustande kommen, sind daher nichtig.
Darüber hinaus können Unterlassungs- und Schadensersatzansprüche geltend gemacht werden – auch gegenüber dem Arbeitgeber.
Besonders streng bewertet das Gesetz unerlaubte Telefonwerbung: Verstöße gegen das Verbot unzulässiger Werbeanrufe bei Verbrauchern stellen eine Ordnungswidrigkeit dar und können mit einer Geldbuße von bis zu 300.000 Euro geahndet werden (§ 20 Abs. 2 UWG).
Arbeitsrechtlich können solche Pflichtverletzungen disziplinarische Folgen haben, von einer Abmahnung bis hin zur fristgerechten oder sogar fristlosen Kündigung.
Anlage zur Belehrung – „Schwarze Liste“ unlauterer Geschäftspraktiken
Nach § 3 Abs. 3 UWG gilt eine Reihe von Handlungen als stets unzulässig. Hier einige zentrale Beispiele:
„Sich mit fremden Federn schmücken“
1. Falsche Behauptung, ein Unternehmen sei Unterzeichner eines Verhaltenskodexes.
2. Nutzung von Güte- oder Qualitätssiegeln ohne die erforderliche Berechtigung (z. B. Bio-Siegel, „Blauer Engel“).
3. Falsche Darstellung, ein Verhaltenskodex sei von einer öffentlichen oder privaten Stelle anerkannt oder gebilligt.
4. Täuschende Angaben, ein Produkt oder eine Dienstleistung sei von einer offiziellen Stelle geprüft, zertifiziert oder genehmigt („TÜV geprüft“, „staatlich anerkannt“), obwohl dies nicht zutrifft.
„Versprechen, die man nicht halten kann“
5. Werbung mit Preisen für Waren oder Dienstleistungen, wenn absehbar ist, dass diese nicht in ausreichender Menge oder für einen angemessenen Zeitraum verfügbar sind („Lockangebote“). Bei einem Vorrat von weniger als zwei Tagen muss das Unternehmen die Angemessenheit nachweisen.
„Versprechen, die man nicht halten will“
6. Ankündigung bestimmter Waren oder Dienstleistungen zu einem Preis, mit der Absicht, Kunden später auf andere, nicht beworbene Produkte umzulenken oder Bestellungen unberechtigt abzulehnen.
„Verbraucher unter Zeitdruck setzen“
7. Falsche Angaben über eine nur kurzfristige Verfügbarkeit („Nur heute“, „Einmalige Gelegenheit“), um Verbraucher zu übereilten Entscheidungen zu drängen.
„Verbraucher mit Fremdsprachen konfrontieren“
8. Bereitstellung von Kundendienst ausschließlich in einer anderen Sprache als derjenigen, in der die Vertragsverhandlungen geführt wurden – ohne vorherigen Hinweis. Beispiel: Vertragsabschluss auf Deutsch, aber Kundenservice ausschließlich auf Englisch.
„Verbraucher täuschen“
9. Unwahre Angaben, eine Ware oder Dienstleistung sei überhaupt oder unter bestimmten Bedingungen verkehrsfähig, obwohl dies nicht zutrifft.
„Mit Selbstverständlichkeiten werben“
10. Werbung mit gesetzlichen Standards als angeblicher Vorteil, z. B. „Zwei Jahre Garantie auf Neuwaren“, obwohl dies ohnehin gesetzlich vorgeschrieben ist.
„Getarnte Werbung“
11. Finanzierung redaktioneller Beiträge, die wie neutrale Informationen wirken, tatsächlich aber Werbezwecken dienen („als Artikel getarnte Werbung“).
„Angstwerbung“
12. Irreführende Behauptungen über Gefahren für die Sicherheit von Verbrauchern oder deren Familien, um den Kauf von Produkten oder Dienstleistungen zu erzwingen.
„Trittbrettfahren“
13. Werbung für Produkte oder Dienstleistungen, die bewusst denen eines Mitbewerbers stark ähneln, um über die betriebliche Herkunft zu täuschen.
„Schneeball- oder Pyramidensysteme“
14. Aufbau oder Förderung von Systemen, die den Eindruck erwecken, dass eine Vergütung vor allem durch die Anwerbung neuer Teilnehmer erzielt werden kann (klassische Schneeball- bzw. Pyramidensysteme).
„Unwahrheiten, Übertreibungen und Irreführungen“
15. Falsche Behauptung, ein Unternehmen werde bald schließen oder seinen Standort verlegen.
16. Werbung mit dem Versprechen, bestimmte Produkte oder Dienstleistungen könnten die Gewinnchancen bei Glücksspielen verbessern.
17. Täuschende Mitteilungen über angebliche Gewinne oder Preise, insbesondere wenn diese nur gegen Zahlung oder Übernahme von Kosten zugänglich sind.
18. Unwahre Angaben, ein Produkt könne Krankheiten oder körperliche Beeinträchtigungen heilen.
19. Irreführende Angaben zu Marktbedingungen oder Herkunft („Made in Germany“), um Verbraucher zu weniger günstigen Konditionen zum Kauf zu bewegen.
20. Durchführung von Gewinnspielen oder Wettbewerben, ohne die zugesagten Preise oder ein angemessenes Äquivalent tatsächlich zu vergeben.
21. Bewerbung von Waren oder Dienstleistungen als „gratis“, „kostenlos“ oder „umsonst“, obwohl versteckte Kosten entstehen (z. B. Grund- oder Bearbeitungsgebühren).
22. Versand von Werbematerial mit beigefügter Zahlungsaufforderung, wodurch fälschlicherweise der Eindruck entsteht, es sei bereits eine Bestellung erfolgt (Abo-Fallen).
23. Falscher Anschein, ein gewerblich handelnder Unternehmer sei Verbraucher (z. B. Händler, die bei eBay privat auftreten).
24. Irreführende Angaben über die Verfügbarkeit von Kundendiensten in anderen EU-Mitgliedsstaaten oder systematische Nichtbeantwortung von berechtigten Kundenanfragen.
„Überrumpeln und Druck aufbauen“
25. Den Eindruck erwecken, Verbraucher könnten Geschäftsräume nicht verlassen, ohne zuvor einen Vertrag zu unterzeichnen.
26. Fortgesetztes Aufsuchen von Verbrauchern in ihrer Wohnung gegen deren ausdrücklichen Willen, außer wenn dies zur rechtmäßigen Durchsetzung eines Vertrags erforderlich ist.
„Verbraucher auflaufen lassen“
27. Praktiken, die Verbraucher bei der Durchsetzung von Ansprüchen aus Versicherungsverträgen behindern, etwa durch unnötige Nachweise oder Nichtbeantwortung von Schreiben.
„Kinder gezielt ansprechen“
28. Werbung, die Kinder direkt dazu auffordert, Produkte selbst zu kaufen oder Erwachsene zum Kauf zu bewegen.
„Untergeschobene Leistungen“
29. Aufforderung zur Zahlung oder Rücksendung nicht bestellter Waren oder Dienstleistungen, sofern es sich nicht um eine zulässige Ersatzlieferung im Fernabsatzrecht handelt.
„“Mitleidstour
30. Expliziter Hinweis, dass Arbeitsplätze oder die Existenz des Unternehmers gefährdet seien, falls der Verbraucher nicht kauft.
