Datenschutz für HandwerksbetriebeDatenschutz

Die EU-Datenschutzgrundverordnung

Ab 25. Mai 2018 gilt die europäische Datenschutzgrundverordnung (DSGVO). Die DSGVO wird ergänzt durch das neue Bundesdatenschutzgesetz (BDSG neu). Da viele Regularien in Deutschland in der Vergangenheit bereits im BDSG geregelt waren, beinhalten die Neuerungen grundsätzlich keine rechtlichen Verschärfungen. Allerdings müssen sich Betriebe in einigen Punkten an das EU Recht anpassen. Nur so ist sichergestellt, dass sie Bußgeldern bei Nichtbeachtung oder Verstößen vorbeugen.

Die Datenschutzgrundverordnung gilt für alle Unternehmen, die eine wirtschaftliche Tätigkeit ausüben, unabhängig von der Rechtsform und von der Größe. Somit müssen sich auch Handwerksbetriebe an die Regeln der DSGVO halten. Handwerker kommen täglich mit Datenschutz u.a. durch Personal- und Kundendatenverwaltung  in Berührung. Mit dem Einsatz digitaler Datenbanken oder Apps im Geschäftsalltag steigt die Masse an Daten. Handwerkbetriebe gehören damit zu „datenverarbeitenden Unternehmen“ und müssen die Erhebung, Verarbeitung und Nutzung von Daten auf den Prüfstand stellen.

Hiernach müssen Handwerksbetriebe u.a. Folgendes vorweisen:

1. Dokumentation

Betriebe müssen dokumentieren, welche Daten in welcher Form und wem die Daten innerhalb- und außerhalb des Betriebes zugänglich gemacht werden. Hierfür ist ein Verarbeitungsverzeichnis zu führen. Ein Muster finden Sie im „Leitfaden des ZDH: Das neue Datenschutzrecht – Was Betriebe künftig zu beachten haben", Stand Juli 2019 unter https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/

2. Risikobewertung

Daneben sind die im Umgang mit Daten verbundenen Risiken auf Basis eines Verarbeitungsverzeichnisses zu bewerten: Wie kann die Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität vermieden werden? Welche Risikoquellen gibt es?

3. Sicherungsmaßnahmen

Betriebe sind verpflichtet technische und organisatorische Maßnahmen zu treffen, um die Sicherheit der Verarbeitung von Daten zu gewährleisten. Dabei sollen die umgesetzten Maßnahmen (z.B. Virenschutz, Passwörter, Löschfristen etc.) auf dem Stand der Technik sein und ein angemessenes Schutzniveau bieten.

4. Betroffenenrechte

Künftig werden die Rechte der Betroffenen, deren Daten erhoben oder verarbeitet werden, gestärkt. Handwerksbetriebe müssen z.B. daran denken von ihren Kund*innen eine Einwilligungserklärung unterzeichnen zu lassen und aufzubewahren – besonders bei den Gesundheitshandwerken. Außerdem haben Kund*innen das Recht auf Auskunft darüber, welche Daten über sie gesammelt werden oder welche Daten zu welchem Zweck wie und wo verarbeitet werden.  Daneben soll es leichter werden, einmal veröffentlichte Informationen löschen zu lassen.

5. Anzeigepflicht

Bei Datenpannen besteht ab dem 25.Mai 2018 eine deutlich verschärfte Verpflichtung gegenüber der Aufsichtsbehörde und für Meldungen an die Betroffenen, die innerhalb von 72 Stunden zu erfüllen sind. In Berlin ist es der Berliner Datenschutzbeauftragte. https://datenschutz-berlin.de/

Auch sind Betroffene bei Datenpannen ausführlicher zu informieren.

6. Datenschutzbeauftragter

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht i.d.R. dann wenn mindestens 20 Personen ständig bei einem automatisierten Verfahren mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Der Datenschutzbeauftragte soll auf die Einhaltung der Datenschutzvorschriften hinwirken und ist der Geschäftsleitung unterstellt. Daher kann grundsätzlich weder der IT-Leiter, Personalabteilung noch die Geschäftsführung selbst die Aufgaben des Datenschutzbeauftragten übernehmen. Der Datenschutzbeauftragte muss über die erforderliche Fachkunde und Zuverlässigkeit verfügen. Der Handwerksbetrieb muss dem Datenschutzbeauftragen daher auch Schulungen zum Erhalt seiner Fachkunde ermöglichen und die Kosten dafür tragen.

7. Auftragsverarbeitung

An den Grundlagen der Auftragsdatenverarbeitung ändert sich nichts. Sie heißt fortan Auftragsverarbeitung und Betriebe dürfen nun auch Verträge außerhalb des EU-Raumes schließen. Die Verträge können nunmehr auch elektronisch vereinbart werden und müssen nicht zwingend in Papierform vorliegen. Der Verantwortliche muss weiterhin sicherstellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Künftig wird der Auftragsverarbeiter neben dem Verantwortlichen gegenüber dem Betroffenen haften. Zudem ist der Auftragsverarbeiter verpflichtet, wie der Handwerksbetrieb auch ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Hinweis:

Das sollten Handwerksbetriebe tun:

• Prüfen, wo fallen im Unternehmen personenbezogene Daten an?
• Sind die Mitarbeiter*innen fit im Datenschutz?
• Ist die Datenschutzerklärung auf der Webseite noch aktuell?
• Gibt es eine datenschutzkonforme Erklärung zu im Unternehmen eingesetzten sozialen Medien, Formularen, Cookies, Analyse-Werkzeugen etc. auf der Webseite?
  Gibt es im Unternehmen eine Dokumentation über die Verarbeitungstätigkeiten, die im Unternehmen ablaufen?
  Welche rechtlichen und organisatorischen Maßnahmen müssen umgesetzt werden, um alle Anforderungen zu erfüllen?
  Benötigt das Unternehmen einen eigenen Datenschutzbeauftragten?

FAQ - DSGVO

10 Fragen und Antworten zur Datenschutz-Grundverordnung

1. Drohen bei Verstößen hohe Bußgelder bis 20 Mio. Euro?

Nein. Der Bußgeldkatalog bei Datenschutzverstößen wurde im Zuge der Reform erweitert. Diese Erweiterung verfolgt jedoch ausschließlich den Zweck, global agierende Internetkonzerne angemessen sanktionieren zu können. Für mittelständische Betriebe und insbesondere für Kleinbetriebe hat dies keine relevanten Auswirkungen.

2. Wie hoch ist das Risiko von Abmahnungen?

Abmahnungen drohen Betrieben wenn überhaupt nur dort, wo Angaben über den Datenschutz zu veröffentlichen sind. Dies betrifft hauptsächlich Datenschutzinformationen auf Webseiten. Jedoch ist auch hier das Abmahnrisiko als gering einzuschätzen, da Abmahner Verstöße nicht pauschal feststellen können, sondern in jedem Einzelfall prüfen müssen, welche konkreten Informationen auf der Webseite zu erteilen sind. Dies ist aufwändig und zeitintensiv. Zudem ist rechtlich umstritten, ob Datenschutzverstöße überhaupt wettbewerbsrechtlich abgemahnt werden können. Es gibt gute Gründe dies zu verneinen.

3. Benötige ich einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte, wenn ich 20 Mitarbeiter habe?

Nein. Ein Datenschutzbeauftragter buw. eine Datenschutzbeauftragte ist zu bestellen, wenn in Ihrem Betrieb mindestens zwanzig Mitarbeiter*innen ständig mit der automatisierten Verarbeitung von Daten befasst sind. Als „ständig befasst" gelten nur solche Mitarbeiter*in, deren alltägliche Kerntätigkeit die Verarbeitung von Daten ist. Dies ist z.B. bei Mitarbeiter*innen der Lohnbuchhaltung oder der Personalabteilung der Fall. Mitarbeiter*in, die lediglich die Daten zur Ausübung ihrer handwerklichen Tätigkeit benötigen, fallen grundsätzlich nicht unter diese Regelung.

4. Muss ich als Gesundheitshandwerker*in immer einen Datenschutzbeauftragten/eine Datenschutzbeauftragte benennen?

Nein. Ein Datenschutzbeauftragter muss bestellt werden, wenn ein Betrieb Gesundheitsdaten umfangreich verarbeitet. Zwar verarbeiten Gesundheitshandwerker Gesundheitsdaten, jedoch geschieht dies nicht in umfangreicher Weise. Im Vergleich zu Krankenhäusern oder großen Arztpraxen wird der geringe Umfang deutlich. Für Gesundheitshandwerker gelten somit i.d.R. dieselben Regelungen wie für andere Handwerksbetriebe.

5. Muss ich von jedem Kunden und jeder Kundin eine Einwilligung einholen, bevor ich Daten erhebe und speichere?

Nein. Handwerksbetriebe dürfen – wie bisher – die Daten ihrer Kunden für alle vorvertraglichen Maßnahmen (z.B. Kostenvoranschlag) und zur Abwicklung des Auftrags erheben, speichern und nutzen. Eine Einwilligung ist nicht erforderlich.

6. Für was benötige ich im Betrieb eine Einwilligung?

Betriebe benötigen nur in seltenen Ausnahmen eine Einwilligung. Dies gilt etwa für die Werbung per E-Mail oder die Veröffentlichung von Mitarbeiterfotos auf der Firmenwebseite. Selbst dabei 3 ist der Grund für die Einwilligung nicht das Datenschutzrecht, sondern andere Rechtsgebiete, wie das Wettbewerbsrecht.

7. Muss jede Datenerhebung von allen Kunden einzeln dokumentiert werden?

Nein. Die Verwendung von Kundendaten zur Vertragsabwicklung stellt ein einziges betriebliches Verfahren dar. Dies gilt unabhängig von der Kundenanzahl. Weitere Verfahren sind z.B. die Nutzung von Kundendaten zur Direktwerbung oder der Verarbeitung von Mitarbeiterdaten zur Lohnabrechnung und zur Personalführung. Für diese Verfahren stehen auf www.zdh.de vorausgefüllte Dokumentationen zur Verfügung.

8. Muss ich auf meiner Firmenwebseite etwas beachten?

Ja. Wenn auf der Firmenwebseite Daten der Websitebesucher erhoben werden, muss darüber im Datenschutzhinweis informiert werden. Typische Fälle sind Formulare zur Kontaktaufnahme oder zur Bestellung von Newslettern. Hierfür finden Sie auf www.zdh.de Musterformulierungen für den Datenschutzhinweis.

9. Muss mit jedem Lieferant*in oder Subunternehmer*in eine Vereinbarung zur Auftragsverarbeitung geschlossen werden?

Nein. Eine Auftragsverarbeitung liegt nur vor, wenn ein Betrieb Daten nutzt, die Aufbereitung dieser Daten aber von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Lohnbuchhaltungsanbieter, die für den Betrieb die Lohnbuchhaltung erstellen und dabei z.B. Mitarbeiterdaten verarbeiten. Bei Subunternehmern und Lieferanten handelt es sich dagegen um eine gewöhnliche Datenweitergabe.

10. Ist das Fotografieren für Fotograf*in überhaupt noch zulässig?

Ja. Das neue Datenschutzrecht ändert nichts an der Zulässigkeit von professionellen Fotografien. Ob bei Hochzeitsfeiern, im Fotostudio oder in der Öffentlichkeit: Hier gilt die bisherige Praxis uneingeschränkt weiter. Das betrifft auch die Zulässigkeit von Veröffentlichungen. Neu sind lediglich Informationen, die den fotografierten Personen zu erteilen sind. Hierbei genügt jedoch bei Veranstaltungen ein entsprechender Aushang. Bei öffentlichen Fotografien oder Fotos mit zahlreichen abgebildeten Personen, die nicht informiert werden können, entfällt die Pflicht sogar.

 Ansprechpartnerin