Was müssen Betriebe beachten?Datenschutzgrundverordnung

Hiernach müssen Handwerksbetriebe u.a. Folgendes vorweisen:

1. Dokumentation

Betriebe müssen dokumentieren, welche Daten in welcher Form und wem die Daten innerhalb- und außerhalb des Betriebes zugänglich gemacht werden. Hierfür ist ein Verarbeitungsverzeichnis zu führen. Ein Muster finden Sie im „Leitfaden des ZDH: Das neue Datenschutzrecht – Was Betriebe künftig zu beachten haben", Stand November 2017 unter https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/

2. Risikobewertung

Daneben sind die im Umgang mit Daten verbundenen Risiken auf Basis eines Verarbeitungsverzeichnisses zu bewerten: Wie kann die Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität vermieden werden? Welche Risikoquellen gibt es?

3. Sicherungsmaßnahmen

Betriebe sind verpflichtet technische und organisatorische Maßnahmen zu treffen, um die Sicherheit der Verarbeitung von Daten zu gewährleisten. Dabei sollen die umgesetzten Maßnahmen (z.B. Virenschutz, Passwörter, Löschfristen etc.) auf dem Stand der Technik sein und ein angemessenes Schutzniveau bieten.

4. Betroffenenrechte

Künftig werden die Rechte der Betroffenen, deren Daten erhoben oder verarbeitet werden, gestärkt. Handwerksbetriebe müssen z.B. daran denken von ihren Kunden eine Einwilligungserklärung unterzeichnen zu lassen und aufzubewahren – besonders bei den Gesundheitshandwerken. Außerdem haben Kunden das Recht auf Auskunft darüber, welche Daten über sie gesammelt werden oder welche Daten zu welchem Zweck wie und wo verarbeitet werden.  Daneben soll es leichter werden, einmal veröffentlichte Informationen löschen zu lassen.

5. Anzeigepflicht

Bei Datenpannen besteht ab dem 25.Mai 2018 eine deutlich verschärfte Verpflichtung gegenüber der Aufsichtsbehörde und für Meldungen an die Betroffenen, die innerhalb von 72 Stunden zu erfüllen sind. In Berlin ist es der Berliner Datenschutzbeauftragte. https://datenschutz-berlin.de/

Auch sind Betroffene bei Datenpannen ausführlicher zu informieren.

6.Datenschutzbeauftragter

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht i.d.R. dann wenn mindestens 10 Personen ständig bei einem automatisierten Verfahren mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Der Datenschutzbeauftragte soll auf die Einhaltung der Datenschutzvorschriften hinwirken und ist der Geschäftsleitung unterstellt. Daher kann grundsätzlich weder der IT-Leiter, Personalabteilung noch die Geschäftsführung selbst die Aufgaben des Datenschutzbeauftragten übernehmen. Der Datenschutzbeauftragte muss über die erforderliche Fachkunde und Zuverlässigkeit verfügen. Der Handwerksbetrieb muss dem Datenschutzbeauftragen daher auch Schulungen zum Erhalt seiner Fachkunde ermöglichen und die Kosten dafür tragen.

7. Auftragsverarbeitung

An den Grundlagen der Auftragsdatenverarbeitung ändert sich nichts. Sie heißt fortan Auftragsverarbeitung und Betriebe dürfen nun auch Verträge außerhalb des EU-Raumes schließen. Die Verträge können nunmehr auch elektronisch vereinbart werden und müssen nicht zwingend in Papierform vorliegen. Der Verantwortliche muss weiterhin sicherstellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Künftig wird der Auftragsverarbeiter neben dem Verantwortlichen gegenüber dem Betroffenen haften. Zudem ist der Auftragsverarbeiter verpflichtet, wie der Handwerksbetrieb auch ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Hinweis:

Das sollten Handwerksbetriebe tun:
◾Prüfen, wo fallen im Unternehmen personenbezogene Daten an? Sind die Mitarbeiter fit im Datenschutz?
◾Ist die Datenschutzerklärung auf der Webseite noch aktuell?
◾Gibt es eine datenschutzkonforme Erklärung zu im Unternehmen eingesetzten sozialen Medien, Formularen, Cookies, Analyse-Werkzeugen etc. auf der Webseite?
◾Gibt es im Unternehmen eine Dokumentation über die Verarbeitungstätigkeiten, die im Unternehmen ablaufen?
◾Welche rechtlichen und organisatorischen Maßnahmen müssen umgesetzt werden, um alle Anforderungen zu erfüllen?
◾Benötigt das Unternehmen einen eigenen Datenschutzbeauftragten?