"Das betrifft mich doch gar nicht", denkt so mancher Inhaber eines Handwerksbetriebs beim Stichwort Datenschutzgrundverordnung (DSGVO). Irrtum! Wenn sie am 25. Mai 2018 in Kraft tritt, hat das Folgen für alle Unternehmen – auch die kleinen. "Jeder Betrieb, der Mitarbeiterdaten elektronisch verwaltet, ist schon mittendrin in der Haftung der DSGVO", erklärt Nicole Baumgärtel, Datenschutzbeauftragte der Handwerkskammer Düsseldorf, "Handwerker, die eine Kundendatenbank oder ein elektronisches Kundenmanagementsystem führen, erst recht." Wer Daten seiner Mitarbeiter, Kunden und Geschäftspartner nutzen möchte, muss künftig bestimmte Pflichten erfüllen.
Auf den ersten Blick sieht die DSGVO recht kompliziert aus, im Vergleich zum aktuellen deutschen Recht ändert sich aber nicht viel. Wie bisher dürfen personenbezogene Daten nur mit Erlaubnis verarbeitet werden. Die Betroffenen bekommen aber neue Auskunftsrechte. Außerdem sollen mehr datenbezogene Vorgänge dokumentiert werden – wer das nicht macht, riskiert in Zukunft Bußgelder. "Aber wie so oft gilt auch hier: Es wird nichts so heiß gegessen, wie es gekocht wird", beruhigt die Expertin. "Sollte es tatsächlich mal zu einer Kontrolle kommen, sollte der Unternehmer zeigen, dass er den Datenschutz ernst nimmt und sich auf den Weg gemacht hat."
1. Um welche Daten geht es?
Geschützt sind alle personenbezogenen Daten von Mitarbeitern, Kunden und Geschäftspartnern – also etwa Namen, Bilder, Telefonnummern oder Adressen. Darunter fallen auch digitale Daten wie Emailadresse, Nutzernamen in sozialen Netzwerken, Profilbilder und IP-Adresse. Betriebe müssen bestimmte Pflichten beachten, wie sie diese Daten sammeln, speichern und nutzen. Achtung: Gesundheitsdaten wie etwa Dioptrienzahl oder Gehörschädigung gelten als besonders schutzwürdig; Gesundheitshandwerke dürfen diese Daten aber für die Gesundheitsvorsorge oder für Behandlungsverträge nutzen – das erlaubt das Datenschutzgesetz.
2. Wann darf ich die Daten nutzen?
Foto: © Rancz Andrei/123RF.com Erheben, verarbeiten und nutzen darf man personenbezogene Daten grundsätzlich nur mit einer Erlaubnis. Diese kann entstehen aus einem Gesetz oder der Einwilligung der betroffenen Person. Per Gesetz ist beispielsweise eine Datenverarbeitung zulässig, wenn sie zur Erfüllung eines Vertrags erforderlich ist. "In der Praxis heißt das: Hat ein Handwerker etwa nach der Adresse eines Kunden gefragt, um den Auftrag vor Ort beim Kunden ausführen zu können, ist das erlaubt", erklärt die Expertin. "Unproblematisch ist auch, wenn er sich eine Emailadresse geben lässt, um dem Kunden nach seinem Wunsch einen Kostenvoranschlag senden zu können." Diese Daten – genauso wie die Daten der Mitarbeiter – darf der Betrieb aber nicht an Dritte weitergeben (Ausnahme: Dienstleister wie etwa Steuerberater oder Anwalt) und nur so lange speichern, bis der Auftrag erledigt ist. Will er sie in einer Datenbank archivieren, bedarf das einer Genehmigung. Grundsätzlich gilt: Seien Sie sparsam beim Speichern von personenbezogenen Daten!
Ein Beispiel aus der Praxis: "Die Telefonnummer des Kunden an das private Handy eines Mitarbeiters weiterzugeben, ist nicht erlaubt", betont die Datenschutzbeauftragte, "schaffen Sie lieber Diensthandys an, um sicher zu gehen!" Das hilft auch, die Daten der Mitarbeiter zu schützen, wie ein anderer Praxisfall zeigt: Für den Handwerker-Parkausweis hatte die Stadt Mönchengladbach das Hinterlassen einer Handynummer hinter der Windschutzscheibe vorgeschrieben. Ein Geselle eines Handwerksbetriebes wollte aber nicht seine Privatnummer öffentlich sichtbar im Wagen lassen. Zu Recht, wie sich herausstellte. "Nach Einschreiten der Handwerkskammer stellte die Stadt ihre Vorgaben um", berichtet Baumgärtel.
Auch die mit Erlaubnis erhobenen Daten müssen vom Unternehmen geschützt werden. Das bedeutet: Die Software muss auf dem aktuellen Stand sein und zeitgemäße Sicherheitsstandards bieten. Wo immer möglich, sollten personenbezogene Daten verschlüsselt werden. Außerdem sollte man für Virenschutz, Zugangsbeschränkungen, Löschfristen aber auch Einbruchschutz sorgen. Die Datenverarbeitung über einen externen Dienstleister abzuwickeln, kann hier viel Erleichterung bringen. Allerdings bleibt der Chef selbst in der Verantwortung, dass alles richtig läuft, seine Haftung kann er nicht delegieren. Dienstleister wie Steuerberater, Lettershops oder Cloud-Anbieter (sogenannte Auftragsverarbeiter) müssen entsprechend sorgfältig ausgewählt werden, denn für ihre Fehler haftet der Auftraggeber mit.
3. Wie holt man die Einwilligung richtig ein?
Eine Einwilligung ist nur dann rechtmäßig, wenn die betroffene Person sie freiwillig und aktiv erklärt durch eine "eindeutige bestätigende Handlung". Dies kann auch mit Anklicken eines Kästchens auf einer Internetseite geschehen. Neu ist, dass die Einwilligung nicht mehr schriftlich erfolgen muss – mündlich ist sie jetzt auch wirksam. Praxistipp: "Schon aus Beweis- und Dokumentationsgründen sollte sich ein Unternehmer die Einwilligung immer schriftlich geben lassen!", betont die Expertin der HWK Düsseldorf.
Foto: © aurielaki/123RF.com Der Fragende muss dabei seine Identität offenlegen (Name oder Firma) und erklären, welche Daten er erhebt (etwa Adressdaten, Kontodaten) und zu welchem Zweck (zum Beispiel Werbung, Weitergabe an Dritte). Er muss auch auf das Widerrufsrecht des Betroffenen hinweisen. Die Angaben müssen verständlich und so konkret sein, dass sich der Einwilligende darüber ein Bild machen kann, was mit seinen Daten passiert.
Bei Marketingaktionen sollten Unternehmer besonders aufpassen: Hat jemand seine Email-Adresse etwa für einen Newsletter angemeldet, gilt diese Einwilligung nur dafür und nicht auch für andere Marketing-Mailings.
Künftig ist eine Einwilligung auch auf demselben Weg widerrufbar, wie sie sie erteilt wurde. Und: Jeder kann verlangen, dass seine Daten wieder gelöscht werden!
Auf zdh.de gibt es ein Muster einer Einwilligungserklärung kostenlos zum Herunterladen.
4. Wie wirken die Regeln sich auf das Bewerbungsverfahren aus?
Foto: © Tatiana Popova/123RF.com Wer neue Mitarbeiter sucht, muss diese bereits beim Eingang ihrer Unterlagen über die Datenerhebung informieren. Wie bisher darf der Arbeitgeber Fragen nach Grunddaten stellen und tätigkeitsbezogene Unterlagen anfordern, wie etwa Zeugnisse und Qualifikationsnachweise.
5. Was bedeutet das Recht auf Auskunft?
Künftig können Betroffene jederzeit Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen. Das heißt, Unternehmen müssen den Betroffenen eine Auskunft geben, welche personenbezogene Daten wie genutzt werden und wie man auf diese Daten zugreift.
6. Was ist ein "Verzeichnis der Verarbeitungstätigkeiten"?
Alle Betriebe, die regelmäßig personenbezogene Daten verarbeiten, müssen diese Prozesse in einem Verzeichnis dokumentieren. Wer also Mitarbeiterakten elektronisch verwaltet, ein Zeiterfassungssystem oder eine Kundendatei (CRM) führt, ist schon in der Pflicht. Alleine Lohn- und Gehaltsabrechnungen betreffen beispielsweise Religions- und Gesundheitsdaten (Krankheitstage), so dass praktisch alle Unternehmen ein Verarbeitungsverzeichnis führen müssen. Das Verzeichnis dient der Abschätzung der Risiken. "Dafür muss man sich fragen: Wie könnten Daten in unbefugte Hände geraten und wie hoch ist hierfür die Wahrscheinlichkeit?", erklärt Baumgärtel. Gerade bei Cloud-Diensten sollte man auf entsprechende Vorkehrungen des Anbieters achten. Sollte das Verzeichnis unvollständig oder nicht vorhanden sein, droht ein Bußgeld von bis zu 10 Mio. Euro oder zwei Prozent des Jahresumsatzes.
Birgt die Datenverarbeitung ein hohes Risiko für die Personen, ist eine "Datenschutzfolgenabschätzung" vorzunehmen. Etwa dort, wo besonders schutzwürdige Daten betroffen sind, wie bei den Gesundheitshandwerken oder bei großen Betrieben mit vielen Mitarbeitern.
Was in einem Verarbeitungsverzeichnis stehen sollte, finden Sie im Infokasten am Ende dieses Beitrags.
7. Wie steht es mit der Datenschutzerklärung?
Handwerker mit Website müssen in ihrer Datenschutzerklärung künftig wesentlich detaillierter informieren – jedoch nur, wenn dort personenbezogene Daten erhoben, verarbeitet oder gespeichert werden. Das ist bei Eingabe von Namen oder Email, aber auch der IP-Adresse der Fall. Achtung: Eine unrichtige Datenschutzerklärung könnte die sogenannten Abmahnanwälte auf den Plan rufen!
8. Wer braucht einen Datenschutzbeauftragten?
Foto: © Sergey Nivens/123RF.com Sind im Betrieb mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten – etwa bei Nutzung digitaler Personendaten auf einem Rechner, Tablet oder Smartphone – beschäftigt, ist ein Datenschutzbeauftragter (DSB) zu benennen. Der DSB kann sowohl ein Mitarbeiter des Betriebs oder ein außenstehender Dienstleister sein, er muss fachlich geeignet und unabhängig sein. Achtung: Der DSB berät nur – die Geschäftsführung bleibt für den korrekten Datenschutz verantwortlich! Wer keinen DSB ernennt, obwohl er es müsste, riskiert Bußgelder.
"In den Blick der Aufsichtsbehörden geraten Handwerksbetriebe eher selten, und wenn, dann ist meistens ein verärgerter Ex-Kunde der Grund", weiß Baumgärtel. Wie in dem Fall, bei dem der Nachfolger eines Augenoptikers die Kundendaten ohne deren Wissen einfach für Werbung nutzte. Einem Kunden missfiel das und er meldete den Datenschutzverstoß bei der Kammer. "Zeigen Sie als Betriebsinhaber in solchen Fällen Verständnis für die Sorgen der Betroffenen", ist der Rat der Expertin, "eine offene Kommunikation hilft, Stress zu vermeiden!"
Ihre Handwerkskammer informiert gerne, welche konkreten Änderungen auf Sie zukommen.
Der ZDH stellt kostenlos einen Leitfaden mit Mustern, Beispielen und Informationen zum neuen Datenschutzrecht als Download bereit.
Eine Checkliste für KMU bietet die Landesdatenschutzbeauftragte NRW gratis zum Herunterladen auf der Website: ldi.nrw.de
Checkliste: Häufig gestellte Fragen von Handwerkern zur DSGVO
Beantwortet Nicole Baumgärtel, Datenschutzbeauftragte der HWK Düsseldorf
1. Ist mein Betrieb von der DSGVO betroffen?
Baumgärtel: "Schon jeder Betrieb, der Emails verschickt, ist dabei. Es gibt so gut wie keine denkbaren Fälle, in denen Betriebe von der DSGVO verschont bleiben."
2. Mein Betrieb muss keinen Datenschutzbeauftragten bestellen, also gilt die DSGVO für uns nicht?
Baumgärtel: "Das ist leider ein Irrtum, der Datenschutzbeauftragte muss zwar erst bestellt werden, wenn zehn Personen ständig mit Datenverarbeitung beschäftig sind, aber auch kleinere Betriebe müssen grundsätzlich den Datenschutz beachten."
3. Was passiert im schlimmsten Fall?
Baumgärtel: "Denkbar ist, dass die Behörde bei einer Kontrolle den Betrieb auf links dreht. Wahrscheinlicher ist aber, dass ein Anschreiben mit der Bitte um eine Auskunft kommt. Derzeit sind die Aufsichtsbehörden selbst noch nicht vertraut mit den Vorschriften und müssen sich auch personell erst einmal darauf einstellen."
4. Ich habe nur juristische Personen als Kunden, dann brauche ich die DSGVO doch nicht zu beachten, oder?
Baumgärtel: "Wenn Sie Mitarbeiter haben, doch! Deren personenbezogene Daten müssen auch geschützt werden."
DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Datenschutz EU-weit vereinheitlicht. Sie soll einerseits den Schutz von personenbezogenen Daten und andererseits den freien Datenverkehr innerhalb der EU sicherstellen. Ab dem ab dem 25. Mai 2018 gilt die DSGVO unmittelbar in allen EU-Mitgliedstaaten.
Online-Test: Wie gut ist Ihr Betrieb auf die neue DSGVO vorbereitet? Um dies zu überprüfen, bietet das bayerische Landesamt für Datenschutzaufsicht einen Online-Test an.
Hier finden Sie einen kostenlosen Leitfaden von lexoffice mit Expertenrat und Mustervorlagen zur DSGVO.
Verarbeitungsverzeichnis
Aus dem Verzeichnis muss hervorgehen, welche personenbezogenen Daten das Unternehmen mit welchen Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten getroffen wurden. Hierzu sollte man eine Übersicht erstellen mit allen im Unternehmen eingesetzten Anwendungen und Tools (IT-Verfahren und Dateien), in denen personenbezogene Daten verarbeitet werden.
In das Verzeichnis gehören:
• Name und die Kontaktdaten des Betriebs (bei GmbH: Name des Geschäftsführers)
• ggfs. Name und Kontaktdaten des Datenschutzbeauftragten (DSB)
• Zweck der Verarbeitung: etwa für Werbemaßnahmen oder zur Abwicklung eines Vertrags
• Kategorien betroffener Personen: Kunden, Mitarbeiter, Zulieferer etc.
• Kategorien personenbezogener Daten: einfache Adressdaten oder besonders sensible Daten?
• Kategorien von Empfängern, wenn die Daten an Dritte weitergeleitet werden
• Wenn möglich, die vorgesehenen Fristen für die Löschung
• Wenn möglich, eine Beschreibung der technischen und organisatorischen Maßnahmen
Ein Muster für ein Verarbeitungsverzeichnis sowie eine Checkliste technischer und organisatorischer Maßnahmen finden Sie auf zdh.de.
Fotos: © Tatiana Popova /123RF.com; © aurielaki/123RF.com; © Rancz Andrei/123RF.com; © Sergey Nivens/123rf.com
Text:
Anne Kieserling /
handwerksblatt.de
Kommentar schreiben