Datenschutzrecht: Handwerksbetriebe und die Datenschutzgrundverordnung (DSGVO)

Ab 25.05.2018 gelten die Regelungen der Datenschutzgrundverordnung und des neuen Bundesdatenschutzgesetzes für alle Unternehmen und Betriebe in Deutschland, die personenbezogene Daten verarbeiten.

A. Betrifft mich das als kleines Handwerksunternehmen überhaupt? 

JA! 

Der weit verbreitete Glaube, die neuen Regelungen zum Datenschutzrecht beträfen nur große Unternehmen, ist falsch. Die geltenden Datenschutzregelungen sind von jedem Betrieb und Unternehmen (als Verantwortlicher) einzuhalten, mag er noch so klein sein. Erfasst werden also auch kleinste Handwerksbetriebe, da auch diese personenbezogene Daten ihrer Kunden und ggfs. Mitarbeiter erfassen und verarbeiten.

B. Worum geht es?

Es geht im Kern um den Schutz von personenbezogenen Daten, d. h. von Daten, die Rückschlüsse auf natürliche Personen zulassen (Bsp. Name, Kontaktdaten, E-Mailadresse, aber auch IP-Adressen).

C. Was ist zu tun? 

Die Datenschutzgrundverordnung sieht gewisse Mindestanforderungen für jeden Betrieb und jedes Unternehmen vor. Prüfen Sie anhand der nachfolgenden Liste, ob die Mindestanforderungen von Ihnen eingehalten werden müssen:

1. Brauche ich einen Datenschutzbeauftragten?

JA, wenn mindestens 10 Personen „ständig“ mit personenbezogenen Daten „beschäftigt“ sind, d. h. regelmäßig Kunden- oder Personaldaten verwalten (Handwerker, die Kundendaten nur im Rahmen der Ausführung ihrer Tätigkeit „zu Gesicht“ bekommen, sind nicht „ständig mit personenbezogenen Daten beschäftigt“.)

NEIN, wenn dies nicht der Fall ist.

2. Benötige ich neben den Arbeitsverträgen im Verhältnis zu meinen Beschäftigten noch weitere Dokumente und Unterlagen?

JA, Sie müssen Beschäftigte auf „Vertraulichkeit“ verpflichten und sog. Vertraulichkeitserklärungen (früher: Datengeheimnis) abschließen. Es handelt sich um eine Information dahingehend, dass auch Mitarbeiter die gesetzlichen Regelungen einhalten müssen.

3. Muss ich Daten besonders sichern? 

NEIN, in einem Handwerksbetrieb genügen in der Regel Standardmaßnahmen, um personenbezogene Daten zu schützen. Standardmaßnahmen sind technischer und organisatorischer Natur (Bsp. Räume verschlossen, Server vor Feuer und Wasserschaden gesichert, nur bestimmte Mitarbeiter haben Zugriff auf Kundendaten, Computer sind mit Firewall u. Virenschutz ausgestattet, Zugriff nur mit Passwort und User-ID, etc.).

4. Muss ich sog. TOM-Katalog führen? 

JA, die Bezeichnung „TOM-Katalog“ steht für „technische und organisatorische Maßnahmen“, die zum Schutz von personenbezogenen Daten ergriffen werden. Jedes Unternehmen muss zwingend sowohl technische (Türschloss, Firewall, Virenschutz, Rauchmelder, Feuerlöscher etc.) als auch organisatorische (Zugriffsberechtigungen von Mitarbeitern, Schulungen v. Mitarbeitern, etc.) Maßnahmen zum Schutz pb. Daten treffen. Diese ergriffenen Maßnahmen sind zu dokumentieren. Erstellen Sie folglich eine Liste mit allen Maßnahmen, die Sie zum Schutz von pb. Daten Ihrer Kunden und Mitarbeiter ergriffen haben. Der Maßnahmenkatalog sollte regelmäßig gepflegt werden.

5. Muss ich ein Verarbeitungsverzeichnis erstellen?

JA! Da regelmäßig personenbezogene Daten v. Kunden und Mitarbeitern verarbeitet werden, muss ein sog. Verarbeitungsverzeichnis erstellt werden. In Rahmen des Verarbeitungsverzeichnisses wird

• der Verarbeitungsprozess dargestellt (Bsp. Lohnabrechnung über Steuerberater)
• der Zweck der Datenerhebung (Bsp. Auszahlung Löhne)
• wer von der Datenerhebung betroffen ist (Mitarbeiter)
• welche Daten betroffen sind (Name, Geburtsdatum, Adresse etc.)
• wer ggfs. der Empfänger der Daten ist (Steuerberater)
• ob die Daten in ein Drittland übermittelt werden sollen (hier (-))
• wann die Daten gelöscht werden sollen (10 Jahre wg. steuerrechtlicher Aufbewahrungsfristen)
• die getroffenen technischen u. organisatorischen Maßnahme (TOM; es genügt hier ein Verweis auf den zuvor erstellten sog. TOM-Katalog)

Da Verarbeitungstätigkeiten zusammengefasst und kategorisiert werden können (also nicht pro Kunde dokumentiert werden muss), eignen sich Excel-Tabellen gut, um ein Verarbeitungsverzeichnis anzulegen. Dieses sollte dann regelmäßig gepflegt und ggfs. ergänzt werden. Nachfolgende Verarbeitungsprozesse dürften bei nahezu jedem Betrieb erfolgen. Diese sollten im Verarbeitungsverzeichnis dokumentiert werden:

• Lohnabrechnung
• Personalverwaltung
• Betrieb einer Homepage
• Kundenverwaltung
• Umgang mit Bewerberdaten
• Umgang mit E-Mails
• etc.

6. Treffen mich bestimmte Informations- und Auskunftspflichten?

JA, die DSGVO sieht umfangreiche Informations- und Auskunftspflichten gegenüber betroffenen Personen, deren Daten erhoben werden, vor. Sowohl Mitarbeiter als auch Kunden sind also bei der Datenerhebung über die Verarbeitung ihrer Daten und ihre Rechte (Auskunft, Löschung, Korrektur, etc.) zu informieren. Konsequenz daraus ist beispielsweise, dass im Rahmen eines eigenen Internetauftritts eine Datenschutzerklärung vorgehalten werden muss.

7. Gibt es eine Verpflichtung Daten zu löschen?

JA, nach Ablauf gesetzlicher Aufbewahrungspflichten müssen Daten, die nicht mehr benötigt werden, fachgerecht gelöscht und vernichtet werden.

8. Muss ich im Verhältnis zu meinen externen Dienstleistern Regelungen treffen?

JA! Beauftrage ich selbst einen Dienstleister mit der weisungsgebundenen Verarbeitung personenbezogener Daten, muss ich einen sog. Auftragsverarbeitungsvertrag schließen. Dritte, die also nach meinen Weisungen pb. Daten für mich verarbeiten (oder zumindest Zugriff darauf haben) müssen vertraglich garantieren die DSGVO und die weiteren gesetzlichen Regelungen einzuhalten. Dies betrifft in der Regel:

• Unternehmen, die Akten für mich vernichten
• Meinen Web-Hoster
• Technischer Support (strittig)
• Call-Center / E-Büros
• Etc.

Kein Vertrag ist notwendig bei Steuerberatern oder Rechtsanwälten, da diese weisungsungebunden arbeiten. Auch bei Reinigungsunternehmen, reinen Telefonanbietern, Post- und Zahlungsdienstleistern sind üblicherweise keine Verträge notwendig, da diese pb. Daten entweder für eigene Zwecke erheben oder jedenfalls keine Datenverarbeitung als Kerngeschäft betreiben. Allerdings sollten Reinigungsunternehmen ebenfalls auf Vertraulichkeit verpflichtet werden.

Viele Unternehmen, die primär Auftragsverarbeitung durchführen (insb. Web-Hoster und Aktenvernichter), halten in der Regel eigene Verträge vor. Es lohnt sich also dort nachzufragen oder im Internet zu recherchieren, ob entsprechende Verträge vorgehalten werden. Anderenfalls findet man im Internet zahlreiche Muster, die entsprechend angepasst werden können.

9. Muss ich bei Datenschutzverletzungen reagieren?

JA, wenn es Verletzungen (Diebstahl, Hacking, Verlust von Smartphones, etc.) mit relevanten Risiken gibt, können gesetzliche Meldepflichten gegenüber der zuständigen Datenschutzbehörde bestehen. Entsteht für den Betroffenen (Kunden, Mitarbeiter) ein hohes Risiko, ist auch dieser zu informieren.

10. Muss ich sog. Datenschutz-Folgenabschätzungen (DSFA) durchführen? 

(Was ist das? Ist die Verarbeitung von pb. Daten mit hohen Risiken verbunden, muss vor der Verarbeitung eine Abschätzung der Folgen für den Betroffenen erfolgen, sog. Datenschutz-Folgenabschätzung.)

NEIN, bei Handwerkbetrieben ist in der Regel nicht davon auszugehen, dass ein hohes Risiko für die Rechte von Betroffenen besteht. Insoweit kann davon ausgegangen werden, dass keine Datenschutzfolgen-Abschätzung zu erfolgen hat.

Die vorbezeichneten Ausführungen stellen lediglich die Mindestanforderungen der DSGVO dar und erheben selbstverständlich keinen Anspruch auf Vollständigkeit.

Benötigen Sie weitere Hilfe, um Ihren Betrieb datenschutzkonform aufzustellen, sprechen Sie mich an. Ich biete –je nach Beratungsbedarf und Größe Ihres Unternehmens- verschiedene Beratungspakete an, um Sie bei der Umsetzung der neuen Anforderungen zu unterstützen.