Recht + Steuern -

Neue EU-Datenschutzgrundverordnung ab 2018 EU-Vorgaben und Digitalisierung: Datenschutz im Umbruch?

Mit der Digitalisierung steigt die Masse an Daten, die Unternehmen erfassen, verarbeiten und speichern. Daran passt sich auch der Gesetzgeber an. Ab 2018 gilt europaweit eine neue Datenschutzgrundverordnung. Sie präzisiert die bereits geltenden Vorgaben auch in Deutschland. Datenschutz wird zunehmend zur Herausforderung für Betriebe. Doch was gilt eigentlich genau und was ändert sich?

Anders als man es vielleicht vermuten könnte, gelten auch Handwerksbetriebe als datenverarbeitende Unternehmen, wenn sie Mitarbeiterdaten erfassen und Kundendaten speichern. Damit unterliegen sie den Vorgaben des Bundesdatenschutzgesetzes und sind auch vom Inkrafttreten der neuen EU-Datenschutzgrundverordnung im kommenden Jahr betroffen. Eine Herausforderung stellt zudem die Digitalisierung dar. Der zunehmende Umgang mit digitalen Datenströmen bringt auch neue Pflichten mit sich.

Sensibilität für Datenschutz steigt

Sowohl bei Kunden, Mitarbeitern und den Betrieben selbst ist nach Ansicht des Zentralverbands des Deutschen Handwerks (ZDH) die Sensibilität für den Umgang mit Daten spürbar gestiegen.

Der Datenschutz stelle für Handwerksbetriebe zugleich eine enorme Herausforderung dar. "Der äußerst formalistische Ansatz des Datenschutzrechts fordert mit seinen umfassenden Informations- und Dokumentationspflichten personelle, zeitliche wie finanzielle Ressourcen", sagt ein Sprecher des Verbands.

So seien die gesetzlichen Anforderungen an den Datenschutz sehr hoch und die in der Datenschutz-Grundverordnung vorgesehenen Erleichterungen und Ausnahmen für kleine Betriebe würden in der Praxis – wenn überhaupt – nur wenige Fälle erfassen. "Für Handwerksbetriebe sind diese Ausnahmeregelungen in aller Regel nicht einschlägig", kritisiert der ZDH und ergänzt, dass praxisgerechte Erleichterungen der formalistischen Anforderungen zwar möglich wären. Doch die "überaus strikten und formalen Anforderungen sind politisch gewollt und wurden im Rahmen der europäischen Datenschutz-Grundverordnung erneut bekräftigt", so der Verbandssprecher gegenüber der Deutschen Handwerks Zeitung.

Grundsätzlich gelte zwar, dass Daten, die Betriebe zur Erfüllung ihrer Pflichten als Arbeitgeber oder als Auftragnehmer gegenüber ihren Kunden benötigen, ohne weiteres verwendet werden dürfen.

"Obwohl die Nutzung dieser Daten zulässig ist, müssen Betriebe mit Inkrafttreten der europäischen Datenschutz-Grundverordnung im Mai 2018 ihre Kunden und Mitarbeiter über die jeweilige Datennutzung informieren und diese Datenverarbeitungsprozesse in einem Datenschutzkonzept einmalig dokumentieren", verweist der ZDH auf das, was künftig auf die Betriebe zukommt.

Datenschutz ja – Mitarbeiterüberwachung nein

Das Thema Datenschutz sorgt derzeit auch durch neue Gerichtsurteile für Diskussionen. So hat das Bundesarbeitsgericht erst kürzlich entschieden, dass der Einsatz von Spähsoftware auf Firmencomputern zur verdeckten Überwachung von Mitarbeitern nur in ganz speziellen Ausnahmefällen erlaubt ist. Und zwar nur dann, wenn ein konkreter Verdacht auf eine Straftat oder eine schwerwiegende Pflichtverletzung des Arbeitnehmers besteht. Grundsätzlich gilt demnach, dass sogenannte Keylogger, die Tastatureingaben heimlich protokollieren und Fotos vom Bildschirm des Arbeitnehmers schießen verboten sind.

Doch von Mitarbeitern können eben doch auch manches Mal "Gefahren" ausgehen – zum Beispiel, wenn es um sogenannte Cyberattacken geht. Dazu hat der Hightechverband Bitkom erst in der vergangenen Woche eine Studie vorgestellt und spricht von Milliardenschäden für Unternehmen, die jedes Jahr durch Datendiebstahl, Spionage und Sabotage entstehen würden. In 62 Prozent der Fälle, die Bitkom untersucht hat, sind der Studie zufolge aktuelle oder ehemalige Mitarbeiter Auslöser der Probleme.

Bundesjustizminister Heiko Maßen hat die Studienergebnisse kommentiert und rät einem Bericht von faz.net zufolge Unternehmen unter anderem dazu, die Mitarbeiter in Sachen Datenschutz und den Umgang mit Hackerangriffen besser zu schulen. Das sei auch mit Blick auf die stärkere Vernetzung einzelner Geräte über das Internet nötig – durch die Digitalisierung. Die Angriffsfläche wird laut Maaßen deutlich wachsen.

Faustregel: Ohne Einwilligung nur dringend notwendige Daten speichern

Die Digitalisierung wird aber auch den Umgang mit den Daten verändern, die Unternehmen verarbeiten und  speichern dürfen – vor allem deshalb, weil die Datenmasse steigt und auch an mehr Stellen Daten erfasst werden. Nach Aussage von Bitkom werden insbesondere die datenverarbeitenden Unternehmen verpflichtet, ihre Datenverarbeitung genauer zu dokumentieren. "Im Zweifel müssen sie den Nachweis führen können, dass ihre Datenverarbeitung den Vorgaben der Datenschutz-Grundverordnung entspricht", sagt eine Unternehmenssprecherin auf Anfrage. Als Faustregel gelte, dass ohne Einwilligung nur solche Daten verarbeitet werden dürfen, die für die Entstehung beziehungsweise Abwicklung des Kundenverhältnisses notwendig sind oder die aufgrund anderer gesetzlicher Vorgaben gespeichert werden müssen, etwa für die Steuer.

Auch der ZDH sagt, dass Datenschutz grundsätzlich technikneutral gestaltet sei. Das bedeutet, dass für digitale oder analoge Datenverarbeitungsprozesse dieselben Regeln und Anforderungen gelten. "Da durch digitale Verarbeitungsmöglichkeiten jedoch in kürzester Zeit und mit einfachsten Mitteln eine erhebliche Anzahl von Daten verarbeitet werden können, ist das Risiko von Datenschutzverletzungen im digitalen Kontext in der Regel höher", erklärt der Verbandssprecher. Aufgrund des höheren Risikos würden zum Teil auch höhere Anforderungen an die Nutzung der Daten gestellt.

Zur Herausforderung an sich muss die Digitalisierung in Sachen Datenschutz also nicht für Betriebe werden, wenn man sich an die geltenden Gesetze hält. Doch genau diese werden sich ab 2018 jedoch durch neue EU-Vorgaben verändern. So gilt ab dem 25. Mai 2018 die neue europäische Datenschutz-Grundverordnung (EU-DSGVO), an die sich das Bundesdatenschutzgesetz (BDSG) anpassen muss. Dazu wurde am 5. Juli 2017 2017 im Bundesgesetzblatt ein entsprechendes Gesetz veröffentlicht.

Doch was bedeutet das ganz konkret für die Praxis? Was gilt jetzt und ab dem kommenden Jahr? Gemeinsam mit der Rechtsexpertin der Handwerkskammer Region Stuttgart, Dara Horwath, beantwortet die DHZ im Folgenden die wichtigsten Fragen zum Thema Datenschutz im Handwerksbetrieb. 

Was sind personenbezogene Daten?

Zu den personenbezogenen Daten, die ein Betrieb erheben, nutzen und speichern darf, zählen die Daten, die Betriebe zur Erfüllung ihrer Pflichten als Arbeitgeber oder als Auftragnehmer gegenüber ihren Kunden benötigen. Für die Einstellung eines Mitarbeiters und die Zahlung des Lohns samt Abführung der Lohnnebenkosten sind z.B. die Kontonummer, die Krankenkasse, der Familienstand etc. erforderlich.

Nach dem BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Die Definition wird in der neuen EU-Verordnung wie folgt lauten: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Im Klartext heißt das: "Alle Informationen, durch die auf irgendeine Art und Weise Rückschlüsse auf eine natürliche Person gezogen werden können, sind personenbezogene Daten und damit datenschutzrechtlich abgesichert. Das kann natürlich der Name sein, aber auch Kfz-Kennzeichen oder Aufzeichnungen über Arbeitszeiten und Pausen", erklärt Dara Horwath.

Welche Daten von Mitarbeitern darf ein Betrieb erfassen, nutzen und speichern?

Die Regeln des Beschäftigtendatenschutzes sehen vor, dass personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen. Ausschlaggebend dafür muss sein, dass ohne sie kein rechtskonformes Beschäftigungsverhältnis zustande kommen kann bzw. dass der Betrieb seine regulär nötigen Abläufe ansonsten nicht gewährleisten und seinen gesetzlichen Pflichten nicht nachkommen kann.

Es handelt sich also um Daten wie den Namen der Person, seine Steuer-Identifikationsnummer und seine Daten zur Sozialversicherung. "Außerdem können es Angaben sein wie Beruf, Qualifikation und Einsatzfähigkeit", so Dara Horwath.

Auch wenn der Beschäftigtendatenschutz ab dem 25. Mai 2018 von seiner Regelung her deutlich umfangreicher wird, bleibt es gleichwohl bei den oben dargestellten Grundsätzen.

Muss für die Nutzung personenbezogener Daten eine schriftliche Genehmigung vorliegen?

In Bezug auf die Daten, die der Arbeitgeber benötigt, um das Beschäftigungsverhältnis überhaupt entstehen zu lassen und seinen gesetzlichen Pflichten nachzukommen, muss er keine gesonderte Einwilligung von seinen Mitarbeitern einholen.

Möchte er allerdings mehr Daten erfassen und speichern wie Angaben zu Hobbys und Interessen des Mitarbeiters, braucht er dafür eine schriftliche Einverständniserklärung. Das Gleiche gilt, wenn er Daten an andere weitergibt – etwa, wenn das Geburtsdatum in einem von den Kollegen einsehbaren Geburtstagskalender veröffentlicht werden soll.

Welche Daten von Kunden darf ein Betrieb erfassen? Für welchen Zweck darf er sie nutzen und speichern?

Das Bundesdatenschutzgesetz erlaubt auch hier ein Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung, wenn es dabei um die Erfüllung eigener Geschäftszwecke geht. So darf ein Handwerksbetrieb all die Daten in Absprache mit dem Kunden erfassen, die er benötigt, um seine Arbeiten zu erledigen – also beispielsweise Maße eines Raums notieren und speichern, die Größe eines gewünschten Möbelstücks oder auch die Adresse des Kunden, damit dort Bauarbeiten durchgeführt werden oder damit die Rechnung dorthin versendet werden kann. Diese Daten – genauso wie die Daten der Mitarbeiter auch – darf der Betrieb aber nicht an Dritte weitergeben.

Speichern darf der Betrieb die Daten so lange, bis der Auftrag erledigt ist. Will er sie in einer Datenbank archivieren, bedarf das einer Genehmigung (siehe nächster Absatz).

"Grundsätzlich darf nur den jeweils unbedingt erforderlichen Personen Zugang zu personenbezogenen Daten gewährt werden", fügt Dara Horwath dann noch als Thema an, dass es hierbei zu beachten gilt. Gemäß § 5 BDSG unterliegen diese Personen dem Datengeheimnis, d.h. den bei der Datenverarbeitung beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten, welches im Übrigen auch nach Beendigung ihrer Tätigkeit fortbesteht.

Müssen dafür schriftliche Genehmigungen vorliegen?

Auch an dieser Stelle gilt, dass Unternehmen die Daten erfassen, verarbeiten und speichern dürfen, die sie benötigen, um vereinbarte Leistungen ordnungsgemäß zu erfüllen. Für alles andere bedarf es einer schriftlichen Genehmigung – etwa, wenn der Betrieb die Kunden nach Abschluss der Arbeiten für Werbezwecke erneut kontaktieren möchte.

Will eine Firma die Daten der Kunden in einer Datenbank speichern, muss auch sie die Kunden einerseits darüber informieren und sich dies genehmigen lassen. Dazu rät die Rechtsexpertin: "Der Kunde muss vorab über den Zweck sowie den Umfang der Verwendung seiner Daten und die Bedeutung seiner Einwilligung aufgeklärt werden. Allgemeine Hinweise, wie z.B. dass die Daten zu Werbezwecken verarbeitet werden, reichen nicht aus."

Wann braucht ein Unternehmen einen Datenschutzexperten?

Unternehmen haben derzeit einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn das Unternehmen in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Bei einer nichtautomatisierten Datenverarbeitung liegt die Schwelle bei 20 Mitarbeitern. "Von einer automatisierten Verarbeitung von Daten spricht man dann, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen erfolgt. Das sind in erster Linie Computer, Server oder Smartphones, können aber auch Kopierer sein, wenn sie, wie heute üblich, über ein Speichermedium verfügen", sagt Dara Horwath.

Darüber hinaus sind Unternehmen auch unterhalb dieser Schwelle zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, wenn sie eine automatisierte Verarbeitung vornehmen und dabei eine sogenannte Vorabkontrolle durchführen müssen. Eine solche Vorabkontrolle ist dann Pflicht, wenn personenbezogene Daten verarbeitet werden, die dazu bestimmt sind, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Konkret geht es beispielsweise um die Verarbeitung von Gesundheitsdaten – wie etwa im Hörgeräteakustiker-Handwerk oder bei den Orthopädiemechanikern – oder wenn mit den Daten Persönlichkeitsprofile erstellt werden sollen.

Und es gibt derzeit noch weitere Zwecke, wann grundsätzlich ein Datenschutzbeauftragter eingesetzt werden muss: Dann, wenn personenbezogene Daten für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden.

"Ab dem 25. Mai 2018 wird die Bestellpflicht ausgeweitet", weist Dara Horwath hin. Dann bestehe eine Verpflichtung zur Benennung eines Datenschutzbeauftragten auch dann, wenn alternativ eine der folgenden Voraussetzungen vorliegt:

  • es handelt sich um eine "öffentliche Stelle", das heißt die Verarbeitung wird von einer Behörde durchgeführt;
  • die Kerntätigkeit besteht in Verarbeitungsvorgängen, die eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen mit sich bringen; oder
  • die Kerntätigkeit besteht in einer umfangreichen Verarbeitung besonders sensibler personenbezogener Daten.
 

Welche Aufgaben hat ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter muss auf die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, achten. Für die Praxis bedeutet das: "Als Datenschutzbeauftragter darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Neben umfassenden Kenntnissen im Datenschutzrecht sowie sonstigen relevanten Rechtsvorschriften muss ein Datenschutzbeauftragter auch über grundlegende IT-Kenntnisse sowie betriebswirtschaftliche Grundkompetenzen verfügen. Selbstredend muss er die betrieblichen Verfahrensabläufe und die Betriebsorganisation genau kennen, um beispielsweise Einführungen oder Änderungen von Datenverarbeitungsprozessen hinreichend datenschutzrechtlich beurteilen zu können", erklärt die Rechtsexpertin. Zudem muss der Datenschutzbeauftragte immer über die aktuellen Rechtsvorschriften informiert sein und diese den mit der Verarbeitung personenbezogener Daten tätigen Personen mitteilen. 

Durch die neue EU-Datenschutzverordnung wird der Datenschutzbeauftragte nicht nur auf die Einhaltung der entsprechenden Datenschutzvorschriften hinzuwirken haben, sondern er wird eine umfassende Überwachungspflicht haben. Er muss sich dann laut Gesetz mit allen Datenschutzvorschriften der EU-Mitgliedstaaten auskennen. Er ist auch derjenige, auf den eine Aufsichtsbehörde zugeht, wenn es Probleme mit dem Datenschutz bzw. Beschwerden von Seiten der Mitarbeiter oder Kunden gibt. 

In welcher Form müssen Betriebe die gespeicherten Daten vor dem Zugriff Dritter schützen?

Hackerangriffe auf Firmennetzwerke sind im Handwerk eventuell bislang kein großes Thema. Dennoch müssen Internetverbindungen und WLAN-Netze aller Unternehmen sicher sein – so verlangt es der Gesetzgeber. Dazu rät Dara Horwath: "Man sollte zumindest darauf achten, dass auf jedem einzelnen Computersystem eine Anti-Virus-Software oder sonstige anerkannte Internet-Sicherheitssoftware installiert und der Internetanschluss durch eine Firewall geschützt ist." Selbstverständlich müssten diese stets auf aktuellem Stand gehalten und die Computersysteme regelmäßig auf Befall durch Viren, Würmer oder Trojaner kontrolliert werden. Auch sollten Mitarbeiter im Hinblick auf den Umgang mit Dateianhängen und Links in Emails sowie eine sichere Passwortgenerierung sensibilisiert werden, empfiehlt die Rechtsexpertin. 

Welche weiteren Änderungen gibt es durch die neuen EU-Vorgaben ab 2018?

Ziel der EU-DSGVO ist, das bisher in den einzelnen Ländern völlig unterschiedlich geregelte Datenschutzrecht europaweit anzugleichen. Da das deutsche Datenschutzrecht der EU als Vorbild gedient haben soll, wird sich im Vergleich zu anderen Ländern in Deutschland das Datenschutzrecht als solches nicht grundsätzlich ändern. Nichtsdestotrotz enthält die EU-DSGVO auch für Deutschland nicht nur Präzisierungen, sondern auch Neuerungen und Erweiterungen, wie z.B. die Pflicht zur Schaffung eines Datenschutzmanagements oder die Einführung einer Datenschutz-Folgeabschätzung. 

So gibt es laut Dara Horwath auch Änderungen bei den Sanktionen, denn bei Verstößen gegen die EU-DSGVO müssen selbst natürliche Personen, wie z. B. Geschäftsführer und auch Mitarbeiter, statt mit Bußgeldern von bis zu 300.000 Euro zukünftig mit bis zu 20.000.000 Euro rechnen. Bei Unternehmen können sogar aufgrund einer umsatzbezogenen Berechnung Millionenbeträge in dreistelliger Höhe fällig werden.

"Auch wird zukünftig nicht mehr das Sitzlandprinzip gelten, sondern das Marktortprinzip, so dass sich US-Konzerne wie Google, Facebook oder Microsoft auch an die EU-DSGVO halten müssen, wenn sie in der EU Leistungen anbieten wollen", gibt die Rechtsexpertin als weiteres Beispiel zu den Neuerungen an.  

Ein Thema, das nahe am Datenschutz ist, ist auch die Überwachung von Mitarbeitern. Was dabei gilt und was Arbeitgeber beachten sollten, lesen Sie hier.>>>

Mehr zum Thema
© deutsche-handwerks-zeitung.de 2017 - Alle Rechte vorbehalten
Kommentare

Mehr Informationen dazu finden Sie hier.

* = Pflichtfelder. Bitte ausfüllen

willi

EU Vorgaben

wen juckt denn die EU ? nur die Deutschen - ja ist ja gesetz. mir wird immer schlecht , wenn ich EU schon höre, und wen ich so über die jahre der besetzungsliste schau wir mir schlecht . zb. cohn bendit - krawallmacher aus 68 der studentenunruhen , bangemann , ehemals finanzminster , verheugen , der kleine zuckerpackungen will - thats live thats EU und den brexit werden wir wohl auch noch zahlen ( i wont my money back - gelle ) weiterhin dürfen wir nun unsere ältern dieselfahrzeuge wegschmeißen um den konzernen die strafen in den usa zu bezahlen - sorry ist ggf. etwas über zogen was ich da hin schmier . bitte entschuldigen sie .
nächstes thema wären dann mal beiläufig 150 mios. aus der poto kasse für air berlin hoffe doch die eu gibt was mit bei .....

willi

EU Vorgaben

wen juckt denn die EU ? nur die Deutschen - ja ist ja gesetz. mir wird immer schlecht , wenn ich EU schon höre, und wen ich so über die jahre der besetzungsliste schau wir mir schlecht . zb. cohn bendit - krawallmacher aus 68 der studentenunruhen , bangemann , ehemals finanzminster , verheugen , der kleine zuckerpackungen will - thats live thats EU und den brexit werden wir wohl auch noch zahlen ( i wont my money back - gelle ) weiterhin dürfen wir nun unsere ältern dieselfahrzeuge wegschmeißen um den konzernen die strafen in den usa zu bezahlen - sorry ist ggf. etwas über zogen was ich da hin schmier . bitte entschuldigen sie .
nächstes thema wären dann mal beiläufig 150 mios. aus der poto kasse für air berlin hoffe doch die eu gibt was mit bei .....