Recht + Steuern -

Neue EU-Datenschutzgrundverordnung ab 25. Mai 2018 DSGVO: Diese Pflichten haben Betriebe beim Datenschutz

Ab dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Jeder Betrieb, der Daten erfasst und speichert, muss jetzt seine komplette Datenverwaltung daran anpassen. Wichtig: Bußgeldbeträge steigen und es wird mehr Kontrollen geben. In Panik muss dennoch niemand verfallen. Was sich wirklich ändert.

Dieser Artikel ist Bestandteil des Themenpakets Instagram

Die Vorhersagen zur neuen EU-Datenschutz-Grundverordnung (DSGVO) klingen wie jene zur Jahrtausendwende. Allerdings werden auch jetzt keine Computer abstürzen oder Firmen sofort vor Gericht landen, weil sie Daten von Mitarbeitern oder Kunden nicht regelkonform verwendet haben. Selbst die zuständige EU-Kommissarin Vera Jourová plädiert für eine "Entmystifizierung" des Themas, denn gerade für deutsche Firmen wird sich vergleichsweise wenig ändern, da hierzulande bereits strenge Datenschutzvorgaben gelten. Panikmache ich also nicht angesagt. Aber dennoch sollte jeder die DSGVO ernst nehmen, denn die Bußgeldbeträge steigen stark und ab jetzt machen sich Behörden und auch die sogenannten Abmahnanwälte bereit für Kontrollen.

Mit der Digitalisierung steigt die Masse an Daten, die Unternehmen erfassen, verarbeiten und speichern. Daran passt sich auch der Gesetzgeber an. Ab dem 25. Mai 2018 gilt europaweit eine neue Datenschutz- Grundverordnung (DSGVO). Sie präzisiert die bereits geltenden Vorgaben auch in Deutschland.

Dabei sind es nicht die inhaltlichen Vorgaben beim Datenschutz, die sich in Deutschland stark verändern, sondern der Umgang mit den Daten. Noch wichtiger wird es nun alle Prozesse, in denen die Daten eine Rollen spielen – das Erfassen, Ablegen, Speichern und Löschen – zu dokumentieren, diejenigen, deren Daten betroffen sind über den Umgang damit aufzuklären und gegebenenfalls auch Einwilligungen für die Nutzung der Daten einzuholen.

Anders als man es vielleicht vermuten könnte, gelten auch Handwerksbetriebe als datenverarbeitende Unternehmen, wenn sie Mitarbeiterdaten erfassen und Kundendaten speichern. Damit unterliegen sie den Vorgaben des Bundesdatenschutzgesetzes und sind auch vom Inkrafttreten der DSGVO betroffen. In Kraft ist die DSGVO übrigens schon seit zwei Jahren bzw. seit dem 25. Mai 2016, doch es gilt noch eine Übergangsfrist bis zum 25. Mai dieses Jahres. Ihre Einhaltung durch die EU-Datenschutzaufsichtsbehörden und Gerichte ist also auch erst nach dem Ende der Übergangsfrist überprüfbar.

Wann die Datennutzung zulässig ist

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt.

Die DSGVO (Artikel 6) erlaubt die Datennutzung demnach dann ohne Einwilligung,

  • wenn die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist (z.B. Adresse des Kunden, um den Auftrag vor Ort beim Kunden ausführen zu können).
  • zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. E-Mail-Adresse, um dem Kunden nach seinem Wunsch einen Kostenvoranschlag senden zu können).
  • zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen (z.B. die Auswertung der Kundendatei, um bestimmte Kunden zielgerichtet mit Werbung anzusprechen).
 

Für alle anderen Fälle ist es nötig, eine Einwilligung von der betreffenden Person einzuholen.

Quelle: ZDH

DSGVO: Sensibilität für Datenschutz steigt

Sowohl bei Kunden, Mitarbeitern und den Betrieben selbst ist nach Ansicht des Zentralverbands des Deutschen Handwerks (ZDH) die Sensibilität für den Umgang mit Daten spürbar gestiegen. Dem kommt auch die DSGVO nach, indem sie verlangt, dass die Betriebe diejenigen, deren Daten sie erfassen auf Wunsch über den Umgang mit den Daten aufklären müssen. Zudem muss jeder Schritt dabei dokumentiert werden – Datenerfassung, Datenablage und Speicherung sowie das Löschen der Daten.

Allerdings halten sich die Neuerungen dann in Grenzen, wenn Betriebe bereits heute datenschutzkonform agieren. "Die DSGVO orientiert sich strukturell wie inhaltlich sehr stark am bisherigen deutschen Datenschutzrecht. Abgesehen von redaktionellen und sprachlichen Aspekten bringt die DSGVO für in Deutschland ansässige Handwerksbetriebe inhaltlich nur sehr wenige praxisrelevante Änderungen mit sich", sagt  Dr. Markus Peifer, Datenschutzexperte beim ZDH. Die Anpassungen an seien überwiegend redaktioneller Natur. Sie stellen damit in erster Linie einen einmaligen Umstellungsaufwand dar.

Dennoch müssen die betrieblichen Abläufe angepasst werden. Grundsätzlich gilt zwar, dass Daten, die Betriebe zur Erfüllung ihrer Pflichten als Arbeitgeber oder als Auftragnehmer gegenüber ihren Kunden benötigen, ohne weiteres verwendet werden dürfen. Doch geht ab Mai nichts mehr ohne schriftliche Dokumentation. " Ausnahmen von der Dokumentationspflicht für kleine Betriebe waren zwar von der Europäischen Kommission vorgesehen, wurden jedoch vom Europäischen Parlament nicht in dem geforderten Maß umgesetzt", erklärt dazu Markus Peifer.

Datenverarbeitung neu aufstellen: Informations- und Dokumentationspflichten im Überblick

  • Einwilligungen einholen: Für jede Datennutzung, die nicht durch die gesetzlichen Vorgaben (siehe oben) erlaubt ist, muss eine Einwilligungserklärung eingeholt werden. Diese muss zwar nicht zwingend in schriftlicher Form vorliegen, angesichts der Nachweispflicht der Betriebe, bringt dies aber erhebliche Vorteile bzw. Rechtssicherheit. Ein Muster einer solchen Einwilligungserklärung bietet der ZDH online zum Download an.
  • Auskunftsrecht, Informationspflicht und Recht auf Löschung der Daten: Betroffene haben das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind und verarbeitet werden. Werden Daten nicht bei der betroffenen Person selbst, sondern bei einem Dritten erhoben, muss die Person darüber informiert werden. Außerdem hat jeder, dessen Daten erhoben werden, ein Recht darauf, dass die Daten auf Verlangen gelöscht werden. Eine Liste mit all den neuen Pflichten und Rechten können Sie hier nachlesen.
  • Dokumentation der Datenverarbeitung (Verarbeitungsverzeichnis): Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Wie dieses Verzeichnis genau aussehen muss, zeigt der ZDH und bietet ein Muster zum Download an. 

Wie sich Handwerksbetriebe auf die neuen Informations- und Dokumentationspflichten und an welchen Stellen in der Datenverarbeitung nachgebessert werden muss, lesen Sie hier.>>>

Der ZDH hat ein umfangreiches Informationspaket zusammengestellt zur DSGVO mit Musterschreiben zu allen wichtigen Formalien, die nun zu erledigen sind. Es ist unter zdh.de erreichbar.>>>

DSGVO: Datenschutz ja – Mitarbeiterüberwachung nein

Das Thema Datenschutz sorgt derzeit auch durch neue Gerichtsurteile für Diskussionen. So hat das Bundesarbeitsgericht entschieden, dass der Einsatz von Spähsoftware auf Firmencomputern zur verdeckten Überwachung von Mitarbeitern nur in ganz speziellen Ausnahmefällen erlaubt ist. Und zwar nur dann, wenn ein konkreter Verdacht auf eine Straftat oder eine schwerwiegende Pflichtverletzung des Arbeitnehmers besteht. Grundsätzlich gilt demnach, dass sogenannte Keylogger, die Tastatureingaben heimlich protokollieren und Fotos vom Bildschirm des Arbeitnehmers schießen verboten sind.

Doch von Mitarbeitern können eben doch auch manches Mal "Gefahren" ausgehen – zum Beispiel, wenn es um sogenannte Cyberattacken geht. Dazu hat der Hightechverband Bitkom eine Studie vorgestellt und spricht von Milliardenschäden für Unternehmen, die jedes Jahr durch Datendiebstahl, Spionage und Sabotage entstehen würden. In 62 Prozent der Fälle, die Bitkom untersucht hat, sind der Studie zufolge aktuelle oder ehemalige Mitarbeiter Auslöser der Probleme.

Das Bundesjustizministerium hat die Studienergebnisse kommentiert und rät einem Bericht von faz.net zufolge Unternehmen unter anderem dazu, die Mitarbeiter in Sachen Datenschutz und den Umgang mit Hackerangriffen besser zu schulen. Das sei auch mit Blick auf die stärkere Vernetzung einzelner Geräte über das Internet nötig – durch die Digitalisierung. Die Angriffsfläche wird deutlich wachsen.

Faustregel: Ohne Einwilligung nur dringend notwendige Daten speichern

Die Digitalisierung wird aber auch den Umgang mit den Daten verändern, die Unternehmen verarbeiten und speichern dürfen – vor allem deshalb, weil die Datenmasse steigt und auch an mehr Stellen Daten erfasst werden. So müssen datenverarbeitende Unternehmer im Zweifel den Nachweis führen können, dass ihre Datenverarbeitung den Vorgaben der Datenschutz-Grundverordnung entspricht. Als Faustregel gilt deshalb, dass ohne Einwilligung nur solche Daten verarbeitet werden dürfen, die für die Entstehung beziehungsweise Abwicklung des Kundenverhältnisses notwendig sind oder die aufgrund anderer gesetzlicher Vorgaben gespeichert werden müssen, etwa für die Steuer.

Dies sollte jeder Betrieb ernst nehmen, denn die Bußgeldhöhen werden mit der DSGVO stark angezogen. Bestimmte Verstöße können mit einem Bußgeld in Höhe von vier Prozent des weltweiten Umsatzes eines Unternehmens bzw. 20 Millionen Euro belegt werden, je nachdem, welche Summe höher ist. Neben den Bußgeldern der Aufsichtsbehörden drohen außerdem Abmahnungen von Verbraucherschutz- und Wettbewerbsverbänden und wettbewerbsrechtliche Abmahnungen von Konkurrenten. Schon jetzt wird vor sogenannten Abmahn-Anwälten gewarnt. Im Blick hätten sie vor allem Betreiber von Online-Shops und die Angaben von Firmen auf ihren Websites.

Vorsicht vor Abmahnungen: Warum die Datenschutzerklärung so wichtig ist

Noch sind die neuen Vorgaben durch die Europäische Datenschutzerklärung nicht in Kraft, doch schon jetzt werden Warnungen vor sogenannten Abmahnanwälten und Abmahnvereinen laut, die ab Mai 2018 online gezielt Ausschau halten nach Betrieben, die ihre Pflichten nicht erfüllen. Im Visier habe sie Online-Shops, da diese darauf angewiesen sind, die persönlichen Daten von ihren Kunden zu erhalten, um Waren zuzusenden. Doch was sind die entscheidenden Stellen auf der Website und worauf sollten Betreiber von Online-Shops achten? Rebekka Weiß, Referentin für Datenschutz und Verbraucherrecht im Bitkom gibt Antworten.

DHZ: Müssen Anbieter von Online-Shops künftig einen bestimmten Hinweises auf der Website einbauen, der zeigt, dass sie sich an die DSGVO halten?

Weiß: Um die Einhaltung der neuen Vorgaben der DSGVO zu belegen, ist ein einfacher Hinweis auf der Website eines Online-Shops nicht ausreichend. Ein Satz wie „Wir verarbeiten DSGVO-konform“ o.ä. könnte ohnehin gar keinen Beleg darstellen und ist außerdem aus wettbewerbsrechtlicher Sicht problematisch. Die Einhaltung bestimmter Pflichten nach der DSGVO lässt sich auch nicht mit einem einfachen Blick auf einer Website nachvollziehen, beispielsweise die Einhaltung von Löschverpflichtungen. Hierzu könnte der Webseitenbetreiber zwar etwas schreiben, ob und wie er aber tatsächlich Daten löscht, ist nicht auf der Webseite selbst nachvollziehbar.

DHZ: Wie kann man dann belegen, dass man sich an die Vorgaben der DSGVO hält?

Weiß: Über die Datenschutzerklärung können Anbieter von Online-Shops die ihnen nach der DSGVO auferlegten Informationsverpflichtungen erfüllen. Wichtig ist neben den Inhalten der Informationspflichten auch die Art und Weise der Belehrung darin. Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache in der Datenschutzerklärung verfügbar sein. Nicht gesetzeskonforme Inhalte der Datenschutzerklärung können leicht gefunden werden – deshalb könnte sie auch für potenzielle Abmahner ein Ziel sein. So sind bestimmte Formulierungen, die nach der jetzigen Rechtslage noch erlaubt sind, nach der DSGVO rechtswidrig. Bei fehlerhaften Angaben drohen daher Abmahnungen, Aufsichtsbehörden können zudem Bußgelder verhängen.

DHZ: Was muss die Datenschutzerklärung auf jeden Fall enthalten?

Weiß: In den Datenschutzerklärungen können viele der Informationspflichten der DSGVO erfüllt werden. Jedoch kommt hier auf die Betreiber einiger Änderungsbedarf zu, da die Informationspflichten bisher nicht so umfassend geregelt waren. Die DSGVO schreibt jetzt sehr umfangreiche Belehrungen vor, deren Erfüllung im Einzelfall auch schwierig sein kann. Datenschutzerklärungen auf Websites müssen deswegen in jedem Fall zukünftig deutlich ausführlicher sein. Zu den Einzelheiten herrschen bis jetzt noch große Rechtsunsicherheiten, da zum Teil heftig umstritten ist, wie genau bestimmte Informationen anzuführen sind und welche Vorschriften aus dem Telemediengesetz (TMG) neben der DSGVO fortgelten werden. Ein Blick in die DSGVO verrät Anwendern aber bereits einen Großteil der notwendigen Informationen. Zu den Pflichtinformationen gehört unter anderem die Information über Kontaktdaten des Verantwortlichen, Zwecke der Datenverarbeitung und die Empfänger von personenbezogenen Daten. Daneben gibt es weiteren Informationen“, die immer dann zur Verfügung gestellt werden müssen, wenn sie „notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten“. Dazu zählen zum Beispiel Informationen zur Dauer der Speicherung. Auch hier zeigt sich aber wieder die schwierige praktische Handhabbarkeit der DSGVO.

Info: Bitkom hat für Unternehmen einen Praxis-Leitfaden zur Datenschutzgrundverordnung erstellt, in dem die wichtigsten Fragen zur Umsetzung beantwortet werden.>>>

Doch egal ob digital oder analog – Datenschutz muss grundsätzlich technikneutral gestaltet sein. Das bedeutet, dass für digitale oder analoge Datenverarbeitungsprozesse dieselben Regeln und Anforderungen gelten. Allerdings gilt auch: "Da durch digitale Verarbeitungsmöglichkeiten jedoch in kürzester Zeit und mit einfachsten Mitteln eine erhebliche Anzahl von Daten verarbeitet werden können, ist das Risiko von Datenschutzverletzungen im digitalen Kontext in der Regel höher", erklärt ein Verbandssprecher des ZDH. Aufgrund des höheren Risikos würden zum Teil auch höhere Anforderungen an die Nutzung der Daten gestellt.

Zur Herausforderung an sich muss die Digitalisierung in Sachen Datenschutz also nicht für Betriebe werden, wenn man sich an die geltenden Gesetze hält. Doch genau diese werden sich ab 2018 jedoch durch neue EU-Vorgaben verändern, an die sich das Bundesdatenschutzgesetz (BDSG) anpassen muss.

Doch was bedeutet das ganz konkret für die Praxis? Gemeinsam mit der Rechtsexpertin der Handwerkskammer Region Stuttgart, Dara Horwath, beantwortet die DHZ im Folgenden die wichtigsten Fragen zum Thema Datenschutz im Handwerksbetrieb.

Wie gut sind Sie auf die neue DSGVO vorbereitet? Testen Sie Ihren Betrieb

Wie gut ist Ihr Unternehmen schon auf die neue Datenschutzverordnung vorbereitet? Haben Sie alle wichtigen Neuerungen eingeplant und die Buchhaltung darauf vorbereitet? Um dies zu überprüfen, bietet das bayerische Landesamt für Datenschutzaufsicht (BayLDA) einen Online-Test an. Anhand von einem digitalen Fragebogen bekommen Sie eine Einschätzung dazu, wie groß der Nachbesserungsbedarf eventuell noch ist. Der Test dauert etwa zehn Minuten und liefert einen ersten Eindruck, worum es bei der EU-Datenschutzgrundverordnung geht und wie weit Ihre Firma bei der Umsetzung ist.

Zum Online-Test geht es hier.>>>

DSGVO: Was sind personenbezogene Daten?

Alle Unternehmen, die personenbezogene Daten erheben oder verarbeiten, sind von der neuen Datenschutzgrundverordnung (DSGVO) betroffen. Doch was sind eigentlich personenbezogene Daten?

Was sind personenbezogene Daten?

Zu den personenbezogenen Daten, die ein Betrieb erheben, nutzen und speichern darf, zählen die Daten, die Betriebe zur Erfüllung ihrer Pflichten als Arbeitgeber oder als Auftragnehmer gegenüber ihren Kunden benötigen. Für die Einstellung eines Mitarbeiters und die Zahlung des Lohns samt Abführung der Lohnnebenkosten sind z.B. die Kontonummer, die Krankenkasse, der Familienstand etc. erforderlich.

Nach dem BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Die Definition wird in der DSGVO wie folgt lauten: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Im Klartext heißt das: "Alle Informationen, durch die auf irgendeine Art und Weise Rückschlüsse auf eine natürliche Person gezogen werden können, sind personenbezogene Daten und damit datenschutzrechtlich abgesichert. Das kann natürlich der Name sein, aber auch Kfz-Kennzeichen oder Aufzeichnungen über Arbeitszeiten und Pausen", erklärt Dara Horwath.

Welche Daten von Mitarbeitern darf ein Betrieb erfassen, nutzen und speichern?

Die Regeln des Beschäftigtendatenschutzes sehen vor, dass personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen. Ausschlaggebend dafür muss sein, dass ohne sie kein rechtskonformes Beschäftigungsverhältnis zustande kommen kann bzw. dass der Betrieb seine regulär nötigen Abläufe ansonsten nicht gewährleisten und seinen gesetzlichen Pflichten nicht nachkommen kann.

Es handelt sich also um Daten wie den Namen der Person, seine Steuer-Identifikationsnummer und seine Daten zur Sozialversicherung. "Außerdem können es Angaben sein wie Beruf, Qualifikation und Einsatzfähigkeit", so Dara Horwath.

Auch wenn der Beschäftigtendatenschutz ab dem 25. Mai 2018 von seiner Regelung her deutlich umfangreicher wird, bleibt es gleichwohl bei den oben dargestellten Grundsätzen.

DSGVO: Checkliste speziell für Handwerksbetriebe

Die DSGVO macht viele Vorschriften, doch muss ich wirklich alle umsetzen? Ein zweiseitiges PDF des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) sorgt für Durchblick im Regel-Wirrwarr – und gibt eine Übersicht speziell für Handwerksbetriebe. Zusätzlich stellt die Behörde Musterverzeichnisse zur Verfügung, die den Einstieg in das Thema "Verzeichnis von Verarbeitungstätigkeiten" erleichtern sollen.

Die Handreichungen des BayLDA können auf dieser Seite heruntergeladen werden.>>>

Muss für die Nutzung personenbezogener Daten eine schriftliche Genehmigung vorliegen?

In Bezug auf die Daten, die der Arbeitgeber benötigt, um das Beschäftigungsverhältnis überhaupt entstehen zu lassen und seinen gesetzlichen Pflichten nachzukommen, muss er keine gesonderte Einwilligung von seinen Mitarbeitern einholen.

Möchte er allerdings mehr Daten erfassen und speichern wie Angaben zu Hobbys und Interessen des Mitarbeiters, braucht er dafür eine schriftliche Einverständniserklärung. Das Gleiche gilt, wenn er Daten an andere weitergibt – etwa, wenn das Geburtsdatum in einem von den Kollegen einsehbaren Geburtstagskalender veröffentlicht werden soll.

Welche Daten von Kunden darf ein Betrieb erfassen? Für welchen Zweck darf er sie nutzen und speichern?

Das Bundesdatenschutzgesetz erlaubt auch hier ein Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung, wenn es dabei um die Erfüllung eigener Geschäftszwecke geht. So darf ein Handwerksbetrieb all die Daten in Absprache mit dem Kunden erfassen, die er benötigt, um seine Arbeiten zu erledigen – also beispielsweise Maße eines Raums notieren und speichern, die Größe eines gewünschten Möbelstücks oder auch die Adresse des Kunden, damit dort Bauarbeiten durchgeführt werden oder damit die Rechnung dorthin versendet werden kann. Diese Daten – genauso wie die Daten der Mitarbeiter auch – darf der Betrieb aber nicht an Dritte weitergeben. So regelt das auch künftig die DSGVO.

Speichern darf der Betrieb die Daten so lange, bis der Auftrag erledigt ist. Will er sie in einer Datenbank archivieren, bedarf das einer Genehmigung (siehe nächster Absatz).

"Grundsätzlich darf nur den jeweils unbedingt erforderlichen Personen Zugang zu personenbezogenen Daten gewährt werden", fügt Dara Horwath dann noch als Thema an, dass es hierbei zu beachten gilt. Gemäß § 53 BDSG unterliegen diese Personen dem Datengeheimnis, d.h. den bei der Datenverarbeitung beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten, welches im Übrigen auch nach Beendigung ihrer Tätigkeit fortbesteht.

Müssen dafür schriftliche Genehmigungen vorliegen?

Auch an dieser Stelle gilt, dass Unternehmen die Daten erfassen, verarbeiten und speichern dürfen, die sie benötigen, um vereinbarte Leistungen ordnungsgemäß zu erfüllen. Für alles andere bedarf es einer schriftlichen Genehmigung – etwa, wenn der Betrieb die Kunden nach Abschluss der Arbeiten für Werbezwecke erneut kontaktieren möchte.

Will eine Firma die Daten der Kunden in einer Datenbank speichern, muss auch sie die Kunden einerseits darüber informieren und sich dies genehmigen lassen. Dazu rät die Rechtsexpertin: "Der Kunde muss vorab über den Zweck sowie den Umfang der Verwendung seiner Daten und die Bedeutung seiner Einwilligung aufgeklärt werden. Allgemeine Hinweise, wie z.B. dass die Daten zu Werbezwecken verarbeitet werden, reichen nicht aus."

Wann braucht ein Unternehmen einen Datenschutzexperten?

Unternehmen haben laut DSGVO einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn das Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Bei einer nichtautomatisierten Datenverarbeitung liegt die Schwelle bei 20 Mitarbeitern. "Von einer automatisierten Verarbeitung von Daten spricht man dann, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen erfolgt. Das sind in erster Linie Computer, Server oder Smartphones, können aber auch Kopierer sein, wenn sie, wie heute üblich, über ein Speichermedium verfügen", sagt Dara Horwath.

Als "ständig beschäftigt“ gilt zudem derjenige, der z. B. permanent Kunden- oder Personalverwaltung macht. "Nicht ständig" ist dagegen, wer z. B. als Handwerker oder Produktionsmitarbeiter nur mit Namen und Adressen von Kunden umgeht. So formuliert es das Bayerische Landesamt für Datenschutzaufsicht .

Darüber hinaus sind Unternehmen auch unterhalb dieser Schwelle zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, wenn sie eine automatisierte Verarbeitung vornehmen und dabei eine sogenannte Vorabkontrolle durchführen müssen. Eine solche Vorabkontrolle ist dann Pflicht, wenn personenbezogene Daten verarbeitet werden, die dazu bestimmt sind, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Konkret geht es beispielsweise um die Verarbeitung von Gesundheitsdaten – wie etwa im Hörgeräteakustiker-Handwerk oder bei den Orthopädiemechanikern – oder wenn mit den Daten Persönlichkeitsprofile erstellt werden sollen.

Und es gibt derzeit noch weitere Zwecke, wann grundsätzlich ein Datenschutzbeauftragter eingesetzt werden muss: Dann, wenn personenbezogene Daten für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden.

"Ab dem 25. Mai 2018 wird die Bestellpflicht ausgeweitet", weist Dara Horwath hin. Dann bestehe eine Verpflichtung zur Benennung eines Datenschutzbeauftragten auch dann, wenn der Betrieb weniger als neun Mitarbeiter hat. Das gitl, wenn eine der folgenden Voraussetzungen vorliegt:

  • es handelt sich um eine "öffentliche Stelle", das heißt die Verarbeitung wird von einer Behörde durchgeführt;
  • die Kerntätigkeit besteht in Verarbeitungsvorgängen, die eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen mit sich bringen;
  • die Kerntätigkeit besteht in einer umfangreichen Verarbeitung besonders sensibler personenbezogener Daten; oder
  • der Betriebe übernimmt hoheitliche Aufgaben wie es etwa Schornsteinfeger tun.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter muss auf die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, achten. Für die Praxis bedeutet das: "Als Datenschutzbeauftragter darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Neben umfassenden Kenntnissen im Datenschutzrecht sowie sonstigen relevanten Rechtsvorschriften muss ein Datenschutzbeauftragter auch über grundlegende IT-Kenntnisse sowie betriebswirtschaftliche Grundkompetenzen verfügen. Selbstredend muss er die betrieblichen Verfahrensabläufe und die Betriebsorganisation genau kennen, um beispielsweise Einführungen oder Änderungen von Datenverarbeitungsprozessen hinreichend datenschutzrechtlich beurteilen zu können", erklärt die Rechtsexpertin. Zudem muss der Datenschutzbeauftragte immer über die aktuellen Rechtsvorschriften informiert sein und diese den mit der Verarbeitung personenbezogener Daten tätigen Personen mitteilen. 

Durch die neue EU-Datenschutzverordnung wird der Datenschutzbeauftragte nicht nur auf die Einhaltung der entsprechenden Datenschutzvorschriften hinzuwirken haben, sondern er wird eine umfassende Überwachungspflicht haben. Er muss sich dann laut Gesetz mit allen Datenschutzvorschriften der EU-Mitgliedstaaten auskennen. Er ist auch derjenige, auf den eine Aufsichtsbehörde zugeht, wenn es Probleme mit dem Datenschutz bzw. Beschwerden von Seiten der Mitarbeiter oder Kunden gibt. 

In welcher Form müssen Betriebe die gespeicherten Daten vor dem Zugriff Dritter schützen?

Hackerangriffe auf Firmennetzwerke sind im Handwerk eventuell bislang kein großes Thema. Dennoch müssen Internetverbindungen und WLAN-Netze aller Unternehmen sicher sein – so verlangt es der Gesetzgeber. Dazu rät Dara Horwath: "Man sollte zumindest darauf achten, dass auf jedem einzelnen Computersystem eine Anti-Virus-Software oder sonstige anerkannte Internet-Sicherheitssoftware installiert und der Internetanschluss durch eine Firewall geschützt ist." Selbstverständlich müssten diese stets auf aktuellem Stand gehalten und die Computersysteme regelmäßig auf Befall durch Viren, Würmer oder Trojaner kontrolliert werden. Auch sollten Mitarbeiter im Hinblick auf den Umgang mit Dateianhängen und Links in Emails sowie eine sichere Passwortgenerierung sensibilisiert werden, empfiehlt die Rechtsexpertin. 

So vernichten Sie personenbezogene Unterlagen rechtlich sicher

Mit der DSGVO wird auch das Thema der Aktenvernichtung für Betriebe wichtiger – ob als Akten auf Papier oder gespeichert auf Datenträgern. So gelten dabei nach Angaben des TÜV Süd die Sicherheitsstufen nach DIN 66399. Diese regeln, wie klein die Datenträger – insbesondere Akten – zerkleinert werden müssen, bis man sie rechtlich sicher entsorgen darf. Was die Sicherheitsstufen aussagen und wie Betriebe die Aktenvernichtung selbst organisieren können, lesen Sie hier.>>>

Welche weiteren Änderungen gibt es durch die neue DSGVO ab 2018?

Ziel der EU-DSGVO ist, das bisher in den einzelnen Ländern völlig unterschiedlich geregelte Datenschutzrecht europaweit anzugleichen. Da das deutsche Datenschutzrecht der EU als Vorbild gedient haben soll, wird sich im Vergleich zu anderen Ländern in Deutschland das Datenschutzrecht als solches nicht grundsätzlich ändern. Nichtsdestotrotz enthält die EU-DSGVO auch für Deutschland nicht nur Präzisierungen, sondern auch Neuerungen und Erweiterungen, wie z.B. die Pflicht zur Schaffung eines Datenschutzmanagements oder die Einführung einer Datenschutz-Folgeabschätzung. 

So gibt es laut Dara Horwath auch Änderungen bei den Sanktionen, denn bei Verstößen gegen die EU-DSGVO müssen selbst natürliche Personen, wie z. B. Geschäftsführer und auch Mitarbeiter, statt mit Bußgeldern von bis zu 300.000 Euro zukünftig mit bis zu 20.000.000 Euro rechnen. Bei Unternehmen können sogar aufgrund einer umsatzbezogenen Berechnung Millionenbeträge in dreistelliger Höhe fällig werden.

"Auch wird zukünftig nicht mehr das Sitzlandprinzip gelten, sondern das Marktortprinzip, so dass sich US-Konzerne wie Google, Facebook oder Microsoft auch an die EU-DSGVO halten müssen, wenn sie in der EU Leistungen anbieten wollen", gibt die Rechtsexpertin als weiteres Beispiel zu den Neuerungen an.

Gesundheitshandwerke: Umgang mit besonders sensiblen Daten

Besonders sensible Daten verwalten im Handwerk die Unternehmen aus der Gesundheitsbranche wie unter anderem Augenoptiker und Hörakustiker. So bereiten sich die Branchen auf das Inkrafttreten der DSGVO vor.

Der Zentralverband der Augenoptiker (ZVA) sieht in der DSGVO vor allem ein riesiges Bürokratiemonster und will seinen Betrieben deshalb helfen, die Prozesse neu zu gestalten, die den Umgang mit den personenbezogenen Daten betreffen: die Auftragsdatenverarbeitung mit den Kundendaten, den Daten von Lieferanten, aber auch mit Steuerberatern und anderen Geschäftspartnern genauso wie Verarbeitungsverzeichnisse, die neu erstellt werden müssen. "Für jeden einzelnen Schritt gibt es nun Dokumentationspflichten", sagt Petra Seinsche vom ZVA, der für seine Mitgliedsbetriebe deshalb Anleitungen und Musterbriefe vorbereitet, die diese verwenden können. Zwar müssten die Prozesse nur einmalig auf die neuen Vorgaben umgestellt werden, doch dann sei eine ständige Anpassung bzw. Bearbeitung nötig, wenn neue Daten aufgenommen und alte eventuell wieder gelöscht werden müssen.

Ganz besonders wichtig wird es werden, für jeden Schritt eine Einverständnis von demjenigen zu haben, dessen Daten man aufnimmt, speichert oder eventuell sogar an andere weitergibt – im Falle der Gesundheitsgewerke etwa zwischen Krankenkasse und Betrieb. "Augenoptiker sind ja auf bestimmte Daten zur Gesundheit einer Person angewiesen, wie die Sehstärke oder mögliche Erkrankungen am Auge", sagt Seinsche, doch auch wenn das Daten seien, die als besonders sensibel gelten, seien die Vorgaben für alle Unternehmen ab Mai dieselben.

DSGVO umsetzen: Mustervorlagen sollen helfen

Und ihre Einhaltung wird vermutlich streng kontrolliert – allerdings nicht nur von den Behörden, die angeblich schon ihr Personal aufstocken, sondern auch von den sogenannten Abmahnanwälten und Abmahnvereinen. Sie wittern verschiedenen Medienberichten zufolge schon jetzt ein Geschäft, wenn sie Betriebe bzw. deren Geschäftsabläufe entdecken, die nicht an den neuen Vorgaben der DSGVO ausgerichtet sind. Besonders im Visier werden die Angaben auf den Websites sein.

Dass sich diese vermehrt bei den Betrieben melden könnten, erwartet auch der ZVA. "Das wird anfangs wahrscheinlich so sein, wie bei der Einführung der Impressumspflicht", sagt Petra Seinsche, denn damals – im Jahr 2007 – mussten die Betriebe das Impressum auf ihrer Website neu formulieren und Pflichtangaben einfügen. Das Problem bei der DSGVO wird laut Seinsche allerdings sein, dass die Vorgaben darin eher eine Auslegungssache sind und nicht eindeutige Pflichten formulieren. Der ZVA verweist bei den Mustervorlagen deshalb auf das Minimum, das bei der Umstellung auf die EU-Vorgaben nötig sei. Ob dies genügt, würde dann erst die Praxis zeigen.

Im Visier haben die sogenannten Abmahnanwälte allerdings nicht nur die Websites der Betriebe, sondern besonders Online-Shops (siehe Infokasten: Interview mit der Bitkom). Wer etwas über das Internet verkauft, erfasst schließlich auch persönliche Daten, die zudem alleine über den elektronischen Weg übermittelt werden.

Hörakustiker: "Schutz von Gesundheitsdaten schon jetzt besonders wichtig"

Auch die Bundesinnung der Hörakustiker KdöR (biha) sieht für ihre Branche eine besondere Bedeutung im Umgang mit personenbezogenen Daten – allerdings nicht erst durch die Neuerungen durch die DSGVO. "Für das Hörakustiker-Handwerk hat die Datenschutz-Grundverordnung eine besondere Bedeutung, da wir als Gesundheitsberuf mit entsprechend sensiblen Patientendaten täglich umzugehen haben. Im Sinne des Verbraucher- und Datenschutzes müssen sich daher die Betriebe des Hörakustiker-Handwerks auf die neuen bürokratischen Anforderungen einstellen", sagt deshalb Jakob Stephan Baschab, Hauptgeschäftsführer der biha. Wesentliche Änderungen werden das Hörakustiker-Handwerk aus seiner Sicht allerdings nicht betreffen, da schon in der Vergangenheit besondere datenschutzrechtliche Voraussetzungen zum Schutz von Gesundheitsdaten zu beachten waren.

Die biha hat zum Jahresbeginn dennoch das Fortbildungsangebot im Zusammenhang mit der DSGVO bundesweit erhöht, um die Betriebe vorzubereiten. "Ein Team von professionellen Beratern steht gleichzeitig unseren Mitgliedern telefonisch mit Rat und Tat zur Verfügung", gibt Jakob Stephan Baschab zudem als Tipp.

Folgen Sie der Autorin auf Twitter

Folgen Sie Jana Tashina Wörrle auf Twitter @JanaTashina

© deutsche-handwerks-zeitung.de 2018 - Alle Rechte vorbehalten