Recht + Steuern -

Neue EU-Datenschutzgrundverordnung ab Mai Neue Datenschutz-Regeln: Betriebe müssen sich vorbereiten

Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung in Kraft und ersetzt das bisher geltende deutsche Datenschutzrecht. Handwerksbetriebe müssen ab dann die strengeren Regelungen erfüllen – ansonsten drohen hohe Bußgelder.

Ob Lohnabrechnungen, Kundenlisten oder Firmenhandys: Praktisch alle Handwerksbetriebe verarbeiten personenbezogene Daten und fallen damit als für die Datenverarbeitung Verantwortliche unter die Verpflichtungen der anstehenden EU-Datenschutzgrundverordnung, kurz DSGVO. Deren Anforderungen sind branchenunabhängig und gelten unabhängig von der Anzahl der Mitarbeiter für alle datenverarbeitenden Stellen. Hinzu kommt: Selbst, wenn nur vergleichsweise kleine Datenmengen verwaltet werden, drohen bei Verstößen hohe Geldstrafen. So können im Extremfall bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes fällig werden. Fakt ist: Damit sind die Bußgelder wesentlich höher als nach dem bisherigen deutschen Datenschutzrecht.

Der Anpassungsbedarf ist groß

Handwerksbetriebe, die sich auf die neuen Datenschutzvorschriften vorbereiten wollen, sollten die nötige Umstellung schnellstmöglich anpacken, denn bis zum Inkrafttreten der DSGVO sind es nur noch knapp drei Monate. Der Gesamtaufwand und -umfang ist erheblich. Besonders die Informations- und Dokumentationspflichten stechen dabei hervor. An welchen Abläufen Handwerksbetriebe nun werkeln müssen und wie groß der Anpassungsbedarf ist, zeigen mehrere Beispiele:

  • Erlaubnistatbestände: Es muss bei jeder einzelnen Verarbeitung von personenbezogenen Daten geprüft werden, ob sie nach den neuen Erlaubnistatbeständen der DSVGO zulässig ist.
  • Einwilligungserklärungen: Alle bisher verwendeten Texte und Prozesse müssen überprüft werden, da sie ab dem 25. Mai erweiterten Anforderungen wie etwa höheren Informationsanforderungen unterliegen.
  • Informationspflicht über Datenverarbeitung: Handwerksbetriebe müssen ihre Mitarbeiter und Kunden umfassender als bislang darüber informieren, wie ihre Daten genutzt werden. Der Anpassungsbedarf hierfür muss ermittelt und entsprechende Informationstexte erstellt werden.
  • Verzeichnis über Datenverarbeitung: Mit der DSVGO sind Unternehmen mit mehr als 250 Mitarbeitern verpflichtet, für ihre Verarbeitungstätigkeiten ein Verzeichnis zu führen. Aber auch für kleinere Unternehmen besteht diese Verpflichtung, wenn sie nicht nur gelegentlich personenbezogene Daten verarbeiten, also zum Beispiel regelmäßig Lohnabrechnungen vornehmen oder Kundendaten verwalten.
  • Einführung Datenschutz-Compliance-System: Mit den neuen Datenschutzrichtlinien sind Verantwortliche verpflichtet, ein Datenschutz-Compliance-System zu implementieren, das der Unternehmensgröße und den Datenverarbeitungsvorgängen entspricht.
  • Datenschutzfolgenabschätzung: Für bestimmte Datenverarbeitungen muss eine sogenannte Datenschutzfolgenabschätzung durchgeführt werden – zum Beispiel, wenn große Datenmengen oder sensible Daten verarbeitet werden. In diesem Fall muss die Verarbeitung einer gesonderten Überprüfung und Bewertung unterzogen werden.
  • Anpassung Lieferanten- und Dienstleisterverhältnis: Die rechtlichen Neuerungen betreffen auch die Zusammenarbeit mit Dienstleistern und anderen Auftragsverarbeitern. Auch hier besteht also Anpassungsbedarf.

Die EU-Datenschutzgrundverordnung

Ziel der Datenschutzgrundverordnung (DSGVO) ist, Datenschutzgleichheit in der Europäischen Union zu schaffen. Sie wird die bestehende Datenschutzrichtlinie von 1995 ersetzen, auch um Antworten auf die Fragen zu geben, die Unternehmen mit der voranschreitenden Digitalisierung heute wirklich beschäftigen.

Dabei bezieht sich die Verordnung nicht nur auf alle Unternehmen innerhalb der EU. Sie gilt auch für Firmen, die außerhalb angesiedelt sind, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten.

Die Reform bringt auch noch eine weitere Neuerung mit sich: Nutzer müssen sich zukünftig nur noch an eine einzige Aufsichtsbehörde wenden. Sollte also bei der Verarbeitung der Daten einer Person aus Deutschland im Ausland gegen die DSGVO verstoßen werden, reicht es zukünftig, sich an eine Aufsichtsbehörde in Deutschland zu wenden.

Die lustigsten Tweets zur DSGVO

Anpassungen sind zeitintensiv, aber Vorteile für kleine Unternehmen

Die Zeit drängt also. Denn nicht nur die Analyse des notwendigen Handlungsbedarfs ist langwierig, zumal der erste Schritt oft sogar noch in der grundlegenden Aufbereitung der Informationslage liegt. Die ebenso zeitintensive Arbeit folgt mit der Planung und Umsetzung der Maßnahmen, mit denen die Neuregelungen der DSGVO erfüllt werden können. Handwerksunternehmen sollten hier besonders die Frage nach der nötigen Anpassung der Datenverarbeitungsprozesse und Verträge in den Mittelpunkt rücken und auch die eventuelle Auf- und Umrüstung ihrer IT-Systeme auf dem Schirm haben.

Verknüpft mit der EU-Datenschutzgrundverordnung ist außerdem die sogenannte E-Privacy-Verordnung. Sie soll zeitgleich mit der DSGVO in Kraft treten und ergänzt sie DSGVO um Neuregelungen im Onlinebereich – zum Beispiel für Webseitendienste, Cookies, Chat-Programme und Co.

Ebenfalls am 25. Mai 2018 wird das deutsche Datenschutz-Anpassungs- und Umsetzungsgesetz in Kraft treten. Damit nutzt der deutsche Gesetzgeber die Spielräume, die die DSGVO den Mitgliedstaaten in bestimmten Bereichen lässt, für nationale deutsche Regelungen. Dies betrifft zum Beispiel den Beschäftigtendatenschutz.

DSGVO: Was sind personenbezogene Daten?

Alle Unternehmen, die personenbezogene Daten erheben oder verarbeiten, sind von der neuen Datenschutzgrundverordnung (DSGVO) betroffen. Doch was sind eigentlich personenbezogene Daten?

Aussitzen zählt nicht

Es ist deutlich: Hinsichtlich der Vielzahl und des Umfangs der neuen Vorschriften sollten Handwerksbetriebe beim Thema Datenschutz keine Zeit verlieren und ihre internen und externen Prozesse schnellstmöglich an die Regelungen der DSGVO anpassen. Denn auch, wenn Betriebe von einem erheblichen Mehraufwand betroffen sind, gilt: die DSGVO geht jeden an. Aussitzen zählt nicht und kann richtig teuer werden.

Die Autoren

Astrid Luedkte und Philip Kempermann

Astrid Luedtke ist Rechtsanwältin und Salaried Partner bei der Sozietät Heuking Kühn Lüer Wojtek. Ihre Spezialgebiete sind der gewerbliche Rechtsschutz sowie Datenschutz- und Medienrecht.

Dr. Philip Kempermann ist Rechtsanwalt und Partner bei der Sozietät Heuking Kühn Lüer Wojtek. Seine Schwerpunktgebiete sind das IT- und das Datenschutzrecht.

© deutsche-handwerks-zeitung.de 2018 - Alle Rechte vorbehalten