Datenschut_klein
Clipdealer

EU-Datenschutzrecht

Ab 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutz­regeln. Dies betrifft auch Handwerksbetriebe.

Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Ob Lohnabrechnungen, Kundenlisten oder Firmenhandys: Praktisch alle Handwerksbetriebe verarbeiten personenbezogene Daten und fallen damit als für die Datenverarbeitung Verantwortliche unter die Verpflichtungen der EU-Datenschutzgrundverordnung.

Bei den Verpflichtungen stechen dabei besonders die Informations- und Dokumentations­pflichten hervor. So unterliegen z.B. Einwilligungen ab dem 25. Mai höheren Informations­anforderungen. Handwerksbetriebe müssen ihre Mitarbeiter und Kunden künftig  umfassender als bisher darüber informieren, wie ihre Daten genutzt werden. Unternehmen, die nicht nur gelegentlich personenbezogene Daten verarbeiten, also zum Beispiel regelmäßig Lohnabrechnungen vornehmen oder Kundendaten verwalten, haben die Verpflichtung, für ihre Verarbeitungstätigkeiten ein Verzeichnis zu führen. Für bestimmte Datenverarbeitungen muss eine sogenannte Datenschutzfolgenabschätzung durchgeführt werden – zum Beispiel, wenn große Datenmengen oder sensible Daten verarbeitet werden. In diesem Fall muss die Verarbeitung einer gesonderten Überprüfung und Bewertung unterzogen werden.  

Handwerksbetriebe müssen sicherstellen, dass sie bis zum 25. Mai 2018 die erforderlichen Anpassungen vornehmen.

Der Zentralverband des Deutschen Handwerks (ZDH) hat die EU Datenschutz-Grund­verordnung analysiert und einen Leitfaden für die handwerkliche Praxis entwickelt. Der Leitfaden thematisiert die für die handwerkliche Praxis wichtigsten Aspekte und Fragen. Er bietet neben rechtlichen Erklärungen zahlreiche Beispielsfälle, Checklisten und Muster, die in der betrieblichen Praxis genutzt werden können. 

Der Leitfaden zielt darauf ab, Handwerksbetrieben einen vertieften Überblick sowie das notwendige Rüstzeug zu geben, die jeweiligen betrieblichen Abläufe an die Anforderungen des neuen Datenschutzrechts anzupassen.



Die Themenbereiche des neuen Datenschutzrechts im Überblick

Kompakt zusammengefasste Informationen mit Hinweisen für die Umsetzung in Betrieben:

1.    Wann ist die Nutzung von Daten erlaubt?

Eine Datennutzung ist nur zulässig, wenn       

  • eine gesetzliche Vorschrift sie erlaubt oder
  • derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt


2.    Anforderungen der datenschutzrechtlichen Einwilligung

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen an eine Einwilligungserklärung erfüllt sein. Für Betriebe gelten die Vorschriften der Europäischen Datenschutzgrundverordnung (Artikel 7 DSGVO), die durch das Bundesdatenschutzgesetz (§ 51 BDSG) ergänzt werden.  



3.    Formelle Pflichten von Betrieben – Ein Überblick 

Betriebe, die Daten nutzen, werden vom Gesetz als „Verantwortliche“ bezeichnet, weil sie die Datennutzung verantworten und für Datenpannen einstehen müssen. Nach der DSGV haben die Verantwortlichen zahlreiche Pflichten.



4. Informationspflichten bei Erhebung personenbezogener Daten

Transparenz durch Informationen

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Um diese Transparenz herzustellen, sind Betriebe verpflichtet, den jeweils betroffenen Personen zahlreiche Informationen über die beabsichtigte Datennutzung zu erteilen. Welche Informationen dies im Einzelnen sind, ist in den Art. 13 und 14 der Europäischen Datenschutz-Grundverordnung (DSGVO) aufgelistet, die durch §§ 32 und 33 des Bundesdatenschutzgesetzes (BDSG) ergänzt werden. 



5. Erteilung von Auskünften 

Das Datenschutzrecht gewährt Personen, deren Daten verarbeitet werden, umfassende Rechte. Eines dieser Rechte ist das Auskunftsrecht. Das Auskunftsrecht ist in Art. 15 der Europäischen Datenschutz-Grundverordnung (DSGVO) geregelt und wird durch § 34 Bundesdatenschutzgesetz (BDSG) ergänzt. Hiernach haben Betroffene das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind oder verarbeitet werden. Ist das der Fall, hat der Betrieb Auskunft über diese Daten, deren Herkunft sowie weitere Informationen zu erteilen. In der Praxis werden solche Auskunftsanfragen i.d.R. von Kunden auf Betriebe zukommen. 



6. Dokumentationspflicht 

Weshalb ist eine Dokumentation nötig?

Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden. Auf Grundlage dieser Übersicht sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. 

Die Pflicht zur Dokumentation der Datenverarbeitungsprozesse sowie die konkreten Anforderungen an die Dokumentation sind in Artikel 30 der Europäischen DatenschutzGrundverordnung (DSGVO) geregelt. 



7. Der betriebliche Datenschutzbeauftragte (DSB) 

Welcher Handwerksbetrieb muss einen Datenschutzbeauftragten benennen?

Sind im Betrieb mindestens 10 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein DSB zu benennen. Als automatisierte Verarbeitung gelten z.B.:

  • Nutzung digitaler Kundendateien.
  • Verwendung von Kundendaten auf einem Tablet-PC oder Smartphone. 

Für mehrere Standorte bzw. Filialen kann ein einziger DSB bestellt werden. Hierbei ist zu beachten, dass die Anzahl der Filialen nur so hoch sein darf, dass der DSB seine Aufgaben in jeder Filiale realistisch erfüllen kann.



8. Auftragsverarbeitung

Was ist eine Auftragsverarbeitung? 

Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist z.B. bei Anbietern von CloudLösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Steuerberater, die für den Betrieb die Steuerklärungen erstellen und dabei z.B. Rechnungen (Adressdaten der Kunden) verarbeiten.