
Die Datenschutzregeln der Europäischen Union betreffen auch Handwerksbetriebe.EU-Datenschutzrecht
Ob Lohnabrechnungen, Kundenlisten oder Firmenhandys: Praktisch alle Handwerksbetriebe verarbeiten personenbezogene Daten und fallen damit als für die Datenverarbeitung Verantwortliche unter die Verpflichtungen der EU-Datenschutzgrundverordnung.
Bei den Verpflichtungen stechen dabei besonders die Informations- und Dokumentationspflichten hervor. So unterliegen z.B. Einwilligungen ab dem 25. Mai höheren Informationsanforderungen. Handwerksbetriebe müssen ihre Mitarbeiter und Kunden künftig umfassender als bisher darüber informieren, wie ihre Daten genutzt werden. Unternehmen, die nicht nur gelegentlich personenbezogene Daten verarbeiten, also zum Beispiel regelmäßig Lohnabrechnungen vornehmen oder Kundendaten verwalten, haben die Verpflichtung, für ihre Verarbeitungstätigkeiten ein Verzeichnis zu führen. Für bestimmte Datenverarbeitungen muss eine sogenannte Datenschutzfolgenabschätzung durchgeführt werden – zum Beispiel, wenn große Datenmengen oder sensible Daten verarbeitet werden. In diesem Fall muss die Verarbeitung einer gesonderten Überprüfung und Bewertung unterzogen werden.
Der Zentralverband des Deutschen Handwerks (ZDH) hat die EU Datenschutz-Grundverordnung analysiert und einen Leitfaden für die handwerkliche Praxis entwickelt. Der Leitfaden thematisiert die für die handwerkliche Praxis wichtigsten Aspekte und Fragen. Er bietet neben rechtlichen Erklärungen zahlreiche Beispielsfälle, Checklisten und Muster, die in der betrieblichen Praxis genutzt werden können.
Bei Fragen zum EU-Datenschutzrecht, wenden Sie sich gerne an das Team Rechtsberatung:
Telefon: 0911 5309 - 497
E-Mail: [email protected]
Nachfolgend finden Sie wichtige Themenbereiche des EU-Datenschutzrechts im Überblick, inkl. Hinweisen für die Umsetzung in Betrieben.
Wann ist die Nutzung von Daten erlaubt?
Eine Datennutzung ist nur zulässig, wenn:
- eine gesetzliche Vorschrift sie erlaubt oder
- derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt
Anforderungen der datenschutzrechtlichen Einwilligung
Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen an eine Einwilligungserklärung erfüllt sein. Für Betriebe gelten die Vorschriften der Europäischen Datenschutzgrundverordnung (Artikel 7 DSGVO), die durch das Bundesdatenschutzgesetz (§ 51 BDSG) ergänzt werden.
Formelle Pflichten von Betrieben
Betriebe, die Daten nutzen, werden vom Gesetz als „Verantwortliche“ bezeichnet, weil sie die Datennutzung verantworten und für Datenpannen einstehen müssen. Nach der DSGV haben die Verantwortlichen zahlreiche Pflichten.
Informationspflichten bei Erhebung personenbezogener Daten
Transparenz durch Informationen
Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Um diese Transparenz herzustellen, sind Betriebe verpflichtet, den jeweils betroffenen Personen zahlreiche Informationen über die beabsichtigte Datennutzung zu erteilen. Welche Informationen dies im Einzelnen sind, ist in den Art. 13 und 14 der Europäischen Datenschutz-Grundverordnung (DSGVO) aufgelistet, die durch §§ 32 und 33 des Bundesdatenschutzgesetzes (BDSG) ergänzt werden.
Erteilung von Auskünften
Das Datenschutzrecht gewährt Personen, deren Daten verarbeitet werden, umfassende Rechte. Eines dieser Rechte ist das Auskunftsrecht. Das Auskunftsrecht ist in Art. 15 der Europäischen Datenschutz-Grundverordnung (DSGVO) geregelt und wird durch § 34 Bundesdatenschutzgesetz (BDSG) ergänzt. Hiernach haben Betroffene das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind oder verarbeitet werden. Ist das der Fall, hat der Betrieb Auskunft über diese Daten, deren Herkunft sowie weitere Informationen zu erteilen. In der Praxis werden solche Auskunftsanfragen i.d.R. von Kunden auf Betriebe zukommen.
Dokumentationspflicht
Weshalb ist eine Dokumentation nötig?
Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden. Auf Grundlage dieser Übersicht sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden.
Die Pflicht zur Dokumentation der Datenverarbeitungsprozesse sowie die konkreten Anforderungen an die Dokumentation sind in Artikel 30 der Europäischen DatenschutzGrundverordnung (DSGVO) geregelt.
Der betriebliche Datenschutzbeauftragte (DSB)
Welcher Handwerksbetrieb muss einen Datenschutzbeauftragten benennen?
Sind im Betrieb mindestens 20 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein DSB zu benennen. Als automatisierte Verarbeitung gelten z.B.:
- Nutzung digitaler Kundendateien.
- Verwendung von Kundendaten auf einem Tablet-PC oder Smartphone.
Für mehrere Standorte bzw. Filialen kann ein einziger DSB bestellt werden. Hierbei ist zu beachten, dass die Anzahl der Filialen nur so hoch sein darf, dass der DSB seine Aufgaben in jeder Filiale realistisch erfüllen kann.
Auftragsverarbeitung
Was ist eine Auftragsverarbeitung?
Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist z.B. bei Anbietern von CloudLösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Steuerberater, die für den Betrieb die Steuerklärungen erstellen und dabei z.B. Rechnungen (Adressdaten der Kunden) verarbeiten.