Was kommt nun auf Handwerksbetriebe zu und was ist ab dem 25. Mai 2018 zu beachten? © Foto: fotolia

DSGVO: Der Countdown läuft

Am 08. Mai lädt die Handwerkskammer Aachen ab 18 Uhr zu einer Infoveranstaltung ein.

Datenschutz - EU-DSGVO

Was ist bis zum 25. Mai zu tun?

Aachen. Schon mehrfach haben wir an dieser Stelle auf das Inkrafttreten der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – kurz EU-Datenschutz-Grundverordnung (EU-DSGVO) – hingewiesen.

So umfangreich der Titel dieser Verordnung ist, so umfangreich sind auch die Auswirkungen dieser Verordnung auf das Thema Datenschutz in Behörden und Betrieben.

Auch wenn die Verordnung bewusst auf die bekannten, großen, datenverarbeitenden Unternehmen abzielt, so gilt sie doch auch für Handwerksbetriebe. Denn auch in Handwerksbetrieben werden ständig personenbezogene Daten verarbeitet, zum Beispiel die Daten von Kunden oder von Mitarbeitern.

Info: Am 5. Juni 2018, lädt die Handwerkskammer Aachen ab 18 Uhr zu einer weiteren Infoveranstaltung in ihrem Haus, Sandkaulbach 17-21, Aachen, ein. Zur Anmeldung

Sprechen Sie uns an: Datenschutzbeauftragter der HWK Aachen

Die EU-DSGVO gilt ab dem 25. Mai 2018

Wichtig ist, dass die EU-DSGVO tatsächlich ab dem 25. Mai 2018 geltendes Recht ist. Es gibt dann keine Übergangsfristen mehr, man muss ab diesem Zeitpunkt die betrieblichen Datenverarbeitungsvorgänge nach den Regeln der EU-DSGVO gestalten.

Der rote Faden: Durch die EU-DSGVO soll die betroffene Person, das heißt die Person, deren Daten verarbeitet werden, weitestgehend Herrin ihrer Daten bleiben. Um dies sicherzustellen, hat die betroffene Person sehr umfangreiche Rechte aus der EU-DSGVO.

Von ganz grundsätzlicher Bedeutung ist dabei, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn dies ausdrücklich erlaubt ist, zum Beispiel durch eine Einwilligung der betroffenen Person oder durch Gesetze.

Der betroffenen Person steht ein Auskunftsrecht gegenüber dem Verantwortlichen der Datenverarbeitung zu. Dies beinhaltet unter anderem Fragen nach dem Zweck der Verarbeitung, den Kategorien der verarbeiteten Daten, den Empfängern der Daten und der geplanten Speicherdauer. Wenn die verarbeiteten Daten unrichtig sind, hat die betroffene Person auch ein Recht auf Berichtigung der Daten nach Art. 16 EU-DSGVO.

Art. 17 der EU-DSGVO regelt das Recht auf Löschung der Daten, das sogenannte „Recht auf Vergessenwerden“. Dieses Recht greift, neben anderen Fällen, dann, wenn die Daten für den Zweck der Verarbeitung nicht mehr nötig sind, die betroffene Person eine Einwilligung zur Verarbeitung widerrufen hat oder die Daten unrechtmäßig verarbeitet wurden.

Dies sind nur die wichtigsten Betroffenenrechte. Über diese Rechte ist die betroffene Person schon bei der Datenerhebung aufzuklären. Dies ist in Art. 13 EU-DSGVO geregelt. Nach dieser Vorschrift muss die betroffene Person von der datenverarbeitenden Stelle umfangreich aufgeklärt werden, wenn die Daten bei ihr direkt erhoben werden, zum Beispiel wenn ein Vertrag abgeschlossen oder wenn eine Einwilligung für Werbung eingeholt wird. Dabei ist unter anderem über den Zweck der Speicherung der Daten zu informieren, die Dauer der Speicherung, an wen Daten übermittelt werden und so weiter.

Für die praktische Umsetzung dieser zentralen Pflicht aus der EU-DSGVO finden Betriebe entsprechende Muster auf der Homepage der Handwerkskammer Aachen.

Auch wenn die Daten nicht direkt bei der betroffenen Person erhoben werden, sondern bei anderen Stellen, muss der Verantwortliche die betroffene Person umfassend über die Datenverarbeitung informieren. Dies regelt Art. 14 EU-DSGVO. Das ist beispielsweise wichtig, wenn man bei externen Anbietern Adressen für Werbezwecke „einkauft“.

Was ist nun organisatorisch zu tun?

Zuerst sollte dabei im Betrieb abgeklärt werden, ob man einen  Datenschutzbeauftragten benötigt. Dies ist nach dem ebenfalls am 25. Mai 2018 in Kraft tretenden Bundesdatenschutzgesetz-neu (BDSG-neu) dann der Fall, wenn im Betrieb in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. „Ständig“ bedeutet dabei nicht „ausschließlich“ oder „überwiegend“, so dass auch der Außendienstmitarbeiter (Monteur), der Kundendaten vor Ort aufnimmt, zu diesem Personenkreis zählen kann.

Wenn diese Anzahl an Mitarbeitern im Betrieb erreicht ist, dann ist nach § 38 Abs. 1 BDSG-neu ein Datenschutzbeauftragter zu benennen. Es muss sich dabei nicht um einen Mitarbeiter des Betriebes handeln, man kann also auch einen externen, professionellen Datenschutzbeauftragten benennen. Dies dürfte in vielen Fällen empfehlenswert sein.

Danach ist zu klären, ob man im Betrieb ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten (VVT) führen muss. In einem solchen Verzeichnis sollen sämtliche Verfahren, bei denen personenbezogene Daten verarbeitet werden, aufgeführt werden. Verfahren sind dabei zum Beispiel die Verwaltung der Personaldaten im Betrieb, die Führung der Kundendatenbank, das Forderungsmanagement etc.

Ob ein solches Verzeichnis zu führen ist, regelt Art. 30 EU-DSGVO. In der Regel besteht eine solche Verpflichtung. Auch wenn es auf den ersten Blick nach rein bürokratischer Arbeit aussieht, sollte man die Aufstellung des VVT nutzen, um sich einen Überblick zu verschaffen, bei welchen Verfahren personenbezogene Daten im Betrieb verarbeitet werden, da man so auch überflüssige oder zu umständliche Verfahren identifizieren und verbessern kann. „Nutzen Sie diese Chance zur Bestandsaufnahme Ihrer betrieblichen Abläufe“, empfiehlt Assessor Karl Fährmann, Datenschutzbeauftragter der Handwerkskammer Aachen. Ein Musterformular für ein VVT finden Betriebe wiederum auf der Kammer-Homepage.

In einem weiteren, mit dem Verzeichnis der Verarbeitungstätigkeiten eng zusammenhängenden Schritt, sollten Betriebsinhaber die technisch-organisatorischen Maßnahmen (TOM), die sie für den Datenschutz im Betrieb getroffen haben, dokumentieren, zum Beispiel ob die PCs im Büro passwortgeschützt sind, ob eine Zugangskontrolle bei den Büros besteht, wie der Server gesichert ist... Dies sollte man ebenfalls als Gelegenheit zur Bestandsaufnahme im Unternehmen nutzen. Auch hier hält die Handwerkskammer auf ihrer Homepage ein Muster vor.

Ferner sollte im Betrieb auch ein sogenanntes Löschkonzept für personenbezogene Daten erarbeitet werden. Dabei geht es um die Frage, wann welche Daten zu löschen sind. Sind personenbezogene Daten nämlich nicht mehr zur Erfüllung der Zwecke der verarbeitenden Stelle erforderlich und liegt auch keine anderweitige Erlaubnis (wie z.B. eine Einwilligung der betroffenen Person) vor, dann sind diese Daten zu löschen.

Sollten im Betrieb personenbezogene Daten an andere, externe Stellen zur Verarbeitung gegeben werden, beispielsweise für die Lohnabrechnung, dann spricht man von einer sogenannten Auftragsdatenverarbeitung. Auch hier ist zu überprüfen, ob die mit dem Auftragsdatenverarbeiter geschlossenen Verträge den Anforderungen der EU-DSGVO genügen. Für die Gestaltung eines Vertrages zur Auftragsdatenverarbeitung gibt es ebenfalls ein Muster.

Was passiert bei Verstößen?

Neben den bei rechtlichen Neuerungen beinahe schon üblicherweise drohenden Abmahnungen sieht die EU-DSGVO ganz erhebliche Bußgelder bei Verstößen vor. Die Bußgelder können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes des letzten Geschäftsjahres betragen. Je nachdem, welcher Wert höher ist. Auch an diesen Summen sieht man, dass Handwerksbetriebe nicht im Fokus des EU-Gesetzgebers gestanden haben, sondern weltweit agierende Unternehmen, deren Hauptgeschäft der Umgang mit personenbezogenen Daten ist. Nichtsdestotrotz sollte man die Zeit bis zum 25. Mai nutzen, sich dem Thema Datenschutz im Betrieb zu widmen, denn ein sensibler Umgang mit personenbezogenen Daten dürfte in Zukunft ein wichtiges Argument im Umgang mit Kunden werden, da das Thema Datenschutz in der Öffentlichkeit, auch durch aktuelle Vorgange bei bekannten sozialen Netzwerken, immer mehr an Bedeutung gewinnt.