Neben dem Schutz von personenbezogenen Daten ist auch der Schutz aller anderen Daten eines Unternehmens notwendig.Datenschutz im Betrieb
Das Bewusstsein für das Thema Datenschutz in den Betrieben steigt kontinuierlich an. Es ist nicht nur ein Baustein zur Umsetzung der DSGVO, die im Mai 2018 in Kraft getreten ist, sondern ein essenzielles Thema für alle Betriebe, die zunehmend digital arbeiten. Nachfolgend finden Sie viele Informationen und Hilfestellungen.
Wesentliche Pflichten
Fünf wesentliche Pflichten müssen Sie als Betrieb erfüllen:
1. Die Informationspflicht
Bei der Neuanlage von Kunden, beim Erhalt von Kundendaten von Dritten oder bei Änderung des Verarbeitungszweckes haben Sie Informationspflichten.
Hier erklären Sie
- wer Sie sind,
- warum Sie die Daten speichern und verarbeiten,
- dass der Kunde das Recht hat, die Berichtigung, Sperrung oder Löschung der Daten – wenn diese widerrechtlich erhoben wurden – zu verlangen
- und dass dem Kunden ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zusteht.
2. Auskunftspflicht
Wenn ein Kunde Auskunft darüber verlangt, welche Daten über ihn bei Ihnen im Betrieb gespeichert und verarbeitet werden, müssen Sie innerhalb von vier Wochen darüber Auskunft geben.
3. Dokumentationspflicht der Verarbeitung von personenbezogenen Daten
Wenn Sie Kundendaten verarbeiten, müssen Sie Verzeichnisse über Ihre Verarbeitungstätigkeiten anlegen und diese darin dokumentieren. Wenn Sie risikoreiche Daten – wie z.B. Gesundheitsdaten – erheben, müssen Sie zusätzlich eine Datenschutzfolgenabschätzung vornehmen.
4. Überprüfung von externen Verarbeitungen bzw. Auftragsverarbeitungen
Für den Fall das personenbezogene Daten durch einen Dienstleister wie z.B. einen Steuerberater zur Lohnabrechnung verarbeitet werden, besteht nun die Verpflichtung einen Auftragsverarbeitungsvertrag abzuschließen.
Praxistipp: Fragen Sie Ihren Dienstleister nach einem solchem Vertrag. In der Regel hat dieser solch einen Vertrag bereits vorbereitet und stellt Ihnen diesen zur Verfügung.
5. Bestellung eines Datenschutzbeauftragten
Wenn im Betrieb mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind - also z. B. Bearbeitung und Pflege von Kundendaten oder Mitarbeiterdaten - dann muss ein Datenschutzbeauftragter benannt werden. Zu diesen Mitarbeitern im Betrieb, die mit Daten umgehen, zählen auch Leiharbeitnehmer, Auszubildende, Praktikanten oder auch der Geschäftsführer selbst.
Personenbezogene Daten sind Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen also z.B. Adressen, Geburtstage, erteilte Aufträge von Kunden, Krankheitstage oder Arbeitsstunden der Mitarbeiter.
Wird ein Datenschutzbeauftragter im Betrieb benannt, so hat dieser einen Sonderkündigungsschutz.
Was heißt automatische Verarbeitung?
Diese liegt immer vor, wenn Computer, moderne Smartphones, z.B. E-Mailverkehr oder auch Videoanlagen mit Aufzeichnungsfunktion eingesetzt werden zur Datenerhebung, Speicherung, Veränderung, Löschung oder Datennutzung. Wegen der Rechtsfolgen einer Benennung ist zukünftig eine schriftliche Benennung eines Datenschutzbeauftragten zu empfehlen, wobei auch externe Dienste hierfür herangezogen werden können.
Unterrichtung und Verpflichtung von Beschäftigten
In Artikel 32 Abs. 4 DS-GVO ist geregelt, dass der Verantwortliche oder Auftragsverarbeiter Schritte unternehmen muss, um sicherzustellen, dass ihnen unterstellte Personen (insbesondere ihre Beschäftigten), die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten (es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor).
FAQs: Fragen und Antworten
1. Drohen bei Verstößen hohe Bußgelder bis 20 Mio. Euro?
Nein. Der Bußgeldkatalog bei Datenschutzverstößen wurde im Zuge der Reform erweitert. Diese Erweiterung verfolgt jedoch ausschließlich den Zweck, global agierende Internetkonzerne angemessen sanktionieren zu können. Für mittelständische Betriebe und insbesondere für Kleinbetriebe hat dies keine relevanten Auswirkungen.
2. Wie hoch ist das Risiko von Abmahnungen?
Abmahnungen drohen Betrieben wenn überhaupt nur dort, wo Angaben über den Datenschutz zu veröffentlichen sind. Dies betrifft hauptsächlich Datenschutzinformationen auf Webseiten. Jedoch ist auch hier das Abmahnrisiko als gering einzuschätzen, da Abmahner Verstöße nicht pauschal feststellen können, sondern in jedem Einzelfall prüfen müssen, welche konkreten Informationen auf der Webseite zu erteilen sind. Dies ist aufwändig und zeitintensiv. Zudem ist rechtlich umstritten, ob Datenschutzverstöße überhaupt wettbewerbsrechtlich abgemahnt werden können. Es gibt gute Gründe dies zu verneinen.
3. Benötige ich einen Datenschutzbeauftragten, wenn ich 20 Mitarbeitende habe?
Nein. Ein Datenschutzbeauftragter ist zu bestellen, wenn in Ihrem Betrieb mindestens 20 Mitarbeitende ständig mit der automatisierten Verarbeitung von Daten befasst sind. Als „ständig befasst“ gelten nur solche Mitarbeitende, deren alltägliche Kerntätigkeit die Verarbeitung von Daten ist. Dies ist z.B. bei Mitarbeitenden der Lohnbuchhaltung oder der Personalabteilung der Fall. Mitarbeitende, die lediglich die Daten zur Ausübung ihrer handwerklichen Tätigkeit benötigen, fallen grundsätzlich nicht unter diese Regelung.
4. Muss ich als Gesundheitshandwerker*in immer einen Datenschutzbeauftragten benennen?
Nein. Ein Datenschutzbeauftragter muss bestellt werden, wenn ein Betrieb Gesundheitsdaten umfangreich verarbeitet. Zwar verarbeiten Gesundheitshandwerker Gesundheitsdaten, jedoch geschieht dies nicht in umfangreicher Weise. Im Vergleich zu Krankenhäusern oder großen Arztpraxen wird der geringe Umfang deutlich. Für Gesundheitshandwerker gelten somit i.d.R. dieselben Regelungen wie für andere Handwerksbetriebe.
5. Muss ich von jedem Kunden eine Einwilligung einholen, bevor ich seine Daten erhebe und speichere?
Nein. Handwerksbetriebe dürfen – wie bisher – die Daten ihrer Kunden für alle vorvertraglichen Maßnahmen (z.B. Kostenvoranschlag) und zur Abwicklung des Auftrags erheben, speichern und nutzen. Eine Einwilligung ist nicht erforderlich.
6. Für was benötige ich im Betrieb eine Einwilligung?
Betriebe benötigen nur in seltenen Ausnahmen eine Einwilligung. Dies gilt etwa für die Werbung per E-Mail oder die Veröffentlichung von Mitarbeiterfotos auf der Firmenwebseite. Selbst dabei ist der Grund für die Einwilligung nicht das Datenschutzrecht, sondern andere Rechtsgebiete, wie das Wettbewerbsrecht.
7. Muss jede Datenerhebung von allen Kunden einzeln dokumentiert werden?
Nein. Die Verwendung von Kundendaten zur Vertragsabwicklung stellt ein einziges betriebliches Verfahren dar. Dies gilt unabhängig von der Kundenanzahl. Weitere Verfahren sind z.B. die Nutzung von Kundendaten zur Direktwerbung oder der Verarbeitung von Mitarbeiterdaten zur Lohnabrechnung und zur Personalführung. Für diese Verfahren stehen auf www.zdh.de vorausgefüllte Dokumentationen zur Verfügung.
8. Muss ich auf meiner Firmenwebseite etwas beachten?
Ja. Wenn auf der Firmenwebseite Daten der Websitebesucher erhoben werden, muss darüber im Datenschutzhinweis informiert werden. Typische Fälle sind Formulare zur Kontaktaufnahme oder zur Bestellung von Newslettern. Hierfür finden Sie auf www.zdh.de Musterformulierungen für den Datenschutzhinweis.
9. Muss mit jedem Lieferanten oder Subunternehmer eine Vereinbarung zur Auftragsverarbeitung geschlossen werden?
Nein. Eine Auftragsverarbeitung liegt nur vor, wenn ein Betrieb Daten nutzt, die Aufbereitung dieser Daten aber von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Lohnbuchhaltungsanbieter, die für den Betrieb die Lohnbuchhaltung erstellen und dabei z.B. Mitarbeiterdaten verarbeiten. Bei Subunternehmern und Lieferanten handelt es sich dagegen um eine gewöhnliche Datenweitergabe.
10. Ist das Fotografieren für Fotografen überhaupt noch zulässig?
Ja. Das neue Datenschutzrecht ändert nichts an der Zulässigkeit von professionellen Fotografien. Ob bei Hochzeitsfeiern, im Fotostudio oder in der Öffentlichkeit: Hier gilt die bisherige Praxis uneingeschränkt weiter. Das betrifft auch die Zulässigkeit von Veröffentlichungen. Neu sind lediglich Informationen, die den fotografierten Personen zu erteilen sind. Hierbei genügt jedoch bei Veranstaltungen ein entsprechender Aushang. Bei öffentlichen Fotografien oder Fotos mit zahlreichen abgebildeten Personen, die nicht informiert werden können, entfällt die Pflicht sogar.
Quelle: Zentralverband des Deutschen Handwerks (ZDH)
Abmahnwelle wegen Einsatz von Google Fonts auf der Webseite
Bei der Handwerkskammer Braunschweig-Lüneburg-Stade gehen zurzeit vermehrt Anfragen von Betrieben ein, die aufgrund von dynamisch eingebundenen Google Fonts aufgefordert werden einen Schadensersatz in Höhe von 100€ zu zahlen.
Was Sie dagegen tun können, lesen Sie hier...
Missbrauch von Abmahnungen
Der ZDH unterstützt die aktuellen Bestrebungen zur Eindämmung von Abmahnrisiken bei Verstößen gegen Datenschutzregeln. Darüber hinaus spricht sich der ZDH für weitere punktuelle Änderungen im Urheber- und Wettbewerbsrecht aus. Mitbewerber sollen nur dann eine Abmahnbefugnis erhalten, wenn sie von dem abgemahnten Verstoß auch tatsächlich und spürbar wettbewerbsrechtlich betroffen sind. Sogenannte Bagatellverstöße gegen Informations- und Impressumspflichten wie auch Verstöße gegen das Datenschutzrecht sollen künftig beim Abmahnrecht für Mitbewerber entzogen werden.
Weitere Informationen
Im Leitfaden des Zentralverbands des Deutschen Handwerks finden Sie alle Informationen, Checklisten und Musterformulierungen zum neuen Datenschutzrecht übersichtlich zusammengestellt.
Leitfaden des ZDH zum Datenschutzrecht (PDF)
Hier finden Sie weitere Informationen vom Zentralverband des Deutschen Handwerks
Ansprechpartner
Die Datenschutzbeauftragten der Handwerkskammer sind:
Udo Kaethner und Frank Twele
Kontakt: datenschutzbeauftragter@hwk-bls.de
Die DSGVO
Am 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in allen EU Mitgliedsstaaten in Kraft getreten. Sie betrifft alle Unternehmen, die innerhalb der EU personenbezogene Daten verarbeiten. Diese Änderung betrifft alle Betriebe, denn es gibt keine Schwellenwerte für Umsatz oder Mitarbeiterzahl, die die Gültigkeit der DSGVO einschränken. Mit anderen Worten: Die DSGVO gilt grundsätzlich für Weltkonzerne genauso wie für kleine und mittelständische Handwerksbetriebe in Bezug auf Nutzer-Tracking, Kundendaten, Newsletter oder Werbemails, Werben auf Facebook oder die eigene Datenschutzerklärung.