DSGVO: Hilfestellung für Handwerksbetriebe
Die Europäische Datenschutz-Grundverordnung (DSGVO) ist seit 2018 für alle Betriebe verbindlich. Lesen Sie hier, wie Sie die Anforderungen in Ihrem Betrieb umsetzen.
Was hat sich durch die DSGVO geändert?
Bis 2018 ergaben sich datenschutzrechtliche Vorgaben für Unternehmen vor allem aus dem Bundesdatenschutzgesetz (BDSG) und weiteren Gesetzen wie demTelemediengesetz (TMG).
DieEuropäische Datenschutz-Grundverordnung (DS-GVO) hat das BDSG im Mai 2018 weitestgehend ersetzt. Die Anforderungen und Vorgaben des Datenschutzes haben sich dadurch erheblich verändert.
Das bedeutet jedoch nicht, dass alle bisherigen gesetzlichen Vorgaben hinfällig sind: Wesentliche Bestandteile des Datenschutzrechts sind erhalten geblieben.
Dazu zählt zum Beispiel der Grundsatz, dass jede Datennutzung verboten ist, sofern es keinen gesetzlichen Erlaubnistatbestand dafür gibt. Auch müssen Betriebe in Deutschland damit rechnen, dass die Mehrheit von ihnen weiterhin einen betrieblichen Datenschutzbeauftragten benötigt.
Beispiele für Änderungen gegenüber der früheren Rechtslage sind zum Beispiel:
- Änderungen bei den Begriffsdefinitionen
- Neuerungen beim Thema der Einwilligung im Datenschutzrecht
- Erweiterungen der Informations-, Auskunfts- und Löschungspflichten
Die DSGVO-Vorgaben sollten Sie in jedem Fall umsetzen – ansonsten drohen Geldbußen. Wir informieren nachfolgend über die wichtigsten Vorgaben für Handwerksbetriebe und unterstüzen Sie bei der Umsetzung.
Schritt für Schritt zum sicheren Datenschutz
Wir zeigen Ihnen in sechs Schritten, wie Sie datenschutzrechtlich auf der sicheren Seite sind:
Im ersten Schritt müssen Handwerksbetriebe dokumentieren, welche Daten in welcher Form und wem inner- und außerhalb des Betriebs zugänglich gemacht werden.
Wie ein solches Verarbeitungsverzeichnis aufzubauen ist, sehen Sie in einem Beispiel des IT-Verbandes Bitkom:
Auf Basis des Verarbeitungsverzeichnisses ist eine Risikobewertung notwendig: Wie könnten Daten in unbefugte Hände geraten und wie hoch ist hierfür die Wahrscheinlichkeit?
Gerade bei Cloud-Diensten ist darum auf entsprechende Vorkehrungen des Anbieters zu achten. Auch hierfür stellt der Branchenverband Bitkom einen kostenfreien Leitfaden zur Verfügung:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat verschiedene Videokonferenzsysteme betrachtet und die Ergebnisse zusammengefasst:
Tabellarische Zusammenfassung
Videokonferenzsysteme – Hinweise zur praktischen Nutzung
Entsprechend dem bestehenden Risiko sind Betriebe verpflichtet, technische und organisatorische Maßnahmen zu ergreifen – das können Virenschutz, Passwörter, Löschfristen oder auch Einbruchschutzmaßnahmen sein.
Die Datenverarbeitung über einen externen Dienstleister abzuwickeln, kann viel Erleichterung bringen. Wir zeigen Ihnen, wie Sie den passenden IT-Dienstleister finden:
den passenden IT-Dienstleister finden
Nutzen Sie darüber hinaus die Merkblätter des Kompetenzzentrums IT-Sicherheit und Datenschutz der Handwerkskammer Rheinhessen:
Handwerkskammer Rheinhessen: IT-Sicherheit im Handwerk
IT-Grundschutzmodule – Handwerk / KMU
Auch die Rechte der Betroffenen – also der Menschen, deren persönliche Daten Sie verarbeiten – wurden mit Inkrafttreten der DSGVO verschärft.
Dementsprechend müssen Handwerksbetriebe von ihren Kunden eine Einwilligungserklärung unterzeichnen lassen und aufbewahren – besonders bei Gesundheitsdaten. Kunden haben zudem weitreichende Rechte auf Auskunft über die Datenweitergabe und das Recht auf Löschung der Daten.
Infos dazu bietet ein Merkblatt des Landesdatenschutzbeauftragten Baden-Württemberg:
Unternehmen sind seit Mai 2018 verpflichtet, Datenpannen innerhalb von 72 Stunden beim Landesdatenschutzbeauftragten Baden-Württemberg sowie den Betroffenen zu melden. Dies gilt für alle Arten von Daten, nicht nur für die mit besonderem Schutzstatus:
zum Landesdatenschutzbeauftragten
Hier können Sie die Verletzung des Schutzes personenbezogener Daten nach Art. 33 DS-GVO, umgangssprachlich „Datenpanne“ genannt, melden:
Die DSGVO sieht vor, dass Unternehmen ab zehn Mitarbeitern, die Zugriff auf personenbezogene Daten haben, einen betrieblichen Datenschutzbeauftragten haben müssen. Er überwacht das vorgesehene Schutzniveau und kümmert sich um die Einhaltung der komplexen Vorgaben. Mindestens zu Beginn ihrer Datenschutzinitiative ist auch für die meisten kleineren Betriebe externe Beratung hilfreich.
Bei Dienstleistern in Sachen Datenverarbeitung sollten Handwerker zudem auf deutsche oder EU-weite Anbieter setzen und auf einen konkreten Hinweis zur Einhaltung der DSGVO im Vertrag achten (WhatsApp oder Dropbox sind beispielsweise US-amerikanische Firmen). Werden Kundendaten hierüber ausgetauscht, gilt das als nicht erlaubte „Übermittlung an Drittstaaten“, sofern keine explizite Einwilligung der betroffenen Person vorliegt.
Sinnvoll ist auch die Überprüfung von Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten sowie des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz.
Web-Seminar-Aufzeichnung (Mai 2018)
Erfahren Sie mehr über die rechtlichen Hintergründe und die Anforderungen durch die DSGVO:
Praktische Materialien für Betriebe
Der ZDH informiert umfassend zum Thema Datenschutz und bietet zahlreiche Mustervorlagen, Formulierungsbeispiele und Materialien:
Informationen und Unterlagen für Handwerksbetriebe
Informationen und Unterlagen für Beschäftigte
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) stellt kleinen Betrieben das ToolDS-GVO.clever zur Erstellung von Datenschutzinformationen zur Verfügung und bietet einen praktischen Ratgeber Beschäftigtendatenschutz.
Praktische Checklisten mit speziellem Zuschnitt auf verschiedene Gewerke und Handreichungen für kleine Unternehmen bietet auch das Bayrische Landesamt für Datenaufsicht.
Volker Süssmuth
Rechtsberater
70191 Stuttgart