Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 verpflichtend für alle Betriebe - mit gravierenden Auswirkungen.
Die Auswirkungen der Datenschutz-Grundverordnung
Die DSGVO ist seit dem 25. Mai 2018 für alle Betriebe verbindlich und hat gravierende Auswirkungen. Lesen Sie hier, wie Sie die neuen Anforderungen umsetzen.
Kein Grund zur Panik - aber ein Grund zum Handeln
Auch in den vergangenen Jahren mussten Unternehmen bereits auf datenschutzrechtliche Vorgaben achten und diese bei ihren betrieblichen Abläufen berücksichtigen, um Datenschutzverstöße zu verhindern. Durch die Europäische Datenschutz-Grundverordnung (DS-GVO) haben sich zum 25. Mai 2018 aber erhebliche Neuerungen bei den Vorgaben und Anforderungen des Datenschutzes ergeben.
Unternehmen sollten deshalb ihre Datenschutzpraxis überprüfen. Setzen Sie die aufgrund der neuen Verordnung erforderlichen Umstellungen um!
Praktische Checklisten für Handwerksbetriebe mit speziellem Zuschnitt auf verschiedene Gewerke bietet das Bayrische Landesamt für Datenaufsicht an:
Handreichungen für kleine Unternehmen
Der Zentralverband des Deutschen Handwerks (ZDH) hat weitere Informationen zur DSGVO zusammengestellt und bietet praktische Tipps zur Vorbereitung:
zum ZDH
Antworten auf wichtige Fragen
Wie hoch ist das Risiko von Abmahnungen? Für was benötige ich im Betrieb eine Einwilligung? Der Zentralverband des Deutschen Handwerks (ZDH) hat zehn wichtige Fragen zur DSGVO mit den dazugehörigen Antworten für Handwerksbetriebe gesammelt:
Webinar-Aufzeichnung: EU-Datenschutz-Grundverordnung - Ein neues Zeitalter im Datenschutz
Welche Aufgaben die EU-DSGVO und die Novellierungen des BDSG für alle Beteiligten in der Praxis mit sich bringen, haben wir vor Inkrafttreten der neuen Regelungen ausführlich in einem Webinar erläutert. Unser Datenschutzbeauftragter Volker Süssmuth und der Datenschutzexperte Christian Volkmer zeigen die rechtlichen Hintergründe der neuen Regelungen und wie Sie die neuen Anforderungen meistern können:
Was bringt die Datenschutz-Grundverordnung?
Bisher ergaben sich die datenschutzrechtlichen Vorgaben für Unternehmen aus dem Bundesdatenschutzgesetz (BDSG) und weiteren Gesetzen wie dem Telemediengesetz (TMG). Das BDSG wurde weitgehend durch die DSGVO ersetzt. Das bedeutet jedoch nicht, dass alle bisherigen Vorgaben hinfällig sind!
- Wesentliche Bestandteile des Datenschutzrechts sind erhalten geblieben - zum Beispiel der Grundsatz, dass jede Datennutzung verboten ist, sofern es nicht einen gesetzlichen Erlaubnistatbestand dafür gibt. Auch müssen Betriebe nach heutigem Stand in Deutschland damit rechnen, dass die Mehrheit von ihnen weiterhin einen betrieblichen Datenschutzbeauftragten benötigt.
- Beispiele für Änderungen gegenüber der früheren Rechtslage sind z.B. Änderungen bei den Begriffsdefinitionen, Neuerungen beim Thema der Einwilligung im Datenschutzrecht, Erweiterungen der Informations- und Auskunftspflichten sowie der Löschungspflicht.
Wie stark ein Unternehmen von den Umstellungen betroffen ist, lässt sich nicht pauschal sagen - dazu ist die jeweilige Datennutzung in den Firmen zu unterschiedlich. Nicht zuletzt, weil sich seit Mai 2018 auch die Geldbußen erhöht haben, sollten Sie die neuen Vorgaben der Datenschutz-Grundverordnung aber in jedem Fall umsetzen.
Das müssen Handwerksbetriebe seit Mai 2018 vorweisen
Nach der Datenschutz-Grundverordnung (DSGVO) müssen auch Einzelunternehmer seit Mai 2018 neue Vorgaben einhalten, wenn sie Bußgelder vermeiden wollen – gerade beim Einsatz digitaler Anwendungen. Praktische Checklisten für Handwerksbetriebe mit speziellem Zuschnitt auf verschiedene Gewerke bietet das Bayrische Landesamt für Datenaufsicht an:
Handreichungen für kleine Unternehmen
Auch wir zeigen Ihnen in sechs Schritten, wie Sie auf der sicheren Seite sind:
1. Dokumentation
Im ersten Schritt müssen Betriebe dokumentieren, welche Daten in welcher Form und wem inner- und außerhalb des Betriebs zugänglich gemacht werden. Wie ein solches Verarbeitungsverzeichnis aufzubauen ist, sehen Sie in einem Beispiel des IT-Verbandes Bitkom.
2. Risikobewertung
Auf Basis des Verarbeitungsverzeichnisses ist eine Risikobewertung notwendig: Wie könnten Daten in unbefugte Hände geraten und wie hoch ist hierfür die Wahrscheinlichkeit? Gerade bei Cloud-Diensten ist darum auf entsprechende Vorkehrungen des Anbieters zu achten. Auch hierfür stellt der Branchenverband Bitkom einen kostenfreien Leitfaden zur Verfügung.
Der Schutz vor Hackern ist in Sachen Datenschutz extrem wichtig.
3. Sicherungsmaßnahmen
Entsprechend dem bestehenden Risiko sind Betriebe verpflichtet, "technische und organisatorische Maßnahmen" zu ergreifen. Das können Virenschutz, Passwörter, Löschfristen oder auch Einbruchschutzmaßnahmen sein. Die Datenverarbeitung über einen externen Dienstleister abzuwickeln, kann viel Erleichterung bringen. Wir zeigen Ihnen, wie Sie den passenden IT-Dienstleister finden:
Den passenden IT-Dienstleister finden
4. Rechte der Betroffenen
Auch die Rechte der Betroffenen, also der Menschen, deren persönliche Daten Sie verarbeiten, wurden verschärft. Dementsprechend müssen Handwerksbetriebe von ihren Kunden eine Einwilligungserklärung unterzeichnen lassen und aufbewahren – besonders bei Gesundheitsdaten. Kunden haben zudem weitreichende Rechte auf Auskunft über die Datenweitergabe und das Recht auf Löschung der Daten. Infos dazu bietet ein Merkblatt des Landesdatenschutzbeauftragten Baden-Württemberg:
zum Merkblatt (Kurzpapier Nr. 6)
5. Anzeigepflicht
Unternehmen sind seit Mai 2018 verpflichtet, Datenpannen innerhalb von 72 Stunden beim Landesdatenschutzbeauftragten Baden-Württemberg sowie den Betroffenen zu melden. Dies gilt für alle Arten von Daten, nicht nur für die mit besonderem Schutzstatus.
Der Umgang mit personenbezogenen Daten wird strenger.
6. Weitere Vorgaben und Tipps
- Die neue Datenschutzgrundverordnung sieht weiterhin vor, dass Unternehmen ab zehn Mitarbeitern, die Zugriff auf personenbezogene Daten haben, einen betrieblichen Datenschutzbeauftragten haben müssen. Er überwacht das vorgesehene Schutzniveau und kümmert sich um die Einhaltung der komplexen Vorgaben. Mindestens zu Beginn ihrer Datenschutzinitiative ist auch für die meisten kleineren Betriebe externe Beratung hilfreich.
- Bei Dienstleistern in Sachen Datenverarbeitung sollten Handwerker zudem auf deutsche oder EU-weite Anbieter setzen und auf einen konkreten Hinweis zur Einhaltung der DSGVO im Vertrag achten. WhatsApp oder Dropbox sind beispielsweise US-amerikanische Firmen. Werden Kundendaten hierüber ausgetauscht, gilt das als nicht erlaubte "Übermittlung an Drittstaaten", sofern keine explizite Einwilligung der betroffenen Person vorliegt.
- Sinnvoll ist auch die Überprüfung von Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten sowie des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz.
Volker Süssmuth
Rechtsberater
70191 Stuttgart