Datenschutz- Grundverordnung: Was Handwerksbetriebe beachten müssen - die wichtigsten Informationen
Die europäische Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Ab diesem Tag muss jeder Betrieb – auch jeder kleine und mittlere Handwerksbetrieb – beweisen und nachweisen können, dass er sorgsam und den Vorgaben der DSGVO entsprechend mit personenbezogenen Daten von Kunden und Mitarbeitern umgeht. Übergangs- oder Nachfristen gibt es hier nicht mehr. Jetzt nicht tätig werden bzw. Abwarten bedeuten hier, dass das Unternehmen keinen Wert hinsichtlich personenbezogener Daten zeigt. Wer die Vorgaben nicht einhält, dem drohen empfindliche Sanktionen.
1. Die eigene Webseite
Als Erstes sollten Betriebe ihre Internetseite in Hinblick auf die DSGVO überarbeiten. Dazu gehört die Aktualisierung der Datenschutzerklärung, insbesondere allgemeine Hinweise zur Erfassung und Speicherung von Daten, gegebenenfalls auch erforderliche Hinweise zum Datenschutzbeauftragten und der zuständigen Aufsichtsbehörde. Experten befürchten, dass Kanzleien und abmahnen Stellen bereits in den Startlöcher stehen, um ab dem 25. Mai eine Abmahnwelle los zu treten – wie seinerzeit in Fällen, wo auf Websites das Impressum gefehlt hatte. Gerade öffentliche Internetauftritte inklusive sozialer Netzwerke sind für jedermann sehr einfach daraufhin zu überprüfen. Hier sollten Unternehmer sofort handeln und mit dem Provider oder Dienstleister Kontakt aufnehmen, um die Inhalte nach den Vorgaben der DSGV anpassen zu lassen.
2. Umgang mit E-Mails
Je sensibler die Daten bei der Nutzung und Versenden bei E-Mails sind, desto mehr müssen Unternehmer sich schützen. Das gilt gerade auch für E-Mails. Personenbezogene Daten, die über Namen, Anschrift und Kontaktdaten hinausgehen, sollten unbedingt verschlüsselt werden. So sollen Unbefugte daran gehindert werden, E-Mail-Inhalte und -Anlagen ungehindert abgreifen zu können.
3. Datenschutzbeauftragter: Ja oder nein?
Sind in einem Unternehmen mehr als zehn Mitarbeiter – dazu gehören auch Teilzeitkräfte oder Azubis – mit der automatischen Verarbeitung personenbezogener Daten mittels PC, Tablet, Notebook oder Smartphone befasst, so muss der Betrieb einen eigenen Datenschutzbeauftragten nennen. Auch in kleineren Betrieben sollte es jemanden geben, der für den Datenschutz verantwortlich zeichnet und die Prozesse kontrolliert. Der Unternehmer selbst darf diese Aufgabe jedoch nicht übernehmen.
4. Einwilligung erforderlich?
Wer Daten von Kunden und Mitarbeitern erhebt, muss sie darauf hinweisen, dass ihre Daten aufgrund des Arbeitsverhältnisses oder zur Auftragsbearbeitung gespeichert – und soweit erforderlich – an Dritte weitergegeben werden. Darum sollten Unternehmen sich grundsätzlich und möglichst umgehend darum bemühen, eine datenschutzrechtliche Einwilligung vom Kunden direkt bei Auftragserteilung einzuholen. Ein bloßer Hinweis im Kleingedruckten oder den AGB oder ein Kästchen zum Ankreuzen dieses Passus reicht nicht aus: hier ist vielmehr die Unterschrift des Kunden oder Mitarbeiter sowie die Angabe des tagesaktuellen Datums erforderlich. Ohne ausdrückliche Einwilligung ist eine Datenverarbeitung nur dann zulässig, „wenn dies zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (gemäß Art. 6 DSGVO). D. h., dass etwa für die Erstellung eines Angebotes oder Kostenvoranschlages und zur Übersendung einer Rechnung eine Einwilligungserklärung nicht erforderlich ist.
5. Informationspflicht und Auskunftserteilung
Unabhängig davon, ob eine Einwilligung erforderlich ist, muss der Kunde in jedem Fall über die Datenerhebung und -verarbeitung informiert werden. Dies sollte aus Beweisgründen in Textform erfolgen. Zudem hat jeder Mitarbeiter und Kunde das Recht, eine Auskunft über die beim Unternehmen von ihm gespeicherten Daten zu verlangen und auch deren Löschung zu fordern. Voraussetzung dafür ist, dass das Unternehmen die Möglichkeit dazu hat und dass gesetzliche Forderung wie Aufbewahrungs- oder Nachweispflichten für Rechnungsunterlagen, Personalakten etc. nicht dagegensprechen.
6. Dokumentationspflicht
Betriebe müssen die Datenverarbeitungsprozesse künftig dokumentieren. Es empfiehlt sich, dazu einen eigenen Datenschutz Ordner anzulegen. Außerdem müssen Sie ein Verarbeitungsverzeichnis erstellen. Darin müssen der Umgang mit personenbezogenen Daten in allgemeiner Form innerhalb des Betriebes beschrieben sowie die technischen und organisatorischen Schutzmaßnahmen dargestellt werden. Relevante Formulare erhalten Betriebe beim Zentralverband des Deutschen Handwerks (ZDH) in Berlin oder auf der HWK-Website unter www. hwk-trier.de.
7. Handeln bei Datenverlust / Hacking
eine Datenpanne müssen Betriebe innerhalb von 72 Stunden bei der Aufsichtsbehörde Melden. Zugleich müssen sie die Folgen und getroffenen Schutzmaßnahmen angeben und die durch die Datenschutzpanne betroffenen Personen informieren.
8. Mehr Informationen und Auskünfte
Unternehmen und Privatpersonen können sich bei allen Fragen zur DSGVO an die zuständige Aufsichtsbehörde des Bundeslandes wenden. Datenschutzbeauftragter in Rheinland-Pfalz ist Prof. Dr. Dieter Kugelmann. Kontakt: 06131/208-2449, E-Mail: poststelle@datenschutz.rlp.de.
Formulare zur Einwilligungserklärung und zum Datenschutzbeauftragten sowie der Leitfaden „Das neue Datenschutzrecht“ sind kostenlos auch beim ZDH unter www.zdh.de unter dem Reiter „Themen A-Z“ und „Datenschutz“ erhältlich. Zudem bietet die HWK-Akademie am 29. Mai, 6. Juni und 8. August Seminare zur DSGVO an. Informationen hierzu und Anmeldung erhalten Interessenten unter Tel. 0651 207-402 oder hier.
