Datenschutz im Handwerk
Seit 2018 hat der europäische Datenschutz erheblich an Bedeutung gewonnen. Unternehmen, Aufsichtsbehörden und Privatpersonen setzen sich verstärkt damit auseinander, was teilweise zu Verunsicherung führt. Infolgedessen werden Digitalisierungsprojekte mitunter verzögert oder ganz gestoppt. Um das zu vermeiden, zeigen wir Ihnen den handwerksbetrieblichen Umgang mit personenbezogenen Daten und so DSGVO-konformes Handeln auf.
Was bedeutet Datenschutz und was sind personenbezogene Daten?
Datenschutz beschreibt den Schutz natürlicher Personen vor dem Missbrauch ihrer personenbezogenen Daten. Ob die Daten digital oder analog vorliegen, spielt dabei keine Rolle.
Datenverarbeitung umfasst jeglichen Umgang mit personenbezogenen Daten: Vom Erheben, Speichern, Nutzen, Verändern, Übermitteln, Sperren bis hin zum Löschen. Geregelt ist der Datenschutz in der Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz.
Datenschutz-Grundverordnung
Bundesdatenschutzgesetz
Personenbezogene Daten sind „alle Informationen, die sich […] auf eine identifizierte oder identifizierbare Person ([…] betroffene Person) beziehen:“
Art. 4 DSGVO
Wie gut sind Sie und Ihr Betrieb aufgestellt?
Die Datenschutz-Grundverordnung hat seit Inkrafttreten einen oft unterschätzten Stellenwert eingenommen. Gleichzeitig wurden zunehmenden die Rechte von Menschen, deren personenbezogene Daten verarbeitet werden, gestärkt. Das Beschwerderecht und die Sanktionsmöglichkeiten wurden in diesem Zusammenhang erweitert.
Betriebe sollten sich hier umfassend absichern und informieren. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bietet Ihnen die Möglichkeit, selbst zu prüfen, wie gut Ihr Betrieb aufgestellt sind und wo Sie nachbessern müssen. Beantworten Sie die 28 Fragen, erhalten Sie am Ende eine detaillierte Auswertung sowie Beschreibung, welche Anforderungen noch umgesetzt werden müssen.
Noch nicht alle Anforderung erfüllt?
Häufig sind größere Betriebe datenschutzrechtlich besser aufgestellt als kleinere. Das liegt zum einen daran, dass sie intern oder extern Datenschutzbeauftragte aufweisen können bzw. müssen, zum anderen existiert in vielen Fällen ein umfassendes Datenschutzmanagementsystem, das kleine Betriebe vielfach nicht leisten können.
Wir haben die folgenden 10 Schritte für DSGVO-konformen Datenschutz zusammengestellt. Wenn Betriebe diese einhalten, schaffen Sie eine solide Basis, um sich wirksam vor Abmahnungen, Datenpannen und potenziellen Sanktionen zu schützen.
10 Schritte für DSGVO-Konformen Datenschutz
Verantwortlich für die Einhaltung des Datenschutzes im Unternehmen ist die für das Unternehmen verantwortliche Person, d. h. in der Regel die Geschäftsleitung.
Diese ist dafür verantwortlich, die ausreichenden personellen, zeitlichen und ggf. finanziellen Ressourcen zur Verfügung zu stellen, um datenschutzkonformes Handeln im Betrieb umzusetzen und so die Einhaltung des Datenschutzes zu gewährleisten.
Weiterführende Links
Datenschutz-Grundverordnung
Bundesdatenschutzgesetz
Um einen umfassenden Datenschutz gewährleisten zu können, müssen alle Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden, identifiziert werden. Dazu zählen auch Prozesse wie die Aktenvernichtung oder Zahlungserinnerungen. Die folgenden Leitfragen können bei der Identifzierung helfen:
- Welche Art von personenbezogenen Daten werden verarbeitet?
- Werden personenbezogene Daten an Dritte weitergegeben?
- Gibt es bestimmte Dienstleistungsbeziehungen, die durch die Verarbeitung personenbezogener Daten bestimmt sind?
Dabei ist es wichtig die Geschäftsprozesse in einem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren
Verarbeitungstätigkeiten_Verzeichnis
Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine Einwilligung der betroffenen Person vorliegt oder eine gesetzliche Rechtsgrundlage gegeben ist. Vor der DSGVO erteilte Einwilligungen zur Datenverarbeitung bleiben rechtlich bestehen. Ausnahme: An die Einwilligung ist eine andere Leistung gekoppelt (Kopplungsverbot!) oder die bzw. der Einwilligende ist unter 18 Jahre alt (unter 16 bei Diensten der Informationsgesellschaft).
weitere Informationen folgen
Betroffenen stehen Informationen darüber zu, wer was wann, auf welcher Grundlage über sie weiß und zwar noch bevor diese Daten über ihn verarbeitet werden. Jede Datenverarbeitung ist zweckgebunden. Ändert sich ein Verarbeitungszweck, sind Betroffene auch hierüber zu informieren.
weitere Informationen folgen
Die einfachste Lösung, um mögliche Sanktionen zu vermeiden, ist die Einhaltung der Datenschutz-Grundsätze:
- Transparente Datenverarbeitung: Informieren Sie Betroffene über Herkunft und Art der Verarbeitung ihrer personenbezogenen Daten.
- Informieren: Ändert sich ein Verarbeitungszweck oder werden Daten weitergegeben, müssen Betroffene darüber informiert werden.
- Auskunft erteilen: Betroffene auf Verlangen über Herkunft, Art der Daten und Verarbeitungszweck kostenfrei binnen max. 4 Wochen informieren.
- Daten aktuell halten: Personenbezogene Daten müssen vollständig und aktuell gehalten werden.
- Respektvoller Datenumgang: Liegt kein Verarbeitungszweck mehr vor, widerruft oder schränken Betroffene die Datenverarbeitung ein und spricht keine gesetzliche Grundlage dagegen, muss der Betrieb die Daten ggf. restlos löschen. Das gilt auch für Daten, die im Internet gespeichert wurden.
weitere Informationen folgen
Beschäftigtendatenschutz umfasst alle Regelungen zur Verarbeitung von Daten der Arbeitnehmer*innen in Zusammenhang mit einem Beschäftigungsverhältnis. Als Beschäftigte gelten alle (Leih-) Mitarbeiter*innen, Minijobber*innen, Auszubildende, Praktikant*innen und Bewerber*innen. Die Erhebung von Beschäftigtendaten ohne Einwilligung ist erlaubt, sofern die Daten erforderlich sind, z. B. zur Ausübung von Weisungsrechten oder zur Organisation, wie Personalplanung und -einsatz. Auch gibt es gewisse Pflichten die Arbeitgeber*innen erfüllen müssen, wie z. B. die Verpflichtung auf den Datenschutz – vor Aufnahme der Tätigkeit.
weitere Informationen folgen
Ihr Betrieb präsentiert sich auf einer eigenen Webseite oder in den sozialen Medien? Beachten Sie dabei die folgenden Anfroderungen:
- Impressumspflicht
- Datenschutzerklärung platzieren
- DSGVO-konformer Einsatz von Cookies und anderer Analysedienste
Auftragsverarbeitung tritt auf, wenn die Verarbeitung oder Speicherung von personenbezogenen Daten, die zwar für die eigenen Betriebszwecke erhoben wurden, an externe weisungsgebundene Unternehmen ausgelagert wird (Beispiel?). In diesem Falle muss ein Auftragsverarbeitungsvertrag zwischen beiden Parteien geschlossen werden, mit gemeinsamer Haftung beider Parteien.
Datenschutz beschreibt den Schutz natürlicher Personen vor dem Missbrauch ihrer personenbezogenen Daten. Um diesen Schutz gewährleisten zu können, schreibt die DSGVO den Einsatz geeigneter technischer und organisatorischer Maßnahmen vor. Die Auswahl einer konkreten Schutzmaßnahme muss unter Berücksichtigung des Stands der Technik und der jeweiligen Implementierungskosten geschehen. Das Gesetz sowie der ZDH bieten hierzu jeweils eine Liste geeigneter Maßnahmen an. (Verlinkung?) Eingesetzte Maßnahmen müssen zwecks Nachweispflicht dokumentiert werden. Um einen betrieblichen DSGVO-konformen und sicheren Umgang mit personenbezogenen Daten zu gewährleisten, sollten Sie außerdem Ihre Mitarbeiter schulen und sensibilisieren (Verlinkung IT Sicherheit?).
Das Verzeichnis der Verarbeitungstätigkeiten bündelt alle datenschutzrelevanten Verarbeitungen von A wie Aktenvernichtung bis Z wie Zahlungserinnerung. Es dient den Aufsichtsbehörden als Nachweis der Dokumentationspflicht. Es ist eine Abbildung aller relevanten Informationen zur Verarbeitung von Daten. Haben Sie bereits ein Verfahrensverzeichnis geführt, müssen sie nur noch prüfen, inwieweit dieses die Anforderungen der DSGVO erfüllt.
Verarbeitungstätigkeiten_Verzeichnis
weitere Informationen folgen
Brauchen Sie Hilfe beim Datenschutz?
Egal, ob Sie Hilfe bei der Erstellung eines Verarbeitungstätigkeiten-Verzeichnisses, bei den Einwilligungserklärungen, bei der Auftragsverarbeitung oder bei der Auskunftserteilung benötigen, über die Berater*innen der Handwerkskammern und Fachverbände erhalten Sie die nötigen Informationen und individuelle Beratung rund um das Thema Datenschutz.