Handwerker kommen täglich mit dem Thema Datenschutz u.a. durch Personal- und Kundendatenverwaltung in Berührung. Mit der Digitalsierung im Geschäftsalltag steigt die Häufigkeit der relevanten Datenverarbeitungen.
Handwerksbetriebe gehören zu „datenverarbeitenden Unternehmen“ und müssen die Erhebung, Verarbeitung und Nutzung von Daten auf den Prüfstand stellen.
Die europäische Datenschutzgrundverordnung (EU-DSGVO), enthält die maßgeblichen Regelungen und Anforderungen an die Sicherstellung des Datenschutzes im Betrieb. Ergänzt wird sie durch das Bundesdatenschutzgesetz und weitere Sonderregelungen, wie das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz.
Handwerksbetriebe sollten sich v.a. mit folgenden Aspekten auseinandersezten:
Dokumentation
Betriebe sind nach der EU-DSGVO verpflichtet zu dokumentieren, in welcher Form und wem die Daten zugänglich gemacht werden. Hierfür ist ein Verarbeitungsverzeichnis zu führen. Betriebe sollten danach prüfen, ob im unternehmensinternen Ablauf alle Verarbeitungsprozesse dokumentiert und bewertet werden.
Weitere Hinweise zur Orientierung entnehmen Sie dem Kurzpapier der sächsischen Datenschutzbehörde.
- Kurzpapier Nr. 1 – Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO
- Leitfaden des ZDH: Das neue Datenschutzrecht – Was Betriebe künftig zu beachten haben", Stand November 2020
Informationspflichten nach Art. 13 und 14 DSGVO
Erhebt ein Betrieb personenbezogene Daten, hat er der betroffenen Person u.a. mitzuteilen, zu welchem Zweck die Daten verarbeitet werden und auf welcher Rechtsgrundlage, wie lange die Daten gespeichert werden sowie die Kontaktdaten des Verantwortlichen oder Datenschutzbeauftragten (Art. 13 und 14 DSGVO). Dies dient dazu, betroffene Personen vor Erhebung der Daten umfassend zu informieren, um eine Transparenz zum Betrieb herzustellen.
Betroffenenrechte Art. 12 ff. DSGVO
Die Rechte der Betroffenen, deren Daten erhoben oder verarbeitet werden, wurden gestärkt. So haben Kunden das Recht auf Auskunft darüber, welche Daten über sie gespeichert oder zu welchem Zweck wie und wo verarbeitet werden. Wichtig ist auf Eingaben von betroffenen Personen zu reagieren. Bei Nichteinhaltung der Betroffenenrechte, können betroffene Personen immateriellen Schadensersatz nach der DSGVO geltend machen.
- Kurzpapier Nr. 11 – Recht auf Löschung / „Recht auf Vergessenwerden“
- Kurzpapier Nr. 6 – Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO
Abschluss von Verträgen zur Auftragsverarbeitung nach Art. 28 DSGVO
Grundsätzlich können personenbezogene Daten, die ein Betrieb für seine Zwecke nutzt, durch einen Auftragsverarbeiter verarbeitet un Datenverarbeitungsprozesse ausgelagert werden. Der Auftragsverarbeiter handelt im Auftrag des Betriebes und ist diesem streng weisungsgebunden. Dazu ist zwingend ein Vertrag zur Auftragsverarbeitung abzuschließen.
Meldepflicht gegenüber der Behörde bei Datenpannen nach Art. 33 DSGVO
Datenschutzverletzungen sind binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde anzuzeigen, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der natürlichen Personen führt. Die betroffene Person ist unverzüglich zu benachrichtigen, wennd ie Verletzung ein Hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat., gem. Art. 34 DSGVO.
Datenschutz-Folgenabschätzung
Daneben sind in bestimmten Fällen die im Umgang mit Daten verbundenen Risiken nach Art. 35 DSGVO umfassend zu bewerten: Wie kann die Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität vermieden werden? Welche Risikoquellen gibt es?
Sicherungsmaßnahmen
Betriebe sind verpflichtet technische und organisatorische Maßnahmen zu treffen, um die Sicherheit der Verarbeitung von Daten zu gewährleisten. Dabei sollen die umgesetzten Maßnahmen (z.B. Virenschutz, Passwörter, Löschfristen etc.) auf dem Stand der Technik sein und ein angemessenes Schutzniveau bieten.
Datenschutzbeauftragter
Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht i.d.R. dann, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Der Datenschutzbeauftragte soll die Einhaltung der Datenschutzvorschriften überwachen und den Verantwortlichen beraten.
Das können Handwerker sofort tun, um das Datenschutzniveau im Betrieb zu steigern:
- Datenschutzerklärungen der Homepage prüfen und aktualisieren sowie Informationspflichten erfüllen
- Vorhandensein von Verträgen mit IT-Dienstleistern und Softwareanbieter prüfen, wenn diese die personenbezogenen Daten des Betriebes verarbeiten
- Mitarbeiter schulen/unterweisen u.a. zu konsequentem Einsatz von Passwörtern und Schutzmaßnahmen am Arbeitsplatz anhalten
- Verzeichnisse von Verarbeitungstätigkeiten erstellen bzw. überarbeiten
- Technische und organisatorische Maßnahmen treffen, aktualisieren und dokumentieren
Weitere Hinweise zur Orientierung entnehmen Sie den Setien der Sächsischen Datenschutz- und Transparenzbeauftragten