DSGVO im Handwerksbetrieb – Das sollten sie beachten !

Ab 25.05.2018 gelten die Regelungen der Datenschutzgrundverordnung und des neuen Bundesdatenschutzgesetzes für alle Unternehmen und Betriebe in Deutschland, die personenbezogene Daten verarbeiten – und viele Handwerksbetriebe stehen somit aktuell vor der spannenden Frage: Betrifft mich das als kleiner Handwerksbetrieb überhaupt?

Die Frage ob die DSGVO auch einen kleinen Handwerksbetrieb betrifft kann schliesslich ganz einfach beantwortet werden:

JA!

Der gerade in Internetforen oft verbreitete Glaube, die neuen Regelungen zur Datenschutz Grundverordnung beträfen nur große Unternehmen, ist somit jedenfalls falsch! Die geltenden Datenschutzregelungen sind im Grunde genommen von jedem Betrieb und Unternehmen (als Verantwortlicher) unbedingt einzuhalten, mag er auch noch so klein sein. Betroffen also auch kleinste Handwerksbetriebe, da auch diese personenbezogene Daten der Kunden, Interessenten und ggfs. Mitarbeiter erfassen und überdies auch verarbeiten.

Worum geht es in der DSGVO?

Es geht im Kern um den Schutz von personenbezogenen Daten, d. h. von Daten von natürlichen Personen wie etwa Kunden und Interessenten die hierdurch Rückschlüsse zulassen (also: Name, Kontaktdaten, E-Mailadresse, aber auch IP-Adressen).

Was ist jetzt zu tun?

Die Datenschutzgrundverordnung sieht gewisse Mindestanforderungen für jeden Betrieb und jedes Unternehmen vor. Demzufolge also auch im Handwerksbetrieb. Desweiteren müssen gewisse Mindestanforderungen von Ihnen schließlich eingehalten werden – welche dies im Einzelnen sind, haben wir hier aufgeführt:

Brauche ich einen Datenschutzbeauftragten im Handwerksbetrieb?

JA, wenn mindestens 10 Personen „ständig“ mit personenbezogenen Daten „beschäftigt“ sind, d. h. regelmäßig Kunden- oder Personaldaten verwalten (Handwerksbetriebe, die personenbezogene Kundendaten nur im Rahmen der Geschäftsanbahnung und/oder Ausführung ihrer Tätigkeit „zu Gesicht“ bekommen, sind somit auch nicht „ständig” mit personenbezogenen Daten beschäftigt. Ein Datenschutzbeauftragter kann sowohl intern als auch extern berufen werden.

NEIN, wenn dies nicht der Fall ist.

Benötige ich neben den Arbeitsverträgen für meine Beschäftigten noch weitere Dokumente und Unterlagen?

JA!

Sie müssen demzufolge Ihre Beschäftigten bzw. Angestellten auf „Vertraulichkeit“ verpflichten und sog. Vertraulichkeitserklärungen (früher: Datengeheimnis) abschließen. Es handelt sich um eine Information dahingehend, dass auch Mitarbeiter die gesetzlichen Regelungen einhalten müssen.

Muss ich Daten besonders sichern?

JA!

Auch ein Handwerksbetrieb hat die Standardmaßnahmen hinsichtlich technischer und organisatorischer Abläufe und Gegebenheiten somit auch einhalten. (Beispiele hierfür sind: Büroräume verschlossen, Server vor Feuer und Wasserschaden gesichert, Backup-Strategie, nur bestimmte Mitarbeiter haben Zugriff auf Kundendaten, Computer sind mit aktueller Firewall u. Virenschutz ausgestattet, Betriebssystem ist aktuell, WLAN ist gesichert, Zugriff nur mit Passwort und User-ID, etc.).

Handwerksbetrieb: Muss ich das sog. TOM oder T.O.M. führen?

JA!

Die Bezeichnung „TOM“ steht für „technische und organisatorische Maßnahmen“, die zum Schutz von personenbezogenen Daten ergriffen werden – Ein Nachweis, wie personenbezogenen Daten innerhalb des Unternehmens zu “sichern” sind.
Jedes Unternehmen muss somit zwingend sowohl technische (Türschloss, Firewall, Virenschutz, Rauchmelder, Feuerlöscher, Zutrittskontrolle, Schlüsselprotokolle, gesicherte Fenster etc.) als auch organisatorische Maßnahmen (Zugriffsberechtigungen von Mitarbeitern, Schulungen v. Mitarbeitern, Löschkonzept etc.) zum Schutz der personenbezogenen Daten treffen.
Diese Maßnahmen sind folglich auch einzeln zu dokumentieren, deshalb muss eine Liste mit allen Maßnahmen, die Sie zum Schutz von personenbezogenen Daten Ihrer Kunden, Interessenten und Mitarbeiter ergriffen haben nicht nur existieren, sondern dieser Maßnahmenkatalog sollte zudem regelmäßig gepflegt / erweitert und an geänderte Gegebenheiten auch angepasst werden.

Muss ich ein Verarbeitungsverzeichnis erstellen?

JA!

Da auch in einem Handwerksbetrieb personenbezogene Daten von Kunden, Interessenten und Mitarbeitern verarbeitet werden, muss ein sog. Verarbeitungsverzeichnis erstellt werden.

Dieses Verarbeitungsverzeichnisses dient dazu folgende Abläufe zu  dokumentieren (am Beispiel einer Lohnabrechnung über einen Steuerberater):

  • der Verarbeitungsprozess wird abgebildet
  • der Zweck der Datenerhebung (Bsp. Auszahlung Löhne)
  • wer von der Datenerhebung betroffen ist (Mitarbeiter)
  • welche Daten betroffen sind (Name, Geburtsdatum, Adresse, Religion, Anzahl der Kinder etc.)
  • wer der Empfänger der Daten ist (Steuerberater)
  • Datenübermittlung in ein Drittland
  • wann sollen Daten gelöscht werden (10 Jahre wg. steuerrechtlicher Aufbewahrungsfristen)
  • welche technischen u. organisatorischen Maßnahmen getroffen wurden (Es genügt hier ein Verweis auf den oben erwähnten sog. TOM-Katalog)

Da Verarbeitungstätigkeiten zusammengefasst und kategorisiert werden können (also nicht pro Kunde, Mitarbeiter oder Interessent einzeln dokumentiert werden muss), eignen sich Excel-Tabellen gut, um ein Verarbeitungsverzeichnis anzulegen zu ergänzen und zu pflegen.

Diese Verarbeitungsprozesse dürften bei nahezu jedem Handwerksbetrieb erfolgen und sind im Verarbeitungsverzeichnis zu dokumentieren:

  • Lohnabrechnung
  • Personalverwaltung
  • Betrieb einer Homepage
  • Kundenverwaltung
  • Umgang mit Bewerberdaten
  • Umgang mit E-Mails
    etc.

Treffen mich bestimmte Informations- und Auskunftspflichten?

JA!

Die DSGVO sieht umfangreiche Informations- und Auskunftspflichten gegenüber betroffenen Personen, deren Daten erhoben werden, vor. Sowohl Mitarbeiter als auch Kunden sind also bei der Datenerhebung über die Verarbeitung ihrer Daten und ihre Rechte (Auskunft, Löschung, Korrektur, etc.) umfassend zu informieren. Beispeilsweise müssen sie im Rahmen eines eigenen Internetauftritts eine umfassende Datenschutzerklärung dem Webseitenbesucher zum lesen anbieten inder er sogar gewisse Prozesse explizit abwählen kann. Aber auch im “normalen” Geschäftsablauf müssen sie ihre Kunden und Interessenten zudem darauf hinweisen, dass die personenbezogenen Daten elektronisch verarbeitet werden und somit daraus gewisse Rechte und Pflichten für beide Seiten entstehen.

Gibt es eine Verpflichtung Daten zu löschen?

JA!

Nach Ablauf gesetzlicher Aufbewahrungspflichten sind nicht mehr benötigte Daten fachgerecht zu löschen und auch nachweislich zu vernichten.

Muss ich im Verhältnis zu meinen externen Dienstleistern Regelungen treffen?

JA!

Beauftrage ich selbst einen Dienstleister mit der weisungsgebundenen Verarbeitung personenbezogener Daten, muss ich einen Auftragsverarbeitungsvertrag schließen. Wer also für ein Unternehmen wie einen Handwerksbetrieb personenbezogene Daten verarbeitet (oder zumindest Zugriff darauf haben) muss vertraglich garantieren die DSGVO und weiteren gesetzlichen Regelungen einzuhalten.

Dies betrifft in der Regel:

  • Unternehmen, die Akten für mich vernichten
  • Meinen Web-Hoster
  • Technischer Support
  • Call-Center / E-Büros
  • Subunternehmer die in meinem Auftrag bei Kunden Leistungen verrichten
    etc.

Bei Steuerberatern oder Rechtsanwälten ist kein Auftragsdatenverarbeitungsvertrag notwendig, da diese weisungsungebunden arbeiten.

Auch bei reinen Telefonanbietern, Post- und Zahlungsdienstleistern sind üblicherweise keine Verträge notwendig. Weil hier personenbezogene Daten entweder für eigene Zwecke erhoben sind oder jedenfalls keine Datenverarbeitung als Kerngeschäft betreiben wird. Diese Unternehmen sind allerdings auf Vertraulichkeit zu verpflichten !

Viele Unternehmen, die primär Auftragsverarbeitung durchführen (z.B. Web-Hoster), halten in der Regel eigene Verträge vor die man lediglich aus dem jeweiligen Kundencenter online downloaden muss.

Muss ich bei Datenschutzverletzungen reagieren?

JA!

Wenn es Verletzungen (Diebstahl, Hacking, Verlust von Smartphones, etc.) mit relevanten Risiken gibt, können schliesslich gesetzliche Meldepflichten gegenüber der zuständigen Datenschutzbehörde bestehen. Da für den Betroffenen (Kunden, Interessenten, Mitarbeiter) zudem auch ein hohes Risiko besteht, dass ihre erfassten personenbezogenen Daten ausserhalb ihres Sicherungsbereiches sind, sind somit in gewissen Fällen auch diese zu informieren.

Muss ich sog. Datenschutz-Folgenabschätzungen (DSFA) durchführen?

Zunächst sollten wir mal klären was eine Datenschutz-Folgenabschätzungen (DSFA) überhaupt ist:

Wenn die Verarbeitung von personenbezogenen Daten mit hohen Risiken verbunden ist, muss somit vor der Verarbeitung eine Abschätzung der Folgen für den Betroffenen erfolgen.

NEIN!

Bei “gewöhnlichen” Handwerkbetrieben ist in der Regel nicht davon auszugehen, dass ein hohes Risiko für die Rechte von Betroffenen besteht, deshalb kann man oftmals davon ausgehen, dass keine Datenschutzfolgen-Abschätzung zu erfolgen hat – ganz genau ist diese Frage in einem Beratungsgespräch mit einem Datenschutzbeauftragten oder Rechtsanwalt zu klären!

Alle Fragen und aufgeführten Antworten stellen lediglich die Mindestanforderungen der DSGVO dar und erheben somit selbstverständlich keinen Anspruch auf Vollständigkeit.

Benötigen Sie weitere Hilfe, um Ihren Handwerksbetrieb datenschutzkonform aufzustellen, sprechen Sie uns bitte an:

max2-consulting GmbH
Fichtenstr. 45
D-82110 Germering

Telefon: +49 (0)89 2351 5690
Telefax: +49 (0)89 9995 0772

In dringenden Fällen:
mobil: +49 (0)157 7707 5000

E-Mail: info@max2-consulting.de