search

Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

1 Jahrs vor
Kommentare: 0
Ansichten: 91

Wir unterstützen sie bei der Umsetzung der neuen Datenschutzgrundverordnung (EU-DSGVO).

Show

Mit der seit dem 25. Mai 2018 geltenden Verordnung wurde das Datenschutzrecht in Europa harmonisiert. Mit dem neuen Bundesdatenschutzgesetz (BDSG) hat der deutsche Gesetzgeber von der Möglichkeit Gebrauch gemacht, die Verordnung durch nationale Regelungen zu ergänzen.

Neu in den Rechtsvorschriften sind auch die weitreichenden Sanktionierungsmaßnahmen bei Nichteinhaltung der Datenschutzvorschriften.

Was sollten Firmen jetzt unbedingt beachten?

Die Anforderungen der Datenschutzvorschriften sind für Firmen jeder Größe und Branche sehr unterschiedlich. Besonders hervorzuheben sind hier u. a. die Unternehmen und Organisationen im Gesundheitswesen, denn hier werden Gesundheitsdaten als besonders sensible personenbezogene Daten verarbeitet.

Unsere Leistungen:

Wir bieten spezifische Lösungen zur Umsetzung an.

Im ersten Schritt prüfen wir gemeinsam welche Anforderungen in Ihrem Unternehmen einzuhalten sind.

  • Ist ein Datenschutzbeauftragter zu bestellen?

  • Welche Dokumentationspflichten haben wir?

  • Wurden unsere MitarbeiterInnen und Partner entsprechend der Datenschutzvorschriften eingebunden?

  • Werden unsere Kunden und Mitarbeiter ausreichend informiert?

  • Wurden unsere MitarbeiterInnen geschult?

  • Wurden die Risiken bei der Datenverarbeitung ermittelt und minimiert?

Danach geht es mit unserer Unterstützung an die Umsetzung.

Die Erarbeitung eines Datenschutzkonzeptes mit allen erforderlichen Dokumenten.

Informieren Sie sich und lassen sich ein individuelles Angebot erstellen.

Seit dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Jeder Betrieb, der Daten erfasst und speichert, muss seine komplette Datenverwaltung daran anpassen. In Panik muss dennoch niemand verfallen. Was sich wirklich geändert hat.

Jana Tashina Wörrle

Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?
Geht es um die eigenen, persönlichen Daten, werden Mitarbeiter und Kunden zunehmens sensibler. Ab Mai gilt EU-weit eine neue Datenschutzverordnung. - © xixinxing - stock.adobe.com

Die Vorhersagen zur neuen EU-Datenschutz-Grundverordnung (DSGVO) klangen wie jene zur Jahrtausendwende. Allerdings werden auch jetzt keine Computer abstürzen oder Firmen sofort vor Gericht landen, weil sie Daten von Mitarbeitern oder Kunden nicht regelkonform verwendet haben. Selbst die zuständige EU-Kommissarin Vera Jourová plädierte für eine "Entmystifizierung" des Themas, denn gerade für deutsche Firmen hat sich vergleichsweise wenig geändert, da hierzulande bereits vor der DSGVO strenge Datenschutzvorgaben galten. Panikmache ist also nicht angesagt. Aber dennoch sollte jeder die DSGVO ernst nehmen, denn die Bußgeldbeträge steigen stark und ab jetzt machen sich Behörden und auch die sogenannten Abmahnanwälte bereit für Kontrollen.

Mit der Digitalisierung steigt die Masse an Daten, die Unternehmen erfassen, verarbeiten und speichern. Daran hat sich auch der Gesetzgeber angepasst. Seit dem 25. Mai 2018 gilt europaweit eine neue Datenschutz- Grundverordnung (DSGVO). Sie präzisierte die bereits geltenden Vorgaben auch in Deutschland.

Dabei sind es nicht die inhaltlichen Vorgaben beim Datenschutz, die sich in Deutschland stark verändert haben, sondern der Umgang mit den Daten. Noch wichtiger ist es nun alle Prozesse, in denen die Daten eine Rollen spielen – das Erfassen, Ablegen, Speichern und Löschen – zu dokumentieren, diejenigen, deren Daten betroffen sind über den Umgang damit aufzuklären und gegebenenfalls auch Einwilligungen für die Nutzung der Daten einzuholen.

Lese-Tipp: >>WhatsApp Business und DSGVO: Das gilt rechtlich beim Datenschutz<<

Anders als man es vielleicht vermuten könnte, gelten auch Handwerksbetriebe als datenverarbeitende Unternehmen, wenn sie Mitarbeiterdaten erfassen und Kundendaten speichern. Damit unterliegen sie den Vorgaben des Bundesdatenschutzgesetzes und sind auch vom Inkrafttreten der DSGVO betroffen. In Kraft ist die DSGVO übrigens schon seit dem 25. Mai 2016, doch es galt noch eine zweijährige Übergangsfrist. Ihre Einhaltung durch die EU-Datenschutzaufsichtsbehörden und Gerichte ist also auch erst seit dem Ende der Übergangsfrist überprüfbar.

Wann die Datennutzung zulässig ist

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt.

Die DSGVO (Artikel 6) erlaubt die Datennutzung demnach dann ohne Einwilligung,

  • wenn die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist (z.B. Adresse des Kunden, um den Auftrag vor Ort beim Kunden ausführen zu können).
  • zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. E-Mail-Adresse, um dem Kunden nach seinem Wunsch einen Kostenvoranschlag senden zu können).
  • zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen (z.B. die Auswertung der Kundendatei, um bestimmte Kunden zielgerichtet mit Werbung anzusprechen).
 

Für alle anderen Fälle ist es nötig, eine Einwilligung von der betreffenden Person einzuholen.

Quelle: ZDH

DSGVO: Sensibilität für Datenschutz steigt

Sowohl bei Kunden, Mitarbeitern und den Betrieben selbst ist nach Ansicht des Zentralverbands des Deutschen Handwerks (ZDH) die Sensibilität für den Umgang mit Daten spürbar gestiegen. Dem kommt auch die DSGVO nach, indem sie verlangt, dass die Betriebe diejenigen, deren Daten sie erfassen auf Wunsch über den Umgang mit den Daten aufklären müssen. Zudem muss jeder Schritt dabei dokumentiert werden – Datenerfassung, Datenablage und Speicherung sowie das Löschen der Daten.

Allerdings halten sich die Neuerungen in Grenzen, wenn Betriebe bereits vorher datenschutzkonform agiert haben. "Die DSGVO orientiert sich strukturell wie inhaltlich sehr stark am bisherigen deutschen Datenschutzrecht. Abgesehen von redaktionellen und sprachlichen Aspekten bringt die DSGVO für in Deutschland ansässige Handwerksbetriebe inhaltlich nur sehr wenige praxisrelevante Änderungen mit sich", sagte  Dr. Markus Peifer, Datenschutzexperte beim ZDH. Die Anpassungen seien überwiegend redaktioneller Natur. Sie stellen damit in erster Linie einen einmaligen Umstellungsaufwand dar.

Dennoch müssen die betrieblichen Abläufe angepasst werden. Grundsätzlich gilt zwar, dass Daten, die Betriebe zur Erfüllung ihrer Pflichten als Arbeitgeber oder als Auftragnehmer gegenüber ihren Kunden benötigen, ohne weiteres verwendet werden dürfen. Doch geht seit Mai nichts mehr ohne schriftliche Dokumentation. " Ausnahmen von der Dokumentationspflicht für kleine Betriebe waren zwar von der Europäischen Kommission vorgesehen, wurden jedoch vom Europäischen Parlament nicht in dem geforderten Maß umgesetzt", erklärt dazu Markus Peifer.

Datenverarbeitung neu aufstellen: Informations- und Dokumentationspflichten im Überblick

  • Einwilligungen einholen: Für jede Datennutzung, die nicht durch die gesetzlichen Vorgaben (siehe oben) erlaubt ist, muss eine Einwilligungserklärung eingeholt werden. Diese muss zwar nicht zwingend in schriftlicher Form vorliegen, angesichts der Nachweispflicht der Betriebe, bringt dies aber erhebliche Vorteile bzw. Rechtssicherheit. Ein Muster einer solchen Einwilligungserklärung bietet der ZDH online zum Download an.
  • Auskunftsrecht, Informationspflicht und Recht auf Löschung der Daten: Betroffene haben das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind und verarbeitet werden. Werden Daten nicht bei der betroffenen Person selbst, sondern bei einem Dritten erhoben, muss die Person darüber informiert werden. Außerdem hat jeder, dessen Daten erhoben werden, ein Recht darauf, dass die Daten auf Verlangen gelöscht werden. Eine Liste mit all den neuen Pflichten und Rechten können Sie hier nachlesen.
  • Dokumentation der Datenverarbeitung (Verarbeitungsverzeichnis): Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten "Verzeichnis von Verarbeitungstätigkeiten" zu dokumentieren. Wie dieses Verzeichnis genau aussehen muss, zeigt der ZDH und bietet ein Muster zum Download an.  

Wie sich Handwerksbetriebe auf die neuen Informations- und Dokumentationspflichten und an welchen Stellen in der Datenverarbeitung nachgebessert werden muss, lesen Sie hier.>>>

Der ZDH hat ein umfangreiches Informationspaket zusammengestellt zur DSGVO mit Musterschreiben zu allen wichtigen Formalien, die nun zu erledigen sind. Es ist unter zdh.de erreichbar.>>>

DSGVO: Datenschutz ja – Mitarbeiterüberwachung nein

Das Thema Datenschutz sorgt derzeit auch durch neue Gerichtsurteile für Diskussionen. So hat das Bundesarbeitsgericht entschieden, dass der Einsatz von Spähsoftware auf Firmencomputern zur verdeckten Überwachung von Mitarbeitern nur in ganz speziellen Ausnahmefällen erlaubt ist. Und zwar nur dann, wenn ein konkreter Verdacht auf eine Straftat oder eine schwerwiegende Pflichtverletzung des Arbeitnehmers besteht. Grundsätzlich gilt demnach, dass sogenannte Keylogger, die Tastatureingaben heimlich protokollieren und Fotos vom Bildschirm des Arbeitnehmers schießen verboten sind.

Doch von Mitarbeitern können eben doch auch manches Mal "Gefahren" ausgehen – zum Beispiel, wenn es um sogenannte Cyberattacken geht. Dazu hat der Hightechverband Bitkom eine Studie vorgestellt und spricht von Milliardenschäden für Unternehmen, die jedes Jahr durch Datendiebstahl, Spionage und Sabotage entstehen würden. In 62 Prozent der Fälle, die Bitkom untersucht hat, sind der Studie zufolge aktuelle oder ehemalige Mitarbeiter Auslöser der Probleme.

Das Bundesjustizministerium hat die Studienergebnisse kommentiert und rät einem Bericht von faz.net zufolge Unternehmen unter anderem dazu, die Mitarbeiter in Sachen Datenschutz und den Umgang mit Hackerangriffen besser zu schulen. Das sei auch mit Blick auf die stärkere Vernetzung einzelner Geräte über das Internet nötig – durch die Digitalisierung. Die Angriffsfläche wird deutlich wachsen.

  • Bild 1 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @cngvo Bild: DHZ

    Diesen Tweet zur DSGVO verfasste Twitter-Nutzer @cngvo. Die Seite t3n fand die lustigsten Tweets zur DSGVO.

  • Bild 2 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @ennopark Bild: DHZ

  • Bild 3 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @Afelia Bild: DHZ

    Von @Afelia stammt dieser Tweet.

  • Bild 4 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @BeiAnja Bild: DHZ

    @BeiAnja twitterte zu den vielen DSGVO-Tweets.

  • Bild 5 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @BruneKerstin Bild: DHZ

  • Bild 6 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @Prossecojule Bild: DHZ

  • Bild 7 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @hirnrinde Bild: DHZ

    @hirnrinde twitterte ebenfalls zur DSGVO.

  • Bild 8 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @mnzgrn Bild: DHZ

  • Bild 9 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @KnutKnorpel Bild: DHZ

  • Bild 10 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @ThomasLaschyk Bild: DHZ

  • Bild 11 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @anwaltsgelaber Bild: DHZ

  • Bild 12 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @tomkraftwerk Bild: DHZ

  • Bild 13 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @AlexanderDinger Bild: DHZ

  • Bild 14 von 14

    Was sind die für sie relevanten Rechtsvorschriften zum Datenschutz?

    © Tweet: @C_Holler Bild: DHZ

Faustregel: Ohne Einwilligung nur dringend notwendige Daten speichern

Die Digitalisierung wird aber auch den Umgang mit den Daten verändern, die Unternehmen verarbeiten und speichern dürfen – vor allem deshalb, weil die Datenmasse steigt und auch an mehr Stellen Daten erfasst werden. So müssen datenverarbeitende Unternehmer im Zweifel den Nachweis führen können, dass ihre Datenverarbeitung den Vorgaben der Datenschutz-Grundverordnung entspricht. Als Faustregel gilt deshalb, dass ohne Einwilligung nur solche Daten verarbeitet werden dürfen, die für die Entstehung beziehungsweise Abwicklung des Kundenverhältnisses notwendig sind oder die aufgrund anderer gesetzlicher Vorgaben gespeichert werden müssen, etwa für die Steuer.

Dies sollte jeder Betrieb ernst nehmen, denn die Bußgeldhöhen sind mit der DSGVO stark gestiegen. Bestimmte Verstöße können mit einem Bußgeld in Höhe von vier Prozent des weltweiten Umsatzes eines Unternehmens bzw. 20 Millionen Euro belegt werden, je nachdem, welche Summe höher ist. Neben den Bußgeldern der Aufsichtsbehörden drohen außerdem Abmahnungen von Verbraucherschutz- und Wettbewerbsverbänden und wettbewerbsrechtliche Abmahnungen von Konkurrenten. Schon jetzt wird vor sogenannten Abmahn-Anwälten gewarnt. Im Blick hätten sie vor allem Betreiber von Online-Shops und die Angaben von Firmen auf ihren Websites.

Vorsicht vor Abmahnungen: Warum die Datenschutzerklärung so wichtig ist

S chon bevor die DSGVO in Kraft trat, wurden Warnungen vor sogenannten Abmahnanwälten und Abmahnvereinen laut, die online gezielt Ausschau nach Betrieben halten, die ihre Pflichten nicht erfüllen. Im Visier hätten sie Online-Shops, da diese darauf angewiesen sind, die persönlichen Daten von ihren Kunden zu erhalten, um Waren zuzusenden. Doch was sind die entscheidenden Stellen auf der Website und worauf sollten Betreiber von Online-Shops achten? Rebekka Weiß, Referentin für Datenschutz und Verbraucherrecht im Bitkom gibt Antworten.

DHZ: Müssen Anbieter von Online-Shops künftig einen bestimmten Hinweises auf der Website einbauen, der zeigt, dass sie sich an die DSGVO halten?

Weiß: Um die Einhaltung der neuen Vorgaben der DSGVO zu belegen, ist ein einfacher Hinweis auf der Website eines Online-Shops nicht ausreichend. Ein Satz wie „Wir verarbeiten DSGVO-konform“ o.ä. könnte ohnehin gar keinen Beleg darstellen und ist außerdem aus wettbewerbsrechtlicher Sicht problematisch. Die Einhaltung bestimmter Pflichten nach der DSGVO lässt sich auch nicht mit einem einfachen Blick auf einer Website nachvollziehen, beispielsweise die Einhaltung von Löschverpflichtungen. Hierzu könnte der Webseitenbetreiber zwar etwas schreiben, ob und wie er aber tatsächlich Daten löscht, ist nicht auf der Webseite selbst nachvollziehbar.

DHZ: Wie kann man dann belegen, dass man sich an die Vorgaben der DSGVO hält?

Weiß: Über die Datenschutzerklärung können Anbieter von Online-Shops die ihnen nach der DSGVO auferlegten Informationsverpflichtungen erfüllen. Wichtig ist neben den Inhalten der Informationspflichten auch die Art und Weise der Belehrung darin. Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache in der Datenschutzerklärung verfügbar sein. Nicht gesetzeskonforme Inhalte der Datenschutzerklärung können leicht gefunden werden – deshalb könnte sie auch für potenzielle Abmahner ein Ziel sein. So sind bestimmte Formulierungen, die nach der jetzigen Rechtslage noch erlaubt sind, nach der DSGVO rechtswidrig. Bei fehlerhaften Angaben drohen daher Abmahnungen, Aufsichtsbehörden können zudem Bußgelder verhängen.

DHZ: Was muss die Datenschutzerklärung auf jeden Fall enthalten?

Weiß: In den Datenschutzerklärungen können viele der Informationspflichten der DSGVO erfüllt werden. Jedoch kommt hier auf die Betreiber einiger Änderungsbedarf zu, da die Informationspflichten bisher nicht so umfassend geregelt waren. Die DSGVO schreibt jetzt sehr umfangreiche Belehrungen vor, deren Erfüllung im Einzelfall auch schwierig sein kann. Datenschutzerklärungen auf Websites müssen deswegen in jedem Fall zukünftig deutlich ausführlicher sein. Zu den Einzelheiten herrschen bis jetzt noch große Rechtsunsicherheiten, da zum Teil heftig umstritten ist, wie genau bestimmte Informationen anzuführen sind und welche Vorschriften aus dem Telemediengesetz (TMG) neben der DSGVO fortgelten werden. Ein Blick in die DSGVO verrät Anwendern aber bereits einen Großteil der notwendigen Informationen. Zu den Pflichtinformationen gehört unter anderem die Information über Kontaktdaten des Verantwortlichen, Zwecke der Datenverarbeitung und die Empfänger von personenbezogenen Daten. Daneben gibt es weiteren Informationen“, die immer dann zur Verfügung gestellt werden müssen, wenn sie „notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten“. Dazu zählen zum Beispiel Informationen zur Dauer der Speicherung. Auch hier zeigt sich aber wieder die schwierige praktische Handhabbarkeit der DSGVO.

Info: Bitkom hat für Unternehmen einen Praxis-Leitfaden zur Datenschutzgrundverordnung erstellt, in dem die wichtigsten Fragen zur Umsetzung beantwortet werden.>>>

Doch egal ob digital oder analog – Datenschutz muss grundsätzlich technikneutral gestaltet sein. Das bedeutet, dass für digitale oder analoge Datenverarbeitungsprozesse dieselben Regeln und Anforderungen gelten. Allerdings gilt auch: "Da durch digitale Verarbeitungsmöglichkeiten jedoch in kürzester Zeit und mit einfachsten Mitteln eine erhebliche Anzahl von Daten verarbeitet werden können, ist das Risiko von Datenschutzverletzungen im digitalen Kontext in der Regel höher", erklärt ein Verbandssprecher des ZDH. Aufgrund des höheren Risikos würden zum Teil auch höhere Anforderungen an die Nutzung der Daten gestellt.

Zur Herausforderung an sich muss die Digitalisierung in Sachen Datenschutz also nicht für Betriebe werden, wenn man sich an die geltenden Gesetze hält. Doch genau diese haben sich 2018 durch neue EU-Vorgaben verändert, an die sich auch das Bundesdatenschutzgesetz (BDSG) anpassen musste.

Doch was bedeutet das ganz konkret für die Praxis? Gemeinsam mit der Rechtsexpertin der Handwerkskammer Region Stuttgart, Dara Horwath, beantwortet die DHZ im Folgenden die wichtigsten Fragen zum Thema Datenschutz im Handwerksbetrieb.

Wie gut sind Sie auf die neue DSGVO vorbereitet? Testen Sie Ihren Betrieb

Wie gut ist Ihr Unternehmen schon auf die neue Datenschutzverordnung vorbereitet? Haben Sie alle wichtigen Neuerungen eingeplant und die Buchhaltung darauf vorbereitet? Um dies zu überprüfen, bietet das bayerische Landesamt für Datenschutzaufsicht (BayLDA) einen Online-Test an. Anhand von einem digitalen Fragebogen bekommen Sie eine Einschätzung dazu, wie groß der Nachbesserungsbedarf eventuell noch ist. Der Test dauert etwa zehn Minuten und liefert einen ersten Eindruck, worum es bei der EU-Datenschutzgrundverordnung geht und wie weit Ihre Firma bei der Umsetzung ist.

Zum Online-Test geht es hier.>>>

DSGVO: Was sind personenbezogene Daten?

Was sind personenbezogene Daten?

Zu den personenbezogenen Daten, die ein Betrieb erheben, nutzen und speichern darf, zählen die Daten, die Betriebe zur Erfüllung ihrer Pflichten als Arbeitgeber oder als Auftragnehmer gegenüber ihren Kunden benötigen. Für die Einstellung eines Mitarbeiters und die Zahlung des Lohns samt Abführung der Lohnnebenkosten sind z.B. die Kontonummer, die Krankenkasse, der Familienstand etc. erforderlich.

Nach dem BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Die Definition wird in der DSGVO wie folgt lauten: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Im Klartext heißt das: "Alle Informationen, durch die auf irgendeine Art und Weise Rückschlüsse auf eine natürliche Person gezogen werden können, sind personenbezogene Daten und damit datenschutzrechtlich abgesichert. Das kann natürlich der Name sein, aber auch Kfz-Kennzeichen oder Aufzeichnungen über Arbeitszeiten und Pausen", erklärt Dara Horwath.

Welche Daten von Mitarbeitern darf ein Betrieb erfassen, nutzen und speichern?

Die Regeln des Beschäftigtendatenschutzes sehen vor, dass personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen. Ausschlaggebend dafür muss sein, dass ohne sie kein rechtskonformes Beschäftigungsverhältnis zustande kommen kann bzw. dass der Betrieb seine regulär nötigen Abläufe ansonsten nicht gewährleisten und seinen gesetzlichen Pflichten nicht nachkommen kann.

Es handelt sich also um Daten wie den Namen der Person, seine Steuer-Identifikationsnummer und seine Daten zur Sozialversicherung. "Außerdem können es Angaben sein wie Beruf, Qualifikation und Einsatzfähigkeit", so Dara Horwath.

Auch wenn der Beschäftigtendatenschutz seit dem 25. Mai 2018 von seiner Regelung her deutlich umfangreicher wurde, bleibt es gleichwohl bei den oben dargestellten Grundsätzen.

DSGVO: Checkliste speziell für Handwerksbetriebe

Die DSGVO macht viele Vorschriften, doch muss ich wirklich alle umsetzen? Ein zweiseitiges PDF des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) sorgt für Durchblick im Regel-Wirrwarr – und gibt eine Übersicht speziell für Handwerksbetriebe. Zusätzlich stellt die Behörde Musterverzeichnisse zur Verfügung, die den Einstieg in das Thema "Verzeichnis von Verarbeitungstätigkeiten" erleichtern sollen.

Die Handreichungen des BayLDA können auf dieser Seite heruntergeladen werden.>>>

Muss für die Nutzung personenbezogener Daten eine schriftliche Genehmigung vorliegen?

In Bezug auf die Daten, die der Arbeitgeber benötigt, um das Beschäftigungsverhältnis überhaupt entstehen zu lassen und seinen gesetzlichen Pflichten nachzukommen, muss er keine gesonderte Einwilligung von seinen Mitarbeitern einholen.

Möchte er allerdings mehr Daten erfassen und speichern wie Angaben zu Hobbys und Interessen des Mitarbeiters, braucht er dafür eine schriftliche Einverständniserklärung. Das Gleiche gilt, wenn er Daten an andere weitergibt – etwa, wenn das Geburtsdatum in einem von den Kollegen einsehbaren Geburtstagskalender veröffentlicht werden soll.

Welche Daten von Kunden darf ein Betrieb erfassen? Für welchen Zweck darf er sie nutzen und speichern?

Das Bundesdatenschutzgesetz erlaubt auch hier ein Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung, wenn es dabei um die Erfüllung eigener Geschäftszwecke geht. So darf ein Handwerksbetrieb all die Daten in Absprache mit dem Kunden erfassen, die er benötigt, um seine Arbeiten zu erledigen – also beispielsweise Maße eines Raums notieren und speichern, die Größe eines gewünschten Möbelstücks oder auch die Adresse des Kunden, damit dort Bauarbeiten durchgeführt werden oder damit die Rechnung dorthin versendet werden kann. Diese Daten – genauso wie die Daten der Mitarbeiter auch – darf der Betrieb aber nicht an Dritte weitergeben. So regelt das auch künftig die DSGVO.

Speichern darf der Betrieb die Daten so lange, bis der Auftrag erledigt ist. Will er sie in einer Datenbank archivieren, bedarf das einer Genehmigung (siehe nächster Absatz).

"Grundsätzlich darf nur den jeweils unbedingt erforderlichen Personen Zugang zu personenbezogenen Daten gewährt werden", fügt Dara Horwath dann noch als Thema an, dass es hierbei zu beachten gilt. Gemäß § 53 BDSG unterliegen diese Personen dem Datengeheimnis, d.h. den bei der Datenverarbeitung beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten, welches im Übrigen auch nach Beendigung ihrer Tätigkeit fortbesteht.

Müssen dafür schriftliche Genehmigungen vorliegen?

Auch an dieser Stelle gilt, dass Unternehmen die Daten erfassen, verarbeiten und speichern dürfen, die sie benötigen, um vereinbarte Leistungen ordnungsgemäß zu erfüllen. Für alles andere bedarf es einer schriftlichen Genehmigung – etwa, wenn der Betrieb die Kunden nach Abschluss der Arbeiten für Werbezwecke erneut kontaktieren möchte.

Will eine Firma die Daten der Kunden in einer Datenbank speichern , muss auch sie die Kunden einerseits darüber informieren und sich dies genehmigen lassen. Dazu rät die Rechtsexpertin: "Der Kunde muss vorab über den Zweck sowie den Umfang der Verwendung seiner Daten und die Bedeutung seiner Einwilligung aufgeklärt werden. Allgemeine Hinweise, wie z.B. dass die Daten zu Werbezwecken verarbeitet werden, reichen nicht aus."

Wann braucht ein Unternehmen einen Datenschutzexperten?

Unternehmen haben laut DSGVO einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn das Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Bei einer nichtautomatisierten Datenverarbeitung liegt die Schwelle bei 20 Mitarbeitern. "Von einer automatisierten Verarbeitung von Daten spricht man dann, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen erfolgt. Das sind in erster Linie Computer, Server oder Smartphones, können aber auch Kopierer sein, wenn sie, wie heute üblich, über ein Speichermedium verfügen", sagt Dara Horwath.

Als "ständig beschäftigt“ gilt zudem derjenige, der z. B. permanent Kunden- oder Personalverwaltung macht. "Nicht ständig" ist dagegen, wer z. B. als Handwerker oder Produktionsmitarbeiter nur mit Namen und Adressen von Kunden umgeht. So formuliert es das Bayerische Landesamt für Datenschutzaufsicht .

Darüber hinaus sind Unternehmen auch unterhalb dieser Schwelle zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, wenn sie eine automatisierte Verarbeitung vornehmen und dabei eine sogenannte Vorabkontrolle durchführen müssen. Eine solche Vorabkontrolle ist dann Pflicht, wenn personenbezogene Daten verarbeitet werden, die dazu bestimmt sind, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Konkret geht es beispielsweise um die Verarbeitung von Gesundheitsdaten – wie etwa im Hörgeräteakustiker-Handwerk oder bei den Orthopädiemechanikern – oder wenn mit den Daten Persönlichkeitsprofile erstellt werden sollen.

Und es gibt derzeit noch weitere Zwecke, wann grundsätzlich ein Datenschutzbeauftragter eingesetzt werden muss: Dann, wenn personenbezogene Daten für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden.

"Ab dem 25. Mai 2018 wird die Bestellpflicht ausgeweitet", weist Dara Horwath hin. Dann bestehe eine Verpflichtung zur Benennung eines Datenschutzbeauftragten auch dann, wenn der Betrieb weniger als neun Mitarbeiter hat. Das gilt, wenn eine der folgenden Voraussetzungen vorliegt:

  • es handelt sich um eine "öffentliche Stelle", das heißt die Verarbeitung wird von einer Behörde durchgeführt;
  • die Kerntätigkeit besteht in Verarbeitungsvorgängen, die eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen mit sich bringen;
  • die Kerntätigkeit besteht in einer umfangreichen Verarbeitung besonders sensibler personenbezogener Daten; oder
  • der Betriebe übernimmt hoheitliche Aufgaben wie es etwa Schornsteinfeger tun.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter muss auf die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, achten. Für die Praxis bedeutet das: "Als Datenschutzbeauftragter darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Neben umfassenden Kenntnissen im Datenschutzrecht sowie sonstigen relevanten Rechtsvorschriften muss ein Datenschutzbeauftragter auch über grundlegende IT-Kenntnisse sowie betriebswirtschaftliche Grundkompetenzen verfügen. Selbstredend muss er die betrieblichen Verfahrensabläufe und die Betriebsorganisation genau kennen, um beispielsweise Einführungen oder Änderungen von Datenverarbeitungsprozessen hinreichend datenschutzrechtlich beurteilen zu können", erklärt die Rechtsexpertin. Zudem muss der Datenschutzbeauftragte immer über die aktuellen Rechtsvorschriften informiert sein und diese den mit der Verarbeitung personenbezogener Daten tätigen Personen mitteilen. 

Durch die neue EU-Datenschutzverordnung wird der Datenschutzbeauftragte nicht nur auf die Einhaltung der entsprechenden Datenschutzvorschriften hinzuwirken haben, sondern er wird eine umfassende Überwachungspflicht haben. Er muss sich dann laut Gesetz mit allen Datenschutzvorschriften der EU-Mitgliedstaaten auskennen. Er ist auch derjenige, auf den eine Aufsichtsbehörde zugeht, wenn es Probleme mit dem Datenschutz bzw. Beschwerden von Seiten der Mitarbeiter oder Kunden gibt. 

In welcher Form müssen Betriebe die gespeicherten Daten vor dem Zugriff Dritter schützen?

Hackerangriffe auf Firmennetzwerke sind im Handwerk eventuell bislang kein großes Thema. Dennoch müssen Internetverbindungen und WLAN-Netze aller Unternehmen sicher sein – so verlangt es der Gesetzgeber. Dazu rät Dara Horwath: "Man sollte zumindest darauf achten, dass auf jedem einzelnen Computersystem eine Anti-Virus-Software oder sonstige anerkannte Internet-Sicherheitssoftware installiert und der Internetanschluss durch eine Firewall geschützt ist." Selbstverständlich müssten diese stets auf aktuellem Stand gehalten und die Computersysteme regelmäßig auf Befall durch Viren, Würmer oder Trojaner kontrolliert werden. Auch sollten Mitarbeiter im Hinblick auf den Umgang mit Dateianhängen und Links in Emails sowie eine sichere Passwortgenerierung sensibilisiert werden, empfiehlt die Rechtsexpertin. 

Welche weiteren Änderungen gibt es durch die neue DSGVO ab 2018?

Ziel der EU-DSGVO ist, das bisher in den einzelnen Ländern völlig unterschiedlich geregelte Datenschutzrecht europaweit anzugleichen. Da das deutsche Datenschutzrecht der EU als Vorbild gedient haben soll, wird sich im Vergleich zu anderen Ländern in Deutschland das Datenschutzrecht als solches nicht grundsätzlich ändern. Nichtsdestotrotz enthält die EU-DSGVO auch für Deutschland nicht nur Präzisierungen, sondern auch Neuerungen und Erweiterungen, wie z.B. die Pflicht zur Schaffung eines Datenschutzmanagements oder die Einführung einer Datenschutz-Folgeabschätzung. 

So gibt es laut Dara Horwath auch Änderungen bei den Sanktionen, denn bei Verstößen gegen die EU-DSGVO müssen selbst natürliche Personen, wie z. B. Geschäftsführer und auch Mitarbeiter, statt mit Bußgeldern von bis zu 300.000 Euro mit bis zu 20.000.000 Euro rechnen. Bei Unternehmen können sogar aufgrund einer umsatzbezogenen Berechnung Millionenbeträge in dreistelliger Höhe fällig werden.

"Auch wird zukünftig nicht mehr das Sitzlandprinzip gelten, sondern das Marktortprinzip, so dass sich US-Konzerne wie Google, Facebook oder Microsoft auch an die EU-DSGVO halten müssen, wenn sie in der EU Leistungen anbieten wollen", gibt die Rechtsexpertin als weiteres Beispiel zu den Neuerungen an.

Gesundheitshandwerke: Umgang mit besonders sensiblen Daten

Besonders sensible Daten verwalten im Handwerk die Unternehmen aus der Gesundheitsbranche wie unter anderem Augenoptiker und Hörakustiker. So bereiten sich die Branchen auf das Inkrafttreten der DSGVO vor.

Der Zentralverband der Augenoptiker (ZVA) sieht in der DSGVO vor allem ein riesiges Bürokratiemonster und will seinen Betrieben deshalb helfen, die Prozesse neu zu gestalten, die den Umgang mit den personenbezogenen Daten betreffen: die Auftragsdatenverarbeitung mit den Kundendaten, den Daten von Lieferanten, aber auch mit Steuerberatern und anderen Geschäftspartnern genauso wie Verarbeitungsverzeichnisse, die neu erstellt werden müssen. "Für jeden einzelnen Schritt gibt es nun Dokumentationspflichten", sagt Petra Seinsche vom ZVA, der für seine Mitgliedsbetriebe deshalb Anleitungen und Musterbriefe vorbereitet, die diese verwenden können. Zwar müssten die Prozesse nur einmalig auf die neuen Vorgaben umgestellt werden, doch dann sei eine ständige Anpassung bzw. Bearbeitung nötig, wenn neue Daten aufgenommen und alte eventuell wieder gelöscht werden müssen.

Ganz besonders wichtig wird es werden, für jeden Schritt eine Einverständnis von demjenigen zu haben, dessen Daten man aufnimmt, speichert oder eventuell sogar an andere weitergibt – im Falle der Gesundheitsgewerke etwa zwischen Krankenkasse und Betrieb. "Augenoptiker sind ja auf bestimmte Daten zur Gesundheit einer Person angewiesen, wie die Sehstärke oder mögliche Erkrankungen am Auge", sagt Seinsche, doch auch wenn das Daten seien, die als besonders sensibel gelten, seien die Vorgaben für alle Unternehmen ab Mai dieselben.

DSGVO umsetzen: Mustervorlagen sollen helfen

Und ihre Einhaltung wird vermutlich streng kontrolliert – allerdings nicht nur von den Behörden, die angeblich schon ihr Personal aufstocken, sondern auch von den sogenannten Abmahnanwälten und Abmahnvereinen. Sie wittern verschiedenen Medienberichten zufolge schon jetzt ein Geschäft, wenn sie Betriebe bzw. deren Geschäftsabläufe entdecken, die nicht an den neuen Vorgaben der DSGVO ausgerichtet sind. Besonders im Visier werden die Angaben auf den Websites sein.

Dass sich diese vermehrt bei den Betrieben melden könnten, erwartet auch der ZVA. "Das wird anfangs wahrscheinlich so sein, wie bei der Einführung der Impressumspflicht", sagt Petra Seinsche, denn damals – im Jahr 2007 – mussten die Betriebe das Impressum auf ihrer Website neu formulieren und Pflichtangaben einfügen. Das Problem bei der DSGVO wird laut Seinsche allerdings sein, dass die Vorgaben darin eher eine Auslegungssache sind und nicht eindeutige Pflichten formulieren. Der ZVA verweist bei den Mustervorlagen deshalb auf das Minimum, das bei der Umstellung auf die EU-Vorgaben nötig sei. Ob dies genügt, würde dann erst die Praxis zeigen.

Im Visier haben die sogenannten Abmahnanwälte allerdings nicht nur die Websites der Betriebe, sondern besonders Online-Shops (siehe Infokasten: Interview mit der Bitkom). Wer etwas über das Internet verkauft, erfasst schließlich auch persönliche Daten, die zudem alleine über den elektronischen Weg übermittelt werden.

Hörakustiker: "Schutz von Gesundheitsdaten schon jetzt besonders wichtig"

Auch die Bundesinnung der Hörakustiker KdöR (biha) sieht für ihre Branche eine besondere Bedeutung im Umgang mit personenbezogenen Daten – allerdings nicht erst durch die Neuerungen durch die DSGVO. "Für das Hörakustiker-Handwerk hat die Datenschutz-Grundverordnung eine besondere Bedeutung, da wir als Gesundheitsberuf mit entsprechend sensiblen Patientendaten täglich umzugehen haben. Im Sinne des Verbraucher- und Datenschutzes müssen sich daher die Betriebe des Hörakustiker-Handwerks auf die neuen bürokratischen Anforderungen einstellen", sagt deshalb Jakob Stephan Baschab, Hauptgeschäftsführer der biha. Wesentliche Änderungen werden das Hörakustiker-Handwerk aus seiner Sicht allerdings nicht betreffen, da schon in der Vergangenheit besondere datenschutzrechtliche Voraussetzungen zum Schutz von Gesundheitsdaten zu beachten waren.

Die biha hat zum Jahresbeginn dennoch das Fortbildungsangebot im Zusammenhang mit der DSGVO bundesweit erhöht, um die Betriebe vorzubereiten. "Ein Team von professionellen Beratern steht gleichzeitig unseren Mitgliedern telefonisch mit Rat und Tat zur Verfügung", gibt Jakob Stephan Baschab zudem als Tipp.

Sie nutzen ein kostenloses Angebot der Deutschen Handwerks Zeitung. Die hier bereitgestellten Informationen wurden mit größter Sorgfalt recherchiert und zusammengestellt. Sie ersetzen jedoch keine fachliche Beratung. Bitte beachten Sie, dass es sich hierbei auch um Informationen aus unserem Archiv handeln kann, die sich im Laufe der Zeit überholt haben. Die Aktualität eines Artikels wird auf unserer Internetseite stets über der Überschrift angezeigt.

Individuelle Fragen kann und wird die Redaktion nicht beantworten.

Welche Datenschutzgesetze sind für Unternehmen in Deutschland relevant?

Relevant sind Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu), ggf. Landesdatenschutzgesetze, und bereichsspezifische Gesetze.

Welches Grundrecht Datenschutz?

Das Recht auf Datenschutz Privatsphäre und Datenschutz sind zwei Grundrechte, die in den EU-Verträgen und in der EU-Charta der Grundrechte verankert sind. Die Charta enthält ein ausdrückliches Recht auf den Schutz personenbezogener Daten (Artikel 8).

Welche Gesetze garantieren in Deutschland das Grundrecht auf Datenschutz?

Die Datenschutz-Grundverordnung (DS-GVO) ist seit 25. Mai 2018 wirksam. Sie soll zum einheitlichen starken Datenschutz in der gesamten Europäischen Union (EU) beitragen (siehe Europäisches Datenschutzrecht). Sie gilt unmittelbar in allen Mitgliedstaaten der EU und somit auch in Deutschland.

Welche Rechtsvorschriften hinsichtlich Datenschutz gelten in Österreich?

Datenschutz-Grundverordnung (EU) 2016/679 April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG) ist ab dem 25. Mai 2018 die Grundlage des allgemeinen Datenschutzrechts in der EU und Österreich.

sind die für sie relevanten rechtsvorschriften zum datenschutz Welches Grundrecht Datenschutz? Datenschutzgesetz Deutschland DSGVO Zusammenfassung Datenschutzgesetz paragraph Datenschutz-Grundverordnung BDSG Was ist Datenschutz DSGVO EU Datenschutz Grundgesetz

zusammenhängende Posts

Bekommt man für blut spenden geld
Bekommt man für blut spenden geld

Wo gibt es Amazon Gutscheine für 10 Euro
Wo gibt es Amazon Gutscheine für 10 Euro

Wie viel Sievert pro Stunde sind gefährlich?
Wie viel Sievert pro Stunde sind gefährlich?

Warum ist die Türkei nicht in der EU
Warum ist die Türkei nicht in der EU

Wer an die führerschaft von fatima ungläubig ist ahlulbait.one
Wer an die führerschaft von fatima ungläubig ist ahlulbait.one

Wie hoch ist die eeg-umlage bei gas
Wie hoch ist die eeg-umlage bei gas

Wie erfährt die Versicherung vom Tod?
Wie erfährt die Versicherung vom Tod?

Was passiert wenn ich die gez gebühren nicht zahle
Was passiert wenn ich die gez gebühren nicht zahle

Die erben der animox 1 die beute des fuchses
Die erben der animox 1 die beute des fuchses

Wie viele Liter sind 1 Quadratmeter?
Wie viele Liter sind 1 Quadratmeter?

Werbung

NEUESTEN NACHRICHTEN

A set of formalized rules and standards that describe what a company expects
1 Jahrs vor . durch AffiliatedTicker
How do you protect against a similar incident occurring again in the future?
1 Jahrs vor . durch EducationalBonus
Wann blockiert das Hinterrad beim Motorrad?
1 Jahrs vor . durch All-whiteBattery
Antrag auf Erhöhung des Grades der Behinderung Sachsen
1 Jahrs vor . durch RainyRegulator
Wer ist englischer meister geworden
1 Jahrs vor . durch MainCatholicism
Was macht der nat typ für einen unterschied
1 Jahrs vor . durch Million-dollarOverseer
Using threats or intimidation to persuade someone is which influence tactic?
1 Jahrs vor . durch AbandonedDispatcher
Wie spät ist es Schreib die Uhrzeit auf?
1 Jahrs vor . durch WealthyHearth
Süßigkeiten die es nicht mehr gibt
1 Jahrs vor . durch GovernmentalCutter
Was hilft gegen Migräne mit Aura
1 Jahrs vor . durch InsatiableEarnings

Werbung

Populer

Werbung

Um

Legal

Hilfe

Sozial

homeendefrkoptzhitthtr
Urheberrechte © © 2024 ihoctot Inc.