© alphaspirit - Fotolia.com

Datenschutz für Handwerksbetriebe

Zum Stichtag Freitag, der 25. Mai 2018 gilt europaweit eine geänderte Fassung der Datenschutzverordnung (DS-GVO). Diese soll dafür sorgen, dass in allen Mitgliedsstaaten der Europäischen Union (EU) dieselben Standards für den Datenschutz gelten. Damit Sie als Handwerksunternehmen die Richtlinien rechtzeitig umsetzen können, gibt es von der niedersächsischen Datenschutzbehörde sowie vom Zentralverband des Deutschen Handwerks (ZDH) Hilfestellungen.

Aktuelles zum Datenschutz

Datenschutz-Workshop für Handwerksbetriebe

Die neue DSGVO ist da und Sie wissen nicht, wie Sie den neuen Anforderungen gerecht werden sollen? Dann melden Sie sich noch zum Datenschutz-Workshop für Handwerksbetriebe an. Im Workshop bieten wir in einer kleinen Gruppe von maximal 10 Teilnehmern Hilfestellung bei der Umsetzung der DSGVO an. Anhand von Beispielen und Vorlagen erhalten Sie praxisnahe Lösungsvorschläge für Ihren Betrieb.

Termine:

Dienstag, 28. August 2018, 14 -17 Uhr (ausgebucht)

Dienstag, 16. Oktober 2018, 10 - 13 Uhr

Anmeldungen für den Workshop bei Karina Schröder.

Der – im Abmahnbereich seit langem hinlänglich bekannte – Rechtsanwalt Gereon Sandhage fordert in seiner DSGVO-Abmahnung ein Schmerzensgeld für seinen Mandanten (eine Privatperson) in Höhe von stolzen 12.500 Euro ein. Weil bei einem Kontaktformular auf der Website das SSL-Zertifikat fehlte, habe der Mandant einen sog. „personal distress“ (= aufgewühlte Stimmungslage) erlitten. Wie er diese hohe Summe begründet? Die DSGVO sehe schließlich Bußgelder in Höhe von bis zu 20 Millionen Euro vor. Diese Aussage ist unserer Auffassung nach gänzlich unseriös. Eine solche Formulierung dient alleine der Einschüchterung der abgemahnten Person.

DSGVO-Abmahnung

Betreiber von Facebook-Seiten sind mitverantwortlich, wenn das soziale Netzwerk gegen den Datenschutz verstößt. Dies hat der Europäische Gerichtshof nun  Entschieden. Das Urteil hat Potential, das Internet in seiner jetzigen Form nachhaltig zu verändern. Warum Betriebe dennoch abwarten sollten ehe sie ihre Facebook-Seite löschen.

Handlungsempfehlung

Urteil

Karina Schröder

Telefon 04941 1797-25
Telefax 04941 1797-40
k.schroeder@hwk-aurich.de

FAQ zum Datenschutz

Die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union regelt fortan auch für Deutschland wie mit personenbezogenen Daten zu verfahren ist. Doch was bedeutet die neue Gesetzeslage für die Handwerksbetriebe?

Im Folgenden wird auf häufige Fragen zur DSGVO eingegangen.

Die DSGVO definiert, was personenbezogene Daten sind. Personenbezogene Daten  sind  all  jene Informationen,  die sich auf eine natürliche Person beziehen oder  zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben, wie zum Beispiel:



  • Name
  • Adresse
  • E-Mail
  • Adresse
  • Telefonnummer
  • Geburtsdatum
  • Bankdaten
  • Kfz
  • Kennzeichen
  • Fotos

Fortan ist die Informationspflicht von Seiten der Betriebe höher. Die Handwerksbetriebe müssen ihre Kunden detailliert und in verständlicher Sprache darüber informieren, dass sie ihre personenbezogenen Daten verarbeiten sowie zu welchen Zwecken und in welchem Umfang dies geschieht.

Bei den personenbezogenen Daten handelt es sich laut der DSGVO um „ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Artikel 4 DSGVO). 

Eine Verarbeitung dieser Daten ist alles vom Speichern, über das Weitergeben bis hin zum Löschen sein. Die Kunden müssen jeglicher Verarbeitung ihrer Daten zustimmen. Es ist ratsam, sich von vornherein in Schrift- oder Textform eine Einwilligung der Kunden geben zu lassen. Beispielsweise lässt sich ein entsprechender Abschnitt in eine Auftragsbestätigung einbauen. Zu diesem Thema befindet sich weiter unten ein kostenloser Leitfaden des ZDH.

Ein Datenschutzbeauftragter ist zu bestellen, wenn in Ihrem Betrieb mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung von Daten befasst sind (§ 38 Bundesdaten-schutzgesetz). Als „ständig befasst“ gelten nur solche Mitarbeiter, deren alltägliche Kerntätigkeit die Verarbeitung von Daten ist.


Dies ist z.B. bei Mitarbeitern der Lohnbuchhaltung oder der Personalabteilung der Fall. Mitarbeiter, die lediglich die Daten zur Ausübung ihrer handwerklichen Tätigkeit benötigen, fallen grundsätzlich nicht unter diese Regelung. Besonderheiten für Schornsteinfeger: Bevollmächtigte Schornsteinfeger mit Kehrbezirk benötigen in jedem Fall einen Datenschutzbeauftragten – unabhängig  von  einer  Personenzahl,  weil  sie  hoheitliche Tätigkeiten als Beliehene ausüben. Für sie gilt die Definition der „öffentlichen Stelle“ in Art 37 Abs. 1 Buchst. a DSGVO.

Besonderheiten für Gesundheitshandwerke: Ein  Datenschutzbeauftragter  muss  bestellt  werden, wenn ein  Betrieb Gesundheitsdaten umfangreich verarbeitet  (§  38  BDSG,  Art.  35  DSGVO).  Zwar verarbeiten  Gesundheitshandwerker  Gesundheitsdaten, jedoch geschieht dies nicht in umfangreicher Weise. So wird lediglich ein Gesundheitsdatum pro Kunde erhoben  und  verarbeitet.

Im  Vergleich  zu Krankenhäusern  oder  großen  Arztpraxen,  die  sowohl zahlreiche unterschiedliche Gesundheitsdaten als  auch  eine  weitaus  höhere  Anzahl  an  Patienten betreuen,  wird  der  geringe  Umfang deutlich.  Dies wird auch von der Datenaufsichtsbehörde des Landes Bayern bestätigt. Für Gesundheitshandwerker   gelten   somit   i.d.R.  dieselben  Regelungen  wie  für  andere  Handwerksbetriebe.

Auch bei der Versendung des Newsletters muss vorher die Einwilligung des Empfängers eingeholt werden. Bei neuen Newsletter-Abonnenten lässt sich dies durch das Double-Opt-Verfahren sicherstellen.

In den Artikeln 83 und 84 der neuen Verordnung sind die Geldbußen und Sanktionen geregelt. Bei den Geldbußen können Beträge „von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“ (Artikel 83 DSGVO) fällig werden. Dies sind Höchststrafen, die bei unkooperativen Verhalten oder vorsätzlichen Verstößen insbesondere großer Konzerne zu erwarten sind.

Die ergriffenen Maßnahmen sollten den Risiken eines Betriebes angemessen sein. Für die Handwerker vor Ort sind dabei auf jeden Fall Faktoren wie Passwort-Schutz, Firewall und abschließbare Schränke zu nennen. Zudem sollte jeder Mitarbeiter nur mit den Daten von Kunden zu tun haben, die er auch wirklich für die Abwicklung seiner Arbeit braucht.

Sollten durch einen Handwerksbetrieb verwaltete Daten unbefugten Dritten zugänglich sein, beispielsweise, wenn Computer gehackt werden, so ist der jeweilige Betrieb verpflichtet, die zuständige Aufsichtsbehörde umgehend zu informieren. Darüber hinaus sind die Kunden zu informieren, deren Daten nicht geschützt werden konnten.

Muss der Subunternehmer die Betroffenen anschreiben und informieren? Benötigt  er eigene Einwilligungen von den Betroffenen? Muss er sich vom GU diese vorlegen lassen oder reicht eine Erklärung des GU,  dass diese dort vorliegen?  Muss der  GU  sich vom Subunternehmer etwas unterschreiben lassen bzgl. der Einhaltung der Datenschutzvorschriften? Über die Weitergabe der Daten an den Subunternehmer muss der GU ja  informieren.  Kann dazu das  uster der Auskunftserteilung  abgeändert werden (z.B. beim Satz „Die Daten werden nicht an Dritte weitergegeben.“)?


Die Weitergabe von Kundendaten an Subunternehmer stellt datenschutzrechtlich eine Datenweitergabe dar. Da die Einbindung des Subunternehmers für die Erfüllung des Vertrags mit dem Kunden erforderlich  ist,  ist  die  Datenweitergabe  nach  Art.  6  Abs.  1  b)  DSGVO  zulässig.  Der  Generalunternehmer muss den Kunden hierüber im Rahmen der Informationspflichten nach Art. 13 DSGVO informieren. Der  Subunternehmer  müsste  grundsätzlich den Kunden ebenfalls nach  Art.  14  DSGVO informieren. Da der Kunde jedoch nur über solche Angaben zu informieren ist, über die er noch keine Kenntnis hat, und er die Informationen bereits vom  Generalunternehmer erhalten  hat,  läuft die Informationspflicht des Subunternehmers im Ergebnis ins Leere.


Die vertragliche Beziehung zwischen General und Subunternehmer kann um  entsprechende datenschutzrechtliche Bestimmungen ergänzt werden. Zwingend ist dies unserer Einschätzung nach jedoch nicht,  da die Einhaltung  des  Datenschutzrechts und damit ein rechtskonformes Handeln des Subunternehmers bei Vertragserfüllung zu seinen allgemeinen vertraglichen Pflichten gehört.

10-Punkte Fahrplan zur Umsetzung

Kompakt zusammengefasste Informationen mit Hinweisen für die Umsetzung in Betrieben.

Stellen Sie ausreichend personelle Ressourcen und Zeit zur Verfügung.
Beschäftigen Sie sich mit den Begrifflichkeiten und den Vorschriften der DSGVO.

EU-Datenschutzgrundverordnung EU-DSGVO vom 25.05.2018
Bundesdatenschutzgesetz (BDSG) vom 25.05.2018
FAQ Datenschutz

Welche Geschäftsprozesse gibt es in Ihrem Betrieb?
Welche Rechtsgrundlage rechtfertigt die Datenverarbeitung für Ihre Prozesse (Rechtsvorschrift oder Einwilligung)?
Auf welchen Formularen befinden sich bereits Einwilligungserklärungen? Müssen diese angepasst werden?
Gibt es separate Geburtstagslisten, die ausgehängt werden, vom Personal?
Sind auf der Firmenhomepage Fotos veröffentlicht?
Werden Daten an Dritte weitergegeben?
Welche Dienstleistungsbeziehungen gibt es in Ihrem Betrieb?
Wie schützen Sie die Daten der Kunden, Lieferanten und des Personals?


Die identifizierten Prozesse benötigen Sie später auch zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (siehe Punkt 10).

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt.

Datenverarbeitung ohne Einwilligung

Sie dürfen alle Daten des Kunden ohne Einwilligung verarbeiten, wenn die Datenverarbeitung für die Erfüllung des (Kauf-)Vertrages notwendig ist – auch wenn Sie die Daten an Dritte, wie Subunternehmer oder Energieversorger, weiterleiten müssen! Zu beachten ist dabei aber die Informationspflicht, in der Sie auf die Weiterleitung hinweisen müssen (siehe Punkt 5)!

Bei Direktwerbung (z. B. Einladungen zum Tag der offenen Tür, Flyer oder Kataloge) per Post wird keine Einwilligungserklärung benötigt (Rechtsgrundlage ist Artikel 6 Abs. 1 f). Auf das Widerspruchsrecht (siehe Punkt 7) ist dennoch hinzuweisen. Denken Sie daran, dass der Betroffene trotzdem über die Datenspeicherung informiert wird (siehe Punkt 5). Bei E-Mail-Werbung (Newsletter) wird eine Einwilligung jedoch benötigt.

Anforderung an der datenschutzrechtliche Einwilligung

Gilt nur für Aktivitäten, die über den Vertrag/die Leistung hinausgehen; Beispiele und Vorlagen für erforderliche Einwilligung

(Achtung: mit separaten WhatsApp Telefon keine Einwilligung notwendig; Wenn WhatsApp Kontakt vom Kunden aus geht, bevor die Nummer abgespeichert wurde, gilt Art. 6 Abs. 1 b DSGVO; In Datenschutzerklärung einbinden, sofern WhatsApp als Kommunikationsmittel erwünscht ist; Nutzung privater Handys untersagen; Mehr dazu hier)

Beschäftigtendaten dürfen gem. § 26 BDGS-neu verarbeitet werden. 

Zusatzleistungen wie Gestattung Privatnutzung Internet, Fahrzeuge, Handys, Aufnahme in Geburtstagslisten oder Teilnahme am Gesundheitsmanagement bedarf der schriftlichen Einwilligung des Arbeitnehmers (siehe Punkt 3).
Einwilligungen müssen auch bei Veröffentlichung von Fotos auf der Firmenhomepage eingeholt werden!
Eine Verpflichtung der Mitarbeiter auf Art. 5 DSGVO ist vorzunehmen.

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Um diese Transparenz herzustellen, sind Betriebe verpflichtet, den jeweils betroffenen Personen zahlreiche Informationen über die beabsichtigte Datennutzung zu erteilen.

 Informationspflicht bei Erhebung von Daten

 Zu erfüllen bei Aufnahme der Kundendaten,

Die Informationspflicht hat der Verantwortliche nachzuweisen (Transparenzgebot Art. 5 Abs. 1 lit. a und Abs. 2 DS-GVO).

Praxistipp: Kombination Einwilligungserklärung und Informationspflicht

Besonders hilfreich, bei immer wiederkehrenden Kunden/Stammkunden oder wenn Daten an Dritte weitergeleitet werden müssen!

Da jeder Website-Hoster und Betreiber – also Handwerksbetrieb, der eine Homepage betreibt –ein Mindestmaß an Informationen über seine Besucher sammelt – etwa deren IP-Adresse, benutzten Browser und Verweildauer – erhebt zwangsläufig jeder Websiteinhaber personenbezogene Daten. 


Fazit: Jeder Websitebetreiber ist gemäß EU-Recht zu einer Datenschutzerklärung verpflichtet.
Ohne vorherige technische Prüfung eines Webauftritts und mangels Kenntnis der innerbetrieblichen Praxis ist es jedoch nicht möglich, ein allgemein gültiges Muster einer Datenschutzerklärung zur Verfügung zu stellen. 


Kostenloser Generator 
Kostenfreier Abmahn-Check 
Ausführliche Infos mit Erklärungen:
https://www.datenschutz.org/datenschutzerklaerung/


Hinweis auf Nutzung von Cookies und Aktivierung Zustimmung auf der Startseite

Das Datenschutzrecht räumt Personen, deren Daten von Betrieben genutzt werden, zahlreiche Rechte ein. Mithilfe dieser Rechte soll erreicht werden, dass diese Betroffenen Einfluss auf den Umgang und die Verbreitung ihrer Daten haben.

Dazu gehören: Transparenzgebot, Informationspflichten, Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Einschränkung der Verarbeitung, Pflicht zur Datenübertragung, Widerspruchsrecht und Dokumentationspflicht.

Weitere Informationen hier

Information zur Auskunftserteilung an den Kunden

Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. 

Sofern für Auftragsverarbeitungen noch keine Verträge (andere Rechtsinstrumente?) abgeschlossen wurden, sind diese umgehend abzuschließen (Grundlage für Datenverarbeitung) und ein Verzeichnis darüber anzufertigen.

Verantwortliche und Auftragsverarbeiter haften gleichermaßen. Sprechen Sie daher im Zweifel Ihre Auftragsverarbeiter (Hosting-Anbieter Website oder IT-Dienstleister) an.

Der Steuerberater ist kein Auftragsverarbeiter, daher kein Vertrag notwendig.

Es empfiehlt sich die Entwicklung eines speziell auf Ihren Betrieb zugeschnittenen Datenschutz- und Datensicherheitskonzeptes. Dieses beschreibt, wie der Datenschutz und die Datensicherheit bei Ihnen konkret umgesetzt werden. Fragen Sie Ihren IT-Spezialisten! 

Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden. Auf Grundlage dieser Übersicht sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. 

Die Aktualität der Verzeichnisse ist sicherzustellen!

Beispiele für gängige Prozesse kleiner Handwerksbetriebe:

Hier geht’s zu den Datenschutzempfehlungen des ZDH

Ab 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Da in Deutschland bereits hohe Anforderungen an den Datenschutz gelten, führen die neuen Vorschriften zwar zu zahlreichen formellen Änderungen. Eine inhaltliche Verschärfung der Anforderungen geht mit der Reform jedoch insgesamt nicht einher.

Handwerksbetriebe und Handwerksorganisationen müssen sicherstellen, dass sie bis zum 25. Mai 2018 die erforderlichen Anpassungen vornehmen. Um Ihnen die Umsetzung zu erleichtern, haben wir die wichtigsten Aspekte des neuen Datenschutzrechts im Format „Praxis Datenschutz“ anschaulich aufbereitet. Zudem finden Sie zu vielen Themen Muster, Checklisten und Beispielsfälle.

Einen umfassenden Überblick über sämtliche Themen der „Praxis Datenschutz“ und deren Muster und Checklisten bietet zusätzlich der Leitfaden. 

Datenschutzempfehlung des ZDH

Aufsichtsbehörde

Die vom Landtag gewählte Landesbeauftragte für den Datenschutz ist Ihre Anwältin in Sachen Datenschutz. Sie steht Ratsuchenden in Datenschutzfragen mit Rat und Tat zur Seite. Zu ihren Aufgaben gehört es, datenschutzrechtliche Interessen von Bürgerinnen und Bürgern gegenüber öffentlichen Stellen und Unternehmen zu vertreten sowie die Öffentlichkeit für die Belange des Datenschutzes zu sensibilisieren.

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511-120 4500
Fax         0511-120 4599