DSGVO- Datenschutz-Grundverordnung

DSGVO: Diesen Pflichten müssen Handwerker nachkommen

Seit dem Inkrafttreten der DSGVO widmet man personenbezogenen Daten einem besonderen Augenmerk. Diese Daten gelten als besonders schützenswert. Sie sollten sich im Umgang mit ihnen bewusst werden und klären, wann, wie und warum diese Daten im Unternehmen verarbeitet werden. Viele Unternehmer gehen davon aus, dass Sie den Datenschutz nicht so genau nehmen müssen, weil sie auch keinen Datenschutzbeauftragten (DSB) bestellen müssen – dies ist ein Irrtum. Nachstehend erfahren Sie, welche Rechte und Pflichten für Handwerksbetriebe gelten, was geeignete technische und organisatorische Maßnahmen sind und welche Good-to-Know’s der DSGVO es noch für Handwerksbetriebe und kleine Unternehmen allgemein gibt.

Wer ist verantwortlich für die Daten nach DSGVO?

Zu Beginn: Personenbezogene Daten dürfen nur beim Vorliegen von sogenannten “Erlaubnistatbeständen” verarbeitet werden. Zwei besonders wichtige sind der Vertrag (z.B. Sie erstellen ein Angebot für einen Kunden) und die berühmt berüchtigte Einwilligung. Doch wer oder was ist für den Schutz der Betroffenen Daten verantwortlich?

Jeder Gewerbetreibende bzw. Geschäftsführer eines Unternehmens ist grundlegend verantwortlich für den sicheren Umgang mit schutzbedürftigen Daten, egal, ob er einen Datenschutzbeauftragten (DSB) hat oder nicht. Jedoch kann der Unternehmer einen Mitarbeiter oder eine externe Person damit beauftragen, sich um diesen Umgang zu kümmern. Wichtig ist jedoch, dass ein Bußgeld immer den verantwortlichen Unternehmer treffen wird und es nicht auf den DSB abgewälzt werden kann. Doch ab wann braucht man überhaupt einen Datenschutzbeauftragten und welche Bedingungen gibt es?

Bestellung Datenschutzbeauftragter

Für normale Unternehmen ist die 20-Personengrenze am wichtigsten. Das Gesetz spricht davon, dass ein Datenschutzbeauftragter notwendig wird, sobald mindestens 20 Personen mit der Verarbeitung von personenbezogenen Daten (also z.B. Kundendaten, Adressdaten) regelmäßig betraut sind. Dies bedeutet bei vielen Betrieben, dass kein DSB bestellt werden muss.

Muss ein DSB jedoch bestellt werden, kann dies ein interner (also ein unternehmenseigener Mitarbeiter) oder ein externer DSB (z.B. Berater) sein. Dieser muss fachlich qualifiziert sein und darf keinem Interessenkonflikt unterliegen (also darf z. B. kein Geschäftsführer sein). Außerdem muss er der Behörde gemeldet werden.

Die Dokumentationspflichten

Neben der Pflicht, einen DSB zu bestellen oder nicht, gibt es noch andere Pflichten, um DSGVO-konform im Unternehmen zu arbeiten.

Werden personenbezogene Daten nicht nur gelegentlich in Ihrem Unternehmen verarbeitet, gilt für Sie die Dokumentationspflicht. Dabei spielt die Art der Erfassung von personenbezogenen Daten keine Rolle, daher selbst beim Führen einer Kundenkarteikarte verarbeiten Sie Daten und dies wird dann Verarbeitungstätigkeit genannt. Bei dem Verarbeiten von Daten unterliegen diese nicht nur einem besonderen rechtlichen Schutz, sondern personenbezogene Daten müssen ebenfalls mit geeigneten technischen und organisatorischen Maßnahmen (TOM) geschützt werden.

Nach Art. 30 DSGVO ist jeder Unternehmer dazu verpflichtet, ein Verzeichnis dieser Verarbeitungstätigkeiten zu führen. Wie bereits erwähnt, stellt jede Datenerfassung oder jeder Datengebrauch von Betroffenendaten eine Verarbeitungstätigkeit dar. Diese muss erfasst und dokumentiert werden, denn nimmt ein Betroffener sein Recht auf Auskunft war, müssen diese Informationen schnell abrufbar und nachweisbar sein. Es ist also besonders wichtig, sich darüber im Klaren zu werden, wann welche Daten wie anfallen und verarbeitet werden.

Über den Autor
Über den Autor Oliver Engel ist Datenschutzauditor (TÜV-geprüft), Datenschutzbeauftragter (IHK-geprüft) und Datenschutzberater. Seit 2017 hilft er kleinen und mittleren Unternehmen, die DSGVO umzusetzen. Er ist Gründer und Geschäftsführer der DeinData GmbH, welche Softwarelösungen zur DSGVO und GoBD anbietet.
Oliver Engel, MeinDATA GmbH
Oliver Engel, Datenschutzauditor (TÜV)

Die technischen und organisatorischen Maßnahmen (sog. TOMs) beschreiben die Sicherheit der zu verarbeiteten personenbezogenen Daten in einem Unternehmen. Anders ausgedrückt, beschreiben sie den Stand der Technik im Unternehmen, um datenschutzrechtlichen Risiken entgegen zu treten. Denn zum einen bestimmen diese Maßnahmen nicht nur den Schutz Ihres eigenen Unternehmens, sondern sie dienen zum anderen als Rechtfertigungsgrundlage gegenüber Behörden, wenn mal eine “Panne” passiert.

Darüber hinaus müssen Sie mit Ihren sog. Auftragsverarbeitern (z.B. Website-Hoster, E-Mail Anbieter) Verträge abschließen und diese dokumentieren.

Es gibt also durchaus viele Pflichten, die ein Unternehmer nach DSGVO zu erfüllen hat, auch wenn er keinen Datenschutzbeauftragten bestellen muss. Diese Pflichten stammen aus der Rechenschaftspflicht: Der Unternehmer hat nachzuweisen, dass er den Datenschutz einhält. Dies geht am besten durch eine vollständige Dokumentation der Verarbeitungstätigkeiten und TOM.

Informationspflichten gegenüber Kunden und Mitarbeitern

Werden im Unternehmen personenbezogene Daten verarbeitet, ist der Betroffene vorab darüber zu informieren, in welcher Art und Weise die Erhebung geschieht, welche Daten verarbeitet werden und zu welchem Zweck. Diese Kenntnisnahme kann in Form einer Datenschutzerklärung erfolgen. Hier ist also auch eine Pflicht zu erfüllen. Sorgen Sie also dafür, dass Ihre Datenschutzerklärung auf Ihrer Website aktuell ist und Sie Kunden und Interessenten richtig informieren.

Darüber hinaus, müssen Sie auch Auskunfts- und Löschersuchen beantworten und befolgen, wenn Sie von Kunden angefragt werden.

Informationspflichten gegenüber Behörden

Eine weitere Pflicht, welche Sie unabhängig von Ihrer Unternehmensgröße betrifft, ist die der Information gegenüber der Datenschutzaufsicht. Sie müssen z.B. Datenpannen melden und Auskunft erteilen, falls die Behörde anfragt. Der Behörde müssen Sie auch Ihr Verzeichnis von Verarbeitungstätigkeiten vorlegen können, wenn diese es verlangt.

Fazit: Auch ohne DSB haben Sie umfangreiche Pflichten!

Auch kleine Unternehmen haben umfangreiche Pflichten. Tatsächlich haben kleine Unternehmen die gleichen Pflichten wie große Konzerne, außer, dass Sie ggf. keinen Datenschutzbeauftragten bestellen müssen. Wenn Sie allerdings Ihren Transparenzpflichten nachkommen, Ihre Dokumentation vorhalten und die Rechte Ihrer Kunden und Interessenten beachten, brauchen Sie die DSGVO nicht zu fürchten.

Weitere Informationen, Beratung und Unterstützung zum Thema DSGVO erhalten Sie direkt bei der DeinData GmbH.