Das Geraune um die neue Datenschutz-Grundverordnung ist ziemlich laut. Es wird befeuert durch Rechts- und Datenschutzexperten, die Unternehmen gerade zuhauf ihre Hilfe bei der Umsetzung der DSGVO anbieten. Auch wir bei Bergmann & Franz haben entsprechende E-Mails bekommen. Also wollten wir der Sache auf den Grund gehen: Was steht eigentlich drin in der neuen DSGVO, was müssen Betriebe beachten und wo laufen sie ins offene Messer? Auskunft gibt einer, der es genau wissen muss: der Datenschutzbeauftragte vom Zentralverband des Deutschen Handwerks e.V. (ZDH), Dr. Markus Pfeifer.
Warum ist die neue DSGVO notwendig?
Bislang regelte die EU-Richtlinie 95/46/EG vom 24.10.1995 alle Belange des Datenschutzes in Europa. Zwar gab es 1995 schon das Internet, aber Facebook & Co. waren noch nicht geboren und eBay und Amazon steckten noch in den Kinderschuhen. Seitdem hat sich die Welt der Daten grundstürzend verändert, so dass es an der Zeit war, mit den Datenschutzbestimmungen nachzuziehen. Da die Datenverarbeitung keine Landesgrenzen kennt, war eine europäische Regelung naheliegend. Noch besser wäre natürlich eine globale Verordnung, doch sie wird vermutlich ein frommer Wunsch bleiben. Auch die alte Regelung von ’95 war schon eine europäische, allerdings konnten die Mitgliedsstaaten hier zusätzliche nationale Bestimmungen einbringen. Damit ist jetzt Schluss.
Was bringt die DSGVO an Veränderungen?
Die DSGVO ist flexibler und moderner als die alte Verordnung und verfolgt einen risikobasierten Ansatz. Das heißt: Unternehmen müssen selbst erwägen, wie hoch das Risiko ist, durch ihre Verarbeitung personenbezogener Daten die Rechte und Freiheiten natürlicher Personen einzuschränken. Bei einem Arzt, der genetische und andere Gesundheitsdaten oder Informationen zum Sexualleben eines Menschen verarbeitet, ist dieses Risiko natürlich viel höher als bei einem Sanitärbetrieb, der Adresse, Größe des Badezimmers und stilistische Wünsche des Kunden speichert. Für ihn ändert sich nicht viel.
Neu und auch für den kleinen Handwerksbetrieb bindend ist die erweiterte Informationspflicht: Betriebe müssen ihre Kunden darüber aufklären, welche Daten warum gespeichert werden und was mit diesen geschieht – z. B. ob sie weitergegeben oder nach einem festgesetzten Zeitraum wieder gelöscht werden. Es wird empfohlen, entsprechende Hinweise auf sämtlichen Angeboten, Auftragsbestätigungen, Verträgen etc. einzufügen. Wie diese aussehen sollten, zeigt Ihnen ein Leitfaden des ZDH, den Sie auf der Webseite finden und kostenlos downloaden können: www.zdh.de/ fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/
Er enthält alle wichtigen Informationen sowie Musterverträge, Vorlagen und Einwilligungen, die Sie nur noch von Ihren Kunden unterschreiben lassen müssen, wenn Sie deren Daten nutzen wollen.
Welche Betriebe zählen zu den datenverarbeitenden?
Jeder Betrieb verarbeitet Daten. Als datenverarbeitender Betrieb gilt ein Unternehmen aber nur dann, wenn die Verarbeitung von personenbezogenen Daten zu seinen originären Aufgaben gehört. Das können z. B. eine professionelle Lohnbuchhaltung oder große Unternehmen in der Auftragsdatenverarbeitung wie die Telekom sein. Besonders interessant wird es, wenn die Kundendaten dann auch noch in der Cloud gespeichert werden. All das trifft für Handwerksbetriebe nicht zu, so dass sie sich entspannt zurücklehnen können.
Wann brauchen Betriebe einen Datenschutzbeauftragten?
Sobald die automatisierte Verarbeitung personenbezogener Daten zu den originären Aufgaben eines Betriebes gehört und mindestens 10 Personen kontinuierlich mit der Datenverarbeitung befasst sind, benötigt dieser einen Datenschutzbeauftragten. Falls Sie irgendwo lesen, dass eine größere Handwerksfirma, die täglich 10 Monteure Namen und Adressen ihrer Kunden auf das Smartphone oder Tablet schickt, als datenverarbeitender Betrieb gilt – ebenfalls entspannt zurücklehnen. Diese in frühen Auslegungen der DSGVO manchmal zu lesende Interpretation stimmt nämlich nicht. Sie ist der Vorsicht der Autoren geschuldet, die abwarten wollten, wie eng die Aufsichtsbehörde in Gestalt der Beauftragten für Datenschutz und Informationsfreiheit die neuen Regeln auslegen würde. Inzwischen kann Entwarnung gegeben werden: Handwerksbetriebe brauchen in der Regel keinen Datenschutzbeauftragten.
Darf ein Handwerksbetrieb ungefragt Newsletter verschicken?
Wollen Sie Newsletter per Post oder E-Mail verschicken, müssen Sie vorher die schriftliche Zustimmung Ihrer Kunden einholen. Bei dieser Gelegenheit könnten Sie nachfragen, an welchen Informationen der Kunde besonders interessiert ist und ihm Vorschläge unterbreiten. Möglicherweise findet Ihr Newsletter auf diese Weise sogar mehr Beachtung.
Die Buße folgt auf dem Fuße – oder auch nicht.
Die Sanktionierung von Verstößen gegen den Datenschutz regelt Artikel 83 DSGVO. Hier werden u. a. Geldbußen bis zu 20 Mio. Euro bzw. bis zu vier Prozent des weltweiten Unternehmensumsatzes festgelegt. Diese Bußgelder sind allerdings eher auf global agierende Unternehmen wie Facebook & Co. gemünzt und werden in der Regel nur erhoben, wenn sich Betroffene im Umgang mit den Behörden unkooperativ zeigen. Relevant ist außerdem nur, was nach außen erkennbar wird. Handwerksbetriebe, die sich an die Informationspflicht halten, müssen sich also keine Sorgen machen.
Wie kann ein Betrieb für Datensicherheit sorgen?
Die Vorkehrungen sollten dem Risikofaktor des Betriebes entsprechen. Für einen Handwerksbetrieb heißt das: Passwort-Schutz und Firewall auf dem Rechner, Aufbewahrung von Mitarbeiter-Daten in einem abschließbaren Schrank. Große IT-Sicherheitskonzepte benötigen nur Unternehmen mit komplizierten Strukturen und Unternehmen in der Auftragsdatenverarbeitung wie die Telekom, für die besondere rechtliche Vorgaben gelten. Sollte Ihr Rechner tatsächlich mal gehackt werden, sind Sie verpflichtet, dies an die Aufsichtsbehörde – die Berliner Beauftragte für Datenschutz und Informationsfreiheit – zu melden: www.datenschutz-berlin.de/meldung-datenleck.html. Darüber hinaus wären Sie verpflichtet, die Betroffenen – Ihre Kunden – zu informieren.
Auch wenn nichts von dem, was bisher erlaubt war, jetzt verboten ist, sollten Betriebsinhaber ihre Informationspflicht ernst nehmen, zumal das Thema Datenschutz auf zunehmendes Interesse in der Bevölkerung stößt. Ihre Aufgabe ist es, mit gutem Beispiel voran zu gehen und außerdem Ihre Mitarbeiter über den internen Umgang mit Daten aufzuklären. Das ist schon deshalb wichtig, damit sie Kunden im Bedarfsfall Auskunft geben können. Darüber hinaus haben sie so die Gewissheit, dass auch mit ihren eigenen Daten im Betrieb verantwortungsvoll umgegangen wird.