Bereits am 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten, doch noch immer sind sich viele Handwerksbetriebe hinsichtlich ihrer Pflichten unsicher. Welche Daten dürfen gespeichert werden? Wann ist eine Einverständniserklärung notwendig? Und wann muss ein Datenschutzbeauftragter bestellt werden? Fragen über Fragen, die wir Ihnen nun beantworten möchten.
Was ist die Datenschutzgrundverordnung (DSGVO) und für wen gilt sie?
Durch die Datenschutzgrundverordnung wurden die Datenschutzstandards in der ganzen EU vereinheitlicht und sogenannte Verhaltensregeln für die konkrete Datenverarbeitung personenbezogener Daten vorgegeben. Ob Cookies, Nutzertracking, Kundendaten oder E-Mail-Kampagnen: Die DSGVO betrifft all jene Unternehmen und Betriebe, die persönliche Daten von Kunden oder Mitarbeitern erheben, verarbeiten und speichern.
Was sind personenbezogene Daten?
Unter personenbezogenen Daten werden alle Informationen zusammengefasst, die sich auf natürliche Personen beziehen und Rückschlüsse auf deren Persönlichkeit erlauben. Beispiele hierfür sind:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Bankdaten
- Geburtsdatum
- KFZ-Kennzeichen
- Geburtsdatum
Welche Daten dürfen gespeichert werden?
Ohne eine gesonderte Einwilligung dürfen nur solche Daten gespeichert werden, die entweder für die Entstehung eines Kundenverhältnisses notwendig sind oder die aufgrund anderer gesetzlicher Vorgaben (z.B. für die Steuer) gespeichert werden müssen. Die Speicherung der Daten darf in der Regel nur so lange erfolgen, bis der Auftrag abgeschlossen ist. Sollen diese darüber hinaus in einer Datenbank archiviert werden, bedarf das einer Genehmigung vonseiten des Kunden.
Bedeutet konkret: Ein Handwerksbetrieb darf etwa die Adresse eines Kunden speichern, bei dem er Bauarbeiten durchführt, muss diese aber nach Beendigung des Auftrages wieder löschen. Es sein denn, es liegt eine freiwillige Einwilligung des Kunden vor.
Wann ist eine Einverständniserklärung notwendig?
Bezogen auf Kundendaten gilt, dass alles, was über vereinbarte Aufträge hinausgeht, einer schriftlichen Genehmigung bedarf. Sollte der Betrieb etwa eine längere Datenspeicherung zur Kontaktaufnahme für Werbezwecke wünschen, darf dies erst nach Einwilligung des Kunden geschehen.
Was das Beschäftigungsverhältnis zwischen Arbeitgeber und Arbeitnehmer anbelangt, ist in der Regel keine gesonderte Einwilligung zu erteilen. Erst wenn beispielsweise ein Geburtstagskalender für alle Mitarbeiter einsehbar zur Verfügung gestellt werden soll, muss dies genehmigt werden.
Welche Pflichten müssen Betriebe im Zuge der Datenerhebung und -verarbeitung erfüllen?
Zur Erfüllung der DSGVO müssen Betriebe folgende Pflichten erfüllen:
- Informationspflicht: Werden personenbezogene Daten von Kunden erhoben, müssen diese über folgende Punkte informiert werden:
- Name und Kontaktdaten des Verantwortlichen der Datenerhebung (Unternehmensname)
- Ggf. Kontaktdaten des Datenschutzbeauftragten
- Art der Daten, die erhoben werden
- Zweck der Datenerhebung und -verarbeitung inklusive der entsprechenden Rechtsgrundlage
- Dauer der Datenspeicherung
- Erklärung darüber, dass der Kunde ein Recht auf Widerspruch, Auskunft, Berichtigung und Löschung der gespeicherten Daten hat
- Dokumentationspflicht: Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, alle Verarbeitungstätigkeiten zu dokumentieren. Dafür muss ein schriftliches Verzeichnis angelegt werden, welches der Aufsichtsbehörde auf Anfrage vorzulegen ist.
- Meldepflicht: Unternehmen haben die Pflicht die Verletzung des Datenschutzes personenbezogener Daten innerhalb von 72 Stunden (nachdem sie von der Verletzung erfahren haben) zu melden.
Was ist ein Datenschutzbeauftragter und wann muss dieser bestellt werden?
Unter einem Datenschutzbeauftragten versteht man eine natürliche Person oder ein Unternehmen, das von einem Betrieb oder einer öffentlichen Stelle bestellt wird, um die Einhaltung des Datenschutzes sicherzustellen und zu überwachen.
Ein Datenschutzbeauftragter wird erst ab einer Betriebsgröße von mindestens 20 Personen, die ständigen Umgang mit personenbezogenen Daten haben (z. B. Geschäftsführung, Lohnbuchhaltung, Kundenverwaltung), benötigt. Mitarbeiter, die die Daten lediglich zur Ausübung ihrer handwerklichen Tätigkeit verwenden – wie beispielsweise ein Monteur, der auf die Baustelle fährt – fallen grundsätzlich nicht unter diese Regelung.
Worauf muss bei der Datenschutzerklärung auf der Firmenwebsite geachtet werden?
Mit der Datenschutzerklärung muss der Nutzer über alle datenschutzrechtlich relevanten Funktionen der Internetseite aufgeklärt werden, bei deren Nutzung die personenbezogenen Daten übermittelt werden. Dies kann z.B. durch ein Tracking-Tool, Kontaktformulare und Bestellungen der Fall sein. Wenn ein Datenschutzbeauftragter benannt werden muss, sind zusätzlich dessen Kontaktdaten auf der Website anzugeben.
Können die personenbezogenen Daten an Dritte übermittelt werden?
Personenbezogene Daten können nicht einfach an Dritte übermittelt werden. Vielmehr müssen gewisse Pflichten erfüllt werden. Zum einen müssen die Betroffenen darüber informiert werden, wer die Daten erhält und zum anderen muss ein berechtigtes Interesse nachgewiesen werden können. Berechtigtes Interesse ist beispielsweise dann der Fall, wenn die Daten an einen Dienstleister weitergeben werden, der das Forderungsmanagement übernimmt.
Wie Sie sehen können, ist die Datenschutzgrundverordnung ein komplexes Thema, das Handwerksbetriebe vor einige Herausforderungen stellt. Sollten Sie noch konkretere Informationen, Vorlagen oder Muster-Erklärungen benötigen, empfehlen wir Ihnen folgendes Dokument: https://www.hwk-omv.de/downloads/leitfaden-datenschutz-betriebe-18,957.pdf.
Quellen:
- https://www.hwk-omv.de/downloads/leitfaden-datenschutz-betriebe-18,957.pdf
- https://www.hwk-ff.de/wp-content/uploads/2018/03/LEITFADEN_Das_neue_Datenschutzrecht_Hinweise_fuer_Handwerksbetriebe.pdf
- https://www.selbstaendig-im-handwerk.de/Wissenswertes/Themen/Datenschutz-Was-Handwerksbetriebe-beachten-muessen