Ob zur Erfüllung eines Auftrags, zum Zweck der Lohnabrechnung oder für die Direktwerbung: Jeder Handwerksbetrieb erfasst und nutzt eine große Anzahl unterschiedliche Daten von Kunden und Mitarbeitern. Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 gelten für den Umgang mit diesen Daten der betroffenen Personen klare, rechtliche Bestimmungen. Der Zweck ist eine transparente und sichere Datenverarbeitung, die Personen die größtmögliche Kontrolle über ihre Daten gibt, ohne in notwendige innerbetriebliche Prozesse unnötig einzugreifen.
Betrieben, welche diese Vorgaben nicht erfüllen, werden teilweise empfindlich hohe Strafgelder angedroht. Aus diesem Grund ist es wichtig, über alle Datenschutz-relevanten Schritte informiert zu sein und Arbeitsabläufe und Dokumente regelmäßig auf Rechtmäßigkeit zu prüfen. Zu diesem Zweck kann es sinnvoll sein, eine externe Datenschutzberatung zurate zu ziehen. Unternehmen dieser Art kennen sich mit allen Details des geltenden Rechts aus und haben große praktische Erfahrung mit seiner Umsetzung.
Pflichten eines Betriebs
Ein Betrieb, der personenbezogene Daten verarbeitet, muss verschiedene Pflichten wahrnehmen. Diese Pflichten dienen dazu, Personen die ihnen zustehenden Rechte an ihren Daten zu gewährleisten. Die Pflichten bestehen sowohl gegenüber Kunden als auch gegenüber Mitarbeitern. Im Einzelnen sind die Pflichten eines Betriebs:
- Transparenzpflicht (Art. 12 DSGVO)
- Informationspflicht (Art. 13 & 14 DSGVO)
- Auskunftspflicht (Art. 15 DSGVO)
- Berichtigungspflicht (Art. 16 DSGVO)
- Löschpflicht (Art. 17 DSGVO)
- Recht auf Vergessenwerden (Art. 18 DSGVO)
- Dokumentationspflicht (Art. 30 DSGVO)
Alle Informationen müssen in klar verständlicher Sprache und leicht zugänglich vermittelt werden. Zu diesem Zweck gibt es zahlreiche Vordrucke und Musterauskünfte, die man zur Information und Auskunft der betroffenen Personen nutzen kann. Das Recht auf Berichtigung, Löschung und Vergessenwerden erhöht die Kontrolle betroffener Personen über ihre Informationen. Auf Antrag müssen nicht (mehr) zutreffende Daten unverzüglich berichtigt werden.
Auch die Löschung und das Vergessenwerden, bei Handwerkern etwa die Löschung extern veröffentlichter Informationen wie Referenzen, müssen von Betrieben umgesetzt werden. Dabei ist eine Löschung durchzuführen, wenn ihre Aufbewahrung nicht mehr erforderlich ist oder dies verlangt wird. Wichtig ist bei der Löschung jedoch die Einhaltung von Aufbewahrungsfristen, etwa bei rentenrelevanten Daten von Mitarbeitern.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
Die Dokumentationspflicht soll die Datenverarbeitung auch im Nachhinein nachvollziehbar machen. Betriebe mit mehr als 250 Mitarbeitern müssen deswegen ein „Verzeichnis von Verarbeitungstätigkeiten“ anlegen und pflegen. Auch kleinere Betriebe müssen ein Verarbeitungsverzeichnis führen, wenn
- die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
- die Verarbeitung nicht nur gelegentlich erfolgt
- eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 erfolgt
- eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 erfolgt
Viele Handwerksbetriebe sind sehr klein, verarbeiten keine sensiblen Daten und werden nie die 250 Mitarbeiter erreichen. Wozu also ein Verarbeitungsverzeichnis? Leider ist die zweite Ausnahme hier der Haken: Sobald Sie regelmäßig mit neuen Kunden in Kontakt treten und deren Daten in irgendeiner Form speichern, erfolgt die Verarbeitung nicht nur gelegentlich. Durch die Nutzung von Handwerkerplattformen oder eine eigene Website mit Kontaktformular verarbeitet man auch als kleiner Handwerksbetrieb ganz schnell täglich Kundendaten.
Alle Tätigkeiten, die personenbezogene Daten betreffen, müssen hier dokumentiert werden. Das Verzeichnis muss einer bestimmten Form genügen. Im ersten Abschnitt wird eine Risikobewertung betreffend der verarbeiteten Daten durchgeführt. Bei großen Datenmengen oder besonders schutzwürdigen Daten (Gesundheitsdaten, religiöse Zugehörigkeit usw.) liegt ein hohes Risiko vor. Dies ist bei den meisten handwerklichen Unternehmen nicht gegeben, allerdings für Gesundheitshandwerker und große Betriebe relevant. Bei hohem Risiko muss man eine genaue Abschätzung der Verarbeitungsabläufe sowie ein Konzept zur Risikoabwehr erstellen. Zusätzlich werden im Verzeichnis alle relevanten Daten aufgeführt. Diese sind:
- Name und Kontaktdaten des Betriebs
- Name und Kontaktdaten des Datenschutzbeauftragen (falls vorhanden)
- Verarbeitungszweck
- Kategorie der betroffenen Person (Mitarbeiter, Kunde, Partnerbetrieb)
- Kategorien der gespeicherten Daten (Name, Adresse, sensible Daten)
- Empfänger der Daten (falls vorhanden)
- Vorgesehene Löschfrist
- Technische und organisatorische Maßnahmen
Im Verarbeitungsverzeichnis muss man nicht die einzelnen Kundendaten aufzeichnen! Es dient lediglich dazu, eine interne Übersicht zu haben, die alle Verarbeitungsprozesse beschreibt. Diese Übersicht können Sie natürlich auch öffentlich machen und das sogar als Marketingmaßnahme auf Ihrer Website nutzen. Kunden schenken eher Betrieben ihr Vertrauen, die offen mit ihren Arbeitsprozessen umgehen.
Zum Datenschutz ist jeder Betrieb verpflichtet, geeignete Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Dies geschieht durch die Beschränkung der Zugriffsrechte auf befugte Personen, ein Konzept für die IT-Sicherheit und der Schutz der Daten vor unbeabsichtigter Löschung oder Beschädigung, etwa in Form von Sicherungskopien.
Wer ist für das Verarbeitungsverzeichnis verantwortlich?
Der Geschäftsführer des Unternehmens ist für das Verarbeitungsverzeichnis verantwortlich. Das Führen des Verzeichnisses kann aber auch eine andere Person erledigen, zum Beispiel ein Rechtsanwalt mit Fachgebiet Datenschutz. Damit ist man zwar rechtlich abgesichert, aber es ist gerade für kleine Unternehmen sehr teuer.
Datenverarbeitung ohne und mit Einwilligung
Grundsätzlich gilt, dass jede Erhebung und Nutzung von Daten einer Einwilligung der zugehörigen Person bedarf. Nur in bestimmten, gesetzlich geregelten Ausnahmefällen entfällt diese Verpflichtung. Die Notwendigkeit einer Einwilligung entfällt, wenn die Daten genutzt werden, um bei Kunden:
- einen Vertrag zu erfüllen (z. B. Adressdaten für die Anfahrt zum Arbeitsort).
- vorvertragliche Maßnahmen durchzuführen (Übermittlung von Angebot, Kostenvoranschlag und andere Kommunikation zur Anbahnung eines Arbeitsvertrags).
- direkt für das Angebot des Unternehmens zu werben.
Die Direktwerbung per E-Mail ist hierbei ein Sonderfall, denn auch wenn sie ohne Einwilligung des Kunden durchgeführt werden kann, darf ihr der Kunde jederzeit und ohne Angabe von Gründen widersprechen. Eine entsprechende Information sollte man im Sinne der Transparenzpflicht jeder Direktwerbung beifügen, egal ob per Post oder E-Mail. Damit die Direktwerbung rechtmäßig ist, müssen folgende Voraussetzungen erfüllt sein:
- Der Unternehmer hat die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten
- Man darf nur eigene ähnliche Waren oder Dienstleistungen bewerben
- Werbung muss unterlassen werden, sobald der Kunde ihr widerspricht
- Der Kunde muss bei jeder Verwendung der Adresse klar und deutlich darauf hingewiesen werden, dass er der Verwendung jederzeit kostenlos widersprechen kann
Bei Mitarbeitern ist die Speicherung und Nutzung von Daten ohne Einwilligung möglich, wenn:
- dies für die Durchführung, Fortsetzung oder Beendigung des Arbeitsvertrages notwendig ist.
- die Datennutzung im Sinne der Interessenvertretung des Beschäftigten geschieht.
Ein Sonderfall in der Datenverarbeitung ist die Verarbeitung von Gesundheitsdaten. Diese sind als besonders schutzwürdig eingestuft und bedürfen einer expliziten Einwilligung. Gesetzlich befreit von dieser Einwilligungspflicht sind allerdings Gesundheitshandwerker, die bereits einer Geheimhaltungspflicht unterstehen.
Jede andere Datennutzung erfordert eine explizite Einwilligung. An die Form dieser Einwilligung sind bestimmte Anforderungen geknüpft. Sie muss freiwillig erfolgen, darf also nicht für die Inanspruchnahme von Dienstleistungen zwingend notwendig sein. Sie kann mündlich oder schriftlich erfolgen, diese Form legt auch die notwendige Form für einen Widerruf der Einwilligung fest. Zum Zweck der Dokumentation und Beweiskraft ist eine Textform vorteilhafter. Im Sinne der Transparenzpflicht muss die Einwilligung Informationen über die Identität des Datenverarbeiters, die erhobenen Daten und den Zweck der Datenverarbeitung enthalten. Zusätzlich muss ein Hinweis auf das Widerrufsrecht inklusive Adresse für den Widerruf vorhanden sein.
Eine Einwilligung muss aktiv erfolgen, etwa durch gesonderte Unterschrift oder Anklicken eines Häkchens in einem Onlineformular. Auch Minderjährige können diese Einwilligung erbringen, wenn sie über die notwendige geistige Reife verfügen. Zum Zweck der Rechtssicherheit empfiehlt sich bei Minderjährigen jedoch immer die Bestätigung durch einen Erziehungsberechtigten.
Informationspflicht und Auskünfte
Zwei der wichtigsten Neuerungen der DSGVO sind die Informationspflicht und Auskunftspflicht. Die Informationspflicht ist die Pflicht eines Unternehmens, die Nutzung der erhobenen Daten klar verständlich und unaufgefordert bei der Erhebung der Daten anzuzeigen. Folgende Daten müssen in dieser Information enthalten sein:
- Identität der verantwortlichen Person
- Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Verarbeitungszweck
- Rechtsgrundlage der Verarbeitung (entweder gesetzliche Erlaubnis oder Einwilligung, im Fall der Einwilligung auch Information über das Widerrufsrecht)
- Empfänger der Daten (falls eine Weiterleitung an Dritte stattfindet)
- Verarbeitungsdauer
- Rechtshinweise zum Recht auf Auskunft, Berichtigung, Löschung und Beschwerde bei der Aufsichtsbehörde
Eine zusätzliche Informationspflicht besteht, wenn bereits erhobene Daten zu einem anderen Zweck genutzt werden sollen. Neben den Rechtshinweisen und Informationen zur Verarbeitungsdauer müssen in dieser Information die neuen Verarbeitungszwecke angezeigt werden. Im Sinne des Transparenzrechtes müssen diese Informationen klar verständlich dargelegt werden. Zahlreiche Vorlagen bieten gute Anhaltspunkte oder können in Teilen oder komplett übernommen werden.
Die Auskunftspflicht ermöglicht es Privatpersonen, von Unternehmen Informationen über ihre gespeicherten Daten und deren Verarbeitung einzufordern. Dies geschieht durch ein Auskunftsersuchen, das mündlich, schriftlich oder als E-Mail erfolgen kann. Es können sowohl präzise Informationen als auch eine Pauschalauskunft eingefordert werden. Eine Prüfung der Identität des Einfordernden ist durchzuführen. Die Auskunft muss innerhalb von vier Wochen erfolgen und ist kostenlos, außer um die Kosten von mehr als einer Kopie der angeforderten Daten zu decken. Eine Verweigerung der Auskunft ist nur gestattet, wenn sie mit einem unverhältnismäßigen Aufwand begründet wird oder nachweislich unmöglich ist. Eine Pauschalauskunft enthält Informationen über:
- alle gespeicherten Daten
- die Kategorie der Daten
- die Bezeichnung der Daten
- die Quelle der Datenerhebung
- die geplante Speicherdauer
- den Speicherungszweck
Ebenfalls der Auskunft hinzuzufügen ist eine Rechtsbelehrung über das Recht auf Löschung und Berichtigung sowie das Beschwerderecht bei der Datenschutzaufsichtsbehörde.
Datenschutzbeauftragte
Bei kleinen Unternehmen obliegt die Pflicht des Datenschutzes und der Durchführung von allen gesetzlichen Pflichten dem Eigentümer. Sobald ein Betrieb 20 oder mehr Mitarbeiter hat, die regelmäßig mit der automatisierten Datenverarbeitung beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden. Dieser kann entweder ein Mitarbeiter des Unternehmens oder eine externe, zu diesem Zweck unter Vertrag genommene Person sein. Der Datenschutzbeauftragte kann auch für mehrere Betriebe verantwortlich sein, solange er seine Pflichten an jedem Standort wahrnehmen kann. Bei besonders vielen oder komplexen Betrieben können mehrere Datenschutzbeauftragte benannt werden.
Wird ein Mitarbeiter zum Datenschutzbeauftragen benannt, muss er entsprechende fachliche Qualifikationen (IT-Fähigkeiten und Fachwissen über Datenschutz) vorweisen können und darf bei seiner Arbeit in keinen Interessenskonflikt geraten. Ihm müssen Gelegenheit und die notwendige Unterstützung für Fortbildungen und die Durchführung seiner Pflichten gegeben werden. Außerdem besteht für ihn ein besonderer Kündigungsschutz, der auch noch für ein Jahr nach dem Ende seiner Tätigkeit als Datenschutzbeauftragter gilt. Ein externer Datenschutzbeauftragter ist nur dem Beschäftigungsvertrag gegenüber verpflichtet.
Der Datenschutzbeauftragte übernimmt zahlreiche Verpflichtungen betreffend des Datenschutzes. Er berät Mitarbeiter und Geschäftsführung zu allen Fragen des Datenschutzes, wird in alle datenschutzrelevanten Vorhaben frühzeitig zur Planung und Durchführung involviert, überwacht die Durchsetzung der Vorschriften und ist Ansprechpartner für alle Anfragen zum Datenschutz, sowohl gegenüber Kunden als auch gegenüber der Landesdatenschutzbehörde. Zu diesem Zweck sind seine Kontaktdaten in geeigneter Form zu veröffentlichen und der Landesdatenschutzbehörde zu melden. Er ist nur der Geschäftsführung gegenüber verpflichtet, die seine Arbeit kontrolliert und weiterhin die Verantwortung für alle datenschutzrelevanten Vorgänge trägt.
Unsere Artikel aus dem Themenbereich Recht werden immer mit größter Sorgfalt recherchiert und nach bestem Wissen und Gewissen zusammengestellt. Dennoch können wir keine Gewähr für die Richtigkeit übernehmen. Achte bitte immer auf das Veröffentlichungs- und das Aktualisierungsdatum. Die Artikel geben nur eine Erstinformation und können keine professionelle Rechtsberatung ersetzen.
Bild: Seventyfour / stock.adobe.com
