Die DSGVO und ihre Folgen
Die DSGVO ist nun seit über vier Jahren Maßstab für alle Unternehmen innerhalb des europäischen Binnenmarktes.
Denkt man an Datenschutz, so kommen den meisten Menschen vermutlich große Unternehmen in den Sinn, vor denen es die EU-Bürger zu schützen gilt. Datenbasierte Multi-Milliarden-Konzerne, allen voran Amazon oder Meta, sind bestimmt auch Auslöser für den Gesetzgeber gewesen, die Grundverordnung zu erlassen. Dies zeigt sich auch an den Strafen, die Behörden, im Sinne der DSGVO, erlassen haben.
Amazon und WhatsApp bezahlten schon im mehrfachen Hundert Millionen-Euro-Bereich für das Nichteinhalten des europäischen Datenschutzrechtes.
Dennoch gilt die DSGVO für jedermann und verpflichtet alle Unternehmen, die personenbezogene Daten nutzen, zu einem angemessenen Umgang.
Denken Sie beispielsweise an Datenschutz im Handwerk.
Auch hier werden persönliche Informationen über Kunden benötigt, wie Adresse, Vor- und Nachname, größtenteils auch E-Mail-Adresse oder Telefonnummer. Wie nimmt die DSGVO also Einfluss auf das Innenleben von Handwerksbetrieben?
Personenbezogene Daten im Handwerk
Wie gesagt, auch in Handwerksbetrieben spielt die DSGVO eine Rolle.
Auch in kleineren und mittleren Betrieben ist der Schutz der Daten der Kunden und Mitarbeiter keine zu vernachlässigende Komponente.
In solchen Unternehmen finden Verarbeitungen personenbezogener Daten in Zusammenhang mit Kundendaten, Lohnabrechnungen und Personalverwaltungstätigkeiten statt.
Das Bayerische Landesamt für Datenschutzaufsicht hat genau für solche kleineren Unternehmen eine Übersicht an Anforderungen zusammengestellt, nach der in den Betrieben agiert werden kann.
Die Anforderungen sind in einer Art „Checkliste“ zusammengefasst. Handwerksbetriebe sind beispielsweise dazu verpflichtet, ein Verzeichnis über die Verarbeitung personenbezogener Daten zu führen. Auch sollten Beschäftigte, die mit den Daten vertraut sind, eine Datenschutzverpflichtung unterzeichnen und an einer Schulung zu DSGVO teilnehmen.
Zudem wird darüber aufgeklärt, dass die Verantwortlichen einer Informations- und Auskunftspflicht unterliegen, die sie nach Art. 12 ff. DSGVO erfüllen müssen, heißt die Kunden über etwaige Verarbeitungen ihrer Daten zu informieren.
Außerdem werden die Speicherung und Löschung von Daten, der Datenschutzbeauftragte, die externe Auftragsverarbeitung und das Verhalten bei einer Datenschutzverletzung thematisiert.
Der Datenschutzbeauftragte
Wann ein Datenschutzbeauftragter ernannt werden muss, legt die DSGVO fest. Grundsätzlich, und damit auch für Handwerksbetriebe, gilt, dass jedes Unternehmen einen DSB benötigt, dass mehr als 20 Personen beschäftigt, die ständig mit der Verarbeitung personenbezogener Daten zu tun haben.
Wer nicht dazu verpflichtet ist einen DSB zu ernennen ist selbst dazu verpflichtet, sich an die Einhaltung der DSGVO zu kümmern, in der Praxis ist das zumeist der Geschäftsführer.
Doch nur weil es nicht verpflichtend ist, einen externen Datenschutzbeauftragten heranzuziehen, heißt das nicht, dass es nicht sinnvoll ist.
Denn ein Datenschutzbeauftragter überwacht die Abläufe und Prozesse innerhalb des Betriebs und sorgt dafür, dass keine teuren Verstöße gegen die DSGVO zustande kommen.
Auch beim Datenschutz im Handwerk liegt die Expertise der Beschäftigten häufig in anderen Bereichen. Ein externer DSB könnte viel Last von den Schultern der Mitarbeiter nehmen.
Speichern und Löschen der Daten
Da es für die Verarbeitung personenbezogener Daten stets einer Rechtsgrundlage nach Art. 6 DSGVO bedarf, müssen Kundendaten sofort nach Beendigung eines Auftrags gelöscht werden. Es sei denn, es existiert noch eine weitere rechtliche Grundlage für den Zweck der Speicherung oder eine Einwilligung des Betroffenen liegt vor, die die Speicherung rechtfertigt.
Auf der anderen Seite müssen Rechnungen beispielsweise 10 Jahre aufgehoben werden. Auch kann ein rechtlicher Zweck durchaus vorliegen, indem die Aufbewahrung dem Kunden zugutekommt, da er vielleicht nachfolgend noch Leistungen benötigt, die er am besten bei demselben Handwerksbetrieb bezieht.
Handeln bei einer Datenschutzverletzung
Passiert es dennoch, dass gegen die DSGVO verstoßen, so kann gegebenenfalls die Meldepflicht einschlägig sein, so wie bei allen Unternehmen, die personenbezogene Daten verarbeiten. Diese greift, wenn nach Art. 33 DSGVO der Schutz der personenbezogenen Daten verletzt wurde, die Daten also irgendwie „durchgesickert“ sind.
Diese kann noch weiter gefasst werden, wenn die Verletzung ein hohes Risiko für die Persönlichkeitsrechte der betroffenen Person in sich birgt. Dann muss nicht nur die Datenschutzbehörde informiert werden, sondern auch die betroffene Person.
Ausnahmen gibt es hier jedoch auch. Denn wenn „geeignete Maßnahmen“ getroffen wurde, um das Risiko der Verletzung zu verhindern, so muss die Meldepflicht an den Betroffenen nicht eingehalten werden.
Die externe Auftragsverarbeitung
Eine Datenverarbeitung in Form eines Auftrags, durch einen Externen, wird ebenfalls von dem Bayerischen Landesamt genannt.
Wenn ein externer Dienstleister Zugriff auf die personenbezogenen Daten der Kunden erhält, so muss dies vertraglich mit dem betroffenen Kunden vereinbart sein, ansonsten ist dies ein Verstoß gegen die DSGVO. Mögliche Beispiele sind laut dem Bayerischen Landesamt für Datenschutzaufsicht: DV-technische Arbeiten für Gehaltsabrechnungen durch Rechenzentren; Outsourcing der Verarbeitung personenbezogener Daten durch Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist; Datenträgerentsorgung durch Dienstleister oder Auslagerungen der E-Mail-Verwaltung.
Kurz gesagt: verlassen die Daten den Betrieb und werden Teil der Arbeit eines anderen Unternehmens oder Dienstleisters, so bedarf es einer extra Einwilligung des Betroffenen.
Fazit
Die DSGVO ist also nicht nur für die großen datenbasierten Unternehmen relevant, sondern auch für kleinere Handwerksbetriebe. Das Heranziehen eines externen DSB kann einiges erleichtern, wer jedoch darauf verzichten möchte, kann die Checkliste des Bayerischen Landesamtes für Datenschutzaufsicht befolgen.
Die Speicherung und Löschung von Daten, der Datenschutzbeauftragte, die externe Auftragsverarbeitung, das Verhalten bei einer Datenschutzverletzung, das Führen eines Verarbeitungsverzeichnisses, die verpflichtende Schulung und die Informations- und Auskunftspflichten sind Punkte, die zwingend von jedem Handwerksbetrieb gefolgt werden müssen.
Wer dennoch dagegen verstößt, muss mit Geldbußen rechnen, jedoch hat all dies einen Zweck: den Schutz der Persönlichkeitsrechte der EU-Bürger.
Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.
Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de
Die Bildrechte liegen bei dem Verfasser der Mitteilung.