Auch als Handwerksunternehmen unterliegen Sie der EU-DSGVO.Datenschutz-Grundverordnung
Auch Handwerksunternehmen sind vom Datenschutz betroffen und müssen die Vorgaben einhalten. Wenn sie Mitarbeiterdaten erfassen und Kundendaten speichern, sind Handwerksbetriebe datenverarbeitende Unternehmen. Damit unterlagen sie bereits bisher den Vorgaben des Bundesdatenschutzgesetzes und sind seit 25. Mai 2018 vom Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) betroffen.
Mit den bereits bestehenden Datenschutzregeln gab es in Deutschland bereits sehr hohe Anforderungen. Deswegen sorgt die neue DSGVO für keine inhaltliche Verschärfung. Jedoch sind einige formelle Änderungen vorhanden.
Hier sehen Sie nur einige Pflichten herausgestellt:
Verarbeitungsverzeichnis
Sie müssen dokumentieren, welche Daten wem und in welcher Form zugänglich gemacht werden. Es geht also darum, darzulegen, wie der Datenschutz im Unternehmen gewährleistet wird. Das geschieht in einem Verarbeitungsverzeichnis, dessen Muster Sie dem Leitfaden des ZDH entnehmen können.
Auf Basis des Verarbeitungsverzeichnisses ist eine Risikobewertung notwendig. Gemäß dem bestehenden Risiko sind Sie verpflichtet, technische und organisatorische Maßnahmen zu ergreifen (etwa Passwörter, Löschfristen, Virenschutz).
Datenschutzbeauftragter
Die Datenschutzgrundverordnung sieht weiterhin vor, dass Betriebe ab zwanzig Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen betrieblichen Datenschutzbeauftragten haben müssen.
Als automatisierte Verarbeitung gelten etwa:
- Nutzung digitaler Kundendateien.
- Verwendung von Kundendaten auf einem Tablet-PC oder Smartphone.
Beachte:
Ein Mitarbeiter zählt nur dazu, wenn ein erheblicher Teil seiner Arbeit die Verarbeitung persönlicher Daten betrifft.
Wer in erster Linie andere Arbeiten betreut, zählt nicht dazu (z. B. Monteure).
Den Datenschutzbeauftragten müssen Sie an das Bayerische Landesamt für Datenschutz (BayLDA) als die für Bayern zuständige Kontrollbehörde melden.
Datenschutz-Verpflichtung von Beschäftigten
Sie sollten Ihre Mitarbeiter, die mit personenbezogenen Daten umgehen, eine Datenschutz-Verpflichtung unterschreiben lassen. Eine entsprechende Musterformulierung erhalten Sie als Mitgliedsbetrieb in der Rechtsabteilung. Die Kontaktdaten finden Sie seitlich.
Information an die Kunden über die Datenverarbeitung
Sie müssen die Kunden darüber informieren, dass Sie Daten verarbeiten. Am besten erfolgt dies in den Angeboten an die Kunden oder spätestens den Rechnungen. Das Muster für das notwendige Informationsschreiben darüber, dass Kundendaten verarbeitet werden, befindet sich im Leitfaden des ZDH.
Nach Art. 13 Abs. 1 Buchst. b DSGVO muss die Information die Kontaktdaten eines Datenschutzbeauftragten enthalten (für den Fall, dass ein Datenschutzbeauftragter im Betrieb notwendig ist).
Der Bundesgerichtshof hat am 14. Mai 2024 entschieden, dass für die Mitteilung der Kontaktdaten des Datenschutzbeauftragten die Nennung des Namens nicht zwingend erforderlich ist. Entscheidend und zugleich ausreichend ist die Mitteilung der Informationen, die für die Erreichbarkeit der zuständigen Stelle erforderlich sind. Ist die Erreichbarkeit ohne Nennung des Namens gewährleistet,
muss dieser nicht mitgeteilt werden (beispielsweise eine eingerichtete E-Mail-Adresse "datenschutzbeauftragter@......de").
Beachte:
Eine Einwilligung des Kunden ist nicht notwendig, wenn die Daten nur zur Vertragserfüllung verarbeitet werden. Allerdings ist für eine weitere Verarbeitung der Daten, welche über die Vertragserfüllung hinausgeht (beispielsweise für Werbung), notwendig.
Information an Mitarbeiter
Auch die Mitarbeiter müssen über die Datenverarbeitung informiert werden. Teilweise müssen die Mitarbeiter auch zustimmen (wenn Sie z. B. private Telefonnummern der Mitarbeiter speichern). Zur Verarbeitung der Mitarbeiterdaten erhalten Sie als Mitgliedsbetrieb unser Merkblatt mit dem Muster eines Informationsschreibens in der Rechtsabteilung.
Löschkonzept
Ein Löschkonzept ist notwendig, um den Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 Buchstabe e) DSGVO einzuhalten und nachzuweisen. Hierzu sollten Sie verschiedene Kategorien Ihren Daten und eine Aufbewahrungsdauer festlegen. Die DSGVO sieht vor, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie dies unbedingt notwendig ist. Bestimmen Sie für jede Kategorie anhand von Erhebungsdaten, voraussichtlicher Bearbeitungszeit und der jeweiligen Aufbewahrungsfrist eine Löschregel.
Die Datenschutzregeln können Sie dem Leitfaden des ZDH entnehmen, den wir für Sie vorhalten.
Der Leitfaden enthält neben den rechtlichen Erläuterungen auch Praxisbeispiele, Checklisten und Muster.
Kundendaten dürfen an Subunternehmer, Lieferanten etc. weitergegeben werden
Eine Datenweitergabe bedarf keiner Einwilligung des Kunden, da dies im berechtigten Interesse des Kunden erfolgt. Der Kunde möchte die beauftragten Leistungen erfüllt haben. Insofern greift hier für die Rechtmäßigkeit der Verarbeitung, wozu auch eine Weitergabe der Daten zählt, Art. 6 Abs. 1 f) DSGVO.
Auch ist keine Vereinbarung zur Auftragsverarbeitung mit diesen Personen bzw. Unternehmen notwendig. Eine Auftragsverarbeitung liegt nur vor, wenn ein Unternehmen Daten nutzt, diese Daten aber von einem Dienstleister aufbereiten lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist beispielsweise bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Lohnbuchhaltungsanbieter, die für den Betrieb die Lohnbuchhaltung erstellen und dabei z. B. Mitarbeiterdaten verarbeiten. Bei Subunternehmern und Lieferanten handelt es sich dagegen um eine gewöhnliche Datenweitergabe.
Was müssen Sie bei Ihrer Website beachten?
Mit der Datenschutzerklärung müssen Sie den Nutzer über alle datenschutzrechtlich relevanten Funktionen der Internetseite aufklären, bei deren Nutzung die personenbezogenen Daten übermittelt werden. Es gilt Art. 13 DSGVO, welcher die Informationen regelt, die dem Nutzer der Website zur Verfügung stehen müssen.
Der Inhalt Ihrer Datenschutzerklärung richtet sich auch nach den Diensten, die Sie auf Ihrer Homepage nutzen (beispielsweise google Analytics).
Es gibt im Internet zahlreiche Betreiber, die kostenlose Generatoren zur Erstellung einer Datenschutzerklärung anbieten.
Was ist bei einer Betriebsnachfolge datenschutzrechtlich zu beachten?
Sollten Sie Ihren Betrieb an einen Nachfolger übergeben oder einen Betrieb geerbt haben, so gibt es auch beim Thema DSGVO einiges zu beachten. Im Downloadbereich finden Sie ein Merkblatt. Bei weiteren Fragen stehen Ihnen die Ansprechpartner der Rechtsabteilung gerne zur Verfügung.
Ansprechpartner
Fragen beantworten Ihnen gerne Claudia Kreuzer-Marks (Oberpfalz) und Markus Scholler (Niederbayern).
Abteilungsleiterin
Tel. 0941 7965-130
Fax 0941 7965 198
10 Fragen - 10 Antworten zur DSGVO
Downloads
Hinweis
Bei fehlender oder unvollständiger Datenschutzerklärung riskieren Sie eine Abmahnung.
Auch drohen hohe Bußgelder aus der DSGVO.
Datenschutz
Weitere Informationen für Sie als Arbeitgeber finden Sie im exklusiven Kundenbereich.