Datenschutz
pixabay/tumisu

EU-Datenschutz-Grundverordnung (DSGVO) Was Handwerksbetriebe beachten müssen

Seit dem 25. Mai 2018 gilt die neue, vereinheitlichte EU-Datenschutz-Grundverordnung (EU-DSGVO), die das Bundesdatenschutzgesetz weitgehend ablöst. Die EU-DSGVO regelt für alle Unternehmen verbindlich den einheitlichen Umgang mit personenbezogenen Daten im gesamten EU-Raum. Auch Handwerksbetriebe haben ständig mit dem Thema Datenschutz zu tun. Sie arbeiten mit Kundendaten, Daten von Beschäftigten werden in Personalakten geführt oder es werden digitale Datenbanken angelegt. Es gibt mit der aktuellen Verordnung auch Neuerungen, mit denen sich die Betriebe beschäftigen müssen.

Was Betriebe tun müssen:

Artikel 25 der EU-DSGVO sieht vor, dass Unternehmen "geeignete organisatorische und technische Maßnahmen" ergreifen müssen, um die Rechte von betroffenen Personen z.B. das Informationsrecht, das Auskunfts- und Widerspruchsrecht, das Recht auf Berichtigung, Löschung und Einschränkung oder das Recht auf Datenübertragbarkeit zu gewährleisten. Grundlage dafür ist ein "Verzeichnis von Verarbeitungstätigkeiten". Dieses muss enthalten:

  • Den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
  • Den Zweck der Verarbeitung
  • Kategorien von betroffenen Personen und personenbezogenen Daten
  • Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (gilt auch für Drittländer bzw. internationale Organisationen)
  • Im Idealfall auch noch: vorgesehene Fristen für die Löschung der verschiedenen Kategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Was Betriebe prüfen müssen:

  • Wo fallen im Unternehmen personenbezogene Daten an?
  • Ist die eigene Datenschutzerklärung (insbesondere auf der Internetseite) aktuell? Gibt es eine datenschutzkonforme Erklärung zu im Unternehmen eingesetzten sozialen Medien, Formularen, Cookies, Analyse-Werkzeugen, etc.?
  • Gibt es eine Übersicht über die Datenverarbeitungstätigkeiten, die im Unternehmen anfallen?
  • Welche rechtlichen, organisatorischen und technischen Maßnahmen müssen umgesetzt werden, um alle Anforderungen zu erfüllen?

Besondere Pflichten für Unternehmen:

Datenschutzbeauftragter, Datenschutz-Folgenabschätzung und Meldepflicht

Wenn das Geschäftsmodell eines Unternehmens im Kern auf der Verarbeitung personenbezogener Daten beruht - im Handwerk eher nicht die Regel - muss künftig immer ein Datenschutzbeauftragter bestellt werden, anderenfalls nur wenn mindestens zehn Personen im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Wenn ein hohes Risiko für Missbrauch besteht (zum Beispiel durch neue Technologien, besonders sensible Daten oder systematische Überwachung von Personen), muss eine Datenschutz-Folgenabschätzung durch das Unternehmen erstellt werden. Wenn diese ergibt, dass ein besonders hohes Risiko vorhanden ist, muss dies zusätzlich der Aufsichtsbehörde gemeldet werden.

Die Aufsichtsbehörde (der Landesdatenschutzbeauftragte) und auch der Betroffene selbst müssen auch prinzipiell bei jeder Schutzverletzung von personenbezogenen Daten benachrichtigt werden. Dies muss unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme ausgelöst werden.

Änderungen in der Auftragsdatenverarbeitung

Unternehmen dürfen nun auch Verträge zur Auftragsdatenverarbeitung außerhalb des EU-Raums schließen. Außerdem müssen die Verträge nicht mehr zwingend in Papierform vorliegen, sondern dürfen auch elektronisch vereinbart werden.

An den Grundsätzen der Auftragsdatenverarbeitung ändert sich nichts. Der für die Verarbeitung Verantwortliche muss sicherstellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Allerdings haftet er nun mit dem Auftragsverarbeiter gemeinsam gegenüber dem Betroffenen.

Der Gesetzgeber nimmt den Auftragsverarbeiter künftig mehr in die Pflicht: Er muss nun - wie der Unternehmer auch - ein Verzeichnis von Verarbeitungstätigkeiten führen, die durch den Auftrag bei ihm anfallen. 

Geldbußen

Auch die Höhe der Sanktionen hat der Gesetzgeber drastisch erhöht: bei Verstößen gegen Art. 25 ff. EU-DSGVO drohen abhängig von der Schwere des Verstoßes Geldbußen in Höhe von bis zu 10 Millionen Euro. 



Ansprechpartner

Roetz, Steffen

Steffen Rötz

Abteilungsleiter Recht

Tel. 0385 7417 - 139

s.roetz--at--hwk-schwerin.de

von Stenglin, Norman

Norman von Stenglin

Rechtsberatung

Tel. 0385 7417 - 128

n.v.stenglin--at--hwk-schwerin.de

Download

pdfLeitfaden zur neuen EU-DSGVO (PDF, 704kB)