Wissens-ABC
Das Erfassen, Verarbeiten und Speichern von Daten nimmt immer mehr Überhand. Auch Handwerksbetriebe gehören dabei zu den datenverarbeitenden Unternehmen. Das beginnt bereits bei der Erfassung von Mitarbeiterdaten, betrifft jedoch genauso die personenbezogenen Informationen von Kunden. Da ab Mai 2018 die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft tritt, stellt sich nun die Frage, welche Änderungen für Firmen im Handwerksbereich relevant sind.
Die Anforderungen, die die neue DSGVO an Betriebe jeglicher Art stellt, sind sehr hoch. Der Zentralverband des Deutschen Handwerks (ZDH) kritisiert dabei, dass die Regelungen nicht für alle Gebiete einschlägig formuliert seien. Grundsätzlich gilt jedoch, dass Betriebe zur Erfüllung ihrer Pflichten – sei es als Arbeitgeber oder Auftragnehmer – personenbezogene Daten benötigen und verwenden dürfen. Wichtig ist jedoch, über die jeweilige Datennutzung zu informieren und die Verarbeitungsprozesse in einem entsprechenden Datenschutzkonzept zu dokumentieren. Denn im Zweifel müssen Unternehmen nachweisen können, dass sie die Richtlinien der DSGVO einhalten.
Welche Daten dürfen gespeichert werden?
Ohne eine gesonderte Einwilligung dürfen stets nur solche Daten verarbeitet werden, die entweder für die Entstehung eines Kundenverhältnisses notwendig sind oder die aufgrund anderer gesetzlicher Vorgaben, zum Beispiel für die Steuer, gespeichert werden müssen.
So darf ein Handwerksbetrieb beispielsweise die Adresse eines Kunden speichern, bei dem Bauarbeiten durchgeführt werden sollen, diese Informationen dürfen aber keineswegs an Dritte weitergegeben werden. Außerdem darf nur die unbedingt erforderliche Person, sprich der ausführende Handwerker, Zugang zu diesen Daten erhalten. Dabei untersteht er dem sogenannten Datengeheimnis, welches auch nach Beendigung des Auftrags Bestand hat.
Die Speicherung der Daten darf in der Regel nur so lange erfolgen, bis der Auftrag erledigt ist. Sollen sie darüber hinaus in einer Datenbank archiviert werden, bedarf das einer schriftlichen Genehmigung vonseiten des Kunden.
Wann ist eine Einverständniserklärung notwendig?
In Bezug auf ein Beschäftigungsverhältnis zwischen Arbeitgeber und Arbeitnehmer, sind in der Regel keine gesonderten Einwilligungen zu erteilen. Erst wenn zum Beispiel ein Geburtstagskalender für alle Mitarbeiter einsehbar zur Verfügung stehen soll, muss eine Genehmigung erteilt werden, da dies im Grunde einer Weitergabe persönlicher Informationen an Dritte ist.
Auch bezüglich der Kundendaten gilt, dass alles, was über vereinbarte Aufträge hinausgeht, einer schriftlichen Genehmigung bedarf. Sollte der Betrieb eine längere Datenspeicherung, etwa zur Kontaktaufnahme für Werbezwecke, wünschen, darf dies erst nach Einwilligung des Kunden geschehen. Dabei muss detailliert sowohl über den Zweck als auch über den Umfang der Verwendung der Daten aufgeklärt werden. Auch wenn später eine Löschung der Daten gewünscht ist, muss dem entsprochen werden.
Wann ist ein Datenschutzbeauftragter Pflicht?
Zurzeit gilt, dass ein betrieblicher Datenschutzbeauftragter zu bestellen ist, sobald das Unternehmen mehr als neun Personen bei der digitalen Verarbeitung personenbezogener Daten – bei einem analogen Verfahren gilt es ab 20 Mitarbeitern – beschäftigt. Des Weiteren ist die Anstellung eines Datenschutzbeauftragten notwendig, wenn personenbezogene Daten für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Mit Einführung der DSGVO am 25. Mai 2018 werden die Regelungen insoweit ausgeweitet, als auch stets ein Datenschutzbeauftragter vorhanden sein muss, sobald eine Behörde die Datenverarbeitung ausführt oder die Hauptaufgabe des Unternehmens in einer umfangreichen Verarbeitung besonders sensibler personenbezogener Daten besteht.
Weiterführende Informationen zu den Neuerungen durch die DSGVO erhalten Sie unter https://www.datenschutz.org/eu-datenschutzgrundverordnung/.
Autorin: Laura Gosemann
Der Beitrag entstand in Zusammenarbeit mit dem Berufsverband der Rechtsjournalisten e. V., Berlin.
Mehr Informationen: www.datenschutz.org
Kontakt: info@datenschutz.org