Die ersten Schritte zum neuen Datenschutz

Wie man die Datenschutz-Grundverordnung in der Praxis richtig umsetzt, wollen viele Handwerker wissen. Wir beantworten häufig gestellte Fragen und geben einen kurzen Überblick inklusive Checklisten.

Dieser Artikel gehört zum Themen-Special Das aktuelle Datenschutzrecht

Wenn die Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft tritt, hat das Folgen für alle Unternehmen – auch die kleinen. Die am häufigsten gestellten Fragen von Handwerkern beantwortet Nicole Baumgärtel, Datenschutzbeauftragte der HWK Düsseldorf.

Kurz-Checkliste DSGVO in Handwerksbetrieben  

1. Ist mein Betrieb von der DSGVO betroffen?
Baumgärtel: "Schon jeder Betrieb, der Emails verschickt, ist dabei. Es gibt so gut wie keine denkbaren Fälle, in denen Betriebe von der DSGVO verschont bleiben."

2. Mein Betrieb muss keinen Datenschutzbeauftragten bestellen, also gilt die DSGVO für uns nicht?
Baumgärtel: "Das ist leider ein Irrtum, der Datenschutzbeauftragte muss zwar erst bestellt werden, wenn zehn Personen ständig mit Datenverarbeitung beschäftig sind, aber auch kleinere Betriebe müssen grundsätzlich den Datenschutz beachten."

3. Was passiert im schlimmsten Fall?
Baumgärtel: "Denkbar ist, dass die Behörde bei einer Kontrolle den Betrieb auf links dreht. Wahrscheinlicher ist aber, dass ein Anschreiben mit der Bitte um eine Auskunft kommt. Derzeit sind die Aufsichtsbehörden selbst noch nicht vertraut mit den Vorschriften und müssen sich auch personell erst einmal darauf einstellen."

4. Ich habe nur juristische Personen als Kunden, dann brauche ich die DSGVO doch nicht zu beachten, oder?
Baumgärtel: "Wenn Sie Mitarbeiter haben, doch! Deren personenbezogene Daten müssen auch geschützt werden." 

5. Wie muss ich nun anfangen? Dies sind die ersten Schritte:  

• ­Im Unternehmen fließende personen­bezogene Daten dokumentieren
  Für diese Vorgänge muss man ein ­Verzeichnis der Verarbeitungstätigkeiten erstellen (siehe Infokasten unten zum Verarbeitungsverzeichnis).
  
  
• Datenschutzbeauftragten (DSB) bestellen
  Das ist erforderlich wenn im Betrieb zehn oder mehr Personen ständig Daten verarbeiten. Der DSB muss bis 25. Mai 2018 an die Aufsichtsbehörde gemeldet werden.
  
  
• Informationspflichten ­gegenüber dem Kunden erfüllen
  Bei Erstellung eines Angebotes oder bei Abschluss eines Vertrages muss man die Informationen aushändigen, zum Beispiel durch Veröffent­lichung im Internet oder einen Aushang im ­Ladenlokal.
  
  
• Einverständnis­erklärung einholen
  Der Kunde oder Mitarbeiter muss den ­Aktivitäten zustimmen, die über die reine Abwicklung des Vertrages hinausgehen.
  
  
• Mitarbeiter schulen
  Angestellte müssen den datenschutzgerechten Umgang mit den Kundendaten lernen.
  
  
• Sicherheit der Datenverarbeitung überprüfen
  Betriebe müssen datenschutzgerechte Technik und Software-Voreinstellungen einführen.
  
  
• Rechte der Betroffenen wahren
  Die betroffene Person hat ein Recht auf Auskunft, auf ­Einschränkung der Verarbeitung, auf Berichtigung, auf ­Datenübertragbarkeit und auf frist­ge­mäße Löschung.
  
  
• Auftragsverarbeiter wie etwa Lettershop oder Steuerberater beteiligt?
  In diesen Fällen muss man einen Auftragsverarbeitungs-Vertrag abschließen.
  
  
• Datenschutz-Folgenabschätzung machen
  Sie muss nur durchgeführt werden, wenn der Verarbeitungsvorgang wahrscheinlich ein hohes Risiko für die persönlichen Rechte und Freiheiten mit sich bringt.
  
  

  Text: Nicole Baumgärtel/ Anne Kieserling

Verarbeitungsverzeichnis 
Aus dem Verzeichnis muss hervorgehen, welche personenbezogenen Daten das Unternehmen mit welchen Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten getroffen wurden. Hierzu sollte man eine Übersicht erstellen mit allen im Unternehmen eingesetzten Anwendungen und Tools (IT-Verfahren und Dateien), in denen personenbezogene Daten verarbeitet werden. In das Verzeichnis gehören:
• Name und die Kontaktdaten des Betriebs (bei GmbH: Name des Geschäftsführers)
• ggfs. Name und Kontaktdaten des Datenschutzbeauftragten (DSB)
• Zweck der Verarbeitung: etwa für Werbemaßnahmen oder zur Abwicklung eines Vertrags
• Kategorien betroffener Personen: Kunden, Mitarbeiter, Zulieferer etc.
• Kategorien personenbezogener Daten: einfache Adressdaten oder besonders sensible Daten?
• Kategorien von Empfängern, wenn die Daten an Dritte weitergeleitet werden
• Wenn möglich, die vorgesehenen Fristen für die Löschung
• Wenn möglich, eine Beschreibung der technischen und organisatorischen Maßnahmen.

Ein Muster für ein Verarbeitungsverzeichnis sowie eine Checkliste technischer und organisatorischer Maßnahmen sowie weitere wichtige Praxistipps finden Sie auf zdh.de.

Wie ein Verzeichnis bei einem Friseurgeschäft aussehen kann, schildert dieses Beispiel.