Datenschutz von Grund auf neu geregelt

Die neue EU-Datenschutz-Grundverordnung tritt Ende Mai in Kraft. Was das für Handwerker bedeutet, erklärt die HWK Münster.

Dieser Artikel gehört zum Themen-Special Das aktuelle Datenschutzrecht

Am 25. Mai treten die EU-Datenschutz-Grundverordnung und ergänzende Neuerungen des Bundesdatenschutzgesetzes in Kraft. Durch die vielfältigen Neuregelungen im Datenschutz kommen auf Handwerksbetriebe diverse gewichtige Veränderungen zu, die eine intensive Beschäftigung mit den Details der zum Teil extrem komplexen neuen Gesetzeslage erfordern. Vorhandene Arbeitsabläufe müssen überdacht, sämtliche Datenverarbeitungen überprüft und neue administrative Verpflichtungen umgesetzt werden. Viele aus dem alten Bundesdatenschutzgesetz bekannte Grundsätze werden ergänzt oder sogar umfassend neu geregelt.

Die neue EU Datenschutz-Grundverordnung: Am 29. Mai von 17 bis 19 Uhr laden die Handwerkskammer und die Kreishandwerkerschaft Münster zu einer Informationsveranstaltung im HBZ Münster ein. Anmeldung bei der HWK: Kathrin Hennenberg, Tel.: 0251 5203-229, E-Mail: kathrin.hennenberg@hwk-muenster.deDie Datenschutz-Grundverordnung (DSGVO) führt darüber hinaus neuartige Rechte und Pflichten ein, die über den bislang bestehenden Rechtsrahmen hinausgehen. Dies betrifft nicht nur Betriebe, deren Arbeitsabläufe unter Zuhilfenahme der Verarbeitung elektronischer Daten erfolgen, sondern gilt gleichermaßen auch für Kleinstbetriebe, bei denen die elektronische Datenverarbeitung nur eine untergeordnete Hilfstätigkeit darstellt. Neben der elektronischen Datenverarbeitung werden auch die klassischen Papierakten oder schriftlichen Arbeitsvorgänge von den neuen datenschutzrechtlichen Regelungen erfasst. 

Durch das neue Datenschutzrecht spielen künftig Fragen zur Speicherung von Kundendaten, der Erteilung von wirksamen Einwilligungserklärungen des Kunden und der Verarbeitung dieser Daten beispielsweise durch Weitergabe an Dritte eine gewichtigere Rolle. Beispielsweise ist jeder Handwerksbetrieb verpflichtet, bei der Weitergabe von Daten an Auftragsdatenverarbeiter – zum Beispiel externe Betreiber des firmeneigenen Internetauftritts – Verträge zur Auftragsverarbeitung mit diesen Dienstleistern abzuschließen.

Unter dem Begriff "Verarbeitung" versteht das neue Datenschutzrecht jegliche "Nutzung" personenbezogener Daten. Damit sind alle Tätigkeiten zwischen dem erstmaligen Erfassen dieser Daten und dem letztmaligen Vernichten der Datensätze gemeint.

Die Regelungen der EU-Datenschutzgrundverordnung unterscheiden nicht zwischen Unternehmen, deren primärer Unternehmenszweck das Sammeln und Auswerten von Kundendaten ist, und Kleinstbetrieben des Handwerks, die Daten nur zur Erfüllung ihrer handwerklichen Leistungen benötigen. Infolge dieser Schieflage gelten viele Vorschriften, die vom Inhalt her eher darauf ausgerichtet sind, das Sammeln und Auswerten von persönlichen Daten durch Datenkonzerne mit einem vernünftigen rechtlichen Rahmen zu umgeben, auch für Handwerksbetriebe.

Vereinfacht lässt sich das neue Datenschutzrecht wie folgt zusammenfassen: "Jede von einer Datenspeicherung betroffene Person soll zu jeder Zeit wissen, wer welche Daten zu welchem Zweck über sie speichert." Um dieses Ziel zu erreichen, hat der Gesetzgeber einen Regelungsrahmen geschaffen, der verschiedene Begrifflichkeiten von erheblicher Bedeutung beinhaltet.

Der "Verantwortliche" – ein zentraler Begriff

Einer der zentralen Begriffe des neuen Datenschutzrechts ist der "Verantwortliche" für die Verarbeitung von personenbezogenen Daten. Dies ist im Handwerksunternehmen der Betriebsinhaber. Er ist dafür verantwortlich, dass der von ihm geführte Betrieb die Anforderungen der DSGVO beachtet und auch einhält. Neben der Beachtung der klassischen Regelungen zum Datenschutz verlangt der neue Rechtsrahmen auch Maßnahmen zur Gewährleistung der Datensicherheit, beispielsweise durch Verschlüsselungssysteme beim elektronischen Datenverkehr.

Im Gegensatz zum alten Recht werden Bußgelder wegen der Verletzung von datenschutzrechtlichen Vorschriften nicht mehr gegen einzelne Mitarbeiter verhängt, sondern gegen diese Leitungsperson. Der Bußgeldrahmen ist erheblich erweitert worden. Er beträgt jetzt 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Insbesondere das Abstellen auf den Umsatz zeigt, dass der Gesetzgeber in Zukunft auch bei großen Datenunternehmen die Möglichkeit haben möchte, spürbare Bußgelder für Datenschutzverstöße zu verhängen.

Personenbezogene Daten

Grundsätzlich ist die Verarbeitung von personenbezogenen Daten verboten, es sei denn, eine gesetzliche Vorschrift erlaubt dies oder die von der Datenverarbeitung betroffene Person hat darin in einer bestimmten Art und Weise eingewilligt. Die für Handwerksbetriebe zentrale Norm für die Verarbeitung auf einer gesetzlichen Vorschrift ist Artikel 6 DSGVO. Auf dieser Grundlage kann der Betrieb Daten erfragen und verarbeiten, die zur Durchführung von vorvertraglichen Maßnahmen erforderlich sind oder die er zur Abwicklung eines im Anschluss abgeschlossenen Vertragsverhältnisses benötigt.

Das ist bei Vertragsverhandlungen etwa das Erfragen einer E-Mail-Adresse, um dem Kunden auf Wunsch einen Kostenvoranschlag zusenden zu können, oder nach Vertragsabschluss das Erfragen von Name und Telefonnummer eines Mieters für eine Terminabsprache, wenn die Arbeiten in einem Mietobjekt durchgeführt werden müssen. Welche Daten erfasst werden dürfen, ist immer eine Frage des Einzelfalls. So spielt beispielsweise das Geburtsdatum des Kunden bei der Durchführung von handwerklichen Leistungen in der Regel keine Rolle für die Vertragsdurchführung und darf daher nicht erfasst werden.

Wenn allerdings ein Fotograf für einen Kunden Aufnahmen anlässlich eines runden Geburtstages erstellen soll, darf er natürlich dieses Datum erfassen, da er ja ansonsten den Vertrag gar nicht durchführen könnte. Die Nutzung von Daten zu Werbezwecken ist zulässig, wenn sie zur Wahrung berechtigter Interessen des Betriebs erforderlich ist und die Interessen der betroffenen Person nicht überwiegen. Das kann zum Beispiel die Auswertung der Kundendatei sein, um bestimmte Kunden zielgerichtet mit Direktwerbung anzusprechen. Wenn der Handwerksbetrieb zusätzlich Daten erfassen möchte, die er nicht für die Durchführung des Vertrages benötigt, braucht er eine Erlaubnis, die Einwilligungserklärung heißt.

Für diese Einwilligung der betreffenden Person stellt die DSGVO Regeln auf, deren Missachtung dazu führt, dass die Einwilligung unwirksam ist. Beispielsweise ist der Betroffene in einer einfachen und verständlichen Sprache darüber aufzuklären, zu welchen Zwecken die erfragten Daten verwendet werden sollen. Die Einwilligung muss freiwillig sein und darf zum Beispiel nicht daran gekoppelt werden, dass der Betroffene dadurch einen Nachlass auf den Preis erhält. Mit der Freiwilligkeit korrespondiert das Recht des jederzeitigen Widerrufs der Einwilligung. Der Widerruf gilt aber nur für die Zukunft. Bis zum Zeitpunkt des Widerrufs durchgeführte Verarbeitungen bleiben also rechtmäßig. Das einfache Mitteilen von Daten durch einen Kunden stellt also in keinem Fall eine wirksame Einwilligungserklärung in die weitere Verarbeitung dar. In diesem Fall verbleibt es bei der Datennutzung auf der oben beschriebenen Grundlage des Artikel 6 DSGVO.

Betroffenenrechte

Die von einer Datenverarbeitung betroffene Person kann gegen den Verantwortlichen Betroffenenrechte geltend machen, beziehungsweise diese sind zum Teil auch unaufgefordert von dem Verantwortlichen zu erfüllen. Die beiden wichtigsten Rechte sind das Recht auf Information und das Recht auf Auskunft. Der Verantwortliche muss bereits im Zeitpunkt des erstmaligen Erhebens von persönlichen Daten die betroffene Person sehr umfangreich über die Modalitäten der Datenspeicherung informieren. Er muss dem Betroffenen insbesondere schriftlich oder elektronisch mitteilen, welche Daten er zu welchem Zweck verarbeitet, wie lange er die Daten speichern will, welche Betroffenenrechte der betroffenen Person zustehen und bei welcher datenschutzrechtlichen Aufsichtsbehörde sie Beschwerden über die Art und Weise der Datenverarbeitung vorbringen kann. Dieser Informationsverpflichtung muss der Verantwortliche von sich aus nachkommen.

Es spielt keine Rolle, ob er die Daten von dem Kunden zur Verfügung gestellt bekommen hat. Entscheidend ist lediglich, dass er sie für seine Zwecke "verarbeitet". Das Recht auf Information wird abgerundet durch das Recht auf Auskunft. Danach hat jede von einer Datenverarbeitung betroffene Person ein umfassendes Auskunftsrecht gegen die für die Datenverarbeitung verantwortliche Stelle. Der Verantwortliche muss dem Betroffenen vollständige Auskunft darüber erteilen, welche Daten über ihn gespeichert worden sind, wie lange er diese Daten noch speichern möchte und in welcher Art und Weise diese verarbeitet wurden. Sowohl die Information als auch die Auskunft müssen kostenlos erfolgen.

Datenschutzmanagementsystem

Neben diesen Inhalten hat der Verantwortliche durch eine Vielzahl von Regelungen auch dafür zu sorgen, dass die Daten bei der Verarbeitung beispielsweise vor Verlust oder unbefugter Kenntnisnahme durch Dritte geschützt werden. Neben rein tatsächlichen Schutzmaßnahmen, zum Beispiel keine Kundengespräche über sensible Kundendaten im Großraumbüro und organisatorischen Maßnahmen (Benutzerrechte, Virenscanner und regelmäßiges Wechseln von Passwörtern) sind insbesondere Beschäftigte, die mit personenbezogenen Daten arbeiten, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung von personenbezogenen Daten nach den Grundsätzen der DSGVO erfolgt.

Prägendes Element eines solchen Systems ist das sogenannte Verarbeitungsverzeichnis. Darin muss der Verantwortliche alle Verarbeitungstätigkeiten nach einer bestimmten Vorgabe auflisten, die in seinem Unternehmen vorkommen. Für die Erstellung des Verarbeitungsverzeichnisses existieren auf den Seiten der Landesdatenschutzbeauftragten Vorlagen und Formulierungshilfen. Neben einem Meldesystem für Datenschutzverstöße zeichnet sich ein funktionierendes Datenschutzmanagementsystem auch durch Schulungen der Mitarbeiter in der Handhabung des Datenschutzes aus.

Datenschutzbeauftragter

Ein weiterer zentraler Begriff des neuen Datenschutzrechts ist der bereits aus dem bisherigen Bundesdatenschutzgesetz bekannte Datenschutzbeauftragte. Handwerksunternehmen müssen einen Datenschutzbeauftragten bestellen, wenn regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. "Ständig beschäftigt" ist, wer zum Beispiel permanent in der Kunden- oder Personalverwaltung arbeitet. Wer als Geselle oder Mitarbeiter nur mit Namen und Adressen von Kunden umgeht, ist nicht ständig mit der automatisierten Verarbeitung beschäftigt. Allerdings sind die Grenzen fließend. Wenn der Geselle im Rahmen der Auftragsannahme vor Ort "ständig" personenbezogene Daten aufnimmt oder diese in das EDV-System eingibt, kann schnell die Grenze zur ständigen automatisierten Beschäftigung mit personenbezogenen Daten überschritten sein.

Die Beantwortung dieser Frage ist also grundsätzlich abhängig von den Geschäftsmodellen des betroffenen Handwerksbetriebs und kann daher nur abstrakt erteilt werden. Neben quantitativen Erwägungen ("zehn Personen") hält der Gesetzgeber bestimmte Arten der Datenerhebung für qualitativ so hochwertig, dass er auch hier zwingend die Bestellung eines Datenschutzbeauftragten vorsieht. So muss insbesondere ein Handwerksbetrieb, zu dessen Kerntätigkeit die Verarbeitung von Gesundheitsdaten gehört, unabhängig von der Beschäftigtenzahl einen Datenschutzbeauftragten bestellen.

Gleiches gilt für den Fall, dass es zu den Kerntätigkeiten eines Unternehmens gehört, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen. Die Kontaktdaten des Beauftragten – nicht der Name – sind der datenschutzrechtlichen Aufsichtsbehörde zu melden. Die Hinterlegung einer E-Mail-Adresse (datenschutzbeauftragter@mustermann-gmbh.de) und einer Telefonnummer reicht. Der Datenschutzbeauftragte kann sowohl interner Mitarbeiter, als auch externer Dienstleister sein. Der interne Mitarbeiter genießt aufgrund seiner Stellung als Datenschutzbeauftragter besonderen Kündigungsschutz; ihm kann nur aus wichtigem Grund gekündigt werden. Zu den Aufgaben eines Datenschutzbeauftragten gehört neben der Beratung auch die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften. Das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes – die sogenannte Artikel-29-Datenschutzgruppe – vereint allerdings eine persönliche Haftung des Datenschutzbeauftragten gegenüber Geschädigten, da die DSGVO diese Haftung ausdrücklich dem sogenannten "Verantwortlichen" – siehe oben – zuweist. Im Innenverhältnis dürften die allgemeinen Regelungen zur Arbeitnehmerhaftung greifen.

Umsetzung

Eine passgenaue Ausrichtung von Datenschutz und Datensicherheit erfordert zunächst eine Bestandsaufnahme der vorhandenen Arbeitsabläufe und Datenverarbeitungsvorgänge. Vereinfacht gesagt muss ein "datenschutzrechtliches Aufmaß" genommen werden. Davon ausgehend sollte eine datenschutzrechtliche Planung erstellt werden, die nach ihrer Umsetzung keine datenschutzrechtlichen Mängel aufweist und insbesondere den "allgemein anerkannten Regeln" des Datenschutzrechts entspricht.

Am 29. Mai von 17 bis 19 Uhr laden die Handwerkskammer und die Kreishandwerkerschaft Münster zu einer Informationsveranstaltung im HBZ Münster ein. Anmeldung bei der HWK: Kathrin Hennenberg, Tel.: 0251 5203-229, E-Mail: kathrin.hennenberg@hwk-muenster.de