Anzeige
Anzeige
Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik Ad placeholder
Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik Ad placeholder
Print this page

Verschärfter Datenschutz: Was muss künftig beachtet werden?

21.11.2016 - Aktualisiert am 15.03.2018
Regina Mühlich

Die neue EU-Datenschutzgrundverordnung wird gravierende Auswirkungen auf den Umgang mit Kunden- und Mitarbeiterdaten haben. Wie sich Fachhandwerksbetriebe auf den verschärften Datenschutz einstellen können, zeigt unser Beitrag.

Verschärfter Datenschutz: Was muss künftig beachtet werden?
© Thinkstock
Inhalt

Vier Jahre lang heftig diskutiert und debattiert, wurde sie jetzt verabschiedet: Die neue EU-Datenschutzgrundverordnung (EU-DSGVO). Im April 2016 erfolgte die Zustimmung seitens des EU-Rats und EU-Parlaments. Am 4. Mai 2016 wurde sie im Amtsblatt veröffentlicht. Die Verordnung gilt ab 25. Mai 2018. Der Termin ist zwar noch weit weg, aber Unternehmer sind gut beraten, sich schon heute auf die Auswirkungen einzustellen. Denn vor allem Kundendaten wollen gut geschützt werden.

Was ändert sich mit dem neuen Datenschutzgesetz für Fachhandwerker?

Ob das EU-Datenschutzgesetz wirklich strenger als das bisherige deutsche Recht ist, wird kontrovers diskutiert. Wie so oft kommt es auf den Blickwinkel des einzelnen Unternehmens an. Die EU schraubt an vielen Stellen:

1. Hohe Bußgelder drohen

Waren sie bisher kaum ein Thema, macht Brüssel bei den Sanktionen nun Ernst. Sie sollen „wirksam und abschreckend“ sein. Hält sich ein Handwerksunternehmen nicht an die neuen Vorgaben, drohen empfindliche Geldbußen, z. B. bei Verstößen gegen Organisationsregeln bis zu zwei Prozent des Umsatzes oder 10 Mio. Euro – je nachdem, welche Summe höher ist. Bei Verstößen gegen Zulässigkeit und Rechte der Betroffenen sollen zukünftig Bußgelder bis 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes verhängt werden. Der Bußgeldkatalog ist bindend. Die Aufsichtsbehörden haben keinen Ermessensspielraum.

2. Datenschutzbeauftragter haftet

Wie schon bisher besteht für Handwerksbetriebe bei gegebenen Bedingungen Bestellpflicht für einen Datenschutzbeauftragten. Dies ist der Fall, sobald neun oder mehr Mitarbeiter (Voll- und Teilzeit) mit personenbezogenen Daten (Stunden- oder Lohnabrechnung, Angebotserstellung, Auftragsbearbeitung etc.) in Kontakt kommen bzw. diese maschinell verarbeiten. Zu den bisherigen Aufgaben des Datenschutzbeauftragten – Sicherstellungs- und Hinwirkungsauftrag – wird jedoch ein Überwachungsauftrag hinzukommen. Da der Datenschutzbeauftragte die Umsetzung datenschutzrechtlicher Vorschriften nicht selbst vornehmen kann, konnte er bislang auf die Einhaltung von Gesetz und Vorschriften zum Datenschutz nur hinwirken. Die EU-DSGVO verlangt zukünftig die Überwachung, dass alle Vorgaben und Regeln eingehalten werden. In der Konsequenz haften nun im Handwerk Unternehmer und Datenschutzbeauftragte auch persönlich.

3. Schulungen und Nachweispflicht bindend

Die Betriebe müssen wirksame Datenschutzrichtlinien einführen und ihre Mitarbeiter schulen. Neu ist, dass die Einhaltung nachgewiesen werden muss. Ein effektives Datenschutz-Managementsystem inklusive Risikoanalysen, Strukturen, Prozessen, Kontrollen und Change Management wird notwendig. Des Weiteren müssen auch Handwerker betroffene Personen über deren Datenverarbeitung künftig umfassender und früher informieren – das kann sowohl Kunden, Interessenten, Lieferanten als auch Geschäftspartner betreffen.

4. Folgeabschätzung verpflichtend

Neu ist auch die Pflicht zur Datenschutz-Folgeabschätzung. Wobei, so ganz neu ist das Thema nicht. § 4d im aktuellen Bundesdatenschutzgesetz regelt dies bereits mit der Vorabkontrolle. Setzt ein Unternehmen eine neue Technik oder ein neues System zur Datenverarbeitung ein, sollen Risiken für betroffene Personen erkannt und bewertet werden. Angesichts der unterschiedlichen Interessen und Rollen der Beteiligten sollen so Grundrechtsverletzungen verhindert werden.

Die sechs Schutzziele, wie Verfügbarkeit, Integrität und Vertraulichkeit sowie aus den Datenschutzzielen die Nichtverkettbarkeit, Transparenz und Intervenierbarkeit, werden nicht nur aus der Unternehmensperspektive zur Sicherung der Geschäftsprozesse betrachtet. Vielmehr geht es um die Organisation selbst, die Daten verarbeitet und als Risiko betrachtet wird. Wenn also eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.

5. Auftragsverarbeitung erweitert

Lange diskutiert wurde die Abgrenzungsfrage, wann die Tätigkeit eines Dienstleisters aus seiner technischen Unterstützung in die eigenverantwortliche Verarbeitung im Sinne des § 3 Abs. 7 BDSG übergeht. Nach der neuen EU-Vorgabe hat der für die Verarbeitung Verantwortliche grundsätzlich die Zwecke der Verarbeitung vorzugeben, dem Auftragsverarbeiter bleibt jedoch die Entscheidung über die Mittel. Dadurch werden die bisherigen Funktionsübertragungen in Zukunft regelmäßig unter die Auftragsverarbeitung fallen.

© Thinkstock/NiroDesign
Schön wär’s: Man könnte Datenschutz per Tastatur regeln.

Gestärkte Persönlichkeitsrechte

Datenschutz klingt vordergründig, als müssten Daten geschützt werden. Doch vielmehr geht es um den Schutz all der Personen, welche diese Daten „verursachen“. Die Schutzwürdigkeit der Persönlichkeitsrechte liegt dem Datenschutz zugrunde bzw. macht ihn überhaupt erst notwendig. Demzufolge ist es nur logisch, dass die neue EU-Datenschutzgrundverordnung insbesondere die Rechte der betroffenen Personen stärkt.

1. Recht auf Vergessen

An erster Stelle sei das neue „Right to be forgotten“ genannt. Es bedeutet, dass bei der Veröffentlichung von Daten angemessene, auch technische, Maßnahmen ergriffen werden müssen, um dritte Parteien über einen Löschungswunsch informieren zu können. Damit haben Nutzer zukünftig das Recht, Informationen leichter wieder löschen zu lassen. Auch der Empfänger, an den ein Unternehmen Daten weitergegeben hat, muss über eine Löschung informiert werden.

2. Datenportabilität

Ein weiteres neues Recht stellt die Datenportabilität dar. Sie begründet den Anspruch Betroffener auf eine Kopie verarbeiteter Daten, wobei die Übergabe in einem gängigen und strukturierten Format erfolgen muss. Für Unternehmen wird die Umsetzung dieser Regelung sicherlich aufwendig und auch teuer werden. Die Datenportabilität gilt auch, wenn beispielsweise ein Arbeitsverhältnis endet.

3. Koppelungsverbot

Vertragliche Zusatzleistungen dürfen nicht mehr daran geknüpft werden, dass die betroffene Person in die Verarbeitung der Daten einwilligt. Dies betrifft vor allem das gängige Prozedere „Dienst gegen Daten“.

4. Arbeitnehmerdatenschutz

Für den Arbeitnehmerdatenschutz gibt es eine nationale Öffnungsklausel. Es bleibt abzuwarten, wie die Bundesregierung mit der Öffnungsklausel hinsichtlich des Arbeitnehmerdatenschutzes umgeht. Es ist davon auszugehen, dass § 32 BDSG „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ weitestgehend unverändert bleibt. Betriebsvereinbarungen sind weiterhin eine Alternative, setzen jedoch eine gute Zusammenarbeit mit dem Betriebsrat voraus.

Firmen müssen ihre IT-Systeme nach dem Grundsatz der Erforderlichkeit und Zweckbindung gestalten, z. B. sollen von vornherein nur so viele personenbezogene Daten gesammelt und verarbeitet werden, wie es zur Erreichung des Zweckes konkret notwendig ist. Wenn immer möglich, sind diese Daten zu pseudonymisieren. Insbesondere dem Grundsatz Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) ist hier Genüge zu tun.

Checkliste für Handwerksbetriebe

Handwerksbetriebe können sich jetzt schon in Ruhe vorbereiten. Wird rechtzeitig Punkt für Punkt der Checkliste abgearbeitet, dann gibt es im Mai 2018 kein böses Erwachen.

  • Prüfen Sie bereits jetzt, welche Systeme im Betrieb von der neuen Gesetzgebung betroffen sind, z.B. Abrechnungs- und Warenwirtschaftssystem, Kameraüberwachung im Lager, Notebook, Smartphone, Digitalkamera, Navigationsgeräte im Betriebsfahrzeug etc.
  • Prüfen Sie Ihr bestehendes Datenschutzmanagement-System auf Gesetzeskonformität. Wo steht Ihr Betrieb jetzt und was ist zu tun, um den neuen Anforderungen gerecht zu werden?
  • Führen Sie eine Risiko-Analyse durch. Welche Risiken und Gefährdungen drohen Ihrem Unternehmen?
  • Planen Sie Ihre Ressourcen – sowohl im Hinblick auf Mitarbeiter als auch auf das Budget.
  • Erstellen Sie einen Plan, was wann zu tun ist, welche Veränderungen und welche Anpassungen notwendig werden. Einige Arbeitsschritte können schon jetzt umgesetzt werden.
  • Die EU-DSGVO sieht vor, dass die meisten Unternehmen einen Datenschutzbeauftragten bestellen müssen. Unabhängig davon, wie der deutsche Gesetzgeber mit der Öffnungsklausel umgeht: Jetzt ist der beste Zeitpunkt, die interne Situation zu prüfen und sich rechtzeitig externe Unterstützung zu holen.
  • Vorgesehen sind zudem umfassende Rechenschafts- und Dokumentationspflichten. Überlegen Sie, wie und mit welchen Mitteln Sie dies zukünftig gewährleisten können.

Dieser Beitrag von Regina Mühlich ist zuerst erschienen in SBZ/19-2016. Regina Mühlich ist als externe Datenschutzbeauftragte und Managementberaterin tätig und betreut bundesweit kleine und mittelständische Unternehmen.

Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik Ad placeholder