Richterhammer, Gesetzesbuch und Waage auf Tisch
Piotr Adamowicz, iStockphoto

Die EU-Datenschutz-Grundverordnung

Seit dem 25.05.2018 gilt die neue Datenschutz-Grundverordnung (DSGVO), also auch für Handwerksbetriebe aller Branchen und Größenklassen, die mit personenbezogenen Daten, beispielsweise auch der eigenen Mitarbeiter, umgehen. Handwerksbetriebe müssen sicherstellen, dass sie die erforderlichen Anpassungen vorgenommen haben.

Der Zentralverband des deutschen Handwerks (ZDH) hat einen Leitfaden für Handwerksbetriebe herausgegeben, in dem nachgelesen werden kann, was Betriebe künftig zu beachten haben. Dieser Leitfaden thematisiert zum Beispiel die für die handwerkliche Praxis wichtigsten Aspekte und Fragen. Er bietet neben rechtlichen Erklärungen zahlreiche Beispielsfälle, Checklisten und Muster, die in der betrieblichen Praxis genutzt werden können.

Für Handwerksbetriebe hat der ZDH eine Reihe von Merkblättern und Formularen zum Thema Datenschutz-Grundverordnung zusammengestellt. 

Mit folgenden Maßnahmen zum Ziel

1. Dokumentation

Zunächst muss dokumentiert werden, welche Daten in welcher Form und wem sowohl innerbetrieblich und auch außerbetrieblich zugänglich gemacht werden.

 

2. Risikobewertung

Auf Grundlage des Verarbeitungsverzeichnisses ist eine Risikobewertung vorzunehmen: Wie könnten Daten in unbefugte Hände geraten und wie hoch ist hierfür die Wahrscheinlichkeit? Bei Cloud-Diensten ist darum auf entsprechende Vorkehrungen des Anbieters zu achten.


3. Sicherungsmaßnahmen

Entsprechend dem festgestellten Risiko besteht die Verpflichtung, "technische und organisatorische Maßnahmen" zu ergreifen. Das können Virenschutz, Passwörter, Löschfristen oder auch Einbruchschutzmaßnahmen sein.
Die Datenverarbeitung über einen externen Dienstleister abzuwickeln, kann hier viel Erleichterung bringen.


4. Einwilligungserklärung / Auskunftsrecht / Löschungsrecht

Auch die Rechte der Betroffenen, also der Menschen, deren persönliche Daten verarbeitet werden, wurden gestärkt. Daher müssen Betriebe von ihren Kunden Einwilligungserklärungen unterzeichnen lassen und aufbewahren – besonders, wenn es sich um Gesundheitsdaten handelt. Kunden haben zudem weitreichende Rechte auf Auskunft über die Datenweitergabe und das Recht auf Löschung der Daten.


5. Anzeigepflicht

Unternehmen sind ab Mai 2018 verpflichtet, Datenpannen innerhalb von 72 Stunden beim Landesdatenschutzbeauftragten Baden-Württemberg sowie den Betroffenen zu melden. Dies gilt für alle Arten von Daten.


6. Weitere Maßnahmen

  • Betriebe, die in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, benötigen einen betrieblichen Datenschutzbeauftragten. Dieser überwacht das vorgesehene Schutzniveau und kümmert sich um die Einhaltung der komplexen Vorgaben. Auch für kleinere Betriebe könnte es hilfreich sein, externe Beratung in Anspruch zu nehmen.
  • Bei Datenverarbeitungsdienstleistern sollte man zudem auf deutsche oder EU-weit tätige Anbieter zugreifen und die Einhaltung der DSGVO im Vertrag absichern. Werden über andere Dienstleister Kundendaten ausgetauscht, wie z. B. über die US-amerikanischen Anbieter Whats-App oder Dropbox, liegt eine unerlaubte „Übermittlung an Drittstaaten“ vor, falls keine entsprechende Einwilligung der betroffenen Person vorliegt.
  • Auch Mitarbeitervereinbarungen sollten hinsichtlich der Nutzung und Übermittlung von Kundendaten überprüft werden. Konsequent sollten Passwörter und andere Schutzmaßnahmen am Arbeitsplatz verwendet und beachtet werden.