Die neue Datenschutzgrundverordnung - Fragen und Antworten
Sie wird zukünftig auch in Deutschland regeln, wie Unternehmen und öffentliche Institutionen mit personenbezogenen Daten umzugehen haben. Die Verunsicherung darüber, was Betriebe erwartet, ist groß.
Was steht eigentlich drin in der neuen DSGVO, was müssen Betriebe beachten und wo laufen sie ins offene Messer? Auskunft gibt der Datenschutzbeauftragte vom Zentralverband des Deutschen Handwerks e.V. (ZDH), Dr. Markus Peifer.
Warum ist die neue DSGVO notwendig?
Bislang regelte eine EU-Richtlinie von 1995 alle Belange des Datenschutzes in Europa. Zwar gab es 1995 schon das Internet, aber Facebook & Co. waren noch nicht geboren und eBay und Amazon steckten noch in den Kinderschuhen. Seitdem hat sich die Welt der Daten grundstürzend verändert, so dass es an der Zeit war, mit den Datenschutzbestimmungen nachzuziehen. Da die Datenverarbeitung keine Landesgrenzen kennt, war eine europäische Regelung naheliegend. Noch besser wäre natürlich eine globale Verordnung, doch sie wird vermutlich ein frommer Wunsch bleiben. Auch die alte Regelung von ’95 war schon eine europäische, allerdings konnten die Mitgliedsstaaten hier zusätzliche nationale Bestimmungen einbringen. Damit ist jetzt Schluss.
Was bringt die DSGVO an Veränderungen?
Die DSGVO ist flexibler und moderner als die alte Verordnung und verfolgt einen risikobasierten Ansatz. Das heißt: Unternehmen müssen selbst erwägen, wie hoch das Risiko ist, durch ihre Verarbeitung personenbezogener Daten die Rechte und Freiheiten natürlicher Personen einzuschränken. Bei einem Arzt, der genetische und andere Gesundheitsdaten oder Informationen zur sexuellen Ausrichtung eines Menschen verarbeitet, ist dieses Risiko natürlich viel höher als bei einem Sanitärbetrieb, der Adresse, Größe des Badezimmers und stilistische Wünsche des Kunden speichert. Für ihn ändert sich nicht viel.
Neu und auch für den kleinen Handwerksbetrieb bindend ist die erweiterte Informationspflicht: Betriebe müssen ihre Kunden darüber aufklären, welche Daten warum gespeichert werden und was mit diesen geschieht – z. B. ob sie weitergegeben oder nach einem festgesetzten Zeitraum wieder gelöscht werden. Wir empfehlen, entsprechende Hinweise auf der ersten schriftlichen Kommunikation mit dem Kunden einzufügen. Das kann das Angebot, die Auftragsbestätigung oder der Vertrag selbst sein. Wie diese Hinweise aussehen sollten, zeigt Ihnen ein Leitfaden des ZDH, den Sie auf der Webseite finden und kostenlos downloaden können: www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksorganisationen. Er enthält alle wichtigen Informationen sowie Musterverträge, Vorlagen und Einwilligungen.
Wann brauchen Betriebe einen Datenschutzbeauftragten?
Sobald in einem Betrieb mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, benötigt dieser einen Datenschutzbeauftragten. Als ständig befasst gelten allerdings nur solche Mitarbeiter, deren alltägliche Kerntätigkeit die Datenverarbeitung ist. Dies gilt etwa für Mitarbeiter der Lohnbuchhaltung oder der Personalabteilung. Dies entspricht der klaren Rechtsauffassung der Aufsichtsbehörden. Falls Sie irgendwo lesen, dass ein Handwerksbetrieb, der lediglich täglich zehn Monteuren Namen und Adressen seiner Kunden auf das Smartphone oder Tablet schickt, einen Datenschutzbeauftragten benennen muss, ist dies zum einen einer sehr vorsichtigen Auslegung der neuen Vorschriften geschuldet und zum anderen inzwischen überholt. . Handwerksbetriebe brauchen in der Regel keinen Datenschutzbeauftragten.
Darf ein Handwerksbetrieb ungefragt Newsletter verschicken?
Wollen Sie Newsletter verschicken, müssen Sie unterscheiden, ob Sie Ihre Kunden postalisch oder per E-Mail erreichen wollen. Nach dem neuen Datenschutz wären beide Wege ohne vorherige Zustimmung des Kunden möglich. Jedoch ist bei Werbemaßnahmen per E-Mail das Wettbewerbsrecht zu beachten, dass eine vorherige Einwilligung Ihrer Kunden verlangt. In jedem Fall gilt: Sie müssen Ihren Kunden stets die Möglichkeit geben, den Newsletter abbestellen zu können.
Die Buße folgt auf dem Fuße – oder auch nicht.
Die Sanktionierung von Verstößen gegen den Datenschutz regelt Artikel 83 DSGVO. Hier werden u. a. Geldbußen bis zu 20 Mio. Euro bzw. bis zu vier Prozent des weltweiten Unternehmensumsatzes festgelegt. Diese Bußgelder sind allerdings eher auf global agierende Unternehmen wie Facebook & Co. gemünzt und werden in der Regel nur erhoben, wenn sich Betroffene im Umgang mit den Behörden unkooperativ zeigen oder vorsätzlich den Datenschutz missachten. Handwerksbetriebe, die sich an die Informationspflicht halten, bei Notwendigkeit einen Datenschutzbeauftragten benennen und in den erforderlichen Fällen eine Einwilligung einholen, müssen sich wie bisher keine Sorgen machen.
Wie kann ein Betrieb für Datensicherheit sorgen?
Die Vorkehrungen sollten dem Risikofaktor des Betriebes entsprechen. Für einen gewöhnlichen Handwerksbetrieb heißt das: Passwort-Schutz und Firewall auf dem Rechner, Aufbewahrung von Mitarbeiter-Daten in einem abschließbaren Schrank. Umfassende IT-Sicherheitskonzepte benötigen dagegen nur Unternehmen mit komplizierten Strukturen. Sollte Ihr Rechner tatsächlich mal gehackt werden, sind Sie verpflichtet, dies an die Aufsichtsbehörde – die Berliner Beauftragte für Datenschutz und Informationsfreiheit – zu melden: https://www.datenschutz-berlin.de/datenschutz/datenpanne/datenpannenformular/. Darüber hinaus wären Sie verpflichtet, die Betroffenen – Ihre Kunden – zu informieren.
Auch wenn nichts von dem, was bisher erlaubt war, jetzt verboten ist, sollten Betriebsinhaber ihre Pflichten ernst nehmen, zumal das Thema Datenschutz auf zunehmendes Interesse in der Bevölkerung stößt. Ihre Aufgabe ist es, mit gutem Beispiel voran zu gehen und außerdem Ihre Mitarbeiter über den internen Umgang mit Daten aufzuklären. Das ist schon deshalb wichtig, damit sie Kunden im Bedarfsfall Auskunft geben können. Darüber hinaus haben sie so die Gewissheit, dass auch mit ihren eigenen Daten im Betrieb verantwortungsvoll umgegangen wird.
Das Interview ist in der Unternehmenszeitung BR.Reflex erschienen.