Auf einen Blick:
Nach Einschätzung des Beauftragten für Datenschutz bei der Kammer Braunschweig-Lüneburg-Stade müssen Handwerksbetriebe bei der Umsetzung der Datenschutz-Grundverordnung im Wesentlichen fünf Punkte angehen.
Er empfiehlt, sich zunächst vor allem auf Dinge zu konzentrieren, die nach außen sichtbar sind.
Einen Datenschutz-Beauftragten brauchen nicht alle Handwerksbetriebe. Er ist erst Pflicht, wenn in einem Betrieb zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind.
Gute Nachricht: Bei der Umsetzung der DSGVO können Handwerksbetriebe auf einen Leitfaden mit zahlreichen Mustern und Checklisten zurückgreifen, die der Zentralverband des Deutschen Handwerks (ZDH) erstellt hat.
Datenschutz-Grundverordnung (DSGVO)? Dazu gibt es eine Flut an Informationen. Aber nicht nur das: Die Neuerungen rufen viele Dienstleister auf den Plan. Zum Teil schüren die bewusst Ängste. Aber ist wegen der DSGVO Panik angesagt? Wir klären die wichtigsten Fragen.
Was ändert sich tatsächlich?
„Die Umsetzung ist kein Hexenwerk“, sagt Udo Kaethner. Nach Einschätzung des Beauftragten für Datenschutz bei der Kammer Braunschweig-Lüneburg-Stade müssen Handwerksbetriebe künftig nicht viel mehr leisten als jetzt schon. Dieser Ansicht ist auch Markus Peifer, Datenschutzexperte vom Zentralverband des Deutschen Handwerks (ZDH). „Die DSGVO ersetzt weitestgehend die Regelungen des bisherigen nationalen Datenschutzrechts“, sagt er. Dabei orientiere sie sich strukturell wie inhaltlich stark am deutschen Datenschutzrecht. Daher gäbe es für Handwerksbetriebe, abgesehen von redaktionellen und sprachlichen Aspekten, inhaltlich nur sehr wenige praxisrelevante Änderungen.
Was müssen Handwerksbetriebe machen?
Udo Kaethner sieht dennoch Handlungsbedarf für Betriebe. Er nennt fünf Dinge, die sie angehen sollten:
Neukunden künftig über die Datenerhebung informieren.
Die Dokumentationspflichten erfüllen, in dem sie ein Verarbeitungsverzeichnis anlegen.
Die Auskunftspflichten gegenüber Betroffenen erfüllen.
Für die Auftragsdatenverarbeitung eine Vereinbarung mit den Dienstleistern schließen. Sie klärt, was Dienstleister mit den zur Verfügung gestellten Daten machen dürfen.
Gegebenenfalls einen Datenschutzbeauftragten benennen.
Womit sollten Betriebe anfangen?
Viele Chefs haben Angst, dass Abmahnanwälte die DSGVO nutzen, um Betriebe zur Kasse zu bitten. Ein solches Szenario hält auch Kaethner für realistisch. Daher rät er Unternehmern, sich bei der Umsetzung zunächst auf die Dinge zu konzentrieren, die nach außen sichtbar sind. Als Beispiele nennt er die
Datenschutzerklärung auf der Website und
eine Website mit Sicherheitszertifikaten wie SSL oder TLS. Damit stellt der Betrieb sicher, dass personenbezogene Daten verschlüsselt über das Internet übertragen werden.
Wie kann die DSGVO umgesetzt werden?
Der ZDH hat einen Leitfaden mit zahlreichen Mustern und Checklisten verfasst. Damit können Handwerksbetriebe die Anforderungen mit überschaubarem Aufwand erfüllen, so ZDH-Experte Markus Peifer. Er hält externe Berater in der Regel nicht für erforderlich. „Die können einen Mehrwert bieten, wenn ein Betrieb mit äußerst vielen und sehr umfassenden Datensätzen agiert und eine entsprechend komplexe IT-Infrastruktur vorhält“, sagt der Experte. Dies dürfte im Handwerk jedoch die Ausnahme sein.
Wer hilft bei Problemen mit der Umsetzung?
Bei Fragen zur Umsetzung der DSGVO rät Markus Peifer Unternehmern, die Beratungsangebote der Handwerksorganisationen wie Kammern und Innungen in Anspruch zu nehmen. „Diese Beratungsleistungen sind effektiv und kostenlos“, so der ZDH-Experte.
Wer braucht Datenschutzbeauftragte?
Betriebe müssen einen Datenschutzbeauftragten benennen, wenn in der Regel zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Das sieht das neue Bundesdatenschutzgesetz (BDSG-neu) vor, aus dem sich zusammen mit der DSGVO die Anforderungen an den betrieblichen Datenschutzbeauftragten ergeben.
Für DSGVO-Expertin Carola Fenske betrifft das vor allem Personen, die Bürotätigkeiten ausüben. „Sie kommen ständig mit personenbezogenen Daten in Berührung, wenn sie zum Beispiel Rechnungen erstellen, E-Mails versenden oder die Arbeitszeit von anderen Mitarbeitern erfassen“, sagt die Mitarbeiterin der Landesbeauftragten für den Datenschutz Niedersachsen (LfD). Doch auch andere Mitarbeiter, die regelmäßig Zugang zu Datenverarbeitungssystemen mit personenbezogenen Daten haben, zählen gleichermaßen zu den 10. Das gelte auch für Mitarbeiter, die Kundenaufträge und Arbeitszeiten digital dokumentieren – zum Beispiel per Tablet.
„Der Datenschutzbeauftragte soll im Idealfall den Unternehmer im Hinblick auf den Datenschutz auch beratend unterstützen“, sagt Kaethner. Daher könnten Betriebe natürlich auch freiwillig einen Datenschutzbeauftragten benennen, auch wenn sie weniger als 10 Mitarbeiter haben.
Wer prüft die Betriebe?
Die Umsetzung der DSGVO wird von der jeweils zuständigen Aufsichtsbehörde geprüft. In Niedersachsen ist das zum Beispiel die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) mit aktuell 47 Mitarbeitern. Sie ist für mehr als 300.000 Betriebe zuständig. LfD-Sprecher Jens Thurow sagt deshalb, dass die Behörde bei der Prüfung künftig Schwerpunkte bilden wird. Zudem werde es bei Hinweisen auf begründete Verstöße auch anlassbezogene Kontrollen geben.
Auch interessant: [embed]https://www.handwerk.com/dsgvo-was-kleine-betriebe-wirklich-wissen-muessen[/embed]