Die wichtigsten Punkte in Kürze erklärt

Die neue Datenschutzgrund­verordnung in der Praxis

29. Oktober 2018

-

Betrifft mein Unternehmen das Thema Datenschutz überhaupt? Was sind denn eigentlich personenbezogene Daten? Brauche ich einen Datenschutzbeauftragten? Welche Bußgelder drohen im Falle eines Verstoßes? Mit diesen und ähnlichen Fragen sehen sich derzeit viele Unternehmen konfrontiert.

Anzeige

DSGVO

Häufig handelt es sich dabei um kleinere Elektrobetriebe, denen schlicht die Zeit oder die Kapazitäten fehlen, sich mit diesem äußerst undurchsichtigen Thema zu befassen und die schier unzähligen Regelungen umzusetzen.

Im Folgenden wird ein kompakter Überblick zu den wichtigsten Punkten der EU-Datenschutzgrundverordnung (EU-DSGVO) gegeben und damit aufgezeigt, welche Pflichten sich daraus ergeben und wie Unternehmer diese umsetzen können.

Übergangsfrist endete am 25.5.2018

Seit Anfang des Jahres herrscht sowohl in den Medien als auch in der Politik und der Gesellschaft ein regelrechter Hype um das Thema Datenschutz. Grund hierfür ist die neue EU-DSGVO.

Was jedoch nur die wenigsten wissen: diese ist bereits am 25.5.2016 in Kraft getreten – am 25.5.2018 endete jetzt die Übergangsfrist, wodurch die Verordnung nun in allen Mitgliedstaaten der Europäischen Union verbindlich gültig ist.

Wen betrifft die Datenschutzgrundverordnung überhaupt?

Entgegen zahlreicher Gerüchte betrifft das Thema Datenschutz jedes Unternehmen, welches im Rahmen der Geschäftstätigkeit personenbezogene Daten verarbeitet – wie groß das Unternehmen ist bzw. wie viele Mitarbeiter beschäftig sind, spielt dabei überhaupt keine Rolle. Bei »personenbezogenen Daten« handelt es sich um alle Informationen, die sich auf eine natürliche Person beziehen und direkt oder indirekt Rückschlüsse auf die Person zulassen. Klassische direkte personenbezogene Daten sind z.B. der Vor- und Nachname, die Adresse und das Geburtsdatum.

Aber auch bei beispielsweise dem Einkommen oder dem Zinssatz handelt es sich um personenbezogene Daten, da dadurch indirekt Rückschlüsse auf eine Person möglich sind. Unbedeutend dabei ist, in welchem Verhältnis man mit der jeweiligen Person, also dem Betroffenen, steht, ob es sich folglich z.B. um einen Kunden, einen Mitarbeiter oder einen Lieferanten etc. handelt. Der Begriff »Datenverarbeitung« umfasst jeden ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, also z.B. das Erheben, das Speichern, die Verwendung, die Weitergabe oder das Löschen dieser ­Daten.

Grundsätzlich gilt, dass Sie personenbezogene Daten verarbeiten dürfen, sofern eine gesetzliche Vorschrift es erlaubt, die Daten aus einem öffentlich zugängigen Verzeichnis ersichtlich sind oder Sie eine Einwilligung des jeweils Betroffenen haben. Gesetzlich zulässig ist z.B., dass personenbezogene Daten zur Durchführung des Geschäftszweckes und für das Zustandekommen und das Aufrechterhalten eines Beschäftigungsverhältnisses verarbeitet sowie zur Einhaltung der gesetzlichen Aufbewahrungsfristen gespeichert werden.

Hierbei gilt jedoch zu beachten, dass die neue Datenschutzgrundverordnung explizit die Rechte der Betroffenen stärkt, die insbesondere umfangreiche Informations- und Auskunftsrechte sowie das Recht auf Löschung (wenn die gesetz­lichen Aufbewahrungsfristen weggefallen sind) haben. Hinzu kommt, dass Sie sämt­liche Prozesse, in denen personenbezogene Daten verarbeitet werden, in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten dokumentieren müssen.

Vorsicht vor Geldbußen und Abmahnungen

Vor allem aufgrund der hohen Komplexität und der umfangreichen Anforderungen fühlen sich viele kleinere Betriebe überfordert und vernachlässigen dadurch den Datenschutz, weil sie schlichtweg nicht wissen, wie und womit sie beginnen sollen.

Wir raten jedoch dringend davon ab, das Thema gänzlich zu ignorieren. Im Falle eines Verstoßes gegen die Richtlinien der Verordnung droht nämlich – je nach Ausmaß des Verstoßes – eine Geldbuße von bis zu 2 % bzw. 4 % des Vorjahresumsatzes. Zuständig für die Einhaltung der Vorgaben sind dabei die Datenaufsichtsbehörden des jeweiligen Bundeslandes.

Die Krux hierbei ist, dass die Behörden jeder Meldung eines Verstoßes gegen die Bestimmungen nachgehen müssen. Melden also z.B. unzufriedene Kunden oder Mitarbeiter einen Datenschutzverstoß Ihres Unternehmens, so müssen die Behörden diesem Hinweis nachgehen.

Können Sie dann als Inhaber-/in nicht vorweisen, dass Sie etwas in Sachen Datenschutz unternommen haben, drohen empfindliche Geldstrafen. Hinzu kommt, dass derzeit verstärkt Abmahnanwälte unterwegs sind, die die Unsicherheit der Unternehmer-/innen nutzen wollen, um schnelles Geld zu verdienen. So sind z.B. bereits am 25.5.2018 zahleiche Abmahnungen bei Unternehmen aufgrund einer fehlenden Datenschutzerklärung auf der Homepage eingegangen.

Ob und in wie weit Konkurrenzunternehmen durch Anwälte auf Grundlage des Gesetztes gegen unlauteren Wettbewerb bei fehlenden Datenschutzerklärungen überhaupt abmahnen dürfen, ist bis jetzt vor Gericht noch nicht eindeutig geklärt. Im Falle einer Abmahnung sollten Sie diese daher nicht voreilig ­bezahlen, sondern zunächst in Ruhe prüfen und ggf. einen Anwalt kontaktieren.

Um ­jedoch möglichen Ärger bereits im Vorfeld aus dem Weg zu gehen, sollte auf Ihrer Homepage ­dringend eine Datenschutzerklärung enthalten sein.

Zehn Schritte zur Umsetzung der wichtigsten Bestimmungen

Die folgenden Punkte können als konkrete Handlungsanweisung dienen, um sich in Bezug auf das Thema Datenschutz abzusichern und vor möglichen Bußgeldern und Abmahnungen zu schützen:

  • Integrieren Sie eine Datenschutzerklärung auf Ihrer Homepage, die umfassend darüber informiert, welche personenbezogenen Daten für welche Zwecke verarbeitet werden. Hierzu gibt es im Internet kostenfreie Generatoren, wie z.B. den Datenschutzgenerator von »activeMind«.
  • Führen Sie eine Mitarbeiterschulung durch und sensibilisieren Sie ihre Mitarbeiter für das Thema Datenschutz. Lassen Sie sich von Ihren Mitarbeitern die Belehrung schriftlich unterzeichnen. Weitere ­Erläuterungen sowie ein Muster finden Sie in dem Info-Blatt des Bayerischen Landesamtes für Datenschutzaufsicht auf deren Homepage: https://www.lda.bayern.de.
  • Sollten Sie mehr als neun Personen beschäftigen, die ständig (= erheblicher Teil der Arbeit) mit der automatisierten Verarbeitung von personenbezogenen Daten vertraut sind, müssen Sie einen internen oder externen Datenschutzbeauftragten benennen. Gemäß einer Stellungnahme des Bayerischen Landesamtes für Datenschutzaufsicht vom April 2018 zählen Monteure nicht zu den Mitarbeitern, die ständig und automatisiert personenbezogene Daten verarbeiten, unabhängig davon, ob die Verarbeitung digital erfolgt (z.B. mobiler Monteur) oder nicht.
  • Dokumentieren Sie die Prozesse, in denen Sie personenbezogene Daten verarbeiten, im sogenannten »Verzeichnis von Verarbeitungstätigkeiten«. Hierbei können Sie sich an dem Muster-Verzeichnis für Handwerksbetriebe vom Bayerischen Landesamt für Datenschutzaufsicht orientieren, welches auf deren Homepage ­erhältlich ist.
  • Einhaltung der Information- und Auskunftspflichten: fragt Sie ein Betroffener, ob und ggf. welche personenbezogene Daten von ihm verarbeitet werden, so müssen sie diesem umfangreich Auskunft erteilen. Stellen Sie jedoch sicher, dass es sich hierbei auch tatsächlich um die Person handelt, für die er/sie sich ausgibt. Derzeit sind verstärkt »Betrüger« unterwegs, die sich als eine andere Person ausgeben, telefonisch von ihrem Informationsrecht Gebrauch machen und anschließend einen Datenschutzverstoß melden, wenn ihnen am Telefon Auskunft erteilt wird, ohne, dass die Identität überprüft wurde.
  • Löschen von Daten: Löschen sie personenbezogene Daten, sofern keine gesetz­liche Grundlage (z.B. steuerliche Aufbewahrungsfristen) oder eine Geschäftsbeziehung mehr besteht. Verlangt ein Kunde die Löschung seiner personenbezogenen Daten und besteht keine gesetzliche Aufbewahrungsfrist, so müssen Sie diesem Verlangen nachkommen.
  • Ergreifen Sie – nach bestem Wissen und Gewissen sowie nach technischer und wirtschaftlicher Machbarkeit – Maßnahmen, die zur Absicherung von personenbezogenen Daten beitragen. Hierzu zählen z.B. aktuelle Betriebssysteme, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Hierbei kann Ihnen die »Checkliste Datensicherheit; Technische und Organisatorische Maßnahmen« des Bayerischen Landesamtes für Datenschutzaufsicht behilflich sein, die ebenfalls auf deren Homepage erhältlich ist.
  • Beauftragen Sie z.B. ein externes Buchhaltungsbüro mit der Durchführung der Lohnbuchhaltung, so müssen Sie mit diesem einen schriftlichen Vertrag zur Auftragsdatenverarbeitung abschließen. Laut einer Pressemitteilung der Steuerberaterkammer München vom 8.3.2018 führt ein Steuerberater die Tätigkeiten hinsichtlich Buchführung, Steuern und Lohnabrechnung in eigener Verantwortung durch, weshalb hier kein Vertrag zur Auftragsdatenverarbeitung notwendig ist.
  • Sollte bei Ihnen im Unternehmen eine Datenschutzverletzung vorkommen, so sind Sie verpflichtet, diese innerhalb von 72 Stunden der Aufsichtsbehörde zu melden.
  • Führen Sie bei sich eine Videoüberwachung durch, so ist eine entsprechende Beschilderung erforderlich. Ebenso müssen Sie diese Videoüberwachung im Verzeichnis von Verarbeitungstätigkeiten dokumen­tieren.

Buchtipp

Mehr juristisches Grundlagenwissen finden Elektrohandwerker in dem neuen Fachbuch

Rechtsicherheit und Elektrohanderk
von  Ulrich C. Heckner und Sabine Bernstein

  • ISBN Print-Ausgabe: 978-3-8101-0448-9
  • ISBN E-Book/PDF: 978-3-8101-0449-6

Preis: 39,80 €

shop.elektro.net

 

Mehr zum Thema: ,

Kommentare aus der Community (0)

Noch keine Kommentare


Einen Kommentar schreiben

Mit * markierte Felder müssen ausgefüllt werden. Ihre E-Mailadresse wird nicht angezeigt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Datenschutzerklärung.