„Wir organisieren Ihren Datenschutz, damit Sie in Ruhe arbeiten können.“
Datenschutz trifft Jeden! Auch Unternehmen, die keinen (externen) Datenschutzbeauftragten bestellen müssen, sind verpflichtet, die Vorgaben der neuen Datenschutz-Grundverordnung (DS-GVO) einzuhalten. Hier machen Handwerker und Freiberufler keine Ausnahme.
Unser Ziel ist ein übersichtliches und effektives Danteschutzmanagement für Jeden zum angemessenen Preis. Deshalb bieten wir – je nach Zielgruppe – verschiedene Datenschutz-Beratungspakete wie folgt an:
| Handwerk | KMU | Großbetrieb | |
| Handwerksbetriebe mit und ohne Bestellpflicht mit weniger als 10 datenverarbeitenden Mitarbeitern | Kleine und mittlere Unternehmen mit mehr als 10 und maximal 29 datenverarbeitenden Mitarbeitern | Mittel- und Großbetriebe ab 30 datenverarbeitenden Mitarbeitern | |
| Monatliche Gebühr* (netto) | auf Anfrage | auf Anfrage | auf Anfrage |
| Bestellung zum Datenschutzbeauftragten | inklusive | inklusive | inklusive |
| Jährliche Analyse des aktuellen Stands der Datenverarbeitung (Datenschutzaudit), des Verzeichnisses der Verarbeitungstätigkeit (VdV) und der technisch-organisatorischen Maßnahmen und Statusgespräch | inklusive – per Telefon & E-Mail | inklusive – per Telefon, E-Mail & Beratung vor Ort | inklusive – per Telefon, E-Mail & Beratung vor Ort |
| Datenschutz-Schulung für Mitarbeiter | jährliche Schulung online im Selbststudium | jährliche Schulung vor Ort oder online im Selbststudium | jährliche Schulung vor Ort oder online im Selbststudium |
| Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten (VdV), Art. 30 I und II DSGVO | inklusive – alle erforderlichen Prozesse | inklusive – alle erforderlichen Prozesse | inklusive – alle erforderlichen Prozesse |
| Ausarbeitung und Aktualisierung eines technisch-organisatorischen Maßnahmen-Konzepts, Art. 32 DSGVO | inklusive | inklusive | inklusive |
| Erstellung einer aktualisierten Datenschutzerklärung und Impressum für Ihre Websites | zzgl. 149,00 (statt einmalig 240,00 € bei Einzelbeauftragung) | zzgl. 149,00 (statt einmalig 240,00 € bei Einzelbeauftragung) | inklusive (statt einmalig 240,00 € bei Einzelbeauftragung) |
| Jährlicher Datenschutzbericht (Tätigkeitsbericht), Art. 5 II DSGVO | inklusive | inklusive | inklusive |
| Online-Zugang zum AdviZZr®-Datenschutztool (eAkte): Übersichtliche Checklisten und Dokumentation zum Nachweis der Erfüllung Ihrer Datenschutzpflichten | inklusive | inklusive | inklusive |
| Support bei Datenschutzpannen und Auskunftsansprüchen | inklusive | inklusive | inklusive |
| Unterrichtung über datenschutzrechtliche Pflichten, insbesondere Anpassung von Kunden- und Arbeitsverträgen | inklusive | inklusive | inklusive |
| Laufende Beratung bei der Datenschutz-Folgenabschätzung und Dokumentation Ihrer Durchführungen, Art. 35 DSGVO | inklusive | inklusive | inklusive |
| Vertretung gegenüber der Aufsichtsbehörde sowie vorherige Konsultation gemäß Art. 36 DSGVO | inklusive | inklusive | inklusive |
| Ausarbeitung von Arbeitsanweisungen | inklusive | inklusive | inklusive |
| Mindestlaufzeit | 12 Monate | 12 Monate | 12 Monate |
| Kündigungsfrist | 3 Monate zum Vertragsende | 3 Monate zum Vertragsende | 3 Monate zum Vertragsende |
* Sämtliche als „inklusive“ beschriebenen Leistungen sind in der monatlichen Gebühr enthalten.
Datenschutz-Grundverordnung (DSGVO) – und nun?
Die neue Datenschutz-Grundverordnung (DSGVO), die ab 25.05.2018 gilt, ist in aller Munde. Das Gesetz soll eigentlich Google, Facebook & Co. treffen und uns alle vor Datenmissbrauch schützen. Leidtragende sind nun aber häufig kleine und mittelständische Unternehmen, denn alle sind – ebenso wie die großen Internetkonzerne – Datenverarbeiter. Tatsächlich ist die weit verbreitete Angst vor dem neuen Gesetz aber in weiten Teilen unbegründet. Wir möchten einen Überblick über die neuen Regelungen geben und zeigen, worauf Handwerksbetreibe in Zukunft achten sollten.
Personenbezogene Daten dürfen nur verwendet werden, wenn eine Einwilligung vorliegt oder wenn es das Gesetz (z.B. BDSG, TMG, DSGVO) bestimmt.
Der häufigste Fall einer zulässigen Datenverarbeitung dürfte sein, dass im Rahmen eines Vertragsverhältnisses freiwillig personenbezogene Daten von Kunden übermittelt werden. Das ist grundsätzlich zulässig, wenn auch unbedingt auf eine korrekte Information über den Datenschutz (siehe Art. 13 DSGVO) geachtet werden muss. Ohne eine ausdrückliche Einwilligung muss sparsam wie möglich mit Daten Dritter umgegangen werden.
In welchen Fällen wird eine Einwilligung in die Datenerhebung-, bzw. Verarbeitung benötigt? Wenn personenbezogene Daten über den Vertragszweck hinaus genutzt werden sollen, ist eine Einwilligung unbedingt einzuholen. Die Einwilligung in die Datenverarbeitung darf aber nicht zwingende Voraussetzung für den Vertragsabschluss sein. Werden personenbezogenen Daten zu Werbezwecken genutzt, ist eine Einwilligung grundsätzlich erforderlich. Eine Ausnahme kann bestehen, wenn Werbung an Bestandskunden auf dem Postweg versandt wird. Im Online-Bereich ist das Douple-Opt-In-Verfahren zu verwenden. D.h. Newsletter dürfen nur versandt werden, wenn in einer Check-Box das Häkchen gesetzt wurde und der Newsletter-Versand nochmals per E-Mail bestätigt wird.
Unter welchen Voraussetzungen muss ein Betrieb einen Datenschutzbeauftragten nennen? Die Voraussetzungen sind ausdrücklich in Art. 9 DSGVO genannt. Für Handwerksbetriebe dürfte insbesondere dann ein Datenschutzbeauftragter notwendig sein, wenn mehr als 9 Personen (als Angestellte oder auch freie Mitarbeiter) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Hierzu zählt auch Kassenpersonal, das Kredit-/EC-Karten verarbeitet. Bei sonstiger Verarbeitung personenbezogener Daten gilt die Pflicht zur Benennung eines Datenschutzbeauftragten ab 20 Personen.
Neu in der DSGVO 2018: Datenschutz-Pflichten für Arbeitgeber: Arbeitgeber nach der DSGVO sind alle Unternehmer, die Arbeitnehmer beschäftigen, unabhängig von der Anzahl. Arbeitnehmer in diesem Sinn sind auch Leiharbeiter, Auszubildende und freie Mitarbeiter. Es dürfen nur die Daten erhoben werden, die zur Durchführung, Ausübung oder Beendigung des Arbeitsverhältnisses „erforderlich“ sind. Werden darüber hinaus Daten bei Arbeitgebern erhoben, muss eine freiwillige Einwilligung eingeholt werden. Die Freiwilligkeit ist in Anbetracht des Abhängigkeitsverhältnisses aber oft fraglich. In jeden Fall sollten Arbeitnehmer gesondert zur Einhaltung datenschutzrechtlicher Regeln verpflichtet werden, falls dies im Rahmen des Arbeitsvertrags noch nicht erfolgt ist.
Welche datenschutzrechtlichen Pflichten sind nun konkret von Unternehmen umzusetzen? Es ist der Internetauftritt an die neuen Datenschutzbestimmungen anzupassen. Dabei ist besonders auf die richtige Formulierung der Datenschutzerklärung, des Impressums, eines Cookie-Banners und einer zusätzlichen Einwilligung bei Kontaktformularen zu achten. Auch bei analogen Datenerhebung ist in Zukunft auf einen Datenschutzhinweis nach Art. 13 DSGVO zu achten. Es ist zu empfehlen, auch Bestandskunden entsprechend über die Datenverarbeitung hinzuweisen.
Sofern sich Betriebe bei der Datenverarbeitung Dritter bedienen, sind diese in einem Vertrag zur Auftragsdatenverarbeitung zum Datenschutz zu verpflichten. Dies kann vor allem bei Internetprovidern oder Buchhaltungsbüros der Fall sein.
Sollten Kunden in Zukunft einen datenschutzrechtlichen Auskunftsanspruch geltend machen, haben Unternehmen die entsprechende Auskunft innerhalb eines Monats zu erteilen (siehe Art. 15 DSGVO).
Eine Besonderheit der neuen DSGVO ist die Pflicht zur Erstellen des Verarbeitungsverzeichnisses hinsichtlich Ihrer Verarbeitungsprozesse. Dabei ist nicht jede einzelne Verarbeitungstätigkeit zu protokollieren, sondern die einzelnen Prozesse beispielhaft zu beschreiben. Darüber hinaus sind technische und organisatorische Maßnahmen zum Schutz von Daten zu ergreifen und auch zu dokumentieren.
Werden diese Pflichten erfüllt, können Handwerksbetriebe davon ausgehen, dass auch in Zukunft datenschutzrechtliche Vorgaben keine zu großen Belastungen darstellen.
Rechtsanwalt Dominik Güneri, LL.M. (Europäisches und Internationales Unternehmensrecht) | Datenschutzbeauftragter TÜV®