DS-GVO, BDSG und der Handwerker
Die Handwerksbetriebe in NRW haben auch in der Sommerzeit alle Hände voll zu tun, die Arbeit scheint nicht zu versiegen. Egal wie viel zu tun ist, auch Handwerker unterliegen den Regeln der Datenschutzgrundverordnung (DS-GVO) und das mit den gleichen Vorgaben im Datenschutz wie jeder andere.
Wir möchten diesen Blog dazu nutzen, Betriebe in NRW über erste Vorgaben im Datenschutz zu informieren. Was sind die Regeln für den Datenschutz im Handwerk in NRW? Was bedeutet der Datenschutz im Alltag für Handwerksbetriebe und worauf sollten diese achten? Datenschutzberater.NRW – mit dem externen Datenschutzbeauftragten für Betriebe in NRW – erklärt Ihnen die wichtigsten Grundlagen.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO in Ihrem Handwerksunternehmen oder sind Sie sich unsicher, wie Sie die aktuellen Bestimmungen umsetzen können? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.
Beim Datenschutz ist die Betriebsgröße egal
Die DS-GVO gibt gesetzliche Grundlagen, die vorgeben, wie der Datenschutz in Betrieben umgesetzt werden muss. Dabei spielt die Größe des Betriebes keine Rolle. Jeder, der personenbezogene Daten verarbeitet, der muss diese Vorgaben einhalten.
Sobald Kundendaten personenbezogene Daten beinhalten, greift der Datenschutz in NRW auch für Handwerker. In der Regel erfasst der Handwerker Name, Anschrift, vielleicht auch E-Mail-Adresse oder weitere Daten seiner Kunden. Der Kunde wird aus Sicht der DS-GVO zum Betroffenen.
Die Erhebung von personenbezogenen Daten ist nach den Vorgaben im Datenschutz verboten, es sei denn es liegt ein gesetzlicher Grund oder die Einwilligung des Betroffenen vor (Verbot mit Erlaubnisvorbehalt). Was sind personenbezogene Daten? Lesen Sie mehr dazu hier.
Betroffenenrechte und Zweckbindung
In dem Moment, wo ein Handwerksbetrieb in NRW also personenbezogene Daten seiner Kunden erhebt, muss er die Vorgaben der Datenschutzgrundverordnung einhalten. Dazu gehören zum Beispiel die Betroffenenrechte – Rechte also, die dem Betroffenen bei der Verarbeitung seiner Daten eingeräumt werden.
Der Betroffene muss beispielsweise über die Verarbeitung seiner Daten informiert werden (Informationspflichten). Dabei sollten auch der Zweck und die Grundlage für die Datenerhebung definiert sein, außerdem welche Daten verarbeitet werden.
Der Betroffene hat außerdem das Recht auf Löschung und Vergessenwerden, wenn die Aufbewahrungspflicht abgelaufen ist. Daten dürfen also nur so lange gespeichert oder aufbewahrt werden, wie es gesetzlich vorgegeben ist. Eine der häufigsten Beschwerden bei der Aufsichtsbehörde in NRW, wenn es um die Nicht-Einhaltung der DS-GVO geht, ist vermutlich, dass die Daten nicht ordnungsgemäß und im richtigen Zeitraum gelöscht werden. Dies muss automatisch und ohne weitere Aufforderung erfolgen. Die Datenlöschung sollte also beim Datenschutz auf keinen Fall auf die leichte Schulter genommen werden (Löschung von Daten nach DS-GVO).
Außerdem schreibt die DS-GVO unter anderem das Recht auf Datenübertragbarkeit, Recht auf Berichtigung der Daten, Auskunftsrecht und Recht auf Widerruf für die Betroffenen vor.
VVT, TOMs und Datenschutzfolgenabschätzung für Handwerksbetriebe in NRW
Sobald personenbezogene Daten von Betroffenen bei einem Handwerksunternehmen verarbeitet werden, gibt es eine Reihe von Vorgaben aus Datenschutzgrundverordnung und Bundesdatenschutzgesetz (BDSG) zu erfüllen.
Dazu gehören beispielsweise das sogenannte Verzeichnis von Verarbeitungstätigkeiten (VVT). In diesen Dokumenten legen die Betriebe fest, welche Daten, zu welchem Zweck und in welcher Art und Weise verarbeitet werden. Das dient vor allem zur Dokumentation der Verarbeitung von personenbezogenen Daten und muss für alle Verarbeitungen geführt werden. Dabei ist egal, ob die Daten aufgrund von einer gesetzlichen Vorgabe erfasst werden oder der Betroffene sein Einverständnis dafür gegeben hat.
Als logische Folge auf die VVT sollte man dann direkt auch die technisch-organisatorischen Maßnahmen für die Verarbeitung von personenbezogenen Daten dokumentieren. Die sogenannten TOMs dienen dazu, sicher zu stellen, dass die personenbezogenen Daten durch entsprechende Absicherungen geschützt werden können. Dabei geht es natürlich um die IT-Sicherheit der verarbeiteten und gespeicherten Daten – aber auch ganz analog um Dinge wie abschließbare Büros oder Schränke, in denen personenbezogene Daten aufbewahrt werden. Wie wird also sichergestellt, dass kein Unbefugter Räumlichkeiten betreten kann oder auf eine andere Art und Weise Zugriff auf personenbezogene Daten erhalten kann.
Technisch-organisatorische Maßnahmen beleuchten also den Schutz personenbezogener Daten in Handwerksunternehmen analog und digital.
Werden zum Beispiel personenbezogene Daten besonderer Kategorien verarbeitet, sollte immer auch eine Risiko- oder Schwellwertanalyse im Unternehmen durchgeführt werden. Besteht also ein besonderes Risiko für die Daten des Betroffenen? Beantwortet man die Frage mit „ja“ – folgt eine Datenschutzfolgenabschätzung: welche Folgen hat dies also für den Datenschutz, wie kann man das Risiko verringern und welche Vorkehrungen müssen getroffen werden.
Datenschutz in Handwerksbetrieben nach DS-GVO in NRW – Tipps
Der Datenschutz im Handwerk muss vor allem in der Praxis vor Ort umgesetzt werden. Handwerker sind mehr als sehr viele andere Dienstleister direkt beim Kunden vor Ort. Sie nehmen Unterlagen mit und das Auto dient nicht in seltenen Fällen als eine Art „fahrendes Büro“. Ein paar Tipps, wie Sie die Daten Ihrer Kunden schützen können und Datenpannen vermeiden können, haben wir für Sie zusammengetragen:
- Lassen Sie keine Unterlagen offen sichtbar im Auto liegen
- Nehmen Sie Kundendaten nicht am Telefon im Beisein anderer Kunden entgegen
- Nutzen Sie für jeden Kunden neue Unterlagen
- Lassen Sie Unterlagen anderer Betroffener im abgeschlossenen Auto und nicht sichtbar, wenn Sie einen Termin vor Ort haben – bewahren Sie die Unterlagen für Dritte unzugänglich auf, auch wenn Sie Waren oder Werkzeug ausladen
- Schützen Sie technische Geräte, auf denen personenbezogene Daten gesichert sind, vor dem Zugriff anderer – z.B. durch ein Kennwort
- Schützen Sie Ihre IT, die Sie unterwegs nutzen durch eine entsprechende Software
- Bewahren Sie Ihre Unterlagen auch im Büro für Dritte unzugänglich auf
- Achten Sie auf einen kennwortgeschützten Arbeitsplatz
- Nutzen Sie eine Firewall
Buchungen über die Homepage oder App
Immer mehr Betriebe gehen dazu über, die Buchung Ihrer Dienstleistung auch über die Homepage oder auch über eine App anzubieten. Auch hier sollte ein besonderes Augenmerk auf den Datenschutz gelegt werden. Achten Sie auf jeden Fall auf die Anlage einer korrekten und aktuellen Datenschutzerklärung und die entsprechenden DS-GVO-konformen Vorgaben. Auch die Verwendung von Cookies sollte hierbei genau geprüft werden.
Da die meisten Firmen externe Anbieter für die Buchung der Termine nutzen, muss geprüft werden, ob sogenannte Verträge zur Auftragsdatenverarbeitung abgeschlossen werden sollten. Mehr zu den ADV-Verträgen lesen Sie im Blog.
Datenschutz für kleine Betriebe in NRW – eine komplexe Herausforderung
Die Einhaltung der DS-GVO stellt vor allem für kleinere Handwerksbetriebe in NRW eine große Herausforderung dar. Eine Umsetzung der DS-GVO kann durch einen (externen) Datenschutzbeauftragten unterstützt werden. Dieser hilft Ihnen vor Ort bei der DS-GVO-konformen Verarbeitung der personenbezogenen Daten von Mitarbeitern und Kunden. Unter gewissen Vorgaben in ein (externer) Datenschutzbeauftragter für Handwerksunternehmen und jedes andere Unternehmen verpflichtend.
IT-Sicherheit und Datenschutz gehen gemeinsam einher. Achten Sie daher bei der Wahl ihres (externen) Datenschutzbeauftragten auch auf eine gewisse Grundlage des Fachmanns.
Wir von Datenschutzberater.NRW stellen einen externen Datenschutzbeauftragten (TÜV) auch für Handwerksunternehmen in NRW, der durch ein Team aus Datenschutz, Steuerrecht und IT unterstützt wird. Darüber hinaus bieten wir für Unternehmen aus dem Raum Köln, Bonn, Düsseldorf, Siegen und ganz NRW folgende Leistungen an:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- Website-Scans zur DS-GVO-konformen Betreibung einer Homepage
- GoBD-Beratung
- IT-Audit
- Projektbezogene Betreuung im Datenschutz
Wir unterstützen Ihr Unternehmen in allen Bereichen des Datenschutzes partnerschaftlich, individuell und praktisch umsetzbar. Nehmen Sie gerne zur uns Kontakt auf, wir erstellen Ihnen ein unverbindliches Angebot.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.