Ein halbes Jahr nach Inkrafttreten der Datenschutzgrundverordnung fällt die Bilanz gemischt aus. Die befürchtete Abmahnwelle ist jedoch ausgeblieben.DSGVO: Gemischte Halbjahresbilanz im Handwerk
Hoher Aufwand für kleinere Handwerksbetriebe
„Die meisten Handwerksbetriebe in der Region Stuttgart haben bereits viel Aufwand betrieben, um sich für die DSGVO fit zu machen“, sagt unser Rechtsberater Volker Süssmuth. Als besonders hilfreich hätten sich dabei die praxisgerechten Informationen und Muster erwiesen, die derZentralverband des Deutschen Handwerks (ZDH) kostenfrei zur Verfügung stellt. Dennoch erfordere die datenschutzkonforme Umsetzung für die Betriebe zusätzlichen personellen und damit auch finanziellen Aufwand.
Auch Dr. Stefan Brink, Landesdatenschutzbeauftragter Baden-Württembergs, bestätigt, dass die Mehrheit der Unternehmen im Land in weiten Bereichen DSGVO-konform handle. Seine Aufsichtsbehörde musste erst in einem Fall bei einer Datenpanne eines Social-Media-Unternehmens ein moderates Bußgeld erlassen.
Wenngleich im Herbst eindubioses Fax kursierte und mit der Verunsicherung der Betriebe Kasse machen wollte, ist auch die befürchtete „Abmahnwelle“ nach dem Inkrafttreten der Verordnung im Mai 2018 ausgeblieben – wohl auch, weil in der Rechtsprechung umstritten ist, inwieweit datenschutzrechtliche Verstöße von Unternehmen tatsächlich Mitbewerbern die Möglichkeit eröffnet, ein Verfahren wegen Wettbewerbsverstoßes auf der Grundlage des Gesetzes gegen den unlauteren Wettbewerb zu führen.
Bei den Handwerksbetrieben bleiben dennoch Unsicherheiten.
Keine Panik bei diesen offenen Fragen
Uneinheitlich beurteilen die Aufsichtsbehörden in den Bundesländern zum Beispiel folgende Sachverhalte:
- Führt die Abgasuntersuchung in Kfz-Betrieben dazu, dass diese als öffentliche Stelle gelten und deshalb einen Datenschutzbeauftragten benennen müssen?
- Und was bedeutet der Begriff „ständig“ vor dem Hintergrund desBundesdatenschutzgesetzes, das die Bestellpflicht eines betrieblichen Datenschutzbeauftragten verlangt, soweit mindestens 10 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind?
Auch in kleinen Betrieben ist es im digitalen Zeitalter schließlich der Normalfall, dass Bauhandwerker Fotos der zu reparierenden Stellen anfertigen, Außendienstmitarbeiter Adressdaten der Kunden auf ihrem Smartphone erhalten oder Orthopädietechniker zur Anfertigung passgenauer Hilfsmittel den Fuß scannen.
Mit Blick auf die Kerntätigkeit personenbezogener Datenverarbeitung hatte der ZDH daher von Beginn an eine enge Auslegung des Begriffes „ständig“ gefordert, was bei gewerblich-technischen Aufgaben und Tätigkeiten von vornherein auszuschließen ist.
Glücklicherweise gibt derLandesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) Entwarnung und hat bereits für beide Fragen praxisorientierte Merkblätter auf seiner Homepage angekündigt. Dort finden Betriebe schon jetzt eine Handreichung zum Beschäftigtendatenschutz, die AnleitungFotografieren und Datenschutz – Wir sind im Bilde und weitere Informationen zu den verschiedenen Bereichen des Datenschutzes.
Datenschutz bei Auftragsverarbeitung
Die Auftragsverarbeitung spielt für Handwerksbetriebe auch nach Inkrafttreten der DSGVO in der Praxis eine eher untergeordnete Rolle. In letzter Zeit ist jedoch zunehmend zu beobachten, dass Handwerksbetriebe von Hausverwaltungen oder Generalunternehmern, mit denen sie in vertraglichen Beziehungen stehen, aufgefordert werden, Auftragsverarbeitungsverträge zu unterzeichnen.
Datenschutzrechtlich ist dies jedoch weder erforderlich noch in der Sache geboten.
Zwar erhalten die Betriebe die Kundendaten, doch anders als bei einer Auftragsverarbeitung sind die Daten der Kunden nicht wesentlicher Gegenstand des eigentlichen Werkvertrags. Sie sind lediglich nötig, um den eigentlichen handwerklichen Auftrag erfüllen zu können.
Aktuelle Informationen und Unterlagen zur Auftragsverarbeitung finden Sie beimZentralverband des Deutschen Handwerks – außerdem sind dort auch zu vielen anderen datenschutzrechtlichen Themen praxisrelevante Muster und Vorlagen für Handwerksbetriebe eingestellt.
Keine Digitalisierung ohne Datenschutz
Wenige Unternehmen haben bislang die beiden großen Themenfelder DSGVO und Digitalisierung in Kombination betrachtet – und kaum ein Projekt zur Einführung oder Optimierung digitaler Datenverarbeitung hat sich in den letzten Jahren mit den neuen Richtlinien des Datenschutzes auseinandergesetzt.
Dieses Verständnis für die Komplexität „Datenschutz und Datenspeicherung“ hat sich durch die DSGVO geändert. Allerdings darf die Prüfung der Unternehmensprozesse auf Einhaltung der DSGVO keine einmalige Aktion bleiben.
Vielmehr ergeben sich für Betriebe insbesondere diese beiden Handlungsfelder:
- Datenschutz und Datenspeicherung müssen fester Bestandteil bei der Planung und Umsetzung von Digitalisierungsvorhaben im Unternehmen sein. Es ist darauf zu achten, dass die Anforderungen nach Auskunft und Löschung von Daten in dem nach DSGVO geforderten Umfang erfüllt werden können.
- Zudem gilt es, das nachhaltige Verständnis bei den Mitarbeitern zum DSGVO-konformen Umgang von Daten und ihrer Speicherung zu schaffen. Zwar sind Mitarbeiter momentan sensibilisiert, doch gerät der Datenschutz oft schnell wieder in Vergessenheit. Insbesondere wenn kein externer Datenschutzbeauftragter verpflichtet werden muss, muss der Betriebsinhaber für die Einhaltung der Anforderungen sorgen. Für die Planung und Umsetzung von Digitalisierungsprojekten – zum Beispiel bei der Digitalisierung der Geschäftsprozesse mittels Cloud-Lösungen – sollten datenschutzrechtliche Aspekte daher als fester Projektmeilenstein aufgenommen werden.
Fazit und Ausblick
„Egal ob Datenschutzerklärung auf der Website, Informationen zum Umgang mit personenbezogenen Daten, die Dokumentation durch Erstellen von Verzeichnissen der Verarbeitungstätigkeiten oder dieSSL-Verschlüsselung im Online-Bereich – die meisten Handwerksbetriebe in der Region Stuttgart sind in diesen Bereichen gut gerüstet“, zieht Rechtsberater Volker Süssmuth nach 950 Einzelberatungen, fünf Gruppenberatungen und zwei Webinar-Beratungen mit rund 400 Beratungsstunden eine positive Bilanz.
Die wichtigsten Schritte zur datenschutzkonformen Umsetzung seien damit zunächst erfüllt. „Hausaufgaben“ lägen ggf. zukünftig noch in den Bereichen Löschkonzept, Datenschutz-Konzept für Krisenmanagement und Beschäftigtendatenschutz.
Trotz der vielen Kritikpunkte sei die DSGVO außerdem als Erfolg zu werten: „Man kann die Auswirkungen kritisch diskutieren, aber grundsätzlich ist die EU-weite Regelung zum Datenschutz positiv. Die Skandale und Datenpannen der vergangenen Monate bei großen Online-Unternehmen wie Facebook oder Amazon haben gezeigt, dass strenge Regeln unabdingbar sind“, erklärt Süssmuth.
Auch wenn für Start-Ups und mittelständische Betriebe zunächst viel Aufwand entstanden sei, so ergäben sich langfristig Vorteile: Die Unternehmen werden zukunftsfit gemacht, da Kunden immer mehr nach Lösungen mit hohem Datenschutzstandard verlangen.
Seminar zum neuen Datenschutzrecht (DSGVO)
Wer noch Nachholbedarf in seinem Betrieb sieht, kann am 22. Januar 2019 das Seminar zum neuen Datenschutzrecht (DSGVO) in unserer Bildungsakademie in Stuttgart-Weilimdorf besuchen:
Anmeldung und weitere Informationen
Termin vormerken: 4. Juli 2019
Eine kostenfreie Info-Veranstaltung „1 Jahr EU-DSGVO und neues Bundesdatenschutz/BDSG – eine Bestandaufnahme aus rechtlicher und technischer Sicht“ ist geplant für den 4. Juli 2019.
Weitere Informationen folgen im Laufe des Jahres.