EU-Datenschutz: Jetzt müssen Sie handeln

EU-Datenschutzgrundverordnung: Ende Mai tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Metallbaubetriebe betrifft diese Regelung schon wenn sie eigene Webseiten betreiben oder Adressen von Kunden speichern. Bei Verstoß gegen die DSGVO drohen hohe Bußgelder.

Datenschutzgrundverordnung Stichtag 31. Mai 2018
Das neue Datenschutgesetz schreibt vor, welche Daten Sie wie erheben und aufbewahren dürfen. Foto: M&T

Die neuen Vorgaben müssen ab 25. Mai 2018 eingehalten werden.
Letztlich sind die Auswirkungen der neuen EU-DSGVO gar nicht so gravierend, wie es im ersten Moment scheint. Da Deutschland bereits ein sehr strenges Datenschutzrecht auf Basis des Bundesdatenschutzgesetzes (BDSG) hat, haben Sie bereits den größten Teil der Vorgaben der EU-DSGVO erfüllt. In diesem Beitrag wollen wir anhand eines Beispiels erläutern, worauf zu achten ist.

Der Datenschutzbeauftragte

Nach der EU-DSGVO (Artikel 37) ist die Bestellung eines Datenschutzbeauftragten bei nicht öffentlichen Stellen nur notwendig, wenn die Kerntätigkeit des Unternehmens in der Verarbeitung besonders sensibler Daten (beispielsweise Gesundheitsdaten) oder eine systematische Überwachung von betroffenen Personen besteht.
Da die Verordnung aber im gleichen Artikel den Mitgliedstaaten das Recht auf weitere, ergänzende Bestimmungen einräumt, gilt in Deutschland zusätzlich, dass ein Datenschutzbeauftragter notwendig wird, wenn sich „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ (§ 38 BDSG-neu).

Daten des Kunden

Beim Verkauf von Waren oder Dienstleistungen spricht man von der Anbahnung beziehungsweise der Erfüllung eines Vertragsverhältnisses. Dafür werden verschiedene Informationen abgefragt (beispielsweise der Name des Kunden oder des Ansprechpartners, seine Anschrift und die Telefonnummer). Für diese Daten braucht man grundsätzlich keine zusätzliche Erlaubnis zur Erfassung und/oder Verarbeitung.
Für darüber hinausgehende Daten wie die E-Mail-Adresse, das Geburtsdatum, Interessen etc., benötigt man die Einwilligung des Kunden. Werden die Daten jedoch nicht mehr benötigt, müssen sie gelöscht werden. Sie dürfen nur weiter gespeichert werden, wenn die Aufbewahrung aufgrund von Gesetzen notwendig ist (Steuerrecht, Handelsrecht etc.).
In der Einwilligungserklärung muss nun auf das jederzeitige Widerrufsrecht hingewiesen werden. Das ist neu. Die Einwilligung kann elektronisch eingeholt werden. Allerdings ist es nicht erlaubt, eine Online-Einwilligungserklärung im Netz automatisch mit einem Häkchen zu versehen, so dass der Dateneigentümer quasi der Einwilligung widersprechen und das Häkchen entfernen muss. Außerdem muss die Einwilligung dokumentiert werden. Ob Einwilligungen, denen nicht alle Informationen zugrunde liegen, die nach der EU-DSGVO gefordert werden, neu eingeholt werden müssen, ist bei den Experten noch umstritten.

Im Normalfall muss man den Dateneigentümer darüber informieren,

  • wer die Daten erhebt beziehungsweise verarbeitet (Geschäftsanschrift),
  • wer der Datenschutzbeauftragte ist und wie man diesen erreicht (falls dieses notwendig ist),
  • warum die Daten erhoben werden. Sie müssen dafür das berechtigte Interesse an der Erhebung beziehungsweise Verarbeitung nachweisen,
  • an wen die Daten eventuell weitergegeben werden. Dabei kann es auch ausreichen, wenn lediglich die Kategorie der Empfänger genannt wird,
  • die Dauer der Speicherung,
  • die Rechte des Dateninhabers (siehe nächstes Kapitel),
  • die Grundlage der Datenerhebung (die sich aus Gesetzen oder Verträgen ergeben kann) und die Folgen, wenn die Daten nicht zur Verfügung gestellt werden.

Hinzu kommt noch eine spezielle Informationspflicht, wenn ein Profil – eventuell auch mithilfe anderer, zusätzlicher Daten – erstellt würde. Werden die Daten direkt beim Eigentümer erhoben, muss er sofort informiert werden. Kommen die Daten über Dritte, reicht eine spätere Information. Die Information kann auch mündlich erfolgen, was aber aus Gründen der Beweissicherung nicht zu empfehlen ist.
Die Information kann in einigen Fällen entfallen. Sie kann beispielsweise entfallen, wenn damit ein unverhältnismäßig hoher Aufwand verbunden wäre. Diese Ausnahme gilt jedoch nur, wenn die Daten nicht direkt beim Eigentümer erhoben wurden und dieser die Möglichkeit hat, sich über allgemein zugängliche Wege zu informieren (beispielsweise auf Ihrer Homepage). Der Dateneigentümer muss informiert werden, wenn seine Daten erhoben, verändert oder gespeichert werden.

Die Rechte des Dateneigentümers

Das Recht auf Information ist durch die EU-Datenschutzgrundsatzverordnung dahingehend erweitert worden, dass der Dateneigentümer auch eine Auskunft auf elektronischen Weg verlangen kann und einen Anspruch darauf hat, dass man ihm eine Kopie der über ihn erhobenen und gespeicherten Daten zur Verfügung stellt.
Das Informationsrecht des Dateneigentümers umfasst die Bekanntgabe

  • woher Sie die Daten bekommen haben,
  • wem die Daten zur Verfügung gestellt wurden,
  • welchen Zwecken die Datenerhebung dient,
  • wie lange die Daten gespeichert werden, wenn ein Profil erstellt wurde.

Neu ist der Anspruch eines Dateninhabers auf Löschung seiner Daten. Bisher musste das Löschen von Daten immer von einem Gericht festgestellt werden. Nach der Datenschutzgrundverordnung hat der Dateninhaber jetzt ein Recht auf Löschung der Informationen, wenn
  • die Notwendigkeit der Datenspeicherung weggefallen ist,
  • der Dateninhaber seine Einwilligung zur Datenspeicherung oder -verarbeitung widerruft,
  • die Daten aufgrund von rechtlichen Vorgaben gelöscht werden müssen.

Allerdings gibt es auch Gründe, die eine Löschung von Daten verhindern. Beispielsweise wenn durch die Löschung höhere Rechtsgüter verletzt würden oder rechtliche Vorschriften und übergeordnete Interessen einer Löschung im Wege stehen. Für Sie von besonderer Bedeutung dürfte sein, dass Sie einer Löschung widersprechen können, wenn die Daten zur Bearbeitung von Rechtsansprüchen benötigt werden. Außerdem kann der Dateneigentümer verlangen, dass seine Daten korrigiert beziehungsweise ergänzt werden, wenn diese falsch oder unvollständig sind.

Jetzt müssen Sie handeln

Wird ein Online-Shop unterhalten, kann der Dateneigentümer unter bestimmten Voraussetzungen verlangen, dass seine Daten nicht für sogenannte „automatisierte Einzelfallentscheidungen“ herangezogen werden. Eine solche Entscheidung wäre beispielsweise die Ablehnung eines Auftrages aufgrund von diversen Kriterien, die automatisch, also ohne Einfluss einer natürlichen Person, erfolgt. Auch das Erstellen von Profilen zur Bestimmung von bestimmten Käufergruppen kann zu den automatisierten Einzelfallentscheidungen gehören, wenn dabei beispielsweise Persönlichkeitsmerkmale wie Gesundheitszustand, Vorlieben (Hobbys), Interessen und Verhaltensmuster zugrunde gelegt werden.

Vorbereitung

Wir haben für Sie einige Tipps zusammengestellt:
Tipps für die Vorbereitung (PDF)

Quelle: Sage

Außerdem muss man offenlegen, ob und welche Cookies man einsetzt und ob die Seite getrackt wird. Wird dies von einem Dienstleister übernommen, müssen dazu Vereinbarungen über die Auftragsverarbeitung geschlossen werden. Befindet sich der Dienstleister außerhalb der EU, muss geprüft werden, ob die Datenweitergabe entsprechend der EU-Standardvertragsklauseln oder über „Privacy Shield“ abgesichert sind. „Privacy Shield“ sind Vereinbarungen zwischen der EU und den USA zur Angemessenheit des Datenschutzniveaus. Sollten Sie davon betroffen sein, setzen Sie sich umgehend mit Ihrem Provider in Verbindung.
Bei einem Internetauftritt, bei dem auch Daten erhoben und gespeichert werden, ist vor allem darauf zu achten, dass bei einer Datenverarbeitung auf einem fremden Server eine Vereinbarung über die Auftragsverarbeitung geschlossen werden muss, da der IT-Dienstleister die Daten nur nach ihrer Weisung verarbeiten darf.
Liegen die Daten auf dem eigenen Server, wird aber eine Cloud-Anwendung genutzt, ist zu klären, ob die Daten in Deutschland, in der EU oder in den USA gespeichert werden. Werden die Daten außerhalb der EU gespeichert, benötigt man eine gesonderte Grundlage zur Übermittlung der Daten. Haben Dritte die Möglichkeit an die gespeicherten Daten heranzukommen (beispielsweise der Webdesigner), muss auch dafür eine Vereinbarung über die Auftragsverarbeitung geschlossen werden.

So gehen Sie mit Lieferanten-Daten um

Die für die Abwicklung eines normalen Vertragsverhältnisses notwendigen Lieferanten-Daten müssen nicht zusätzlich vom Lieferanten genehmigt werden. Für Daten, die darüber hinausgehen und personenbezogen sind, muss jedoch eine Einwilligung eingeholt werden. Dies dürfte aber nur in seltenen Ausnahmefällen vorkommen.

Achten Sie auf Ihre Mitarbeiter-Daten

Werden die Daten der Mitarbeiter beispielsweise zur Lohnabrechnung außer Haus gegeben, muss mit dem Empfänger (etwa dem Steuerberater) ein Dienstvertrag geschlossen werden, der die weitergehende Nutzung der überlassenen Daten ausschließt.
Wird den Mitarbeitern die private Nutzung der Firmen-PCs erlaubt, sollten auf jeden Fall klare Vereinbarungen getroffen werden, in denen geregelt wird, in wieweit die Rechner privat genutzt werden dürfen und dass die Einhaltung dieser Vereinbarungen überwacht werden darf. Da gerade die Prüfung der Einhaltung immer wieder zu rechtlichen und gerichtlichen Auseinandersetzungen führt, ist es jedoch ratsam, eine private Nutzung der Firmengeräte generell zu verbieten. Wird eine Vereinbarung getroffen, muss diese allerdings schriftlich erfolgen.
Die Mitarbeiter müssen auf die vertrauliche Behandlung der erhobenen beziehungsweise verarbeiteten Daten verpflichtet werden. Dies, wie auch eine angemessene Schulung bezüglich der Datenvertraulichkeit muss schriftlich dokumentiert werden.

Was sonst noch zu beachten ist

Nach der EU-DSGVO muss ein „Verzeichnis für die Verarbeitungstätigkeiten“ angelegt werden. Dabei sind folgende Punkte festzuhalten:

  • Name und Kontaktdaten des für die Datenerhebung und -verarbeitung Verantwortlichen, außerdem der Stellvertreter und – falls vorhanden – der Datenschutzbeauftragte (mit Kontaktdaten),
  • zu welchem Zweck die Daten erhoben beziehungsweise verarbeitet werden,
  • welche Rechtsgrundlage für die Datenverarbeitung beziehungsweise -erhebung besteht,
  • Kategorie der Personen, deren Daten erhoben werden und der personenbezogenen Daten,
  • Kategorie von Empfängern der Daten,
  • Übermittlung in Drittstaaten (dürfte nur im Ausnahmefall zum Zuge kommen),
  • Zeiträume der Speicherung beziehungsweise Löschfristen,
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung.

Werden Dritten die persönlichen Daten anderer zur Verfügung gestellt, muss ein Dienstvertrag geschlossen werden, der auch den Umgang mit diesen Daten regelt. Dritte können beispielsweise der Steuerberater, Inkassounternehmen aber auch elektronische Bezahldienste des Internetshops sein.

Außerdem müssen die Mitarbeiterinnen und Mitarbeiter zur vertraulichen Behandlung von Daten verpflichtet, über den Datenschutz informiert und entsprechend geschult werden. Diese Maßnahmen sollten protokolliert und schriftlich festgehalten werden.
Da nicht mehr benötigte Daten gelöscht werden müssen, muss ein Plan erstellt werden, welche Daten wann gelöscht werden. Dabei sind die gesetzlichen Aufbewahrungsfristen – beispielsweise von steuerrelevanten Unterlagen – zu beachten (etwa sechs Jahre für Geschäftsbriefe, zehn Jahre für steuerrelevante Unterlagen, sechs Monate für Bewerbungsunterlagen). In einem „Löschkonzept“ sollte auch festgehalten werden, wie die Daten gelöscht werden (Zerstörung der Daten beziehungsweise Datenträger und Papierunterlagen – beispielsweise schreddern).

Außerdem sollte – möglichst schriftlich – geklärt werden,
  • wie Daten erfasst werden und wie diese Erfassung dokumentiert und kontrolliert wird,
  • wer in welcher Form berechtigt ist, auf die Daten zuzugreifen,
  • wie verhindert wird, dass andere Personen hierauf zugreifen,
  • wie der Zugriff auf die Daten kontrolliert wird,
  • wie sichergestellt wird, dass Daten nur zu dem vorgesehenen Zweck genutzt werden (Trennung von Datenbeständen).

Zum guten Schluss

Dieser Beitrag versucht, einen Überblick zu geben. Nicht alle Details können hier abgehandelt werden. Im Zweifelsfall sollte man sich deshalb auch beim Bundesverband Metall (BVM), bei der Industrie- und Handelskammer beziehungsweise bei der Handwerkskammer informieren. Dort werden auch Kurse angeboten, die es erleichtern, mit der Thematik zurecht zu kommen.

Webinare vom Bundesverband Metall: Datenschutz für Mitarbeiter BDSG
Die Datenschutzgrundverordnung (DSGVO) gilt auch im Betrieb. Was müssen Sie im bestehenden Arbeitsverhältnis in Bezug auf den Datenschutz beachten? Was ändert sich mit Inkrafttreten der DSGVO am 25. Mai 2018? Wie schützen Sie die Daten Ihrer Mitarbeiter? Was versteht der Datenschützer unter „Mitarbeiterüberwachung“ und was ist in diesem Zusammenhang gestattet?
Zielgruppe: Inhaber, Führungskräfte
Inhalte:

  • Grundlagen Datenschutz und Mitarbeiterdaten
  • Betriebsvereinbarungen zur Datenverarbeitung
  • Nutzung und Kontrolle von Kommunikationsmitteln (E-Mail, Internet etc.)
  • Mitarbeiterkontrollen
  • Haftung und Risiken der Geschäftsführer und Mitarbeiter
Termine: 9. Juli, 23. Juli, 3. September 2018

Mehr Infos


Autor: Hartmut Fischer

Letzte Aktualisierung: 25.05.2018