Kaum ein Tag in den letzten Wochen ist vergangen, an dem die DSGVO nicht Thema war. Aber was gilt für Unternehmen im Handwerk? Drohen auch dort horrende Strafen? Wir haben uns informiert.
Der ZdH hat Tipps zum Umgang mit dem DSGVO für Handwerker und Handwerksorganisationen gesammelt:
1. Drohen bei Verstößen hohe Bußgelder bis 20 Mio. Euro?
Nein. Der Bußgeldkatalog bei Datenschutzverstößen wurde im Zuge der Reform erweitert. Diese Erweiterung verfolgt jedoch ausschließlich den Zweck, global agierende Internetkonzerne angemessen sanktionieren zu können. Für mittelständische Betriebe – insbesondere für Kleinbetriebe – hat dies keine relevanten Auswirkungen. Öffentlich-rechtliche Handwerksorganisationen, wie Innungen, Kreishandwerkerschaften und Handwerkskammern sind von den Bußgeldvorschriften sogar ausgenommen. Diese Ausnahme gilt zwar nicht für private Handwerkseinrichtungen. Jedoch ändert sich auch für diese in der Praxis nichts.
2. Wie hoch ist das Risiko von Abmahnungen?
Öffentlich-rechtliche Handwerksorganisationen sind nicht abmahnfähig. Für diese besteht kein Risiko. Für private Handwerkseinrichtungen und Betriebe drohen Abmahnungen wenn überhaupt nur dort, wo Angaben über den Datenschutz zu veröffentlichen sind. Dies betrifft hauptsächlich Datenschutzinformationen auf Webseiten. Jedoch ist auch hier das Abmahnrisiko als gering einzuschätzen, da Abmahner Verstöße nicht pauschal feststellen können, sondern in jedem Einzelfall prüfen müssen, welche konkreten Informationen auf der Webseite zu erteilen sind. Dies ist aufwändig und zeitintensiv. Zudem ist rechtlich umstritten, ob Datenschutzverstöße überhaupt wettbewerbsrechtlich abgemahnt werden können. Es gibt gute Gründe dies zu verneinen.
3. Benötige ich einen Datenschutzbeauftragten, wenn ich zehn Mitarbeiter habe?
Nein. Ein Datenschutzbeauftragter ist zu bestellen, wenn in Ihrem Betrieb mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung von Daten befasst sind. Als „ständig befasst“ gelten nur solche Mitarbeiter, deren alltägliche Kerntätigkeit die Verarbeitung von Daten ist. Dies ist z.B. bei Mitarbeitern der Lohnbuchhaltung oder der Personalabteilung der Fall. Mitarbeiter, die lediglich die Daten zur Ausübung ihrer handwerklichen Tätigkeit benötigen, fallen grundsätzlich nicht unter diese Regelung. Dasselbe gilt für private Handwerkseinrichtungen.
Alle öffentlichen Stellen sind ausnahmslos zur Bestellung eines Datenschutzbeauftragten verpflichtet. Für Innungen und Kreishandwerkerschaften bietet es sich an, eine einheitliche Person als Datenschutzbeauftragten zu benennen, die diese Funktion für die Kreishandwerkerschaft und alle angeschlossenen Innungen ausübt.
4. Muss ich von jedem Kunden eine Einwilligung einholen, bevor ich seine Daten erhebe und speichere?
Nein. Handwerksbetriebe dürfen – wie bisher – die Daten ihrer Kunden für alle vorvertraglichen Maßnahmen (z.B. Kostenvoranschlag) und zur Abwicklung des Auftrags erheben, speichern und nutzen. Eine Einwilligung ist nicht erforderlich.
5. Dürfen Mitgliedern Newsletter und sonstige Informationen nur mit Einwilligung zugeschickt werden?
Nein. Die Information von Mitgliedern über handwerksrelevante Angelegenheiten zählt zum gesetzlichen Aufgabenkreis der Handwerksorganisationen und ist damit auf gesetzlicher Grundlage zulässig. Die Versendung von Informationen zu Fortbildungslehrgängen und anderen Angeboten, bei denen die Handwerksorganisationen im Wettbewerb mit anderen privaten Anbietern stehen, erfordert nach Maßgabe des Wettbewerbsrechts eine Einwilligung. Dies gilt zumindest dann, wenn die Informationen per E-Mail versendet werden.
6. Für was benötige ich im Betrieb eine Einwilligung?
Betriebe benötigen nur in seltenen Ausnahmen eine Einwilligung. Dies gilt etwa für die Werbung per E-Mail oder die Veröffentlichung von Mitarbeiterfotos auf der Firmenwebseite. Selbst dabei ist der Grund für die Einwilligung nicht das Datenschutzrecht, sondern andere Rechtsgebiete, wie das Wettbewerbsrecht. Die Verwendung von Kundendaten zur Vertragsabwicklung stellt ein einziges betriebliches Verfahren dar und muss nicht einzeln dokumentiert werden. Dies gilt unabhängig von der Kundenanzahl. Weitere Verfahren sind z.B. die Nutzung von Kundendaten zur Direktwerbung oder der Verarbeitung von Mitarbeiterdaten zur Lohnabrechnung und zur Personalführung. Für diese Verfahren stehen auf www.zdh.de voraus-gefüllte Dokumentationen zur Verfügung.
7. Müssen alle bestehenden Kontakte und Newsletterabonnenten angeschrieben und Einwilligungen eingeholt werden?
Nein. Sämtliche Daten, die bisher rechtmäßig erhoben und genutzt wurden, dürfen auch weiterhin verwendet werden, ohne dass es hierfür einer Einwilligung bedarf. Zudem ist eine Information der bestehenden Kontakte nicht nötig. Eine Pflicht zur Information besteht nur im Hinblick auf neue Kontakte.
8. Was ist zu dokumentieren?
Handwerksorganisationenmüssen sämtliche Prozesse, bei denen personenbezogene Daten verarbeitet werden, dokumentieren. Für Verfahren, die für gewöhnlich in jeder Handwerksorganisation durchgeführt werden (z.B. Verarbeitung von Mitgliederdaten, Lehrlingsdaten und Mitarbeiterdaten), finden Sie auf www.zdh.de bereits vorausgefüllte Dokumentationsmuster.
9. Muss der Datenschutzhinweis auf Webseiten ergänzt werden?
Ja. Wenn auf der (Firmen-)Webseite Daten der Webseitenbesucher erhoben werden, muss darüber im Datenschutzhinweis informiert werden. Typische Fälle sind Formulare zur Kontaktaufnahme oder zur Bestellung von Newslettern. Hierfür finden Sie auf www.zdh.de Musterformulierungen für den Datenschutzhinweis.
10. Muss mit jedem Lieferanten oder Subunternehmer eine Vereinbarung zur Auftragsverarbeitung geschlossen werden?
Nein. Eine Auftragsverarbeitung liegt nur vor, wenn ein Betrieb Daten nutzt, die Aufbereitung dieser Daten aber von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Lohnbuchhaltungsanbieter, die für den Betrieb die Lohnbuchhaltung erstellen und dabei z.B. Mitarbeiterdaten verarbeiten. Bei Subunternehmern und Lieferanten handelt es sich dagegen um eine gewöhnliche Datenweitergabe.
11. Darf auf Veranstaltungen noch fotografiert werden?
Ja. Das neue Datenschutzrecht ändert nichts an der Zulässigkeit von professionellen Fotografien. Ob bei Hochzeitsfeiern, im Fotostudio oder in der Öffentlichkeit: Hier gilt die bisherige Praxis uneingeschränkt weiter. Das betrifft auch die Zulässigkeit von Veröffentlichungen von Fotos. Neu sind lediglich Informationen, die den fotografierten Personen zu erteilen sind. Diese können bereits im Vorfeld bei der Anmeldung und den Teilnahmebedingungen erteilt werden. Mit der Bestätigung der Teilnahmebedingungen sollten die Teilnehmer zugleich ihre Einwilligung für die Anfertigung von Fotos erteilen. Bei Veranstaltungen ein entsprechender Aushang. Bei öffentlichen Fotografien oder Fotos mit zahlreichen abgebildeten Personen, die nicht informiert werden können, entfällt die Pflicht sogar.
12. Müssen Gesprächspartner bei der Annahme von Visitenkarten und Telefonaten über die Datenerhebung informiert werden?
Nein. Ungeachtet des strikten Gesetzeswortlauts empfehlen auch die Aufsichtsbehörden, Gesprächspartner nicht unmittelbar am Telefon oder nach Erhalt einer Visitenkarte über die beabsichtigte Datenerhebung zu informieren. Eine unmittelbare Belehrung wäre nicht sozialadäquat und belästigend. Sofern im Nachgang zum Gespräch eine schriftliche Kommunikation erfolgt, können die Informationen gegebenenfalls dort erteilt werden.