Das 1×1 des Datenschutzes für Handwerksbetriebe
Stuhr im Juni 2020. Bereits seit Mai 2018 gehört sie zu den ständigen Begleitern in Handwerksbetrieben: die Datenschutzgrundverordnung, kurz DSGVO. Häufig haben vor allem kleinere Betriebe Mitarbeitern der eigenen Firma das Thema Datenschutz als zusätzliches Aufgabenfeld übertragen. Aber nicht selten fühlen sich diese überfordert von einem so komplexen Themenbereich, der dann zusätzlich zu der eigentlichen Arbeit in ihrer Verantwortung liegt. „Darüber hinaus treten immer wieder Änderungen in Kraft, sodass sich Datenschutzverantwortliche auch stetig weiterbilden müssen. Aber auch im allgemeinen Arbeitsalltag ist das Thema Datenschutz noch längst nicht in allen Unternehmen und Köpfen der Mitarbeiter angekommen“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.
Maßnahmen auch festhalten
Ein komplexer Bereich, der sich häufig aber bereits durch einfache Maßnahmen regeln lässt, betrifft die TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift. Zu den technischen Maßnahmen zählen etwa physische Verfahrensweisen, zum Beispiel ein Schloss, um das Büro, in dem beispielsweise personenbezogene oder -beziehbare Daten gelagert sind, abzuschließen. Eine organisatorische Maßnahme wäre wiederum die Dokumentation darüber, wer einen Schlüssel besitzt. Für Handwerksbetriebe sind außerdem häufig die Richtlinien rund um das Thema Auftragsverarbeitung wichtig. Diese regelt beispielsweise den Prozess, wenn ein Personaldienstleister die Lohnabrechnung vornimmt oder Etikettierung und Versand von Werbung von einem Lettershop durchgeführt werden. Das Unternehmen beauftragt also einen externen Dienstleister, in diesem Fall Auftragnehmer genannt, personenbezogene Daten weisungsgebunden zu verarbeiten. Hösel weist darauf hin: „Zwar muss der Auftragsverarbeiter garantieren, dass seine TOM den Datenschutzbestimmungen entsprechen, der Großteil der Verantwortung für die Einhaltung der Anforderungen liegt aber trotzdem beim Auftraggeber, denn eine Auslagerung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten.“ Dabei müssen Art und Zweck sowie Gegenstand und Dauer der Verarbeitung genauso vertraglich festgehalten werden wie die Löschung oder Rückgabe der Daten nach Beendigung des Auftrages.
Cookies auf der Website
Zwar hat nicht jeder kleine Handwerksbetrieb bereits eine Website, jedoch nimmt die Zahl im Zuge der Digitalisierung immer weiter zu. Häufig werden dabei Cookies auf Unternehmenswebsites nicht datenschutzkonform eingesetzt. Laut DSGVO gelten Cookies, die für den technischen Betrieb von Websites erforderlich sind, als erlaubt, während alle anderen Cookies eine Einwilligung des Nutzers benötigen. „Diese muss aufgrund einer eindeutigen, aktiven Handlung der betreffenden Person erfolgen und Einwilligungsfelder dürfen nicht vorausgefüllt sein“, so der Datenschützer. Zudem darf sich die Einwilligung nicht an andere Leistungen koppeln, muss also frei von jedem Zwang sein und vom Nutzer jederzeit widerrufen werden können. Darüber hinaus muss die Website die betreffende Person eindeutig über die Datenverarbeitung und Speicherdauer informieren. Eine Website darf außerdem erst dann Cookies setzen, wenn die Einwilligung erfolgt ist.
Daten speichern – ohne Erlaubnis?
Kommt ein Kundenverhältnis zustande, dürfen Handwerksbetriebe nur solche Daten ohne Einwilligung des Kunden speichern und verarbeiten, die für die Erfüllung des Auftrags notwendig sind. Sollen beispielsweise Bauarbeiten beim Kunden zu Hause durchgeführt werden, darf durchaus die Adresse gespeichert werden, allerdings sollte nur der ausführende Handwerker, also nur die unbedingt erforderliche Person, darauf Zugriff haben. Speichern darf der Betrieb die Daten aber nur so lange, bis der Auftrag erledigt ist, beziehungsweise die Kundenbeziehung andauert. Anschließend müssten diese gelöscht werden, sofern nicht gesetzliche Aufbewahrungspflichten dem entgegenstehen. Sollen die Daten darüber hinaus genutzt werden, beispielsweise für bestimmte Werbezwecke, bedarf es einer schriftlichen Einwilligung des Kunden. Zudem muss der Kunde Auskunft über die Dauer und Verwendung seiner Angaben erhalten, wenn er dies verlangt. In Bezug auf Daten, die bei einem Betrieb zu Bewerbungszwecken eingehen, gelten weitere Bestimmungen. Laut DSGVO müssen die Bewerber, sobald die Unterlagen eingehen, Informationen über die Datenverarbeitung erhalten. Hösel erklärt: „Dazu zählt unter anderem, welche Daten die Personalverantwortlichen verarbeiten, zu welchem Zweck und wie lange sie verarbeitet werden.“ Indem ein Unternehmen beispielsweise eine automatisch generierte Eingangsbestätigung mit den entsprechenden Angaben versendet, kommt es dieser Pflicht nach. Darüber hinaus müssen Unternehmen ein Verzeichnis führen, in dem die Verarbeitungstätigkeiten, die im Rahmen des Bewerbermanagements stattfinden, festhalten. Konnte die offene Stelle besetzt werden, müssen Verantwortliche die personenbezogenen Daten der anderen Bewerber löschen, wenn Einspruchsfristen abgelaufen sind.
Weitere Informationen unter www.hubit.de
