Spätestens seit 2018 hat der europäische Datenschutz eine ganz neue Relevanz erhalten. Er ist in vielen Unternehmen, den Aufsichtsbehörden und bei Privatpersonen angekommen und sorgt seitdem mitunter für Verunsicherung. Dies hat zur Folge, dass Digitalisierungsvorhaben beispielsweise gestoppt oder aufgeschoben werden. Um das zu vermeiden, zeigen wir Ihnen den handwerksbetrieblichen Umgang mit personenbezogenen Daten und so DSGVO-konformes Handeln auf.

Den dreidimensionalen Visualisierungstechniken werden gemeinsam mit BIM (Building Information Modeling) und Additive Manufacturing (3D-Druck) eine Schlüsselrolle bei der Digitalisierung von Handwerksbetrieben zugesprochen. Die Techniken erreichen einen immer breiteren Kundenkreis und sind mehr und mehr massentauglich. Dennoch ist diese Technologie bislang kaum bei den Handwerksunternehmen angekommen – siehe Grafik.

Durch den Einsatz von VR und AR können Handwerksleistungen effizienter geplant und gezielter gesteuert werden, wodurch Prozesse sowie die Produktion erleichtert werden. Es können beispielsweise wichtige Zusatzinformationen bei der Wartung und Montage von Maschinen angezeigt werden, sodass Aufgaben leichter, sicherer sowie schneller durchgeführt werden. Schlussendlich hat es den Effekt, dass die Arbeiten dadurch qualitativ hochwertiger erledigt werden.

WAS BEDEUTET DATENSCHUTZ UND WAS SIND PERSONENBEZOGENE DATEN?

Datenschutz beschreibt den Schutz natürlicher Personen vor dem Missbrauch ihrer personenbezogenen Daten. Ob die Daten digital oder analog vorliegen, spielt dabei keine Rolle.

Datenverarbeitung umfasst jeglichen Umgang mit personenbezogenen Daten: Vom Erheben, Speichern, Nutzen, Verändern, Übermitteln, Sperren bis hin zum Löschen. Geregelt ist der Datenschutz in der Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz.

Personenbezogene Daten sind „alle Informationen, die sich […] auf eine identifizierte oder identifizierbare Person ([…] betroffene Person) beziehen:

Art. 4 DSGVO

 

Aber auch per Smartphone oder Tablet sind die computergenerierten Zusatzobjekte realisierbar. Die reale Welt wird durch digitale Informationen im Kamerabild auf dem jeweiligen Display ergänzt. Dabei werden virtuelle Objekte in Echtzeit an bestimmten Positionen im Raum platziert. Diese Technologie erlebte einen enormen Boom im Jahre 2016 durch das Spiel „Pokemon Go“. Nach diesem Prinzip kann auch ein Waschbecken über das bestehende Inventar im Raum gelegt werden. Durch den zusätzlichen visuellen Reiz kann sich der Kunde ein besseres Bild vom zukünftigen Bad machen.

Die AR-Datenbrillen bieten gerade denjenigen Gewerken Vorteile, die eine Serviceleistung beim Kunden vor Ort erbringen, z. B. Heizungsbauer, Anlagenbauer und Elektrotechniker.

WIE GUT SIND SIE UND IHR BETRIEB AUFGESTELLT?

Die Datenschutz-Grundverordnung hat seit Inkrafttreten einen oft unterschätzten Stellenwert eingenommen. Die Rechte von Menschen, deren personenbezogene Daten verarbeitet werden, wurden gestärkt, das Beschwerderecht sowie die Sanktionsmöglichkeiten ausgebaut.

Um da als Betrieb nicht in eine Falle zu tappen, sollten Sie sich umfassend absichern. Wie gut Ihr Betrieb bereits aufgestellt ist und wo noch Nachholbedarf besteht, können Sie mit dem Online-Tool des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) selbst prüfen. Beantworten Sie 28 Fragen entlang einer Route aller 28 EU-Länder. Am Ziel der Route angekommen, erhalten Sie eine detaillierte Auswertung sowie eine Beschreibung, welche Anforderungen noch umgesetzt werden müssen.

NOCH NICHT ALLE ANFORDERUNGEN ERFÜLLT?

Häufig sind größere Unternehmen datenschutzrechtlich besser aufgestellt als kleinere. Das liegt zum einen daran, dass sie eine:n interne:n oder externe:n Datenschutzbeauftragte:n aufweisen können bzw. müssen, zum anderen existiert in vielen Fällen ein umfassendes Datenschutzmanagementsystem, das kleine Betriebe vielfach nicht leisten können.

Wenn Sie die folgenden 10 Schritte für DSGVO-konformen Datenschutz befolgen, besitzen Sie einen grundlegenden Schutz, der Sie vor den meisten Abmahnfallen, Datenpannen und möglichen Sanktionen bewahren kann.

10 SCHRITTE FÜR DSGVO-KONFORMEN DATENSCHUTZ

1. Rahmenbedingungen schaffen

Verantwortlich für die betriebliche Einhaltung des Datenschutzes ist der Verantwortliche des Betriebes, in der Regel die Geschäftsleitung.

Diese ist dafür verantwortlich, ausreichend personelle, zeitliche und ggf. finanzielle Ressourcen zur Verfügung zu stellen, um datenschutzkonformes Handeln im Betrieb umsetzen und so die Einhaltung des Datenschutzes gewährleisten zu können.

2. Geschäftsprozesse identifizieren

Um einen betriebsumfassenden Datenschutz gewährleisten zu können, identifizieren Sie alle Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden. Das reicht von A wie Aktenvernichtung bis Z wie Zahlungserinnerung:

  • Welche Art von personenbezogenen Daten werden verarbeitet?
  • Werden personenbezogene Daten an Dritte weitergegeben?
  • Gibt es bestimmte Dienstleistungsbeziehungen, die durch die Verarbeitung personenbezogener Daten bestimmt sind?

 

DOKUMENTIEREN SIE DIESE GESCHÄFTSPROZESSE!

3. Rechtsgrundlagen prüfen & Einwilligungen einholen

Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine Einwilligung der betroffenen Person vorliegt oder eine gesetzliche Rechtsgrundlage gegeben ist.

Vor der DSGVO erteilte Einwilligungen zur Datenverarbeitung bleiben rechtlich bestehen. Ausnahme: An die Einwilligung ist eine andere Leistung gekoppelt (Kopplungsverbot!) oder die bzw. der Einwilligende ist unter 18 Jahre alt (unter 16 bei Diensten der Informationsgesellschaft).

4. Informationspflichten erfüllen

Betroffenen stehen Informationen darüber zu, wer was wann, auf welcher Grundlage über sie weiß und zwar noch bevor diese Daten über ihn verarbeitet werden.

Jede Datenverarbeitung ist zweckgebunden. Ändert sich ein Verarbeitungszweck, sind Betroffene auch hierüber zu informieren.

5. Betroffenenrechte wahren

Die einfachste Lösung, um mögliche Sanktionen zu vermeiden, ist die Einhaltung der Datenschutz-Grundsätze:

  • Transparente Datenverarbeitung: Informieren Sie Betroffene über Herkunft und Art der Verarbeitung ihrer personenbezogenen Daten.
  • Informieren: Ändert sich ein Verarbeitungszweck oder werden Daten weitergegeben, muss der Betroffene darüber informiert werden.
  • Auskunft erteilen: Betroffene auf Verlangen über Herkunft, Art der Daten und Verarbeitungszweck kostenfrei binnen max. 4 Wochen informieren.
  • Daten aktuell halten: Personenbezogene Daten müssen vollständig und aktuell gehalten werden.
  • Respektvoller Datenumgang: Liegt kein Verarbeitungszweck mehr vor, widerruft oder schränkt ein Betroffener die Datenverarbeitung ein und spricht keine gesetzliche Grundlage dagegen, muss der Betrieb die Daten ggf. restlos löschen. Das gilt auch für Daten, die im Internet gespeichert wurden.
6. Beschäftigtendatenschutz beachten

Beschäftigtendatenschutz umfasst alle Regelungen zur Verarbeitung von Arbeitnehmerdaten in Zusammenhang mit einem Beschäftigungsverhältnis. Als Beschäftigte gelten alle (Leih-) Mitarbeiter, Minijobber, Auszubildende, Praktikanten und Bewerber.

Die Erhebung von Beschäftigtendaten ohne Einwilligung ist erlaubt, sofern die Daten erforderlich sind, z. B. zur Ausübung von Weisungsrechten oder zur Organisation, wie Personalplanung und -einsatz.

Auch gilt es gewisse Arbeitgeberpflichten zu erfüllen, wie z. B. die Verpflichtung auf den Datenschutz – vor Aufnahme der Tätigkeit.

7. Datenverarbeitung im Internet absichern

Sie repräsentieren Ihren Betrieb im Internet mit einer eigenen Webseite oder in den sozialen Medien? Dann beachten Sie folgende Anforderungen:

  • Impressumspflicht
  • Datenschutzerklärung platzieren
  • DSGVO-konformer Einsatz von Cookies und anderer Analysedienste
8. Auftragsverarbeitung prüfen

Auftragsverarbeitung tritt auf, wenn die Verarbeitung oder Speicherung von personenbezogenen Daten, die zwar für die eigenen Betriebszwecke erhoben wurden, an externe weisungsgebundene Unternehmen ausgelagert wird.

In diesem Falle muss ein Auftragsverarbeitungsvertrag zwischen beiden Parteien geschlossen werden, mit gemeinsamer Haftung beider Parteien.

9. IT-Sicherheit gewährleisten

Auftragsverarbeitung tritt auf, wenn die Verarbeitung oder Speicherung von personenbezogenen Daten, die zwar für die eigenen Betriebszwecke erhoben wurden, an externe weisungsgebundene Unternehmen ausgelagert wird.

In diesem Falle muss ein Auftragsverarbeitungsvertrag zwischen beiden Parteien geschlossen werden, mit gemeinsamer Haftung beider Parteien.

10. Verzeichnis von Verarbeitungstätigkeiten erstellen

Auftragsverarbeitung tritt auf, wenn die Verarbeitung oder Speicherung von personenbezogenen Daten, die zwar für die eigenen Betriebszwecke erhoben wurden, an externe weisungsgebundene Unternehmen ausgelagert wird.

In diesem Falle muss ein Auftragsverarbeitungsvertrag zwischen beiden Parteien geschlossen werden, mit gemeinsamer Haftung beider Parteien.

BRAUCHEN SIE HILFE BEIM DATENSCHUTZ

Egal, ob Sie Hilfe bei der Erstellung eines Verarbeitungstätigkeiten-Verzeichnisses, bei den Einwilligungserklärungen, bei der Auftragsverarbeitung oder bei der Auskunftserteilung benötigen, über die Berater:innen der Handwerkskammern und Fachverbände erhalten Sie die nötigen Informationen und individuelle Beratung rund um das Thema Datenschutz.

Ihr Ansprechpartnerin

Daniela Putsch

Daniela Putsch

Dr. rer. oec. / Diplom-Ökonomin
Ardeystraße 93
44139 Dortmund

Tel. +49 231 5493-414
Fax +49 231 5493-95414

daniela.putsch@hwk-do.de