Seit dem 25. Mai 2018 gilt europaweit die neue Datenschutz-Grundverordnung (DSGVO). Mit ihr trat eine Reihe von Vorgaben in Kraft, die von jedem beachtet werden müssen, der E-Mail-Adressen gewerblich bzw. geschäftlich nutzt. Da die Nichtbeachtung der neuen Vorgaben (sehr) teuer werden kann, gilt es auch für Handwerksbetriebe, sich umfassend zu informieren. → Hans-Jürgen Borchardt
Gleichzeitig mit der DSGVO trat am 25. Mai auch das überarbeitete Bundesdatenschutzgesetz (BDSG) in Kraft. Diese neuen Verordnungen gelten für alle Betriebe, Institutionen und Personen, die personenbezogene Daten verarbeiten. Damit sind auch Handwerkerbetriebe betroffen, die E-Mails für Werbung, Newsletter, Angebote, Einladungen, Rechnungsversand etc. einsetzen. Damit haben sie eine Fülle von zusätzlichen und neuen Maßnahmen zu leisten, um die gesetzlichen Vorgaben für den Datenschutz zu erfüllen. Weil die Anforderungen sehr komplex sind, ist es notwendig, sich umfassend zu informieren oder einen Mitarbeiter zum Datenschutzbeauftragten zu ernennen, denn, wie bereits erwähnt, kann die Nichtbeachtung sehr teuer werden: bei groben, fahrlässigen Verstößen bis zu 20 Millionen Euro, bei größeren Strafen sogar bis 4 % vom Jahresumsatz. Gute Hilfe bei der gesetzeskonformen Gestaltung der Vorgaben liefern oft die Handwerkskammern, das Internet und viele private Anbieter. Was für Handwerksbetriebe wichtig ist Im Folgenden sind die wichtigsten Veränderungen bzw. Anforderungen aufgeführt, die für Handwerksbetriebe relevant sind. Für Großbetriebe, Onlinehändler, Blogger etc. gibt es noch eine Fülle von weiteren Vorgaben, die Kleinbetriebe mit bis zu 20 Beschäftigten nicht tangieren. Generell muss jeder (Einzel-)Unternehmer, der Personendaten gespeichert hat, prüfen, ob für die Nutzung der gesammelten Daten die Einverständniserklärung des Kunden beweisbar vorliegt. Das gilt auch für die Daten, die vor dem 25. Mai 2018 erfasst wurden. Das Unternehmen muss verbindlich erklären, wofür die Daten verwendet werden sollen. Kunden, die Auskunft über Umfang und Nutzung der von ihnen gesammelten Daten verlangen, müssen kurzfristig und verständlich informiert werden. Datennutzer, die die eigenen und die gesammelten Daten nicht umfassend schützen, verstoßen gegen die Verordnung. Alle Datenverwender/-nutzer sind verpflichtet, eine Datenschutzerklärung vorzuhalten. Der Inhalt ist in Artikel 12 der DSGVO verbindlich vorgegeben und muss “in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ verfasst sein. Die Erklärung muss im eigenen Internetauftritt — auch auf den Unterseiten - für jeden Interessierten leicht zu finden sein. Technische Begriffe sollen weitgehend vermieden werden. Nach Artikel 13 und 14 der Verordnung muss jeder betroffenen Person bei einer Datenerhebung umfangreich Auskunft u. a. über Zweck, Empfänger, den Verantwortlichen der Datenverarbeitung, Dauer der Datenspeicherung, Rechte zur Berichtigung sowie Sperren, Löschen und Verwendung der Daten gegeben werden. Wenn sich der Zweck ändert, ist die betroffene Person aktiv zu informieren. Ferner ist der Kunde auch über die Rechtsgrundlage für die Verarbeitung seiner Daten zu informieren. Zusätzlich enthalten die Artikel 13 und 14 weitere Vorgaben über Leistungen, die von den Betrieben zu erbringen sind. • Der Kunde kann jederzeit verlangen, • dass seine Daten geändert oder gelöscht werden. • Datenverluste sind innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. • Die erhobenen Daten dürfen nur für den angegebenen Zweck verwendet werden. • Dem Kunden muss mitgeteilt werden, wer im Betrieb sein Ansprechpartner ist. • Erstellung einer eigenen Datenschutzverordnung. • Welche Daten werden wofür genutzt? Wer empfindliche Strafzahlungen vermeiden will, sollte, wenn noch nicht geschehen, sich zeitnah mit diesem Thema beschäftigen. Sinnvoll ist es zunächst festzulegen, ob und in welcher Form eine Datei aufgebaut und für welche Aktivitäten sie genutzt werden soll. Danach kann bestimmt werden, welche Daten/Informationen gesammelt werden sollen und welche Informationen die Datengeber (Kunden) erhalten müssen. Ferner muss geprüft werden, ob für die vorhandenen Adressen und Daten die Einverständniserklärung der Kunden vorliegt. Der sicherste Weg ist das Double-Opt-in-Verfahren, d. h. der Kunde bestätigt auf Bitte/Anfrage noch einmal schriftlich, dass er dem Einsatz seiner Daten für den angegebenen Verwendungszweck zustimmt. Interner oder externer Datenschutzbeauftragter? Da diese Tätigkeiten mit Arbeit verbunden sind, muss entschieden werden, wer diese Arbeit erledigt und dafür verantwortlich ist. Die DSGVO verlangt eine Dokumentation, die Auskunft gibt, wer die Daten wie und wofür speichert. Ist keine Dokumentation vorhanden, ist eine Strafe unvermeidbar. Dabei muss berücksichtigt werden, dass der/die Beauftragte vorgibt, was wie getan werden muss, wenn die Arbeit nicht von ihr selbst erledigt wird. Unumgänglich ist, dass der/die Verantwortliche eine Schulung zum Datenschutzbeauftragten in Form eines Seminars oder eines Fernlehrgangs absolviert. Betriebe, die diese Tätigkeit auslagern wollen, können auch externe Datenschutzbeauftragte engagieren. Da die Berufsbezeichnung jedoch nicht geschützt ist, sollte die Qualifikation möglicher Bewerber sorgfältig geprüft werden. Hilfe für Betriebe Eine gute Hilfe für die Betriebe, die diese Arbeit ohne Mithilfe von externen Fachleuten leisten wollen, bietet der ZDH, Zentralverband des Deutschen Handwerks, auf seinen Internetseiten. Zu finden sind die Hilfsangebote auf der Titelseite unter “Themen von A-Z“ und dann weiter in der Rubrik G “Datenschutz“. Dort sind unter den Überschriften “Das neue Datenschutzrecht“ und “Datenschutz für Handwerksbetriebe“ die wichtigsten Themenbereiche erklärt und beschrieben. Dazu gehören: • Zulässige Datenverarbeitung ohne Einwilligung • Anforderungen der datenschutzrechtlichen Einwilligung • Formelle Pflichten • Informationspflicht bei Erhebung personenbezogener Daten • Erteilung von Auskünften • Dokumentationspflicht • Der Datenschutzbeauftragte • Auftragsverarbeitung Empfehlenswert sind auch die Leistungen der Handwerkskammern und Innungen, die im Gegensatz zum ZDH sogar Rechtsberatung leisten dürfen. TIPPS Weitere Informationen und Arbeitshilfen gibt es unter folgenden Internetadressen: • https://datenschutz-generator.de • www.datenschutz-nord-gruppe.de • www.mein-datenschutzbeauftragter.de/bestellung-datenschutzbeauftragten • www.activemind.de/datenschutz/dokumente/av-vertrag • www.datenschutz.org/e-mail Eine Vorlage für eine Datenschutzerklärung mit hilfreichen Hinweisen gibt es hier.