Direkter Kontakt: +49 7152 / 30550-200|info.komzet@bz-af.de

Nachfolgend wird das Thema Datenschutzrecht für „kleinere“ Betriebe behandelt:

Zu beachten:

  • Passwort-Schutz und Firewall auf dem Rechner
  • Aufbewahrung von Mitarbeiter-Daten in einem abschließbaren Schrank
  • Auftragsverarbeitungs-Verträge mit externen Dienstleistern (Lohnbüro, IT-Betreuer…)
  • Verarbeitungsverzeichnis
  • Vorsicht bei Werbemaßnahmen per E-Mail („Mailing-Aktionen“)

Den ausführlichen Leitfaden des ZDH finden Sie unter

https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/

Dort gehen Sie bitte auch auf die Rubrik „Praxis Datenschutz“ und weiter auf „Dokumentationspflicht“ – hier finden Sie praktische Hinweise und Muster für die Umsetzung.


Datenschutzerklärung für die Firmen-Internetseite

Eine gute Vorlage für eine Datenschutzerklärung für die Firmen-Internetseite (das entsprechend individualisiert werden muss) finden Sie z. B. beim Deutschen Anwaltverein:

https://anwaltverein.de/de/praxis/datenschutz


Der „Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg“ ist zu finden unter:

www.baden-wuerttemberg.datenschutz.de

Dort finden Sie auch noch weitergehende Informationen „aus erster Hand“ (beispielsweise „Kurzpapier Nr. 1 bis Kurzpapier Nr. …“ ).

www.baden-wuerttemberg.datenschutz.de/ds-gvo/

Schauen Sie sich einmal die „Kurzpapiere“ zur „Datenschutz-Folgenabschätzung“ und zum „Datenschutzbeauftragten“ an.


Nachfolgend finden Sie Fragen, die im betrieblichen Alltag zum Thema Datenschutz immer wieder auftreten.
Wir haben auch die Antworten dazu.

“Datenschutz” ist nicht neu. Datenschutzrechtliche Regeln gibt es fast so lange, wie es Daten gibt, die gespeichert und verarbeitet werden können.

Grundsätzlich gilt, dass laut Datenschutzrecht jede Verarbeitung “personenbezogener Daten” verboten ist, es sei denn, sie ist ausdrücklich erlaubt.

  • Der Grundsatz ist also das Verbot der Verarbeitung “personenbezogener Daten”.
  • Die Ausnahme ist die Erlaubnis der Verarbeitung “personenbezogener Daten”.
  • “Verarbeitung” bedeutet: Erhebung / Speicherung / Nutzung personenbezogener Daten.

Daraus resultiert zum Beispiel auch der weitere Grundsatz, dass “so wenig wie möglich bzw. nötig” Daten zu “sammeln” sind. Das Gebot lautet also: “Datenminimierung” – keine “Datensammelwut”.

Grundsätzlich braucht derjenige, der personenbezogene Daten “verarbeitet”, hierfür immer eine sogenannte “Rechtsgrundlage”. Also eine Regelung, die ihm die “Verarbeitung” erlaubt. Man nennt das einen “Erlaubnistatbestand”.

Das kann z. B. die “Einwilligung” sein (wenn ein Unternehmer z. B. auf seiner Internetseite Fotos von seinen Mitarbeitern veröffentlichen will – benötigt er dazu eine Einwilligung jedes einzelnen betroffenen Mitarbeiters). Eine Einwilligung sollte in “Schriftform” erfolgen – aus Beweisgründen (eine mündliche Einwilligung wäre zwar ausreichend, lässt sich aber “im Streitfall” schlecht beweisen).

Weiter kann eine sog. “Erforderlichkeit” gegeben sein. Das ist z. B. bei solchen Daten der Fall, die zur Erfüllung eines Vertrages notwendig sind (z. B. Kundendaten zur Erstellung eines Angebots, eines Bauvertrags, zum Schreiben einer Rechnung und während der Gewährleistungsphase bzw. Mitarbeiterdaten während des Bestehens des Arbeitsverhältnisses – und jeweils noch Jahre später, da es ja auch wiederum “gesetzliche Aufbewahrungsfristen” gibt – in denen man bestimmte Daten gar nicht löschen darf).

Nicht notwendig wäre es aber beispielsweise, wenn der Unternehmer E-Mail-Adressen von Kunden für Mailing-Aktionen (Werbung) nutzt, ohne dass der Kunde ausdrücklich zugestimmt hat. Grundsätzlich ist die “Verarbeitung” der E-Mail-Adresse eines Kunden zulässig und rechtmäßig – aber nur zu dem Zweck, für den die Adresse gespeichert wurde (Kommunikation mit dem Kunden vor, während und nach der Durchführung des Auftrags über Inhalte, die mit dem Auftrag direkt zusammen hängen. Dieses Beispiel zeigt gut auf, wie “rechtmäßig” gespeicherte Daten schnell “unrechtmäßig” verwendet werden können – und somit ein Verstoß gegen das Datenschutzrecht vorliegt.

Ab Ende Mai 2018 gelten folgende Neuregelungen, die alle einen besseren Schutz “personenbezogener Daten” betreffen:

Es findet eine “Beweislastumkehr” statt. Das heißt, dass der Unternehmer jederzeit in der Lage sein muss nachzuweisen, dass mit personenbezogenen Daten ordnungsgemäß umgegangen wird und die Einhaltung des Datenschutzes im Unternehmen kontrolliert wird. Hierbei ist eine “Dokumentation” sehr wichtig (siehe separate Frage / Antwort).

Die Rechte von “Betroffenen” werden gestärkt. Das bedeutet z. B., dass betroffene Personen ein Recht auf sofortige Information über die Erhebung und Verarbeitung eigener personenbezogener Daten haben und darüber, ob diese Daten an Dritte weitergegeben wurden. Wenn ein “Betroffener” Informationen verlangt, muss der Unternehmer entsprechend Auskunft erteilen.

Der Unternehmer ist verpflichtet, ein sog. “Verzeichnis der Verarbeitungstätigkeiten” in seinem Unternehmen zu erstellen und zu führen. Dies muss schriftlich geschehen, d. h. der Unternehmer muss dokumentieren, was er “datenschutzrechtlich” in seinem Unternehmen umsetzt.

Das sind alle Informationen, die sich auf eine bestimmte natürliche Person beziehen und die so zur Identifizierung dieser Person beitragen. Also zum Beispiel:
  • Name, Adresse, Telefonnummer
  • E-Mail-Adresse, Mitarbeiternummer, Kundennummer
  • Vita von Mitarbeitern auf der Homepage des Unternehmens (mit / ohne Foto)
  • Online-Kennungen (IP-Adresse, Cookie-Kennung)
  • Informationen zum Gerät oder zu Software-Anwendungen der Person
  • Gesundheitsdaten, Krankheitstage
  • Lohnunterlagen, Kontodaten

Es ist – wie in vielen Bereichen – generell ganz wichtig, dass man dann, wenn ein “Problem” auftritt, etwas “in der Hand” hat.

“Anlasslose Kontrollen” von Datenschutz-Aufsichtsbehörden (Landesdatenschutzbeauftragter) werden sicher auch zukünftig sehr selten sein. Wenn, dann ist davon auszugehen, dass sich z. B. unzufriedene Mitarbeiter, Kunden oder Lieferanten bei der Aufsichtsbehörde beschweren und so eine Kontrolle auslösen.

Aber nun zurück zur Dokumentation:

Jedes Unternehmen muss im Grund über ein sog. “Datenschutz-Management-System” verfügen. Klingt kompliziert – ist es aber gar nicht, wenn man nur einmal anfängt, sich damit zu beschäftigen und wenn man diese Aufgabe in einige “Unter-Aufgaben” aufgliedert.

Ein Unternehmer muss sich diesem Thema stellen. Er muss einige Maßnahmen festlegen, dafür sorgen, dass diese umgesetzt werden, die Umsetzung – ganz wichtig ( !!! ) – dokumentieren und die Einhaltung der festgelegten Maßnahmen in regelmäßigen Abständen kontrollieren.

ANMERKUNG:

Das Thema “Datenschutz-Management-System” ist ähnlich anzugehen und umzusetzen wie das Thema “Gefährdungsbeurteilung”. Auch hier muss sich der Unternehmer Gedanken machen über mögliche Gefahren, er muss Maßnahmen festlegen, die der Vermeidung von erkannten möglichen Gefahren dienen, er muss diese umsetzen (z. B. durch Unterweisung von Mitarbeitern) und er muss diese Umsetzung – ganz wichtig ( !!! ) – dokumentieren.

Der erste – und somit ganz wichtige – Schritt ist, dass der Unternehmer damit beginnt, ein schriftliches “Verzeichnis der Verarbeitungstätigkeiten” zu führen.

Das bedeutet, dass man sich – schriftlich – darüber Gedanken macht, welche Daten im Unternehmen erhoben werden (welche Art von Daten / von welchen Personengruppen / …) und zu welchem Zweck diese Daten erhoben, gespeichert, verarbeitet werden. Diese schriftliche Zusammenfassung des Unternehmens aus “datenverarbeitender Sicht” ist die Grundlage für alle weiteren Überlegungen und Schritte.

Die nächsten darauf aufbauenden Schritte sind, dass sich der Unternehmer – schriftlich – darüber klar wird, wer die “Betroffenen” sind (von denen Daten verarbeitet werden), dass er sich – schriftlich – darüber Gedanken macht, auf welche Art und Weise diese “personenbezogenen Daten” gespeichert und verarbeitet werden.

Daraus abgeleitet macht sich der Unternehmer – schriftlich – darüber Gedanken, welche Personen (Mitarbeiter/innen seines Unternehmens) Zugriff auf diese – unterschiedlichen – Daten haben. Also Gedanken hinsichtlich der Zugriffsberechtigungen von Mitarbeiter/innen in der Buchhaltung, in der Personalabteilung, im Marketing, im Vertrieb, bei der Baustellenabwicklung.

Weiter muss sich der Unternehmer – schriftlich – überlegen, welche Daten in welchem Umfang zu schützen sind (es gibt weniger sensible Daten (z.B. eine Adresse oder eine Telefonnummer) und sensiblere Daten (z.B. eine Kontoverbindung oder Gesundheitsdaten).

Schlussendlich muss es im Unternehmeen – schriftlich – ein Konzept zur Löschung von Daten geben, also Speicherfristen bzw. Fristen zur Löschung von Daten (Entwicklung von Löschregeln sowie von Maßnahmen, die sicherstellen, dass Daten zuverlässig gelöscht werden). Grundsätzlich sind Daten in der Regel dann zu löschen, wenn sie für die Erfüllung des Zwecks, zu dem sie gespeichert wurden, nicht mehr erforderlich sind.

Im Zuge der konkreten “Umsetzung” von Maßnahmen, die sich aus den ganzen vorstehenden Schritten ableiten, ist es ganz wichtig, dass der Unternehmer regelmäßig dafür sorgt, dass seine Mitarbeiter entsprechend geschult werden – und diese Schulungen ebenfalls dokumentiert werden.

Ein “betrieblicher Datenschutzbeauftragter” muss benannt werden, wenn in einem Unternehmen “mindestens 10 Personen” im Zuge ihrer “gewöhnlichen Tätigkeiten” ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (also z. B. regelmäßiger Zugriff auf den Server und dort gespeicherte Mitarbeiter-, Kunden- oder Lieferantendaten, egal ob über PC im Büro oder mobil über Tablet oder Smartphone).
Generell ist zwischen dienstlicher und (sofern zugelassen) privater Nutzung von Telefon / Handy bzw. E-Mail / Internet zu unterscheiden.

Der Arbeitgeber darf bei dienstlicher Telefon- / Handynutzung die Verbindungsdaten einschließlich der Empfänger- und Adressatendaten prüfen und auswerten. Bei privater Telefon- / Handynutzung darf allenfalls die Zahl und die Dauer der abgehenden reinen Privatgespräche erfasst werden, nicht aber die Telefonnummer des Gesprächspartners (dies nur dann, wenn der Arbeitnehmer ausdrücklich zustimmt.

Die Überwachungsbefugnisse hinsichtlich dienstlicher E-Mails gehen sehr weit. Da der Arbeitnehmer im dienstlichen Rahmen tätig wird, darf der Arbeitgeber grundsätzlich auch die Inhalte dienstlicher E-Mails einsehen. Diese unterliegen nicht dem Fernmeldegeheimnis. Anders verhält es sich bei den Inhalten privater E-Mails. Die Kontrolle von deren Inhalt ist regelmäßig unzulässig und stellt einen rechtswidrigen Eingriff in die Persönlichkeitssphäre des Arbeitnehmers dar.

Ist ausschließlich eine dienstliche Internetnutzung erlaubt, so darf der Arbeitgeber zumindest stichprobenartig mit dem Standard-Web-Browser nachvollziehen, welche Internetadressen der Arbeitnehmer zu welchem Zeitpunkt besucht hat. Hieran besteht ein berechtigtes betriebliches Interesse. Ist dagegen auch die private Internetnutzung am Arbeitsplatz erlaubt, schränkt das die zulässigen Kontrollmöglichkeiten ganz erheblich ein (allein schon die Erkennbarkeit bzw. Unterscheidung, ob eine Internetnutzung dienstlicher oder privater Natur ist, kann nur schwer getroffen werden).

Ein berechtigtes Interesse des Arbeitgebers an einer offenen Videoüberwachung in einem öffentlich zugänglichen Raum (z.B. Außenbereich des Betriebsgeländes, Hof vor der Lagerhalle) kann z.B. die Gefahrenabwehr, die Verhütung von Vandalismus oder von Vermögensdelikten (Einbrüchen, Diebstählen) sein. Der Arbeitgeber sollte zusätzlich durch ein entsprechendes Hinweisschild auf die offene Videoüberwachung hinweisen. Eine verdeckte, für die Betroffenen nicht erkennbare Videoüberwachung eines öffentlichen Raumes ist grundsätzlich unzulässig (Ausnahme: bei konkretem Verdacht auf eine Straftat).

Eine offene Videoüberwachung im nicht-öffentlichen Raum (z.B. Büro) darf keinesfalls zu einem generellen Überwachungsdruck der Arbeitnehmer führen. Sie ist auch nur dann zulässig, wenn die schutzwürdigen Interessen des Arbeitgebers nur auf diese Weise gewahrt werden können und keine andere Möglichkeit der Überwachung des Arbeitsprozesses besteht. Die Erforderlichkeit einer solchen Maßnahme ist vom Arbeitgeber ausreichend zu dokumentieren. Der Arbeitgeber sollte zusätzlich durch ein entsprechendes Hinweisschild auf die offene Videoüberwachung hinweisen. Eine verdeckte, für die Betroffenen nicht erkennbare Videoüberwachung eines nicht-öffentlichen Raumes ist grundsätzlich unzulässig (Ausnahme: bei konkretem Verdacht auf eine Straftat).

Die „GPS-Ortung“ kann relevant werden insbesondere im Zusammenhang mit der Benutzung dienstlicher Handys, Laptops, Smartphones, Tablets oder von Dienstfahrzeugen. Werden die Standortdaten als „personenbezogene Daten“ erfasst, ist der Anwendungsbereich des Arbeitnehmerdatenschutzes eröffnet. Eine „mittelbare Zuordnung“ ist ausreichend. Grundsätzlich ist den betroffenen Arbeitnehmern die GPS-Ortung offen zu legen. Für die GPS-Ortung gelten die gleichen Grundsätze wir für die Videoüberwachung, wobei die GPS-Ortung ein weniger belastendes Mittel darstellt.

Führen eines Verarbeitungsverzeichnisses

Legen Sie für einen Leitz-Ordner 3 Kapitel an: Mitarbeiter/Kunden/Lieferanten und bearbeiten Sie jeweils entsprechend das Verarbeitungsverzeichnis.

Jeder Betrieb trifft zukünftig eine Dokumentationspflicht über die von ihm ausgeführten Verarbeitungstätigkeiten. Das sogenannte Verarbeitungsverzeichnis enthält in Kurzform eine Übersicht aller Verarbeitungstätigkeiten, z. B. den Zweck der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und die Beschreibung der Kategorien personenbezogener Daten, Fristen für die Löschung der Daten, etc. Das Verzeichnis muss entweder schriftlich oder in einem elektronischen Format geführt werden. Ein Muster eines Verarbeitungsverzeichnisses finden Sie im Anhang (siehe Download). Dieses Muster benennt die in das Verzeichnis aufzunehmenden Angaben und kann als Grundlage für die Erstellung des eigenen Verarbeitungsverzeichnisses herangezogen werden. Es ist geplant, ein weiteres Muster zu erarbeiten, welches für typische Verarbeitungsvorgänge bereits vorausgefüllt ist. Das Bayerische Landesamt für Datenschutzaufsicht hat beispielhaft für einen Handwerksbetrieb ein kurzes Musterverzeichnis eines Verarbeitungsverzeichnisses erstellt, welches den Einstieg in die Thematik erleichtern soll – siehe Download.

Unabhängig von den Mustern muss aber jeder Betrieb überprüfen, ob im eigenen Geschäftsalltag noch andere Daten erhoben bzw. anderweitig verarbeitet oder weitergegeben werden und muss dies entsprechend im Verarbeitungsverzeichnis vermerken. Das Verarbeitungsverzeichnis muss einmalig erstellt, danach stets aktualisiert werden, falls sich Verarbeitungsvorgänge verändern.


DownloadMuster / Handwerksbetrieb – Verzeichnis von Verarbeitungstätigkeiten

Download: Verzeichnis von Verarbeitungstätigkeiten und weitere Informationen


Nachfolgend noch ergänzend ein beispielhaft vorausgefülltes Muster eines „Verzeichnisses der Verarbeitungstätigkeiten“ (nach Art. 30 DS-GVO) für einen Baubetrieb.

Download: Als pdf zur Gesamtansicht
Download: Als Excel zur individuellen Bearbeitung

Die letzte Spalte verweist auf die „technischen und organisatorischen Maßnahmen“ (kurz „ToM“). Für jede einzelne Art der „Verarbeitungstätigkeit, also für jede Zeile, sind in einer allgemeinen, separaten Beschreibung die „ToM“ festzuhalten, die konkret im Betrieb zum Schutz der jeweiligen personenbezogenen Daten durchgeführt und umgesetzt werden.

  • Wie ist die innerbetriebliche Organisation gestaltet?
  • Maßnahmen zur Sicherstellung der Vertraulichkeit (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Trennungsgebot, Eingabekontrolle…)
  • Maßnahmen zur Sicherstellung der Verfügbarkeit der Daten (Verfügbarkeitskontrolle, Sicherstellung der raschen Wiederherstellbarkeit…)
  • Maßnahmen zur Auftragskontrolle (Auftragsverarbeitungsvertrag…)

Das heißt – konkret – für jede Zeile bzw. Datengruppe aufschreiben, wo und wie die entsprechenden personenbezogenen Daten gespeichert werden, wer darauf Zugriff hat, wie die Daten gesichert sind, wie sichergestellt ist, dass sie auch dauerhaft (solange erforderlich / zulässig) sicher gespeichert sind und bleiben und – bei Verarbeitung der Daten durch einen anderen Auftragnehmer (z.B. Lohnbüro, Steuerberater, IT-Dienstleister etc.) – welcher „Auftragsverarbeitungsvertrag“ geschlossen ist.