Das Schreckgespenst „DSGVO“ bringt schon seit über 3,5 Jahren manche Handwerkerin und manchen Handwerker um den Schlaf. Erfülle ich alle Vorgaben der „EU-Datenschutz-Grundverordnung“? Habe ich 2021 eine Neuerung verpasst? Damit Sie wieder beruhigt schlafen können, haben wir in unserem Praxisleitfaden die wichtigsten Fragen für Handwerksbetriebe beantwortet.

Kurz und bündig: Was ist die DSGVO?

• Seit dem 25. Mai 2018 regelt die „EU-Datenschutz-Grundverordnung“ (DSGVO) die rechtlichen Vorgaben zur Verarbeitung personenbezogener Daten durch die Privatwirtschaft sowie öffentliche Einrichtungen in Europa.
• Betriebe, die Daten nutzen, werden vom Gesetz als „Verantwortliche“ bezeichnet, weil sie die Datennutzung verantworten und für Datenpannen einstehen müssen. Nach der DSGVO haben die Verantwortlichen zahlreiche formelle Pflichten: Meldepflichten, Sicherstellung der Datensicherheit, Rechenschaftspflichten und Umsetzung von Betroffenenrechten.
• Mit der DSGVO sollen auch die Verbraucherrechte gestärkt werden.
• Ein Verstoß gegen die DSGVO kann im schlimmsten Fall bis zu 20 Millionen Euro Strafe oder bis zu 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) nach sich ziehen.
• Zudem sieht die DSGVO Schadensersatzansprüche für materielle und immaterielle Schäden vor, die Personen aufgrund einer Verletzung der Regelungen entstehen.

Wann ist ein Datenschutzbeauftragte bzw. eine Datenschutzbeauftragte Pflicht?

Das "Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ brachte am 26. November 2019 vor allem für kleine Handwerksbetriebe eine erfreuliche Änderung: Einen Datenschutzbeauftragten (DSB) benötigt ein Betrieb erst ab einer Größe von mindestens 20 Personen, die ständig Umgang mit personenbezogenen Daten haben (beispielsweise Geschäftsführung, Lohnbuchhaltung, Personalverwaltung, Kundenverwaltung).

Nicht dazu zählen Mitarbeitende in der Produktion oder auch Mitarbeitende, die zum Beispiel auf der Baustelle Kundenkontakt haben. Auch wenn damit für viele kleinere Handwerksbetriebe kein Datenschutzbeauftragter mehr ernannt werden muss, bleiben die Regelungen der DSGVO selbstverständlich weiterhin bestehen. Unternehmen müssen also auch ohne betrieblichen Datenschutzbeauftragten gewährleisten, dass es nicht zu Verstößen kommt.

Welche Daten darf ich von meiner Kundschaft speichern?

Handwerksbetriebe dürfen laut Zentralverband des Deutschen Handwerks die Daten ihrer Kundschaft für alle vorvertraglichen Maßnahmen (z.B. Kostenvoranschlag) und zur Abwicklung des Auftrags erheben, speichern und nutzen. Ohne eine gesonderte Einwilligung dürfen aber stets nur solche Daten verarbeitet werden, die entweder für die Entstehung eines Kundenverhältnisses notwendig sind oder die aufgrund anderer gesetzlicher Vorgaben, zum Beispiel für die Steuer, gespeichert werden müssen.

So darf ein Handwerksbetrieb zum Beispiel die Adresse einer Kundin speichern, bei der Bauarbeiten durchgeführt werden sollen, diese Informationen aber nicht an Dritte weitergeben. Zudem darf nur die unbedingt erforderliche Person, also der ausführende Handwerker, Zugang zu diesen Daten erhalten. Dabei untersteht er dem sogenannten Datengeheimnis, welches auch nach Beendigung des Auftrags weiter besteht.

Daten nur solange speichern, bis der Auftrag erledigt ist

Die Daten dürfen in der Regel nur so lange gespeichert werden, bis der Auftrag erledigt ist. Sollen sie darüber hinaus archiviert werden, bedarf das einer schriftlichen Genehmigung des Kunden. Sie müssen die Daten des Kunden also nach dem Auftrag löschen, außer Sie können einen gesetzlichen oder anderweitig nachvollziehbaren Zweck der Datenspeicherung anführen. Beispielsweise müssen Sie Rechnungen zwingend 10 Jahre (gesetzlicher Zweck) aufheben.

Für Werbemaßnahmen ist die Einwilligung der Kundschaft immer zwingend erforderlich. Seit dem „Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ vom November 2019 muss die Einverständniserklärung nicht mehr auf dem Postweg erfolgen, sondern kann auch per E-Mail erteilt werden. Auch muss es für Kundinnen und Kunden möglich sein, ihre Einwilligung wieder zurückzuziehen und die Daten löschen zu lassen.

Hatte der Brexit Einfluss auf die Datenschutzbestimmungen?

Der Brexit brachte viele Veränderungen und Unsicherheiten mit sich. Dank des UK-Angemessenheitsbeschlusses von Juni 2021 sind besondere Genehmigungs- oder Schutzpflichten der Datenverantwortlichen nicht notwendig. Datentransfers von der EU auf den Inselstaat gelten weiterhin als „sicher“. Seit September 2021 gelten die neuen DSGVO-Standardvertragsklauseln, kurz auch SCC genannt. Diese werden für Datentransfers personenbezogener Daten in Drittländer außerhalb der EU benötigt.

Welche Daten darf ich von meiner Belegschaft speichern?

Jeder Betrieb ist verpflichtet, seine Beschäftigten darüber zu informieren, dass ihre personenbezogenen Daten gespeichert werden, warum dies erfolgt und welche Rechte ihnen zustehen. Sie müssen Ihre Mitarbeiterinnen und Mitarbeiter zum Beispiel darüber informieren, dass ihre Daten an Kundinnen oder Kunden oder das Finanzamt übermittelt werden. Lassen Sie sich das am besten schriftlich bestätigen und legen es dann in der Personalakte ab. Auch für die Verwendung von Fotos Ihrer Mitarbeitenden, etwa für die Firmenwebsite oder Social-Media-Aktivitäten, benötigen Sie deren Einverständnis.

Wann muss ich ein Verzeichnis der Verarbeitungstätigkeiten führen?

Jedes Unternehmen, welches regelmäßig personenbezogene Daten verarbeitet, muss ein Verzeichnis dieser Verarbeitungstätigkeiten führen. Handwerksbetriebe gehen regelmäßig mit Kundinnen- und Mitarbeiterdaten um und müssen daher ein – vergleichsweise überschaubares – Verzeichnis führen.

In einem Handwerksbetrieb beschränken sich die Prozesse meist auf die Verarbeitung von:

• Kundinnendaten für die Vertragserstellung,
• Kundendaten für die Direktwerbung,
• Mitarbeiterinnendaten für die Lohnabrechnung,
• Mitarbeiterdaten für die Personalführung.

Was muss ich bei der Datenschutzerklärung meiner Website beachten?

Ihre Homepage muss mit einer Datenschutzerklärung (ähnlich dem Impressum) ergänzt werden. Nach aktueller Rechtsprechung dürfen Cookies nur gesetzt werden, wenn die Besucherin bzw. der Besucher der Website ausdrücklich einwilligt. Hierfür werden sogenannte Cookie-Banner eingesetzt. Diese müssen so gestaltet sein, dass sie bei Nichteinwilligung keine Inhalte blockieren. Die Weiternutzung der Website darf also nicht von der Einwilligung abhängig sein.

Was ist, wenn ein externer Dienstleister die Daten speichert?

Wenn Sie Daten von einem externen Dienstleister aufbereiten lassen, liegt eine sogenannte Auftragsdatenverarbeitung vor. Hierzu müssen Sie in der Regel mit diesem Dienstleister einen Vertrag über die Datenverarbeitung abschließen.

Eine solche Auftragsdatenverarbeitung liegt laut LDA beispielsweise vor, wenn Sie Ihre Lohnbuchhaltung von einem Steuerberater abrechnen lassen oder Ihre Dokumente von einem Dienstleister einscannen und archivieren lassen. Keine Auftragsdatenverarbeitung liegt zum Beispiel bei der Lieferung von Material an eine Baustelle auf Kommission oder bei der Beauftragung eines Subunternehmers vor.

Was passiert, wenn der Datenschutz – wenn auch aus Versehen – missbraucht wird?

Vorsicht ist besser als Nachsicht. Wenn in Ihrem Betrieb eine Datenpanne auftritt oder Sie einen unsachgemäßen Umgang mit personenbezogenen Daten vermuten, müssen Sie dies binnen 72 Stunden der für Sie zuständigen Aufsichtsbehörde melden. Auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit finden Sie die zuständige Behörde für Ihr Bundesland.