Daten­schutz im Handwerk

Ein Hand­werks­be­trieb muss den Daten­schutz beach­ten, wenn er per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Daten von  Beschäf­tig­ten, Bewer­bern, Kun­den und Geschäfts­part­ner müs­sen so ver­ar­bei­tet wer­den, dass die Vor­ga­ben der DSGVO und des Bun­des­da­ten­schutz­ge­set­zes ein­ge­hal­ten wer­den.  Dazu gehö­ren z. B. 

• - Lohn­ab­rech­nung
• - Per­so­nal­ver­wal­tung
• - Kun­den­ver­wal­tung
• - Betrieb der Online-Auf­trit­te oder 
• - Wer­be­maß­nah­men

Mit mei­ner lang­jäh­ri­gen Erfah­rung brin­ge ich auch Ihren Betrieb pra­xis­nah und wirt­schaft­lich in die­sem The­ma vor­an. Mein typi­scher Auf­ga­ben­be­reich umfasst unter ande­rem fol­gen­de Bereiche:

• - Durch­füh­rung einer Bestandsaufnahme
• - Erstel­lung eines prio­ri­sier­ten Akti­ons­pla­nes für wei­te­re Aktivitäten
• - Prü­fung und ggf. Aktua­li­sie­rung Ihrer bis­her erar­bei­te­ten Unterlagen
• - Bera­tung in sämt­li­chen daten­schutz­re­le­van­ten Themengebieten
• - Unter­stüt­zung bei der Erstel­lung Ihrer Doku­men­ta­ti­on, wie z. B. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, Infor­ma­ti­ons­pflich­ten oder die Betroffenenanfragen
• - Erfül­lung der Rol­le des Daten­schutz­be­auf­trag­ten für ihren Hand­werks­be­trieb gem. Art. 39 DSGVO
• - Prü­fung und Doku­men­ta­ti­on Ihrer Auf­trags­ver­ar­bei­ter gem. Art. 28 DSGVO
• - Prü­fung Ihrer Online-Auf­trit­te auf Geset­zes­kon­for­mi­tät und Erstel­lung der Infor­ma­ti­ons­pflich­ten und Datenschutzhinweise
• - Erstel­lung von Richt­li­ni­en und Anwei­sun­gen zur Infor­ma­ti­ons­si­cher­heit und zum Datenschutz

Typi­scher­wei­se besteht eine Bestell­pflicht für Betrie­be, bei denen mehr als 20 Beschäf­tig­te mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten betraut wer­den. Das dürf­te nicht für alle Hand­werks­be­trie­be zutref­fen. Den­noch kann eine Unter­stüt­zung durch einen Daten­schutz­be­auf­trag­ten Sinn machen, um den Daten­schutz im Unter­neh­men schnell und effi­zi­ent umzusetzen.

Ein inter­ner Daten­schutz­be­auf­trag­ter hat den gro­ßen Vor­teil, dass er die Pro­zes­se im Unter­neh­men und die Betei­lig­ten kennt. Er bekommt im Rah­men sei­ner täg­li­chen Arbeit deut­lich mehr Infor­ma­tio­nen am Ran­de mit. Jedoch ent­ste­hen jedoch hohe Kos­ten für die Aus­bil­dung und ste­ti­ge Weiterbildung.

Ein exter­ner DSB kann den Kos­ten­fak­tor deut­lich zu redu­zie­ren. Er küm­mert sich auch selbst­stän­dig um sei­ne Wei­ter­bil­dung und lernt, wenn er für meh­re­re Unter­neh­men tätig ist, deut­lich mehr Umset­zungs­prak­ti­ken kennen.

Wenn Sie Dienst­leis­ter beauf­tra­gen und die­se per­so­nen­be­zo­ge­ne Daten im Kern ver­ar­bei­ten, müs­sen Sie diver­se Punk­te beachten.

Neben dem Abschluss einer Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung  müs­sen Sie den Auf­trags­ver­ar­bei­ter auf Eig­nung vor­ab und dann regel­mä­ßig prüfen.

Dies müs­sen Sie gege­ben­über den Auf­sichts­be­hör­den auch nach­wei­sen kön­nen. Die­ses The­ma ist recht umfang­reich, wird aber ger­ne vernachlässigt. 

Hier gibt es kei­ne ein­fa­che Ant­wort. Für jede Spei­che­rung von per­so­nen­be­zo­ge­nen Daten müs­sen Sie eine Rechts­grund­la­ge vor­wei­sen kön­nen. Neben gesetz­li­chen Auf­be­wah­rungs­fris­ten gegen­über dem Finanz­amt (6 bzw. 10 Jah­re) gibt es auch ver­trag­li­che Ver­pflich­tun­gen gegen­über Ihren Kun­den und Geschäftspartnern.

Wei­ter­hin haben Sie die Mög­lich­keit Daten über die genann­ten Grün­de auf­zu­be­wah­ren, wenn  eine Ein­wil­li­gung von den Betrof­fe­nen vor­liegt oder Sie ein berech­tig­tes Inter­es­ses vor­wei­sen kön­nen. Dies könn­te z. B. zur Gel­tend­ma­chung, Abwehr oder Durch­füh­rung von Rechts­an­sprü­chen gel­tend gemacht werden. 

Um die­se Fra­ge zu beant­wor­ten, muss zunächst eine Inven­tur durch­ge­führt und dann ein Lösch­kon­zept erstellt wer­den. In die­sem Lösch­kon­zept wer­den dann fol­gen­de Punk­te beschrieben:

• - Wel­che Daten von wel­chen betrof­fe­nen Per­so­nen wer­den in wel­chen ana­lo­gen oder digi­ta­len Sys­te­men verarbeitet?
• - Wann wer­den Daten gelöscht?
• - Wer ist für die Löschung zuständig?
• - Wie wird die Löschung protokolliert?
• - Wie wer­den Anfra­gen von Betrof­fe­nen (z. B. bei einem Lösch­ge­such) berücksichtigt?
• - Wel­che exter­nen Fir­men sind noch Teil des Lösch­pro­zes­ses und müs­sen ggf. infor­miert wer­den (z. B. Dienst­leis­ter oder Auftragsverarbeiter)

Tele­ma­tik-Lösun­gen ermög­li­chen dem Hand­werks­be­trieb die opti­ma­le Ver­wal­tung des Fuhrparks.

Je nach Art der Umset­zung kann ein GPS-Sys­tem ein gra­vie­ren­der Ein­griff in das infor­ma­tio­nel­le Selbst­be­stim­mungs­recht der betrof­fe­nen Beschäf­tig­ten sein.

Der Ein­satz von GPS-Sys­te­men z. B. in Fir­men­fahr­zeu­gen ist bei Daten­schutz-Auf­sichts­be­hör­den stark umstrit­ten. Eine daten­schutz­kon­for­me Umset­zung ist grund­sätz­lich mög­lich, kann aber auch sehr auf­wän­dig sein.

Die Tele­ma­trie- und Fahr­zeug­da­ten wer­den genutzt, um die Pla­nung und Steue­rung des Fuhr­parks hin­sicht­lich Flot­ten­aus­las­tung, Arbeits­zeit­kon­trol­le (Fah­rer­ma­nage­ment) und CO²-Aus­stoß (Kraft­stoff­ver­brauch) gezielt zu ver­bes­sern. Zusam­men­ge­fasst wer­den fol­gen­de Zie­le verfolgt:

• - CO² — und Kostenminimierung
• - Wie­der­be­schaf­fung der Fahr­zeu­ge bei Diebstahl
• - Ver­bes­se­rung der Doku­men­ta­ti­ons­pflicht (Abfahrts­kon­trol­len, Füh­rer­schein­kon­trol­len, Ablieferbelege)
• - Ein­hal­tung der Ver­trä­ge mit den Kunden
• - Kon­trol­le, Nach­weis und Opti­mie­rungs­mög­lich­keit gesetz­li­cher Vor­ga­ben im Bereich Ruhe- und Lenk­zei­ten, Arbeits­zei­ten und Führerscheinkontrolle)
• - Abwehr und Gel­tend­ma­chung von Rechts­an­sprü­chen des Ver­ant­wort­li­chen, der Kraft­fah­rer oder sons­ti­gen Dritten

Die stän­di­ge Über­wa­chung der Fah­rer bringt posi­ti­ve und nega­ti­ve Aus­wir­kun­gen mit sich.

Der Hand­werks­be­trieb ver­folgt das Ziel der Kon­trol­le und Opti­mie­rung der Kos­ten und Arbeits­leis­tung der ein­ge­setz­ten Fahrer.

Über­wa­chungs­maß­nah­men kön­nen hier­bei sehr nütz­lich sein. Der Ver­ant­wort­li­che spart Zeit, senkt Kos­ten und erfüllt die ver­trag­lich ver­ein­bar­ten Zie­le mit den Auftraggebern.

Beschäf­tig­te reagie­ren aber recht unter­schied­lich auf stän­di­ge Über­wa­chungs­maß­nah­men. Eine über­mä­ßi­ge Kon­trol­le kann nega­ti­ve Aus­wir­kun­gen auf das Arbeits­ver­hal­ten haben und führt oft mehr als “nur” zur Beein­träch­ti­gung der Pri­vat­sphä­re. Das Arbeits­kli­ma wird bei einer per­ma­nen­ten Über­wa­chung stark belas­tet. Die Angst, den Anfor­de­run­gen nicht mehr gerecht zu wer­den und dadurch gekün­digt zu wer­den, kann auch bei Beschäf­tig­ten erfolgen.

Die Über­wa­chungs­maß­nah­men kön­nen zugleich eine Arbeits­at­mo­sphä­re vol­ler Miss­trau­en erzeu­gen und beein­träch­ti­gen das Ver­trau­en zum Arbeit­ge­ber, ins­be­son­de­re wenn die Art und Wei­se der Ver­ar­bei­tung nicht nach­voll­zieh­bar ist und über­ra­schend geschieht.

Die Zuläs­sig­keit der Daten­ver­ar­bei­tung kann nur dann gege­ben sein, wenn die Daten­ver­ar­bei­tung nicht nur die Auf­ga­ben­er­fül­lung des Ver­ant­wort­li­chen objek­tiv unter­stützt, för­dert und beschleu­nigt, son­dern auch zu den schutz­wür­di­gen Inter­es­sen der Beschäf­tig­ten in einem ange­mes­se­nen Ver­hält­nis steht.

Der stän­di­ge Über­wa­chungs­druck und die im Nach­hin­ein statt­fin­den­den Gesprä­che auf­grund von (wie­der­hol­ten) Fehl­ver­hal­ten /Abweichung von Vor­ga­ben und nicht-öko­no­mi­sche Fahr­wei­se) kön­nen zu Unzu­frie­den­heit, Angst­zu­stän­den und Depres­sio­nen bis hin zum Job­ver­lust füh­ren. Beschwer­den bei Auf­sichts­be­hör­den erfol­gen in die­sem Bereich regelmäßig.

Der Betrieb muss dabei nach­voll­zieh­bar dar­le­gen kön­nen, dass die auto­ma­tisch erho­be­nen Daten rich­tig sind, nicht durch feh­ler­haf­te Tech­nik mani­pu­liert wer­den kann, ver­gleich­bar zu ande­ren Fah­rern sind und am Ende zu einer fai­ren Beur­tei­lung des Fahr­ver­hal­tens führen.

Da eine Daten­ver­ar­bei­tung nur im Rah­men eines berech­tig­ten Inter­es­ses durch den Hand­werks­be­trieb erfol­gen kann, muss eine drei­stu­fi­ge Inter­es­sen­ab­wä­gung doku­men­tiert werden.

Dazu ist eine inten­si­ve Aus­ein­an­der­set­zung mit der The­ma­tik ist not­wen­dig, um im Fall einer Prü­fung durch eine Auf­sichts­be­hör­de die Recht­mä­ßig­keit der Daten­ver­ar­bei­tung nach­wei­sen zu können.

Daten­schutz­auf­sichts­be­hör­den prü­fen sowohl in grö­ße­ren aber auch bei KMUs, ob die Pflich­ten der DSGVO umge­setzt wer­den. Auch klei­ne­re Betrie­be soll­ten die Anfor­de­run­gen der DSGVO ken­nen und umset­zen. Jede nicht durch­ge­führ­te Umset­zung kann zu einer Ord­nungs­wid­rig­keit und damit zur Ein­stel­lung des Geschäfts­pro­zes­ses oder zu Buß­gel­dern führen.