Autor: Thomas Feil, Rechtsanwalt – Geschäftsführer Feil Rechtsanwaltsgesellschaft mbH
Ab 25. Mai 2018 gilt europaweit ein einheitliches Datenschutzrecht, welches durch die EU-Datenschutzgrundverordnung umgesetzt wird. Inwieweit sich die datenschutzrechtlichen Anforderungen an Handwerksbetriebe hierdurch ändern, soll im Folgenden geklärt werden.
Der Handwerksbetrieb hat auf zwei Ebenen mit personenbezogenen Daten zu tun: zum einen mit Mitarbeiterdaten, zum anderen mit Kundendaten.
Mitarbeiterdaten ergeben sich bereits ab der Einstellung eines Mitarbeiters, beispielsweise durch Anlegen einer Personalakte. Auch das fortwährende Führen einer Personalakte ist eine Erhebung, Speicherung und Nutzung personenbezogener Daten. Setzt ein Handwerksbetrieb eine wie auch immer geartete Videoüberwachung ein, beispielsweise die Videoüberwachung von Lagerräumen, werden hiermit auch personenbezogene Daten erhoben und gespeichert.
Kundendaten müssen Handwerksbetriebe bereits erheben, speichern und nutzen, sobald sich ein Kontakt mit einem potenziellen Kunden anbahnt. Spätestens bei der Aufzeichnung persönlicher Daten wie etwa die Anschrift eines Kunden sind personenbezogene Daten im Spiel.
Das Bundesdatenschutzrecht in seiner derzeit noch gültigen Form schützt diese personenbezogenen Daten grundlegend dadurch, dass entweder eine Einwilligung des Betroffenen, oder eine Rechtsvorschrift als Erlaubnis für die Datenerhebung, Datenspeicherung und Datennutzung vorliegen muss.
Die EU-Datenschutzgrundverordnung wird ab Mai 2018 endgültig das Bundesdatenschutzgesetz und alle übrigen europaweiten Datenschutzgesetze ersetzen. Somit wird in Europa ein einheitliches Datenschutzniveau etabliert sein.
Handwerksbetriebe müssen diese EU-Datenschutzgrundverordnung spätestens am 25.05.2018 umgesetzt haben, sonst drohen Bußgelder und weitere rechtliche Konsequenzen wie etwa eine kostspielige Abmahnung durch Mitbewerber.
Nicht alles wird durch die EU-Datenschutzgrundverordnung neu geregelt. Beispielsweise bleiben wichtige datenschutzrechtliche Prinzipien erhalten. Zu diesen gehören unter anderem der Grundsatz der Datenvermeidung und Datensparsamkeit, sowie das Transparenzgebot.
Doch die EU-Datenschutzgrundverordnung bringt weitreichende Änderungen mit sich. Neu ist die Informationspflicht für verantwortliche Stellen, die besagt, dass bei der Erhebung personenbezogener Daten die betroffene Person umfangreich zu informieren ist. Bisher gab es nach dem deutschen Bundesdatenschutzgesetz einen solchen proaktiven Ansatz für die Unterrichtung betroffener Personen hinsichtlich einer Datenerhebung nicht.
Auch die Rolle des Datenschutzbeauftragten ändert sich. Das Bundesdatenschutzgesetz sah die Aufgabe des Datenschutzbeauftragten darin erfüllt, auf die Einhaltung der datenschutzrechtlichen Vorschriften „hinzuwirken“. Nun geht die EU-Datenschutzgrundverordnung einen bedeutenden Schritt weiter und schreibt vor, der Datenschutzbeauftragte habe nicht nur auf die Einhaltung des Datenschutzes hinzuwirken, sondern diese zu „überwachen“. Insofern ist ein einmaliges Umsetzen datenschutzrechtlicher Vorgaben im Unternehmen nunmehr nicht ausreichend, sondern es bedarf einer regelmäßigen Überwachungstätigkeit des Datenschutzbeauftragten.
Des Weiteren sind die Anforderungen an den technischen Schutz personenbezogener Daten erhöht, sowie die Meldepflichten bei Datenpannen erweitert worden.
Die EU-Datenschutzgrundverordnung bringt noch eine Menge weiterer Änderungen mit sich. Wichtig für Handwerksbetriebe ist jedoch zu erfahren, dass die Bußgelder, welche bei Verstößen vorgesehen sind, drastisch erhöht worden sind.
Durch das Bundesdatenschutzgesetz waren bisher Bußgelder mit einer Höchstgrenze von 300.000 gesetzgeberisch limitiert. Die EU-Datenschutzgrundverordnung sieht nunmehr eine Geldbuße in Höhe von bis zu 4 % des weltweiten Umsatzes eines Unternehmens vor – und zwar pro Verstoß! Hierdurch wird das Umsetzen des Datenschutzrechts zu einem existenziell wichtigen Faktor für jedes Unternehmen.
Handwerksbetriebe sollten sich frühzeitig mit der EU-Datenschutzgrundverordnung auseinandersetzen. Etwaige interne Datenschutzbeauftragte müssen fortgebildet werden, für komplexere datenschutzrechtliche Aufgaben sind passende, auf die EU-Datenschutzgrundverordnung eingestellte externe Datenschutzbeauftrage einzuberufen. Auch eine höchst einzelfallbezogene datenschutzrechtliche Rechtsberatung kann für einige Fälle innerhalb eines Handwerksbetriebs sinnvoll sein, um den Anforderungen an das europaweite Datenschutzrecht gerecht zu werden.