Datenschutz Dokumentation nach DSGVO im Handwerksbetrieb

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Die Datenschutz-Grundverordnung (DSGVO) bringt auch weitreichende Änderungen für das Handwerk mit sich. Die größten Änderungen kommen durch die neuen Datenschutz Dokumentationspflichten, welche nahezu alle Handwerksbetriebe betreffen werden. In diesem Artikel erfahren Sie:

  • Wie Sie die DSGVO im Handwerk konkret betrifft,
  • Welche Dokumente Sie nach DSGVO vorhalten müssen,
  • Was typische Verabreitungstätigkeiten in einem Handwerksbetrieb sind,
  • Wie Sie die geforderten Dokumente am schnellsten erstellen.

Muss ein Handwerksbetrieb technische und organisatorische Maßnahmen dokumentieren und ein Verzeichnis von Verarbeitungstätigkeiten aufstellen?

Die kurze Antwort ist ja, insofern personenbezogene Daten nicht nur gelegentlich verarbeitet werden. D.h. sobald Sie regelmäßig eine Kundendatei führen (ganz egal ob in Papierform oder in Excel), sind sie verpflichtet dies als sog. Verarbeitungstätigkeit zu dokumentieren und diese Dokumentation der Behörde auf Anfrage vorzulegen. Darüber hinaus müssen technische und organisatorische Maßnahmen (sog. TOM) dokumentiert werden, welche die Sicherheit der Verarbeitung belegen.

Diese Pflicht trifft also die meisten Handwerker und viele andere Gewerbetreibende und sogar Vereine und andere Organisationen.

Diese Dokumentation wiederum muss vom Verantwortlichen erstellt werden, also in den meisten Fällen dem Geschäftsführer, Meister etc. Dieser bürgt auch für die Richtigkeit und Vollständigkeit der Dokumentation. Die DSGVO einzuhalten wird also zur “Chefsache”.

Sollten Sie einen Datenschutzbeauftragten bestellt haben, können Sie die Dokumente auch bei ihm in Auftrag geben, dies entbindet Sie allerdings nicht von der Haftung.

Die Dokumentationspflichten für Handwerker nach DSGVO

Im Einzelnen können 3 Hauptdokumentationen zusammengefasst werden:

Verzeichnis von Verarbeitungstätigkeiten im Handwerksbetrieb

Dieses Verzeichnis sollte in Ihrem Betrieb alle Verarbeitungen erfassen. Es muss erfasst werden, welche Daten verarbeitet werden, ob Daten exportiert werden und auf welcher Rechtsgrundlage dies geschieht. Dieser Artikel beschreibt alle Bestandteile des Verfahrensverzeichnisses nach DSGVO, diese sind auch für Handwerksbetriebe gültig.

Technische und organisatorische Maßnahmen für Handwerker

Die sog. TOM bilden die zweite Säule der Dokumentation. Hier soll vor allem dokumentiert werden, wie sicher die Verarbeitung geschieht. Ist ihr Server abgesichert? Haben Sie ein Schließsystem? Diese Fragen müssen beantwortet werden. Hier wird ausführlich beschrieben, was die Bestandteile sein müssen.

Im Handwerk benötigt man auch ein Verzeichnis von Verarbeitungstätigkeiten.

Datenschutz-Folgenabschätzung (DSFS) im Handwerk

Diese Dokumentation wird eher selten im Handwerk nötig sein, da weniger sensible Daten verarbeitet werden. Allerdings sollten Sie durchaus dokumentieren, wie Sie zur Auffassung kommen, dass keine DSFS notwendig ist. Dieser Artikel beleuchtet die Thematik ausführlich.

Bonus: Auftragsdatenverarbeitung im Handwerk

Nach DSGVO müssen Sie mit ihren sog. Auftragsdatenverarbeitern Verträge abschließen, welche diese an bestimmte Grundsätze binden. Diese sollten Sie auch dokumentieren, um auf Nummer Sicher zu gehen. Dieser Artikel zeigt Ihnen, wie Sie am besten an ADV-Verträge für Ihren Betrieb kommen.

Weitere Dokumentationen

Mit den oben genannten Dokumenten haben Sie schon vieles Notwendige erfasst. Allerdings ist die Liste der weiteren Dokumentationen lang. So muss z.B. der Verlust von Daten der zuständigen Behörde angezeigt werden. Außerdem müssen Lösch- und Berichtungungsersuchen dokumentiert und durchgeführt werden. Eine ausführliche Übersicht über alle Pflichten finden Sie auf der Seite der IHK Frankfurt am Main.

Aktualisierung der Dokumente

Am Ende müssen Sie die Dokumentationen nicht nur ein Mal erstellen, sondern sie laufend (also mindestens 1x pro Jahr) aktualisieren. Dies geht am besten, in dem Sie Ihre Dokumente einfach jährlich überprüfen, neu ausdrucken und abheften.

Typische Verarbeitungstätigkeiten im Handwerksbetrieb

Grundsätzlich fallen im Betrieb viele Verarbeitungen an, hier sollen einige wichtige exemplarisch genannt werden.

Im Handwerksbetrieb kann manchmal auch ein DSB nötig sein.

Kundendatenbank

Eine Datenbank, in der Kundenadressen, Bestellungen und Weiteres gespeichert werden, hat wohl jedes Unternehmen. Allein die Speicherung stellt schon eine Verarbeitung dar und muss sorgfältig dokumentiert und gesichert sein. Nehmen Sie dieses Verfahren also unbedingt mit auf.

Personaldatenverarbeitung

Insofern Sie Arbeitnehmer beschäftigen, verarbeiten Sie auch automatisch viele personenbezogene Daten dieser, ggf. übermitteln Sie sogar Daten an einen Dienstleister. Auch das muss im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden.

Weitere Verarbeitungen

Es gibt noch viele weitere Verarbeitungen, die Sie erfassen müssen. Oft ist es schwierig, wirklich alle zu finden. Eine Softwarelösung kann hier helfen. Unser Generator fragt über 30 Verfahren ab, dies garantieren, dass Sie nichts übersehen. Informieren Sie sich hier über unsere Angebote.

Wie Sie die DSGVO konkret in Ihrem Handwerksbetrieb umsetzen

Die absolut minimale Umsetzung sieht folgendermaßen aus:

  1. Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten (VVT) und machen Sie eine Risikoanalyse,
  2. Dokumentieren Sie Ihre technischen und organisatorischen Maßnahmen (TOM),
  3. Prüfen Sie Ihre Website auf die häufigsten Fallen, z.B. mit dieser Checkliste,
  4. Bestellen Sie einen Datenschutzbeauftragten, wenn nötig,
  5. Unterlassen Sie Videoüberwachung und andere Datenschutzrechtlich brisante Handlungen.

Dies alles können Sie sich selbst erarbeiten, z.B. mit Mustern des LDA Bayern. Sie können allerdings auch eines unserer Komplettpakete erwerben und sich so die Recherche sparen.

Fazit

Auch für Handwerker werden die umfangreichen Dokumentationen zur Pflicht. Sichern Sie sich ab und erstellen Sie alles noch vor dem Inkrafttreten der DSGVO!

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-4-dsgvo/

https://www.deutsche-handwerks-zeitung.de/eu-vorgaben-und-digitalisierung-datenschutz-im-umbruch/150/3098/355999