DSGVO in Werkstätten

Ein Jahr DSGVO: Glauben Sie, dass Sie gemäß DSGVO rechtssicher aufgestellt sind?

Loading ... Loading …

Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung, Speicherung und Weitergabe personenbezogener Daten durch öffentliche Stellen und private Firmen – also auch für Werkstätten.

Seit dem ist die Unsicherheit groß, auch in freien Werkstätten, insbesondere bei der praktischen Umsetzung des Gesetzes. Vieles ist bis heute nicht final geregelt und muss noch durch Gerichte entschieden werden.  
Informationspflichten, Auskunftsrechte, Verarbeitungslisten, Datenschutzbeauftragte sind nur einige Begriffe, die vielen Kopfzerbrechen bereiten. Wir fassen Ihnen die wichtigsten Informationen zusammen und geben Ihnen – falls noch Unsicherheiten bestehen – praktische Tipps für die Umsetzung.

Wichtiger Hinweis: Bitte beachten Sie, dass der folgende Text nur zur Ihrer Information dient und keine Rechtsberatung oder Beratung von einem Datenschutz-Experten ersetzen kann. Alle Angaben sind ohne Gewähr.

 

Tipp 1: DGSVO verstehen, Mitarbeiter informieren

Ganz wichtig ist es, im ersten Schritt die Regelungen zu verstehen. Als Werkstatt-Inhaber sollten Sie vor allen Dingen folgende Regelungen kennen:

  • Rechenschaftspflicht über die Einhaltung der Grundsätze der Datenverarbeitung (Art. 5 Absatz 2 DS-GVO)
  • Informationspflichten gegenüber den betroffenen Personen, deren Daten Sie verarbeiten (Art. 12 – 14 DS-GVO)
  • Rechte der betroffenen Personen auf Datenübertragbarkeit (Art. 20 DS-GVO)
  • technische und organisatorische Sicherheit der Datenverarbeitung Art. 32 DS-GVO
  • Meldung von Datenschutzverstößen (Art. 33 DS-GVO)

Im Wesentlichen geht es um folgende Regeln:

  • Personenbezogene Daten sind in freien Werkstätten im Wesentlichen Daten von Kunden und Daten von Mitarbeitern (letztere werden häufig bei den Aktivitäten vergessen)
  • Sie müssen als Unternehmen grundsätzlich das Einverständnis zur Verarbeitung von personenbezogenen Daten einholen und bei Bedarf auch nachweisen können.
  • Sie dürfen grundsätzlich personenbezogene Daten nicht weitergeben. Ausnahmen sind die Weitergabe an „Auftragsdaten-Verarbeiter“, wie beispielsweise der Steuerberater oder ein Drucker, zum Anschreiben Ihrer Kunden. Wenn Sie das tun, müssen Sie mit dem jeweiligen Auftragsdatenverarbeiter einen Vertrag abschließen.
  • Sie müssen grundsätzlich allen Menschen Auskunft über die bei Ihnen gespeicherten personenbezogenen Daten geben und die Möglichkeit einräumen, diese löschen zu lassen.
  • Alle personenbezogenen Daten, die in Ihrem Unternehmen vorhanden sind, müssen vor Fremdzugriff und Missbrauch geschützt werden.
  • Sie müssen dafür Sorge tragen, dass die personenbezogenen Daten nicht missbräuchlich verwendet werden können.
  • Wird Ihnen ein Datenschutzverstoß bekannt, müssen Sie diesen umgehend melden.
  • Sie müssen die Einhaltung der Datenschutzregeln in Ihrem Unternehmen definieren und niederschreiben, damit für Dritte immer nachvollziehbar ist, dass Sie sich aktiv um den Datenschutz kümmern.
  • Sie brauchen in Ihrem Unternehmen einen Datenschutzverantwortlichen, der sich um den Datenschutz kümmert, wenn Sie mehr als 10 Personen beschäftigen.

Wenn Sie die Regelungen verinnerlicht haben, sollten Sie dafür Sorge tragen, dass Ihre Mitarbeiter die Regelungen verstehen und dafür sensibilisieren. Insgesamt müssen Sie sicherstellen, dass achtsam mit allen personenbezogenen Daten umgegangen wird. Im Falle einer Kontrolle hilft es zudem, wenn Ihre Mitarbeiter informiert sind. Soweit alles klar? Dann geht’s weiter zu Tipp 2.

Tipp 2: Verzeichnis von Verarbeitungstätigkeiten anlegen

Falls noch nicht geschehen, legen Sie ein Verzeichnis von Verarbeitungstätigkeiten an und erfassen Sie alle Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden.

Denken Sie insbesondere an:

  • Verarbeitung von Kundendaten,
  • Verarbeitung von Beschäftigtendaten

Nach neuem Recht benötigen Sie für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Das kann eine Einwilligung der betroffenen Personen sein. Achten Sie auch auf eine Dokumentation der Einwilligungen. Haben Sie Ihre Muster für Einwilligungserklärungen für Kunden, Interessenten usw. an die Anforderungen der DSGVO angepasst?

Qualität ist Mehrwert-Tipp: Nutzen Sie unsere Vorlage Muster Einwilligungserklärung. Einfach jeden Neukunden direkt bei der Anlage ausfüllen lassen. Nutzen Sie die nahende Reifensaison, um die Daten zu erheben. Wichtig: Im Anschluss gut verwahren, damit Sie die Einwilligung jederzeit vorzeigen könnten. Schon erledigt? Super, dann geht’s zu Tipp 3.

Tipp 3: Informationspflichten beachten

Auch in der Werkstatt sind Informationspflichten zu beachten:

  • Beachten Sie folgende Rechte:
    • Recht auf Auskunft
    • Recht auf Berichtigung
    • Recht auf fristgemäße Löschung der verarbeiteten Daten
    • Recht auf Einschränkung der Verarbeitung (Sperrung)
    • Recht auf Datenübertragbarkeit
    • Sicherheit der Verarbeitung und Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
  • Setzen Sie technische und organisatorische Maßnahmen ein, die ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten und dokumentieren Sie dies. Zum Beispiel sollten Sie sicherstellen, dass alle Dokumente sicher verwahrt sind. Klären Sie, ob und in welchen Fällen Sie Pseudonymisierungs-, Anonymisierungs- oder Verschlüsselungsverfahren einsetzen.

Tipp 4: Verträge überprüfen und ggf. anpassen

Bestehende Verträge mit Auftragsdatenverarbeitern, also mit Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten, sollten Sie überprüfen und ggf. an die neuen Regelungen anpassen. Das können z.B. Anweisungen, die Sie Auftragsverarbeitern geben, sollten Sie dokumentieren.
Diese Maßnahme greift beispielsweise, wenn Sie einen Drucker Anschreiben für Ihre Kunden zur Wechselsaison drucken lassen.
Auch folgende Auftragsdaten-Verarbeiter sollten Sie nicht vergessen:

  • Steuerberater
  • Google (bei Nutzung von Google Analytics auf Ihrer Website)
  • Werbeagenturen
  • Hoster der Internetseite
  • IT-Support
  • Sonstige: Überlegen Sie, wem Sie – wenn auch nur vereinzelt – Kundendaten zur Verfügung stellen.

Nutzen Sie zum Beispiel folgende Vorlage zur Auftragsdatenverarbeitung:(www.lda.bayern.de/media/muster_adv.pdf)

Tipp 5: Meldepflichten und Dokumentation

Folgendes ist hinsichtlich der Meldepflichten und Dokumentation zu beachten:

  • Haben Sie in Ihrem Unternehmen einen Prozess zur Meldung von Datenschutzverstößen an die Aufsichtsbehörde eingeführt? Beachten Sie dabei auch die Meldefrist von 72 Stunden. Auch sollte geregelt sein, wer in Ihrem Unternehmen für die Meldung zuständig ist. Das kann der Werkstatt-Inhaber sein oder auch ein langjähriger Mitarbeiter.
  • Sollten Sie einen Datenschutzbeauftragten benötigen [alle Unternehmen ab 10 Angestellten], melden Sie die Kontaktdaten an die zuständige Aufsichtsbehörde. Übrigens: Nicht jedes Unternehmen benötigt einen Datenschutzbeaufsichtigten. Laut DSGVO müssen Betriebe einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn das Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
  • Achten Sie auf eine lückenlose Dokumentation aller genannten Pflichten/Anforderungen. Klären Sie intern, wie Sie die Dokumentation immer auf dem neusten Stand der Dinge halten.

Holen Sie sich den Rat von Fachleuten ein!

  • Viele Unternehmen bieten den Service eines „externen Datenschutzbeauftragten“ an – dieser unterzieht Ihrem Unternehmen einem Audit und setzt dann in Absprache mit Ihnen erste Maßnahmen um.
  • Online gibt es auch die Möglichkeit für Unternehmen ein erstes Audit digital durchzuführen, um die Schwachstellen im eigenen Unternehmen selbst zu erkennen und dann auch beheben zu können.
  •  

Fazit: Top 3 Aufgaben für Werkstätten

  • Sie erkennen, es geht darum, alle Daten, die im Rahmen Ihrer Tätigkeit anfallen, datenschutzkonform zu verarbeiten.  Zusammengefasst geht es um folgende drei Aspekte:

    • Kundendaten DSGVO-konform verarbeiten
    • Mitarbeiterdaten DSGVO-konform verarbeiten
    • Website auf den aktuellen datenschutzrechtlichen Stand der Dinge bringen – Wenden Sie sich dafür an Ihren Web-Partner. Achtung: Dabei sollten Sie auch andere Online-Präsenzen, wie Facebook, Instagram oder ebay berücksichtigen!
  •  

Fragen und Antworten zum Thema Datenschutz und DSGVO in freien Werkstätten

Sie brauchen nur einen Datenschutzbeauftragten, wenn Sie mehr als 10 Angestellte haben. Diesen können Sie intern benennen oder Sie greifen auf einen externen Datenschutzbeauftragten zurück.

Ja, Sie müssen dokumentieren an welchen Stellen Sie personenbezogene Daten verarbeiten und wie.

Ja, Sie müssen Mitarbeiter informieren und miteinbeziehen.

Ja, Sie müssen Kunden auf Wunsch Auskunft darüber geben, welche personenbezogenen Daten Sie gespeichert haben.

Wenn es keine Berechnung gegeben hat, dann müssen Sie die Kundendatendaten löschen, hat eine Berechnung gegeben stehen einer Löschung andere Gesetze entgegen. Man kann dann nur die Kundendaten sperren, bis dieses nach 10 Jahren der Berechnung löschbar wären.

Ja, das müssen Sie grundsätzlich machen, wenn Sie jemandem personenbezogene Daten weitergeben.

Nein, bei einer freien Werkstatt ist das Risiko in Bezug auf die Datenverarbeitung nicht hoch, daher muss dieser Schritt nicht vollzogen werden.