Wir lieben Metall und wenn's reibungslos läuft

 

 

Verlässlich und professionell

 

 

 

 

 

 

Die Datenschutzgrundverordnung (DSGVO)

 

Umsetzung im Betrieb Barwig & Fuchs – Metall in Form

 

Stand: 27.4.2018

 

Inhaltsverzeichnis:

Vorwort

Abschnitt A: Klärung der Begrifflichkeiten und Umsetzung der für unseren Betrieb zutreffenden Punkte

Abschnitt B: Anlagen und zu verwendende Formulare

Abschnitt C: Quellen und Verweise

 

VORWORT

 

Am 25.5.2018 tritt die DSGVO in Kraft. Um den Bestimmungen Genüge zu tun haben wir uns nach bestem Wissen und Gewissen bemüht, aus den uns vorliegenden Erläuterungen und aus dem Text der DSGVO selbst eine Handlungsanweisung für unseren Betrieb zu erstellen.

Per Definition ist Datenschutz der Schutz

  • vor missbräuchlicher Datenverarbeitung,
  • des Rechts auf informationelle Selbstbestimmung,
  • des Persönlichkeitsrechts bei der Datenverarbeitung und
  • der Privatsphäre.

Datenschutz nach europäischem und deutschem Verständnis bedeutet zunächst einmal Datensparsamkeit wie auch Datenvermeidung. Sprich: Die Verarbeitung personenbezogener Daten ist solange verboten, bis es einen sog. Erlaubnistatbestand hierfür gibt. Erlaubnistatbestände können unter anderem Rechtsgrundlagen oder ausdrückliche Einwilligungen von Personen zur Datenverarbeitung sein. Der häufigste Fall in der Praxis dürfte die Not-wendigkeit der Datenverarbeitung für die Vertragserfüllung sein.

Die Rechtmäßigkeit der Verarbeitung fußt auf den Prinzipien der DSGVO, die in Art. 5 ausformuliert sind. Vergleichbar mit dem BDSG ist die Datenverarbeitung solange verboten, wie nicht konkret ein Erlaubnistatbestandvorliegt. Weiterhin hat eine Verarbeitung nach Treu und Glauben zu erfolgen; hiermit ist nicht der Bezug zu § 242 BGB gemeint, der im deutschen Zivilrecht ein „redliches und anständiges“ Handeln abstrakt fasst. Vielmehr soll die Verarbeitung das mildestmögliche Mittel darstellen, womit dieses Prinzip im engen Zusammen-hang mit dem Grundsatz der Datenminimierung steht und in der Praxis noch näher auszudefinieren sein wird. Als weiteres Prinzip stellt die Transparenz die Nachvollziehbarkeit sicher, wie und von wem personenbezogene Daten verarbeitet werden. Sie dient auch als Grundlage für Informationspflichten der Betroffenen nach Art. 12ff. DSG VO. Das Prinzip der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie auch erhoben worden sind. Wie bislang auch gilt eine Datenminimierung, die vergleichbar mit dem Grundsatz der Datenvermeidung und der Datensparsamkeit nach § 3a BDSG ist. Die Verarbeitung soll also dem Zweck angemessen sein und auf ein notwendiges Maß beschränkt werden. Sodann gilt die Richtigkeit der Datenverarbeitung (bspw. in Art. 16f. DSGVO); andernfalls sind die Daten unverzüglich zu löschen oder zu berichtigen. Unter der Speicherbegrenzung (Art. 17 DSGVO) ist zu verstehen, dass nicht erforderliche Daten zu löschen sind, außer sie werden zu Archivierungszwecken, für die Wissenschaft, Historik oder Statistik benötigt. Sodann ist die Integrität und Vertraulichkeit (Art. 32 DSG VO) sicherzustellen, die vor allem Sicherheit und Schutz der Daten durch technische Maßnahmen beschreibt. Schließlich führt die DSGVO in Art. 24 eine Rechenschaftspflicht ein.

Diese Ziele wollen und werden wir mit aller Kraft in unserem Betrieb umsetzen. Dazu werden wir Daten unserer Kunden, Lieferanten und Mitarbeiter immer sorgsam und pfleglich behandeln und sie vor allem und vorrangig zur Vertragserfüllung nutzen. Sollte es sich ergeben, so werden wir eine weitergehende Nutzung nur nach entsprechender Einwilligung aller Beteiligten vornehmen.

Um diese Ziele erreichen zu können, werden wir in unserem Betrieb regelmäßig entsprechende Schulungen aller Beteiligten vornehmen und diese dokumentieren.

 

Abschnitt A: Klärung der Begrifflichkeiten und Umsetzung der für unseren Betrieb zutreffenden Punkte.

 

Unser Betrieb, die Firma Barwig & Fuchs – Metall in Form GbR, ist ein Metallbaubetrieb, der sich vorrangig um die Herstellung, Lieferung und Montage von Metallbauprodukten wie Fenstergittern, Balkongeländern und Einzelanfertigungen aus Metall kümmert sowie Reparaturen im Metallbaubereich wie zum Beispiel an Brandschutztüren durchführt.

Unsere Kundschaft setzt sich aus Privatleuten (Eigentümern und Mietern sowie Anfragern für nicht-stationäre Metallbauprodukte), Hausverwaltungen und Gewerbetreibenden zusammen.

Unser Betrieb setzt sich (Stand 27.4.2018) aus zwei Inhabern mit Meisterbrief, vier Gesellen, drei Auszubildenden (alle in Vollzeit) und zwei Büroangestellten auf Teilzeitbasis zusammen.

 

  1. Besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten?

Ein Datenschutzbeauftragter gemäß DSGVO wird erst bei einer Anzahl von 10 Personen erforderlich, deren Kerntätigkeit die Datenverarbeitung darstellt, die also regelmäßig und vorrangig Daten verarbeiten. Das betrifft in unserem Betrieb nur die beiden Inhaber und die beiden Büroangestellten, mithin vier Personen. Damit entfällt die Pflicht zur Bestellung eines Datenschutzbeauftragten.

 

  1. Erfüllung der Informationspflichten gegenüber dem Kunden

Gemäß DSGVO informieren wir unsere Kunden über die in unserem Unternehmen über sie gespeicherten Daten. Dies erfolgt über die Zusendung des Formblatts A.1 (in Abschnitt B befindlich), das wir bei Zusendung des Angebots direkt beifügen. Wir fügen es deshalb bereits dem Angebot bei, da wir in vielen Fällen nochmals eine Nachfrage stellen, wenn wir auf unser Angebot weder Zu- noch Absage erhalten haben.

Bei der Menge der gespeicherten Daten orientieren wir uns vor allem an der Notwendigkeit zur möglichen Vertragserfüllung.

 

  1. Dokumentation der im eigenen Unternehmen fließenden personenbezogenen Daten.

Zur Dokumentation der Daten im Sinne der DSGVO haben wir ein Verzeichnis der Verarbeitungstätigkeiten erstellt, das sich in Abschnitt B unter A.2 befindet.

 

  1. Einsatz von Auftragsverarbeitern (z. B. Einsatz von „Letter Shops“ etc.)

Unsere Daten werden von uns (in definiertem Umfang) nur an einen Auftragsverarbeiter weitergeleitet und von diesem bearbeitet. Dabei handelt es sich um unseren Steuerberater, der aber gemäß DSGVO nicht als Auftragsverarbeiter anzusehen ist, sondern als eigenständig Verantwortlicher, und infolge dessen keinen entsprechenden Vertrag benötigt. Sollte es sich ergeben, dass wir Daten an einen Auftragsverarbeiter weiterleiten, so wird ein entsprechender Auftragsverarbeitungsvertrag erstellt, der sich in Abschnitt B unter A.3 als Muster befindet.

 

  1. Einholen von Einverständniserklärungen

Zurzeit (Stand 27.4.2018) bearbeiten wir Daten unserer Kunden nur zur Vertragserfüllung, für die gemäß DSGVO keine Einverständniserklärung benötigt wird. Sollten wir im Laufe der Zeit Daten verwenden wollen, die über die Vertragserfüllung hinausgehen, so werden wir bei den betreffenden Kunden eine Einverständniserklärung einholen. Ein Muster einer Einverständniserklärung befindet sich in Abschnitt B unter A.4.

 

  1. Schulung der Mitarbeiter

Um den Anforderungen der DSGVO gerecht zu werden, schulen wir unsere Mitarbeiter regelmäßig über Art und Umfang der zu beachtenden Vorgaben. Dabei werden nicht nur die Mitarbeiter geschult, deren Kerntätigkeit die Datenverarbeitung darstellt, sondern auch alle anderen Mitarbeiter, um auch diese für die Notwendigkeit zu sensibilisieren, Daten sorgsam und nur zur Vertragserfüllung zu nutzen.

Der Nachweis über die Schulungen erfolgt durch ein Unterweisungsprotokoll, vergleichbar dem Unterweisungsvordruck, den wir bei unseren Arbeitsschutzschulungen verwenden. Ein entsprechendes Musterblatt befindet sich in Abschnitt B unter A. 5.

 

  1. Sicherheit der Datenverarbeitung

Um die Sicherheit unserer Daten zu gewährleisten haben wir folgende Vorbereitungen getroffen:

  • Verwendung aktueller Betriebssysteme auf allen Computern und Datenverarbeitungssystemen,
  • Verwendung aktueller und sich selbst aktualisierender Virenscanner,
  • Berechtigter Zugriff auf die einzelnen Datenverarbeitungssysteme durch die jeweiligen Nutzer durch Passwörter gewährleistet,
  • Aktualisierung der Datenverarbeitungsprogramme im Bedarfsfall,
  • regelmäßige Backups der Daten durch Speicherung dieser auf externen Festplatten und Aufbewahrung dieser an einem anderen gesicherten Ort,
  • Zugang zu den einzelnen Datenverarbeitungssystemen nur während der Arbeitszeiten möglich durch Abschließen der jeweiligen Räume, damit Zugang für Unbefugte nicht möglich,
  • Sicherung der Räume im Rahmen eines üblichen Einbruchschutzes.

Sollte es trotz unserer Vorkehrungen zu Datenverlust kommen, so wird dieser der zuständigen Aufsichtsbehörde (der entsprechende Link findet sich in Formblatt A.6 in Abschnitt B) gemäß gesetzlicher Bestimmungen gemeldet, wobei der Betroffene nur bei hohem persönlichen Risiko darüber unterrichtet werden muss.

 

  1. Wahrung der Betroffenenrechte

Das Recht auf Auskunft gewährleisten wir durch zeitnahe Antwort auf entsprechende Anfragen bei Verwendung des Formblatts A.1 aus Abschnitt B.

Das Recht auf Berichtigung gewährleisten wir durch Änderung der entsprechenden Daten bei entsprechender Benachrichtigung durch den Betroffenen und zeitnaher Zusendung der Berichtigung unter Verwendung des Formblatts A.1 aus Abschnitt B.

Das Recht auf fristgemäße Löschung gewährleisten wir durch regelmäßige Überprüfung der bei uns gespeicherten Daten auf ihr Speicherungsdatum und entsprechende Löschung nach Verstreichen der gesetzlichen Aufbewahrungsfristen (im Regelfall beträgt diese 10 Jahre).

Das Recht auf Einschränkung der Verarbeitbarkeit gewährleisten wir (Stand 27.4.2018) durch die alleinige Verwendung im Rahmen der Vertragserfüllung und der Verwendung nur auf unseren Datenverarbeitungsprogrammen.

 

  1. Datenschutzfolgeabschätzung

Hat eine Verarbeitung personenbezogener Arbeiten für den Betroffenen ein hohes Risiko gemäß DSGVO, so muss das spezielle Instrument der Datenschutz-Folgeabschätzung durchgeführt werden. Bei der von uns vorgenommenen Datenverarbeitung vorrangig im Rahmen der Vertragserfüllung ist ein solch hohes Risiko jedoch nicht erkennbar, daher muss keine Datenschutzfolgeabschätzung vorgenommen werden.

 

Abschnitt B: Anlagen und zu verwendende Formulare

 

A.1: Formblatt über die gespeicherten Daten eines Betroffenen.

A.2: Verzeichnis der Verarbeitungstätigkeiten, Vordruck und aktueller Stand.

A.3: Muster Auftragsverarbeitungsvertrag.

A.4: Muster Einverständniserklärung.

A.5: Unterweisungsnachweis, Vordruck und aktueller Stand.

A.6: Verlinkung der zuständigen Behörde, in unserem Fall dem Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf.

A.7: Einverständniserklärungen der Mitarbeiter über die Speicherung ihrer Daten und Weitergabe an den Steuerberater zum Zwecke der Lohn- und Gehaltsberechnung inklusive der darauf fälligen Sozialabgaben.

 

Abschnitt C: Quellen und Verweise

 

Folgende Quellen und dabei auf den jeweiligen Webseiten befindliche und frei verfügbare Unterlagen haben wir bei der Erstellung unserer Handlungsanweisung verwendet:

  • Handwerkskammer Düsseldorf.
  • Bayrisches Landesamt für Datenschutzaufsicht.
  • Deutsches Handwerksblatt.
  • Zentralverband des Deutschen Handwerks.
  • diconium digital solutions GmbH.
postfooter