+49 (0)4284 927 838
office@daschub.de
Menu

Die Datenschutzorganisation im Kfz-Handwerk

Die wichtigsten Punkte bei der Einrichtung einer Datenschutzorganisation im Kfz-Handwerk

Mit der Digitalisierung im Kfz-Handwerk steigt seit Jahren die Masse an Daten, die Unternehmen im Kfz-Handwerk erfassen, verarbeiten und speichern. Bereits seit 2016 hat sich auch der Gesetzgeber angepasst. Seit dem 25. Mai 2018 gilt europaweit eine neue Datenschutz- Grundverordnung (DS-GVO).  Die Umsetzung der DS-GVO ist für alle Beteiligten, insbesondere für Kleinst- und Kleinunternehmen im Kfz-Handwerk, eine große Herausforderung.

Kurzgefasst:

Wer Kundendaten (von natürlichen Personen) speichert, verarbeitet und verwendet, muss alle Prozesse, in denen die Daten eine Rolle spielen – wie z.B. das Erfassen, Ablegen, Speichern und Löschen – dokumentieren, diejenigen, deren Daten betroffen sind über den Umgang damit aufzuklären und gegebenenfalls sind auch Einwilligungen für die Nutzung der personenbezogenen Daten einzuholen.

Die Datenschutzorganisation im Kfz-Handwerk

Die Dokumentation der Prozesse, die Datenverarbeitungen und die regelmäßig durchzuführenden  Überprüfungen müssen dokumentiert und auf Anfrage an die Datenschutzbehörden vorgelegt werden. Gleichzeitig muss der Verantwortlicher Maßnahmen zum Schutz und sichere Löschung der Daten ergreifen.

Bei einer Auslagerung von Teilen seiner Datenverarbeitung, wie z.B. bei einer Datenspeicherung in einer Cloud, Datenvernichtung durch ein externes Unternehmen oder bei der Hosting seiner Unternehmenswebsite, ist der Verantwortlicher zum Abschluss eines Auftragsdatenverarbeitungsvertrag mit dem Auftragnehmer verpflichtet. Der Vertragsinhalt muss dabei zwingend die Anforderungen der DS-GVO Artikel 28 erfüllen.

Der Verantwortlicher muss sich in regelmäßige Abstände auch die von der Sicherheit und Aktualität der verwendete Dienst-, System- oder Geräte-Software überzeugen.

Das Herzstück aller Dokumentationen ist das Verzeichnis von Verarbeitungstätigkeiten (DS-GVO Artikel 30). In diesem Verzeichnis werden die Verarbeitungsvorgänge, bei denen personenbezogene Daten verarbeitet werden, systematisch dokumentiert.

Besonders zu beachten ist dabei die Ziffer 5 des Artikels 30.

„Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.“

Viele Verantwortliche von Kleinst- und Kleinunternehmen Schlussfolgern, das sie kein Verarbeitungsverzeichnis zu führen haben, weil sie weniger als 250 beschäftigten haben,

Dieses ist nicht richtig!

sofern……- „die Verarbeitung nicht nur gelegentlich erfolgt“ –

Eine gelegentliche Verarbeitung von personenbezogenen Daten ist heutzutage im Kfz-Handwerk auch bei Kleinst- und Kleinunternehmen auszuschließen.

Wesentliche DS-GVO-Anforderungen für das Kfz-Handwerk

Bei einem Handwerksunternehmen, eine GmbH mit 15 Beschäftigten

(Geschäftsführender Kfz-Handwerksmeister, drei Beschäftigten in der Personalverwaltung und Kundenverwaltung, 1 Kfz Meister,  6 Gesellen und drei Auszubildenden im Kfz-Handwerk, eine Teilzeitkraft – die Buchhaltung und Steuerangelegenheiten werden durch mittels Lexware online erledigt. Das Unternehmen betreibt selbst eine Webseite. Zur Auftragsverwaltung wird eine Online Auftragsverwaltung verwendet.)

fallen folgende Verarbeitungstätigkeiten an:

  • Lohnabrechnung (über einen Auftragsverarbeiter)
  • Personalverwaltung
  • Betrieb der Firmenwebseite (über Hosting-Paket eines Dienstleisters)
  • Digitale Auftragsverwaltung inkl. Kundenstamm und Fahrzeugdaten über eine Online (Cloud) Lösung
  • Dokumentenvernichtung (über einen externen Dienstleister)
  • IT-Support (über externen Dienstleister)

Der Geschäftsführer ist nach der Datenschutz-Grundverordnung (DS-GVO) der Verantwortliche für die Verarbeitung von Personenbezogenen Daten. Er ist damit verpflichtet eine Datenschutzorganisation im Unternehmen einzurichten. Der Geschäftsführer einer GmbH haftet persönlich wenn er seine datenschutzrechtliche Pflichten verletzt.

Die Datenschutzorganisation muss dabei folgenden Anforderungen erfüllen:

  • Verzeichnis von Verarbeitungstätigkeiten
  • Löschkonzept
  • Verträge zur Auftragsdatenverarbeitung
  • Prozess zur Meldung von Datenschutzverletzungen
  • Prozess zu den Information- und Auskunftspflichten
  • Prozess zur regelmäßige Überprüfung der Dienst-, System- oder Geräte-Software
  • Beschreibung der technische und organisatorische Maßnahmen
  • Schulungs- und Sensibilisierungsmaßnahmen
  • Datenschutzverpflichtung von Mitarbeitern

Dieses Unternehmen braucht zu diesem Zeitpunkt keinen Datenschutzbeauftragten. Da voraussichtlich kein hohes Risiko bei der Datenverarbeitung zu erwarten ist und auch keine Kamera-Überwachung eingesetzt wird, muss nicht zwingend ein Datenschutz-Folgeabschätzung (DSFA) durchgeführt werden.

(Bei Einsatz vom Microsoft 365 ist eine DSFA auf jeden Fall empfehlenswert!)

Wer hilft bei Fragen zum Datenschutz?

Als IHK geprüfter betrieblicher Datenschutzbeauftragter und zertifizierter Datenschutzauditor (TÜV) unterstützte ich Sie bei alle Fragen zum Datenschutz und IT-Sicherheit auf Grundlage der DS-GVO und setze mit Ihnen gemeinsam Maßnahmen zur Erfüllung der gesetzlichen Anforderungen um.

Deshalb mein Vorschlag …

Konzentrieren Sie sich auf Ihr Kerngeschäft und…

… überlassen Sie mir die lästige Pflicht!

Ich biete:

  • Professionelle Datenschutzberatung
  • Intensive Betreuung
  • Bedarfsgerechte Lösungen
  • Volle Kostenkontrolle
  • Umfangreiches Know-How
Nach einem persönlichen und telefonischen Erstgespräch erstelle ich ein auf Ihr Kfz-Unternehmen individuell abgestimmtes Angebot und Schritt-für-Schritt-Plan. Mit Hilfe dieses, mit Ihnen abgestimmtes Vorgehen, kann ich die Vorgaben der DS-GVO schnell und vollständig in Ihrem Unternehmen implementieren.

Schnell bedeutet dabei nicht, dass es mit einer Stunde Arbeit erledigt ist. Die Datenschutz-Grundverordnung enthält 99 Artikel und 172 Erwägungsgründe. Es gibt also viel zu tun, aber weil wir alles Schritt für Schritt durchgehen, verpassen wir nichts.

Am Ende des Implementierungsprozesses steht Ihnen eine vollständige Dokumentation zu Verfügung, mit der Sie nachweisen können, dass Ihr Kfz-Unternehmen alle erforderlichen Maßnahmen ergriffen hat.

Ich implementiere zum Festpreis eine Datenschutzorganisation nach Vorgaben der DS-GVO und stelle mich ggf. für eine vorher vereinbarte Zeit als ihr externer betrieblicher Datenschutzbeauftragter zur Verfügung. Mein Angebot richtet sich vorallem, aber nicht nur,  an kleine und mittelgroße Kraftfahrzeug-Handwerksunternehmen in Bremen, Hamburg und Niedersachsen.