Für Handwerksunternehmen, die personenbezogene Daten von Kunden und Mitarbeitern verarbeiten, ist der Datenschutz heute ein zentrales Thema. Die Datenschutz-Grundverordnung (DSGVO) gibt klare Vorgaben, wie mit diesen Daten umzugehen ist. Zwei wichtige Konzepte in diesem Zusammenhang sind die Auftragsverarbeitung und die gemeinsame Verantwortlichkeit. Doch wann handelt es sich um eine Auftragsverarbeitung, und wann bist du gemeinsam verantwortlich? Und was musst du tun, um datenschutzkonform zu arbeiten?
Dieser Blogbeitrag klärt die Unterschiede zwischen diesen beiden Begriffen und zeigt dir als Handwerksunternehmer, was du beachten musst, um deine Datenverarbeitung DSGVO-konform zu gestalten.
Dieser Blogbeitrag klärt die Unterschiede zwischen diesen beiden Begriffen und zeigt dir als Handwerksunternehmer, was du beachten musst, um deine Datenverarbeitung DSGVO-konform zu gestalten.
Auftragsverarbeitung: Wenn Dienstleister Daten in deinem Auftrag verarbeiten
Die Auftragsverarbeitung liegt vor, wenn du als Handwerksbetrieb personenbezogene Daten von einem externen Dienstleister verarbeiten lässt. Dabei bleibt die Verantwortung für den Datenschutz bei dir als Auftraggeber, während der Dienstleister die Daten nur nach deinen Anweisungen bearbeiten darf. Typische Beispiele dafür sind:-
Lohnbuchhaltung:
Du lässt die Gehaltsabrechnung deiner Mitarbeiter von einem externen Dienstleister erstellen. -
Cloud-Dienste:
Deine Kundendaten werden in einem Cloud-basierten System gespeichert. -
IT-Dienstleister:
Ein externer IT-Spezialist hat Zugriff auf deine Systeme, um Wartungsarbeiten durchzuführen.
Damit diese Auftragsverarbeitung DSGVO-konform abläuft, musst du mit dem Dienstleister einen Auftragsverarbeitungsvertrag (AVV) abschließen. Dieser Vertrag regelt, welche Daten verarbeitet werden, wie lange die Verarbeitung dauert und welche Sicherheitsvorkehrungen getroffen werden. Fehlt ein solcher Vertrag, riskierst du hohe Bußgelder, da dies als Verstoß gegen die DSGVO gewertet wird.
Ein AVV sollte mindestens folgende Punkte enthalten:
Ein AVV sollte mindestens folgende Punkte enthalten:
-
Art und Zweck der Verarbeitung:
Welche Daten verarbeitet der Dienstleister und warum? -
Dauer der Verarbeitung:
Wie lange darf der Dienstleister die Daten nutzen? -
Weisungsrecht:
Der Dienstleister darf die Daten nur gemäß deiner Anweisungen verarbeiten. -
Sicherheitsmaßnahmen:
Welche technischen und organisatorischen Maßnahmen schützt der Dienstleister die Daten?
Gemeinsame Verantwortlichkeit: Wenn du gemeinsam mit anderen über die Daten entscheidest
Im Gegensatz zur Auftragsverarbeitung teilst du bei der gemeinsamen Verantwortlichkeit die Verantwortung für die Datenverarbeitung mit einem oder mehreren Partnern. Hier entscheidet ihr gemeinsam über den Zweck und die Mittel der Verarbeitung. Ein Beispiel für gemeinsame Verantwortlichkeit könnte sein:
Kooperation zwischen Handwerksunternehmen: Mehrere Handwerksbetriebe betreiben gemeinsam eine Plattform, auf der sie Kundenangebote verwalten und Daten teilen.
In diesem Fall sind alle Beteiligten für den Schutz der Daten verantwortlich. Auch hier muss ein Vertrag zur gemeinsamen Verantwortlichkeit geschlossen werden, der festlegt, wer für welche Aufgaben verantwortlich ist. Dieser Vertrag sollte folgende Punkte regeln:
-
Aufgabenteilung:
Wer übernimmt welche Aufgaben im Zusammenhang mit der Datenverarbeitung? -
Verantwortung für Betroffenenrechte:
Wer ist der Ansprechpartner, wenn Kunden oder Mitarbeiter ihre Rechte (z.B. Auskunft über ihre Daten) geltend machen wollen? -
Haftung:
Wie wird die Haftung bei Verstößen gegen den Datenschutz verteilt?
Ein solcher Vertrag sorgt dafür, dass die Verantwortlichkeiten klar verteilt sind und alle Beteiligten ihren Verpflichtungen aus der DSGVO nachkommen.
Praktische Schritte zur Umsetzung
Damit du als Handwerksunternehmer die Anforderungen der DSGVO in Bezug auf Auftragsverarbeitung und gemeinsame Verantwortlichkeit erfüllst, solltest du folgende Maßnahmen ergreifen:-
1. Prüfe deine Dienstleister
Überprüfe, ob du einen AVV mit jedem Dienstleister abgeschlossen hast, der personenbezogene Daten in deinem Auftrag verarbeitet. -
2. Sorge für klare Verträge
Stelle sicher, dass in Fällen gemeinsamer Verantwortlichkeit die vertraglichen Regelungen eindeutig sind und die Aufgaben klar verteilt sind. -
3. Datenschutzmaßnahmen umsetzen
Achte darauf, dass technische und organisatorische Maßnahmen zum Schutz der Daten (wie Verschlüsselung oder Zugangskontrollen) getroffen werden. -
4. Schule deine Mitarbeiter
Deine Mitarbeiter sollten regelmäßig Schulungen zum Thema Datenschutz erhalten, damit sie den Umgang mit personenbezogenen Daten sicher beherrschen. -
5. Überprüfe deine Prozesse
Stelle sicher, dass alle Prozesse regelmäßig auf Datenschutzkonformität geprüft werden, insbesondere bei neuen Kooperationen oder der Einführung neuer Softwarelösungen.
Datenschutz im Handwerk – Verantwortung bewusst übernehmen
Als Handwerksunternehmer trägst du die Verantwortung für den korrekten Umgang mit personenbezogenen Daten, sei es im Rahmen der Auftragsverarbeitung oder bei gemeinsamer Verantwortlichkeit. Der Schlüssel liegt in klaren vertraglichen Regelungen und einem durchdachten Datenschutzkonzept, das sicherstellt, dass die Daten deiner Kunden und Mitarbeiter geschützt sind.Mit einem soliden Verständnis der Unterschiede zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit kannst du sicherstellen, dass dein Unternehmen nicht nur rechtlich auf der sicheren Seite ist, sondern auch das Vertrauen deiner Kunden stärkt. Datenschutz ist heute mehr denn je ein wichtiger Faktor für nachhaltigen Erfolg.