Auswirkungen der EU- Datenschutzgrundverordnung (EU-DSGVO) für den Schornsteinfeger
Seit dem 25. Mai 2018 sind die EU- Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz in Kraft und haben sowohl bei Verbrauchern als auch in den Betrieben und Behörden für große Verunsicherung gesorgt. Immer wieder wurde über teilweise groteske Abmahnverfahren berichtet, weil sich Unternehmen oder Einzelne (vermeintlich) wettbewerbswidrig oder nicht gesetzeskonform verhalten haben. In diesem Zusammenhang wurden natürlich auch die teilweise drastischen Strafen – in gravierenden Fällen bis zu 20 Millionen Euro Bußgeld – genannt, die mit Verstößen gegen die teilweise hochkomplexen Bestimmungen einhergehen können.
mobile-schornsteinfeger.de hat verschiedene Aspekte der neuen Gesetze einmal aus Sicht eines Schornsteinfegers unter die Lupe genommen und zeigt mögliche Handlungsfelder für bevollmächtigte Bezirksschornsteinfeger (bBS) und Schornsteinfegerbetriebe auf.
Bevollmächtigte Bezirksschornsteinfeger benötigen Datenschutzbeauftragten
Von Amts wegen wird jeder bevollmächtigte Bezirksschornsteinfeger aufgrund der hoheitlichen Tätigkeiten als eine Behörde eingeordnet und ist damit wiederum zur Benennung eines Datenschutzbeauftragten verpflichtet.
Zur Vermeidung von Interessenkonflikten eines Datenschutzbeauftragten, der gleichsam zum Beispiel für den Landkreis als auch für den dort tätigen bevollmächtigten Bezirksschornsteinfeger zuständig ist, wird die Behörde selbst keinen Datenschutzbeauftragten für den bevollmächtigten Bezirksschornsteinfeger stellen. Dieser ist somit selbst zuständig für die Umsetzung der Vorgaben des Artikels 37 der Datenschutzgrundverordnung.
Bei einem zu benennenden Datenschutzbeauftragten muss es sich nicht zwingend um eine externe Person handeln; der bevollmächtigte Bezirksschornsteinfeger darf allerdings nicht sein eigener Datenschutzbeauftragter sein. Dies würde nicht den gesetzlichen Anforderungen entsprechen und ist daher nicht gestattet. Auch der EDV-Dienstleister oder eine im Schornsteinfegerbetrieb beschäftigte IT-Fachkraft scheiden als möglicher Datenschutzbeauftragter aus. Diese haben eine operative Verantwortung für die IT-Systeme und die zu verarbeitenden Daten und würden somit quasi eine nicht erlaubte Selbstkontrolle ausüben. Andere Beschäftigte im Schornsteinfegerbetrieb wiederum erfüllen zumeist nicht die Voraussetzungen zur Wahrnehmung der in Artikel 39 der EU-DSGVO genannten Aufgaben. Es fehlt die notwendige Expertise und Erfahrung. Für die (bevollmächtigten) Schornsteinfeger stellt sich nunmehr die dringende Frage, wie dieses Dilemma beseitigt, die gesetzlichen Vorgaben erfüllt und mögliche Abmahnungen vermieden werden können.
Unsere Mitglieder haben einen gemeinsamen Datenschutzbeauftragten
HANSE CERT CONTOR (mobile-schornsteinfeger.de) hat einen fachkundigen Datenschutzbeauftragten bestellt, den die Mitglieder gemeinsam nutzen können – gemäß dem Credo: „Einer für Alle – Alle für Einen“. Dieser wird von einem kleinen Team unterstützt, so dass er auch eine große Gruppe von Schornsteinfegern und Mandanten umfassend betreuen kann und dem Schornsteinfeger mit Rat und Tat zur Seite steht.
Kleine Schornsteinfegerbetriebe im nicht-öffentlichen Bereich benötigen zumeist keinen Datenschutzbeauftragten
In der Regel benötigen die Schornsteinfegerbetriebe selbst keinen Datenschutzbeauftragten, denn hier sind in den meisten Fällen weniger als 10 Personen ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt. Somit sind diese Schornsteinfegerbetriebe nach § 38 des Bundesdatenschutzgesetzes (BDSG) nicht verpflichtet einen Datenschutzbeauftragten zu benennen. Auf freiwilliger Basis können aber auch diese Betriebe einen Datenschutzbeauftragten benennen und dessen Hilfe in Anspruch nehmen, um mögliche Gesetzesverstöße aufgrund fehlender Kenntnisse zu vermeiden.
Weitere Auswirkungen der DSGVO für den bevollmächtigten Bezirksschornsteinfeger und die Schornsteinfegerbetriebe
Sowohl ein bevollmächtigter Bezirksschornsteinfeger als auch die Schornsteinfegerbetriebe müssen gemäß Artikel 30 DSGVO ein Verzeichnis über alle Verarbeitungstätigkeiten führen, die mit personenbezogenen Daten zusammenhängen. Dieses Verzeichnis ist auf Anfrage der Datenschutzaufsichtsbehörde zur Verfügung zu stellen.
Die Information der „betroffenen Personen“ zum Umgang mit personenbezogenen Daten ist von großer Bedeutung, denn gemäß der Artikel 13, 14 und 21 der Datenschutzgrundverordnung besteht eine Informationspflicht. Betroffene Personen können beispielsweise Beschäftigte oder Kunden sein.
So teilt der verantwortliche bevollmächtigte Bezirksschornsteinfeger oder Schornsteinfegermeister der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten unter anderem den Namen und die Kontaktdaten des Verantwortlichen, gegebenenfalls des Datenschutzbeauftragten und die Zwecke, für die die personenbezogenen Daten verarbeitet werden, mit. Ferner werden die Löschfristen, das Auskunfts- und Beschwerderecht und weitere vorgegebene Kriterien in der Kundeninformation verarbeitet.
Im IT-Sicherheitskonzept werden durch den bevollmächtigten Bezirksschornsteinfeger oder die Schornsteinfegerbetriebe die technischen und organisatorischen Maßnahmen (TOM) aufgeführt, die für den Datenschutz notwendig sind.
Auftragsverarbeitungsverträge (AVV) -früher auch als „Auftragsdatenverarbeitung“ bezeichnet- sollten vorhanden sein und ebenfalls Berücksichtigung im IT-Sicherheitskonzept finden. Hierbei geht es darum, dass bei Datenverarbeitungsvorgängen mit personenbezogenen Daten, die der bevollmächtigter Bezirksschornsteinfeger bzw. der Schornsteinfegermeister nicht selbst ausführt, die Vorschriften der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes (BDSG) eingehalten werden. Dies ist zum Beispiel bei der Unterstützung von externen Dienstleistern, bei Software as a Service (SaaS) beziehungsweise bei Cloud-Diensten der Fall. In diesen Szenarien ist der Abschluss eines Auftragsverarbeitungsvertrages notwendig. Sowohl dem bevollmächtigten Bezirksschornsteinfeger als auch dem Schornsteinfegermeister obliegt die Pflicht, bei der Auswahl des Auftragsverarbeiters zu gewährleisten, dass dieser ausreichende technische und organisatorische Maßnahmen implementiert hat.
Betroffene Personen besitzen ein Recht zur Auskunftserteilung über die gespeicherten personenbezogenen Daten. Dieses Auskunftsrecht spielt eine zentrale Rolle in der Datenschutzgrundverordnung.
Disclaimer
Alle Informationen wurden von uns sorgfältig und nach bestem Wissen und Gewissen recherchiert. Eine Gewährleistung für Richtigkeit, Vollständigkeit und Aktualität kann jedoch nicht übernommen werden. Diese Informationen ersetzen auch keine individuelle Rechtsberatung zu Anwendungsfällen der neuen Datenschutzgrundverordnung.