Rath, Anders, Dr. Wanner & Partner mbB

Welche Bedeutung hat die neue EU Datenschutzgrund-verordnung für den Kfz-Betrieb? 8/2018

Wie wichtig der Datenschutz ist, wird einem derzeit durch den Skandal um Facebook wieder einmal vor Augen geführt. Ab dem 25.05.2018 gilt die neue EU Datenschutzgrundverordnung (nachfolgend DSGVO). Auf Grund der großen Verunsicherung in der Praxis wollen wir nachfolgend nochmals auf die wichtigsten Änderungen und Vorschriften, die ein Kfz-Betrieb im Hinblick auf Kundendaten, aber auch speziell im Hinblick auf Mitarbeiterdaten beachten muss, eingehen.

 

Dreh- und Angelpunkt, personenbezogene Daten

Die DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Das sind vor allem Folgende:

  • allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usw.)
  • Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usw.)
  • Bankdaten (Kontonummern, Kreditinformationen, Kontostände usw.)
  • Online-Daten (IP-Adresse, Standortdaten usw.)
  • physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usw.)
  • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usw.)
  • Kundendaten (Bestellungen, Adressdaten, Kontodaten usw.)
  • Werturteile (Schul- und Arbeitszeugnisse usw.)

Grundsätze für die Verarbeitung personenbezogener Daten

  • Rechtsmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Integrität und Vertraulichkeit
  • Speicherbegrenzung
  • Rechenschaftspflicht

 

Wen betrifft die DSGVO?

Die neue EU-DSGVO gilt für alle Unternehmen, die in der EU ansässig sind. Das bedeutet, die Größe des Unternehmens, sei es ein Ein-Mann-Betrieb oder ein weltweit agierender Konzern, ist irrelevant, der Datenschutz gilt für alle!

Eine Erleichterung gibt es für kleinere Betriebe hinsichtlich des Datenschutzbeauftragten. Erst Unternehmen, in denen 10      oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels EDV beschäftigt sind, müssen einen Datenschutzbeauftragten bestellen. Hierbei sind also insbesondere die Beschäftigten heranzuziehen, die z.B. ständig mit dem Dealer-Management-System arbeiten, den Lohn der Mitarbeiter erstellen oder täglich in anderer Weise Kundendaten verarbeiten. Dabei ist zu berücksichtigen, dass es dem Unternehmer freigestellt ist, ob er einen externen oder einen internen Datenschutzbeauftragen bestellt. Beachten Sie nur, wenn Sie einen internen Datenschutzbeauftragten bestellen, dass dieser Mitarbeiter einen besonderen Kündigungsschutz genießt. Zudem muss der eigene Mitarbeiter natürlich auch die entsprechenden Kenntnisse aufweisen. Eine reine „pro Forma“ Bestellung eines Mitarbeiters, erfüllt die gesetzlichen Voraussetzungen nicht.

 

Wichtig! – Verarbeitungsverzeichnis

Jeder Kfz-Betrieb ist verpflichtet ein Verzeichnis über alle Verarbeitungstätigkeiten von personenbezogenen Daten zu führen. In diesem Verzeichnis müssen insbesondere die Verarbeitungstätigkeit und der Verantwortliche aufgenommen werden. Bitte beachten Sie nochmals, dass diese Verpflichtung für ALLE Unternehmen, unabhängig von der Mitarbeiteranzahl gilt! Bedenken Sie, dass die Aufsichtsbehörden Einsicht in die Verzeichnisse verlangen können.

Nachfolgend stellen wir ein Musterverzeichnis anhand des Beispiels einer beim Steuerberater ausgelagerten Lohnbuchhaltung dar:

  • Beschreibung der Verarbeitungstätigkeit
  • Lohnabrechnung über Steuerberater
  • Angaben zum Verantwortlichen/Ansprechpartner
  • Herr/Frau Mustermann, Tel., E-Mail-Adresse
  • Angaben zum Vertreter des Verantwortlichen
  • Herr/Frau Mustermann, Tel., E-Mail-Adresse
  • Datum der Einführung
  • 01.2018
  • Beschreibung der Zwecke der Verarbeitung
  • Auszahlung Löhne /Gehälter
  • Abfuhr Lohnsteuer, Sozialabgaben
  • Kategorie der Betroffenen Personen
  • Mitarbeiter, Beschäftigte
  • Kategorie von personenbezogenen Daten
  • Name, Geburtsdatum
  • Adresse
  • Bankdaten
  • Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung)
  • Kategorie von Empfängern der Daten
  • Steuerberater
  • Löschfristen
  • 10 Jahre (gesetzliche Aufbewahrungsfristen)
  • Technische oder organisatorische Maßnahmen bezüglich der Löschung
  • Internes IT-Sicherheitskonzept

In dieser Art sollte ein Verarbeitungsverzeichnis für jede Verarbeitungstätigkeit mit personenbezogenen Daten erstellt werden. Und nochmals, das ist eine Pflicht für jeden Unternehmer. Ein allgemeines Muster finden Sie auch auf der Homepage des Bayerischen Landesamt für Datenschutz unter der Rubrik „Aktuelles“ (www.lda.bayern.de).

 

Information des Mitarbeiters über Übermittlung von personenbezogenen Daten

Wie das obige Beispiel zeigt, ist zu beachten, dass nicht nur Kundendaten verarbeitet, beziehungsweise verwendet werden, sondern ebenfalls auch Mitarbeiterdaten. In dem obigen Beispiel (Lohnbuchhaltung durch einen Steuerberater) werden personenbezogene Daten von Mitarbeitern an einen Dritten, den Steuerberater zur Verarbeitung übermittelt. Aber auch, wenn die Lohnbuchhaltung im eigenen Haus durchgeführt wird, werden Mitarbeiterdaten an Dritte, z.B. das Finanzamt, an die Bank des Beschäftigten, an die Krankenkasse, an die gesetzliche Renten- und Arbeitslosenversicherung oder an einen Versicherungsträger im Rahmen einer betrieblichen Altersversorgung übermittelt. Somit sollte ein Personalstammdatenblatt (mit den persönlichen Angaben des jeweiligen Mitarbeiters) für jeden Mitarbeiter geführt werden. In diesem sollte unter anderem aufgezeigt werden, an wen diese personenbezogenen Daten übermittelt werden und welche Rechte dem Mitarbeiter (Auskunftsrecht, Recht auf Berichtigung, Beschwerderecht) zustehen.

Sie sollten nur mit solchen Auftragsverarbeitern zusammenarbeiten, die geeignete technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes gewährleisten und entsprechende Kontrollrechte einräumen.

Für Betriebe, die derzeit schon ein Augenmerk auf den Datenschutz gelegt haben, ändert sich inhaltlich nicht so viel, eins ist aber klar, die Dokumentationspflichten sind weitaus umfassender, als bisher.

 

Maximilian Appelt
  Rechtsanwalt
  Steuerberater

 

Kurzfassung:

  1. Am 25.05.2018 tritt die neue EU - Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Diese gilt für jedes Unternehmen – unabhängig von der Unternehmensgröße.
  1. Erstellen Sie unbedingt ein Verzeichnis in dem die Verarbeitungstätigkeit von personenbezogenen Daten genau protokolliert wird.
  1. Die Bußgeldtatbestände wurden empfindlich angehoben, so liegt die Obergrenze nun bei 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes.

 

Kommentar:

Bereiten Sie Ihr Unternehmen bald auf die DSGVO vor, denn es gibt kein Unternehmen, das davon verschont bleibt! Beachten Sie vor allem auch die Rechenschaftspflicht und die Meldepflicht bei Datenschutzverstößen. Zukünftig müssen Sie auf Nachfragen der Aufsichtsbehörden jederzeit Nachweis erbringen können, dass bei der Verarbeitung von personenbezogenen Daten die Anforderungen und Datenschutzgrundsätze der DSGVO eingehalten wurden. In der Praxis führt das zu einer Beweislastumkehr, sodass nicht mehr die Behörde dem Unternehmer ein Fehlverhalten nachweisen muss, sondern dieser beweisen muss, dass er sich regelkonform verhält. Zudem müssen zukünftig alle Datenschutzpannen innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde gemeldet werden und die Betroffenen sind zu benachrichtigen. Eins bleibt auf jeden Fall festzuhalten, auch in diesem Bereich nimmt die Dokumentationspflicht und somit der Verwaltungsaufwand weiter zu.

 

Horst Neubacher
Wirtschaftsprüfer
  Steuerberater

 

Rath, Anders, Dr. Wanner & Partner mbB - München work Elsenheimerstraße 43 80687 München Deutschland work +49 (0) 89 578382-0 fax +49 (0) 89 578382-50 www.raw-partner.de
Rath, Anders, Dr. Wanner & Partner mbB - Bad Wörishofen work Rudolf-Diesel-Straße 11 86825 Bad Wörishofen Deutschland work +49 (0) 82 479670-0 fax +49 (0) 82 479670-40 www.raw-partner.de
Rath, Anders, Dr. Wanner & Partner mbB - Berlin work Neue Promenade 3 10178 Berlin Deutschland work +49 (0) 30 56553-0 fax +49 (0) 30 56553-10 www.raw-partner.de
Rath, Anders, Dr. Wanner & Partner mbB - Gera work Siemensstraße 49 07546 Gera Deutschland work +49 (0) 365 43752-0 fax +49 (0) 365 43752-29 www.raw-partner.de 50.907173 12.063239
Atikon work Kornstraße 4 4060 Leonding Österreich work +43 732 611266 0 fax +43 732 611266 20 www.atikon.com 48.260229 14.257369